SlideShare una empresa de Scribd logo

Sistemas de Seguridad Informática

Descargar como DOCX, PDF
Soluciones Informáticas IMPULSO TECNICO E.I.R.L.
Soluciones Informáticas IMPULSO TECNICO E.I.R.L.

DIEGO ERNESTO CABELLO YAURI Soluciones Informáticas IMPULSO TECNICO E.I.R.L.

Ingeniería
1 de 16
Universidad Nacional de Ingeniería Facultad de Ingeniería Eléctrica e Informática Sistemas de Seguridad Implementación de un Sistema de Seguridad de Información DIEGO ERNESTO CABELLO YAURI Consultor Informático Especializado
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 2 Contenido Introducción................................................................................................................................................................ 3 Definición de información................................................................................................................................... 4 Sociedad e Información........................................................................................................................................ 4 La información, un activo siempre expuesto al riesgo........................................................................ 4 Información en las empresas............................................................................................................................6 ¿Qué es un SGSI?...................................................................................................................................................... 7 ¿Para qué sirve un SGSI?..................................................................................................................................... 7 ¿Porqué implantar un sistema de seguridad de información?....................................................... 8 Como establecer un Sistema de Gestión de Seguridad de Información (SGSI) para una empresa ...........................................................................................................................................................................................12 Activos de información........................................................................................................................................13 Tasación de los activos de información......................................................................................................13 Evaluación de riesgo.............................................................................................................................................14 Desarrollo del plan de implementación......................................................................................................14 Monitoreo del sistema de seguridad.............................................................................................................15 Conclusiones............................................................................................................Error! Bookmark not defined.
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 3 Introducción El presente trabajo tiene por finalidad cubrir en un porcentaje mínimo el vacío generado por la falta de un método documentado sobre cómo proceder a implantar en cualquier empresa un sistema de gestión de seguridad de información (SGSI), que les permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Mostramos una pequeña pincelada de cómo instaurar en cualquier firma un SGSI basado en la norma ISO 27001: 2005. las fases y las actividades de la metodología sirven de guía a los profesionales encargados de manejar proyectos de implantación. Al instaurar un SGSI, usualmente no se sabe con precisión cómo se procede a documentar el modelo. “Con qué cláusula se debe iniciar la documentación? “Cómo se documenta un procedimiento par que sea amigable y sea una herramienta de trabajo? Hay muchos libros que resuelven con la debida profundidad estas preguntas y en él se presenta la estructura piramidal de la documentación del modelo ISO 27001: 2005 y él método de los 13 pasos para documentar un SGSI, el cual debe convertirse en una gran asistencia para los responsables de documentar los sistemas. Concreta y detalladamente, se describen las fases y los pasos de la "metodología para diseñar un Plan de Continuidad del Negocio (PCN)". No existe un SGSI si no se tiene instaurado un PCN. Dicho estándar hace énfasis en que la tecnología de información representa un servicio de importancia estratégica, que debe ser adecuadamente administrado y que cuenta con procesos estándares que permiten el logro de dicho objetivo desde el desarrollo de los productos y servicios hasta su operación permanente.
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 4 Definición de información Para poder establecer un sistema de seguridad de información, primero debemos definir lo que entendemos por información. Se pueden encontrar variadas definiciones dependiendo de la fuente de información y de los autores investigados, pero la mayoría coincide en que la información es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo. Sociedad e Información Es difícil recrear en la mente un escenario de sociedad sin información. Vivimos en una sociedad de fuertes transiciones, dimos el salto de la era mecánica e industrial a la era de la información. El uso de los medios tecnológicos y de información ha afectado todos los ámbitos sociales, ha modificado la forma de interrelacionarnos y ha impactado los medios de producción y las economías. El mundo en el que vivimos está pletórico de datos, frases e íconos. Hemos aprendido a organizarlos y la información que de ellos deriva rige muchas de nuestras decisiones. La percepción que los seres humanos tenemos de nosotros mismos ha cambiado, en vista de que se ha modificado la apreciación que tenemos de nuestro entorno. Nuestra circunstancia no es más la del barrio o la ciudad en donde vivimos, ni siquiera la del país en donde nacemos. Nuestros horizontes son, al menos en apariencia, de carácter planetario. Estas características definen esta sociedad que conformamos, la sociedad de la información. La información, un activo siempre expuesto al riesgo En los sistemas complejos siempre existirán riesgos que pueden poner en juego la estabilidad y el futuro de las mismas y la información como nuevo factor generador de ventajas competitivas no es la excepción. Se establece que son los datos y los medios de procesamiento, activos valiosos pero altamente vulnerables, expuestos a riesgos, amenazas y a hechos que van en contra de la seguridad de los mismos, que afectan su disponibilidad, su integridad y su confidencialidad. Siendo la información uno de sus activos más importantes, requiere ser protegida de forma adecuada frente a cualquier amenaza que ponga en peligro la continuidad del negocio. Esta
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 5 situación ha conllevado a que las organizaciones respondan a tales riesgos reordenando sus estructuras y abriendo campo a nuevas disciplinas y habilidades gerenciales que ayuden a minimizar tales riesgos. Se inicia entonces, todo un proceso para gestionar la seguridad de la información, se establecen normas internacionales y se definen políticas locales que buscan garantizar integridad, confidencialidad y disponibilidad en la información. Las organizaciones actuales están llamadas a diseñar políticas orientadas a gestionar el riesgo sobre la información y los sistemas que la procesan y a diseñar sistemas eficientes para gerenciar el riesgo de tales sistemas. La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información esta sujeta a muchas amenazas, tanto de índole interna como externa. La información puede ser: Almacenada DestruidaCreada Procesada Transmitida Perdida Corrompida Utilizada Para propósitos Apropiados o Inapropiados Ciclo de información
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 6 Información en las empresas En las empresas, la información puede ser de variados tipos y formas dependiendo del rubro de la empresa y el nivel de tecnología aplicada en ella. La información puede estar  Impresa o escrita  Almacenada electrónicamente  Transmitida por medios electrónicos  Presentada en videos corporativos  Verbal - conversada formal / informalmente. La información es considerada un activo más para las empresas, debido a que gran parte del registro necesario para su funcionamiento, se mantiene en formatos digitales, como datos de clientes, datos ventas, datos de acreedores, cuentas corrientes y todo dato que aporte información para el normal funcionamiento de la empresa.  Por lo anterior, impera una protección adecuada a las informaciones importantes.  Seguridad no es un producto, es un proceso que debe ser administrado.  Nada es estático, la seguridad no es la excepción. Mejora continua.  Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad. Según la Cámara de Comercio estadounidense, casi el 80% de los valores intelectuales de las corporaciones son electrónicos, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes.
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 7 ¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. ¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 8 ¿Porqué implantar un sistema de seguridad de información? Como se mencionó anteriormente, la información en la empresa es uno de activos más importantes que se poseen y está sujeta a muchas amenazas, tanto de índole interna como externa, por lo tanto las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software o guardar en una bóveda los “backups”. La seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de:  CONFIDENCIALIDAD. La información está protegida de personas no autorizadas.  INTEGRIDAD. La información está como se pretende, sin modificaciones inapropiadas.  DISPONIBILIDAD. Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran Un sistema de seguridad de información, se encarga de protegerla de una serie de amenazas para asegurar que la empresa pueda continuar operando, minimizar daños a la gestión comercial, maximizando el retorno a la inversión y oportunidades de negocios. Cada organización tendrá un conjunto de requerimientos diferentes de control y de niveles de confidencialidad, integridad y disponibilidad. De acuerdo con la normas ISO 27000, se considera amenaza aquella causa potencial de un incidente no deseado, el cual puede causar daño a un sistema o a una organización. Al analizar las amenazas a las que se ve enfrentada la información podemos clasificarlas en seis categorías, las que se pueden apreciar en el siguiente diagrama:
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 9  Amenazas Naturales. (Inundaciones, tsunamis, tornados, maremotos, huracanes, sismos, tormentas, incendios forestales)  Amenazas a Instalaciones. (Fuego, explosiones, caídas de energía, daño de agua, perdidas de acceso, fallas mecánicas)  Amenazas Humanas. (Huelgas, epidemias, materiales peligrosos, problemas de transporte, pérdidas de personal clave)  Amenazas Tecnológicas. (Virus, hacking, pérdida de datos, fallas de hardware, fallas de software, fallas de red, fallas en línea telefónica)  Amenazas Operacionales. (Crisis financiera, fallas en equipos, aspectos regulatorios, mala publicidad)  Amenazas Sociales. (Motines, protestas, sabotaje vandalismo, violencia laboral, terrorismo) Para que una amenaza cause daño a algún activo de información tendría que explotar una o más vulnerabilidades del sistema, aplicaciones o servicios usados por la organización para ser exitosa en su intención de hacer daño. Una vez que se establecen las distintas amenazas que pueden afectar un activo, se debe evaluar su posibilidad de ocurrencia. Tipos de Amenazas Amenaza Amenaza
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 10 Junto con las amenazas, se debe estudiar las vulnerabilidades, que se definen como debilidades de seguridad asociadas con los activos de información de una organización.  Seguridad de los recursos humanos. (Falta de entrenamiento en seguridad, falta de mecanismos de monitoreo, políticas para el uso correcto de las telecomunicaciones, no eliminar los acceso al término del contrato de trabajo, empleados desmotivados).  Control de acceso. (Segregación inapropiada de redes, falta de políticas de escritorio y pantalla limpia, políticas incorrectas de control de acceso, claves de acceso sin modificaciones)  Seguridadfísica y ambiental.(Inadecuado control de acceso físico a oficinas, salones y edificios, ubicación en áreas propensas a inundaciones, almacenes desprotegidos, carencia de programas de sustitución de equipos, equipos mal cuidados)  Gestión de operaciones y comunicación. (Control de cambios inadecuados, gestión de red inadecuada, carencia de mecanismos que aseguren la emisión y recepción de mensajes, carencia de tareas segregadas, falta de protección en redes públicas de comunicación)  Mantenimiento, desarrollo y mantención de sistemas de información. (Protección inapropiada de llaves criptográficas, políticas incompletas para el uso de criptografía, Tipos de Vulnerabilidade s Seguridad de los Seguridad física y Cont rol
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 11 carencia de validación de datos procesados, falta de documentación de software, mala selección de pruebas de datos) Una vez que se identifican las vulnerabilidades se debe evaluar la posibilidad que sean explotadas por una amenaza.
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 12 Como establecer un Sistema de Gestión de Seguridad de Información (SGSI) para una empresa Un sistema de seguridad de información se compone un conjunto de medidas, procedimientos y herramientas tendientes a asegurar la información que la organización considere importante para su funcionamiento. Diseñar e implementar un SGSI dependerá de los objetivos estratégicos del negocio y las necesidades de la empresa siendo estos los parámetros básicos para la definición del alcance de su implementación. Promover la ejecución de este proyecto proviene de las áreas directivas responsables del buen funcionamiento de la entidad y se convierte en un requisito indispensable para garantizar el éxito del proyecto. Un SGSI varía según el tipo de organización y el sector económico en el que se encuentre, sin embargo y de acuerdo con Alexander (2007), el procedimiento para la implementación y mantenimiento independiente del tipo de organización, debe seguir un ciclo de mejora continua. Para el autor el círculo de Deming2, es el método más adecuado para la implementación de un SGSI ya que propone una estrategia de mejora continua en 4 pasos: Planear, hacer verificar y actuar. Las fases que a continuación se describen, definidas por el ciclo Deming, permiten entender todo el procedimiento de implementación del SGSI para cualquier empresa. Ciclo de un SGSI Partes Interesad as Segurida d de informaci ón manejada PLAN Establec er SGSI Act Manten er y Do Implem entar y Chk Monitor ear y Desarr ollar Mante ner y Mejora r el ciclo Partes Interesad as Requerim ientos y expectati vas de la seguridad de informaci
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 13 Activos de información Los activos de información que se encuentran dentro del alcance del SGSI son fundamentales para su implementación. El análisis y evaluación del riesgo y las decisiones que se tomen en relación al tratamiento de este riesgo, giran en torno a los activos de información identificados. Un activo es algo que tiene valor o utilidad para la organización, sus operaciones comerciales y su continuidad. De esta forma, la organización debe proteger sus activos para una correcta operación del negocio. Los activos de información pueden ser clasificados de la siguiente forma:  Activos de Información (Datos, manuales de usuario, etc.)  Documentos en Papel (contratos)  Activos de Software (aplicación, software de sistema, etc.)  Activos físicos (Computadores, medios magnéticos, etc.)  Personal (clientes, trabajadores)  Imagen y reputación de la organización  Servicios (comunicaciones, etc.) Tasación de los activos de información Una vez que los activos se encuentran identificados, se debe proceder a establecer el valor de cada uno de ellos, para lo que se puede utilizar una escala de Likert, que define el valor 1 como “muy bajo” y el valor 5 “muy alto”. Para definir el valor se debe realizar la pregunta ¿Cómo una pérdida o falla en un determinado activo afecta la confidencialidad, integridad y disponibilidad? Activos de Información Confidencialidad Integridad Disponibilidad Total Base de datos Clientes 5 5 5 5
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 14 Equipos computacionales 5 4 3 4 Línea dedicada 3 3 4 3 Internet 3 4 4 4 Copias de respaldo 4 4 4 4 Switch 2 2 4 3 Disco duro 1 2 5 3 Evaluación de riesgo Una vez que se ha realizado el análisis y la evaluación del riesgo, se deben decidir las acciones que se tomarán con esos activos que se están sujetos a riesgo. Los riesgos descubiertos en las etapas anteriores, pueden manejarse con una serie de controles para la detección y prevención. Los riesgos relacionados con la seguridad de información pueden ser difíciles de cuantificar en términos de la probabilidad de ocurrencia. Una vez que el riesgo se ha calculado, se debe tomar la decisión de cómo se tratará el riesgo. Esta decisión estará influenciada por el tipo de negocio y el escenario en que se desarrolla. Estas decisiones sueles estar influenciadas por dos factores.  El posible impacto si el riesgo se pone de manifiesto.  Qué tan frecuente puede suceder. Estos dos factores dan una idea de la pérdida esperada si el riesgo ocurriera, si nada se hace para mitigar el riesgo calculado. Sin embargo, después de haber tomado todas las acciones y decisiones dirigidas a mitigar los riesgos, siempre queda un remante de ese riesgo. Este riesgo que queda luego de implantado un sistema de Seguridad de información se llama Riesgo Residual, que es difícil de calcular, pero se debe realizar una evaluación para asegurar que se logra una protección suficiente. Desarrollo del plan de implementación Con todos los datos recogidos en las etapas de estudio, se debe desarrollar un plan para implementar el SGSI, para lo que es posible utilizar las guías que implantan las Normas ISO 27001:2005 e ISO 17799:2005. Cabe señalar que la norma ISO 27001:2005 es una evolución de la Norma ISO 17799:2005.
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 15 La estructura de la documentación que exige la norma ISO es la siguiente: Monitoreo del sistema de seguridad Una vez que el sistema de encuentra en marcha, se deben ejecutar actividades de monitoreo el SGSI que se ha implementado, con el objetivo de asegurar el funcionamiento de todas las partes del plan. Es en esta etapa de monitoreo que se detectarán las falencias de cobertura del plan, que debe ser corregido contemplando la información resultante de los monitoreos. Todo Sistema de Seguridad de Información debe ser revisado periódicamente, con el objetivo de adaptarlo a los constantes cambios que sufren las organizaciones y su entorno. Conclusiones del Autor - La información se ha convertido un bien de incalculable valor para las empresas y organizaciones. Estructura de la Documentación Requerida Nivel IV Nivel I Nivel III Nivel II Enfoque de la Gerencia Política, Manual de Seguridad Descripción de procesos, Quién hace Procedimi entos Describe tareas específicas y cómo se Instruccio nes de Trabajo Provee evidencia objetivade la Registros
Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 16 - Por tal motivo, éstas no pueden darse el lujo por ser afectados por pérdida de información, filtración de información o falta de accesibilidad como de disponibilidad de ésta. - Debido a la alta competitividad que existe entre las empresas es de vital importancia contar con un Sistema de Seguridad de la Información. - Implementar un eficiente SGSI no es algo trivial, hay que seguir una metodología que abarque todos los aspectos involucrados para que no se escape ningún detalle y no quede ningún elemento relacionado con la información vulnerable. - Una excelente forma para implementar un SGSI, es guiarse por las normas de implementación de la ISO 27001:2005, que es un estándar internacional respecto al tema. - El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

Recomendados

Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaJose Quiroz
 
Mecanismos de seguridad-BY JORDY
Mecanismos de seguridad-BY JORDYMecanismos de seguridad-BY JORDY
Mecanismos de seguridad-BY JORDYJordy Luna Palacios
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADandreamo_21
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaguest8d2f0a
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesLeyda Cordoba Araujo
 
Mecanismos de seguridad en redes
Mecanismos de seguridad en redesMecanismos de seguridad en redes
Mecanismos de seguridad en redesSonia Eraso
 

Recomendados

Seguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaSeguridad informatica mecanismo de seguridad informática
Seguridad informatica mecanismo de seguridad informáticaJose Quiroz
 
Mecanismos de seguridad-BY JORDY
Mecanismos de seguridad-BY JORDYMecanismos de seguridad-BY JORDY
Mecanismos de seguridad-BY JORDYJordy Luna Palacios
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADandreamo_21
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaguest8d2f0a
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Mecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesMecanismos de Seguridad - Seguridad en Redes
Mecanismos de Seguridad - Seguridad en RedesLeyda Cordoba Araujo
 
Mecanismos de seguridad en redes
Mecanismos de seguridad en redesMecanismos de seguridad en redes
Mecanismos de seguridad en redesSonia Eraso
 
Mecanismos
MecanismosMecanismos
MecanismosAlonso Ledesma
 
Mecanismos De Seguridad
Mecanismos De SeguridadMecanismos De Seguridad
Mecanismos De SeguridadSaid Pabon
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad InformaticaAndres Manios
 
Mecanismos de seguridad informatica
Mecanismos de seguridad informaticaMecanismos de seguridad informatica
Mecanismos de seguridad informaticaAbi More Mio
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaXiomaraApolo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaEduardo1601
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaValeria Mondragon
 
Seguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoSeguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoPierina Lanfranco
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaElvira Pérez Zegarra
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castilloNevi Castillo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaUniversidad José María Vargas
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
Tipos de Seguridad informatica
Tipos de Seguridad informaticaTipos de Seguridad informatica
Tipos de Seguridad informaticaDANIEL9212
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaJeaneth Calderon
 
Tarea 2 Informatica
Tarea 2 InformaticaTarea 2 Informatica
Tarea 2 InformaticaUNIANDES
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticalesly ojeda
 
Seguridad física e informática relacionada a los
Seguridad física e informática relacionada a losSeguridad física e informática relacionada a los
Seguridad física e informática relacionada a losAna Amelia Castro Cuenca
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOscar Garces Torres
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTSJose Manuel Acosta
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaKevin Martinez
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaJuan Antonio Ramos
 

Más contenido relacionado

La actualidad más candente

Mecanismos De Seguridad
Mecanismos De SeguridadMecanismos De Seguridad
Mecanismos De SeguridadSaid Pabon
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad InformaticaAndres Manios
 
Mecanismos de seguridad informatica
Mecanismos de seguridad informaticaMecanismos de seguridad informatica
Mecanismos de seguridad informaticaAbi More Mio
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaXiomaraApolo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaEduardo1601
 
Seguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoSeguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoPierina Lanfranco
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castilloNevi Castillo
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosJorge Røcha
 
Tipos de Seguridad informatica
Tipos de Seguridad informaticaTipos de Seguridad informatica
Tipos de Seguridad informaticaDANIEL9212
 
Tarea 2 Informatica
Tarea 2 InformaticaTarea 2 Informatica
Tarea 2 InformaticaUNIANDES
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticalesly ojeda
 
Seguridad física e informática relacionada a los
Seguridad física e informática relacionada a losSeguridad física e informática relacionada a los
Seguridad física e informática relacionada a losAna Amelia Castro Cuenca
 

La actualidad más candente (20)

Mecanismos
MecanismosMecanismos
Mecanismos
 
Mecanismos De Seguridad
Mecanismos De SeguridadMecanismos De Seguridad
Mecanismos De Seguridad
 
8. Seguridad Informatica
8. Seguridad Informatica8. Seguridad Informatica
8. Seguridad Informatica
 
Mecanismos de seguridad informatica
Mecanismos de seguridad informaticaMecanismos de seguridad informatica
Mecanismos de seguridad informatica
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica pierina lanfranco
Seguridad informatica pierina lanfrancoSeguridad informatica pierina lanfranco
Seguridad informatica pierina lanfranco
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castillo
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticos
 
Tipos de Seguridad informatica
Tipos de Seguridad informaticaTipos de Seguridad informatica
Tipos de Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Tarea 2 Informatica
Tarea 2 InformaticaTarea 2 Informatica
Tarea 2 Informatica
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad física e informática relacionada a los
Seguridad física e informática relacionada a losSeguridad física e informática relacionada a los
Seguridad física e informática relacionada a los
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad Informática - UTS
Seguridad Informática - UTSSeguridad Informática - UTS
Seguridad Informática - UTS
 

Destacado

Sistemas de seguridad
Sistemas de seguridadSistemas de seguridad
Sistemas de seguridadGermán Cruz
 
Presentacion en power point de seguridad y medidas de prevencion.
Presentacion en power point de seguridad y medidas de prevencion.Presentacion en power point de seguridad y medidas de prevencion.
Presentacion en power point de seguridad y medidas de prevencion.Anayeli Salazar
 
Seguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nubeSeguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nubeEventos Creativos
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...eccutpl
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Unidad 1. Mapa Conceptual
Unidad 1. Mapa ConceptualUnidad 1. Mapa Conceptual
Unidad 1. Mapa Conceptualanthonioperalta
 
Mapa mental (seguridad informatica)
Mapa mental (seguridad informatica)Mapa mental (seguridad informatica)
Mapa mental (seguridad informatica)Uber
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaguesta86b3c
 
Proteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas OperativosProteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas OperativosEduardo Gomez
 
Ciclo phva
Ciclo phvaCiclo phva
Ciclo phvamriveros
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Breve resumen de la historia de la informática
Breve resumen de la historia de la informáticaBreve resumen de la historia de la informática
Breve resumen de la historia de la informáticamaamaa
 

Destacado (20)

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Sistemas de seguridad
Sistemas de seguridadSistemas de seguridad
Sistemas de seguridad
 
Presentacion en power point de seguridad y medidas de prevencion.
Presentacion en power point de seguridad y medidas de prevencion.Presentacion en power point de seguridad y medidas de prevencion.
Presentacion en power point de seguridad y medidas de prevencion.
 
IntegrATE
IntegrATEIntegrATE
IntegrATE
 
Seguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nubeSeguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nube
 
Validar+datos (1)
Validar+datos (1)Validar+datos (1)
Validar+datos (1)
 
Sga
SgaSga
Sga
 
Actualizaciones
ActualizacionesActualizaciones
Actualizaciones
 
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
Integración de Mecanismos de Seguridad en la arquitectura de Aplicaciones Sof...
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Unidad 1. Mapa Conceptual
Unidad 1. Mapa ConceptualUnidad 1. Mapa Conceptual
Unidad 1. Mapa Conceptual
 
Moodle
MoodleMoodle
Moodle
 
Mapa mental (seguridad informatica)
Mapa mental (seguridad informatica)Mapa mental (seguridad informatica)
Mapa mental (seguridad informatica)
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Proteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas OperativosProteccion y Seguridad en los Sistemas Operativos
Proteccion y Seguridad en los Sistemas Operativos
 
Democracia
DemocraciaDemocracia
Democracia
 
Ciclo phva
Ciclo phvaCiclo phva
Ciclo phva
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Breve resumen de la historia de la informática
Breve resumen de la historia de la informáticaBreve resumen de la historia de la informática
Breve resumen de la historia de la informática
 

Similar a Sistemas de Seguridad Informática

Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la leyFabián Descalzo
 
Manual de-buenas-practicas-tics-para-pymes-sap-2012
Manual de-buenas-practicas-tics-para-pymes-sap-2012Manual de-buenas-practicas-tics-para-pymes-sap-2012
Manual de-buenas-practicas-tics-para-pymes-sap-2012ITS Peru
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Barrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticaBarrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticayustinos
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
PRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTPRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTYulianaCruzSoto
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1Vocecita Mova
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 

Similar a Sistemas de Seguridad Informática (20)

Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley El derechoinformatico - El largo brazo de la ley
El derechoinformatico - El largo brazo de la ley
 
Manual de-buenas-practicas-tics-para-pymes-sap-2012
Manual de-buenas-practicas-tics-para-pymes-sap-2012Manual de-buenas-practicas-tics-para-pymes-sap-2012
Manual de-buenas-practicas-tics-para-pymes-sap-2012
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Barrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticaBarrantes sistemas de gestion informatica
Barrantes sistemas de gestion informatica
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
ADA2_B1_JAHG
ADA2_B1_JAHGADA2_B1_JAHG
ADA2_B1_JAHG
 
TesisS4
TesisS4TesisS4
TesisS4
 
Politica de seguridad en chile tic
Politica de seguridad en chile ticPolitica de seguridad en chile tic
Politica de seguridad en chile tic
 
PRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTPRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBT
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Diario de la primera unidad 1
Diario de la primera unidad 1Diario de la primera unidad 1
Diario de la primera unidad 1
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 

Último

4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptxGARCIARAMIREZCESAR
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestajeffsalazarpuente
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxEverardoRuiz8
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacajeremiasnifla
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfyoseka196
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxEduardoSnchezHernnde5
 
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...SuannNeyraChongShing
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdfEdwinAlexanderSnchez2
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
SSOMA, seguridad y salud ocupacional. SST
SSOMA, seguridad y salud ocupacional. SSTSSOMA, seguridad y salud ocupacional. SST
SSOMA, seguridad y salud ocupacional. SSTGestorManpower
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfAntonioGonzalezIzqui
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfmatepura
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfevin1703e
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUMarcosAlvarezSalinas
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdffredyflores58
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfKEVINYOICIAQUINOSORI
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfFernandaGarca788912
 

Último (20)

4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
 
Diapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuestaDiapositiva de Topografía Nivelación simple y compuesta
Diapositiva de Topografía Nivelación simple y compuesta
 
Unidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptxUnidad 3 Administracion de inventarios.pptx
Unidad 3 Administracion de inventarios.pptx
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpaca
 
Calavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdfCalavera calculo de estructuras de cimentacion.pdf
Calavera calculo de estructuras de cimentacion.pdf
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
Flujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptxFlujo multifásico en tuberias de ex.pptx
Flujo multifásico en tuberias de ex.pptx
 
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
 
183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf183045401-Terminal-Terrestre-de-Trujillo.pdf
183045401-Terminal-Terrestre-de-Trujillo.pdf
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
SSOMA, seguridad y salud ocupacional. SST
SSOMA, seguridad y salud ocupacional. SSTSSOMA, seguridad y salud ocupacional. SST
SSOMA, seguridad y salud ocupacional. SST
 
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdfTAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
TAREA 8 CORREDOR INTEROCEÁNICO DEL PAÍS.pdf
 
ECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdfECONOMIA APLICADA SEMANA 555555555544.pdf
ECONOMIA APLICADA SEMANA 555555555544.pdf
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdf
 
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
 
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdfECONOMIA APLICADA SEMANA 555555555555555555.pdf
ECONOMIA APLICADA SEMANA 555555555555555555.pdf
 
Elaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdfElaboración de la estructura del ADN y ARN en papel.pdf
Elaboración de la estructura del ADN y ARN en papel.pdf
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusibles
 
Curso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdfCurso intensivo de soldadura electrónica en pdf
Curso intensivo de soldadura electrónica en pdf
 
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdfVALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
VALORIZACION Y LIQUIDACION MIGUEL SALINAS.pdf
 

Sistemas de Seguridad Informática

  • 1. Universidad Nacional de Ingeniería Facultad de Ingeniería Eléctrica e Informática Sistemas de Seguridad Implementación de un Sistema de Seguridad de Información DIEGO ERNESTO CABELLO YAURI Consultor Informático Especializado
  • 2. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 2 Contenido Introducción................................................................................................................................................................ 3 Definición de información................................................................................................................................... 4 Sociedad e Información........................................................................................................................................ 4 La información, un activo siempre expuesto al riesgo........................................................................ 4 Información en las empresas............................................................................................................................6 ¿Qué es un SGSI?...................................................................................................................................................... 7 ¿Para qué sirve un SGSI?..................................................................................................................................... 7 ¿Porqué implantar un sistema de seguridad de información?....................................................... 8 Como establecer un Sistema de Gestión de Seguridad de Información (SGSI) para una empresa ...........................................................................................................................................................................................12 Activos de información........................................................................................................................................13 Tasación de los activos de información......................................................................................................13 Evaluación de riesgo.............................................................................................................................................14 Desarrollo del plan de implementación......................................................................................................14 Monitoreo del sistema de seguridad.............................................................................................................15 Conclusiones............................................................................................................Error! Bookmark not defined.
  • 3. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 3 Introducción El presente trabajo tiene por finalidad cubrir en un porcentaje mínimo el vacío generado por la falta de un método documentado sobre cómo proceder a implantar en cualquier empresa un sistema de gestión de seguridad de información (SGSI), que les permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Mostramos una pequeña pincelada de cómo instaurar en cualquier firma un SGSI basado en la norma ISO 27001: 2005. las fases y las actividades de la metodología sirven de guía a los profesionales encargados de manejar proyectos de implantación. Al instaurar un SGSI, usualmente no se sabe con precisión cómo se procede a documentar el modelo. “Con qué cláusula se debe iniciar la documentación? “Cómo se documenta un procedimiento par que sea amigable y sea una herramienta de trabajo? Hay muchos libros que resuelven con la debida profundidad estas preguntas y en él se presenta la estructura piramidal de la documentación del modelo ISO 27001: 2005 y él método de los 13 pasos para documentar un SGSI, el cual debe convertirse en una gran asistencia para los responsables de documentar los sistemas. Concreta y detalladamente, se describen las fases y los pasos de la "metodología para diseñar un Plan de Continuidad del Negocio (PCN)". No existe un SGSI si no se tiene instaurado un PCN. Dicho estándar hace énfasis en que la tecnología de información representa un servicio de importancia estratégica, que debe ser adecuadamente administrado y que cuenta con procesos estándares que permiten el logro de dicho objetivo desde el desarrollo de los productos y servicios hasta su operación permanente.
  • 4. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 4 Definición de información Para poder establecer un sistema de seguridad de información, primero debemos definir lo que entendemos por información. Se pueden encontrar variadas definiciones dependiendo de la fuente de información y de los autores investigados, pero la mayoría coincide en que la información es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo. Sociedad e Información Es difícil recrear en la mente un escenario de sociedad sin información. Vivimos en una sociedad de fuertes transiciones, dimos el salto de la era mecánica e industrial a la era de la información. El uso de los medios tecnológicos y de información ha afectado todos los ámbitos sociales, ha modificado la forma de interrelacionarnos y ha impactado los medios de producción y las economías. El mundo en el que vivimos está pletórico de datos, frases e íconos. Hemos aprendido a organizarlos y la información que de ellos deriva rige muchas de nuestras decisiones. La percepción que los seres humanos tenemos de nosotros mismos ha cambiado, en vista de que se ha modificado la apreciación que tenemos de nuestro entorno. Nuestra circunstancia no es más la del barrio o la ciudad en donde vivimos, ni siquiera la del país en donde nacemos. Nuestros horizontes son, al menos en apariencia, de carácter planetario. Estas características definen esta sociedad que conformamos, la sociedad de la información. La información, un activo siempre expuesto al riesgo En los sistemas complejos siempre existirán riesgos que pueden poner en juego la estabilidad y el futuro de las mismas y la información como nuevo factor generador de ventajas competitivas no es la excepción. Se establece que son los datos y los medios de procesamiento, activos valiosos pero altamente vulnerables, expuestos a riesgos, amenazas y a hechos que van en contra de la seguridad de los mismos, que afectan su disponibilidad, su integridad y su confidencialidad. Siendo la información uno de sus activos más importantes, requiere ser protegida de forma adecuada frente a cualquier amenaza que ponga en peligro la continuidad del negocio. Esta
  • 5. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 5 situación ha conllevado a que las organizaciones respondan a tales riesgos reordenando sus estructuras y abriendo campo a nuevas disciplinas y habilidades gerenciales que ayuden a minimizar tales riesgos. Se inicia entonces, todo un proceso para gestionar la seguridad de la información, se establecen normas internacionales y se definen políticas locales que buscan garantizar integridad, confidencialidad y disponibilidad en la información. Las organizaciones actuales están llamadas a diseñar políticas orientadas a gestionar el riesgo sobre la información y los sistemas que la procesan y a diseñar sistemas eficientes para gerenciar el riesgo de tales sistemas. La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información esta sujeta a muchas amenazas, tanto de índole interna como externa. La información puede ser: Almacenada DestruidaCreada Procesada Transmitida Perdida Corrompida Utilizada Para propósitos Apropiados o Inapropiados Ciclo de información
  • 6. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 6 Información en las empresas En las empresas, la información puede ser de variados tipos y formas dependiendo del rubro de la empresa y el nivel de tecnología aplicada en ella. La información puede estar  Impresa o escrita  Almacenada electrónicamente  Transmitida por medios electrónicos  Presentada en videos corporativos  Verbal - conversada formal / informalmente. La información es considerada un activo más para las empresas, debido a que gran parte del registro necesario para su funcionamiento, se mantiene en formatos digitales, como datos de clientes, datos ventas, datos de acreedores, cuentas corrientes y todo dato que aporte información para el normal funcionamiento de la empresa.  Por lo anterior, impera una protección adecuada a las informaciones importantes.  Seguridad no es un producto, es un proceso que debe ser administrado.  Nada es estático, la seguridad no es la excepción. Mejora continua.  Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad. Según la Cámara de Comercio estadounidense, casi el 80% de los valores intelectuales de las corporaciones son electrónicos, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes.
  • 7. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 7 ¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración. ¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.
  • 8. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 8 ¿Porqué implantar un sistema de seguridad de información? Como se mencionó anteriormente, la información en la empresa es uno de activos más importantes que se poseen y está sujeta a muchas amenazas, tanto de índole interna como externa, por lo tanto las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software o guardar en una bóveda los “backups”. La seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de:  CONFIDENCIALIDAD. La información está protegida de personas no autorizadas.  INTEGRIDAD. La información está como se pretende, sin modificaciones inapropiadas.  DISPONIBILIDAD. Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran Un sistema de seguridad de información, se encarga de protegerla de una serie de amenazas para asegurar que la empresa pueda continuar operando, minimizar daños a la gestión comercial, maximizando el retorno a la inversión y oportunidades de negocios. Cada organización tendrá un conjunto de requerimientos diferentes de control y de niveles de confidencialidad, integridad y disponibilidad. De acuerdo con la normas ISO 27000, se considera amenaza aquella causa potencial de un incidente no deseado, el cual puede causar daño a un sistema o a una organización. Al analizar las amenazas a las que se ve enfrentada la información podemos clasificarlas en seis categorías, las que se pueden apreciar en el siguiente diagrama:
  • 9. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 9  Amenazas Naturales. (Inundaciones, tsunamis, tornados, maremotos, huracanes, sismos, tormentas, incendios forestales)  Amenazas a Instalaciones. (Fuego, explosiones, caídas de energía, daño de agua, perdidas de acceso, fallas mecánicas)  Amenazas Humanas. (Huelgas, epidemias, materiales peligrosos, problemas de transporte, pérdidas de personal clave)  Amenazas Tecnológicas. (Virus, hacking, pérdida de datos, fallas de hardware, fallas de software, fallas de red, fallas en línea telefónica)  Amenazas Operacionales. (Crisis financiera, fallas en equipos, aspectos regulatorios, mala publicidad)  Amenazas Sociales. (Motines, protestas, sabotaje vandalismo, violencia laboral, terrorismo) Para que una amenaza cause daño a algún activo de información tendría que explotar una o más vulnerabilidades del sistema, aplicaciones o servicios usados por la organización para ser exitosa en su intención de hacer daño. Una vez que se establecen las distintas amenazas que pueden afectar un activo, se debe evaluar su posibilidad de ocurrencia. Tipos de Amenazas Amenaza Amenaza
  • 10. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 10 Junto con las amenazas, se debe estudiar las vulnerabilidades, que se definen como debilidades de seguridad asociadas con los activos de información de una organización.  Seguridad de los recursos humanos. (Falta de entrenamiento en seguridad, falta de mecanismos de monitoreo, políticas para el uso correcto de las telecomunicaciones, no eliminar los acceso al término del contrato de trabajo, empleados desmotivados).  Control de acceso. (Segregación inapropiada de redes, falta de políticas de escritorio y pantalla limpia, políticas incorrectas de control de acceso, claves de acceso sin modificaciones)  Seguridadfísica y ambiental.(Inadecuado control de acceso físico a oficinas, salones y edificios, ubicación en áreas propensas a inundaciones, almacenes desprotegidos, carencia de programas de sustitución de equipos, equipos mal cuidados)  Gestión de operaciones y comunicación. (Control de cambios inadecuados, gestión de red inadecuada, carencia de mecanismos que aseguren la emisión y recepción de mensajes, carencia de tareas segregadas, falta de protección en redes públicas de comunicación)  Mantenimiento, desarrollo y mantención de sistemas de información. (Protección inapropiada de llaves criptográficas, políticas incompletas para el uso de criptografía, Tipos de Vulnerabilidade s Seguridad de los Seguridad física y Cont rol
  • 11. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 11 carencia de validación de datos procesados, falta de documentación de software, mala selección de pruebas de datos) Una vez que se identifican las vulnerabilidades se debe evaluar la posibilidad que sean explotadas por una amenaza.
  • 12. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 12 Como establecer un Sistema de Gestión de Seguridad de Información (SGSI) para una empresa Un sistema de seguridad de información se compone un conjunto de medidas, procedimientos y herramientas tendientes a asegurar la información que la organización considere importante para su funcionamiento. Diseñar e implementar un SGSI dependerá de los objetivos estratégicos del negocio y las necesidades de la empresa siendo estos los parámetros básicos para la definición del alcance de su implementación. Promover la ejecución de este proyecto proviene de las áreas directivas responsables del buen funcionamiento de la entidad y se convierte en un requisito indispensable para garantizar el éxito del proyecto. Un SGSI varía según el tipo de organización y el sector económico en el que se encuentre, sin embargo y de acuerdo con Alexander (2007), el procedimiento para la implementación y mantenimiento independiente del tipo de organización, debe seguir un ciclo de mejora continua. Para el autor el círculo de Deming2, es el método más adecuado para la implementación de un SGSI ya que propone una estrategia de mejora continua en 4 pasos: Planear, hacer verificar y actuar. Las fases que a continuación se describen, definidas por el ciclo Deming, permiten entender todo el procedimiento de implementación del SGSI para cualquier empresa. Ciclo de un SGSI Partes Interesad as Segurida d de informaci ón manejada PLAN Establec er SGSI Act Manten er y Do Implem entar y Chk Monitor ear y Desarr ollar Mante ner y Mejora r el ciclo Partes Interesad as Requerim ientos y expectati vas de la seguridad de informaci
  • 13. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 13 Activos de información Los activos de información que se encuentran dentro del alcance del SGSI son fundamentales para su implementación. El análisis y evaluación del riesgo y las decisiones que se tomen en relación al tratamiento de este riesgo, giran en torno a los activos de información identificados. Un activo es algo que tiene valor o utilidad para la organización, sus operaciones comerciales y su continuidad. De esta forma, la organización debe proteger sus activos para una correcta operación del negocio. Los activos de información pueden ser clasificados de la siguiente forma:  Activos de Información (Datos, manuales de usuario, etc.)  Documentos en Papel (contratos)  Activos de Software (aplicación, software de sistema, etc.)  Activos físicos (Computadores, medios magnéticos, etc.)  Personal (clientes, trabajadores)  Imagen y reputación de la organización  Servicios (comunicaciones, etc.) Tasación de los activos de información Una vez que los activos se encuentran identificados, se debe proceder a establecer el valor de cada uno de ellos, para lo que se puede utilizar una escala de Likert, que define el valor 1 como “muy bajo” y el valor 5 “muy alto”. Para definir el valor se debe realizar la pregunta ¿Cómo una pérdida o falla en un determinado activo afecta la confidencialidad, integridad y disponibilidad? Activos de Información Confidencialidad Integridad Disponibilidad Total Base de datos Clientes 5 5 5 5
  • 14. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 14 Equipos computacionales 5 4 3 4 Línea dedicada 3 3 4 3 Internet 3 4 4 4 Copias de respaldo 4 4 4 4 Switch 2 2 4 3 Disco duro 1 2 5 3 Evaluación de riesgo Una vez que se ha realizado el análisis y la evaluación del riesgo, se deben decidir las acciones que se tomarán con esos activos que se están sujetos a riesgo. Los riesgos descubiertos en las etapas anteriores, pueden manejarse con una serie de controles para la detección y prevención. Los riesgos relacionados con la seguridad de información pueden ser difíciles de cuantificar en términos de la probabilidad de ocurrencia. Una vez que el riesgo se ha calculado, se debe tomar la decisión de cómo se tratará el riesgo. Esta decisión estará influenciada por el tipo de negocio y el escenario en que se desarrolla. Estas decisiones sueles estar influenciadas por dos factores.  El posible impacto si el riesgo se pone de manifiesto.  Qué tan frecuente puede suceder. Estos dos factores dan una idea de la pérdida esperada si el riesgo ocurriera, si nada se hace para mitigar el riesgo calculado. Sin embargo, después de haber tomado todas las acciones y decisiones dirigidas a mitigar los riesgos, siempre queda un remante de ese riesgo. Este riesgo que queda luego de implantado un sistema de Seguridad de información se llama Riesgo Residual, que es difícil de calcular, pero se debe realizar una evaluación para asegurar que se logra una protección suficiente. Desarrollo del plan de implementación Con todos los datos recogidos en las etapas de estudio, se debe desarrollar un plan para implementar el SGSI, para lo que es posible utilizar las guías que implantan las Normas ISO 27001:2005 e ISO 17799:2005. Cabe señalar que la norma ISO 27001:2005 es una evolución de la Norma ISO 17799:2005.
  • 15. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 15 La estructura de la documentación que exige la norma ISO es la siguiente: Monitoreo del sistema de seguridad Una vez que el sistema de encuentra en marcha, se deben ejecutar actividades de monitoreo el SGSI que se ha implementado, con el objetivo de asegurar el funcionamiento de todas las partes del plan. Es en esta etapa de monitoreo que se detectarán las falencias de cobertura del plan, que debe ser corregido contemplando la información resultante de los monitoreos. Todo Sistema de Seguridad de Información debe ser revisado periódicamente, con el objetivo de adaptarlo a los constantes cambios que sufren las organizaciones y su entorno. Conclusiones del Autor - La información se ha convertido un bien de incalculable valor para las empresas y organizaciones. Estructura de la Documentación Requerida Nivel IV Nivel I Nivel III Nivel II Enfoque de la Gerencia Política, Manual de Seguridad Descripción de procesos, Quién hace Procedimi entos Describe tareas específicas y cómo se Instruccio nes de Trabajo Provee evidencia objetivade la Registros
  • 16. Universidad Nacional de Ingeniería Sistema de Gestión de Seguridad de Información 16 - Por tal motivo, éstas no pueden darse el lujo por ser afectados por pérdida de información, filtración de información o falta de accesibilidad como de disponibilidad de ésta. - Debido a la alta competitividad que existe entre las empresas es de vital importancia contar con un Sistema de Seguridad de la Información. - Implementar un eficiente SGSI no es algo trivial, hay que seguir una metodología que abarque todos los aspectos involucrados para que no se escape ningún detalle y no quede ningún elemento relacionado con la información vulnerable. - Una excelente forma para implementar un SGSI, es guiarse por las normas de implementación de la ISO 27001:2005, que es un estándar internacional respecto al tema. - El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.