Académique Documents
Professionnel Documents
Culture Documents
Marcia Alejandra Parra Vanegas Sandra Patricia Rodrguez Montenegro Jenny Paola Rojas Pea Monica Marcela Vargas Franco Luisa Fernanda Lugo Arce Paola Peralta Carolina Salguero
La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada.
La informacin puede estar: Impresa o escrita en papel Almacenada electrnicamente Transmitida por correos o medios electrnicos Mostrada en filmes Hablada en conversacin
El objetivo de la seguridad de la informacin es proteger los intereses de los negocios que dependan de la informacin.
CONFIDENCIALIDAD INTEGRIDAD
DISPONIBILIDAD
Incendios
Naturales
Terremotos
Inundaciones
Amenaza
Internas Maliciosas Humanas No Maliciosas Externas
Impericia
Una vulnerabilidad es una debilidad en un activo o procedimiento que establece la seguridad de un activo. Las amenazas explotan vulnerabilidades utilizando tcnicas o programas llamados exploits.
Es la posibilidad que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza.
VULNERABILIDADES
Un incidente de seguridad es, un evento adverso que puede afectar a un sistema o red de computadoras. Puede ser causado por:
Una falla en algn mecanismo de seguridad Un intento de amenaza (concretada o no) de romper mecanismos de seguridad, etc.
DIRECCION
La administracin efectiva de la seguridad de la informacin no es solamente un asunto de tecnologa, es un requerimiento del negocio.
AUDITORES
ENTIDADES REGULADORAS EXTERNAS
La norma ISO 27001 adopta el modelo Plan Do Check Act (PDCA o PHVA), conocido tambin como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.
Exploraciones de vulnerabilidades
Pruebas de penetracin
ISO 27001 es un estndar aceptado internacionalmente para la administracin de la seguridad de la informacin y aplica a todo tipo de organizaciones, tanto por su tamao como por su actividad.
Se puede prever, que la certificacin ISO 27001, ser casi una obligacin de cualquier empresa que desee competir en el mercado en el corto plazo.
El Anexo A contiene 133 controles que, como se puede observar por los nombres de los puntos, no se centran solamente en tecnologas de la informacin; tambin incluyen seguridad fsica, proteccin legal, gestin de recursos humanos, asuntos organizacionales, etc.
El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001 slo proporciona una breve descripcin de un control, mientras que la ISO 27002 ofrece lineamientos detallados sobre cmo implementar el control.
POLITICA DE SEGURIDAD
Determine la frecuencia de revisin de la poltica de seguridad de la informacin y las formas de comunicacin a toda la organizacin.
Organizacin interna. Establecer el compromiso de la Direccin, roles, responsabilidades, acuerdos de confidencialidad, etc.
Terceros. Haga inventarios de conexiones de red y flujos de informacin significativos con terceras partes y revise los controles de seguridad de informacin existentes.
GESTION DE ACTIVOS
Elabore y mantenga un inventario de activos de informacin, mostrando los propietarios de los activos.
SEGURIDAD DE RECURSOS HUMANOS Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la informacin, mediante: Definicin de roles y responsabilidad de seguridad de los activos.
Verificacin de antecedentes antes de la contratacin. Asegurar que los usuarios conocen de las amenazas y las inquietudes en materia de seguridad de sistema. Control de activos cuando finaliza el contrato.
El estndar parece centrarse en el CPD pero hay muchas otras reas vulnerables a considerar, por ejemplo, armarios de cableado, servidores departamentales y archivos. Prevenir acceso no autorizado, dao o interferencia a las premisas y por ende a la informacin. Establecer procedimientos para prevenir dao y prdida de informacin, equipos y bienes tal que no afecten las actividades adversamente.
Supervisin de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificacin de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptacin en produccin.
Asegure los medios y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes). Considere las medidas necesarias para asegurar el intercambio de informacin. Incorpore requisitos de seguridad de la informacin en los proyectos e-business.
CONTROL DE ACCESOS
Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios. Un procedimiento de registro y revocacin de cuentas de usuario, una adecuada administracin de los privilegios y de las contraseas.
Definir y documentar las responsabilidades relativas a seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo.
CONTROL DE ACCESOS
Establecer medidas de autenticacin sobre los accesos remotos. Seguridad en la validacin de usuarios del sistema operativo, empleo de identificadores nicos de usuarios, correcta administracin de contraseas, control y limitacin de tiempos en las sesiones.
Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la informacin. Utilice libreras y funciones estndar para necesidades corrientes como validacin de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validacin y chequeo cruzado, por ejemplo, sumas totalizadas de control.
Contrarrestar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistemas de comunicacin/informtica implementando un plan de continuidad de negocio.
CUMPLIMIENTO
Prevenir brechas de seguridad por actos criminales o violacin de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.
Asegurar un sistema (de gestin) cumpliendo con polticas de seguridad y normativas (ISO 27002, ISO 9001 y otras).
Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and Personnel Application Abuse Networ Devices Zero Day Attacks