c
  

La información es un valioso patrimonio empresarial que existe y se presenta en diversas formas y se transmite por
diferentes medios.

Independientemente del carácter que adopte, se recopile o se comparta, la información y los dispositivos y
equipamiento asociados, deben ser protegidos adecuadamente y eficazmente, garantizándose la disponibilidad,
integridad y confidencialidad de la misma, con normas estandarizadas y adoptadas correctamente para la gestión de la
seguridad de la información organizacional.

  

La ISO 17799, al definirse como una guía protocolar (conjunto de normas a llevar a cabo) en la implementación del
sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios:
Confidencialidad: asegurar que, únicamente, personal autorizado tenga acceso a la información.
Integridad: garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas;
preservando exactitud y completitud de la misma y de los métodos de su procesamiento.
Disponibilidad: cerciorar que los usuarios autorizados tendrán acceso a la información cuando la requieran y sus medios
asociados.

 


^| Œolíticas de Seguridad,
^| Seguridad Organizacional,
^| Clasificación y Control de Activos,
^| Seguridad del Œersonal,
^| Seguridad Física y ambiental,
^| Administraciones de las Operaciones y Comunicaciones,
^| Control de accesos
^| Desarrollo y mantenimiento de Sistemas
^| Administración de la Continuidad del negocio
^| Cumplimiento de aspectos legales
 | 


 
Œroveer dirección y soporte administrativo para la seguridad de Información.
La administración superior debe definir una política clara y apoyar la Seguridad de la Información a través de la creación
y mantenimiento de una política de seguridad de la información a lo largo de la organización.

!


Debe ser aprobado por la administración, publicado y comunicado a todos los empleados.
" #$

#
La política debe ser administrada por una persona quién es responsable de su mantenimiento y revisión de acuerdo a un
proceso definido.
%| 
 
&


'




'!
#
 
Administrar la seguridad de la Información dentro de la organización.
Consejo directivo o un grupo designado por este debería de asumir la responsabilidad de la seguridad de información.
'




'!
#
Deben ser claramente definidas las responsabilidades para la protección de activos de información ó físicos y procesos
de seguridad.
Se deben establecer procesos de autorización para nuevas facilidades de procesamiento de la información.
Es recomendable disponer de la asesoría de un especialista de seguridad (para propósitos de evaluación o de
investigación de incidentes).




 
Mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al
que acceden terceras partes.
Revisar los tipos de acceso (físicos y lógicos).
Los Contratos deben incluir controles.
(| þ
'
#$þ
 
)
$*


 
 
Mantener protecciones apropiadas para los activos organizacionales.
Inventario de Activos
Ayudan a asegurar que hay una efectiva protección de activos.
Cada activo deberá ser claramente identificado y se debe documentar la propiedad y clasificación de seguridad, además
de su ubicación actual.
þ
'
#
'!
#
 
Asegurar que los activos de información reciben un apropiado nivel de protección.
Controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información.
La responsabilidad de definir la clasificación de un ítem de información debe permanecer con la persona nombrada
como dueña de la información.
+| 




'#


 
Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales.
Todos los empleados y usuarios externos de los servicios de procesamiento de la información deberían firmar un
acuerdo de confidencialidad.
El acuerdo de confidencialidad debe hacer notar que la información es confidencial o secreta.

!

 
Asegurarse que los usuarios conocen de las amenazas y preocupaciones de la Seguridad de la Información.
Todos los empleados de la organización deberán recibir entrenamiento apropiado en los procedimientos y políticas
organizacionales.
La regularidad dependerá de la actualización o los cambios que se den en la organización.
"*

 

 
Minimizar el daño del mal funcionamiento de software o de un incidente de seguridad y monitorear y aprender de tales
incidentes.
Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes.
Usuarios deberán reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o
servicios.
,| 
-
$
!

"*

 

 
Œrevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio.
Los elementos que forman parte del procesamiento de información sensitiva o crítica del negocio deberán ser
resguardados y protegidos por un perímetro de seguridad definido con controles apropiados de entrada.
Los equipos deben ser protegidos de caídas de electricidad y otras anomalías eléctricas.
Î| )!
#þ!
$ *

"*

$*!*


 
Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.
Los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados
constantemente.
Los cambios en los sistemas y elementos de procesamiento de información deben ser controlados.
"*

$*!*


Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, como:
Œrocedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de
servicio, datos incorrectos, brechas de confidencialidad.
Œrocedimientos para Œlanes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas
de auditoría, Reporte a las autoridades, etc.
"*

$*!*


Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas, (las acciones de
emergencias deben ser documentadas en detalle).
La segregación de tareas es un método de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas.


!$)*
#!

 
Minimizar los riesgos de fallas en los sistemas.
Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada
capacidad de procesamiento y almacenamiento.
Deben establecerse criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones y
se deben definir pruebas para llevarlas a cabo antes de su aceptación.
#
'.
c

 
Œroteger la integridad del Software y la Información.
Controles contra Software Malicioso:
Œolítica para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.
Œolítica para proteger contra los riesgos asociados al obtener archivos o software de redes externas.
Instalación y actualización regular de Antivirus y software scaneador de computadoras cono una medida preventiva.
þ
'.
c

Revisar regularmente del software y contenido de datos de los sistemas que soportan los sistemas críticos del negocio.
Revisar cualquier archivo electrónico contra virus.
Revisar los documentos adjuntos en correos electrónicos así como cualquier archivo que se baje de Internet contra
código malicioso.
Œrocedimientos y responsabilidades administrativas para lidiar con la protección de virus en los sistemas, entrenamiento
y reporte y recuperación de ataques.
Œlanes de Continuidad del Negocio para recuperarse ante ataques de virus.
Œrocedimientos para verificar toda la información en relación con software malicioso y verificar que los boletines de
advertencia son verdaderos.
*þ
 
Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación..
Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes
controles:
Documentación de los Backups, copias adicionales y almacenadas en una localidad remota.
Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente.
)!
#"
 
Asegurar la protección de la información en las redes así como de su infraestructura.
Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no
autorizados.
También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas.

$c
!
 
Œrevenir el daño a activos e interrupciones a actividades del negocio.
Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o
acceso no autorizado.
Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.
La documentación de sistemas puede contener información sensitiva por lo que debe ser almacenada con seguridad.

!'!
#$'.

 
Œrevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
El correo electrónico presenta los siguientes riesgos:
Vulnerabilidad de los mensajes ó acceso no autorizado.
Vulnerabilidad a errores (direcciones incorrectas).
Cambio en los esquemas de comunicación (más personal).
Consideraciones legales (prueba de origen).
Controles para el acceso remoto al correo.
 | þ)
"!/*



 
Controlar el acceso a la información.
Las reglas y derechos para el control de acceso de usuarios o grupos de usuarios deben estar bien claras en un
documento de políticas de acceso.
)!
#)
0

 
Œrevenir el acceso no autorizado a Sistemas de Información.
Deben existir procedimientos formales para el registro y eliminación de usuarios.
Deben existir procesos formales para el control de los password.
Usuarios deben seguir buenas prácticas de seguridad en la selección y uso de passwords.
þ)


 
Œrotección de los servicios de la red.
Se debe controlar el acceso a servicios internos y externos de la red.
þ

!
*
 
 
Œrevenir el acceso no autorizado a la computadora.
Restringir el acceso a recursos de la computadora.
þ)
)*

 
Œrevenir el acceso no autorizado a información mantenida en los Sistemas de Información.
Monitorear el uso y acceso a los sistemas
Los sistemas deben ser monitoreados para detectar desviaciones de las políticas de control de accesos y grabar eventos
específicos para proveer de evidencia en caso de incidentes de seguridad.
þ!*
#c# 
 
Asegurar la seguridad de la información cuando se utilizan dispositivos móviles.
1|

$c
!!

"!
!

 
Asegurar que la seguridad es incluida en los Sistemas de Información.
Seguridad en las Aplicaciones
Œrevenir la pérdida, modificación, o mal uso de los datos en las aplicaciones.


2 !

 
Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura.
| )!
#
þ
/
 
Actuar ante interrupciones de las actividades del Negocio y proteger procesos críticos del negocio de los efectos de fallas
o desastres considerables..
Marco de trabajo para el planeamiento de las actividades del negocio.
Un solo marco de trabajo de los planes de continuidad del negocio debe ser mantenido para asegurarse que todos son
desarrollados en forma consistente, pruebas y mantenimiento.
Se deben probar con frecuencia los Œlanes de Continuidad.
|þ!*!
 
Evitar brechas o violaciones a cualquier ley criminal o civil, regulatoria o contractual.
Œrocedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en
el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual.
þ 


'! 

Ciclo en el cual se mantiene la seguridad informática en la organización.
Está formada por un conjunto de fases.
Es un método continuo para mitigar el riesgo.
-
*




#


#3)4
) "
Debilidades en Seguridad Informática (ej., auditorías, evaluación de Vulnerabilidades, pruebas de penetración, revisión
de aplicaciones)
Œasos a seguir para prevenir problemas



Determinar el estado de la seguridad en dos áreas principales: Técnica y No Técnica.
No técnica: Evaluación de políticas.
Técnica: Evaluación de Seguridad física, diseño de seguridad en redes, matriz de habilidades.

 
 

Seguridad exterior
Seguridad en el edificio
Œasswords
Ingeniería social
Clasificación de los datos, Etc.
El Análisis de Riesgos nos permitirá:
"
&


Œroactivas
Reactivas
)!
"
Identificar
Analizar
Evaluar
Tratamiento a seguir
)!
#"
Método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los
riesgos asociados con una actividad, función o procesos para minimizar pérdidas.

-
*


5
Actividades a desarrollar para evitar que sucedan acciones indeseables.
Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales.
Necesitamos políticas?
Empleados accesando Internet?
Œroblemas con el uso de la red o el email?
Empleados utilizando información confidencial o privada?
Acceso remoto a la organización?
Dependencia de los recursos informáticos?
Œolíticas define que prácticas son o no son aceptadas.
Logs en Firewalls.
Se requiere Sistemas de detección de Intrusos?
O necesitamos Sistemas de prevención de Intrusos?
Firma digital para envío de documentos?
-
*

!*!
#
Œersonal especializado pone en marcha los controles basados en el diseño desarrollado.
-
*

)!
#$*
Observar las actividades normales y reaccionar ante incidentes.
Monitoreo y alertas.
Las respuestas se basan en el documento de Œolíticas de Seguridad definido.
Forma en que se trata el incidente.
Encontrar el problema y corregirlo.
Œrácticas forenses.
Definir la responsabilidad y el causante del problema.
c

Organización,
Identificación,
Encapsulamiento,
Erradicación,
Recuperación y
Lecciones aprendidas.
þ
*

#
3þ4
Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organización.
Habilidades y experiencia se alcanzan dentro de todo el proceso.