Seguridad de la información
La Seguridad de la Información consiste en proteger una de las partes más importantes del negocio, la información. Sin embargo debemos distinguir entre“ Seguridad Informática”, que es la protección de las infraestructuras tecnológicas sobre las que funciona la empresa y “Seguridad de la Información”, que tiene como objetivo la protección de sistemas e información en cuanto a que estén siempre accesibles (Disponibilidad), que no sean alterados mal intencionadamente o por error (Integridad) y que su acceso sea permitido sólo a personas autorizadas (Confidencialidad).
Riesgo La Organización Internacional de Normalización (ISO) define riesgo tecnológico (GuíasparalaGestióndelaSeguridad como :La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto negativo específico, el cual puede estar representado por pérdidas y daños
La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada.•La información puede estar:•Impresa o escrita en papel.•Almacenada electrónicamente.•Trasmitida por correo o medios electrónicos•Mostrada en filmes.•Hablada en conversación (grabada).•Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
Triada CIA•La seguridad de la información posee los siguientes atributos:–Confidencialidad,aseguraquesóloquienesesténautorizadospuedenaccederalainformación;–Integridad,aseguraquelainformaciónysusmétodosdeprocesosonexactosycompletos.–Disponibilidad,aseguraquelosusuariosautorizadostienenacceso a la información y a sus activos asociados cuando lo requieran.
Vulnerabilidades comunes.•Inadecuado compromiso de la dirección. •Personal inadecuadamente capacitado y concientizado. •Inadecuada asignación de responsabilidades.•Ausencia de políticas/procedimientos.•Ausencia de controles–(físicos/lógicos)–(disuasivos/preventivos/detectivos/correctivos)•Ausencia de reportes de incidentes y vulnerabilidades.•Inadecuado seguimiento y monitoreo de los controles.
¿Cómo determinados los requisitos de seguridad?•EsesencialquelaOrganizaciónidentifiquesusrequisitosdeseguridadapartirdelassiguientestresfuentesprincipales.1.La primer fuente comprende la valoración de los riesgos de la Organización:-Se identifican las amenazas a los activos,-Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia.-Se estima su posible impacto.
2.La segunda fuente es el conjunto de requisitos legales,estatutarios,regulatorios y contractuales que debe satisfacer:-la Organización, -sus socios comerciales, -los contratistas -los proveedores de servicios.3.Latercera fuente está formada por los principios,objetivosyrequisitosquelaOrganizaciónhadesarrolladoparaapoyarsusoperaciones.
SGSI “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer,implementar,operar, monitorear,revisar,mantener y mejorar la seguridad de la información”
El sistema de gestión de la seguridad de la información(SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio,para:–establecer,–implementar,–operar,–monitorear,–mantener y mejorar la seguridad de la información.•Incluye.–Estructura,políticas,actividades,responsabilidades,prácticas,procedimientos,procesosycontroles.
ISO27000• Áreas de Control–Política de Seguridad–Organización de la Seguridad de laInformación–GestióndeActivos–SeguridadenlosRecursosHumanos–Seguridad física y del entorno–Gestión decomunicacionesyoperaciones–Controldeaccesos–Adquisición,desarrolloymantenimientodesistemasdeinformación–Gestióndeincidentesdeseguridad–Gestióndecontinuidaddelnegocio–Conformidad
ESTABLECER UN SGSI
PLAN: Establecer un SGSI. Establecer la política de seguridad, objetivos,metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una polítia y objetivos marco de la organización.
•Definir el alcance del SGSI a la luz de la organización.•Definir la Política de Seguridad.•Aplicar un enfoque sistémico para evaluar el riesgo.•No se establece una metodología a seguir.•Identificar y evaluar opciones para tratar el riesgo•Mitigar, eliminar, transferir, aceptar•Seleccionar objetivos de Control y controles a implementar (Mitigar).•A partir de los controles definidos por la ISO/IEC 17799•Establecer enunciado de aplicabilidad
•Definir el alcance del SGSI a la luz de la organización.•Definir la Política de Seguridad.•Aplicar un enfoque sistémico para evaluar el riesgo.•No se establece una metodología a seguir.•Identificar y evaluar opciones para tratar el riesgo•Mitigar, eliminar, transferir, aceptar•Seleccionar objetivos de Control y controles a implementar (Mitigar).•A partir de los controles definidos por la ISO/IEC 17799•Establecer enunciado de aplicabilidad
DO: Implementar y operar.•Implementar y operar la política de seguridad,controles,procesos y procedimientos.• Implementar plan de tratamiento de riesgos.• Transferir,eliminar,aceptar• Implementar los controles seleccionados. •Mitigar• Aceptar riesgo residual.• Firma de la alta dirección para riesgos que superan el nivel definido.•Implementar medidas para evaluar la eficacia de los controles •Gestionar operaciones y recursos.• Implementar programas de Capacitación y concientización.• Implementarprocedimientosycontrolesdedetecciónyrespuestaaincidentes.
CHECK: Monitoreo y revisión.•Evaluar y medir la performance de los procesos contra la política de seguridad,los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión.•Revisar el nivel de riesgo residual aceptable, considerando:•Cambios en la organización.•Cambios en la tecnologías.•Cambios en los objetivos del negocio.•Cambios en las amenazas.•Cambios en las condiciones externas (ej. Regulaciones, leyes).•Realizar auditorias internas.•Realizar revisiones por parte de la dirección del SGSI
Monitoreo y revisión.•Se debe establecer y ejecutar procedimientos de monitoreo para:•Detectar errores.•Identificar ataques a la seguridad fallidos y exitosos.•Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.•Determinar las acciones realizadas para resolver brechas a la seguridad.•Mantener registros de las acciones y eventos que pueden impactar al SGSI.•Realizar revisiones regulares a la eficiencia del SGSI.
ACT: Mantenimiento y mejora del SGSI.•Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr lamejora continua del SGSI.•Medir el desempeño del SGSI.•Identificar mejoras en el SGSI a fin de implementarlas.•Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).•Comunicar los resultados y las acciones a emprender,y consultar con todas las partes involucradas. •Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
Factores claves para el éxito en la implementación de SGSI•Política de seguridad documentada y alineada con los objetivos del negocio.•Apoyo y participación visible de la alta gerencia.•Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.•Compatibilidad con la cultura organizacional.•Entrenamiento y educación para logran la concientización.
Ventajas en la adopción de un SGSI•Reducción de riesgos: ayudará a reducir nuestro nivel de riesgo hasta un valor asumible para la organización.•Ahorro económico: mayor continuidad de negocio, lo que redundará en un mayor beneficio, además de forma integral la seguridad, permitirá a las empresas gestionar mejor el gasto en TI.•Calidad a la seguridad: a través de un modelo de seguridad en un ciclo de vida metódico y controlado. Al participar toda la organización se crea un compromiso de seguridad que nos involucra a todos.•Cumplimiento legal: la certificación nos ofrece una garantía en este aspecto.•Competitividad en el mercado: lo normal es que grandes empresas y socios de negocio exijan cumplir con esta normativa para abrir y compartir sus sistemas con la pyme.