irma iso
TRANSCRIPT
ALCANCE
Establece los lineamientos y principios generales
Iniciar
Implementar
Mantener
Mejorar
Gestión de Información
ISO/IECParticipan en el desarrollo de Estándares Internacionales a través de los comités
Preparar Estándares Internacionales.
La publicación de un Estándar Internacional requiere de la aprobación
de por lo menos 75% de
los organismos nacionales que emiten un voto.
¿Qué es seguridad de la información? Puede estar:
La seguridad de la información
la continuidad
el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales.
La seguridad de la información se logra:
Implementando un adecuado conjunto de controles
para asegurar que se cumplan los objetivos de seguridad y comerciales
Políticas Procesos Procedimientos Estructuras organizacionales
y funciones de software y hardware.
Se necesitan… Establecer Implementar Monitorear
¿Por qué se necesita seguridad de la información?
SE ESTABLECEN LOS SIGUIENTES TERMINOSActivo
Cualquier cosa que tenga valor para la organización
Control
Medios para manejar el riesgo
Lineamiento
Una descripción *
para lograr los objetivos
establecidos en las políticas
Medios de procesamiento de la información
Cualquier
SISTEMA
SERVICIO
Seguridad de la información
Evento de seguridad de la información
Es la violación o amenaza inminente a la Política de Seguridad de la Información implícita o explícita.
Ejemplos de Incidentes de Seguridad
Un acceso no autorizado.El robo de contraseñas.El robo de información.El borrado de información de terceros.La alteración de la información de terceros.El abuso y/o mal uso de los servicios informáticos internos o externos
Incidente de seguridad de la información
• DETECTAS
• INCIDENTE SEGURIDAD
• REGISTRAS
• ANALIZAS
• ESTALECE INCIDENTE
• REACCIONAS
POLITICA
NORMA expresada formalmente por la gerencia
RIESGO
De todo inversionista
Análisis del riesgo
Evaluación del riesgoProceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la
importancia del riesgo
identificar las fuentes y calcular el riesgo
Gestión del riesgo
Actividades coordinadas para dirigir y controlar una organización con relación al riesgo.
¿Cómo establecer los requerimientos de seguridad?
Evaluando los riesgos de la seguridad
ayudarán
e
implementar
Selección de controles
identificado los requerimientos
los riesgos de seguridad
Tomadas las decisiones para el tratamiento de los riesgos
DEBEN SELECCIONAR LOS CONTROLES
E IMPLEMENTARLOS
PARA REDUCIR LOS RIESGOS A UN NIVLE ACEPTABLE!!!
PARA IMPLEMENTARLOS SE NECESITA:
Proporciona información más detallada para apoyar la implementación del control y cumplir con el objetivo de control.
Evaluación de los riesgos de seguridad***
debieran identificar, cuantificar y priorizar los riesgos en comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la organización.
La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo).
Las evaluaciones del riesgo también se debieran realizar periódicamente
Tratamiento de los riesgos de seguridadAntes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para determinar si se pueden aceptar los riesgos, o no.
Los riesgos pueden ser aceptados si, por ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en
costo para la organización.
Estas decisiones debieran ser registradas.
Política de seguridad de la información (SE DEBE ESTABLECER)
Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la
información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.
a través de la emisión y mantenimiento de una política de seguridad de la
información en toda la organización.
El documento de la política de seguridad de la información debiera ser aprobado por la
gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes.
Revisión de la política de seguridad de la información
debiera ser revisada a intervalos planeados o si
ocurren cambios significativos para asegurar su continua eficiencia y efectividad
La revisión de la política de seguridad de la información debiera tomar en cuenta los resultados de las revisiones de la gerencia.
Debieran existir procedimientos de revisión
gerencial, incluyendo un cronograma o el período de la revisión.
El input para la revisión gerencial debiera incluir información sobre:
a) retroalimentación de las partes interesadas
b) resultados de revisiones independientes
c) estado de acciones preventivas y correctivas
d) resultados de revisiones gerenciales previas
e) desempeño del proceso y conformidad con la política
f) tendencias relacionadas con amenazas
INPUT El input para la revisión gerencial
debiera incluir información sobre:a) retroalimentación de las partes
interesadasb) resultados de revisiones
independientesc) estado de acciones preventivas y
correctivas d) resultados de revisiones gerenciales
previase) desempeño del proceso y
conformidad con la políticaf) tendencias relacionadas con
amenazas
LOS OUTPUTSde la revisión gerencial debiera incluir cualquier decisión y acción relacionada con:
a) mejora del enfoque de la organización para manejar la seguridad de la información
b) mejora de los objetivos de control y los controles;
c) mejora de la asignación de recursos y/o responsabilidades.
Organización de la seguridad de la información
Organización internaManejar la seguridad de la
información dentro de la organización.
Se debiera fomentar un enfoquemulti-disciplinario para la seguridad de la información.
Compromiso de la gerencia con la seguridad de la informaciónLa gerencia debiera:
Revisar la efectividad de la implementación de la política de seguridad de la
Información
Proporcionar los recursos necesarios para la seguridad de la información;
Aprobar la asignación de roles y responsabilidades específicas para la seguridad
de la información a lo largo de toda la organización
iniciar planes y programas para mantener la conciencia de seguridad de la información
asegurar que la implementación de los controles de seguridad de la información sea coordinado en toda la organización.
Coordinación de la seguridad de la informaciónla coordinación de la seguridad de la información debiera involucrar la
cooperación y colaboración de los gerentes, usuarios, administradores, diseñadores de
aplicación, auditores y personal de seguridad, y capacidades especializadas en áreas como
seguros, temas legales, recursos humanos,
Esta actividad debiera:
identificar cómo manejar las no-conformidades
promover de manera efectiva la educación, capacitación y conocimiento de la seguridad de la información
evaluar la información recibida del monitoreo y revisar los incidentes de seguridad de la información, y recomendar las acciones
Asignación de las responsabilidades de la seguridad de la informaciónLas personas con responsabilidades de seguridad asignadas pueden delegar las tareas de seguridad a otros.
No obstante, ellos siguen siendo responsables y debieran determinar si
cualquier tarea delegada ha sido realizada correctamente.
Se debieran establecer claramente las áreas de las cuales son responsables las diferentes personas; en particular se debiera realizar lo siguiente:
I. se debieran identificar y definir claramente los activos
II. se debieran definir y documentar claramente los niveles de autorización
III. se debiera designar la entidad responsable de cada activo o proceso de seguridad
Acuerdos de confidencialidadSe debieran identificar y revisar regularmente que los requerimientos de confidencialidad o
acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la
información.
“sólo lo que necesita saber”
Contacto con las autoridades
cuándo y cuáles Ejemplo bomberos,
proteccion civil
Policia
Contacto con grupos de interés especialSe debieran mantener contactos apropiados con grupos de interés especial
recibir advertencias tempranas de alertas, asesorías y avisos relacionados con
ataques y vulnerabilidades
********************************************************************************
Grupos o personas externasMantener la seguridad de la información y los medios de procesamiento de
información de la organización que son ingresados, procesados, comunicados o
manejados por, grupos externos
Se debiera controlar cualquier acceso a los medios de procesamiento de información de la
organización y el procesamiento y comunicación de la información realizado por grupos
externos.
Identificación de los riesgos relacionados con los grupos externosDonde existe la necesidad de permitir que un grupo externo tenga acceso a los medios de
procesamiento de la información o la información de una organización, se debiera llevar a
cabo una evaluación del riesgo