• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Diapositivas Seguridad En Los Sitemas De Informacion
 

Diapositivas Seguridad En Los Sitemas De Informacion

on

  • 10,350 views

 

Statistics

Views

Total Views
10,350
Views on SlideShare
10,111
Embed Views
239

Actions

Likes
10
Downloads
0
Comments
5

9 Embeds 239

http://tecnologia12-134blunaelenaps.blogspot.com.es 89
http://gc.scalahed.com 74
http://www.slideshare.net 29
http://davidgaliansomohano.blogspot.com.es 20
http://tecnologia12-134blunaelenaps.blogspot.com 12
http://dennis-dgv.blogspot.com 9
http://www.pearltrees.com 3
http://davidgaliansomohano.blogspot.com 2
http://50.56.221.171 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

15 of 5 previous next Post a comment

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Diapositivas Seguridad En Los Sitemas De Informacion Diapositivas Seguridad En Los Sitemas De Informacion Presentation Transcript

    •  
      • El pasado primero de julio, ISO publicó "Technical Corrigendum" , una corrección técnica para sustituir la numeración "17799" por "27002" en el documento, hasta esa fecha conocido como ISO/IEC 17799:2005.
      •  
      • El documento es sólo eso: una corrección en un documento de apenas una hoja, para hacer oficial el nombramiento.
      •  
      • La ISO ha reservado la serie ISO/IEC 27000 para una gama de normas de gestión de la seguridad de la información de manera similar a lo realizado con las normas de gestión de la calidad, la serie ISO 9000.
      •  
      • La numeración actual de las Normas de la serie ISO/IEC 27000 es la siguiente:
      • En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información. Servirá probablemente de base a la ISO27005, que tardará aún algún tiempo en editarse.
      •  
      • A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares.
      • En cuanto a la familia de normas ISO 27000 , ésta consiste en una serie documentos referentes a Gestión de Seguridad de la Información , que proporciona una buena herramienta para gestionar este tema en el seno de las organizaciones.  
      • Las normas que conforman esta serie son:  
      • ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión.
      • ISO 27001. Éste es el estándar de la familia que permite certificar (especifica requisitos), por entidad acreditada para ello, el Sistema de Gestión de Seguridad de la Información. Basado como otros en el ciclo PDCA (Plan – Do – Check - Act), deriva de la BS 7799-2, la cual fue adoptada por ISO como estándar internacional y lanzada como ISO/IEC 27001:2005. Especifica requisitos para el diseño, implantación, mantenimiento y mejora del SGSI, sus procesos y los controles de aplicación. Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual serán certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. En su Anexo A, lista en forma de resumen los objetivos de control y controles que desarrolla la ISO17799:2005 (futura ISO27002), para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI; a pesar de no ser obligatoria la implementación de todos los controles enumerados en esta última, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados.
      • ISO 27002 (ISO 17799): En fase de desarrollo; probable publicación en 2007. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Será la sustituta de la ISO17799:2005, que es la que actualmente está en vigor, y que contiene 39 objetivos de control y 133 controles, agrupados en 11 cláusulas. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO17799:2005.
      • ISO/IEC 27002 es un estándar para la seguridad de la información aplicable a cualquier organización, sea cual sea el tamaño, la actividad de negocio o el volumen del mismo. No obstante, la naturaleza de cada organización determinará el esfuerzo dedicado a proteger unos activos u otros.
      • La norma ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la prevención de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran). Para ello, la norma se estructura en diez dominios que cubren (casi) por completo la Gestión de la Seguridad de la Información:
      • >Aspectos organizativos >Clasificación y control de activos >Seguridad ligada al personal >Seguridad física y del entorno >Gestión de comunicaciones y operaciones >Control de accesos >Desarrollo y mantenimiento de sistemas >Gestión de continuidad del negocio > Cumplimiento o conformidad de la legislación
      • ISO 27003: En fase de desarrollo; probable publicación en Octubre de 2008. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.
      • ISO 27004: En fase de desarrollo; probable publicación en Noviembre de 2006. Especificará las métricas y las técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
      • ISO 27005: Probable publicación en 2007 ó 2008. Consistirá en una guía para la gestión del riesgo de la seguridad de la información y servirá, por tanto, de apoyo a la ISO27001 y a la implantación de un SGSI. Se basará en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.
      • ISO 27006: En fase de desarrollo y probable publicación a finales de 2006. Especificará el proceso de acreditación de entidades de certificación y el registro de SGSIs.
      • Una política de seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo. Vamos a ver en qué consisten cada una de ellas .
      • Una norma de seguridad define qué hay que proteger y en qué condiciones, pero para situaciones más concretas. Sirven para establecer unos requisitos que se sustentan en la política y que regulan determinados aspectos de seguridad. Una norma debe ser clara, concisa y no ambigua en su interpretación. Se pueden agrupar en base a las diferentes áreas de la seguridad dentro de la organización: normas de seguridad física, normas de control de acceso a sistemas, normas de gestión de soportes, normas de clasificación de información, etc.
    • Un procedimiento de seguridad determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución. Son, por tanto, la especificación de una serie de pasos en relación la ejecución de un proceso o actividad que trata de cumplir con una norma o garantizar que en la ejecución de actividades se considerarán determinados aspectos de seguridad. Un procedimiento debe ser claro, sencillo de interpretar y no ambiguo en su ejecución. No tiene por qué ser extenso, dado que la intención del documento es indicar las acciones a desarrollar. Un procedimiento puede apoyarse en otros documentos para especificar, con el nivel de detalle que se desee, las diferentes tareas. Para ello, puede relacionarse con otros procedimientos o con instrucciones técnicas de seguridad. PROCEDIMIENTO DE SEGURIDAD
    • Una instrucción técnica de seguridad determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto sobre una parte concreta del sistema de información (hardware, sistema operativo, aplicación, datos, usuario, etc.). Al igual que un procedimiento, son la especificación pormenorizada de los pasos a ejecutar. Una instrucción técnica debe ser clara y sencilla de interpretar. Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma. A mayor nivel de detalle, mayor precisión y garantía de su correcta ejecución. TÉCNICA DE SEGURIDAD
    •  
    •  
      • Identificar los objetivos de negocio: el propósito de la certificación es garantizar la gestión de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez. - Seleccionar un alcance adecuado: El esfuerzo en la implementación será proporcional al tamaño del sistema a construir. En muchos casos, no es necesario extender el SGSI a toda la organización sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento donde la seguridad de la información que se gestiona es crítico para el desarrollo de las actividades de negocio.
      • Todo intento por formalizar cualquier tarea o aspecto relacionado con la seguridad debe tratar como mínimo de responder a tres preguntas:
      • * Qué: objetivo, requisito o regulación que se quiere satisfacer o cumplir (lo que hay que lograr). * Quién: responsable de la tarea o encargado de que se cumpla (el encargado de hacerlo posible). * Cómo: descripción de las actividades que darán con la consecución del objetivo o requisito (lo que haya que hacer para conseguirlo).
      • Las preguntas cuándo y dónde muchas veces no tienen por qué ser respondidas aunque suelen ser tratadas en los procedimientos. Basándose en lo anterior, los documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:
      • Los Sistemas de Información de la UNRC han implementado una serie de características para dotar de un mayor nivel de seguridad a los usuarios tales como sesiones de trabajo, encriptación de la información y novedades en el uso del PIN. Conozca como funcionan estas medidas de seguridad y las precauciones que debe tomar.
      • Debemos identificar en que estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua.
      • - Es muy importante demostrar que el esfuerzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán un retorno de inversión a considerar. Es dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los indices de incidentes se han reducido.
    • RIESGO
      • Proximidad o posibilidad de un daño, peligro, etc.
      • Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro .
      • Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.
      SEGURIDAD
      • Cualidad o estado de seguro
      • Garantía o conjunto de garantías que se da a alguien sobre el cumplimiento de algo.
      • Ejemplo: Seguridad Social Conjunto de organismos, medios , medidas, etc., de la administración estatal para prevenir o remediar los posibles riesgos , problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilación; se financia con aportaciones del Estado , trabajadores y empresarios.
      • Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad , cinturón de seguridad .
    • VIRUS INFORMATICO
      • El virus informático es un programa elaborado accidental o intencionadamente, que se introduce y se transmite a través de diskettes o de la red telefónica de comunicación entre ordenadores, causando diversos tipos de daños a los sistemas computarizados. Ejemplo: el virus llamado viernes trece o Jerusalén, que desactivó el conjunto de ordenadores de la defensa de Israel y que actualmente se ha extendido a todo el mundo.
      TIPOS DE VIRUS: caballo de troya, gusano, trampilla, bomba de tiempo , bomba lógica y los recientes macro virus.
    • PRECAUCIONES
      • se debe observar que el sistema :
      • No tenga copias ilegales o piratas
      • Que no exista la posibilidad de transmisión de virus al realizar conexiones remotas o de redes
      • El acceso de unidades de disco flexible sea restringido solo a quienes las necesitan
    • CAUSAS DEL DELITO
      • Mayor riesgo
      • Beneficio personal
      • Síndrome de Robín Hood
      • Odio a la organización
      • Mentalidad turbada
      • Equivocación de ego
      • Deshonestidad del departamento
      • Problemas financieros de algún individuo
      • Fácil modo de desfalco
      • Menor riesgo
      • Beneficio de la organización
      • Jugando a jugar
      • Conclusión
      • Al ingresar al área de seguridad se debe contemplar muy estrechamente las relaciones que hay entre los aspectos: tecnológicos, humano - sociales y administrativos.
    • ESTABLECER LAS AREAS Y GRADOS DE RIESGO Es muy importante el crear una conciencia en los usuarios de la organización sobre el riesgo que corre la información y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la función informática y los medios de prevención que se deben tener
    • ( Análisis Costo vs Beneficio)
      • Este estudio se realiza considerando el costo que se presenta cuando se pierde la información vs el costo de un sistema de seguridad.
      • Para realizar este estudio se debe considerar lo siguiente:
      • clasificar la instalación en términos de riesgo (alto, mediano, pequeño)
      • identificar las aplicaciones que tengan alto riesgo
      • cuantificar el impacto en el caso de suspensión del servicio aquellas aplicaciones con un alto riesgo
      • formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera
      • la justificación del costo de implantar las medidas de seguridad
    • Sistema Integral de Seguridad
      • Definir elementos administrativos
      • Definir políticas de seguridad
      • A nivel departamental
      • A nivel institucional
      • Organizar y dividir las responsabilidades
      • Contemplar la seguridad física contra catástrofes ( incendios , terremotos , inundaciones, etc.)
      • Definir prácticas de seguridad para el personal:
      • Plan de emergencia ( plan de evacuación, uso de recursos de emergencia como extinguidores.
      • Números telefónicos de emergencia
      • Definir el tipo de pólizas de seguros
      • Definir elementos técnicos de procedimientos
      • Definir las necesidades de sistemas de seguridad para:
      • Hardware y software
      • Flujo de energía
      • Cableados locales y externos
      • Aplicación de los sistemas de seguridad incluyendo datos y archivos
      • Planificación de los papeles de los auditores internos y externos
      • Planificación de programas de desastre y sus pruebas ( simulación )
      • Planificación de equipos de contingencia con carácter periódico
      • Control de desechos de los nodos importantes del sistema:
      • Política de destrucción de basura copias, fotocopias, etc.
      • Consideración de las normas ISO 14000
    • Etapas para Implementar un Sistema de Seguridad
      • Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos:
      • Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
      • Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software , hardware , recursos humanos , y ambientales.
      • Elaborar un plan para un programa de seguridad.
    • Plan de Seguridad Ideal (o Normativo)
      • Un plan de seguridad para un sistema de seguridad integral debe contemplar:
      • El plan de seguridad debe asegurar la integridad y exactitud de los datos
      • Debe permitir identificar la información que es confidencial
      • Debe contemplar áreas de uso exclusivo
      • Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
      • Debe asegurar la capacidad de la organización para sobrevivir accidentes
      • Debe proteger a los empleados contra tentaciones o sospechas innecesarias
      • Debe contemplar la administración contra acusaciones por imprudencia
    • BENEFICIOS DE UN SISTEMA DE SEGURIDAD
      • Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
      • Aumento de la productividad .
      • Aumento de la motivación del personal.
      • Compromiso con la misión de la compañía.
      • Mejora de las relaciones laborales .
      • Ayuda a formar equipos competentes.
      • Mejora de los climas laborales para los RR.HH.
    • Identificación de Activos
    • BENEFICIOS DE UN SISTEMA DE SEGURIDAD
    • CONCLUSIONES Es necesario que las empresas aborden la problemática de la Seguridad de la información y el cumplimiento de sus obligaciones legales.   La idea es tomar conciencia de este hecho e iniciar acciones dirigidas a poner en marcha sus planes de seguridad, siendo importante para ello contar con el asesoramiento de profesionales especializados.   Por último, destacar que la seguridad no es un producto sino un proceso, cuya implantación exige un cambio cultural y organizativo en las empresas, que debe ser liderado por la dirección.
    • http://seguridadit.blogspot.com/2006/01/norma-iso-17799-vs-iso-27001.html http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml