GESTION DE LA SEGURIDAD DE INFORMACION

EQUIPO
FELIPE DE JESUS MENDOZA DIAZ REBECA NUES MARTINEZ JOSE ANTONIO HURTADO GONZALES DIEGO ABRAHAM RAMIREZ GARCIA

VISION GENERAL
Se remota al albor de los tiempos como la criptografa o la ciencia de la confidencialidad de la informacin existente desde el inicio de nuestra civilizacin y ha ocupado algunas de las mentes matemticas mas brillantes de la historia Sin embargo desde el advenimiento de las redes de comunicacin y en especial el internet los problemas asociados a la seguridad de la informacin se ha gravado considerablemente y nos afecta a todos.

La informacin se apoya en tres pilares fundamentales:

Confidencialidad: informacin accesible a sus destinatarios predeterminados Integridad: informacin correcta y completa Disponibilidad: acceso a la informacin cuando se necesita

INTRODUCCION Y OBJETIVOS
Los principales objetivos de la gestin de la seguridad se resumen en: Disear una poltica de seguridad Asegurar el cumplimiento de los estndares de calidad Minimizar los riesgos de seguridad que amenacen la continuidad del servicio

La correcta gestin de la seguridad no es responsabilidad exclusiva de expertos en seguridad que desconocen los otros procesos de negocio. La gestin de la seguridad debe conocer en profundidad de negocio y los servicios que presta la organizacin TI para establecer protocolos de seguridad.

Una vez comprendidos cuales son los requisitos de seguridad del negocio, la gestin de la seguridad debe superar que estos se hallen convenientemente plasmados.

Es importante que la gestin de la seguridad sea proactiva y evalu a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas lineas de negocio, etc.

Proceso gestin de la seguridad de la informacin.

Principales beneficios de una correcta gestin de la seguridad:

Se evitan interrupciones del servicio causadas por virus Se minimiza el numero de incidentes

Se tiene acceso a la informacin cuando se necesita y se preserva Se cumplen los reglamentos sobre proteccin de datos

Mejora la percepcin y confianza de clientes y usuarios en lo que respecta la calidad

Principales dificultades a la hora de implementar la gestin de la seguridad :

No existe el suficiente compromiso de todos los miembros de la organizacin TI con el proceso.

Se establecen polticas de seguridad excesivamente restrictivas que afectan al negocio.

No se dispone de herramientas necesarias para motorizar y garantizar la seguridad se servicio. El personal no recibe una formacin adecuada para la aplicacin de protocolos de seguridad. Falta de coordinacin entre los diferentes procesos

PROCESO
La gestin de la seguridad esta estrechamente relacionada con prcticamente todos los otros procesos TI y necesita para su xito la colaboracin de toda la organizacin. Para eso se necesita:

Establezca una clara y definida poltica de seguridad que sirva de gua a todos los otros procesos. Elaborar un plan de seguridad que incluya los niveles de seguridad adecuados Implementar el plan de seguridad

Monitorizar y evaluar el cumplimiento de dicho plan Supervisar proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades Realizar auditorias.

POLITICAS Y PLAN DE SEGURIDAD

Su complejidad e intricadas interrelaciones necesitan de una poltica global clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos.

Poltica de seguridad debe determinar:

La relacin con la poltica general del negocio

Coordinacin con los otros procesos Protocolos de acceso a la informacin Procedimientos de anlisis de riesgo

Programas de formacin

Nivel de monitorizacin de la seguridad

informes emitidos peridicamente Alcance del plan de seguridad

Estructura y responsable del proceso de gestin de la seguridad

Procesos y procedimientos empleados

Recursos necesarios: software, hardware y personal.

PLAN DE SEGURIDAD
Su objetivo es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs.

Este plan ha de ser desarrollado en colaboracin con la gestin del nivel de servicio, que es la responsable en ultima instancia tanto de la calidad del servicio prestado a los clientes.
Dicho plan debe ser diseado con el fin de ofrecer un mejor y mas seguro servicio al cliente y nunca como obstculo para el desarrollo de sus actividades de negocio. Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las faces del servicio y para todos los establecimientos implicados.

APLICACIN DE LAS MEDIDAS DE SEGURIDAD

En primer lugar la Gestin de la Seguridad debe verificar que: El personal conoce y acepta las medidas de seguridad establecidas as como sus responsabilidades al respecto.

Los empleados firmen los acuerdos de confidencialidad correspondientes a

su cargo y responsabilidad. Se imparte la formacin pertinente.

Es tambin responsabilidad directa de la Gestin de la Seguridad:

Asignar los recursos necesarios.
Generar la documentacin de referencia necesaria. Colaborar con el Centro de Servicios y la Gestin de Incidentes en el tratamiento y resolucin de incidentes relacionados con la seguridad. Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad. Colaborar con la Gestin de Cambios y la de Entregas y Despliegues para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en produccin o entornos de pruebas. Proponer RFCs a la Gestin de Cambios que aumenten los niveles de seguridad. Colaborar con la Gestin de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre. Establecer las polticas y protocolos de acceso a la informacin. Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

EVALUACION
Dichas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmarn en RFCs que habrn de ser evaluados por la Gestin de Cambios.

MANTENIMIENTO
Es importante que la Gestin de la Seguridad est al da en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegacin de servicio, etctera, y que adopte las medidas necesarias de actualizacin de equipos de hardware y software, sin olvidar el apartado de formacin.

CONTROL DE PROCESO
Una buena Gestin de la Seguridad debe traducirse en:
Disminucin del nmero de incidentes relacionados con la seguridad. Un acceso eficiente a la informacin por el personal autorizado. Gestin proactiva, que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradacin de la calidad del servicio.

La correcta elaboracin de informes permite evaluar el rendimiento de la Gestin de Seguridad y aporta informacin de vital importancia a otras reas de la infraestructura TI.

Entre la documentacin generada cabra destacar: Informes sobre el cumplimiento, en lo todo lo referente al apartado de
seguridad, de los SLAs, OLAs y UCs en vigor. Relacin de incidentes relacionados con la seguridad, calificados por su impacto sobre la calidad del servicio. Evaluacin de los programas de formacin impartidos y sus resultados. Identificacin de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI. Auditoras de seguridad. Informes sobre el grado de implementacin y cumplimiento de los planes de seguridad establecidos.