Академический Документы
Профессиональный Документы
Культура Документы
AMAZONAS
CURSO:
Seguridad Informática
TEMA:
INTEGRANTES:
DOCENTE:
BAGUA – PERÚ
2018
1
Dedicatoria
A nuestros padres por ser la base fundamental de nuestro desarrollo educativo, a lo largo de
nuestras vidas.
A nuestro docente, Mg. Luis Sánchez Fernández, por el apoyo incondicional, la inculcación
de enseñanzas.
2
Índice
Dedicatoria ................................................................................................................................. 2
Índice .......................................................................................................................................... 3
Introducción ............................................................................................................................... 5
3
Dominios de control que cubren por completo la Gestión de la Seguridad de la
Información ........................................................................................................................... 26
Conclusiones ............................................................................................................................ 32
Recomendaciones ..................................................................................................................... 33
Referencias ............................................................................................................................... 34
4
Introducción
tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de
empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su
reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en
dicha información.
Pero aparecen otros problemas ligados a esas facilidades. Si es más fácil transportar la
información también hay más posibilidades de que desaparezca 'por el camino'. Si es más fácil
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo
en red es lo habitual, los problemas derivados de la seguridad de la información han ido también
cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los
5
Normas Internacionales de la seguridad de la información (ISO)
Las normas ISO (International Organization for Standardization) son un conjunto de normas
orientadas a ordenar la gestión de una empresa en sus distintos ámbitos. La alta competencia
importancia que ha ido tomando la figura y la opinión de los consumidores, ha propiciado que
dichas normas, pese a su carácter voluntario, hayan ido ganando un gran reconocimiento y
aceptación internacional. Las normas ISO son establecidas por el Organismo Internacional de
fabricación, comunicación y comercio de varias ramas industriales y que sirven también para la
mundo.
donde trabajan conjuntamente tanto delegaciones de varios gobiernos del mundo, así como
normas de calidad y seguridad de las distintas variedades de productos que podemos encontrar en
nuestro universo.
6
Ventajas de las normas ISO
En base a esta finalidad y objetivo inicial y debido al gran prestigio y enorme seguimiento
alcanzado, las normas ISO suponen importantes beneficios para las empresas, compañías y
organizaciones en general.
Proporcionan elementos para que una organización puede alcanzar y mantener mayores
Permite a las empresas reducir costos, conseguir más rentabilidad y aumentar los niveles
de productividad.
Constituye uno de los medios más eficaces para conseguir ventaja competitiva.
mercados internacionales.
Los beneficios sobrepasan el ámbito de las empresas y administraciones y sus clientes, que se
ven favorecidos por un mejor servicio, alcanzando también a los gobiernos, que gracias a las
Asegurarse de que los bienes y servicios cumplen con los requisitos obligatorios
7
Familias de normas ISO
Existen muchas normas ISO y, como hemos indicado, además de actualizarse, periódicamente
aparecen nuevas. Para una mayor clasificación e identificación se agrupan por familias o series,
cada una de ellas con una nomenclatura específica. Las tres categorías fundamentales son:
Suponen un instrumento muy clarificador y eficaz para que las compañías puedan organizar
todas sus actividades dentro de unos parámetros de respeto al entorno, cumpliendo con la
Gestión de riesgos y seguridad (norma ISO 22000, OHSAS 18001, ISO 27001, ISO
22301 y otras)
Normas y sistemas desarrollados con la finalidad de evitar o minimizar los distintos riesgos
gestión.
8
ISO/IEC 27001
La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es
Es una norma internacional referente para la gestión de seguridad de la información que cubre
todo tipo de organización incluidas las gubernamentales y entidades sin ánimo de lucro, y
seguridad de la información (SGSI). También permite que una empresa sea certificada; esto
27001.
información en una empresa. Esto lo hace investigando cuáles son los potenciales problemas que
podrían afectar la información (es decir, la evaluación de riesgos) y luego definiendo lo que es
necesario hacer para evitar que estos problemas se produzcan (es decir, mitigación o tratamiento
del riesgo).
Por lo tanto, la filosofía principal de la norma ISO 27001 se basa en la gestión de riesgos:
ejemplo, cortafuegos, anti-virus, etc.), sino que también tiene que ver con la gestión de procesos,
9
Beneficios de ISO 27001
Cumplir con los requerimientos legales: Cada vez hay más y más leyes, normativas y
es que la mayoría de ellos se pueden resolver implementando ISO 27001 ya que esta norma le
no, es posible que usted obtenga una ventaja sobre ellos ante los ojos de los clientes a los que les
Menores costos: La filosofía principal de ISO 27001 es evitar que se produzcan incidentes de
seguridad, y cada incidente, ya sea grande o pequeño, cuesta dinero; por lo tanto, evitándolos su
empresa va a ahorrar mucho dinero. Y lo mejor de todo es que la inversión en ISO 27001 es
Una mejor organización: En general, las empresas de rápido crecimiento no tienen tiempo
para hacer una pausa y definir sus procesos y procedimientos; como consecuencia, muchas veces
los empleados no saben qué hay que hacer, cuándo y quién debe hacerlo. La implementación de
ISO 27001 ayuda a resolver este tipo de situaciones ya que alienta a las empresas a escribir sus
principales procesos (incluso los que no están relacionados con la seguridad), lo que les permite
son obligatorias.
10
Sección 0 Introducción: Explica el objetivo de ISO 27001 y su compatibilidad con otras
normas de gestión.
Sección 1 Alcance: Explica que esta norma es aplicable a cualquier tipo de organización.
ciclo PDCA y define los requerimientos para comprender cuestiones externas e internas, también
Sección 5 Liderazgo: Esta sección es parte de la fase de Planificación del ciclo PDCA y
Sección 6 Planificación: Esta sección es parte de la fase de Planificación del ciclo PDCA y
seguridad de la información.
Sección 7 Apoyo: Esta sección es parte de la fase de Planificación del ciclo PDCA y define
Sección 8 Funcionamiento: Esta sección es parte de la fase de Planificación del ciclo PDCA
controles y demás procesos necesarios para cumplir los objetivos de seguridad de la información.
11
Sección 9 Evaluación del desempeño: Esta sección forma parte de la fase de Revisión del
ciclo PDCA y define los requerimientos para monitoreo, medición, análisis, evaluación, auditoría
Sección 10 Mejora: Esta sección forma parte de la fase de Mejora del ciclo PDCA y define
mejora continua.
Gestión de activos.
Control de accesos.
Criptografía.
Conformidad.
12
ISO 27002
Esta norma es muy relevante dentro del sector ya que, toma como base todos los riesgos a los
que se enfrenta la organización en su día a día, tiene como objetivo principal establecer,
organización. Sin embargo, no debemos olvidar el papel que ocupan otras normas. Ya que
establece un catálogo de buenas prácticas que determina, desde la experiencia, una serie de
objetivos de control y controles que se integran dentro de todos los requisitos de la norma ISO
la correcta realización de todas las actividades de la organización, en todas sus áreas, campos y
actividades. Sin embargo, es todavía mucho más importante mantener dicha información con
seguridad para que no se pierda, se robe o se deteriore de cualquier forma. Al fin y al cabo, la
información y los datos de los que se dispone en la organización y que recopila en su día son uno
De esta manera, es fácil comprender la importancia de la norma ISO 27001 como Sistema de
Gestión de Seguridad de la Información. Sin embargo, es igual de importante el papel que ocupa
dentro de todos los requisitos de la norma ISO 27002 como guía de buenas prácticas para
recomendaciones.
La norma ISO 27002 se encuentra estructurada en 14 capítulos que describen las áreas que se
documento recomienda un total de 114 controles, si bien no hace falta cumplirlos todos, sí que
hay que tenerlos en cuenta y considerar su posible aplicación, además del grado de la misma.
13
Queremos realizar una revisión muy breve de cada uno de los 14 capítulos.
Dentro de este capítulo se hace hincapié en la importancia que ocupa la disposición de una
revisada de forma periódica y actualizada con los cambios que se producen en el interior y en
el exterior.
Los controles indicados en este capítulo buscan estructurar un marco de seguridad eficiente
tanto mediante los roles, tareas, seguridad, etc. como en los dispositivos móviles. Tenemos
que tener presente que cada vez es mayor el peso que está ocupando el teletrabajo dentro de
las empresas, y por ello, se deben tener en cuenta todas sus características especiales para que
Si analizamos los incidentes de seguridad que se producen en una organización nos daremos
cuenta de que la gran mayoría de estos tienen su origen en un error humano. Se debe
seguridad adecuándolo a las características de los datos y la información que maneja es clave
14
4.- Gestión de activos.
alteración no deseada.
todas las personas de una organización necesitan acceder para realizar su actividad diarias a
todos los datos, sino que tendremos roles que necesitan un mayor acceso y otros con un
acceso mucho más limitado. Para poder marcar las diferencias, se deben establecer todos los
controles como registro de los usuarios, gestión de los privilegios de acceso, etc. siendo
6.- Criptografía.
En el caso de que estemos tratando la información sensible o crítica puede ser interesante
confidencialidad e integridad.
La seguridad no es solo a nivel tecnológico sino también físico, es decir, una simple labor de
no dejar las pantallas e impresoras en zonas que sean fácilmente accesibles, por parte del
personal externo los documentos con los que se están trabajando no sólo nos permitirán
gestionar de forma adecuada la seguridad sino que se acabarán convirtiendo en hábitos que
15
8.- Seguridad de las Operaciones.
Tiene un marcado componente técnico entrado en todos los aspectos disponibles como la
distintas escalas se llevan a cabo mediante las redes sociales, garantizar la seguridad y
es general, abarca toda la organización y tiene que estar presente como elemento transversal
Cuando se establecen las relaciones con terceras partes, como puede ser proveedores, se
deben establecer medidas de seguridad pudiendo ser muy recomendable e incluso necesario
en determinados casos.
incidentes en seguridad. Y es que, estar preparados para cuando estos incidentes ocurran,
dando una respuesta rápida y eficiente siendo la calve para prevenirlos en el futuro.
16
13.- Aspectos de Seguridad de la Información para la Gestión de la Continuidad de
Negocio.
No sabemos lo que necesitábamos un dato hasta que lo hemos perdido. Sufrir una pérdida de
14.- Cumplimiento
políticas aplicables que se encuentre relacionadas con este campo y con las que conviven en
las organizaciones. Debemos tener presente que ocupan un enorme lugar en cualquier
sistema de gestión y deben garantizar que se cumple y que están actualizados con los últimos
ISO/IEC 27004
La norma ISO27004 posibilita una variedad de mejores prácticas para la medición de los
Este estándar especifica cómo estructurar el sistema de medición, cuáles son los parámetros a
medir, cuándo y cómo medirlos. Además, ayuda a las empresas al establecimiento de objetivos
relacionados con el rendimiento y los criterios de éxito. El tipo de métodos requeridos expuestos
por ISO 27004 dependerán de la complejidad, el tamaño de la organización, del vínculo entre el
constituir estos métodos y cómo deben integrarse y documentarse los datos alcanzados en el
SGSI.
17
Los objetivos de estos procesos de mediciones son:
Proveer estados de seguridad que guíen las revisiones del SGSI, facilitando mejoras a la
procedimientos o controles y las actuaciones del personal son algunos de los objetos de
medición.
Los valores principales que exponen el punto de referencia han de determinarse para cada
Selección de datos:
Los datos han de ser precisos, oportunos y dimensionales. Se pueden llevar a cabo técnicas
informes.
18
Desarrollo de un sistema de medición:
atributos del objeto escogido para la medición. Se emplean indicadores como surtidor de datos
información.
Se ha de identificar las grietas entre los valores iniciales y los de medición real a través de la
Los datos que resulten de la medición han de ser notificados a las partes interesadas. Se puede
gráficos.
información. El éxito de este programa, se basará en la asistencia o ayuda que estas mediciones
aporten para adoptar decisiones, o determinar la eficiencia de los controles de seguridad. Por lo
seguridad de la información.
Este Modelo es una estructura que enlaza los atributos medibles con una entidad relevante.
Estas entidades, incluyen procesos, productos, proyectos y recursos. Es decir, este modelo debe
describir cómo estos atributos son cuantificados y convertidos a indicadores que provean bases
19
El primer paso para el desarrollo de este modelo, es definir los atributos que se consideran
más relevantes para medir la información que se necesita. Un mismo atributo puede ser
Para definir cómo los atributos deben ser medidos, esta norma propone también un Método.
Objetivos: Se basan en una regla numérica, que puede ser aplicada por personas o
recursos automatizados.
Los métodos de medición pueden abarcar varios tipos de actividades y un mismo método
Encuestas/indagaciones.
Observación.
Cuestionarios.
Valoración de conocimientos.
Inspecciones.
Re-ejecuciones.
Consulta a sistemas.
Monitorización ("Testing")
Muestreo.
ISO 27005
información en una empresa, apoyando particularmente los requisitos del sistema de gestión de
ISO-27005 es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los
una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema
Los usuarios elijen el método que mejor se adapte para, por ejemplo, una evaluación de
riesgos de alto nivel seguido de un análisis de riesgos en profundidad sobre las zonas de alto
riesgo.
Información y la tecnología de las comunicaciones”. La norma fue publicada por primera vez en
junio de 2008, aunque existe una versión mejorada del año 2011.
El riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo
causar daños. El riesgo se encuentra relacionado con el uso, propiedad, operación, distribución y
21
Los indicadores de riesgo muestran si la empresa se encuentra sujeta o tiene alta probabilidad
La gestión del riesgo es una actividad recurrente que se refiere al análisis, a la planificación, la
una clara indicación de que una organización está utilizando un enfoque sistemático para la
Identificación de Riegos
cambiar su valor durante la ejecución de un proyecto, por experiencia esto es cierto pero ¿Cuánto
puede cambiar? No lo sabemos. Por lo tanto es un riesgo que debemos evitar en un proyecto
pequeño. Debemos estar seguros de identificar el riesgo en realidad y no sus causas o efectos.
varias sucursales de una organización, pero no todas las oficinas poseen la misma capacidad de
¿Es un riesgo de que alguna sucursal termine sin usar la aplicación? No, este es un efecto
en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la
aplicación.
¿Es un riesgo que la aplicación no se pueda instalar por algún motivo? Sí, es incierto,
22
Ejemplos de riesgos en IT
Tecnologías obsoletas
que estaos generarían, para así comprender el efecto de los eventos adversos que se pueden
desencadenar.
rendimiento de la próxima evaluación proporciona una visión temporal de los riesgos evaluados.
evaluación de alto nivel para identificar los riesgos altos, mientras que las interacciones
posteriores detallan el análisis de los riesgos principales y tolerables. Varios factores ayudan a
Probabilidad
Consecuencias
Ocurrencia
Urgencia
Maleabilidad
Dependencia
Proximidad
23
La evaluación de riesgos requiere de los siguientes puntos:
evaluación del riesgo para desarrollar los requisitos de seguridad y sus especificaciones.
Identificar los activos y las facilidades que pueden ser afectadas por las amenazas y
vulnerabilidades.
Análisis de los activos del sistema y las vulnerabilidades para establecer un estimado de
pérdida esperada en caso de que ocurra ciertos eventos y la probabilidad estimada cuando
ocurra. El propósito de una evaluación del riesgo es determinar si las contramedidas son
nivel aceptable.
decisiones de gestión.
24
ISO 17799
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de
ISO 17799 define la información como un activo que posee valor para la organización y
proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los
negocio.
de su procesamiento.
El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas
de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.
25
Dominios de control que cubren por completo la Gestión de la Seguridad de la
Información
1. Política de seguridad.
7. Control de accesos.
Política de seguridad
La alta dirección debe definir una política que refleje las líneas directrices de la
compañía.
26
Mantener la seguridad de los recursos de tratamiento de la información y de los activos
Debe diseñarse una estructura organizativa dentro de la compañía que defina las
Debe definirse una clasificación de los activos relacionados con los sistemas de
organización.
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y
los servicios.
Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la
27
Minimizar los daños provocados por incidencias de seguridad y por el mal
Las implicaciones del factor humano en la seguridad de la información son muy elevadas.
Todo el personal, tanto interno como externo a la organización, debe conocer tanto las
de la organización.
Evitar pérdidas, daños o comprometer los activos así como la interrupción de las
actividades de la organización.
información.
Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas
28
Mantener la integridad y la disponibilidad de los servicios de tratamiento de información
y comunicación.
infraestructura de apoyo.
organizaciones.
Control de accesos
móvil y teletrabajo.
Se deben establecer los controles de acceso adecuados para proteger los sistemas de
redes, etc.
29
Desarrollo y mantenimiento de sistemas
Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.
Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida
mantenimiento...
Todas las situaciones que puedan provocar la interrupción de las actividades del negocio
Conformidad
30
Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría
de sistemas.
información.
31
Conclusiones
Se concluye que las normas ISO, tienen una base transcendental dentro de cualquier
importancia en las organizaciones, por ende las numerables directrices suministradas por
Se concluye que el presente trabajo íbamos a exponerlo el 14 (jueves del presente mes),
32
Recomendaciones
33
Referencias
https://advisera.com/27001academy/es/que-es-iso-27001/
http://www.isaca.org/chapters7/Madrid/Events/Documents/Principales%20Novedades
%20de%20la%20ISO27001ISO%2027002%20-%20Paloma%20Garcia.pdf
https://www.isotools.cl/isoiec-27004/
http://www.monografias.com/trabajos-pdf/iso/iso2.shtml
https://www.pmg-ssi.com/2016/06/la-norma-iso-27002-complemento-para-la-iso-
27001/
https://www.pmg-ssi.com/2017/01/iso-27005-como-identificar-los-riesgos/
34