Seguridad de la informacin I

La implementacin de esquemas de Administracin de la Seguridad informtica en las organizaciones debe seguir estndares y mejores prcticas del mercado. Es una necesidad de negocios antes las circunstancias actuales (Globalizacin y la necesidad de compartir la informacin a contrapartes al rededor del planeta).

Obstculos principales:
Falta de conciencia de usuarios finales. Presupuesto. Falta de apoyo de la gerencia. Falta de Entrenamiento. Pobre definicin de responsabilidades. Falta de herramientas. Aspectos legales.

Estndares:
AS/NZS ISO/IEC 17799:2001
(Australian / New Zeland Standards International Organization for Standardization / International Electrotecnic Comission)

BS7799 : 1999
(British Standards Institute)

Son un conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administracin de la Seguridad de la Informacin. Comprende 10 elementos.

Polticas de seguridad. Organizacin de la seguridad. Clasificacin y control de activos. Seguridad del personal. Seguridad fsica y ambiental. Administracin de comunicaciones y operaciones. Control de acceso. Desarrollo y mantenimiento de los sistemas. Administracin de la continuidad del negocio. Conformidad.

Politicas de Seguridad
Proporciona a la alta direccin apoyo para la seguridad de la informacin. Debe ser aprobado por la administracin, publicado y comunicado a todos los empleados. La poltica debe ser administrada por una persona quin es responsable de su mantenimiento y revisin de acuerdo a un proceso definido.

Organizacin de la Seguridad

Ayuda a administrar la seguridad de la informacin dentro de la organizacin. Consejo directivo o un grupo designado por este debera de asumir la responsabilidad de la seguridad de informacin. Se deben establecer procesos de autorizacin para nuevas facilidades de procesamiento de la informacin.

Es recomendable disponer de la asesora de un especialista de seguridad (para propsitos de evaluacin o de investigacin de incidentes).

Clasificacin y Control de Activos

Provee las medidas de seguridad necesarias para proporcionar una proteccin adecuada a los activos de la organizacin. Cada activo deber ser claramente identificado y se debe documentar la propiedad y clasificacin de seguridad, adems de su ubicacin actual. Controles a la informacin deben tomar en cuenta las necesidades del negocio para compartir o restringir informacin.

Seguridad del Personal

Necesaria para reducir los riesgos de errores humanos, robo, fraude o mal uso de las instalaciones y equipo. Todos los empleados de la organizacin debern recibir entrenamiento apropiado en los procedimientos y polticas organizacionales. La regularidad depender de la actualizacin o los cambios que se den en la organizacin.

Usuarios debern reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios.

Seguridad Fsica y Ambiental

Previene el acceso fsico no autorizado a los sistemas de informacin, as como posibles daos a las instalaciones y a la informacin del negocio.

Administracin de Comunicaciones y Operaciones

Permite garantizar la operacin correcta y segura de las instalaciones de procesamiento de la informacin. Los cambios en los sistemas y elementos de procesamiento de informacin deben ser controlados. Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (prdidas de servicio, negacin de servicio, datos incorrectos, brechas de confidencialidad. reas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Produccin.

Administracin de Comunicaciones y Operaciones

Deben establecerse criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptacin.

Proteger la integridad del Software y la Informacin.

Hacer copias en forma regular de la informacin esencial del negocio y del software. Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.

Administracin de Comunicaciones y Operaciones

Se deben definir procedimientos para la proteccin de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Prevenir la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones.

Controles de Acceso
Previene el acceso lgico y cambio, no autorizado, a la informacin y a los sistemas de informacin, otorgando confidencialidad en la informacin, para evitar interrupciones en los procesos normales de produccin.

Deben existir procedimientos formales para el registro y eliminacin de usuarios.

Usuarios deben seguir buenas prcticas de seguridad en la seleccin y uso de passwords. Se debe controlar el acceso a servicios internos y externos de la red.

Controles de Acceso
Se debe controlar el acceso a servicios internos y externos de la red.

Los sistemas deben ser monitoreados para detectar desviaciones de las polticas de control de accesos y grabar eventos especficos para proveer de evidencia en caso de incidentes de seguridad.
Asegurar la seguridad de la informacin cuando se utilizan dispositivos mviles.

Desarrollo y Mantenimiento de los Sistemas

Permite incorporar la seguridad a los sistemas de informacin.

Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura.
Prevenir la prdida, modificacin, o mal uso de los datos en las aplicaciones.

Administracin de la continuidad del negocio

Contrarresta las interrupciones a las actividades del negocio y protege los procesos crticos del negocio contra los efectos causados por fallas mayores o desastres. Se deben probar con frecuencia los Planes de Continuidad.

Conformidad
Contribuye a evitar infracciones a las leyes civiles, jurdicas, obligaciones reguladoras o contractuales y cualquier otro requerimiento de seguridad. Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual.

Todos estos elementos logran combinarse a travs de un enfoque de procesos otorgando controles claves y las medidas de seguridad mas importantes que deben considerarse para la Administracin de la seguridad de la informacin. PDCA (Plan, Do, Check, Act)

Gracias Preguntas