Estan Dares

ESTANDARES DE SEGURIDAD ESTANDARES DE SEGURIDAD
INFORMATICA ACIS Junio - INFORMATICA ACIS Junio -

2002 2002
EL MODELO ES LA BASE EL MODELO ES LA BASE
Por: Fernando Jaramillo Por: Fernando Jaramillo
A. A.
2
ACIS 2002 Estndares de Se!ridad ACIS 2002 Estndares de Se!ridad
In"ormti#a Fernando Jaramillo A!ilera In"ormti#a Fernando Jaramillo A!ilera
Entendiendo !n Modelo de
Entendiendo !n Modelo de
Sol!#iones de Se!ridad en
Sol!#iones de Se!ridad en
In"ormti#a
In"ormti#a
Estrategia Estrategia
Cumplimiento
Regulaciones
Reducir Riesgos
Reducir Costos
Administrativos
Mejorar Eficiencia
de Procesos
Asegurar Propiedad
Intelectual
Asegurar
Informacin
Cliente
Defenderse Contra
Dsiputas Legales
Retorno de la
Inversin
Poltica
Cumplimiento
Regulaciones
Reducir Riesgos
Limitar Exposicin
Legal
Cumplimiento
Personas
!servancia "
Recurso
Reglas Claras
Consecuencias
Claras
Lnea #ase Para
Reglamento
Ar$uitectura
Mejorar Eficiencia
de Procesos
Reducir Costos
Administrativos
Costo de Propiedad
%so de las
&ecnologas
Cumplimiento
Est'ndares
Administracin
Integrada
Proceso de
Actuali(acin "
)oporte
Retorno de la
Inversin
Dise*o
Rendimiento
Importancia &+cnica
Cumplimiento
Est'ndares
,erramientas
Integradas
Licenciamiento
%so de las
&ecnologas
Proceso de
Actuali(acin "
)oporte
-acilidad de %so
Escala!ilidad
-lexi!ilidad
)oporte Multi.
Plataforma
Implementacin
Rendimiento
Importancia
&+cnica
Cumplimiento
Est'ndares
,erramientas
Integradas
%so de las
&ecnologas
Proceso de
Actuali(acin "
)oporte
-acilidad de %so
Escala!ilidad
-lexi!ilidad
Costo
Licenciamiento
/egocio &+cnico
$
%o#es de la Ind!stria
%o#es de la Ind!stria
& &M!#'as #om(a)*as de te#nolo*a de in"orma#i+n 'an M!#'as #om(a)*as de te#nolo*a de in"orma#i+n 'an
desarrollado te#nolo*as (ara mane,ar los retos de los desarrollado te#nolo*as (ara mane,ar los retos de los
neo#ios. Sin em-aro. m!#'as de esas te#nolo*as neo#ios. Sin em-aro. m!#'as de esas te#nolo*as
s+lo atienden ne#esidades es(e#*/#as dentro de todo el s+lo atienden ne#esidades es(e#*/#as dentro de todo el
am-iente de se!ridad de la in"orma#i+n. Po#as am-iente de se!ridad de la in"orma#i+n. Po#as
#om(a)*as tienen desarrolladas te#nolo*as (ara #om(a)*as tienen desarrolladas te#nolo*as (ara
interar. "#ilmente. #on otras te#nolo*as0(ara a1!dar interar. "#ilmente. #on otras te#nolo*as0(ara a1!dar
a (ro2eer !n ms !ni"orme. ms #ontrolado 1. (or a (ro2eer !n ms !ni"orme. ms #ontrolado 1. (or
tanto. ms se!ro am-iente o(erati2o.3 tanto. ms se!ro am-iente o(erati2o.3
Es(e#ialista en Se!ridad. Pri#e4ater'o!seCoo(ers Es(e#ialista en Se!ridad. Pri#e4ater'o!seCoo(ers

5
Estndares
Clasificacin de Activos
y su Control
Personal de Seguridad
Seguridad Fsica y
Ambiental
Administracin y Operacin de
Comunicaciones
Control de Acceso
Desarrollo y antenimiento de
Sistemas
Contingencia !"usiness Continuity#
!Compliance# Cumplimiento de
Aspectos $egales% &'cnicos y
Auditora
El Modelo es la A(li#a#i+n de
El Modelo es la A(li#a#i+n de
Estndares
Estndares
Polticas de Seguridad y
Seguridad
Organi(acional
6
Riesgos: Son aquellos que pueden amenazar el logro del
objetivo del proceso. (Amenaza, debilidad, sntoma de
rendimiento defciente, oportunidad de mejoramiento)
ontroles: Son polticas ! procedimientos, implantados o no,
que proporcionan la seguridad de que los riesgos de negocio
"an sido reducidos a un nivel aceptable.
7iesos 1 Controles de Pro#esos
7iesos 1 Controles de Pro#esos
7IES8OS CO9:7OLES
Para identi/#ar
los riesos se
#lasi/#an en:
#De neo#io
#Finan#ieros
#O(erati2os
#De
#!m(limiento
#Fra!de
Para identi/#ar los
#ontroles se #lasi/#an
en:
#In"ormti#a
#Atri-!#iones
#Pro#edimientos
#Do#!menta#i+n
#Sistema de
in"orma#i+n eren#ial
AC:I%IDAD
;
Pro-a-ilidad e Im(a#to del 7ieso <C=
> 2 $
$
2
>
IMPAC:O E9 LA
O78A9I?ACIO9
P7OBABILIDAD DE
OC@77E9CIA <P.O=
> Es (o#o (ro-a-le A!e
o#!rra
2 Es medianamente
(ro-a-le A!e o#!rra
$ Es altamente (ro-a-le
A!e o#!rra
> Ser*a de -a,o
im(a#to
2 Ser*a de mediano
im(a#to
$ Ser*a de alto
im(a#to
IMPAC:O E9 LA
O78A9I?ACIB9 <I=

P
7
O
B
A
B
I
L
I
D
A
D
CALIFICACIO9 DEL 7IES8O
Alto
$
Medio
2
Ba,o
>
7ieso 7emanente <7=
SI:@ACIO9 AC:@AL <SA=
DEL CO9:7OL I9:E79O
> C!-re en ran (arte el
rieso
2 C!-re medianamente el
rieso
$ 9o eCiste ninDn ti(o de
medida
SI:@ACIO9 AC:@ALE
CO9:7OL I9:E79O
> 2 $
F
;
$ $
C
7
I
:
I
C
I
D
A
D
D
E
L
7
I
E
S
8
O
MatriG de E2al!a#i+n de 7iesos
MatriG de E2al!a#i+n de 7iesos
H
El Estndar de Se!ridad E ISO El Estndar de Se!ridad E ISO
>HHFF >HHFF
El estndar de se!ridad ISO >HHFF "!e (re(arado (or la El estndar de se!ridad ISO >HHFF "!e (re(arado (or la
Britis' Standard Instit!tion <#on el nom-re de BS HHFF= 1 "!e Britis' Standard Instit!tion <#on el nom-re de BS HHFF= 1 "!e
ado(tado (or el #omitI tI#ni#o de la ISO en Di#iem-re del a)o ado(tado (or el #omitI tI#ni#o de la ISO en Di#iem-re del a)o
2000. 2000.
El estndar 'a#e re"eren#ia a dieG as(e#tos (rimordiales (ara El estndar 'a#e re"eren#ia a dieG as(e#tos (rimordiales (ara
la se!ridad in"ormti#a. la se!ridad in"ormti#a.
Estos as(e#tos son: Planes de Continen#ia. Control de Estos as(e#tos son: Planes de Continen#ia. Control de
A##eso a los sistemas. Mantenimiento 1 desarrollo de A##eso a los sistemas. Mantenimiento 1 desarrollo de
a(li#a#iones. Se!ridad F*si#a. C!m(limiento. Se!ridad a(li#a#iones. Se!ridad F*si#a. C!m(limiento. Se!ridad
Personal. Se!ridad de la OraniGa#i+n. Administra#i+n de Personal. Se!ridad de la OraniGa#i+n. Administra#i+n de
O(era#iones. Control 1 Clasi/#a#i+n de la In"orma#i+n 1 O(era#iones. Control 1 Clasi/#a#i+n de la In"orma#i+n 1
Pol*ti#as de Se!ridad. Pol*ti#as de Se!ridad.
J
ES:A9DA7 ISO >HHFF E Pol*ti#as ES:A9DA7 ISO >HHFF E Pol*ti#as
Polticas de Seguridad y
Seguridad
Organi(acional
$olticas de Seguridad:
#%ocumento de la $oltica de Seguridad
#Revisi&n ! 'valuaci&n
Seguridad (rganizacional
#
)n*raestructura
#'nte colegiado de Seguridad )n*orm+tica
#oordinaci&n de Seguridad )n*orm+tica
#,ombramiento de Responsables de S)
#$roceso de autorizaci&n para ofcinas de S)
#$ersonal especializado en S)
#ooperaci&n entre (rganizaciones
#Revisi&n independiente de S)
#
Seguridad de )ngreso a
-erceros
#)dentifcaci&n de riesgos por )ngreso de .ros
#Requisitos en ontratos con .ros
#
(utsourcing
#Requisitos en ontratos de (utsourcing
F
ES:A9DA7 ISO >HHFF Clasi/#a#i+n de ES:A9DA7 ISO >HHFF Clasi/#a#i+n de
A#ti2os A#ti2os
Responsabilidad por Activos
#)nventario de Activos
lasifcaci&n de )n*ormaci&n
#/uas de lasifcaci&n.
#0anipulaci&n ! marcaci&n de )n*ormaci&n
Clasificacin de Activos
y su Control
>0
ES:A9DA7 ISO >HHFF E Personal ES:A9DA7 ISO >HHFF E Personal
%efnici&n de Roles ! $erfles
#)ncluir la Seguridad en la responsabilidad de roles
#$oltica de perfles en *unciones ! cargos
#Acuerdos de confdencialidad
#-1rminos ! condiciones del contrato de trabajo
'ntrenamiento de 2suarios
#'ntrenamiento ! 'ducaci&n en S)
Respuesta a )ncidentes de
Seguridad !
30al*uncionamiento4
#Reportes de )incidentes de Seguridad
#%ebilidades de reportes de Seguridad
#Reportes de 30al*uncionamiento4 de so*t5are
#Aprendiendo de los incidentes
#$roceso %isciplinario
Personal de Seguridad
>>
ES:A9DA7 ISO >HHFF Se!ridad F*si#a ES:A9DA7 ISO >HHFF Se!ridad F*si#a
Areas Seguras
#$ermetro de Seguridad 6sica
#ontroles de entrada *sica
#(fcinas de Seguridad
#-rabajo en +reas seguras
#Areas aisladas de cargue ! descargue
'quipos de Seguridad
#2bicaci&n ! proteci&n de 'quipos
#Suministros de potencia
#ableados de seguridad
#0antenimiento de equipos
#Seguridad de equipos premisas de apagado
#Reuso o desec"o de equipos
ontroles /enerales
#$oltica de limpieza de escritorios ! pantallas
#0anipulaci&n de $ropiedad
Seguridad Fsica y
Ambiental
>2
ES:A9DA7 ISO >HHFF Administra#i+n ES:A9DA7 ISO >HHFF Administra#i+n
$rocedimientos de
(peraciones
#$rocedimientos de operaci&n documentados
#ontrol de cambio de operaciones
#$rocedimientos de administraci&n de incidentes
#Segregaci&n de obligaciones
#Separaci&n de +reas de desarrollo ! operaciones
#Administraci&n de instalaciones e7ternas
$laneaci&n de Sistemas
#3apacit! $lanning4 8 $laneamiento de
capacidades
#Aceptaci&n del sistema
$rotecci&n de So*t5are
0alicioso
#ontrol de so*t5are malicioso
39ouse:eeping4 8
0antenimiento
#;ac: 8 2ps de )n*ormaci&n
#<ogs de (peraci&n
#6allas de <ogging
Administraci&n de Red
#ontroles de red
Administracin de Operacines y
Comunicaciones
>$
ES:A9DA7 ISO >HHFF E Administra#i+n ES:A9DA7 ISO >HHFF E Administra#i+n
0anipulaci&n de 0edios !
Seguridad
#Administraci&n de medios removibles
#%es"ec"o de medios
#$rocedimientos de administraci&n de in*ormaci&n
#Seguridad de la documentaci&n del sistema
# obligaciones
#Separaci&n de +reas de desarrollo ! operaciones
#Administraci&n de instalaciones e7ternas
)ntercambio de )n*ormaci&n !
de So*t5are
#Acuerdos de intercambio de so*t5are e
in*ormaci&n
#Seguridad de medios en tr+nsito
#Seguridad de omercio 'lectr&nico
#Seguridad de orreo 'lectr&nico
#Seguridad de sistemas de ofcina electr&nicos
#%isponibilidad p=blica de sistemas
#(tras *ormas de intercambio de in*ormaci&n
Administracin de Operacines y
Comunicaciones
>5
ES:A9DA7 ISO >HHFF E Control de A##eso ES:A9DA7 ISO >HHFF E Control de A##eso
Requerimientos de ,egocios
para ontrol de Acceso
#$olticas de ontrol de Acceso
#
Administraci&n de Acceso
de 2suarios
#Registro de 2suarios
#Administrraci&n de privilegios
#Administraci&n de onstrase>as
#Revisi&n de derec"os de acceso de usuarios
#
Responsabilidad de 2suarios
#2tilizaci&n de contrase>as
#'quipo de usuarios desatendidos
Control de Acceso
>6
ES:A9DA7 ISO >HHFF Control de A##eso ES:A9DA7 ISO >HHFF Control de A##eso
#
ontrol de Acceso a Red
#$olticas de uso de servicios de red
#Acceso re*orzado
#Autenticaci&n de usuarios en cone7i&n e7terna
#Autenticaci&n de nodos
#%iagn&stico Remoto de $rotecci&n de $uertos
#Segregaci&n en redes
#ontrol de one7i&n de Redes
#ontrol de 'nrutamiento de Redes
#Seguridad de servicios de red
ontrol de acceso a Sistemas
(perativos
#)dentifcaci&n autom+tica de terminales
#$rocedimientos de <og?on a -erminales
#)dentifcaci&n ! autenticaci&n de usuarios
#Sistema de administraci&n de contrase>as
#2so de utilidades del sistema
#Alarma para usuarios de seguridad
#3-erminal -ime?out4 <mites de tiempo a
estaciones
Control de Acceso
>;
ES:A9DA7 ISO >HHFF Control de A##eso ES:A9DA7 ISO >HHFF Control de A##eso
#
ontrol de Acceso de
Aplicaciones
#Restricci&n de Acceso a in*ormaci&n
#Aislamiento de sistemas sensitivos
0onitoreo de 2so ! Acceso a
Sistemas
#<oggin por eventos
#)dentifcaci&n autom+tica de terminales
#0onitoreo de uso del sistema
#Sincronizaci&n de reloj
#
omputaci&n 0&vil !
-eletrabajo
#omputaci&n 0&vil
#-eletrabajo
Control de Acceso
>H
ES:A9DA7 ISO >HHFF Desarrollo 1 ES:A9DA7 ISO >HHFF Desarrollo 1
Mantenimiento Mantenimiento
#
Requerimientos de
Seguridad de Sistemas
#Rquerimientos, An+lisis ! 'specifcaciones de
Seguridad
Seguridad en Aplicaciones
#@alidaci&n de ingreso de datos
#ontrol de procesamiento
#Autenticaci&n de mensajes
#@alidaci&n de salida de datos
#
ontroles de 'ncripci&n
#$oltica de uso de controles de encripci&n
#'ncripci&n
#6irmas digitales
#Servicios de ,o repudiaci&n
#Administraci&n de claves $A)
Sistemas
>J
ES:A9DA7 ISO >HHFF Desarrollo 1 ES:A9DA7 ISO >HHFF Desarrollo 1
Mantenimiento Mantenimiento
#
Seguridad de Arc"ivos
#ontrol de Sistemas (perativos
#$rotecci&n de %atos
#ontrol de acceso a librera de programas
Seguridad en $rocesos de
%esarrollo ! Soporte
#$rocesos de control de cambios
#Revisi&n t1cnica al cambio de S.(.
#Restricciones en cambios de paquetes de
so*t5are
#anales ! c&digo 3-rojan4
#%esarrollo de so*t5are en 3ousorcing4
Sistemas
>F
ES:A9DA7 ISO >HHFF E Continen#ia ES:A9DA7 ISO >HHFF E Continen#ia
#
Administraci&n de la
ontingencia o 3;usiness
ontinuit! 0anagement4
#$rocesos de Administraci&n de ontingencia
#ontingencia ! An+lisis de )mpacto
#'scritura e )mplementaci&n de $lanes de
ontingencia
#0arco de planeaci&n de la ontingencia
#"equeo, 0antenimiento ! Reasignaci&n de
$lanes de ontingencia
Contingencia !"usiness Continuity#
20
ES:A9DA7 ISO >HHFF E C!m(limiento ES:A9DA7 ISO >HHFF E C!m(limiento
#
uplimiento de Aspectos
<egales
#)dentifcaci&n de la legislaci&n aplicable
#%erec"os de $ropiedad )ntelectual
#Salvaguarda de Registros (rganizacionales
#$rotecci&n de %atos ! privacidad de in*ormaci&n
personal
#$revenci&n de ingreso a 'difcios de procesos de
)n*ormaci&n
#Regulaci&n de controles de encripci&n
#(btenci&n de evidencias
#
Revisi&n de la $oltica de
Seguridad ! su umplimiento
-1cnico
#umplimiento de la poltica de seguridad
#"equeo de cumplimiento t1cnico
#
osideraciones de Auditora
#ontroles de auditora de sistemas
#$rotecci&n de las "erramientas de auditora
!Compliance# Cumplimiento de
Aspectos $egales% &'cnicos y
Auditora
2>
Estndares de Se!ridad E BSHHFF K Estndares de Se!ridad E BSHHFF K
ISO >HHFF ISO >HHFF
O@:SO@7CI98 : O@:SO@7CI98 :
O-,eti2o: Mantener la se!ridad de la in"orma#i+n O-,eti2o: Mantener la se!ridad de la in"orma#i+n
#!ando la res(onsa-ilidad del (ro#esamiento esta en #!ando la res(onsa-ilidad del (ro#esamiento esta en
manos de otra oraniGa#i+n. manos de otra oraniGa#i+n.
Las neo#ia#iones de o!tso!r#in de-en tener de/nidos Las neo#ia#iones de o!tso!r#in de-en tener de/nidos
#laramente en los #ontratos s!s#ritos. los riesos. los #laramente en los #ontratos s!s#ritos. los riesos. los
#ontroles de se!ridad 1 los (ro#edimientos (ara los #ontroles de se!ridad 1 los (ro#edimientos (ara los
sistemas de in"orma#i+n A!e se en#!entren dentro de los sistemas de in"orma#i+n A!e se en#!entren dentro de los
(ro#esos A!e estarn en manos de la oraniGa#i+n (ro#esos A!e estarn en manos de la oraniGa#i+n
(ro2eedora del o!tso!r#in. (ro2eedora del o!tso!r#in.
22
ISO >HHFF ISO >HHFF
SE8@7IDAD E9 CO9ELIO9ES CO9 :E7CE7OS: SE8@7IDAD E9 CO9ELIO9ES CO9 :E7CE7OS:
O-,eti2o: Mantener la se!ridad de la in"orma#i+n de la O-,eti2o: Mantener la se!ridad de la in"orma#i+n de la
oraniGa#i+n A!e es a##esada (or ter#eros. oraniGa#i+n A!e es a##esada (or ter#eros.
El a##eso a la in"orma#i+n de la oraniGa#i+n (or (arte de El a##eso a la in"orma#i+n de la oraniGa#i+n (or (arte de
ter#eros de-e ser #ontrolado. ter#eros de-e ser #ontrolado.
Se de-e 'a#er !n anlisis de riesos (ara determinar las Se de-e 'a#er !n anlisis de riesos (ara determinar las
im(li#a#iones en se!ridad 1 los reA!erimientos de im(li#a#iones en se!ridad 1 los reA!erimientos de
#ontrol. Los #ontroles A!e se de/nan de-en ser #ontrol. Los #ontroles A!e se de/nan de-en ser
de/nidos en el #ontrato A!e se /rme #on el ter#ero. de/nidos en el #ontrato A!e se /rme #on el ter#ero.
2$
ISO >HHFF ISO >HHFF
POLI:ICA DE SE8@7IDAD I9FO7MA:ICA: POLI:ICA DE SE8@7IDAD I9FO7MA:ICA:
O-,eti2o: Pro2eer dire#tri#es a la administra#i+n 1 O-,eti2o: Pro2eer dire#tri#es a la administra#i+n 1
so(orte (ara la se!ridad de la in"orma#i+n. so(orte (ara la se!ridad de la in"orma#i+n.
La administra#i+n de-e ser #a(aG de de/nir la dire##i+n La administra#i+n de-e ser #a(aG de de/nir la dire##i+n
de las (ol*ti#as de Se!ridad de la in"orma#i+n. Adems de las (ol*ti#as de Se!ridad de la in"orma#i+n. Adems
de-e esta-le#er !n #laro 1 /rme #om(romiso #on estas de-e esta-le#er !n #laro 1 /rme #om(romiso #on estas
(ol*ti#as 1 di2!larlas a tra2Is de toda la oraniGa#i+n. (ol*ti#as 1 di2!larlas a tra2Is de toda la oraniGa#i+n.
25
Estndares de Se!ridad BSHHFF K Estndares de Se!ridad BSHHFF K
ISO >HHFF ISO >HHFF
PO7 M@E ES IMPO7:A9:E CO9:A7 CO9 LA IMPLA9:ACIO9 PO7 M@E ES IMPO7:A9:E CO9:A7 CO9 LA IMPLA9:ACIO9
DE @9 ES:A9DA7 DE SE8@7IDADN DE @9 ES:A9DA7 DE SE8@7IDADN
Certi/#a#iones ISO. Certi/#a#iones ISO.
Si la em(resa est sometida a !n (ro#eso de Si la em(resa est sometida a !n (ro#eso de

#om(raK2enta. alianGa estratIi#a o 'a#e (arte de !na #om(raK2enta. alianGa estratIi#a o 'a#e (arte de !na
#adena de 2alor B2B. #adena de 2alor B2B.
7eneo#ia#i+n de (rimas 1 rease!ros. 7eneo#ia#i+n de (rimas 1 rease!ros.
PO7M@E B7I9DA7 SE8@7IDAD ES @9A %E9:AJA PO7M@E B7I9DA7 SE8@7IDAD ES @9A %E9:AJA
COMPE:I:I%A. COMPE:I:I%A.

Estan Dares

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Estan Dares

Hochgeladen von

Copyright:

Verfügbare Formate

ESTANDARES DE SEGURIDAD ESTANDARES DE SEGURIDAD

INFORMATICA ACIS Junio - INFORMATICA ACIS Junio -

Es(e#ialista en Se!ridad. Pri#e4ater'o!seCoo(ers Es(e#ialista en Se!ridad. Pri#e4ater'o!seCoo(ers

Certi/#a#iones ISO. Certi/#a#iones ISO.

Si la em(resa est sometida a !n (ro#eso de Si la em(resa est sometida a !n (ro#eso de

7eneo#ia#i+n de (rimas 1 rease!ros. 7eneo#ia#i+n de (rimas 1 rease!ros.

Das könnte Ihnen auch gefallen