LA GESTIN DE LA SEGURIDAD

DE LA INFORMACIN
INTEGRANTES DEL GRUPO # 5:
LAYSA L. CAMARENA 3-713-2307
EDILMA MARTNEZ 8-824-72
JOHANN RODRGUEZ 8-748-837

GESTIN DE LA SEGURIDAD
DE LA INFORMACIN
El sistema de gestin de seguridad
de la informacin (SGSI) se define
como aquella parte del sistema
general de gestin que comprende la
poltica, la estructura organizativa,
los procedimientos, los procesos y los
recursos necesarios para implantar la
gestin de la seguridad de la
informacin en una organizacin.

Johann Rodrguez G.

A la hora de implantar un sistema de gestin de

seguridad de la informacin una organizacin debe
contemplar los siguientes aspectos:
Formalizar la gestin de la seguridad de la
informacin
Analizar y gestionar los riesgos
Establecer procesos de gestin de la seguridad
siguiendo la metodologa PDCA:

Johann Rodrguez G.

aspectos tecnolgicos,
organizativos, el cumplimiento
del marco legal y el factor
humano

Johann Rodrguez G.

ETAPAS O NIVELES DE MADUREZ

EN LA GESTIN DEL CISO
(CHIEF INFORMATION SECURITY OFFICER)

Implementacin de medidas
seguridad por sentido comn.

bsicas

de

Adaptacin a los requisitos del marco legal y

las exigencias de los clientes.
Gestin integral
informacin.

de

la

seguridad

de

la

Certificacin de la Gestin de la seguridad de

la informacin.
Johann Rodrguez G.

Anlisis y Gestin de
Riesgos
proceso de gestin

El
de riesgos se trata de
un
plan
para
la
implantacin de ciertas
salvaguardas
o
contramedidas en el
sistema
informtico,
que permitan disminuir
la probabilidad de que
se
materialice
una
amenaza,
o
bien
reducir
la
vulnerabilidadPara esto
del se debe realizar con rigor
objetividad una
etapa de
sistema o ely posible
evaluacin
impacto
en
la previa de los riesgos del
sistema informtico.
organizacin.
Johann Rodrguez G.

Recursos del sistema

Los recursos son los activos a proteger del sistema informtico
de la organizacin. Los principales recursos que debemos
considerar a la hora de analizar y gestionar los riesgos son:
Recursos hardware: servidores y
estaciones de trabajo,
ordenadores porttiles,
impresoras, escneres
Recursos software: sistemas
operativos, software de gestin,
herramientas de programacin,
aplicaciones desarrolladas a
medida.
Elementos de comunicacin:
dispositivos de conectividad
(hubs, switches, routers)

Informacin que se almacena,

procesa y distribuye a travs del
sistema
Locales y oficinas donde se ubican
los recursos fsicos y desde los
que acceden al sistema los
usuarios finales
Personas que utilizan y se
benefician directa o
indirectamente del sistema
Imagen y reputacin de la
organizacin

Johann Rodrguez G.

Se pueden clasificar
como:
Amenazas naturales
Amenazas de agentes
externos
Amenazas de agentes
internos

amenazas

Y segn el grado de
intencionalidad de la
amenaza en:
Accidentales
Errores
Actuaciones
malintencionadas

Se considera una amenaza a

cualquier evento accidental
o intencionado que pueda
ocasionar algn dao en el
sistema
informtico,
provocando
prdidas
materiales, financieras o de
otro tipo a la organizacin.

Johann Rodrguez G.

Vulnerabilidades
Es cualquier debilidad en el sistema informtico que pueda permitir a
las amenazas causarle daos y producir prdidas en la organizacin.
Se suele utilizar la escala cuantitativa o cualitativa para definir el nivel
de vulnerabilidad de un determinado equipo o recurso en Baja, Media y
Alta
Incidentes de Seguridad
Es cualquier evento que tenga o pueda tener como resultado la
interrupcin de los servicios suministrados por un sistema informtico
y/o posibles prdidas fsicas de activos o financieras. Es decir que un
incidente es la materializacin de una amenaza.
Impactos
Es la medicin y valoracin del dao que podra producir a la
organizacin un
incidente de seguridad. Se pueden clasificar con una escala
cuantitativa o cualitativa tambin en Bajo, Moderado y Alto.

Johann Rodrguez G.

Riesgos
El riesgo es la probabilidad de que una amenaza se
materialice sobre una vulnerabilidad del sistema informtico,
causando un determinado impacto en la organizacin.

Johann Rodrguez G.

Defensas, salvaguardas o medidas de

seguridad
Es cualquier medio empleado para eliminar o reducir un riesgo.
Existen medidas de seguridad activas: que son las utilizadas para
anular o reducir el riesgo de una amenaza y se pueden clasificar
como medidas de prevencin y medidas de detencin.
Y medidas de seguridad pasiva: es empleada para reducir el
impacto cuando se produce un incidente de seguridad por ello se
les conoces como medidas de correccin (aplican despus del
incidente)
Posterior a la implementacin de las medidas correctas se
determina el Nivel de Riesgo Residual, obtenido tras un nuevo
proceso de evaluacin de riesgos teniendo en cuenta que los
recursos ya se encuentran protegidos con las medidas de
seguridad seleccionadas.

Johann Rodrguez G.

DEFINICINEIMPLANTACIND
E LAS POLTICASDE SEGURIDAD
Una poltica de seguridad es como una declaracin de intenciones de
alto nivel que cubre la seguridad de los sistemas informticos.
Un plan de seguridad es un conjunto de decisiones que definen cursos
de accin futuros, as como los medios que se van a utilizar para
conseguirlos.
Un Procedimiento de seguridad es la definicin detallada de los pasos a
ejecutar para llevar a cabo unas tareas determinadas. Los
procedimientos de seguridad permiten aplicar e implantar las polticas
de seguridad que han sido aprobadas.
Las polticas definen Qu se debe proteger en el sistema, mientras que los
procedimientos de seguridad describen Cmo se debe conseguir dicha
proteccin.

Johann Rodrguez G.

Click icon to add picture

No se debe olvidar que la finalidad ltima del departamento de

Informtica es proporcionar las herramientas y la informacin
que van a necesitar los usuarios para poder llevar a cabo su
trabajo de forma sencilla y eficiente y por supuesto de forma
segura.

Johann Rodrguez G.

La gestin de la Seguridad de la
Informacin
LA IMPORTANCIA
INFORMACIN

DE

LA

SEGURIDAD

DE

LA

Muchas de las actividades que se realizan de forma cotidiana en los

pases desarrollados dependen en mayor o menor medida de sistemas y
redes informticas, hasta el punto de que en la actualidad no se
circunscriben al mbito laboral y profesional, sino que incluso se han
convertido en un elemento cotidiano en muchos hogares.
De ah la gran importancia que se debera conceder a todos los aspectos
relacionados con la seguridad informtica en una organizacin. La
proliferacin de los virus y cdigos malignos y su rpida distribucin a
travs de las redes como Internet, as como los miles de ataques e
incidentes de seguridad que se producen todos los aos han contribuido
a despertar un mayor inters por esta situacin.

Edilma Martnez

Seguridad Informtica
Cualquier medida que impida la ejecucin de operaciones no autorizadas
sobre un sistema o red informtica, cuyos efectos puedan conllevar
daos sobre la informacin, comprometer su confidencialidad,
autenticidad o integridad, disminuir el rendimiento de los equipos o
bloquear el acceso de usuarios autorizados al sistema.
Aspectos de la Seguridad Informtica

Cumplimiento de las regulaciones legales

aplicables a cada sector o tipo de
organizacin.
Control en el acceso a los servicios
ofrecidos y la informacin guardada por un
sistema informtico
Control en el acceso y utilizacin de
ficheros protegidos por la ley.
Identificacin de los autores de la
informacin o de los mensajes.
Registros del uso de los servicios de un

Objetivos de la Seguridad
Informtica
Minimizar y gestionar los riesgos
y detectar los posibles problemas
y amenazas a la seguridad.
Garantizar la adecuada utilizacin
de los recursos y de las
aplicaciones del sistema.
Limitar las prdidas y conseguir la
adecuada
recuperacin
del
sistema en caso de un incidente
de seguridad.
Cumplir con el marco legal y con
los requisitos impuestos por los
clientes en sus contratos.

Para cumplir con estos objetivos una

organizacin debe contemplar 4

planos de actuacin:
1. Tcnico
2. Legal
3. Humano
4. Organizativo

Consecuencias de la falta de
Seguridad
Una organizacin debe entender La Seguridad Informtica como
un proceso y no como un producto que se puede comprar o
instalar.

11 de Septiembre
del 2001

12 de Febrero del
2005

Consecuencias de la falta de
Seguridad
La implementacin de determinadas medidas de seguridad puede
representar un importante esfuerzo econmico para una
organizacin. Al plantear esta cuestin econmica es necesario
realizar un anlisis preliminar de las posibles prdidas para la
organizacin y una evaluacin de los riesgos:

Qu puede ir mal?
Con qu
frecuencia puede ocurrir?

Cules seran sus consecuencias para la organizacin

EL FACTOR HUMANO EN
LA SEGURIDAD
INFORMTICA

El Factor Humano En La Seguridad

Informtica
El factor humano es imprescindible para la seguridad en una
red informtica, ya que las personas con acceso a la red y a la
informacin y equipos pueden realizar autnticas catstrofes
internas, que son los ataques mas difciles de parar y rastreas.
Para lograr que el factor
humano sea una solucin
antes que un problema ser
necesario concienciar a los
trabajadores
de
la
seguridad que se necesita
en la empresa y en la vida
diaria.

El Factor Humano En La Seguridad

Informtica
La implementacin de unas adecuadas medidas de
seguridad informtica exige contemplar aspectos
tcnicos organizativos y legales.
No obstante, en muchas ocasiones se presta muy poca
atencin a la importancia del factor humano en la
seguridad de la informtica.

Las personas representan el eslabn mas dbil dentro

de la seguridad informtica: a diferencia de los
ordenadores, las personas pueden no seguir las
instrucciones exactamente tal y como fueron dictadas.

PRINCIPIO BSICO
Un principio bsico a tener en cuenta desde el punto de
vista de la seguridad informtica es que todas las
soluciones tecnolgicas implantadas por la organizacin
pueden resultar intiles ante el desconocimiento, falta
de informacin, desinters o animo de causar dao de
algn empleado desleal.
Mas del 75% de los problemas inherentes a la seguridad
se producen por fallos en la configuracin de los equipos
o debido a un mal uso por parte del personal de la propia
empresa.

EXPERTOS
Kevin Mitnick Famoso
Hackers.
Usted puede tener la
mejor
tecnologa,
firewalls,
sistema
de
deteccin de ataques,
dispositivos biomtricos..
Lo nico que se necesita
es una llamada a un
empleado desprevenido
y acceden al sistema sin
mas. Tienen todo en sus
manos.

EXPERTOS

Bruce Schneier
Experto en criptografa y seguridad
afirmaba en uno de sus libros
Secrets and Lies (Verdades y
Mentiras) que .. Si piensas que la
tecnologa
puede
resolver
tus
problemas de seguridad, entonces no
entiendes el problema y no entiendes
la tecnologa.

Sanciones

LA PROTECCIN DE DATOS DE
CARCTER PERSONAL
La proteccin de los datos personales y de la
privacidad es una cuestin que genera bastante
polmica en la actualidad, debido a que existen
posturas manifiestamente encontradas, a pesar de
que este derecho fundamental de todo ciudadano
ya fuera reconocido en la Declaracin Universal de
los Derechos Humanos 1948.

PROTECCIN DE DATOS
Un grupo de pases liderados por la Unin Europea son
partidarios de una estricta regulacin estatal, con fuertes
sanciones para aquellas organizaciones que incumplan las
normas establecidas (postura conocida como Hardlaw). Tambin
en muchos pases de Latinoamrica se ha reconocido el derecho
fundamental a la proteccin de los datos personales de los
ciudadanos.