LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

INTEGRANTES DEL GRUPO # 5:

LAYSA L. CAMARENA 3-713-2307EDILMA MARTÍNEZ 8-824-72

JOHANN RODRÍGUEZ 8-748-837

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Johann Rodríguez G.

El sistema de gestión de seguridad de la información (SGSI) se define como aquella parte del sistema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información en una organización.

A la hora de implantar un sistema de gestión de seguridad de la información una organización debe contemplar los siguientes aspectos: Formalizar la gestión de la seguridad de la información Analizar y gestionar los riesgos Establecer procesos de gestión de la seguridad siguiendo la

metodología PDCA:

Johann Rodríguez G.

Johann Rodríguez G.

Un modelo que tenga en cuenta aspectos tecnológicos, organizativos, el cumplimiento del marco legal y el factor humano

Johann Rodríguez G.

ETAPAS O NIVELES DE MADUREZ EN LA GESTIÓN DEL CISO

(CHIEF INFORMATION SECURITY OFFICER)

Implementación de medidas básicas de seguridad por “sentido común”.

Adaptación a los requisitos del marco legal y las exigencias de los clientes.

Gestión integral de la seguridad de la información.

Certificación de la Gestión de la seguridad de la información.

Johann Rodríguez G.

Análisis y Gestión de RiesgosEl proceso de gestión de riesgos se trata de un plan para la implantación de ciertas salvaguardas o contramedidas en el sistema informático, que permitan disminuir la probabilidad de que se materialice una amenaza, o bien reducir la vulnerabilidad del sistema o el posible impacto en la organización.

Para esto se debe realizar con rigor y objetividad una etapa de evaluación previa de los riesgos del sistema informático.

Johann Rodríguez G.

Recursos del sistema

• Recursos hardware: servidores y estaciones de trabajo, ordenadores portátiles, impresoras, escáneres

• Recursos software: sistemas operativos, software de gestión, herramientas de programación, aplicaciones desarrolladas a medida.

• Elementos de comunicación: dispositivos de conectividad (hubs, switches, routers)

Los recursos son los activos a proteger del sistema informático de la organización. Los principales recursos que debemos considerar a la hora de analizar y gestionar los riesgos son:

• Información que se almacena, procesa y distribuye a través del sistema

• Locales y oficinas donde se ubican los recursos físicos y desde los que acceden al sistema los usuarios finales

• Personas que utilizan y se benefician directa o indirectamente del sistema

• Imagen y reputación de la organización

Johann Rodríguez G.

amenazasSe considera una amenaza a cualquier evento accidental o intencionado que pueda ocasionar algún daño en el sistema informático, provocando pérdidas materiales, financieras o de otro tipo a la organización.

Se pueden clasificar como:Amenazas naturalesAmenazas de agentes externosAmenazas de agentes internos

Y según el grado de intencionalidad de la amenaza en:AccidentalesErroresActuaciones malintencionadas

Johann Rodríguez G.

VulnerabilidadesEs cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización.Se suele utilizar la escala cuantitativa o cualitativa para definir el nivel de vulnerabilidad de un determinado equipo o recurso en Baja, Media y Alta

Incidentes de SeguridadEs cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático y/o posibles pérdidas físicas de activos o financieras. Es decir que un incidente es la materialización de una amenaza.

ImpactosEs la medición y valoración del daño que podría producir a la organización unincidente de seguridad. Se pueden clasificar con una escala cuantitativa o cualitativa también en Bajo, Moderado y Alto.

Johann Rodríguez G.

RiesgosEl riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización.

Johann Rodríguez G.

Defensas, salvaguardas o medidas de seguridadEs cualquier medio empleado para eliminar o reducir un riesgo. Existen medidas de seguridad activas: que son las utilizadas para anular o reducir el riesgo de una amenaza y se pueden clasificar como medidas de prevención y medidas de detención.Y medidas de seguridad pasiva: es empleada para reducir el impacto cuando se produce un incidente de seguridad por ello se les conoces como medidas de corrección (aplican después del incidente)Posterior a la implementación de las medidas correctas se determina el Nivel de Riesgo Residual, obtenido tras un nuevo proceso de evaluación de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos con las medidas de seguridad seleccionadas.

Johann Rodríguez G.

DEFINICIÓN E IMPLANTACIÓN DE LAS POLÍTICAS DE SEGURIDAD

• Una política de seguridad es como una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos.

• Un plan de seguridad es un conjunto de decisiones que definen cursos de acción futuros, así como los medios que se van a utilizar para conseguirlos.

• Un Procedimiento de seguridad es la definición detallada de los pasos a ejecutar para llevar a cabo unas tareas determinadas. Los procedimientos de seguridad permiten aplicar e implantar las políticas de seguridad que han sido aprobadas.

Las políticas definen Qué se debe proteger en el sistema, mientras que los procedimientos de seguridad describen Cómo se debe conseguir dicha protección.

Johann Rodríguez G.

Click icon to add picture

No se debe olvidar que la finalidad última del departamento de Informática es proporcionar las herramientas y la información que van a necesitar los usuarios para poder llevar a cabo su trabajo de forma sencilla y eficiente y por supuesto de forma segura.

La gestión de la Seguridad de la Información

LA IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN

Muchas de las actividades que se realizan de forma cotidiana en los países desarrollados dependen en mayor o menor medida de sistemas y redes informáticas, hasta el punto de que en la actualidad no se circunscriben al ámbito laboral y profesional, sino que incluso se han convertido en un elemento cotidiano en muchos hogares.

De ahí la gran importancia que se debería conceder a todos los aspectos relacionados con la seguridad informática en una organización. La proliferación de los virus y códigos malignos y su rápida distribución a través de las redes como Internet, así como los miles de ataques e incidentes de seguridad que se producen todos los años han contribuido a despertar un mayor interés por esta situación.

Edilma Martínez

Seguridad InformáticaCualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

Aspectos de la Seguridad Informática

Cumplimiento de las regulaciones legales aplicables a cada sector o tipo de organización.

Control en el acceso a los servicios ofrecidos y la información guardada por un sistema informático

Control en el acceso y utilización de ficheros protegidos por la ley.

Identificación de los autores de la información o de los mensajes.

Registros del uso de los servicios de un sistema informático.

Objetivos de la Seguridad Informática Minimizar y gestionar los riesgos y

detectar los posibles problemas y amenazas a la seguridad.

Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.

Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de un incidente de seguridad.

Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. Para cumplir con estos objetivos una

organización debe contemplar 4 planos de actuación:

1. Técnico2. Legal3. Humano4. Organizativo

Consecuencias de la falta de SeguridadUna organización debe entender La Seguridad Informática como un proceso y no como un producto que se puede comprar o instalar.

11 de Septiembre del 2001 12 de Febrero del 2005

Consecuencias de la falta de SeguridadLa implementación de determinadas medidas de seguridad puede representar un importante esfuerzo económico para una organización. Al plantear esta cuestión económica es necesario realizar un análisis preliminar de las posibles pérdidas para la organización y una evaluación de los riesgos:

¿Qué puede ir mal? ¿Con qué frecuencia puede ocurrir?

¿Cuáles serían sus consecuencias para la organización

EL FACTOR HUMANO EN LA SEGURIDAD INFORMÁTICA

El Factor Humano En La Seguridad Informática

El factor humano es imprescindible para la seguridad en una red informática, ya que las personas con acceso a la red y a la información y equipos pueden realizar auténticas catástrofes internas, que son los ataques mas difíciles de parar y rastreas.

Para lograr que el factor humano sea una solución antes que un problema será necesario concienciar a los trabajadores de la seguridad que se necesita en la empresa y en la vida diaria.

El Factor Humano En La Seguridad Informática

La implementación de unas adecuadas medidas de seguridad informática exige contemplar aspectos técnicos organizativos y legales.

No obstante, en muchas ocasiones se presta muy poca atención a la importancia del factor humano en la seguridad de la informática.

Las personas representan el eslabón mas débil dentro de la seguridad informática: a diferencia de los ordenadores, las personas pueden no seguir las instrucciones exactamente tal y como fueron dictadas.

PRINCIPIO BÁSICOUn principio básico a tener en cuenta desde el punto de vista de la seguridad informática es que todas las soluciones tecnológicas implantadas por la organización pueden resultar inútiles ante el desconocimiento, falta de información, desinterés o animo de causar daño de algún empleado desleal.

Mas del 75% de los problemas inherentes a la seguridad se producen por fallos en la configuración de los equipos o debido a un mal uso por parte del personal de la propia empresa.

EXPERTOS• Kevin Mitnick “Famoso

Hackers”.• “Usted puede tener la mejor

tecnología, firewalls, sistema de detección de ataques, dispositivos biométricos.. Lo único que se necesita es una llamada a un empleado desprevenido y acceden al sistema sin mas. Tienen todo en sus manos”.

Bruce SchneierExperto en criptografía y seguridad afirmaba en uno de sus libros “Secrets and Lies (Verdades y Mentiras) que .. Si piensas que la tecnología puede resolver tus problemas de seguridad, entonces no entiendes el problema y no entiendes la tecnología.

EXPERTOS

Sanciones

LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

La protección de los datos personales y de la privacidad es una cuestión que genera bastante polémica en la actualidad, debido a que existen posturas manifiestamente encontradas, a pesar de que este derecho fundamental de todo ciudadano ya fuera reconocido en la Declaración Universal de los Derechos Humanos 1948.

PROTECCIÒN DE DATOS

Un grupo de países liderados por la Unión Europea son partidarios de una estricta regulación estatal, con fuertes sanciones para aquellas organizaciones que incumplan las normas establecidas (postura conocida como Hardlaw). También en muchos países de Latinoamérica se ha reconocido el derecho fundamental a la protección de los datos personales de los ciudadanos.