ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Seguridad De La Informacion


Enviado por   •  22 de Noviembre de 2013  •  2.185 Palabras (9 Páginas)  •  255 Visitas

Página 1 de 9

Administración

El advenimiento del intercambio electrónico a través de los proveedores de servicios y directamente con los clientes, la pérdida de perímetros organizacionales a través del uso de tecnologías de acceso remoto y la exposición a riesgos de seguridad de alto impacto, tales como software malicioso en forma de virus, ataques de negación de servicio (DoS), intrusiones, acceso no autorizado, entre otros, han elevado el nivel de riesgo de la seguridad de información.

La Organización Internacional para la Estandarización / Normalización (ISO) en mayo de 1999 publicó la norma ISO 17799, como un conjunto integral de controles que abarcan las mejores prácticas para la administración de seguridad de información.

En octubre de 2005 esta norma ha evolucionado a ISO 27001 ha desarrollado 134 objetivos de control clasificados bajo 11 áreas, dentro de su publicación Information Technology Security Techniques - Code of Practice for Information Security Management.

De manera similar, el Instituto de Gobierno de TI provee buenas prácticas para los procesos de TI que están definidos dentro de cuatro dominios, que incluyen aproximadamente 200 controles clasificados bajo 34 objetivos de alto nivel, a través de su publicación Control Objectives for Information and Related Technology (COBIT 4.0). Adicionalmente, la legislación relativa a la tecnología de la información se está volviendo más prolífica, con muchos países promulgando leyes sobre aspectos tales como derechos de autor (copyright), privacidad de software, propiedad intelectual y datos personales. Estas presiones comerciales, competitivas y legislativas, requieren la implementación de políticas de seguridad, procedimientos y controles de acceso lógico a sistemas relacionados, monitoreo, y revisión.

Los objetivos de seguridad de información para satisfacer los requerimientos del negocio de las organizaciones incluyen al menos los siguientes:

Asegurar la disponibilidad de sus sistemas de información y su infraestructura de TI que los soporta.

Asegurar la integridad de la información almacenada en sus sistemas de información y su infraestructura de TI que los soporta.

Preservar la confidencialidad de la información.

Asegurar el cumplimiento de las leyes, regulaciones y estándares aplicables.

Los elementos clave para una adecuada administración de la seguridad de información son los siguientes:

Compromiso y soporte de la alta gerencia - El compromiso y apoyo de la alta gerencia son importantes para el éxito en el establecimiento y continuidad de un programa de gestión de la seguridad de la información.

Políticas y procedimientos - Se debe establecer una política general de la organización proporcionando una declaración concisa de directivas de la alta gerencia enfocadas al valor de los activos de información, la necesidad de seguridad y la importancia de definir una jerarquía de clases de activos sensibles y críticos.

Organización - Las responsabilidades para la protección de los activos individuales deben ser claramente definidos. La política de seguridad de la información debe proporcionar una orientación general sobre la asignación de funciones y responsabilidades de seguridad en la organización y también, donde sea necesario, orientación detallada para los sitios específicos, activos, servicios y procesos de seguridad relacionados, tales como la planificación de la recuperación y continuidad del negocio de TI.

Conciencia de la seguridad y la educación - Todos los empleados de una organización, y cuando sea relevante los usuarios de terceras partes, deben recibir un entrenamiento apropiado y actualizaciones periódicas para promover el conocimiento y el cumplimiento de las políticas y procedimientos de seguridad que están por escrito.

Monitoreo y cumplimiento - Los auditores de SI son generalmente encargados de evaluar, periódicamente, la efectividad de un programa de seguridad de la organización. Para llevar a cabo esta tarea, estos deben entender y conocer los esquemas de protección, el marco de referencia de la seguridad y los aspectos relacionados incluyendo el cumplimiento de las leyes y regulaciones aplicables.

Tratamiento y respuesta a incidentes - Un incidente de seguridad informática es un evento desfavorable que afecta el procesamiento del uso de la informática. Esto incluye pérdida de confidencialidad de la información, poner en peligro la integridad de la información, negación de servicio, acceso no autorizado a los sistemas, mal uso de los sistemas de información, robo y daño a los sistemas.

Inventarios de activos de información

Un control efectivo requiere un inventario detallado de los activos de información (información, sistemas, bases de datos, procesos, etc.). Dicha lista es el primer paso para clasificar los activos y determinar el nivel de protección a proveer para cada uno de ellos.

Asignando clases o niveles de sensibilidad y criticidad a los recursos de información, y estableciendo reglas específicas de seguridad para cada clase, es posible definir el nivel de controles de acceso que se debe aplicar a cada activo de información.

Clasificación de los activos de información

Los activos de información tienen diversos grados de sensibilidad y de criticidad en cuanto a la satisfacción de los objetivos del negocio.

El acceso a los activos de información de TI (Tecnologías de Información) se establece, administra y gestiona, a nivel lógico y a nivel físico.

Hay mucha filosofía en este punto, en el tema de seguridad de información siempre que se evalúan los niveles de riesgos de los activos de información, el hecho que se conozca la información del nivel de madurez de los controles de acceso tanto físicos como lógicos.

Si para los usuarios no autorizados a determinada información se les establecen barreras de acceso a la misma usando estos controles de seguridad mencionados en el párrafo anterior, obviamente el nivel de riesgo deberá disminuir dependiendo de la efectividad de estos controles.

En varios países en el mundo existen leyes y regulaciones que establecen mucha atención a estos controles, por ejemplo la ley de Sarbanes-Oxley orientada a evitar fraudes en la información financiera de las empresas, exige demasiados controles sobre este tipo de problemas relacionados al acceso de la información.

Cuando a una persona se le pide su usuario y una contraseña para acceder a un sistema, estamos haciendo uso de un control de acceso. Una vez que ingresa al sistema e intenta ver un archivo, dicho archivo

...

Descargar como (para miembros actualizados) txt (14 Kb)
Leer 8 páginas más »
Disponible sólo en Clubensayos.com