ALCANCE

Establece los lineamientos y principios generales

Iniciar

Implementar

Mantener

Mejorar

Gestión de Información

ISO/IECParticipan en el desarrollo de Estándares Internacionales a través de los comités

Preparar Estándares Internacionales.

La publicación de un Estándar Internacional requiere de la aprobación

de por lo menos 75% de

los organismos nacionales que emiten un voto.

¿Qué es seguridad de la información? Puede estar:

La seguridad de la información

la continuidad

el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales.

La seguridad de la información se logra:

Implementando un adecuado conjunto de controles

para asegurar que se cumplan los objetivos de seguridad y comerciales

Políticas Procesos Procedimientos Estructuras organizacionales

y funciones de software y hardware.

Se necesitan… Establecer Implementar Monitorear

¿Por qué se necesita seguridad de la información?

SE ESTABLECEN LOS SIGUIENTES TERMINOSActivo

Cualquier cosa que tenga valor para la organización

Control

Medios para manejar el riesgo

Lineamiento

Una descripción *

para lograr los objetivos

establecidos en las políticas

Medios de procesamiento de la información

Cualquier

SISTEMA

SERVICIO

Seguridad de la información

Evento de seguridad de la información

Es la violación o amenaza inminente a la Política de Seguridad de la Información implícita o explícita.

Ejemplos de Incidentes de Seguridad

Un acceso no autorizado.El robo de contraseñas.El robo de información.El borrado de información de terceros.La alteración de la información de terceros.El abuso y/o mal uso de los servicios informáticos internos o externos

Incidente de seguridad de la información

• DETECTAS

• INCIDENTE SEGURIDAD

• REGISTRAS

• ANALIZAS

• ESTALECE INCIDENTE

• REACCIONAS

POLITICA

NORMA expresada formalmente por la gerencia

RIESGO

De todo inversionista

Análisis del riesgo

Evaluación del riesgoProceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la

importancia del riesgo

identificar las fuentes y calcular el riesgo

Gestión del riesgo

Actividades coordinadas para dirigir y controlar una organización con relación al riesgo.

¿Cómo establecer los requerimientos de seguridad?

Evaluando los riesgos de la seguridad

ayudarán

e

implementar

Selección de controles

identificado los requerimientos

los riesgos de seguridad

Tomadas las decisiones para el tratamiento de los riesgos

DEBEN SELECCIONAR LOS CONTROLES

E IMPLEMENTARLOS

PARA REDUCIR LOS RIESGOS A UN NIVLE ACEPTABLE!!!

PARA IMPLEMENTARLOS SE NECESITA:

Proporciona información más detallada para apoyar la implementación del control y cumplir con el objetivo de control.

Evaluación de los riesgos de seguridad***

debieran identificar, cuantificar y priorizar los riesgos en comparación con el criterio para la aceptación del riesgo y los objetivos relevantes para la organización.

La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo).

Las evaluaciones del riesgo también se debieran realizar periódicamente

Tratamiento de los riesgos de seguridadAntes de considerar el tratamiento del riesgo, la organización debiera decidir el criterio para determinar si se pueden aceptar los riesgos, o no.

Los riesgos pueden ser aceptados si, por ejemplo, se ha evaluado que el riesgo es bajo o que el costo del tratamiento no es efectivo en

costo para la organización.

Estas decisiones debieran ser registradas.

Política de seguridad de la información (SE DEBE ESTABLECER)

Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la

información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.

a través de la emisión y mantenimiento de una política de seguridad de la

información en toda la organización.

El documento de la política de seguridad de la información debiera ser aprobado por la

gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes.

Revisión de la política de seguridad de la información

debiera ser revisada a intervalos planeados o si

ocurren cambios significativos para asegurar su continua eficiencia y efectividad

La revisión de la política de seguridad de la información debiera tomar en cuenta los resultados de las revisiones de la gerencia.

Debieran existir procedimientos de revisión

gerencial, incluyendo un cronograma o el período de la revisión.

El input para la revisión gerencial debiera incluir información sobre:

a) retroalimentación de las partes interesadas

b) resultados de revisiones independientes

c) estado de acciones preventivas y correctivas

d) resultados de revisiones gerenciales previas

e) desempeño del proceso y conformidad con la política

f) tendencias relacionadas con amenazas

INPUT El input para la revisión gerencial

debiera incluir información sobre:a) retroalimentación de las partes

interesadasb) resultados de revisiones

independientesc) estado de acciones preventivas y

correctivas d) resultados de revisiones gerenciales

previase) desempeño del proceso y

conformidad con la políticaf) tendencias relacionadas con

amenazas

LOS OUTPUTSde la revisión gerencial debiera incluir cualquier decisión y acción relacionada con:

a) mejora del enfoque de la organización para manejar la seguridad de la información

b) mejora de los objetivos de control y los controles;

c) mejora de la asignación de recursos y/o responsabilidades.

Organización de la seguridad de la información

Organización internaManejar la seguridad de la

información dentro de la organización.

Se debiera fomentar un enfoquemulti-disciplinario para la seguridad de la información.

Compromiso de la gerencia con la seguridad de la informaciónLa gerencia debiera:

Revisar la efectividad de la implementación de la política de seguridad de la

Información

Proporcionar los recursos necesarios para la seguridad de la información;

Aprobar la asignación de roles y responsabilidades específicas para la seguridad

de la información a lo largo de toda la organización

iniciar planes y programas para mantener la conciencia de seguridad de la información

asegurar que la implementación de los controles de seguridad de la información sea coordinado en toda la organización.

Coordinación de la seguridad de la informaciónla coordinación de la seguridad de la información debiera involucrar la

cooperación y colaboración de los gerentes, usuarios, administradores, diseñadores de

aplicación, auditores y personal de seguridad, y capacidades especializadas en áreas como

seguros, temas legales, recursos humanos,

Esta actividad debiera:

identificar cómo manejar las no-conformidades

promover de manera efectiva la educación, capacitación y conocimiento de la seguridad de la información

evaluar la información recibida del monitoreo y revisar los incidentes de seguridad de la información, y recomendar las acciones

Asignación de las responsabilidades de la seguridad de la informaciónLas personas con responsabilidades de seguridad asignadas pueden delegar las tareas de seguridad a otros.

No obstante, ellos siguen siendo responsables y debieran determinar si

cualquier tarea delegada ha sido realizada correctamente.

Se debieran establecer claramente las áreas de las cuales son responsables las diferentes personas; en particular se debiera realizar lo siguiente:

I. se debieran identificar y definir claramente los activos

II. se debieran definir y documentar claramente los niveles de autorización

III. se debiera designar la entidad responsable de cada activo o proceso de seguridad

Acuerdos de confidencialidadSe debieran identificar y revisar regularmente que los requerimientos de confidencialidad o

acuerdos de no-divulgación reflejan las necesidades de la organización para proteger la

información.

“sólo lo que necesita saber”

Contacto con las autoridades

cuándo y cuáles Ejemplo bomberos,

proteccion civil

Policia

Contacto con grupos de interés especialSe debieran mantener contactos apropiados con grupos de interés especial

recibir advertencias tempranas de alertas, asesorías y avisos relacionados con

ataques y vulnerabilidades

********************************************************************************

Grupos o personas externasMantener la seguridad de la información y los medios de procesamiento de

información de la organización que son ingresados, procesados, comunicados o

manejados por, grupos externos

Se debiera controlar cualquier acceso a los medios de procesamiento de información de la

organización y el procesamiento y comunicación de la información realizado por grupos

externos.

Identificación de los riesgos relacionados con los grupos externosDonde existe la necesidad de permitir que un grupo externo tenga acceso a los medios de

procesamiento de la información o la información de una organización, se debiera llevar a

cabo una evaluación del riesgo