“INTRODUCCIÓN A LA SEGURIDAD INFORMATICA Y DE LA INFORMACION” Módulo I:
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN GISI – IEEE – UTN – FRC Facundo N. Oliva Cúneo
1
Introducción
z
LA INFORMACION ES UN BIEN VALIOSO. El valor de la información es tan importante como para determinar el poder relativo de un grupo de personas sobre otro.
z
LA INFORMACION ES FRAGIL. La fragilidad de la información está dada, en general, por los medios que la sustentan, por los problemas técnicos que presentan dichos medios y por su exposición al alcance de personas que quieran dañarla y/o robarla. En el caso particular de la información manejada por computadoras, su fragilidad está dada por las amenazas asociadas a las debilidades y vulnerabilidades de los medios de almacenamiento, procesamiento y transmisión, siendo las fallas técnicas, las catástrofes, las impericias y los intrusos (como saboteadores y hackers), solo unos pocos ejemplos de dichas amenazas. 2
.
INFORMACIÓN
3
Información: Concepto EXISTE EN MUCHAS FORMAS: RESPECTO AL TIPO DE REPRESENTACION, puede estar dada en: z o Números, letras o símbolos en general, combinados según las reglas de algún lenguaje de representación, constituyendo así datos o mensajes inteligibles. z o Imágenes, por ejemplo, fotografías, esquemas, planos, mapas cartográficos, etc., z o Sonidos, como la voz hablada, tonos, música, etc., z o Medios audiovisuales, por ejemplo, programas de televisión, películas, etc. RESPECTO AL SOPORTE, puede estar almacenada: z o en papel, ya sea escrita, dibujada, impresa, etc., z o en forma electrónica, magnética, o de forma de ser recuperada por medios ópticos. RESPECTO AL MEDIO DE COMUNICACION, la información puede ser transmitida: z o en forma coloquial, por ej. en una exposición o conversación (directa o telefónicamente) z o por correo postal, z o por medios electromagnéticos en general, ya sea: z § Medios guiados: conductores eléctricos formando líneas de transmisión, (guías de ondas, cables coaxiales, cables paralelos, cables de par trenzado, etc.), conductores ópticos (las fibras ópticas) z § Medios no guiados: información transmitida por OEM en el aire o vacío (i.e. redes wireless) 4
CUALQUIERA SEA LA FORMA QUE ADQUIERA O LOS MEDIOS POR LOS CUÁLES SE DISTRIBUYE O ALMACENA, SIEMPRE DEBE ESTAR PROTEGIDA
Información: Propiedades La información en buen estado, goza de ciertas propiedades que deben ser preservadas para mantenerla así. z Las propiedades fundamentales de la información son: z CONFIDENCIALIDAD z INTEGRIDAD z DISPONIBILIDAD z La información puede tener también otras propiedades que serán de interés según el caso. Estás son: z AUTENTICIDAD z CONTROL z AUDITABILIDAD z CONFIABILIDAD z Adicionalmente pueden considerarse algunos otros aspectos, relacionados con los anteriores, pero que incorporan algunas consideraciones particulares. Estos son: z PROTECCION A LA REPLICA z NO REPUDIO 5 z LEGALIDAD
Información: Propiedades CONFIDENCIALIDAD (O PRIVACIDAD): z
Propiedad de que esta se mantiene secreta y no revelada a entidades (individuos o procesos) no autorizados a conocerla. Al preservar dicha propiedad, se garantiza que la información es conocida y accedida sólo por aquellas personas autorizadas a hacerlo.
INTEGRIDAD: z
z z
Propiedad de que esta permanece coherente, completa e inalterada, a menos, en este último caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en forma pertinente y correcta. La preservación de dicha propiedad garantiza la exactitud, coherencia y totalidad de la información y los métodos de procesamiento. Integridad de un sistema: Propiedad de que los recursos del mismo permanecen inalterados, ya sean recursos de almacenamiento, procesamiento o distribución. La integridad de un activo es la propiedad que salvaguarda su exactitud y totalidad.
DISPONIBILIDAD (U OPERATIVIDAD): z
z z
Propiedad de que esta se mantiene accesible y usable cada vez que una entidad autorizada a hacerlo lo requiera. La preservación de dicha propiedad garantiza que la información estará siempre disponible para ser usada bajo demanda, ya sea para su consulta y/o procesamiento, por las personas o procesos autorizados. Disponibilidad de de un sistema: Propiedad de que los recursos del mismo se mantiene operativos, cada vez que una entidad autorizada los necesite. La preservación de esta propiedad requiere que la información se mantenga correctamente almacenada, en los formatos preestablecidos para su recuperación en forma satisfactoria, 6 con el hardware que la contiene y el software correspondiente funcionando normalmente.
Información: Propiedades AUTENTICIDAD: z
z
z
Propiedad que permite asociarla a una entidad (proceso o usuario). La preservación de esta propiedad permite asegurar el origen de la información, validando a la entidad emisora de la misma, evitándose el acceso descontrolado a la información y a los recursos, y la suplantación de identidades. La aplicación mas evidente de la autenticación es en el control de accesos. En general, el proceso de control de accesos consiste típicamente de dos etapas: identificación y autenticación. En la identificación, la entidad (proceso o usuario) dice quién es, y en la autenticación, la entidad demuestra ser quién dice ser. Hay varios métodos para autenticar y se abordarán en el capítulo correspondiente. identificar y autenticar no es lo mismo. Autenticación verifica Identificación.
CONTROL: z
Propiedad que permite asegurar que sólo los usuarios autorizados pueden decidir quién accede a la información, cuándo y cómo.
AUDITABILIDAD: z
Propiedad que garantiza que todos los eventos de un sistema sean registrados para posteriores controles o auditorias.
CONFIABILIDAD: z
Propiedad que garantiza que la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones. Garantiza que la información es válida y utilizable en tiempo, forma y distribución. 7
Información: Propiedades z z
z z
z z
PROTECCION A LA REPLICA (O A LA DUPLICACION): Propiedad que garantiza que una transacción sólo puede realizarse una vez, a menos que se especifique lo contrario. La preservación de dicha propiedad garantiza que si un intruso logra atrapar y copiar una transacción con el propósito de reproducirla simulando ser el remitente original, no pueda completar satisfactoriamente dichas transacciones. NO REPUDIO: Propiedad que garantiza que cualquier entidad que envió o recibió información, no pueda alegar ante terceros, que no la envió o no la recibió. LEGALIDAD: Propiedad que garantiza que la información se ajusta al cumplimiento de las leyes, normas, reglamentaciones o 8 disposiciones a las que está sujeto la organización.
.
SEGURIDAD DE LA INFORMACIÓN
9
Seguridad de la Información: Concepto Como cualquier otra temática de la seguridad en tecnología, consiste en la detección y control de riesgos.
EL BIEN PROTEGIDO ES LA INFORMACION Trata de la protección de la información de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno sobre las inversiones y las oportunidades comerciales. 10
Seguridad de la Información: Concepto Los pilares que en general hacen seguro a un sistema son la: CONFIDENCIALIDAD, INTEGRIDAD, Y DISPONIBILIDAD.
11
Seguridad de la Información: Concepto Conservando las propiedades de confidencialidad, integridad y disponibilidad de los datos, se puede decir que estos se mantienen seguros.
12
Seguridad de la Información: Definición La SEGURIDAD DE LA INFORMACION trata de la preservación de las propiedades de interés en cada caso, fundamentalmente: la confidencialidad, la integridad y la disponibilidad. Además, la preservación de la confiabilidad, autenticidad, control y auditabilidad es típicamente necesario. También el no-repudio, protección a la réplica y legalidad, pueden estar involucradas y ser necesario mantenerlas. 13
Seguridad de la información: Necesidad Necesitan algún grado de seguridad de la información, personas y organizaciones que: - manejen información, - hagan uso de la tecnología informática y de comunicaciones, y - se interconecten a través de redes y sistemas no confiables. Necesitan además algún grado de conocimientos en seguridad informática todas las personas que tiene alguna responsabilidad sobre menores con posibilidad de acceso a Internet. 14
Seguridad de la información: Necesidad El gráfico siguiente muestra algunos activos que vulnerados podrían tener impacto, en distintos tipos de organizaciones.
15
Seguridad de la información: Datos de la Realidad Estadística elaborado por la NSA y el FBI donde se detallan las pérdidas que tienen las organizaciones ante distintos incidentes ocurridos por la falta de seguridad de la información.
16
Lograr la Seguridad de la Información La seguridad que puede lograrse solo por medios técnicos es insuficiente: no tienen la posibilidad de brindar cobertura a la totalidad de aspectos a tener en cuenta, y aún en los casos donde las soluciones puedan apoyarse en medios técnicos, estos son insuficientes por si solos. Enfoque adecuado: los medios técnicos deben encontrarse en el marco de un Sistema Integral de Gestión de Seguridad de la Información (SGSI), al cuál complementan y respaldan, y sin el cual no son satisfactorios. Los medios técnicos son la herramienta con que se implementan determinados procesos de seguridad informática 17
.
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN 18
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN Las normas, procedimientos y herramientas que se utilizan en seguridad de la información se pueden clasificar en las siguientes áreas, de acuerdo con el tipo de función que cumplen:
Seguridad Organizativa (o Funcional o Administrativa) Seguridad Lógica (o Técnica) Seguridad Física Seguridad Legal
19
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN Seguridad Organizativa (o Funcional o Administrativa): Asegura el cumplimiento de normas, estándares y procedimientos físico-técnicos. Seguridad Lógica (o Técnica): Actúan directa o indirectamente sobre la información procesada por los equipos. Seguridad Física: Actúan directamente sobre la parte tangible. Seguridad Legal Evita las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. 20
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN ISO/IEC 27002:2005 (ex ISO/IEC 17799-2005) En concordancia con la norma ISO/IEC 27002, la Seguridad de la Información puede pensarse formada por once DOMINIOS o CLÁUSULAS. Cada CLÁUSULA contiene un número de CATEGORÍAS o TEMAS DE SEGURIDAD principales, que suman 39 en total. Cada CATEGORÍA contiene un número de CONTROLES DE SEGURIDAD, que suman 133 en total. Así, los tópicos que se deben contemplar en una solución efectiva y eficiente de Seguridad de la 21 Información son 133.
ISO/IEC 27002:2005: Dominios .
1- Política de Seguridad
11- Cumplimiento
10- Gestión de la Cont. de las Actividades
9- Gestión de Incidentes
8- Adquisición, Desa. y Manten. de Sist. 7- Control de Accesos
11 dominios 39 Puntos 133 Controles 6- Gestión de Operac. y Comunic.
2- Organización de la Seguridad
3- Gestión de Activos
4- Seguridad del RRHH 5- Seguridad Física y Ambiental 22
ISO/IEC 27002:2005: Dominios 5 Política de seguridad de la información 5.1 Política de seguridad de la información. Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. 6 Organización de la seguridad de la información 6.1 Organización interna. Objetivo: Manejar la seguridad de la información dentro de la organización. 6.2 Grupos o personas externas. Objetivo: Mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos. 7 Gestión de activos 7.1 Responsabilidad por los activos. Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales. 7.2 Clasificación de la información. Objetivo: Asegurar que la información reciba un nivel de protección apropiado. 23
ISO/IEC 27002:2005: Dominios 8 Seguridad de recursos humanos 8.1 Antes del empleo. Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. 8.2 Durante el empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano. 8.3 Terminación o cambio de empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada. 9 Seguridad física y ambiental 9.1 Áreas seguras. Objetivo: Evitar el acceso físico no autorizado, daño e interferencia con la información y los locales de la organización. 9.2 Equipo de seguridad. Objetivo: Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la organización. 24
ISO/IEC 27002:2005: Dominios 10 Gestión de las comunicaciones y operaciones 10.1 Procedimientos y responsabilidades operacionales. Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información. 10.2 Gestión de la entrega del servicio de terceros. Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros. 10.3 Planeación y aceptación del sistema. Objetivo: Minimizar el riesgo de fallas en el sistema. 10.4 Protección contra el código malicioso y móvil. Objetivo: Proteger la integridad del software y la integración. 10.5 Respaldo o Back-Up. Objetivo: Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información. 10.6 Gestión de seguridad de la red. Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte. 10.7 Gestión de medios. Objetivo: Evitar la divulgación no-autorizada; modificación, eliminación o destrucción de activos; y la interrupción de las actividades comerciales. 10.8 Intercambio de información. Objetivo: Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa. 10. 9 Servicios de comercio electrónico. Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uso seguro. 10.10 Monitoreo. Objetivo: Detectar las actividades de procesamiento de información no 25 autorizadas.
ISO/IEC 27002:2005: Dominios 11 Control del acceso 11.1 Requerimiento del negocio para el control del acceso. Objetivo: Controlar el acceso a la información. 11.2 Gestión de acceso del usuario. Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información. 11.3 Responsabilidades del usuario. Objetivo: Evitar el acceso de usuarios noautorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información. 11.4 Control de acceso a la red. Objetivo: Evitar el acceso no autorizado a los servicios de la red. 11.5 Control del acceso al sistema operativo. Objetivo: Evitar el acceso no autorizado a los sistemas operativos. 11.6 Control de acceso a la aplicación y la información. Objetivo: Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación. 11.7 Computación y tele-trabajo móvil. Objetivo: Asegurar la seguridad de la información cuando se utiliza medios de computación y tele-trabajo móviles. 26
ISO/IEC 27002:2005: Dominios 12 Adquisición, desarrollo y mantenimiento de los sistemas de información 12.1 Requerimientos de seguridad de los sistemas de información. Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información. 12.2 Procesamiento correcto en las aplicaciones. Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones. 12.3 Controles criptográficos. Objetivo: Proteger la confidencialidad, autenticidad o integridad a través de medios criptográficos. 12.4 Seguridad de los archivos del sistema. Objetivo: Garantizar la seguridad de los archivos del sistema. 12.5 Seguridad en los procesos de desarrollo y soporte. Objetivo: Mantener la seguridad del software y la información del sistema de aplicación. 12.6 Gestión de la Vulnerabilidad Técnica. Objetivo: Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. 13 Gestión de un incidente en la seguridad de la información 13.1 Reporte de los eventos y debilidades de la seguridad de la información. Objetivo: Asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva oportuna. 13.2 Gestión de los incidentes y mejoras en la seguridad de la información. Objetivo: Asegurar 27 que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información.
ISO/IEC 27002:2005: Dominios 14 Gestión de la continuidad del negocio 14.1 Aspectos de la seguridad de la información de la gestión de la continuidad del negocio. Objetivo: Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna. 15 Cumplimiento 15.1 Cumplimiento de los requerimientos legales. Objetivo: Evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. 15.2 Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico. Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional. 15.3 Consideraciones de auditoria de los sistemas de información. Objetivo: Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoria del sistema de información. 28
29
AREAS DE LA SG. DE LA INFORM. Y DOMINIOS ISO
30
Normas ISO de Seguridad Informática Norma ISO-IEC 27002:2005 (17799:2005) Tecnología de la Información – Técnicas de seguridad – Código para la práctica de la gestión de la seguridad de la información Norma ISO-IEC 27001:2005 Tecnología de la Información – Técnicas de seguridad – Sistema de Gestión de Seguridad de la Información – Requerimientos 31
.
SISTEMA EN EL CONTEXTO DE LA SEGURIDAD DE LA INFORMACIÓN 32
ACTIVOS (ASSET) Un activo, es cualquier cosa que tenga valor para la organización. Existen muchos tipos de activos, incluyendo: a) Información: Toda representación o comunicación de conocimiento propio o de interés para la organización, en cualquier forma. b) Recursos de Información: Toda entidad que le brinda soporte al almacenamiento, procesamiento o transmisión de información (o a los datos a partir de los cuáles dicha información se puede construir). Son recursos de información las Bases de datos, archivos de datos, mensajes en una red de comunicaciones (sea de datos o de telefonía), documentación de los sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, acuerdos para contingencias, información archivada, contratos y acuerdos, información de investigaciones, rastros de auditoria, el código de programación de programas creados por la organización, etc. RECURSOS DE INFORMACION a) Activos o recursos software: Todo programa de computador creado o adquirido por la organización. Son recursos software los sistemas operativos y software del sistema de quipos en general (computadores, equipos de red, equipos de seguridad), herramientas de desarrollo y utilidades, software de aplicación, suites ofimáticas, etc. b) activos o recursos físicos: equipo de cómputo, de comunicación, medios removibles. Etc. c) servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción, iluminación, energía y aire acondicionado; d) personal, y sus calificaciones, capacidades y experiencia; e) intangibles, tales como la reputación y la imagen de la organización.
El inventariado de activos ayuda a asegurar que se realice una protección efectiva 33 de los mismos. El proceso de compilar un inventario de activos es un pre-requisito importante de la gestión del riesgo.
SISTEMA DE INFORMACION Es posible encontrar diversas formas de definir el concepto tradicional de sistema de información. La siguiente es una posible: Sistema de Información se refiere a un conjunto de Recursos de Tecnologías de la Información independientes pero organizados para el manejo de la información según determinados procedimientos, tanto automatizados como manuales. Se entiende por “manejo de la información” la recopilación, almacenamiento, procesamiento, mantenimiento, transmisión o difusión de información. Se entiende por Recursos de Tecnología de la Información, todo recurso utilizado para el manejo de la información. Son recursos de tecnología de la información (o recursos IT) los siguientes: Información, Recursos de Información, Recursos de software, Recursos de hardware, Recursos 34 Humanos, Servicios
Sistema en Seguridad de la Información En el contexto de la seguridad de la información, un sistema de información está formado por los activos y recursos de tecnologías de información, mas las personas, el entorno donde actúan y todas las interacciones entre estos elementos. z z z z z z z z
Personas (gerent., admin., usus, pers. de limp., etc.) Computadores (PCs, Servidores, Dispositivos de Red) Medios de Enlace (cables UTP, señ. Wireless, etc.) Papeles Medios de almacenamiento digital Entorno Etc. Interacciones entre estos elementos
35
Sistema Informático para la Seguridad Informática
36
Ejemplo aspectos de la Seguridad Informática: Seguridad en el Desarrollo Inyección SQL: Autenticación de Usuario en una DB
“select * from tabla_usuarios where” “usuario= ‘$user’ and clave= ‘$pwd’” 37
Ejemplo aspectos de la Seguridad Informática: Seguridad en el Desarrollo Inyección SQL: Autenticación de Usuario en una DB Ingresando cualquier cosa como clave, y la siguiente cadena en el usuario: administrador’ or 1=1” “or” “’1=1
Se logra la siguiente sentencia, siempre valida: “select * from tblUsers where” “user_id= ‘administrador’ or 1=1” “or” “’1=1’ and passwd= ‘cualquier_valor’”
38
.
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
39
EL CICLO DE VIDA DE LA SEGURIDAD DE LA INFORMACIÓN El ciclo de vida de la seguridad de la información, consta de las siguientes etapas: Identificación del Sistema de Información de la organización Identificación de los Requerimientos y Expectativas de Seguridad de la Información Realizar la Valoración del Riesgo (risk assessment) Diseñar un Sistema de Gestión (o Administración) de Seguridad de la Información (o SGSI, o ISMS por las siglas de Information Security Management System) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el ISMS, en forma continua. 40
Requerimientos de Seguridad Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos de seguridad: -
Una fuente deriva de evaluar los riesgos que enfrenta la organización, tomando en cuenta la estrategia general y los objetivos de la organización. Mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.
-
Otra fuente son los requerimientos legales, normativos, reglamentarios, estatuitarios y contractuales que debe cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios (proveedores), y su ambiente socio-cultural.
-
Otra fuente es el conjunto específico de principios, objetivos y requisitos comerciales para el procesamiento de la información que la 41 organización ha desarrollado para respaldar sus operaciones.
La evaluación de riesgos La evaluación de riesgos es una consideración sistemática de los siguientes puntos: a) impacto potencial en los negocios de una falla de seguridad, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos; b) probabilidad de ocurrencia de dicha falla, tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados. La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo). Los resultados de esta evaluación ayudarán a: orientar y a determinar las prioridades y las acciones de gestión adecuadas para la administración de los riesgos concernientes a seguridad de la información, y para la implementación de los controles seleccionados a fin de brindar protección contra dichos riesgos. Los resultados de la evaluación del riesgo debieran ayudar a: guiar y determinar las acciones de gestión apropiadas para la administración de los riesgos concernientes a seguridad de la información, y establecer las prioridades para manejar los riesgos de la seguridad de la información y para implementar los controles seleccionados para protegerse 42 contra estos riesgos.
SGSI
43
SGSI Planificar (Plan): Establecer el ISMS Establecer las políticas, los objetivos, los procesos y procedimientos del ISMS pertinentes a la gestión de riesgos y la mejora de la seguridad de la información para entregar resultados de acuerdo con las políticas y objetivos generales de la organización.
Hacer (Do): Implementar y operar el ISMS Implementar y operar las políticas, controles, procesos y procedimientos del ISMS.
Evaluar (Check): monitorear y examinar (revisar) el ISMS Evaluar y, en cuando sea aplicable, medir el rendimiento de los procesos encontraste con las políticas y los objetivos del ISMS y la experiencia práctica, e informar los resultados a la gerencia para su examen.
Actualizar (Act): Mantener y mejorar el ISMS Tomar acciones correctivas y preventivas, sobre la base de los resultados de la auditoria interna del ISMS y del examen de la gestión o de otra información relevante, para lograr la mejora continua del SGSI. 44
SGSI
45
SGSI .
46
SGSI .
47
SGSI .
48
Gestión de la Seguridad .
5) GESTIONAR y MEJORAR •Administración de recursos
2) ASEGURAR • Cortafuegos • Software fiable • IPsec • PKI
1) POLITICA de SEGURIDAD
3) MONITORIZAR y REACCIONAR • IDS
4) COMPROBAR • Escaneo de vulnerabilidades
49
Modelo de Seguridad .
50