ACTIVOS Y SEGURIDAD
JOSE ELIAS ORTIZ GUERRERO
CURSO: GESTION DE LA SEGURIDAD INFORMATICA
SERVICIO NACIONAL DE APRENDIZAJE SENAPASTO NARIO2015ACTIVOS Y
SEGURIDAD
Actividades de apropiacin del conocimiento (Anlisis de caso)
Siguiendo con el caso de Simn. l ha determinado que de acuerdo a
los resultados obtenidos en la organizacin tecnolgica de su
empresa, ha decidido contratarte como asesor para que lo ayudes a
identificar cules son los activos de informacin presentes y que
normas de seguridad informtica (vulnerabilidad en confidencialidad,
integridad y disponibilidad) estn siendo utilizadasSolucin:Don Simn
se ha dado cuenta que su empresa se est desarrollando
eficientemente lo que se requiere tener algunos roles especficos
para asegurar la informacin que se maneja sea de la empresa como de
los usuarios, lo cual se ha generado una serie de preguntas que
seran: l es consciente de la importancia que tiene la informacin
para su organizacin? Se ha planteado si las medidas de seguridad
con las que cuentan son suficientes para su proteccin? Entre
otras.La informacin de su negocio resulta cada da ms importante. Su
tratamiento, a menudo hace que sta sea expuesta a factores que
pueden ponerla en peligro. Contar con un Sistema de Gestin de la
Seguridad de la Informacin (SGSI) es sin duda la forma ms prctica
de seguir un conjunto de buenas prcticas que garanticen que el
tratamiento de la informacin de nuestra empresa es adecuado.Por lo
tanto me ha contratado para esa labor, lo cual es muy gratificante,
ya que es un trabajo muy riesgoso porque me da la confianza para
que yo le brinde proteccin a su empresa, as que lo primero que
tendra en cuenta seria la norma que protege la informacin de una
empresa.Los activos de seguridad de la informacinSe explica en este
tema como deben abordarse la elaboracin de un inventario de activos
que recoja los principales activos de informacin de la organizacin,
y como deben valorarse esos activos en funcin de su relevancia para
la misma y del impacto que ocasionara un fallo de seguridad en
ellos. El contenido de este tema:
Identificacindelosactivosdeinformacin.
Inventariosdeactivos.
Valoracindelosactivos.
Identificar los activos de informacinSe denomina activo aquello
que tiene algn valor para la organizacin y por lo tanto debe
protegerse. De manera que un activo de informacin es aquel elemento
que contiene o manipula informacin.
Activos de informacin sonficheros y bases de datos, contratos y
acuerdos, documentacin del sistema, manuales de los usuarios,
material de formacin, aplicaciones, software del sistema, equipos
informticos, equipos de comunicaciones, servicios informticos y de
comunicaciones, utilidades generales como por ejemplo calefaccin,
iluminacin, energa y aire acondicionado y las personas que son al
fin y al cabo las que en ltima instancia generan, trasmiten y
destruyen informacin, es decir dentro de una organizacin se han de
considerar todos los tipos de activos de informacin.
La norma ISO 27001: define como implantar un Sistema de Gestin
de Seguridad de la informacin que aporta a la Organizacin
interesantes beneficios: Ayudaal cumplimiento de leyes y
normativas. En este sentido se incluyen, entre otras, la Ley
Orgnica de Proteccin de Datos de Carcter Personal (LOPD), la Ley de
Servicios de la Sociedad de la Informacin y Comercio Electrnico
(LSSICE), Propiedad Intelectual, etc.
Aportaalaempresaunvalor aadido, dando a nuestros clientes una
mayor credibilidad, ya que contar con esta certificacin, asegura
que tenemos un proceso adecuado para la gestin de la
informacin.
Ofrece una metodologa para llevar a cabo un Anlisis y Gestinde
Riesgos.
Garantiza la implantacin de medidas de seguridad, consistentes,
eficientes y apropiadas al valor de la informacin protegida.
Contempla planes de contingencia ante cualquier tipo de
incidencia (prdidas de datos, incendio, robo, terrorismo, etc.)
Puede ser utilizada como herramienta de diferenciacin frente ala
competencia.
Mejora la concientizacin del personal en todo lo que se refiere
a la seguridad y a sus responsabilidades dentro de la
organizacin.
El desarrollo de las nuevas tecnologas hace queel tratamiento de
lainformacin haya dado un cambio importante en la cultura
empresarial y obliga a extremar las precauciones para
garantizar:
La confidencialidad: Evitar que la informacin est a disposicin
de individuos, entidades o procesos que no tienen autorizacin.
La disponibilidad: Asegurar que la informacin sea accesible
cuando sea necesario.
La integridad: Mantener la informacin exacta y completa.
Contar con un SGSI ayudar a la Direccin de nuestra empresa a
decidir qu polticas y objetivos de seguridad deben establecerse y
nos permitir crear mecanismos que nos ayuden a proteger la
informacin y los sistemas que losprocesan. Paraimplementarun
SGSIconforme ala norma ISO27001se deberestablecer un ciclo continuo
'PDCA' como el utilizado en los sistemasde calidad:
Planificar: Establecer elSistema deGestin,sualcance yobjetivos.
Enestafase deber definirse la poltica de seguridad de la
organizacin y la metodologa para la evaluacin de los riesgos que
utilizaremos en nuestro Sistema. Posteriormente, debern
identificarse los riesgos que nuestrosactivos tienen, evaluando las
amenazas y vulnerabilidades que estos pudieran tener y los impactos
que tendra el negocio ante una prdida de confidencialidad,
integridad o disponibilidad.
Unavezanalizados losriesgos ydeterminadasqusituacionesnoson
aceptables para la empresa, se establecer un plan para tratar
ymitigar los riesgos no aceptables. Para ello, se aplicarn los
controles oportunos. Debern seleccionarse los objetivos de control
y controles del anexo A de la norma ISO 27001 que sern utilizados
parael tratamiento de los riesgos y sern recogidos en una
declaracin de aplicabilidad
Do: Hacer, implementar yutilizarel SistemadeGestin, sus
controles deseguridady sus exigencias normativas.
En esta fasedeber establecerse unplanpara lagestin delos
riesgosque incluya su oportuna planificacin y desglose de
responsabilidades y organizacin de los proyectos.
Ademsdeberndefinirselos indicadores que ayuden ala organizacin
aconocerla eficacia y eficiencia de las acciones llevadas a cabo
para la mitigacin de los riesgos.
Se concienciar yformar atodos las personas yse implantarn los
controles establecidos en la faseanterior.
Check: Monitorizar yrevisar elSistema paraevaluar siloscontroles
soneficaces y cubren los objetivos deseados.
Enesta fasese deber revisarlaefectividad del Sistemaatiempos
planificados yse revisarn los niveles de riesgo, siempre que
existan cambios en la organizacin, la Tecnologa, los procesos, etc
Elsistema debersometerse aauditoras internasplanificadas
yelresultado deestas y de las actividades deber ser revisada por
partede la Direccin de la empresa.
Act: Mantener y mejorar nuestro sistema en base ala eficaciade
lasmedidasdel mismo.
Una vez superados losciclos anteriores y,sobre la base delos
resultados de los mismos, debern implantarse las acciones de mejora
necesaria para afianzar el sistema y para alcanzar los objetivos
previstos.
Esta norma tambin es importante, ya que en cada apartado o
artculo explica cmo se debe organizar para tener una buena
seguridad de la informacin que se maneja. ISO 27002La ISO 27002 es
una gua de buenas prcticas que expone recomendaciones a tener en
cuenta para cada uno de los controles del anexo A de la ISO 27001.
En la norma ISO 27001se habla de estos controles en su anexo A,
pero no forma parte del corazn de la norma yaque no olvidemos que
la ISO 27001 define como gestionar la seguridad (como implementar
un Sistema de Gestin de Seguridad de la Informacin).
La ISO 27002 es, por lo tanto, una ayuda en la gestin de los
riesgos que se organiza en los siguientes apartados: Apartado 5:
Polticade Seguridad. Elobjetivo de estecontroles contar conuna
Polticade Seguridad documentada y revisada peridicamente.
Apartado6: Aspectosorganizativos. Este control establece cmo
deberaestar compuesta la organizacin de la seguridad de la empresa,
cmo deben coordinarse las actividades ycmo deben mantenerse activas
las relaciones con los terceros que pudieran colaborar con
nosotros. Apartado 7: Gestin de activos. Este apartado
proponecontar con un inventario detallado de activos que recoja sus
funcionalidades. Adems, establece pautaspara el usoresponsable y
adecuado de los mismos. Este apartado recoge adems la necesidad de
contar con un procedimiento de tratamiento de la clasificacin, as
como las medidas de seguridad que deberan considerarse en funcin de
la clasificacin de estos.
Apartado8:Recursoshumanos.Divididoentrescontroles,establecelasmedidasdeseguridad
que deberan considerarse en cada una de las fases de desempeo de
trabajo (definicin del puesto, desempeo de las funciones y ala
finalizacin o cambio del puestode trabajo).
Apartado9:Seguridadfsicayambiental.Lasmedidasdeseguridadfsicaydelentornoquedan
recogidas en dos controles de este apartado. Por una parte, se
establecen los requerimientos fsicos de los edificios, como el
establecimiento de permetros de seguridad, las zonas de carga o los
controles fsicos de entrada y, por otra, la seguridad de los
equipos, considerando el suministro, la seguridad del cableado o el
mantenimiento de los mismos. Apartado 10: Seguridad comunicaciones
yoperaciones. Laoperacinde lascomunicaciones debera seguir unos
procedimientos adecuadamente, estableciendo de manera clara las
responsabilidades que, en materia de operacin, deban considerarse.
En este apartado se incluye tambin la supervisin de los servicios
que son contratados a terceros y la planificacin de los requisitos
y necesidades de seguridad de los sistemas. Apartado 11: Controlde
accesos.Este apartado presenta las pautas quedeberntenerse en
cuenta para el control de los accesos a las redes, a los sistemas
operativos y a las aplicaciones corporativas. As mismo, debern
considerarse qu privilegios son los adecuados para cada usuario o
cules son las responsabilidades que el usuario tiene para la
proteccin de su puesto de trabajo. Apartado12:Adquisicin,
desarrollo ymantenimiento desistemas. Este sistema proponeque los
sistemas debieran contar con unos requisitos de seguridad
especficos que abarcan desde la entrada de los datos hasta el
control del software y las medidas de seguridad de los procesos de
desarrollo de software. En este apartado se considera adems el
control de las vulnerabilidades tcnicas.
Apartado13:Gestindeincidentes.Deberestablecerseculessonloscanalesdecomunicacin
de eventos y debilidades y cmo ser el proceso de gestin de
incidencias. Apartado 14: Gestin de continuidad del negocio.
Esteapartado establece los requisitos que deberan considerarse en
relacin a garantizar la continuidad de los servicios crticos del
negocio.
Apartado15:Cumplimientolegal.Podemosconsideraresteapartadocomogarantadelcumplimiento
de las exigencias legales que cadaorganizacin tiene.Adems, se
incluyen en este apartado las consideraciones que deben tenerse en
cuenta en la auditora de los sistemas.
