OpenChain - The Ramifications of ISO/IEC 5230 and ISO/IEC 18974 for Legal Pro...
Seguridad de la información
1. SEGURIDAD DE LA INFORMACIÓN GESTIÓN Y APLICACIÓN DE
PROTOCOLOS DE SEGURIDAD INFORMÁTICA
PROTEGIENDO UN SI
Maria Isabel Ochoa
2.
3. En la actualidad gran parte de la información de las organizaciones se procesa, transporta y almacena
Forma digital en los sistemas de información.
Riesgos de los sistemas de información
Los riesgos mas comunes a los que están expuestos los sistemas de información son:
Riesgo físicos
Acceso no autorizados
Catástrofes naturales
Vandalismo en infraestructura
Falla en el flujo eléctrico
Daños causados por humanos con o sin intención.
4. Riesgo físicos:
• Accesos no autorizados
• Catástrofes naturales: incendios, inundaciones, terremotos tormentas, descargas atmosféricas
• Vandalismo en infraestructura
• Fallas en el flujo eléctrico
• Daños causados por humanos con o sin intención
5. Riesgos lógicos
• Software malicioso: virus, gusanos, caballos de troya y spyware
• Errores o vulnerabilidades en el software
• Ataques de denegación de servicio
6. Seguridad de la Información
El termino seguridad de la información hace referencia a todos los procedimientos y controles que
son implementados por las personas y organizaciones para prevenir, proteger y resguardar la
información del acceso y utilización no autorizado.
La información tiene la característica de ser uno de los activos más importantes para cualquier
organización, debido a que de su tratamiento confidencial depende la rentabilidad y continuidad de
su modelo de negocio, por esta razón la seguridad de la información resulta ser un factor crítico
para la estabilidad de las organizaciones.
7. Tipos de controles para la seguridad de la información
Existen dos tipos de controles que se usan para preservar la seguridad de la información:
a) Controles físicos: Son las barreras físicas y procedimientos de control que se implementan
como medidas preventivas para preservar la integridad y el acceso no autorizado a la
información.
• Protección perimetral de las instalaciones donde se encuentra la información
• Sistemas Ininterrumpidos de potencia (UPS) para los servidores que albergan las bases de
datos y los sistemas de seguridad.
• Control de acceso a personas
• Sistemas de almacenamiento redundante ubicados en distintos zonas geográficas
• Niveles de acceso a la información
8. Controles lógicos:
Son aquellas barreras y procedimientos que están basados en la implementación de algún
tipo de software y su objetivo es que solo personas autorizadas tengan acceso a la
información.
• Uso de protocolos seguros para transmisión de la información
• Implementación de técnicas de encriptación para transportar y almacenar la información
• Autenticación de usuarios en aplicaciones
• Uso de contraseñas seguras
• Firewalls
• Antivirus
• Proxys
10. La sigla SGSI es utilizada para
referirse a la gestión de los procesos
y mecanismos de control que son
utilizados para custodiar y proteger
de amenazas la información sensible
de las organizaciones.
Los SGSI permiten a la gerencia de
las organizaciones determinar con
objetividad que información requiere
ser protegida.
Ofrecen una visión global sobre el
estado de los sistemas de
información, las medidas de
seguridad que se están aplicando y
los resultados que se están
obteniendo de dicha aplicación
11. Mantenimiento
En esta fase se realizan las acciones de mantenimiento que sean
pertinentes para el correcto
funcionamiento del SGSI, las cuales pueden contemplar desde la
mejora de un proceso hasta l
a corrección de algún punto débil detectado en el sistema. Las
principales tareas que se realizan
en esta etapa son:
• Mantenimiento del SGSI: se adoptan acciones correctivas y
preventivas sobre el SGSI.
• Mejora Continua: se mide el rendimiento del sistema y se
implanta las mejoras identificadas en las
revisiones anteriores del SGSI.
12. Procedimiento para análisis del riesgo
Es importante proporciona una visión general de los elementos que deben ser tenidos
en cuenta durante el procedimiento de análisis del riesgos:
13. Los SGSI establecen el siguiente procedimiento para evitar que las amenazas de seguridad se
conviertan en incidentes de seguridad:
• Se identificar los activos de información que se poseen.
• Se establece su impacto en la rentabilidad del modelo de negocio.
• Se realiza un análisis y evaluación del riesgo (amenazas y vulnerabilidades)
• Se establecen controles sobre los activos en los que se desea mitigar el riesgo y se formulan
los siguientes planes:
* Plan de gestión o tratamiento del riesgo (PGR)
• Plan de respuesta a incidentes
• Plan de continuidad del negocio (PCN) • Se establece una métrica sobre el activo que se
desea mitigar el riesgo, esto con el fin de verificar si los controles y planes están siendo
efectivos.
14. Tratamiento del riesgo El siguiente gráfico nos nuestra los diferentes enfoques que
existen para abordar el tratamiento del riesgo: