Introduccin a los conceptos de seguridad

348 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
348
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Introduccin a los conceptos de seguridad

  1. 1. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Introducción a los conceptos de Seguridad de información Entendiendo los conceptos básicos de seguridad¿0.1 Que es la seguridad de la información?La Seguridad de la información es el conjunto de estándares, procesos,procedimientos, estrategias, recursos informáticos, recursos educativosy recurso humano integrado para proveer toda la protección debida yrequerida a la información y a los recursos informáticos de una empresa,institución o agencia gubernamentalLa información es un recurso o activo que, como otros recursos importantes delnegocio, es esencial a una organización y a su operación y por consiguiente necesita serprotegido adecuadamente. Esto es especialmente importante en el ambiente comercialcada vez más interconectado. Como resultado de esta ínter conectividad creciente, lainformación se expone ahora a un número ascendente y a una variedad más amplia dede amenazas y vulnerabilidades.La información puede existir en muchas formas. Puede imprimirse o puede escribirse enel papel, guardar electrónicamente, transmitirse por el correo o usando los medioselectrónicos, puede ser mostrada en las películas, o hablada en la conversación.Cualquier forma que la información tome, o cualquier medio por donde sea compartidao guardada, siempre debe ser apropiadamente protegida.La seguridad de la información es la protección de información de una gama amplia deamenazas para asegurar la continuidad comercial, minimizar el riesgo comercial, yaumentar al máximo el retorno en las inversiones y las oportunidades de negocios.La seguridad de la información se logra llevando a cabo un conjunto conveniente decontroles, incluyendo las políticas, los procesos, procedimientos, estructurasorgánicas y funciones del hardware y software. Estos controles deben serestablecidos, implementados, supervisados, revisados y mejorados, dónde sea necesario,para asegurar que se reúnen la seguridad específica y objetivos de negocio de laorganización. Esto debe hacerse en conjunción con otros procesos de administraciónde negocios.¿0.2 Por qué se necesita la seguridad de la información?La información y los procesos de apoyo, sistemas, y redes son uno de los recursos masimportantes del negocio. Definir, lograr, mantener y mejorar la seguridad de lainformación pueden ser esenciales para mantenerse en el borde competitivo, mantenerun alto flujo del dinero en efectivo, tener rentabilidad, cumplimiento legal, ysostenimiento de la imagen comercial.Se enfrentan las organizaciones y sus sistemas de información y redes con las amenazasde seguridad de un amplio rango de fuentes, incluyendo fraude ayudado porcomputadora, espionaje, sabotaje, vandalismo, fuego o diluvio e inundaciones.Autor: Ingeniero Jaime Hernando Rubio Rincón página 1
  2. 2. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2Las causas de daño como el código malévolo, penetración de computadoras, y ataquesde negación del servicio han llegado a ser más comunes, más ambicioso, y massofisticados.La seguridad de la información y proteger las infraestructuras críticas del negocio esimportante para ambos sectores público y de negocios del sector privado. En ambossectores, la seguridad de la información funcionará como un habilitador, por ejemplopara lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. Lainterconexión de las redes privadas públicas y privadas y el compartir de recursos deinformación aumentan la dificultad de lograr el control de acceso. La tendencia a lainformática distribuida también ha debilitado la efectividad del control central,especializado.No se han diseñado muchos sistemas de información seguros. La seguridad que puedelograrse a través de los medios técnicos es limitada, y debe apoyarse por una apropiadagestión apropiada y por los procedimientos. Identificando qué controles deben serimplementados requiere planificación cuidadosa y atención al detalle. La gestión de laseguridad de la información requiere, como un mínimo, participación por todos losempleados de la organización. También puede requerir la participación de losaccionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas.Asesoría y Consejo de especialista de las organizaciones externas también puedenecesitarse.0.3 Cómo establecer los requerimientos de seguridad?Es esencial que una organización identifique sus requerimientos de seguridad. Hay tresfuentes principales de los requerimientos de seguridad.1. una fuente se deriva de evaluar los riesgos de la organización, mientras se tienen encuenta la estrategia de negocio global de la organización y sus objetivos. A través deuna valoración de riesgo, se identifican amenazas a los recursos, se evalúa lavulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial.2. otra fuente es los requerimientos legales, estatutarios, reguladores y contractuales quela organización, sus socios comerciales, contratistas, y proveedores de servicio tienenque satisfacer, y el ambiente socio-cultural.3. una fuente extensa es el conjunto particular de principios, objetivos y requerimientoscomerciales para la información que se procesa que una organización ha desarrolladopara apoyar sus funcionamientos.0.4 Evaluando los riesgos de seguridadLos requerimientos de seguridad son identificados mediante una valoración metódica deriesgos de seguridad. El gasto en los controles se necesita probablemente equilibrarcontra el daño comercial que puedan ser resultado de las fallas de seguridad.Los resultados de la valoración de riesgo ayudarán a guiar y determinar la acción degestión apropiada y las prioridades para manejar los riesgos de la seguridad de laAutor: Ingeniero Jaime Hernando Rubio Rincón página 2
  3. 3. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2información, y por llevar a cabo los controles seleccionados para protegerse contra cadauno de estos riesgos.La valoración de riesgo debe repetirse periódicamente para estar atentos a cualquiercambio que pudiera influir en los resultados de valoración del riesgo..0.5 Seleccionando ControlesUna vez se han identificado requerimientos de seguridad y riesgos y las decisiones parael tratamiento de riesgos han sido tomadas, deben seleccionarse los controlesapropiados e implementarlos para asegurar la mitigación de los riesgos a un nivelaceptable. Pueden seleccionarse los controles de esta norma o de otros juegos decontroles, o pueden diseñarse nuevos controles apropiados para satisfacer lasnecesidades específicas. La selección de controles de seguridad depende en decisionesorgánicas basadas en el criterio para la aceptación de riesgo, la opciones en eltratamiento de riesgo, y el enfoque de gestión general de riesgo aplicado en laorganización, y también debe estar sujeto regulaciones relevantes y a la legislacióninternacional y nacional.Algunos de los controles en esta norma pueden ser considerados como guías de losprincipios para la gestión de la seguridad de la información y aplicable para la mayoríade las organizaciones. Ellos se explican en más detalle debajo bajo del encabezado “elpunto de partida de seguridad de la información.”Puede encontrarse más información sobre seleccionar controles y otras opciones detratamiento de riesgo en la cláusula 4.2 “Tratando los riesgos de seguridad".0.6 Punto de partida de seguridad de la informaciónVarios controles pueden ser considerados como un buen punto de partida para llevar acabo la protección de la información. Ellos o están basado en los requerimientosesenciales de tipo legislativo o se consideran ser una practica común para la seguridadde la información.Controles considerados esenciales a una organización desde un punto de vista dellegislativo incluyen, (dependiendo de la legislación aplicable): a) protección de los datos y retiro de información personal b) protección de archivos de la organización c) los derechos de la propiedad intelectualControles considerados como práctica común para la seguridad de la informaciónincluyen: a) el documento de políticas de seguridad de la información b) la asignación de responsabilidades de seguridad de la información c) el conocimiento de seguridad de la información, educación, y entrenamiento d) el proceso correcto en las aplicaciones ; e) la gestión de vulnerabilidad técnica ; f) la gestión de continuidad del negocio ;Autor: Ingeniero Jaime Hernando Rubio Rincón página 3
  4. 4. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 g) la gestión de incidentes de seguridad de la información y mejorasEstos controles aplican a la mayoría de las organizaciones y en la mayoría de losambientes.Debe notarse que aunque todos los controles en esta norma son importantes y deben serconsiderados, la relevancia de cualquier control debe determinarse a la luz de los riesgosespecíficos que una organización pudiera enfrentar. Aunque el enfoque anterior esconsiderado un punto de partida bueno, no reemplaza la selección de controles basadoen una valoración de riesgo.0.7 Factores críticos de éxitoLa experiencia ha mostrado que los factores siguientes son a menudo críticos a laaplicación exitosa de la seguridad de la información dentro de una organización: a) la política de seguridad de la información, la estrategia, objetivos, y actividades que reflejen los objetivos de negocios; b) un enfoque y una estructura para implementar, mantener, supervisar y mejorar la seguridad de la información que sea consistente con la cultura organizacional; c) el apoyo visible y comprometido de todos los niveles de gestión; d) una comprensión buena de los requerimientos de seguridad de la información, valoración de riesgo, y gestión del riesgo; e) el mercadeo eficaz de los conceptos de seguridad de la información a todos los gerentes, empleados, tercera partes para lograr el conocimiento; f) la distribución de guía en la política de seguridad de la información y normas a todos los gerentes, los empleados y terceras partes; g) la provisión financiera para consolidar las actividades de gestión de la seguridad de la información; h) proporcionar conocimiento apropiado, entrenamiento, y educación; i) establecer un proceso eficaz de manejo de incidentes de seguridad de la información; j) la aplicación de un sistema de mediciones que se pueda usar para evaluar el rendimiento en la gestión de seguridad de la información y realimente sugerencias la mejora de esa gestión.0.8 Desarrollo de sus propias pautasEste código de práctica puede considerarse como un punto de partida para laorganización en vías de desarrollo específico de las pautas. No todos los controles yguías en este código de práctica pueden ser aplicables.Además, pueden requerirse controles y pautas adicionales no incluidas en esta norma.Cuando se desarrollan los documentos conteniendo pautas adicionales o controles,puede ser útil incluir las referencias cruzadas a las cláusulas en esta norma dóndeaplique para facilitar la verificación de cumplimiento por parte de interventores ysocios de negocios.Autor: Ingeniero Jaime Hernando Rubio Rincón página 4
  5. 5. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No20.9 Términos y definicionesPara los propósitos de este documento los siguientes términos y definiciones aplican:2.1 Activo cualquier elemento que tenga un valor para la organización [ISO/IEC 13335-1:2004]2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso laspolíticas, los procedimientos, las pautas, prácticas o estructuras organizacionales que puedenser de tipo administrativo, técnico, de gestión, o de naturaleza legal.NOTA La palabra control se usa como un sinónimo para resguardo o contramedida.2.3 pauta una descripción que clarifica lo que debe hacerse y cómo, para lograr el conjunto delos objetivos establecidos en las políticas [ISO/IEC 13335-1:2004]2.4 facilidades de procesamiento de información cualquier sistema de procesamiento deinformación, servicio o infraestructura, o las localidades físicas que los alojan 2.5 la seguridad de información la preservación de la confidencialidad, integridad ydisponibilidad de la información; además, otras propiedades, fuertemente relacionadas talescomo la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden también serinvolucradas.2.6 el evento de seguridad de la información es una ocurrencia identificada de un sistema,servicio o estado de la red indicando una posible brecha de la política de seguridad deinformación o fracaso de sus resguardos, o una situación previamente desconocida que puedeser pertinente a la seguridad. [ISO/IEC TR 18044:20042.7 incidente de seguridad de informaciónun incidente de seguridad de la información se indica por un solo o una serie de eventos deseguridad de la información no deseados o inesperados que tienen una probabilidadsignificativa de comprometer las operaciones del negocio mediante las amenazas a laseguridad de la información.[ISO/IEC TR 18044:2004]2.8 la política la intención y dirección global como formalmente fue expresada por la gerenciao administración2.9 el riesgo la combinación de la probabilidad de un evento y su consecuencia [ISO/IECGuide 73:2002]2.10 análisis de riesgo el uso sistemático de información para identificar las fuentes y estimarel riesgo [ISO/IEC Guide 73:2002]2.11 la valoración del riesgo el proceso global de análisis de riesgo y evaluación de riesgo[ISO/IEC Guide 73:2002]2.12 la evaluación del riesgo el proceso de comparar el riesgo estimado contra el criterio deun riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002]2.13 la gestión del riesgo las actividades coordinadas para dirigir y controlar una organizacióncon respecto al riesgoNOTA: La gestión del Riesgo incluye típicamente valoración de riesgo, tratamiento de riesgo,aceptación de riesgo y comunicación del riesgo.[ISO/IEC Guide 73:2002]2.14 Tratamiento del riesgo el proceso de selección y aplicación de medidas para modificar elriesgo [ISO/IEC Guide 73:2002]2.15 tercera parte esa persona o institución que se reconocen como un ser independiente de laspartes involucradas, con respecto a un problema, trabajo o labor en cuestión [ISO/IEC Guide2:1996]2.16 la amenaza una causa potencial de un incidente no deseado que puede producir daño aun sistema u organización [ISO/IEC 13335-1:2004]2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarsepor uno o más amenazas [ISO/IEC 13335-1:2004]Autor: Ingeniero Jaime Hernando Rubio Rincón página 5
  6. 6. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2Concepto integrado de los diferentes elementos de laseguridad de la información Análisis de riesgos Vulnerabilidad Riesgo Amenaza: Confidencialidad Evento Disponibilidad Integridad Autenticidad Plan de protección, (No repudio) Recursos de HW y SW (FW, IDS, Criptografía) para protección, PPPE y auditoria permanenteFigura 1. Relación vulnerabilidad, amenaza, riesgo y eventoEn la Figura 1 pretendemos hacer un esquema que explique integralmentelos conceptos fundamentales de la seguridad. En primer lugar tenemoslas vulnerabilidades que vienen siendo como los puntos débiles de laseguridad de la información. Haciendo una paradoja puede ser como undefecto de la infraestructura de recursos informáticos que pone en riesgosu propia supervivencia o la la de la información. Por otro lado tenemos elsutil tema de la amenaza en cualquiera de sus tipos incluidos en lagráfica, externa o interna a la organización. La conjunción simultanea dela vulnerabilidad y la amenaza construye e implica un riesgo deseguridad.La ocurrencia del riesgo lo convierte entonces en un evento y la teoria deSeguridad y Protección de la información es ese conjunto de actividadesmarcadas en azul que trata por todos los medios que el riesgo seconvierta en evento, mitigando la probabilidad de ocurrencia del mismo.1.0 Evaluando riesgos de seguridadLas valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgoscontra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Losresultados deben guiar y deben determinar la apropiada acción administrativa y la prioridadpara gestionar el riesgo de la seguridad de información y para implementar los controlesseleccionados para protegerse contra estos riesgos. El proceso de evaluar los riesgos yAutor: Ingeniero Jaime Hernando Rubio Rincón página 6
  7. 7. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentesde la organización o los sistemas individuales de información.La valoración de riesgo debe incluir el enfoque sistemático de estimar la magnitud de riesgos (elanálisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgopara determinar la importancia de los riesgos (la evaluación de riesgo).También deben realizarse periódicamente las valoraciones de riesgo para conducir los cambiosen los requerimientos seguridad y en la situación de riesgo, por ejemplo en los recursos,amenazas, las vulnerabilidades, los impactos, la evaluación del riesgo, y cuando los cambiossignificativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metódicacapaz de producir resultados comparables y reproducibles.La valoración del riesgo de seguridad de la información debe tener un alcance claramentedefinido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otrasáreas, si es lo apropiado.El alcance de una valoración de riesgo o puede ser la organización entera, o las partes de laorganización, un sistema de información individual, componentes del sistema específicos, oservicios dónde esto es factible, realista, y útil. Se discuten ejemplos de metodologías devaloración de riesgo en ISO/IEC TR13335-3 (Las guías para la Gestión de la Seguridad dela información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN).1.2 Tratando los riesgos de seguridadAntes de considerado el tratamiento de un riesgo, la organización debe decidir el criterio paradeterminar si o no se pueden aceptar los riesgos. Por ejemplo, pueden aceptarse los riesgos si seevalúa que el riesgo es bajo o que el costo de tratamiento no es rentable para la organización.Las decisiones tomadas deben documentadas.Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisiónde tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen: a) aplicando los controles apropiados para reducir los riesgos; b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen claramente la política de organización y los criterio para la aceptación de riesgo; c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los riesgos; d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o proveedores.Para los riesgos dónde la decisión de tratamiento de riesgo ha sido aplicar los controlesapropiados, estos controles deben seleccionarse y deben llevarse a cabo para cumplir con losrequerimientos identificados por una valoración de riesgo. Los controles deba asegurar que sereducen los riesgos a un nivel aceptable teniendo en cuenta: a) los requerimientos y restricciones de la legislación nacional e internacional y las regulaciones; b) los objetivos organizacionales; c) los requerimientos y restricciones operacionales; d) el costo de implementación y operación respecto al nivel de riesgo que esta siendo reducido, y restante , permaneciendo proporcional a los requerimientos y restricciones de la organización. e) la necesidad de equilibrar la inversión en la aplicación y funcionamiento de controles contra el dañe para ser el resultado de los fracasos de seguridad probablemente.Autor: Ingeniero Jaime Hernando Rubio Rincón página 7
  8. 8. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, opueden diseñarse nuevos controles para satisfacer las necesidades específicas de laorganización. Es necesario reconocer que algunos controles no puedan ser aplicables a cadasistema de información o ambiente, y no podría ser factible para todas las organizaciones. Comoun ejemplo, el parágrafo 10.1.3 describe cómo pueden dividir los deberes y funciones paraprevenir el fraude y el error. No puede ser posible para las organizaciones más pequeñas dividirtodos los deberes y otras maneras de lograr el mismo objetivo del control pueden sernecesarias. Como otro ejemplo, el parágrafo 10.10 describe cómo el uso del sistema puedesupervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registrode eventos, podrían entrar en choque con la legislación aplicable, como protección de laprivacidad del cliente o en el lugar de trabajo.Los controles de seguridad de información deben ser considerados en los sistemas, proyectos yaplicaciones diseñando la especificación de los requerimientos de seguridad en la fase dediseño.Fallas en este punto puede producir costos adicionales así y hacer menos eficaz las soluciones,y quizá, en el peor caso, incapacidad para lograr la seguridad adecuada.Debe tenerse presente que ningún conjunto de controles puede lograr la seguridad completa, ygestión adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y laefectividad en los controles de seguridad para soportar los objetivos de la organización.2 Política de seguridadUn política de seguridades es una decisión ejecutiva sobre el quehacer enel procesamiento, acceso, almacenamiento, creación, mantenimiento yeliminación de la información, para protegerla adecuadamente.2.1 Política de seguridad de informaciónEl objetivo: Proporcionar gestión de dirección y apoyar la seguridad de información de acuerdocon los requerimientos del negocio, leyes pertinentes y regulaciones.La dirección debe establecer una política clara en la línea con los objetivos del negocios y debedemostrar apoyo y compromiso con la seguridad de información a través de la emisión ymantenimiento de una política de seguridad de información para la organización.2.1.2 Documento de la política de seguridad de la informaciónControlUn Documento de la política de seguridad de la información debe aprobarse por la dirección, ypublicarlo y comunicarlo a todos los empleados y la tercera parte externa pertinente.La guía de aplicaciónEl Documento de la política de seguridad de la información debe declarar el compromiso de ladirección y debe partir del enfoque de la organización para el manejo de la seguridad deinformación. El documento de la política debe contener declaraciones involucrando: a) una definición de seguridad de la información, sus objetivos globales, alcance y la importancia de la seguridad como un mecanismo habilitador para compartir la información (ver el parágrafo de la introducción); b) una declaración de intención de la dirección para , apoyar las metas y principios de seguridad de la información, en línea con la estrategia y objetivos de negocios;Autor: Ingeniero Jaime Hernando Rubio Rincón página 8
  9. 9. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 c) un armazón por establecer objetivos de control y controles, incluso la estructura de la valoración y manejo de riesgo; d) una explicación breve de las políticas de seguridad, principios, normas, y requerimientos de cumplimiento de importancia particular para la organización, incluyendo: 1) la complacencia con el legislativo, los requerimientos reguladores y contractuales; 2) la educación de seguridad, entrenamiento, y requerimientos de conocimiento; 3) la gestión de continuidad del negocio; 4) las consecuencias de las violaciones de la política de seguridad de la información; e) una definición de las responsabilidades generales y específicas para la gestión de la seguridad de información, incluyendo el informar los incidentes de seguridad de la información; f) las referencias a documentación que pueden apoyar la política, por ejemplo la seguridad más detallada las políticas y procedimientos para los sistemas de información específicos o las reglas de seguridad que los usuarios deben cumplir.Esta política de seguridad de información debe comunicarse a lo largo de la organización a losusuarios en un formato apropiado, accesible y entendible al lector intencional.Otra informaciónLa política de seguridad de información podría ser una parte de un documento de la políticageneral. Si la información de la política de seguridad es distribuída fuera de la organización, eldebe tenerse cuidado para no descubrir o revelar información sensible. Información adicionalpuede encontrarse en el ISO/IEC 13335-1:2004.2.1.3 Revisión de la política de seguridad de informaciónControlLa política de seguridad de información debe revisarse a intervalos planeados o si ocurrencambios significativos para asegurar su conveniencia de continuación, suficiencia, y efectividad.La guía de aplicaciónLa política de seguridad de información debe tener un dueño quien tenga responsabilidades degestión aprobadas para el desarrollo, revisión, y evaluación de la política de seguridad. Larevisión debe incluir las oportunidades de evaluación para la mejora de la política de seguridadde información de la organización y enfoque a manejar la seguridad de información enrespuesta a los cambios al ambiente organizacional, las circunstancias comerciales y denegocios, las condiciones legales, o el ambiente técnico.La revisión de la política de seguridad de información debe tomar cuenta de los resultados derevisiones manejadas. Allí debe definirse los procedimientos de manejo de revisión, incluso unhorario o período de la revisión.La entrada a la gestión de revisión debe incluir la información en: a) la retroalimentación de terceras partes interesadas; b) los resultados de revisiones independientes (vea 6.1.8); c) el estado de acciones preventivas y correctivas (vea 6.1.8 y 15.2.1); d) los resultados de revisiones de gestiones anteriores; e) efectividad del proceso y cumplimientos de las política de seguridad de la información;Autor: Ingeniero Jaime Hernando Rubio Rincón página 9
  10. 10. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 f) cambios que podrían afectar el enfoque de la organización al manejo de la seguridad de información, incluso los cambios al ambiente organizacional, circunstancias comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y legales, o al ambiente técnico; g) las tendencias relacionadas con las amenazas y vulnerabilidades; h) incidentes reportados de seguridad de información (vea 13.1); i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6).La salida de la gestión de revisión debe incluir cualquier decisión y acciones relacionadas a: a) la mejora del enfoque de la organización a la gestión de la seguridad de la información y sus procesos; b) la mejora de objetivos de control y controles; c) la mejora en la asignación de recursos y/o responsabilidades.Un registro de la gestión de revisión debe mantenerse. La aprobación gerencial para la políticarevisada debe obtenerse.Autor: Ingeniero Jaime Hernando Rubio Rincón página 10

×