¿SEGURIDADDE LA INFORMACIÓN?

La información es un activo que como

otros activos tiene valor y requiere de una protección adecuada.

• La información puede estar:• Impresa• En tableros acrílicos• Digitalmente• Transmitida a través de medios

electrónicos como el correo• Hablada• Videos

OBJETIVOS DE LA SEGURIDAD:

• CONFIDENCIALIDAD. • DISPONIBILIDAD. • INTEGRIDAD DE LA INFORMACIÓN.

PROTEGER LA INFORMACION DE QUE?

AMENAZA:

(Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. (ISO27001)

ESTAS AMENAZAS pueden EXPLOTAR VULNERABILIDADES (Inglés: Vulnerability).

Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. (www.iso27001.es)

• Inadecuado compromiso de la dirección.• Personal inadecuadamente capacitado y concienciado.• Inadecuada asignación de responsabilidades.• Ausencia de políticas / procedimientos.• Ausencia de controles

Físicos / lógicosDisuasivos / preventivos / detectivos / correctivos

• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles

Por mencionar algunas vulnerabilidades

¿CUAL ES EL RIESGO? (Inglés: Risk).

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía73:2002]: combinación de la probabilidad de un evento y sus consecuencias. (www.iso27001.es)

ALGUNOS INCIDENTES DE SEGURIDAD

Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. (www.iso27001.es)

Puede ser causado por:• Una falta en algún mecanismo de seguridad.• Un intento o amenaza (concreta o no) de romper mecanismos de seguridad, etc.

Interceptación → afecta CONFIDENCIALIDAD

DdoS

AFECTA A LA DIPOSNIBILIDAD

INCIDENTE DE SEGURIDAD

MODIFICACION INFORMACION: ATENTA CONTRA LA INTEGRIDAD

SGSI = “SISTEMA DE GESTION PARA LA SEGURIDAD DE LA INFORMACION”(Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.) Tomado de http://www.iso27000.es

¿QUE ES UN SISTEMA DE GESTION DE SEGURIDAD?

CUALES SON LOS BENEFICIOS DE TENER UN SGSI?

1) Permite definir una política interna que fije metas u objetivos y el compromiso de lograr un alto nivel de desempeño, cumpliendo con todos los requisitos legales, encaminados a la mejora continua, tendiendo a proveer los recursos adecuados y apropiados para implementarla política trazada.

2) Incorpora el concepto de “competencia” y se establece la necesidad de evaluar la efectividad y eficiencia del personal para las tareas asignadas.

3) Induce y fomenta la formación y capacitación del personal en su área.

4) Concienciar al personal de la relevancia e importancia de sus actividades y de cómo esta contribuye a la consecución de los objetivos de la organización.

5) Obliga a la ejecución de programas y planificación de las actividades por período, como también la verificación y seguimiento de las mismas, permitiendo definir recursos necesarios, económicos y de RRHH de manera clara.

6) Permite una clara comunicación tanto entre las diferentes unidades de negocio como con los clientes y proveedores.

7) Permite el seguimiento o trazabilidad de la información y del trabajo elaborado. Debiendo establecer los métodos para obtenery utilizar dicha información.

8 ) Permite medir los objetivos trazados, mediante indicadores previamente definidos.

9) Todo cambio dentro de la organización, procedimiento o proceso involucra un ciclo de mejora continua.

¿POR QUÉ ISO 27001?

Porque es un estándar internacional para la gestión de la seguridad de la información y CERTIFICABLE para las compañías. Cada vez más las organizaciones de clase mundial están incluyendo en sus agendas corporativas la seguridad de la información como estrategia de negocios que genera valor para sus clientes, ya que su pérdida ocasiona un impacto en la organización que puede ser de tipo económico, legal, financiero o de reputación.

TECNOOUTSOURCING diseña e implementa modelos de seguridad adaptados a sus necesidadesmediante estándares internacionales y la inclusión de buenas prácticas de T.I.

CONTACTO:Ing. Gloria Stella Viveros Muriele-mail: info@tecnooutsourcing.co

www.tecnooutsourcing.coblog.tecnooutsourcing.coTel. (571) 80678 75

Cel. 3112674069Bogotá, D.C - Colombia