3. La falta de políticas y procedimientos en seguridad es uno de los
problemas más graves que confrontan las empresas hoy día en lo que
se refiere a la protección de sus activos de información frente a
peligros externos e internos.
La políticas de seguridad son esencialmente orientaciones e
instrucciones que indican cómo manejar los asuntos de seguridad y
forman la base de un plan maestro para la implantación efectiva de
medidas de protección tales como: identificación y control de acceso,
respaldo de datos, planes de contingencia y detección de intrusos.
4. POLÍTICAS
Las políticas de seguridad informática son una
herramienta fundamental para las empresas de cualquier
tipo y tamaño, a la hora de concienciar a su personal
sobre los riesgos de seguridad y proporcionar pautas de
actuación concretas.
Las políticas de seguridad informática surgen como respuesta a los diferentes riesgo
de seguridad a la cual están expuestos nuestros sistemas.
Una política de seguridad en el ámbito de la criptografía de clave pública o PKI es
un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para
el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde
buenas prácticas para la seguridad de un solo ordenador, reglas de una empresa o
edificio, hasta las directrices de seguridad de un país entero.
La política de seguridad es un documento de alto nivel que denota el compromiso
de la gerencia con la seguridad de la información. Contiene la definición de la
seguridad de la información desde el punto de vista de cierta entidad.
5. ¿POR QUÉ SON IMPORTANTES LAS POLÍTICAS?
Una empresa necesita de documentación sobre políticas, definiciones de
responsabilidades, directrices, normas y procedimientos para que se apliquen
las medidas de seguridad, los mecanismos de evaluación de riesgos y el plan
de seguridad.
El apoyo de la Presidencia y de la Junta Directiva
Para evitar responsabilidades legales
19. INFRAESTRUCTURA
La infraestructura es el activo estratégico y él cimiento crítico sobre él cual se
ejecutan los servicios y las aplicaciones que soportan las operaciones del
negocio.
Dentro de los elementos de la infraestructura tecnológica tenemos:
Servidores
Switches, routers firewalls
Unidades de almacenamiento
Ups
Unidades de aire acondicionado
20. ARQUITECTURA
Podemos definir la arquitectura, como el diseño que se tiene de la infraestructura,
por ejemplo hoy en día podemos tener un diseño de una infraestructura híbrida,
física, virtual o en la nube.
Lo más importante es que él diseñó tenga concordancia con las necesidades y
demandas del negocio.
En los últimos tiempos, estos diseños deben de estar orientados a la seguridad, es
decir debemos asegurar que nuestra arquitectura sea una arquitectura que asegure
la integridad de la información.
26. CONTROLES LOGICOS Y FISICOS
Control, es toda acción que busca reducir los riesgos, él control brinda seguridad a
los activos, defendiendolo de las diferentes amenazas y reduciendo las
vulnerabilidades.
Los controles tienen diferentes tipos de clasificaciones, entre ellas tenemos los
controles fisicos y logicos.
En el caso de la tecnología, los controles protegen el triángulo de la seguridad de
la información.
27. CONTROLES TECNICOS
Controles técnicos, son todos aquellos que hacen uso de la tecnología para
reducir las vulnerabilidades, estos a su vez entran dentro de la clasificación de
controles lógicos, entre ellos tenemos:
La encriptacion
Los antivirus
Sistemas de detección de intrusos
Los roles y privilegios
28. CONTROLES ADMINISTRATIVOS
Los controles administrativos se auxilian de la planeación y los métodos de
levantamiento y recaudación de información de los procesos internos, para
reducir y administrar el riesgo, dentro de ellos tenemos:
Evaluaciones de riesgo
Evaluaciones de Vulnerabilidades
Pruebas de penetración
29. CONTROLES OPERACIONALES
Buscan asegurar las operaciones diarias del negocio, y que dichas operaciones
están alineadas con el plan de seguridad general de la empresa. Estos controles
van dirigidos exclusivamente a las personas, entre ellos tenemos:
Entrenamientos y concientización al personal
Administración de cambios de configuración
Planes de contingencia
Controles físicos y ambientales
Protección de dispositivos
30. CLASIFICACIÓN DE LOS CONTROLES
EN BASE A METAS
preventivos : buscan prevenir la ocurrencia de incidentes relacionados con la
seguridad.
Controles de detección: buscan detectar la ocurrencia de los incidentes
relacionados con la seguridad de la información.
Controles correctivos: tratar de revertir él impacto del incidente ocurrido.
Controles disuasivos: son aquellos que buscan disuadir al posible atacante de
incurrir en él ataque.
31. CONTROLES FISICOS
Los controles físicos podemos decir que en gran parte son disuasivos, entre ellos
tenemos, los guardianes, las cámaras de seguridad, libro de control de visitas,
controles de accesos, sistemas de alarmas, entre otros.
Los controles físicos, están orientados a proteger perímetros, localidades, areas
restringidas, equipos físicos, entre otros.
34. COBIT
CONTROL OBJECTIVES FOR INFORMATION AND RELATED TECHNOLOGY
COBIT es un marco de gestión de TI desarrollado por ISACA para ayudar a las
empresas a desarrollar, organizar e implementar estrategias en torno a la gestión
de la información y la gobernanza.
Es una guía de mejores prácticas presentada como marco de trabajo, dirigida al
control y supervisión de tecnología de la información (TI).
35. MISIÓN
La misión de COBIT es investigar, desarrollar, publicar y promocionar un
conjunto de objetivos de control generalmente aceptados para las
tecnologías de la información que sean autorizados, actualizados, e
internacionales para el uso del día a día de los gestores de negocios y
auditores.
36. BENEFICIOS
Mejor alineación basado en una focalización sobre el negocio.
Visión comprensible de TI para su administración.
Clara definición de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados basados en un lenguaje común.
Cumplimiento global de los requerimientos de TI planteados en el Marco de Control Interno de
Negocio COSO.
38. PRINCIPIOS DE COBIT
PRINCIPIO
S DE
COBIT
Satisfacer las
necesidades
de las partes
interesadas
Cubrir la
Empresa
de Extremo
a Extremo
Separar el
Gobierno de
la Gestión
Hacer
posible un
Enfoque
Holistico
Aplicar un
Marco de
Referencia
Único e
Integrado
COBIT provee todos los procesos necesarios
y otros catalizadores para permitir la creación
de valor del negocio mediante el uso de TI.
COBIT integra el
gobierno y la gestión de
TI en el gobierno
corporativo.
COBIT se alinea a alto nivel con otros
estándares y marcos de trabajo
relevantes, y de este modo puede hacer
la función de marco de trabajo principal
para el gobierno y la gestión de las Ti de
la empresa.
7 Habilitadores:
– Principios, Políticas y Marcos de
Trabajo.
– Procesos.
– Estructuras Organizativas.
– Cultura, Ética y Comportamiento.
– Información.
– Servicios, Infraestructuras y
Aplicaciones.
– Personas, Habilidades y
Competencias.
COBIT establece una
clara distinción entre
gobierno y gestión.
40. SEGURIDAD DE COBIT
COBIT, en su última versión, se enfoca a la Seguridad de la Información, que tiene como
base la mejora en las prácticas, con la característica principal que agrega a las guías
prácticas de forma detallada para proteger la información a todos los niveles.
COBIT se puede utilizar como complemento, ya que esta última versión ofrece una guía
básica para definir, operar y monitorear un Sistema de Gestión de Seguridad, para lo que
describe los siguientes procesos:
• APO13 Gestión de la seguridad.
• DS05 Garantizar la Seguridad de Los Sistemas
41. SEGURIDAD DE COBIT
APO13 GESTIÓN DE LA SEGURIDAD
Este proceso se encarga de definer, operar y supervisar un sistema para la gestión de
la seguridad de la información.
Tiene como proposito mantener el impacto y ocurrencia de los incidentes de la
seguridad de la informacion dentro de los niveles de apetito de riesgos de la empresa.
OBJETIVOS DE CONTROL:
APO13.01: Establecer y Mantener un SGSI.
APO13.02: Definir y Gestionar un plan de Tratamiento del Riesgo de la Seguridad
de la Información.
APO13.03: Supervisar y Revisar el SGSI.
42. DS05 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
Se encarga de mantener la integridad de la información y de proteger los activos de
TI, requiere de un proceso de administración de la seguridad.
Objetivos de control:
DS5.1 Administración de la seguridad de TI.
DS5.2 Plan de seguridad de TI.
DS5.3 Administración de identidad.
DS5.4 Administración de cuentas del usuario.
DS5.5 Pruebas, vigilancia y monitorización de la seguridad.
DS5.6 Definición de incidente de seguridad.
DS5.7 Protección de la tecnología de seguridad.
DS5.8 Administración de llaves criptográficas.
DS5.9 Prevención, detección y corrección de software malicioso.
DS5.10 Seguridad de la red.
DS5.11 Intercambio de datos sensibles.