SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
Presentación sobre los aspectos importantes a tener en cuenta al momento de desarrollar e implementar una correcta política de seguridad en una organización. Siguiendo los principios de la ISO/IEC 27001, con el fin último de mejorar la gestión de la seguridad en los sistemas de información
Exposición Brindada a estudiantes del Instituto Superior Tecnológico UNITEK de la ciudad de Ilo en el 2014, Resaltando que la Información es un activo valioso para las empresas...
¿Que es una contingencia informatica? Contingencia suele referirse a algo que es probable que ocurra, aunque no se tiene una certeza al respecto. La contingencia, por lo tanto, es lo posible o aquello que puede, o no, concretarse, un acontecimiento cuya realización no está prevista.
La seguridad es un tema esencial que debemos considerar siempre que interactuamos con las tecnologías informáticas, puesto que diariamente surgen amenazas que pueden afectar la información y causarnos daños tangibles e intangibles.
Material educativo diseñado para los estudiantes del Diplomado en Gestión Efectiva de Medios Digitales del Centro de Innovación y Emprendimiento en Tecnologías para la Educación (CIETE) de la Universidad de Los Andes
Presentación sobre los aspectos importantes a tener en cuenta al momento de desarrollar e implementar una correcta política de seguridad en una organización. Siguiendo los principios de la ISO/IEC 27001, con el fin último de mejorar la gestión de la seguridad en los sistemas de información
Exposición Brindada a estudiantes del Instituto Superior Tecnológico UNITEK de la ciudad de Ilo en el 2014, Resaltando que la Información es un activo valioso para las empresas...
¿Que es una contingencia informatica? Contingencia suele referirse a algo que es probable que ocurra, aunque no se tiene una certeza al respecto. La contingencia, por lo tanto, es lo posible o aquello que puede, o no, concretarse, un acontecimiento cuya realización no está prevista.
La seguridad es un tema esencial que debemos considerar siempre que interactuamos con las tecnologías informáticas, puesto que diariamente surgen amenazas que pueden afectar la información y causarnos daños tangibles e intangibles.
Material educativo diseñado para los estudiantes del Diplomado en Gestión Efectiva de Medios Digitales del Centro de Innovación y Emprendimiento en Tecnologías para la Educación (CIETE) de la Universidad de Los Andes
Presentación sobre la Seguridad Informática en las organizaciones. Basado en los temarios estudiados y resumidos de la Academia Latinoamericana de Seguridad Informática.
Ecoserveis publica la 3a edició de la Guia pràctica Com actuar davant la pobresa energètica. Una eina que proporciona informació en relació a les factures del subministrament energètic i les possibilitats de millora de la contractació des del punt de vista econòmic, el procediment per a evitar el tall de subministrament energètic en els mesos d’hivern, les possibles accions de millora en relació a l’estalvi i l’eficiència energètica de l’habitatge, així com els ajuts econòmics i recursos disponibles per als consumidors domèstics, que poden ser emprats per a millorar l’actual situació de vulnerabilitat.
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...Henrry Osmar Torres
Esta investigación denominada "La importancia de la Seguridad Informática en los Usuarios de la Región Lambayeque", es un tema que permite dar a conocer a los usuarios los conceptos y pautas básicas de cómo prevenir, evitar y cuidar su información de manera segura y abstenerse a pérdidas en un futuro inesperado.
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2009-2 (agosto/2009), 2011-0 (enero/2011).
El documento presenta el diseño de una herramienta para la evaluación de la situación de la Seguridad de la Información en la empresa "Exportadora Pacas" y el diseño de del mapa de procesos para la implementación de un Sistema de Gestión de la Seguridad de la Información acorde a las necesidades de la empresa.
Fundamentos básicos de la seguridad informáticacarlos910042
Definiciones de seguridad de la información, seguridad informática, ciberseguridad, además de abordar conceptos y terminología de seguridad como vulnerabilidades, amenazas, ataques y riesgo.
Seminario organizado por Tertulia Digital. La presentación trata los aspectos más importantes a tener en cuenta en la seguridad de los sistemas de una empresa, así como las diferentes soluciones de protección con las que se debe contar para conseguir un nivel de seguridad aceptable en cada caso.
Convocatoria de becas de Caja Ingenieros 2024 para cursar el Máster oficial de Ingeniería de Telecomunicacion o el Máster oficial de Ingeniería Informática de la UOC
Se denomina motor de corriente alterna a aquellos motores eléctricos que funcionan con alimentación eléctrica en corriente alterna. Un motor es una máquina motriz, esto es, un aparato que convierte una forma determinada de energía en energía mecánica de rotación o par.
2. OBJETIVOS DEL CURSO
• Desarrollar la terminología y los conceptos necesarios
para realizar una adecuada Gestión de la Seguridad de
la Información.
• Desarrollar el conocimiento para diseñar,
implementar, operar y mantener la seguridad de los
diferentes componentes de una arquitectura TI.
• Comprender los principales modelos, normas y
estándares de Seguridad de la Información.
• Conocer e implementar técnicas para gestionar los
riesgos de Seguridad de la Información basados en
normas y estándares internacionales.
3. CONTENIDO DEL DOMINIO
• D1: Gobierno de Seguridad de la Información y Gestión de
Riesgos.
• D2: Seguridad de Operaciones.
• D3: Control de Accesos.
• D4: Diseño y Arquitectura de Seguridad.
• D5: Legislación, Regulación, Cumplimiento e Investigación.
• D6: Seguridad Física.
• D7: Seguridad de Aplicaciones.
• D8: Seguridad de Red y Telecomunicaciones.
• D9: Plan de Continuidad de Negocios y Recuperación de
Desastres.
• D10: Criptografía.
4. PRESENTACIÓN DE LOS ALUMNOS
• Nombres.
• Nombre de la empresa (trabaja y/o práctica pre
profesionales)
• Puesto.
• Experiencia en Seguridad de la Información.
• Conocimiento de GNU/Linux.
• Pasatiempos / Aficiones.
• Expectativas del curso.
6. SEGURIDAD Y GESTIÓN DE RIESGOS
GESTIÓN
CENTRALIZADA
Análisis de Riesgos y
determinación de controles
Evaluación y Monitoreo
Implementación de Políticas
y Controles
Promover la
Concientización
7. CICLO DE VIDA DE LA INFORMACIÓN
1.
CLASIFICACIÓN
DESTRUCCIÓN
DISPOSICIÓN
3.
MIGRACIÓN
2.
ALMACENAMIENTO
Seguridad y
Recuperación
Seguridad y
Recuperación
Seguridad y
Recuperación
Seguridad y
Recuperación
8. SEGURIDAD DE LA INFORMACIÓN VS
SEGURIDAD INFORMÁTICA
Tecnología
ProcesosPersonas
LA SEGURIDAD INFORMÁTICA: Se refiere a la
protección de las infraestructuras de las
tecnologías de la información y comunicación que
soportan nuestro negocio.
SEGURIDAD DE LA INFORMACIÓN: Se refiere a la
protección de los activos de información
fundamentales para el éxito de cualquier organización.
10. CIA / CID – PRINCIPIOS BÁSICOS DE
SEGURIDAD DE LA INFORMACIÓN
• Confidencialidad: Es la propiedad por
la que la información, no se pone a
disposición o se revela a individuos,
entidades o procesos no autorizados.
• Integridad: Es la propiedad de
salvaguardar la exactitud y
completitud de los activos.
• Disponibilidad: Es la propiedad de
ser accesible y utilizable por una
entidad autorizada.
11. • Confidencialidad:
• Mínimo privilegios.
• Basado en la función del usuario
• Se soporta en clasificación de información.
• Cifrado de información.
• Integridad:
• Cambios no autorizados, intencionales o accidentales.
• Información almacenada en diversos medios
• Información modificada solo por el personal y controles
autorizados.
• Disponibilidad:
• Disponible y accesible por personal autorizado y cuando lo
necesiten.
• Se ve afectada por ataques de DoS.
• Pérdida o paralización de servicio por la presencia de incidente o
desastre.
13. Porqué es necesaria la Seguridad de la
Información?
La información y los procesos que la apoyan, los
sistemas y las redes son activos importantes para la
organización, por lo tanto, es esencial definir, realizar,
mantener y mejorar la seguridad de la información
para:
• Mantener la competitividad de la empresa.
• lograr el flujo de liquidez requerido.
• Lograr el cumplimiento legal de la normatividad
vigente a nivel nacional.
14. Somos conscientes de nuestras debilidades?
• Internas o Externas.
OSSTM – MAPA DE SEGURIDAD
NOTA:LOS ATAQUES
INTERNOS REPRESENTAN UN
60% DE TOTAL DE ATAQUES
RECIBIDOS
21. Terminología en Seguridad de la Información
• Activos de información
• Amenaza
• Vulnerabilidad
• Riesgo
• Exposición
• Salvaguarda
• Impacto
22. • Activo: Recurso relacionado al sistema de información
necesario para el funcionamiento correcto y para el
cumplimiento de los objetivos de una organización.
• Amenaza: Cualquier evento que ocasione incidencias ,
produciendo daños materiales o inmateriales sobre un activo de
al organización.
• Vulnerabilidad: Es una posibilidad de ocurrencia de la
materialización de una amenaza hacia la seguridad de la
organización.
• Riesgo: Es la posibilidad de que se produzca un impacto
determinado en la organización
• Exposición: Es un caso de exponer la organización o parte de
ella, a riesgos que causen daño posibles.
• Salvaguarda: Es un proceso que elimina o minimiza los riesgos
de seguridad, desde antes que se active una vulnerabilidad.
• Impacto: Consecuencia de la materialización de una amenaza.
23. Activos de Información
• Documentos en papel: Contratos, guías, etc.
• Software: aplicativos y software de sistemas.
• Dispositivos físicos: computadoras, medios removibles
(USB, DVD, etc).
• Personas: clientes, personal, etc.
• Imagen y reputación de la empresa: Marca, logotipo,
razón social.
• Servicios: Comunicaciones, internet, energía.
ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible o
intangible que genera, procesa o almacena información al cual una
organización directamente le atribuye un valor y por tanto requiere
una adecuada protección y cuidado.
30. Ubicación (Física o Lógica)
• Lugares donde se almacena los Activos de
información más importantes:
• Oficinas.
• Archivos.
• Centro de cómputo.
• Bóvedas.
• Custodio de información
(Proveedor).
31. Propietario
El propietario de los activos debe ser responsable por
definir apropiadamente la clasificación de seguridad y
los derechos de acceso a los activos y establecer los
sistemas de control.
Ejemplo:
• Activo de información: Sistema Contabilidad.
• Propietario del activo: Gerente de Contabilidad y
Finanzas.
• Custodio de la Base de Datos: Gerencia de TI.
• Derecho de propietario del activo: Empresa.
32. Amenazas
• Potencial para causar un incidente indeseado que
puede resultar en daño al sistema, a la empresa o a
sus activos.
• Puede ser accidental o intencional
• Los activos están sujetos a muchos tipos de
amenazas que explotan sus vulnerabilidades:
• Desastres Naturales: Terremoto, incendio, etc.
• Humanas: Errores de mantenimiento, huelgas, etc
• Tecnológicas: Caída de Red, Sobretráfico, etc
33.
34. Ingeniería Social
• Consiste en engañar a alguien para que entregue
información o permita el acceso no autorizado o
divulgación no autorizada, que usualmente nos daría
acceso a un sistema de información, aplicativo o
recurso informático.
«EL ARTE DE ENGAÑAR A LAS PERSONAS»
37. Sistema de Gestión de la Seguridad de la
Información
SGSI son las siglas utilizadas para referirse
a un Sistema de Gestión de la Seguridad
de la Información, una herramienta de
gran utilidad y de importante ayuda para la
gestión de las organizaciones. Además del
concepto central sobre el que se construye
la norma ISO 27001.
38. ISO 27000
A semejanza de otras normas ISO, la
27000 es realmente una serie de
estándares. A continuación se
incorpora una relación con la serie de
normas ISO 27000 y una descripción
de las más significativas.
39.
40. ISO 27001
• Esta norma es la definición de
los procesos de gestión de la
seguridad, por lo tanto, es una
especificación para un SGSI y, en
este momento, es la única norma
Certificable, dentro de la
familia ISO 27000.
41. ISO 27002
• La ISO 27002 viene a ser un código de buenas
prácticas en el que se recoge un catálogo de los
controles de seguridad y una guía para la implantación
de un SGSI.
• Se compone de 11 dominios, 39 objetivos de seguridad
y 133 controles de seguridad.
• Cada uno de los dominios conforma un capítulo de la
norma y se centra en un determinado aspecto de la
seguridad de la información.
43. ISO 27002 (documentación)
La pretensión de esta normativa
es la elaboración de un SGSI
que minimice los riesgos que se
hayan detectado en los Análisis
de Riesgos hasta un nivel
asumible por la organización, en
relación siempre a los objetivos
de negocio. Es importante
destacar que cualquier medida
de protección que se haya
implantado debe quedar
perfectamente documentada.
45. Requerimientos del Negocio
• Los modelos de
seguridad deben
adaptarse a las
necesidades y objetivos
de las organizaciones.
• No es posible aplicar un
mismo modelo de
seguridad para
organizaciones de
diferentes rubros.
46. Requerimientos del Negocio
• En una organización
privada los servicios de
disponibilidad e
integridad de la
información, cobran
mayor valor que la
confidencialidad, ya que
sus objetivos, apuntan
hacía la competencia en
marketing y ventas.
• En una organización militar,
el servicio de
confidencialidad cobra
mayor valor que la
disponibilidad e integridad
de la información, ya que
administra información
crítica que NO PUEDE NI
DEBE tener accesos
desautorizados.
47. Introducción al Análisis de Riesgos
• Es necesario recordar que:
• No existe SEGURIDAD AL 100%.
• No existe 0% de Riesgos.
• Ningún control es infalible.
• Cada organización tiene vulnerabilidades y riesgos
diferentes.
• Los riesgos no se puede eliminar pero si darle un
tratamiento
48. Análisis de Riesgos
Métodos para analizar los riesgos:
• Cuantitativo.
• Cualitativo.
Existen algunas metodologías para el análisis y gestión de
riesgos:
Magerit
Octave
ISO 27005
RISK IT
ISO 31000
AS/NZS 4360
49. Que persigue con el Análisis de Riesgos
• Identificar y clasificar los activos críticos de la
organización.
• Determinar a que amenazas están expuestas.
• Determinar que salvaguardas existen y cuan
eficaces son frente al riesgo.
• Estimar el impacto.
• Estimar el riesgo.
50. 1. Inventariar 2. Análisis
4. Tratamiento 3. Evaluación
Basado en la
Norma ISO
27005
Ciclo del Análisis y Evaluación de Riesgos
52. Nivel de Riesgo Aceptable
• Es el Riesgo que queda en la organización
luego de implementar controles.
• Cuando el nivel de Riesgo que queda se
asume y acepta, entonces podemos decir que
tenemos un Riesgo Residual.
• Siempre existirán Riesgos Residual.
• ¿Cuál es el nivel de Riesgo Residual aceptable
en su organización?
- La alta dirección debe decidir.
54. Tratando los Riesgos de Seguridad
• Antes de considerar el tratamiento de un
riesgo, la organización debe decidir el
criterio para determinar si es que los
riesgos son aceptados o no, los riesgos
pueden ser aceptados si, por ejemplo, se
evalúa que el riesgo es menor o que el
costo de tratarlo no es rentable para la
organización.
55. Tratando los Riesgos de Seguridad
Posibles opciones para el tratamiento del riesgo incluye:
a) Aplicar controles apropiados para reducir el riesgo.
b) Riesgos aceptados objetivamente y con
conocimiento, satisfaciendo claramente el criterio
para la aceptación del riesgo y la política de la
organización.
c) Evitar riesgos no permitiendo realizar acciones que
puedan causar que estos riesgos ocurran.
d) Transferir los riesgos asociados a terceros como son
los proveedores y aseguradores.
56. Dirección de Tratamiento del Riesgo
Opciones:
• ACEPTAR el riesgo efectivo.
• TRANSFERIR el Riesgo.
• REDUCIR el Riesgo a un nivel aceptado.
• EVITAR Riesgos.
57. Aceptando el Riesgo
CONDICIONES:
• La organización no encuentra controles para
mitigar el riesgo efectivo.
• La implementación de controles tiene un costo
superior que las consecuencias del riesgo.
• Cuando las organizaciones toman está decisión de
aceptar el riesgo, se debe documentar y definir con
precisión el criterio utilizado para la aceptación del
riesgo.
58. Transferir el Riesgo
CONDICIONES:
• Cuando para la organización es difícil reducir o
controlar el riesgo a un nivel aceptable.
• La alternativa de trasferir el riesgo a una
tercera parte es más económica ante estas
circunstancias.
• Las transferencia del riesgo no elimina el
riesgo residual.
59. Reducir el Riesgo
CONDICIONES:
• Se debe reducir el riesgo al nivel que se haya definido
como riesgo aceptable.
• Los controles a implementar pueden reducir el riesgo
estimado en dos maneras:
Reduciendo la probabilidad de ocurrencia de la
amena.
Minimizando el impacto que podría causar si el
riesgo logra ocurrir sobre el activo.
60. Evitar el Riesgo
GENERALIDADES:
• Cualquier acción o control propuesto que permita
cambiar el rumbo de las actividades, para así evitar la
presencia del riesgo.
• El riesgo se puede evitar por medio de:
• No continuar desarrollando una actividad en
particular.
• Trasladar nuestros activos a otro lugar o área segura.
• Decidir no procesar cierta información considerada
muy sensitiva.
61. Resultados del Análisis de Riesgos
• Asignación de valores monetarios a los activos.
• Lista de todos los posibles y potenciales amenazas.
• Probabilidad de cantidad de ocurrencias por cada
amenaza.
• Potencial que la organización pueda aguantar en un
lapso de 12 meses, frente a la amenaza.
• Recomendaciones de salvaguardas, contramedidas y
acciones a ejecutar.
62. Inventario de Activos
• Relación de todos los activos importantes.
• Cada activo debe tener un propietario y custodio
(responsabilidades definidas)
• Los activos se identifican, no se inventan.
Conceptos de Seguridad
Los conceptos confidencialidad, integridad o disponibilidad son muy comunes en el ámbito de la seguridad y aparecen como fundamentales en toda arquitectura de seguridad de la información, ya sea en el ámbito de la protección de datos, normativa vigente relacionada con la protección de datos de carácter personal, como de códigos de buenas prácticas o recomendaciones sobre gestión de la seguridad de la información y de prestigiosas certificaciones internacionales, éstas últimas, relacionadas con la auditoría de los sistemas de información. Suele referirse al grupo de estas características como CIDAN, nombre sacado de la inicial de cada característica.
Por estos motivos es importante tener una idea clara de estos conceptos.
Confidencialidad
Se trata de la cualidad que debe poseer un documento o archivo para que este solo se entienda de manera comprensible o sea leído por la persona o sistema que este autorizado.
De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y solo si puede ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el caso de un mensaje esto evita que exista una intercepción de este y que pueda ser leído por una persona no autorizada.
Por ejemplo, si Andrea quiere enviar un mensaje a Bruno y que solo pueda leerlo Bruno, Andrea cifra el mensaje con una clave (simétrica o asimétrica), de tal modo que solo Bruno sepa la manera de descifrarlo, así ambos usuarios están seguros que solo ellos van a poder leer el mensaje.
Integridad
La integridad es la cualidad que posee un documento o archivo que no ha sido alterado y que además permite comprobar que no se ha producido manipulación alguna en el documento original. Aplicado a las bases de datos seria la correspondencia entre los datos y los hechos que refleja.
Teniendo como muestra el ejemplo anterior. Finalmente Bruno compara ambas funciones resumen, que se trata de una función que produce un valor alfanumérico que identifica cualquier cambio que se produzca en el mensaje, y si éstas funciones son iguales, quiere decir que no ha existido manipulación del mensaje
Autenticación
La autenticación es la situación en la cual se puede verificar que un documento ha sido elaborado (o pertenece) a quien el documento dice.
Aplicado a la verificación de la identidad de un usuario, la autenticación se produce cuando el usuario puede aportar algún modo de que se pueda verificar que dicha persona es quien dice ser, a partir de ese momento se considera un usuario autorizado.
Otra manera de definirlo seria, la capacidad de determinar si una determinada lista de personas ha establecido su reconocimiento sobre el contenido de un mensaje.
Disponibilidad
Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran.
No repudio
El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación y que permite probar la participación de las partes en una comunicación. La diferencia esencial con la autenticación es que la primera se produce entre las partes que establecen la comunicación y el servicio de no repudio se produce frente a un tercero, de este modo, existirán dos posibilidades:
No repudio en origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario
No repudio en destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.
Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino).
En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicamente, así si no existe el de mas abajo, no puede aplicarse el superior. De esta manera, la disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticación.
SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.
Dado que la información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización.
Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales – fuego, inundaciones, terremotos ... – , vandalismo, etc.) hay que sumarle los riesgos lógicos (virus, ataques de denegación de servicio, etc.).
Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir.
En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
En el siguiente dibujo se muestra la distribución de dichos dominios y el aspecto de seguridad que cubren:
Categorías principales de riesgos:
Daños Físicos.
Error Humano.
Mal funcionamiento de los equipos.
Ataques internos y externos.
Mal uso de la información.
Errores de aplicaciones.