Seguridad de la Información & Norma ISO27001

Transcripción

1 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas

2 Seguridad de la Información La seguridad informática comprende procesos y elementos que garantizan la minimización de amenazas y el control de riesgos, en sistemas de información. Se enfocan en la protección de accesos y en el manejo de sistemas y datos preservando su integridad, confidencialidad y disponibilidad. Objetivo La seguridad informática tiene como objetivo principal, proteger la información y los recursos de software y hardware. En general la seguridad informática, busca reducir riesgos, para evitar pérdidas, degradación y corrupción de la información y de los recursos.

3 Principales Amenazas Errores. Suelen presentarse cuando los empleados de una organización comenten errores en el desempeño de sus funciones, afectando tanto sistemas de información como recursos clave de la organización; alterando la integridad de la información y la veracidad de los datos. Eventos accidentales y desastres. Este tipo de amenaza, comprende eventos accidentales que pueden ser producidos por individuos o por circunstancias del ambiente; por ejemplo el daño de algún componente o daños producidos por eventualidades climáticas como inundaciones, terremotos entre otras. Con ello se afecta directamente la disponibilidad de la información, de los recursos y su repercusión económica. Intrusiones o violaciones. Dentro de esta amenaza se clasifican las acciones de tipo fraudulento, como sabotaje, robo o espionaje sobre información, sistemas y/o procesos de una organización. La principal consecuencia de este tipo de amenaza es la vulneración y la confidencialidad de los datos. Lógica maliciosa. Las principales amenazas que se encuentran son los virus o software malintencionado, los cuales son creados y distribuidos para causar daño, vulnerar o espiar la información. Violación a la privacidad. Hace referencia al tratamiento de los datos de carácter personal, por ejemplo organizaciones y entidades que hacen uso de los datos de los individuos, sin fines ni permisos claros para su utilización.

4 Gestión de Riesgos La gestión de riesgos involucra métodos o medidas de seguridad, que están en capacidad de reducir problemas y/o amenazas presentes en las organizaciones. Para implantar medidas de seguridad se debe tener en cuenta: Costos de adquisición y administración de medidas de seguridad. Valor de los recursos a proteger. Considerar las posibles pérdidas o cambios que generen la implementación de las medidas de seguridad. Impacto generado por la aplicación de medidas, tanto a nivel informático como organizacional.

5 Medidas de Seguridad Medidas de Gestión Políticas de seguridad. Se definen como normas establecidas por las organizaciones, con el fin de estipular requerimientos y reglas para garantizar las buenas prácticas sobre la información y los procesos. Algunas políticas frecuentes se relacionan con el uso de , Internet, aplicaciones corporativas entre otras. Plan de contingencia. Los planes de contingencia, son procedimientos estipulados que se deben seguir en caso de resultar alguna eventualidad que pueda afectar la organización; por ejemplo mantener copias de respaldo, actualización de inventarios, ubicación estratégica de sistemas entre otros.

6 Medidas Técnicas Medidas de Seguridad Copias de respaldo. Garantizan la disponibilidad de la información y los recursos, sobre cualquier evento que pueda ocurrir. Antivirus. Evitan y limitan el acceso de virus y software malicioso en sistemas. Cortafuegos. Controla entradas y salidas de información. Autenticación. Sistemas de credenciales para gestionar el acceso a la información. Criptografía. Es una herramienta para el cifrado de datos.

7 Norma ISO Fue publicada en octubre de 2005, como sustitución a la antigua norma BS La norma ISO es la especificación para un SGSI (Sistema de Gestión de Seguridad de la Información). La versión más reciente, de 2013, pone más énfasis en la medición y evaluación de los SGSI de una organización. Una sección sobre la contratación externa también fue agregada con este comunicado y se prestó mayor atención al contexto de la organización de seguridad de la información. Objetivo El objetivo principal de la norma ISO es proporcionar estándares y requisitos por medio de los cuales se pueda establecer, implementar, mantener y mejorar constantemente un Sistema de Gestión de Seguridad de la Información (SGSI).

8 Gestión de la seguridad de la información La norma ISO se puede aplicar en cualquier tipo de organización, sin ningún tipo de distinción. Fundamentalmente es una norma creada para certificar los procesos de seguridad de la información en las organizaciones. Características Mejora continua en los SGSI. Requisitos para la documentación y archivos. Valoración de riesgos y procesos de gestión utilizando el ciclo demming. Alineación con normas de sistemas de gestión como ISO 9001 e ISO

9 Documentos Para implementar la norma ISO se requiere establecer las siguientes actividades y documentos: Delimitación del SGSI. Políticas y normativas del SGSI. Controles de documentación, auditorías internas y procedimientos para medidas correctivas y preventivas. Los documentos deben cumplir con los controles establecidos. Desarrollo de la metodología de evaluación de riesgos. Informe resultante de los riesgos. Establecimiento de aplicabilidad (SOA - Statement of Applicability). Planes de tratamientos de los riesgos.

10 Beneficios Continuidad en procesos por medio de planes de contingencia. Correcta estructuración de la gestión de la seguridad. Fiabilidad en la seguridad de la gestión de procesos. Cumplimiento óptimo de normas establecidas. Aumento de confianza entre clientes y socios. Aumenta el estatus de la organización. Integralidad con normas afines. Mitigación de riesgos. Reducción de costes.

11 Ciclo de Demming Plan Do Check Act (PDCA o PHVA). Establece, implementa, monitorea, revisa y mantiene un SGSI.

12 Bibliografía A1sicas%20para%20la%20seguridad%20Inform%C3%A1tica.pdf