Page 1


La Seguridad Informรกtica es una disciplina que trata de asegurar la integridad y la privacidad de los sistemas de la informaciรณn. Cubre todos los componentes que forma un sistema de informaciรณn: datos, software, hardaware, redes, usuarios, etc.

Auditoria Autenticidad

Control Disponibilida d Integridad


Básicamente la seguridad de la información es parte de la gestión global del riesgo de una empresa, hay aspectos que se superponen con la ciberseguridad, con la gestión de la continuidad del negocio y la tecnología de la información.

Ciberseguridad

Seguridad de la información

Continuidad del Negocio

Tecnología de la información


El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías


El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

• Establecer el SGSI

• Monitorizar y revisar el SGSI

• Implementar e utilizar SGSI

Planificar

Hacer

Verificar

Actuar • Mantener y mejorar SGSI


ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollopor ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por: ISMS(Information Security Management System). Valoración de Riesgo. Controles. ¿Beneficios de la implementación de un Sistema de Gestión ISO27000? •Un Sistema de gestión de estas características permite: •Establecer una metodología de gestión de la seguridad clara y estructurada. •Reducir el riesgo de pérdida, robo o corrupción de información. •Generar confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. •Lograr acceso a la información en forma segura. •Revisar en forma continua riesgos y controles. •Asegurar la continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.


ISO/IEC 15408 CC se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs). Estos elementos se relacionan y definen como sigue: Un Perfil de Protección (en adelante PP) es un conjunto de requisitos de seguridad independientes de cualquier tipo de implementación para una categoría de Objetivos de Evaluación que cumplen una serie de necesidades específicas de cara al consumidor. Un PP se confecciona con la idea de que sea reutilizable y defina un conjunto de requisitos que se han mostrado eficaces en dar cumplimiento a determinados objetivos identificados, ya sean funcionales o de seguridad. Un PP debe contener al menos un Nivel de Evaluación de Seguridad (Evaluation Assurance Level o EAL), expuesto más adelante.


ISO/IEC 15408 Un Objeto de Evaluación (En adelante TOE) es un producto de Tecnologías de la Información o sistema y su documentación asociada en términos de guías de administración y usuario que son objeto de evaluación. Posibles ejemplos de TOEs pueden ser; una aplicación, una aplicación en conjunción con un sistema operativo, un sistema operativo en conjunción con una estación de trabajo, etc. Un Objetivo de Seguridad (En adelante ST) es un conjunto de requisitos de seguridad instanciados para una implementación concreta que sirven como base para la evaluación de un determinado TOE. Un ST puede hacer referencia a un PP. Un ST es la base para el acuerdo entre todas las partes acerca de la seguridad que ofrece un TOE. Al igual que en el PP, los requisitos de seguridad en un ST deben incluir un EAL de la parte 3 de esta familia de normas. Un Nivel de Evalaución de Seguridad (En adelante EAL) es un conjunto de requisitos de seguridad que conjuntamente proporcionan un nivel de confianza concreto.


Obtener apoyo de la dirección

Utilizar una metodología para gestión de proyectos

Definir el alcance del SGSI

Realizar la evaluación y el tratamiento de riesgos

Definir la metodología e evaluación de riesgos

Redactar la declaración de aplicabilidad

Redactar el plan de tratamiento de riesgos

Definir la forma de medir la efectividad de sus controles y de su SGSI

Realizar revisión por parte de la directiva

Seguridad informatica hardware y software  

aditoria de sistemas

Seguridad informatica hardware y software  

aditoria de sistemas

Advertisement