Hex Blue Template
Download
Report
Transcript Hex Blue Template
CAS-CHILE®
25 Años
INDUCCIÓN
SOBRE
SEGURIDAD
DE LA INFORMACIÓN
SGSI CAS-CHILE S.A. DE I.
2013
Líder en Software de Gestión Pública
CREADA TRAS LA 2DA GUERRA MUNDIAL, ES EL ORGANISMO
ENCARGADO DE PROMOVER EL DESARROLLO DE LAS
NORMAS INTERNACIONALES DE FABRICACIÓN, COMERCIO
Y COMUNICACIÓN PARA TODAS LAS RAMAS INDUSTRIALES A
EXCEPCIÓN DE LA ELÉCTRICA Y LA ELECTRÓNICA.
LA COMPONE UNA RED DE INSTITUTOS DE NORMAS
NACIONALES DE 163 PAÍSES, SOBRE LA BASE DE UN
MIEMBRO POR PAÍS, CON UNA SECRETARÍA CENTRAL EN
GINEBRA QUE COORDINA EL SISTEMA.
LAS NORMAS DESARROLLADAS POR ISO SON
VOLUNTARIAS.
ISO SON LAS SIGLAS DE LA “INTERNATIONAL
STANDARIZATION
ORGANIZATION”
(ORGANIZACIÓN
INTERNACIONAL PARA LA NORMALIZACIÓN) CUYA SEDE SE
ENCUENTRA EN SUIZA.
LAS NORMAS ISO 27000 SON EL PRIMER CONJUNTO DE
NORMATIVAS INTERNACIONALES ESPECÍFICAS PARA LA
GESTIÓN DE LOS SERVICIOS BASADOS EN LAS
TECNOLOGÍAS DE LA INFORMACIÓN.
LAS NORMAS ISO/IEC 27000 FORMAN PARTE DEL CONJUNTO
DE NORMAS PRODUCIDAS
POR LA ORGANIZACIÓN
INTERNACIONAL DE NORMALIZACIÓN ISO.
SE
PUEDEN CONSIDERAR COMO NORMAS “TRONCALES” EN LA
GESTIÓN DE LAS TI, PUES ESTRUCTURAN EN TORNO A
PROCESOS LAS ACTIVIDADES MÁS ESENCIALES.
INTRODUCEN
EN LA ORGANIZACIÓN DE LAS TI UNA FORMA DE
TRABAJO METÓDICA, INTEGRADA Y ORIENTADA A PROCESOS,
HACIENDO ESPECIAL ÉNFASIS EN GARANTIZAR LA CALIDAD DEL
SERVICIO A LOS DISTINTOS CLIENTES DE LAS TI.
PRESENTAN
UNA ORGANIZACIÓN CABAL DE LAS
PRINCIPALES ACTIVIDADES NECESARIAS PARA GESTIONAR
ESTOS SERVICIOS, AGRUPADAS EN UN CONJUNTO DE
PROCESOS CONSIDERADOS ESENCIALES PARA LA
CREACIÓN, PRESTACIÓN Y EVOLUCIÓN DE LOS SERVICIOS
DE LAS TI.
AL APLICAR SUS REQUISITOS Y RECOMENDACIONES, LAS
ORGANIZACIONES DE TI EMPRENDERÁN UN CAMINO
INDUDABLE DE MEJORA EN EL CONTROL Y LA CALIDAD DE
SU ACTIVIDAD.
ISO/IEC 27000: VOCABULARIO ESTÁNDAR PARA EL SGSI.
ISO/IEC 27001: CERTIFICACIÓN QUE DEBEN OBTENER LAS ORGANIZACIONES.
NORMA QUE ESPECIFICA LOS REQUISITOS PARA LA IMPLEMENTACIÓN DEL SGSI. ES
LA NORMA MÁS IMPORTANTE DE LA FAMILIA. ADOPTA UN ENFOQUE DE GESTIÓN DE
RIESGOS Y PROMUEVE LA MEJORA CONTINUA DE LOS PROCESOS.
ISO/IEC 27002: CÓDIGO DE PRACTICA PARA EL SGSI.
ISO/IEC 27003: DIRECTRICES PARA LA IMPLEMENTACIÓN DE UN SGSI. ES EL
SOPORTE DE LA NORMA 27001.
ISO/IEC 27004: MÉTRICAS PARA LA GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN. ES LA QUE PROPORCIONA RECOMENDACIONES DE QUIÉN, CUÁNDO
Y CÓMO REALIZAR MEDICIONES DE SEGURIDAD DE LA INFORMACIÓN.
ISO/IEC 27005: GESTIÓN DE RIESGOS EN SEGURIDAD DE LA INFORMACIÓN.
PROPORCIONA RECOMENDACIONES Y LINEAMIENTOS DE MÉTODOS Y TÉCNICAS DE
EVALUACIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN, EN SOPORTE DEL
PROCESO DE GESTIÓN DE RIESGOS DE LA NORMA ISO/IEC 27001.
ISO/IEC 27006:2007: REQUISITOS PARA LA ACREDITACIÓN DE LAS
ORGANIZACIONES QUE PROPORCIONAN LA CERTIFICACIÓN DE LOS
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. ESTA
NORMA ESPECIFICA REQUISITOS PARA LA CERTIFICACIÓN DE SGSI Y ES
USADA EN CONJUNTO CON LA NORMA 17021-1, LA NORMA GENÉRICA DE
ACREDITACIÓN.
ISO/IEC 27007: GUÍA PARA AUDITAR AL SGSI.
ISO/IEC 27799:2008: GUÍA PARA IMPLEMENTAR ISO/IEC 27002 EN LA
INDUSTRIA DE LA SALUD.
ISO/IEC 27035:2011: SEGURIDAD DE LA INFORMACIÓN, TÉCNICAS DE
GESTIÓN DE SEGURIDAD, GESTIÓN DE INCIDENTES DE SEGURIDAD.
ESTE ESTÁNDAR HACE FOCO EN LAS ACTIVIDADES DE DETECCIÓN,
REPORTE Y EVALUACIÓN DE INCIDENTES DE SEGURIDAD Y SUS
VULNERABILIDADES.
LA NORMA ISO 27001 ES UNA NORMA INTERNACIONAL Y
ABIERTA, CUYO OBJETIVO ES ESTABLECER LOS REQUISITOS
MÍNIMOS CON LOS QUE DEBE CUMPLIR UN SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN
UNA ORGANIZACIÓN.
PERMITE A LA EMPRESA DEMOSTRAR QUE DISPONE DE LOS
CONTROLES Y LOS PROCEDIMIENTOS ADECUADOS PARA
ASEGURAR EL TRATAMIENTO SEGURO DE LOS DATOS Y LA
INFORMACIÓN QUE SE MANEJA.
SE OBTIENE UN IMPORTANTE ELEMENTO DIFERENCIADOR,
QUE DESTACA POR SOBRE LA COMPETENCIA.
CUMPLIMIENTO DE LAS NORMATIVAS LEGALES RELATIVAS A
LA PROTECCIÓN DE DATOS, LO QUE PERMITE REDUCIR LOS
PROBLEMAS CON CLIENTES Y USUARIOS.
LA
NORMA ISO 9004 ESPECIFICA QUE TODA ACTIVIDAD QUE SE
REALICE DENTRO DE UNA ORGANIZACIÓN, SEA DEL TIPO QUE SEA
(PROCESOS PRODUCTIVOS, ADMINISTRATIVOS, COMERCIALES, DE
GESTIÓN), SE CONSIDERA, SE TRATA Y SE GESTIONA COMO SI FUESE
UN PROCESO, ESTO ES LO QUE SE CONOCE COMO
PROCESOS”.
“ENFOQUE DE
SE PUEDE DEFINIR UN PROCESO COMO UN CONJUNTO DE ACTIVIDADES
ORIENTADAS A GENERAR VALOR AÑADIDO A SUS ENTRADAS PARA
CONSEGUIR UN RESULTADO QUE SATISFAGA LOS REQUISITOS DEL
CLIENTE.
CUALQUIER ACTIVIDAD QUE RECIBE ENTRADAS Y LAS
TRANSFORMA EN SALIDAS ES UN PROCESO.
UNA EMPRESA U ORGANIZACIÓN REQUIERE GESTIONAR
UN GRAN NÚMERO DE PROCESOS QUE DE NINGÚN MODO
SON INDEPENDIENTES, SINO QUE SE ENCUENTRAN
TODOS
INTERRELACIONADOS
DE
FORMA QUE,
NORMALMENTE, LAS SALIDAS DE UNOS SON LAS
ENTRADAS DE OTROS.
PERMITE CONTROLAR DE FORMA CONTINUA TODOS LOS
PROCESOS, TANTO DE UNA MANERA INDIVIDUAL COMO
EN CONJUNTO.
SE REDUCEN LOS COSTOS Y SE ACORTAN TIEMPOS SI SE
UTILIZAN LOS RECURSOS DE FORMA ADECUADA.
PROPORCIONA MEJORES RESULTADOS, CON UNA MAYOR
CONSISTENCIA Y QUE ADEMÁS SE PUEDEN PREDECIR DE
UNA FORMA MÁS SENCILLA Y MÁS FIABLE.
PERMITE ESTABLECER PRIORIDADES A LA HORA DE
REALIZAR MEJORAS.
EL HECHO DE ADOPTAR ESTA VISIÓN DE LA ACTIVIDAD DE UNA ORGANIZACIÓN
IMPLICA NECESARIAMENTE LA REALIZACIÓN DE DIVERSAS TAREAS QUE
PODEMOS ENGLOBAR EN LOS SIGUIENTES PUNTOS:
ES NECESARIO ENFOCAR LA GESTIÓN COMO PROCESO SOBRE PARTES
DE LA EMPRESA TALES COMO PROVISIÓN DE RECURSOS, REALIZACIÓN
DEL PRODUCTO, RECURSOS HUMANOS
Y MATERIALES, LO QUE
MEJORARÁ LAS ACTIVIDADES DE LA ORGANIZACIÓN.
ES NECESARIO LLEVAR A CABO UNA DEFINICIÓN PRECISA DE LAS
ACTIVIDADES QUE SON NECESARIAS PARA LOGRAR EL RESULTADO
DESEADO.
ES DE SUMA IMPORTANCIA ESTABLECER LA JERARQUÍA DE
RESPONSABILIDADES Y DAR INDICACIONES PARA GESTIONAR LAS
ACTIVIDADES CLAVES.
ES DECIR, TODA ACTIVIDAD DEBE TENER:
UN OBJETO DEFINIDO CON FRONTERAS Y LÍMITES BIEN
DETERMINADOS POR CADA UNA DE LAS ETAPAS
PROCESO GLOBAL.
ALGÚN
Y PARA EL
TIPO DE INDICADOR QUE SEA CUANTIFICABLE O MEDIBLE,
PARA PODER COMPROBAR EL GRADO DE CUMPLIMIENTO DE LOS
OBJETIVOS.
DESIGNAR
A UN RESPONSABLE DE DICHO PROCESO.
ESTE ENFOQUE DE TODA ACTIVIDAD COMO UN PROCESO,
HACE QUE PODAMOS APLICARLE LA METODOLOGÍA
CONOCIDA COMO : PDCA (PLAN – DO – CHECK – ACT) O
LO QUE ES LO MISMO P H V A (PLANIFICAR – HACER –
VERIFICAR – ACTUAR), QUE NO ES MÁS QUE UN SISTEMA DE
MEJORA CONTINUA.
ACTUAR CORRECTIVAMENTE/
PREVENTIVAMENTE SOBRE LAS
CAUSAS DE NO
CONFORMIDADES O
IMPLEMENTAR MEJORAS.
CONTROLAR LAS
CONFORMIDADES
OPORTUNIDAD DE MEJORA
PLANIFICACIÓN Y
ESTABLECIMIENTOS DE LOS
DOCUMENTOS CORRECTOS,
POLÍTICA, OBJETIVOS.
REALIZAR LAS ACTIVIDADES
CONFORME A LA
DOCUMENTACIÓN
DO (HACER)
PLANIFICAR: PARA
PODER ESTABLECER LOS OBJETIVOS DE CADA ACTIVIDAD ES
NECESARIO TENER UNA POLÍTICA CLARA DE LO QUE SE PRETENDE RESPECTO AL
SISTEMA DE GESTIÓN DE CALIDAD E IDENTIFICAR LAS NECESIDADES Y EXPECTATIVAS
DE LOS CLIENTES DE UN MODO FIABLE, ASÍ SE PUEDEN DETERMINAR CUALES SON
LOS PROCESOS NECESARIOS PARA CONSEGUIR LOS RESULTADOS DESEADOS.
HACER: ETAPA
DE REALIZACIÓN DEL PRODUCTO O SERVICIO EN LA QUE ES
NECESARIO GESTIONAR DE FORMA ADECUADA TODOS LOS RECURSOS DE LA
EMPRESA.
VERIFICAR: TODOS
LOS PROCESOS Y PRODUCTOS SON ANALIZADOS Y MEDIDOS, DE
FORMA QUE CUMPLAN SIEMPRE CON LOS REQUISITOS, POLÍTICA Y OBJETIVOS DE LA
ORGANIZACIÓN. SE INFORMA SOBRE LOS RESULTADOS Y SE ANALIZAN DICHOS DATOS.
ACTUAR:
UNA VEZ REALIZADOS LOS ANÁLISIS DE LOS RESULTADOS DE LA ETAPA
ANTERIOR, SE TOMAN MEDIDAS AL RESPECTO Y SE PLANIFICA DE NUEVO CON EL FIN
DE MANTENER UNA MEJORA CONTINUA.
LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN
FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU
INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL
PARA ALCANZAR LOS OBJETIVOS DEL NEGOCIO.
ES
LA PROTECCIÓN
DE
LA CONFIDENCIALIDAD,
INTEGRIDAD,
DISPONIBILIDAD DE LOS ACTIVOS DE INFORMACIÓN SEGÚN SEA
NECESARIO, PARA ALCANZAR LOS OBJETIVOS DEL NEGOCIO DE LA
ORGANIZACIÓN.
ES UNA HERRAMIENTA DE GESTIÓN QUE NOS VA A PERMITIR
CONOCER, GESTIONAR Y MINIMIZAR LOS POSIBLES RIESGOS
QUE ATENTEN CONTRA LA SEGURIDAD DE LA INFORMACIÓN.
LA SEGURIDAD DE LA INFORMÁTICA
SE REFIERE A LA
PROTECCIÓN DE LAS INFRAESTRUCTURAS DE LAS TIC`S QUE
SOPORTAN NUESTRO NEGOCIO.
LA SEGURIDAD DE LA INFORMACIÓN ES LA PROTECCIÓN DE
LOS ACTIVOS DE INFORMACIÓN MÁS FUNDAMENTALES PARA EL
ÉXITO DE CUALQUIER ORGANIZACIÓN.
LA INFORMACIÓN ASOCIADA A NUESTROS CLIENTES.
LA INFORMACIÓN ASOCIADA A NUESTRAS VENTAS.
LA INFORMACIÓN ASOCIADA A NUESTRO PERSONAL.
LA
INFORMACIÓN ASOCIADA
PRODUCTOS Y SERVICIOS.
LA
INFORMACIÓN
OPERACIONES.
ASOCIADA
A
NUESTROS
A
NUESTRAS
LAS “BUENAS PRÁCTICAS” EN
SEGURIDAD DE LA INFORMACIÓN,
PROTEGEN A ÉSTA CONTRA UNA
AMPLIA GAMA DE AMENAZAS, TANTO
DE ORDEN FORTUITO (DESTRUCCIÓN
PARCIAL O TOTAL POR INCENDIO
INUNDACIONES,
TERREMOTOS
EVENTOS ELÉCTRICOS Y OTROS)
COMO DE ORDEN DELIBERADO, TAL
COMO
FRAUDE,
ESPIONAJE,
SABOTAJE, VANDALISMO, ETC.
CONFIDENCIALIDAD: SE
GARANTIZA QUE LA
INFORMACIÓN ES ACCESIBLE SÓLO A AQUELLAS
PERSONAS AUTORIZADAS.
INTEGRIDAD: SE SALVAGUARDA LA EXACTITUD Y
TOTALIDAD DE LA INFORMACIÓN Y LOS
MÉTODOS DE PROCESAMIENTO Y TRANSMISIÓN.
DISPONIBILIDAD: SE
GARANTIZA QUE LOS
USUARIOS AUTORIZADOS TIENEN ACCESO A LA
INFORMACIÓN
Y
A
LOS
RECURSOS
RELACIONADOS TODA VEZ QUE LO REQUIERAN.
UNA AMENAZA
ES LA POSIBILIDAD DE
OCURRENCIA DE CUALQUIER TIPO DE EVENTO
O ACCIÓN QUE PUEDE PRODUCIR UN DAÑO
(MATERIAL O INMATERIAL) SOBRE LOS
ELEMENTOS DE UN SISTEMA, EN EL CASO DE
LA
SEGURIDAD
INFORMÁTICA,
LOS
ELEMENTOS DE INFORMACIÓN.
LAS AMENAZAS A LA SEGURIDAD DE LA
INFORMACIÓN ATENTAN CONTRA LA C - I - D
DE LA INFORMACIÓN.
EL
USUARIO: CAUSA DEL MAYOR PROBLEMA
LIGADO A LA SEGURIDAD DE UN SISTEMA
INFORMÁTICO (PORQUE NO LE IMPORTA, NO
SE DA CUENTA O A PROPÓSITO).
PROGRAMAS
MALICIOSOS:
PROGRAMAS
DESTINADOS A PERJUDICAR O A HACER UN
USO ILÍCITO DE LOS RECURSOS DEL SISTEMA.
UN
INTRUSO: PERSONA QUE CONSIGUE ACCEDER A LOS DATOS O
PROGRAMAS DE LOS CUALES NO TIENE ACCESO PERMITIDO
(CRACKER, DEFACER, SCRIPT KIDDIE O SCRIPT BOY, VIRUXER, ETC.).
UN
SINIESTRO (ROBO, INCENDIO, INUNDACIÓN): UNA MALA
MANIPULACIÓN O UNA MAL INTENCIÓN DERIVAN A LA PÉRDIDA DEL
MATERIAL O DE LOS ARCHIVOS.
EL
PERSONAL INTERNO DE SISTEMAS. LAS PUJAS DE PODER QUE
LLEVAN A DISOCIACIONES ENTRE LOS SECTORES Y SOLUCIONES
INCOMPATIBLES PARA LA SEGURIDAD INFORMÁTICA.
LA
PALABRA VULNERABILIDAD HACE
REFERENCIA A UNA DEBILIDAD EN UN
SISTEMA PERMITIENDO A UN ATACANTE
VIOLAR
LA
CONFIDENCIALIDAD,
INTEGRIDAD, DISPONIBILIDAD, CONTROL
DE ACCESO Y CONSISTENCIA DEL SISTEMA
O DE SUS DATOS Y APLICACIONES.
UNA VULNERABILIDAD ES UNA
DEBILIDAD EN UN ACTIVO.
UNA AMENAZA ES UNA VIOLACIÓN
POTENCIAL DE LA SEGURIDAD.
NO
ES NECESARIO QUE LA
VIOLACIÓN OCURRA PARA QUE LA
AMENAZA EXISTA.
LAS
AMENAZAS
VULNERABILIDADES.
“EXPLOTAN”
OBJETIVO GENERAL DEL SGSI DE CAS-CHILE®
ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DE LA INFORMACIÓN TANTO PROPIA COMO
CONFIADA POR TERCEROS Y QUE SON MANEJADOS POR LA
ORGANIZACIÓN.
OBJETIVOS ESPECÍFICOS
CONTAR CON UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN CERTIFICADO, CON EL FIN DE MITIGAR LOS
RIESGOS OPERATIVOS DE LOS SERVICIOS OUTSOURCING.
DISMINUIR EN UN 5% ANUALMENTE LOS REPORTES DE
INCIDENCIAS.
ASEGURAR LA MEJORA CONTINUA SOBRE LA BASE DE LA
MEDICIÓN OBJETIVA.
CUANDO
UNA EMPRESA DECIDE ADAPTARSE A ESTA NORMA,
BÁSICAMENTE SE EMPRENDERÁN LAS ACTIVIDADES QUE SE
DETALLAN A CONTINUACIÓN Y QUE DEBEN SER DOCUMENTADAS.
POLÍTICA DE SEGURIDAD.
INVENTARIO DE ACTIVOS.
ANÁLISIS DE RIESGOS.
DECISIONES DE LA DIRECCIÓN RESPECTO A LOS RIESGOS
IDENTIFICADOS, ASÍ COMO LA APROBACIÓN DE LOS RIESGOS
RESIDUALES.
DOCUMENTACIÓN DE APLICABILIDAD O STATEMENT OF APPLICABILITY
(SOA, ISO 27001 CLÁUSULA 4.2.1J). LISTA LOS OBJETIVOS Y
CONTROLES QUE SE VAN A IMPLEMENTAR EN UNA ORGANIZACIÓN, ASÍ
COMO LAS JUSTIFICACIONES DE AQUELLOS CONTROLES QUE NO VAN A
SER IMPLEMENTADOS.
TRATAR LOS RIESGOS
ANALIZAR LOS
RIESGOS
IDENTIFICAR RIESGOS
DEFINIR EL
ENFOQUE DE
ANÁLISIS
IDENTIFICAR
ACTIVOS
DEFINIR POLÍTICA
DE SEGURIDAD
DEFINIR
ALCANCE
ES DECIR, SOBRE QUÉ PROCESO O PROCESOS VA A ACTUAR, YA
QUE NO ES NECESARIA LA APLICACIÓN DE LA NORMA A TODA LA
ENTIDAD. HAY QUE EVALUAR LOS RECURSOS QUE SE PUEDEN
DEDICAR AL PROYECTO Y SI REALMENTE ES PRECISO ABARCAR
TODA LA ORGANIZACIÓN.
NORMALMENTE ES
SGSI A AQUELLOS
MÁS PRÁCTICO LIMITAR EL ALCANCE DEL
SERVICIOS, DEPARTAMENTOS, O PROCESOS
EN LOS QUE RESULTE MÁS SENCILLO, BIEN PORQUE EL
ESFUERZO VA A SER MENOR O PORQUE LA VISIBILIDAD DEL
PROYECTO (INTERNA O EXTERNA) ES MAYOR.
EL ALCANCE DEL SISTEMA DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN DE CAS-CHILE®,
TIENE RELACIÓN CON EL SERVICIO
OUTSOURCING.
ENTENDEREMOS
COMO
“OUTSOURCING” LOS SERVICIOS
ENTREGADOS POR CAS-CHILE®
PARA
PROVEER
SOLUCIONES
INTEGRALES A SUS CLIENTES
CUANDO ESTOS
OPTAN POR
EXTERNALIZAR
SERVICIOS
CRÍTICOS ASOCIADOS A CADA UNO
DE
ESTOS
PRODUCTOS,
DESTINANDO SUS RECURSOS Y
COSTOS
ASOCIADOS
A
UNA
EMPRESA
ESPECIALIZADA
(EXTERNA).
ESTO SE TRADUCE EN:
AUMENTO DE LA RENTABILIDAD A TRAVÉS DE LA MEJORA EN LOS
NIVELES DE PRODUCTIVIDAD.
MAYOR FLEXIBILIDAD INTERNA MAXIMIZANDO LA ADMINISTRACIÓN
DEL TIEMPO.
UTILIZACIÓN DE RECURSOS MULTIDISCIPLINARIOS.
OPTIMIZACIÓN EN LOS CONTROLES.
ACCESO A TECNOLOGÍA DE AVANZADA.
ESTE SERVICIO ESTA COMPUESTO POR UNA SERIE DE SERVICIOS
INDIVIDUALES, QUE ENTREGA UNA AMPLIA GAMA DE TECNOLOGÍAS Y
PERMITEN SATISFACER LAS NECESIDADES A NUESTROS CLIENTES DE
FORMA INDIVIDUAL.
SERVICIO E-COM.
SERVICIO CLOUD COMPUTING.
SERVICIO DE SITIOS WEB.
LAS POLÍTICAS SON ELEMENTOS DE ALTO NIVEL. ELLAS
REPRESENTAN LA FILOSOFÍA CORPORATIVA DE UNA
ORGANIZACIÓN Y EL PENSAMIENTO ESTRATÉGICO DE LA
ALTA GERENCIA Y DE LOS DUEÑOS DE LOS PROCESOS DEL
NEGOCIO. LAS POLÍTICAS DEBEN SER CLARAS Y CONCISAS
PARA QUE SEAN ESPECÍFICAS.
DECIDE QUÉ CRITERIOS SE VAN A UTILIZAR, ESTABLECIENDO LAS PRINCIPALES LÍNEAS
DE ACCIÓN QUE SE VAN A SEGUIR PARA QUE LA CONFIDENCIALIDAD, LA INTEGRIDAD Y LA
DISPONIBILIDAD QUEDEN GARANTIZADAS.
ESTA POLÍTICA TENDRÁ EN CUENTA LOS REQUISITOS DEL NEGOCIO, LOS
CONTRACTUALES Y LOS LEGALES QUE SEAN APLICABLES.
ES
ESENCIAL QUE EL
SGSI
ESTÉ ALINEADO CON EL RESTO DE LAS ESTRATEGIAS,
PLANES Y MODOS DE FUNCIONAR DE LA ORGANIZACIÓN PARA QUE PUEDA INTEGRARSE
EN EL DÍA A DÍA SIN COMPLICACIONES Y RINDIENDO RESULTADOS DESDE EL PRINCIPIO.
DEBE DEJAR CLARA LAS NORMAS BÁSICAS DE SEGURIDAD EN LA ORGANIZACIÓN,
DEFINIENDO CUÁL VA A SER EL COMPORTAMIENTO DE LA MISMA EN CUANTO A LOS USOS
DE LA INFORMACIÓN Y DE LOS SISTEMAS, LOS ACCESOS, CÓMO SE GESTIONARÁN LAS
INCIDENCIAS, ETC.
LOS EMPLEADOS DEBEN CONOCER ESTA POLÍTICA Y ADHERIRSE A ELLA, INCLUSO
FORMALMENTE SI ES NECESARIO.
CAS-CHILE®,
CONSCIENTE DE LA IMPORTANCIA QUE REPRESENTA PARA SU
NEGOCIO MANTENER Y ASEGURAR LA INTEGRIDAD, CONFIDENCIALIDAD Y
DISPONIBILIDAD DE LOS ACTIVOS DE INFORMACIÓN (TRÍADA DE LA SEGURIDAD DE LA
INFORMACIÓN) TANTO PROPIOS, COMO CONFIADOS POR TERCEROS Y QUE SON
MANEJADOS POR LA ORGANIZACIÓN. SE COMPROMETE A DESARROLLAR, IMPLANTAR,
MANTENER Y MEJORAR CONTINUAMENTE EL SISTEMA DE GESTIÓN DE SEGURIDAD
DE LA INFORMACIÓN (SGSI), BRINDANDO TODO EL APOYO REQUERIDO PARA CUMPLIR
METAS Y PRINCIPIOS DE SEGURIDAD, TOMANDO EN CUENTA A SU VEZ LOS
REQUERIMIENTOS COMERCIALES Y LEGALES VIGENTES, ADEMÁS DE LAS
OBLIGACIONES DE SEGURIDAD PROPIAS DE LA ORGANIZACIÓN Y SU ESTRATEGIA DE
NEGOCIO, CON EL FIN DE PROVEER SERVICIOS CON MAYORES NIVELES DE
SEGURIDAD Y CALIDAD.
ENTENDEMOS COMO ACTIVOS DE INFORMACIÓN AQUEL BIEN QUE TIENE VALOR PARA
LA ORGANIZACIÓN TAL COMO EL HARDWARE, SOFTWARE, LA INFRAESTRUCTURA Y
LAS PERSONAS QUE LA SOPORTAN, JUNTO CON ELLO TODO AQUEL QUE POSEE EL
CONOCIMIENTO DE LOS PROCESOS QUE EXISTEN EN LA EMPRESA.
PARA ESTOS EFECTOS, NUESTRA ORGANIZACIÓN SE RIGE POR LOS 11
DOMINIOS DE SEGURIDAD ESTABLECIDOS EN LA NORMA ISO/IEC
27001:2005 DEFINIENDO LAS POLÍTICAS, OBJETIVOS, PROCEDIMIENTOS Y
MANTENIMIENTO DE LOS REGISTROS NECESARIOS PARA EVITAR
DESTRUCCIÓN, DIVULGACIÓN, MODIFICACIÓN Y UTILIZACIÓN NO AUTORIZADA
DE TODA LA INFORMACIÓN RELACIONADA CON CLIENTES, EMPLEADOS,
PROVEEDORES, PRECIOS, BASES DE CONOCIMIENTO, MANUALES, CASOS DE
ESTUDIO, CÓDIGOS FUENTE, ESTRATEGIA, GESTIÓN, Y OTROS CONCEPTOS.
ADEMÁS,
CAS-CHILE®
VELARÁ POR INSTRUIR Y EDUCAR
CONSTANTEMENTE A SUS EMPLEADOS EN AQUELLAS MATERIAS RELATIVAS A
LA SEGURIDAD DE LA INFORMACIÓN, CREANDO CONCIENCIA DE LA
IMPORTANCIA DE CUMPLIR CON LOS CONTROLES Y POLÍTICAS APLICADAS AL
USO, ALMACENAMIENTO, ACCESO Y DISTRIBUCIÓN DE INFORMACIÓN,
HACIÉNDOLAS PARTE DE SU CULTURA ORGANIZACIONAL Y PENALIZANDO
CUALQUIER TIPO DE VIOLACIÓN A ÉSTAS.
ESTA POLÍTICA DEBERÁ SER CONOCIDA POR TODO EL PERSONAL, CLIENTES
Y PROVEEDORES DE CAS-CHILE®.
SE DENOMINA ACTIVO A AQUELLO QUE
TIENE
ALGÚN
VALOR
PARA
LA
ORGANIZACIÓN Y POR TANTO DEBE
PROTEGERSE. UN ACTIVO DE INFORMACIÓN
ES AQUEL ELEMENTO QUE CONTIENE O
MANIPULA INFORMACIÓN.
ACTIVOS
DE INFORMACIÓN SON ARCHIVOS, BASES DE DATOS,
CONTRATOS, ACUERDOS, DOCUMENTACIÓN DEL SISTEMA, APLICACIONES,
SOFTWARE BÁSICO, COMPUTADORES, EQUIPOS, DE COMUNICACIONES,
ETC. Y LAS PERSONAS, QUE SON AL FIN Y AL CABO LAS QUE EN ÚLTIMA
INSTANCIA GENERAN, TRANSMITEN Y DESTRUYEN INFORMACIÓN.ES
DECIR DENTRO, DE UN ORGANIZACIÓN SE HAN DE CONSIDERAR TODOS
LOS TIPOS DE ACTIVOS DE INFORMACIÓN.
SEGÚN ISACA,
UN ACTIVO DE INFORMACIÓN ES UN RECURSO O BIEN
ECONÓMICO PROPIEDAD DE UNA EMPRESA, CON EL CUAL SE TIENEN
BENEFICIOS.
CADA
UNO DE LOS ACTIVOS QUE SE IDENTIFIQUEN DEBEN CONTAR
CON UN RESPONSABLE, QUE SERÁ SU PROPIETARIO. ESTA PERSONA
SE HARÁ CARGO DE MANTENER LA SEGURIDAD DEL ACTIVO AUNQUE
NO NECESARIAMENTE SERÁ LA QUE GESTIONE EL DÍA A DÍA DEL
MISMO.
POR EJEMPLO: UNA BASE DE DATOS CON TODOS LOS CLIENTES DE
LA EMPRESA. EL PROPIETARIO DE ESTA SERÁ EL GERENTE DE
VENTAS, PERO SIN EMBARGO, LOS VENDEDORES SERÁN LOS
USUARIOS DEL SISTEMA DE GESTIÓN DE VENTAS Y SU BBDD.
EL SGSI VA A PROTEGER LOS ACTIVOS QUE QUEDEN DENTRO DEL ALCANCE
DEFINIDO, POR ESO ES VITAL LISTARLOS TODOS, IDENTIFICANDO QUÉ
ACTIVOS SON LOS QUE SOPORTAN LOS PROCESOS DE LA ORGANIZACIÓN.
UNA VEZ IDENTIFICADOS DEBEN VALORARSE.
DE ACUERDO CON LA RELEVANCIA QUE LA ORGANIZACIÓN OTORGUE A LOS
ACTIVOS, SE ESCOGERÁ EL GRUPO DE LOS MÁS VALIOSOS PARA EFECTUAR
EL ANÁLISIS DE RIESGOS.
ESTA TAREA CONSUME GRAN PARTE DE LOS RECURSOS DEL PROYECTO,
POR LO QUE ES CONVENIENTE SIMPLIFICARLA.
DEBEN RELACIONARSE CON LOS PROCESOS DE NEGOCIO QUE SOPORTAN,
DE FORMA QUE QUEDE EXPLÍCITA LA DEPENDENCIA DEL NEGOCIO
RESPECTO DE ESOS ACTIVOS.
DETERMINARÁ LAS AMENAZAS Y VULNERABILIDADES DE
LOS ACTIVOS DE
INVENTARIADOS.
LA
INFORMACIÓN
PREVIAMENTE
TAREA CRUCIAL PARA EL CORRECTO DISEÑO DEL SGSI,
PUESTO QUE DE SU RESULTADO DEPENDE QUE SE
ESCOJAN CIERTOS CONTROLES U OTROS, QUE SON LOS
QUE CONFORMARÁN NUESTROS SISTEMA.
IDENTIFICAR LOS RIESGOS QUE PUEDEN AFECTAR LA
ORGANIZACIÓN Y SUS ACTIVOS DE INFORMACIÓN. EL RIESGO SE
DEFINE EN FUNCIÓN DEL DAÑO QUE PODRÍA PRODUCIR UNA
AMENAZA POR LA PROBABILIDAD DE QUE ESO OCURRA.
DEFINIR LOS CRITERIOS PARA ACEPTAR LOS RIESGOS Y
SELECCIONAR LOS CONTROLES DE MANERA PROPORCIONAL A
LOS RIESGOS DETECTADOS Y A LOS RECURSOS DISPONIBLES.
APLICAR CONTROLES A TODOS LOS ACTIVOS NO SUELE SER
VIABLE NI ORGANIZATIVA, NI ECONÓMICAMENTE.
OBTENIDOS LOS NIVELES DE RIESGO, HAY QUE DECIDIR SI SON
ACEPTABLES O NO, SEGÚN EL CRITERIO FIJADO PREVIAMENTE.
MITIGAR
EL RIESGO: REDUCIRLO MEDIANTE LA IMPLEMENTACIÓN DE
CONTROLES QUE LO DISMINUYAN HASTA UN NIVEL ACEPTABLE.
ASUMIR EL RIESGO: LA DIRECCIÓN TOLERA EL RIESGO, YA QUE ESTÁ
POR DEBAJO DE UN VALOR DE RIESGO ASUMIBLE O BIEN PORQUE NO
SE PUEDE HACER FRENTE RAZONABLEMENTE A ESE RIESGO, POR
COSTOSO O DIFÍCIL.
TRANSFERIR EL RIESGO: A UN TERCERO, ASEGURANDO EL ACTIVO QUE
TIENE EL RIESGO O SUBCONTRATANDO EL SERVICIO.
ELIMINAR EL RIESGO: PUEDE RESULTAR COMPLICADO O COSTOSO.
DEBEN
SER SELECCIONADOS ENTRE LOS LISTADOS DEL ANEXO
DE LA PROPIA NORMA (NORMA UNE-ISO/IEC 27002).
A
SE
PUEDEN AÑADIR OTROS, PERO ESTA LISTA DE CONTROLES ES
UN SÓLIDO PUNTO DE PARTIDA PARA ELEGIR LAS MEDIDAS DE
SEGURIDAD APROPIADAS PARA EL SGSI.
A LA HORA DE ESCOGER O RECHAZAR UN CONTROL SE DEBE
CONSIDERAR HASTA QUÉ PUNTO ESE CONTROL VA A AYUDAR A
REDUCIR EL RIESGO QUE HAY Y CUAL VA A SER EL COSTE DE SU
IMPLEMENTACIÓN Y MANTENIMIENTO.
UN SGSI
NO TIENE NECESARIAMENTE QUE TENER CUBIERTOS
TODOS Y CADA UNO DE LOS RIESGOS A LOS QUE SE ESTÁ
EXPUESTO, SINO QUE TRATARÁ DE MITIGARLOS DE ACUERDO A LAS
NECESIDADES DEL NEGOCIO.
UNA
VEZ SELECCIONADOS LOS CONTROLES SE REPETIRÁ EL
ANÁLISIS DE RIESGOS TENIENDO EN CUENTA TODAS LAS
MEDIDAS DE SEGURIDAD IMPLEMENTADAS.
EL VALOR DEL RIESGO OBTENIDO SERÁ EL
RIESGO ACTUAL, EN FUNCIÓN DEL QUE SE
DETERMINA
EL
RIESGO
ASUMIBLE
POR
LA
ORGANIZACIÓN
Y
SE
DECIDEN
NUEVAS
ESTRATEGIAS Y ACCIONES PARA REDUCIR LOS
RIESGOS QUE ESTÉN POR ENCIMA DE ESE VALOR.
LA
DIRECCIÓN DEBE APROBAR EL VALOR DEL
RIESGO ACEPTABLE
RESIDUAL.
Y
ASUMIR
EL
RIESGO
UNA DECLARACIÓN DE APLICABILIDAD DEBE INCLUIR:
OBJETIVOS
DE CONTROL Y LOS CONTROLES SELECCIONADOS, CON
LAS RAZONES DE ESTA ELECCIÓN.
LOS
OBJETIVOS DE CONTROL Y LOS
CONTROLES
IMPLEMENTADOS,
ACTUALMENTE
CON
UNA
JUSTIFICACIÓN.
LA EXCLUSIÓN
DE CUALQUIER OBJETIVO DEL
CONTROL Y DE CUALQUIER CONTROL EN EL
ANEXO A Y LA JUSTIFICACIÓN PARA DICHA
EXCLUSIÓN.
PARA PONER EN MARCHA EL SGSI LA DIRECCIÓN TIENE QUE
APROBAR A DOCUMENTACIÓN DESARROLLADA EN LAS
ACTIVIDADES DETALLADAS EN EL PUNTO ANTERIOR Y PROVEER
LOS RECURSOS NECESARIOS PARA EJECUTAR LAS ACTIVIDADES.
ESTAS
ACTIVIDADES SE REGISTRARÁN EN
UN PLAN DE TRATAMIENTO DE RIESGO QUE
REGULE TODAS LAS ACCIONES NECESARIAS
PARA
TRATARLE,
ADEMÁS
DE
LOS
RECURSOS, LAS RESPONSABILIDADES Y LAS
PRIORIDADES PARA LA GESTIÓN DE LOS
RIESGOS
DE
INFORMACIÓN.
SEGURIDAD
DE
LA
FORMA
PARTE DEL CICLO PDCA. HAY QUE CONTROLAR Y
REVISAR EL SGSI DE MANERA PERIÓDICA PARA GARANTIZAR LA
CONVENIENCIA, ADECUACIÓN Y EFICACIA CONTINUA DEL SISTEMA.
LA
SEGURIDAD
ES
UN
ORGANIZACIONES NO SON ESTÁTICAS
SERÍA
LAS
Y SU GESTIÓN TAMPOCO LO ES.
PROCESO
EN
CONTINUO
CAMBIO.
UN GRAVE ERROR CONSIDERAR QUE UNA VEZ ANALIZADOS LOS
RIESGOS Y DEFINIDAS LAS MEDIDAS PARA REDUCIRLOS SE HAYA
TERMINADO EL TRABAJO.
EL SGSI DEBE CONTAR CON LA DOCUMENTACIÓN NECESARIA QUE JUSTIFIQUE
LAS DECISIONES DE LA DIRECCIÓN, LAS POLÍTICAS Y LAS ACCIONES TOMADAS Y
QUE SE PUEDA DEMOSTRAR QUE LOS CONTROLES SELECCIONADOS LO HAN
SIDO COMO RESULTADO DE ESTAS DECISIONES Y DEL ANÁLISIS DE RIESGOS.
DEBE CONTENER:
LA POLÍTICA Y OBJETIVO DEL SGSI.
EL ALCANCE DEL SGSI.
DESCRIPCIÓN DE LA METODOLOGÍA DE ANÁLISIS DE RIESGO.
INVENTARIO DE ACTIVOS.
LOS PROCEDIMIENTOS Y CONTROLES DE APOYO AL SGSI.
ANÁLISIS DE RIESGO.
PLAN DE TRATAMIENTO DE RIESGO.
DECLARACIÓN DE APLICABILIDAD.
PROCEDIMIENTOS PARA IMPLEMENTACIÓN DE CONTROLES.
REGISTROS REQUERIDOS POR LA NORMA.
LOS DOCUMENTOS REQUERIDOS POR EL
SGSI DEBEN HALLARSE PROTEGIDOS Y
CONTROLADOS, POR LO QUE SE
PRECISAN UNOS PROCEDIMIENTOS DE
CONTROL
DE
DOCUMENTACIÓN,
REVISIÓN Y DE REGISTRO
DE
(INFORMES,
AUDITORÍAS, CAMBIOS, AUTORIZACIONES
DE ACCESO, PERMISOS TEMPORALES,
BAJAS, ETC.).
LOS
DOCUMENTOS DEBEN CONTEMPLAR CÓMO SE GENERAN, APRUEBAN, REVISAN Y
ACTUALIZAN SEGÚN SEA NECESARIO.
UNA BUENA GESTIÓN DOCUMENTAL CONTARÁ CON QUE
LOS CAMBIOS SEAN IDENTIFICADOS
Y QUE LA IDENTIFICACIÓN DE LOS DOCUMENTOS Y SU ESTADO RESULTEN CLARAS.
LOS
DOCUMENTOS DEBEN ESTAR DISPONIBLES Y ACCESIBLES EN TODOS LOS PUNTOS EN
LOS QUE SEA NECESARIO UTILIZARLOS.
SON
AQUELLOS DOCUMENTOS QUE PROPORCIONAN EVIDENCIA DE LA
REALIZACIÓN DE ACTIVIDADES DEL SGSI.
CON ELLOS SE PUEDE VERIFICAR
EL CUMPLIMIENTO DE LOS REQUISITOS.
EJEMPLO
DE REGISTROS SON EL LIBRO DE VISITAS, LOS INFORMES DE
AUDITORÍAS Y LOS LOG DE LOS SISTEMAS.
REQUISITO FUNDAMENTAL PARA PONER EN MARCHA UN SGSI. NO SOLO POR QUE ES UNO DE
LOS EPÍGRAFES CONTEMPLADOS EN LA NORMA, SI NO PORQUE EL CAMBIO DE CULTURA Y
CONCIENCIACIÓN QUE GENERA EL PROCESO SERÍA IMPOSIBLE DE SOBRELLEVAR SIN EL
COMPROMISO CONSTANTE DE LA DIRECCIÓN.
EL DESARROLLO, LA IMPLEMENTACIÓN Y EL MANTENIMIENTO DEL SGSI EXIGEN UN ESFUERZO
ORGANIZATIVO IMPORTANTE, QUE ÚNICAMENTE PODRÍA LLEVARSE A CABO CON UNA VOLUNTAD
CLARA DE HACERLO POR PARTE DE LA DIRECCIÓN, PUESTO QUE ES ELLA QUIÉN TIENE QUE
PROVEER DE RECURSOS AL PROYECTO, TANTO FINANCIEROS COMO HUMANOS, POR LO QUE
SU APOYO ES IMPRESCINDIBLE.
LA DIRECCIÓN DEBE GESTIONAR LOS RECURSOS. HA DE COMENZAR
A PROVEER DE RECURSOS AL DESARROLLO Y MANTENIMIENTO DEL
SGSI EN FUNCIÓN DE LO QUE SE ESTIME NECESARIO PARA
ESTABLECER, IMPLEMENTAR, PONER EN FUNCIONAMIENTO,
EFECTUAR EL SEGUIMIENTO, REVISAR, MANTENER Y MEJORAR EL
SGSI.
LA NORMA EXIGE QUE TODOS LOS TRABAJADORES CON RESPONSABILIDADES
DEFINIDAS EN EL QUE EL SGSI SEAN COMPETENTES PARA EFECTUAR LAS
ACTIVIDADES NECESARIAS.
ESTO SIGNIFICA QUE HAY QUE DEFINIR LAS COMPETENCIAS NECESARIAS Y EN
FUNCIÓN DE TALES
NECESIDADES PROPORCIONAR LA FORMACIÓN A LA
PLANTILLA O ADOPTAR OTRAS ACCIONES PARA SATISFACERLAS, POR EJEMPLO, LA
CONTRATACIÓN DE PERSONAL COMPETENTE.
UNA DE LAS HERRAMIENTAS MÁS INTERESANTES PARA CONTROLAR
EL FUNCIONAMIENTO DEL SGSI SON LAS AUDITORÍAS INTERNAS.
ESTAS AUDITORÍAS DEBEN PROGRAMARSE Y PREPARARSE
REGULARMENTE, NORMALMENTE UNA VEZ AL AÑO. HAY QUE FIJARSE
EN:
EL ESTADO E IMPORTANCIA DE LOS PROCESOS Y LAS ÁREAS QUE SERÁN
AUDITADAS, DE ESTE MODO, SE DETERMINARÁ EL TIEMPO Y LOS RECURSOS
QUE HABRÁ QUE DESTINAR PARA EFECTUAR LA AUDITORÍA.
LOS CRITERIOS DE AUDITORÍA.
EL ALCANCE, SI VA A SER GLOBAL O PARCIAL.
LA FRECUENCIA DE REALIZACIÓN DE LAS AUDITORÍAS.
LOS MÉTODOS QUE SE VAN A UTILIZAR PARA HACER AUDITORÍAS.
LA DIRECCIÓN DEBE REVISAR EL SGSI DE MANERA
PERIÓDICA PARA GARANTIZAR LA CONVENIENCIA,
ADECUACIÓN Y EFICACIA CONTINUAS DEL SISTEMA.
ESTE PROCESO NO DEBERÍA SER UN EJERCICIO
EJECUTADO ÚNICAMENTE PARA CUMPLIR LOS
REQUISITOS DE LA NORMA Y DE LOS AUDITORES. SINO
QUE DEBERÍA SER UNA PARTE INTEGRAL DEL PROCESO
DE GESTIÓN DEL NEGOCIO DE LA ORGANIZACIÓN.
RESULTADOS DE LAS AUDITORÍAS Y REVISIONES DEL SGSI.
COMENTARIOS DE LAS PARTES INTERESADAS.
TÉCNICAS, PRODUCTOS O PROCEDIMIENTOS QUE PODRÍAN
EMPLEADOS POR
LA ORGANIZACIÓN PARA MEJORAR
FUNCIONAMIENTO Y LA EFECTIVIDAD DEL SGSI.
ESTADO DE LAS ACCIONES PREVENTIVAS Y CORRECTIVAS.
SER
EL
VULNERABILIDADES O AMENAZAS QUE NO SE HAN TRATADO
CORRECTAMENTE.
RESULTADO DE MÉTRICAS DE EFECTIVIDAD.
ACCIONES DE SEGUIMIENTO DE ANTERIORES REVISIONES POR LA
DIRECCIÓN.
RECOMENDACIONES PARA LA MEJORA.
CUALQUIER CAMBIO QUE PUDIERA AFECTAR AL SGSI.
IDENTIFICACIÓN
SGSI.
DE ACCIONES PARA MEJORAR LA EFECTIVIDAD DEL
ACTUALIZACIÓN DE LA EVALUACIÓN Y LA GESTIÓN DE RIESGOS.
MODIFICACIÓN DE LOS PROCEDIMIENTOS Y CONTROLES QUE AFECTAN
A LA SEGURIDAD DE LA INFORMACIÓN PARA AJUSTARSE A INCIDENTES
O CAMBIOS.
REALIZACIÓN
DE MEJORAS EN LA MANERA DE MEDIR LA EFECTIVIDAD
DE LOS CONTROLES.
ACTIVIDAD
RECURRENTE
PARA
INCREMENTAR LA CAPACIDAD A LA HORA
DE CUMPLIR LOS REQUISITOS.
PUNTO
FUNDAMENTAL EN CUALQUIER
SISTEMA DE GESTIÓN SEGÚN LAS
NORMAS ISO POR LO QUE DEBE SER
UN OBJETIVO PERMANENTE DE LA
ORGANIZACIÓN.
LOS
SISTEMAS DE GESTIÓN TENDRÁN
POR TANTO QUE APOYAR ESTE
PROCESO, QUE SE REALIMENTA A SÍ
MISMO Y NUNCA TERMINA YA QUE
SIEMPRE SE PUEDE MEJORAR ALGO.
LA MEJORA CONTINUA
ES UN PUNTO CLAVE PARA EL CORRECTO
FUNCIONAMIENTO DE UN SGSI POR LO QUE DEBE SER UN OBJETIVO
PERMANENTE DE LA ORGANIZACIÓN
ES
NECESARIA LA CONCIENCIACIÓN DE TODOS LOS MIEMBROS DE LA
EMPRESA, TODA PERSONA INTEGRANTE DE LA ORGANIZACIÓN DEBE
TENER COMO META LA MEJORA CONTINUA.
PARA
QUE
LA
MEJORA
CONTINUA
SEA
FACTIBLE
ES
INDISPENSABLE LA FORMACIÓN ACERCA DE CÓMO LLEVARLA A
CABO.
ES
NECESARIO FIJAR LOS OBJETIVOS Y ESTABLECER SISTEMAS
DE MEDIDAS PARA COMPROBAR SU EFECTIVIDAD.
SI
UNA ORGANIZACIÓN TIENE COMO PRINCIPIO FUNDAMENTAL LA
MEJORA CONTINUA, SE VERÁ REFORZADA SU VENTAJA A LA HORA DE
COMPETIR A TRAVÉS DE UNA MEJOR ORGANIZACIÓN, LO QUE
PERMITIRÁ UNA MAYOR FLEXIBILIDAD DE REACCIÓN ANTE LAS
OPORTUNIDADES QUE SE LE PRESENTAN.
TAREA
QUE SE EMPRENDE PARA
CORREGIR UNA NO CONFORMIDAD
SIGNIFICATIVA CON CUALQUIERA DE
LOS REQUISITOS DEL SGSI.
SE APLICAN PARA EVITAR
ACCIONES ENCAMINADAS
CONFORMIDAD.
SE
LA APARICIÓN DE FUTURAS NO CONFORMIDADES.
A ELIMINAR LA CAUSA DE UNA POSIBLE NO
DETERMINA LA POSIBLE FUENTE DE PROBLEMAS CON EL OBJETO DE
ELIMINARLA. CON ELLO SE EVITA TENER QUE SOLUCIONAR PROBLEMAS.
CONTIENE 133 CONTROLES CONSIDERADOS COMO LAS
MEJORES PRÁCTICAS EN SEGURIDAD DE LA
INFORMACIÓN Y QUE SE DETALLAN EN LA NORMA UNE-
ISO/IEC27002.
A LO LARGO DE LA NORMA UNE-ISO/IEC 27001 SE
HACE REFERENCIA A ESTE ANEXO COMO EL PUNTO DE
PARTIDA PARA LA SELECCIÓN DE CONTROLES.
INCIDENTE
DE SEGURIDAD INFORMÁTICA: UN EVENTO QUE
ATENTE CONTRA LA CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD DE LA INFORMACIÓN Y LOS RECURSOS
TECNOLÓGICOS.
INCIDENTE
ACCESO,
DE SEGURIDAD DE LA INFORMACIÓN:
INTENTO
DE
ACCESO,
USO,
DIVULGACIÓN, MODIFICACIÓN O DESTRUCCIÓN NO
AUTORIZADA DE INFORMACIÓN. UN IMPEDIMENTO
EN LA OPERACIÓN NORMAL DE LAS REDES,
SISTEMAS O RECURSOS INFORMÁTICOS O UNA
VIOLACIÓN A LA
INFORMACIÓN.
POLÍTICA
DE
SEGURIDAD
DE LA
PARA
RESPONDER A LOS INCIDENTES EN FORMA SISTEMÁTICA Y
MINIMIZAR SU OCURRENCIA.
PARA
FACILITAR UNA RECUPERACIÓN RÁPIDA Y EFICIENTE DE LAS
ACTIVIDADES MINIMIZANDO LA PÉRDIDA DE INFORMACIÓN Y LA
INTERRUPCIÓN DE LOS SERVICIOS.
PARA
MEJORAR CONTINUAMENTE EL MARCO DE SEGURIDAD Y EL
PROCESO DE TRATAMIENTO DE INCIDENTES.
PARA
MANEJAR CORRECTAMENTE LOS ASPECTOS LEGALES
PUDIERAN SURGIR DURANTE ESTE PROCESO.
QUE
REGISTRAR LOS SÍNTOMAS DEL PROBLEMA Y LOS MENSAJES QUE
APARECEN EN PANTALLA.
ESTABLECER LAS MEDIDAS DE APLICACIÓN INMEDIATA ANTE LA
PRESENCIA DE UNA ANOMALÍA.
ALERTAR INMEDIATAMENTE AL RESPONSABLE DE SEGURIDAD
LA INFORMACIÓN O DEL ACTIVO DE QUE SE TRATE.
GENERAR UN REPORTE DE INCIDENTE DE SEGURIDAD
DE
DENTRO
DE LOS PELIGROS INFORMÁTICOS A
LOS QUE NOS ENCONTRAMOS EXPUESTOS, EN
EL ÁMBITO DE LA SEGURIDAD DE LA
INFORMACIÓN, SE ENCUENTRAN DOS GRANDES
GRUPOS.
1.- EL
PRIMERO DE ELLOS, TIENEN RELACIÓN
DIRECTA CON LOS COMPUTADORES:
CÓDIGO MALICIOSOS – MALWARE (VIRUS,
TROYANOS, GUSANOS, ETC.).
AMBOS
TIPOS
DE
SON
PELIGROS
CONOCIDOS
POR
LOS
LADRONES
DE
INFORMACIÓN Y POR ENDE,
UTILIZADOS
PARA
COMPLETAR
SUS
PROPÓSITOS O EXPONER A
NUESTRA ORGANIZACIÓN.
GUSANOS: SE DIFERENCIAN DE LOS VIRUS EN QUE SE REPRODUCEN
POR SÍ MISMOS. SON AUTOCONTENIDOS Y NO NECESITAN DE OTRA
APLICACIÓN PARA EXTENDERSE. EJ: EL VIRUS MELISSA (QUE EN
REALIDAD SE TRATABA DE UN GUSANO) SE EXTENDIÓ A MÁS DE
100.000 USUARIOS EN UN PERIODO DE CORTO DE TIEMPO.
TROYANOS: SON PROGRAMAS QUE SE INTRODUCEN EN UN SISTEMA O
RED BAJO LA APARIENCIA DE OTRO PROGRAMA.
BOMBAS LÓGICAS: SON PROGRAMAS O FRAGMENTOS DE CÓDIGO QUE
SE EJECUTAN CUANDO SE PRODUCE CIERTO EVENTO PREDEFINIDO.
2. SEGUNDO, AQUELLOS QUE PASAN POR EL SER HUMANO:
INGENIERÍA SOCIAL: PRÁCTICA
DE OBTENER INFORMACIÓN
CONFIDENCIAL A TRAVÉS DE LA MANIPULACIÓN DE USUARIOS
LEGÍTIMOS. LA UTILIZAN LOS DELINCUENTES INFORMÁTICOS PARA
OBTENER ACCESO O PRIVILEGIOS EN SISTEMAS DE INFORMACIÓN
PARA REALIZAR ALGÚN ACTO QUE PERJUDIQUE O EXPONGA A LA
PERSONA U ORGANISMO COMPROMETIDO A RIESGOS O ABUSOS.
HACKING: IRRUPCIÓN ILEGAL A SISTEMAS COMPUTACIONALES CON
FINES CRIMINALES.
HACKTIVISMO: UTILIZACIÓN DE COMPUTADORAS, HERRAMIENTAS
DIGITALES Y REDES DE INFORMÁTICA COMO UNA FORMA DE RENDIR
PROTESTA CON FINES POLÍTICOS. INCLUYEN DESFIGURACIONES DE
WEB, REDIRECCIONES, ROBO DE INFORMACIÓN, SUSTITUCIONES
VIRTUALES, ETC.
CRACKERS: ALGUIEN QUE VIOLA LA SEGURIDAD DE UN SISTEMA DE
FORMA SIMILAR A UN HACKER , PERO DE MANERA ILEGAL Y CON
DIFERENTES FINES.
EXPLOTACIÓN DEL SOFTWARE: SE REFIERE A LAS ATAQUES LANZADO
CONTRA APLICACIONES O SERVICIOS:
•
•
•
•
BASES DE DATOS.
COMERCIO ELECTRÓNICO.
SPYWARE (MONITOREA LA ACTIVIDAD DEL USUARIO).
APLICACIONES.
CREACIÓN DE UN COMITÉ DE SEGURIDAD INTERDISCIPLINARIO
INCLUYENDO EL ÁREA TI.
ASIGNACIÓN DE UN RESPONSABLE DE LA SEGURIDAD DE LA
INFORMACIÓN (OFICIAL DE SEGURIDAD).
APROBACIÓN DEL DOCUMENTO DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN.
VELAR POR EL CUMPLIMIENTO DE LAS POLÍTICAS DE SEGURIDAD DE
LA INFORMACIÓN.
ASIGNACIÓN DE RESPONSABILIDADES ASOCIADAS AL TEMA DE LA
SEGURIDAD DE LA INFORMACIÓN.
DEBE
PERIÓDICAMENTE REVISAR EL ESTADO
GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN.
REVISAR Y MONITOREAR LOS INCIDENTES DE
SEGURIDAD DE LA INFORMACIÓN.
REVISAR Y APROBAR LOS PROYECTOS DE SEGURIDAD
DE LA INFORMACIÓN.
APROBAR LAS MODIFICACIONES O NUEVAS POLÍTICAS
DE SEGURIDAD DE LA INFORMACIÓN.
REALIZAR OTRAS ACTIVIDADES DE ALTO NIVEL
RELACIONADAS
INFORMACIÓN.
CON
LA
SEGURIDAD
DE
LA
REALIZAR LAS ACTIVIDADES DE GESTIÓN DEL SGSI.
ADMINISTRAR Y GESTIONAR LAS CUENTAS DE USUARIOS Y LOS
PRIVILEGIOS DE ACCESO.
ASEGURAR LA INTEGRIDAD DE LA INFORMACIÓN.
INCLUIR EN LOS DESARROLLO FUTUROS LOS ASPECTOS DE
SEGURIDAD
CONCIENTIZACIÓN DE USUARIOS INTERNOS Y EXTERNOS.
ANÁLISIS DE RIESGOS DE NEGOCIO Y TECNOLÓGICOS.
PLAN DE CONTINUIDAD DEL NEGOCIO.
RESPONSABLE O DUEÑO DEL ACTIVO DE INFORMACIÓN.
CUSTODIOS DE LOS ACTIVOS DE INFORMACIÓN DE LA ORGANIZACIÓN.
DEFINIR SI EL ACTIVO ESTA SUJETO A LEYES.
DEFINIR QUIENES TIENEN ACCESO A LA INFORMACIÓN.
INFORMAR INCIDENTES DE SEGURIDAD.
IMPLEMENTAR LAS MEDIDAS DE SEGURIDAD NECESARIAS.
TODO EL PERSONAL DE LA ORGANIZACIÓN.
CONOCER Y COMPROMETE LA POLÍTICA DE SEGURIDAD Y LOS PROCEDIMIENTOS QUE
APLIQUEN.
LLEVAR A CABO SU TRABAJO ASEGURADO, NO AFECTAR LA SEGURIDAD DE LA
INFORMACIÓN.
COMUNICAR INCIDENTES DE SEGURIDAD.
ADQUIRIR ACTIVO
REVISAR IMPACTO
ANALIZA RIESGO
SELECCIONAR
RIESGO RESIDUAL
CLASIFICAR ACTIVO
INCORPORAR A INVENTARIO
RIESGO TOTAL
CONTROLES
DOCUMENTO DE
TRATAR ACTIVO
APLICABILIDAD
J(SGSI
EFE )
J(SGSI)
EFE
(SERVICIO
TÉCNICO)
SERVICIO
TÉCNICO
J(SGSI)
EFE
SEGURIDAD
J( SGSI)
EFE
SEGURIDAD
SEGURIDAD
SEGURIDAD
DETECTAR INCIDENCIA
VERIFICAR
ANALIZAR
APLICAR SOLUCIÓN
CERRAR INCIDENCIA
INFORMAR INCIDENCIA
EVIDENCIAR
SOLUCIONAR
REGISTRAR
INFORMA
TRASPASAR
RESPONDER
(USUARIO)
FUNCIONARIO
JEFE
SEGURIDAD
(JEFE SI)
DUEÑO
(ADCTIVO
UEÑO)
(D
)
DUEÑO
UEÑO
ACTIVO
(JEFE
SI)
JEFE
SEGURIDAD
NECESITA ACCESOS
REVISA Y APRUEBA
GENERA SOLICITUD
SOLICITUD
ENVÍA SOLICITUD A
VERIFICA ACCESOS
ASIGNA ACCESOS
INFORMA ESTADO
AUTORIZA ACCESOS
ACTUALIZA PLANILLA
SOLICITUD
REENVÍA SOLICITUD
ACCESOS
CIERRA EL PROCESo
INFORMA JEFE ÁREA
SGSI
FUNCIONARIO
JEFE ÁREA
JEFE DE
SEGURIDAD
DUEÑO
ACTIVO
JEFE
SEGURIDAD
REGLAMENTO INTERNO.
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.
MANUAL DE POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN.
PROCESAMIENTO Y CLASIFICACIÓN DE LA
INFORMACIÓN.
PROCESO DE GESTIÓN DE ACTIVOS.
¿QUÉ SON LOS ACTIVOS?
¿POR QUÉ PROTEGEMOS LA INFORMACIÓN?
¿CONTRA QUE PROTEGEMOS LA INFORMACIÓN?
COMPROMISOS DE LA GERENCIA
FUNCIONES DEL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
FUNCIONES DEL JEFE DE SEGURIDAD DE LA INFORMACIÓN
POLÍTICA DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
OBJETIVOS DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
ALCANCE DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
METODOLOGÍA DE GESTIÓN DE RIESGO
GESTIÓN DE INCIDENCIAS
PROCESO DE SOLICITUD DE ACCESOS