Este documento presenta conceptos generales sobre seguridad de la información, estándares y buenas prácticas como ISO 27001 e ISO 27002 y COBIT, el marco normativo aplicable en Colombia como la Ley de Habeas Data y la Ley de Protección de Datos, y cómo la seguridad de la información es aplicable y genera impacto en las organizaciones al mejorar el cumplimiento normativo, reputación y retención de clientes.
1. SEGURIDAD DE LA INFORMACIÓN
EN LAS ORGANIZACIONES
Ing. Fredy G. Duitama M.
Esp. Administración de Riesgos
Informáticos
Consultor en Seguridad de la
Información
2. Agenda
• Conceptos Generales de Seguridad
• Estándares y Buenas Prácticas
• Marco Normativo Aplicable
• Aplicabilidad Organizacional e Idea de
Negocio
• Preguntas del Auditorio
4. Activos de
Información
Información
Personal
Hardware
Comunicaciones
Instalaciones
Software
Cualquier tipo de información
contenida en un medio digital o
medio impreso (Documento).
Hace referencia a cualquier
funcionario y/o colaborador
que tenga un vínculo con la
Organización.
Cualquier componente de
máquina que sea necesario
para efectuar o complementar
operaciones sobre algún activo
de información, incluyendo
tecnologías de almacenamiento
y procesamiento.
Hace referencia a cualquier
componente de hardware que se
requiera para comunicar los
activos de información.
Hace referencia a las
ubicaciones física (edificios,
oficinas, sedes), requeridos
para la ejecución y
cumplimiento del objetivo del
activo de información.
Cualquier programa de cliente
final, como suites de ofimática,
correo, editor de documentos,
etc.
Conceptos Generales
de Seguridad
Son los recursos requeridos por
la organización para su
funcionamiento adecuado; su
daño o destrucción implica una
pérdida significativa para la
organización.
6. Conceptos Generales
de Seguridad
Seguridad de la Información: Garantiza que solo los
usuarios autorizados puedan tener acceso a la
información precisa y completa cuando sea necesario.
Confidencialidad: hace referencia a la protección de
información cuya divulgación no está autorizada.
Integridad: la información debe ser precisa, coherente y
completa desde su creación hasta su destrucción.
Disponibilidad: La información debe estar en el
momento y en el formato que se requiera ahora y en el
futuro, al igual que los recursos necesarios para su uso.
7. Conceptos Generales
de Seguridad
• Seguridad Informática: Actividades enfocadas
al cumplimiento de las definiciones de
seguridad de la información, desde el punto de
vista técnico (Hardware y Software).
Seguridad de la Información
Seguridad Informática
8. Conceptos Generales
de Seguridad
• Control: Acciones enfocadas a la
verificación del cumplimiento normativo
definido en una organización.
10. Estándares y Buenas Practicas
• ISO 27001: conjunto de estándares desarrollados por ISO
(International Organization for Standardization) e IEC
(International Electrotechnical Commission), que
proporcionan un marco de gestión de la seguridad de la
información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña.
11. Estándares y Buenas Practicas
Familia
ISO
27000
ISO
27000
ISO
27001
ISO
27002
ISO
27003
ISO
27004
ISO
27005
Visión general de las normas
que componen la serie
27000, es una introducción a
los Sistemas de Gestión de
Seguridad de la Información,
una breve descripción del
proceso PHVA y términos y
definiciones que se emplean
en toda la serie 27000.
Norma principal de la
serie y contiene los
requisitos del sistema de
gestión de seguridad de
la información. En su
Anexo A, enumera en
forma de resumen los
objetivos de control y
controles que desarrolla
la ISO 27002:2005.
Es una guía de buenas
prácticas que describe los
objetivos de control y
controles recomendables en
cuanto a seguridad de la
información. No es
certificable. Contiene 39
objetivos de control y 133
controles, agrupados en 11
dominios.
Es una guía que se centra en los
aspectos críticos necesarios para el
diseño e implementación con éxito de
un SGSI de acuerdo ISO/IEC
27001:2005.
Es una guía para el desarrollo y
utilización de métricas y técnicas
de medida aplicables para
determinar la eficacia de un SGSI
y de los controles o grupos de
controles implementados según
ISO/IEC 27001.
Proporciona directrices para
la gestión del riesgo en la
seguridad de la información.
Apoya los conceptos
generales especificados en la
norma ISO/IEC 27001 y está
diseñada para ayudar a la
aplicación satisfactoria de la
seguridad de la información
basada en un enfoque de
gestión de riesgos.
12. Estándares y Buenas Practicas
• COBIT: Marco de buenas practicas que
apoya al negocio y los equipos y gestores
de TI en la definición y la consecución de
las metas de negocio de TI relacionadas,
a través de un extenso modelo de
gobierno, gestión, control, y
aseguramiento.
13. Estándares y Buenas Practicas -
Dominios COBIT
Planeación y
Organización
Adquisición e
Implementación
Prestación de
Servicio y
Soporte
Monitoreo y
Evaluación
1. Definir un plan estratégico
de TI
2. Definir la arquitectura de
información
3. Determinar la dirección
tecnológica
4. Definir los procesos, la
organización y las relaciones
de TI
5. Gestionar la inversión en TI
6. Comunicar los
requerimientos de la
dirección
7. Gestionar el Recurso
Humano
8. Gestionar la calidad
9. Evaluar y gestionar los
riesgos de TI
10. Gestionar Proyectos
1. Identificar soluciones automatizadas
2. Adquirir y mantener SW aplicativo
3. Adquirir y mantener infraestructura
de TI
4. Habilitar la operación y uso
5. Gestionar la demanda de recursos de
TI
6. Gestionar Cambios
7. Instalar y acreditar soluciones y
cambios
1. Definir y gestionar niveles
de servicio
2. Gestionar servicios
provistos por terceros
3. Gestionar la capacidad y el
desempeño
4. Asegurar el servicio
continuo
5. Garantizar la seguridad de
los sistemas
6. Identificar y asignar costos
7. Educar y entrenar usuarios
8. Gestionar mesa de ayuda e
incidentes
9. Gestionar la configuración
10. Gestionar problemas
11. Gestionar datos
12. Gestionar ambiente físico
13. Gestionar operaciones
1. Monitorear y evaluar
desempeño de TI
2. Monitorear y evaluar control
interno
3. Asegurar cumplimiento
regulatorio
4. Proveer Gobierno de TI
14. Marco Normativo Aplicable
Ley 1266 de
2008 (Habeas
Data).
• Derecho de los Colombia de saber quien tiene almacenada su Información y corregirla de ser
necesario.
• Permite a los Colombianos proteger sus datos y definir los usos que se le den
• Define los tipos de datos aceptados en Colombia (Personal, Publico, Semiprivado y Privado)
Ley 1273 de 2009
(Modificación
Código Penal).
• Creo nuevos tipos de delitos penales relacionados con delitos informáticos y la protección de
la información con penas de hasta 120 meses y hasta 1500 SMMLV de multas.
• Algunos de estos delitos son: sabotaje informático, Acceso Abusivo a datos, Interceptación de
datos, Daño informático, uso de software malicioso, violación de datos personales entre otros.
Ley 1581 de 2012
(Protección de
Datos).
• Determina los principios que deben seguirse en todo Tratamiento de Datos Personales dentro
de los que encontramos: Legalidad, Finalidad, Libertad, Veracidad o Calidad, Trasparencia,
Acceso y circulación restringida, Seguridad y confidencialidad.
15. Marco Normativo Aplicable
Compes 3701 de 2011
(Ciberseguridad -
Ciberdefensa).
• Dicta los lineamientos de política de Ciberseguridad y Ciberdefensa
para contrarrestar las amenazas crecientes en el ámbito nacional.
• Crea organismos para fortalecer la capacidad del estado para afrontar
las amenazas cibernéticas, algunos de estos son: ColCERT Grupo de
Respuesta a Emergencias Cibernéticas de Colombia, Centro
Cibernético Policial - CCP, Comando Conjunto Cibernético - CCOC
Circular Externa 042
de 2012 (SFC).
• Dicta los requerimientos mínimos de seguridad y calidad en el
manejo de información a través de medios y canales de distribución
de productos y servicios para clientes y usuarios aplicable al sector
financiero.
16. Aplicabilidad Organizacional
Todas las Entidades Generan
Información “Cada día se genera la
increíble cantidad de 2,9 trillones de
bytes de datos”.
Impacto Generado por la
Seguridad de la Información en
el Gobierno Organizacional.
Buen Nombre y Retención de
Clientes.
Cumplimiento Normativo