SGSI C AS -C HILE S.A. D E I. 2013 Líder en Software de Gestión Pública I NDUCCIÓN SOBRE S EGURIDAD DE LA I NFORMACIÓN CAS-CHILE ® 25 Años 25 Años.

Presentación del tema: "SGSI C AS -C HILE S.A. D E I. 2013 Líder en Software de Gestión Pública I NDUCCIÓN SOBRE S EGURIDAD DE LA I NFORMACIÓN CAS-CHILE ® 25 Años 25 Años."— Transcripción de la presentación:

1 SGSI C AS -C HILE S.A. D E I. 2013 Líder en Software de Gestión Pública I NDUCCIÓN SOBRE S EGURIDAD DE LA I NFORMACIÓN CAS-CHILE ® 25 Años 25 Años

2  C READA TRAS LA 2 DA GUERRA MUNDIAL, ES EL ORGANISMO ENCARGADO DE PROMOVER EL DESARROLLO DE LAS NORMAS INTERNACIONALES DE FABRICACIÓN, COMERCIO Y COMUNICACIÓN PARA TODAS LAS RAMAS INDUSTRIALES A EXCEPCIÓN DE LA ELÉCTRICA Y LA ELECTRÓNICA.  L A COMPONE UNA RED DE INSTITUTOS DE NORMAS NACIONALES DE 163 PAÍSES, SOBRE LA BASE DE UN MIEMBRO POR PAÍS, CON UNA S ECRETARÍA C ENTRAL EN G INEBRA QUE COORDINA EL SISTEMA.  L AS NORMAS DESARROLLADAS POR ISO SON VOLUNTARIAS.

3  ISO SON LAS SIGLAS DE LA “I NTERNATIONAL S TANDARIZATION O RGANIZATION ” (O RGANIZACIÓN I NTERNACIONAL PARA LA N ORMALIZACIÓN ) CUYA SEDE SE ENCUENTRA EN S UIZA.  L AS N ORMAS ISO 27000 SON EL PRIMER CONJUNTO DE NORMATIVAS INTERNACIONALES ESPECÍFICAS PARA LA GESTIÓN DE LOS SERVICIOS BASADOS EN LAS T ECNOLOGÍAS DE LA I NFORMACIÓN.

4  L AS N ORMAS ISO/IEC 27000 FORMAN PARTE DEL CONJUNTO DE NORMAS PRODUCIDAS POR LA O RGANIZACIÓN I NTERNACIONAL DE N ORMALIZACIÓN ISO.  S E PUEDEN CONSIDERAR COMO NORMAS “ TRONCALES ” EN LA GESTIÓN DE LAS TI, PUES ESTRUCTURAN EN TORNO A PROCESOS LAS ACTIVIDADES MÁS ESENCIALES.  I NTRODUCEN EN LA ORGANIZACIÓN DE LAS TI UNA FORMA DE TRABAJO METÓDICA, INTEGRADA Y ORIENTADA A PROCESOS, HACIENDO ESPECIAL ÉNFASIS EN GARANTIZAR LA CALIDAD DEL SERVICIO A LOS DISTINTOS CLIENTES DE LAS TI.

5  P RESENTAN UNA ORGANIZACIÓN CABAL DE LAS PRINCIPALES ACTIVIDADES NECESARIAS PARA GESTIONAR ESTOS SERVICIOS, AGRUPADAS EN UN CONJUNTO DE PROCESOS CONSIDERADOS ESENCIALES PARA LA CREACIÓN, PRESTACIÓN Y EVOLUCIÓN DE LOS SERVICIOS DE LAS TI.  A L APLICAR SUS REQUISITOS Y RECOMENDACIONES, LAS ORGANIZACIONES DE TI EMPRENDERÁN UN CAMINO INDUDABLE DE MEJORA EN EL CONTROL Y LA CALIDAD DE SU ACTIVIDAD.

6  ISO/IEC 27000 : V OCABULARIO ESTÁNDAR PARA EL SGSI.  ISO/IEC 27001: C ERTIFICACIÓN QUE DEBEN OBTENER LAS ORGANIZACIONES. N ORMA QUE ESPECIFICA LOS REQUISITOS PARA LA IMPLEMENTACIÓN DEL SGSI. E S LA NORMA MÁS IMPORTANTE DE LA FAMILIA. A DOPTA UN ENFOQUE DE GESTIÓN DE RIESGOS Y PROMUEVE LA MEJORA CONTINUA DE LOS PROCESOS.  ISO/IEC 27002: C ÓDIGO DE P RACTICA PARA EL SGSI.  ISO/IEC 27003 : D IRECTRICES PARA LA IMPLEMENTACIÓN DE UN SGSI. E S EL SOPORTE DE LA NORMA 27001.  ISO/IEC 27004: M ÉTRICAS PARA LA GESTIÓN DE S EGURIDAD DE LA I NFORMACIÓN. E S LA QUE PROPORCIONA RECOMENDACIONES DE QUIÉN, CUÁNDO Y CÓMO REALIZAR MEDICIONES DE S EGURIDAD DE LA I NFORMACIÓN.  ISO/IEC 27005: G ESTIÓN DE R IESGOS EN S EGURIDAD DE LA I NFORMACIÓN. P ROPORCIONA RECOMENDACIONES Y LINEAMIENTOS DE MÉTODOS Y TÉCNICAS DE EVALUACIÓN DE RIESGOS DE S EGURIDAD DE LA I NFORMACIÓN, EN SOPORTE DEL PROCESO DE GESTIÓN DE RIESGOS DE LA N ORMA ISO/IEC 27001.

7  ISO/IEC 27006:2007: R EQUISITOS PARA LA ACREDITACIÓN DE LAS ORGANIZACIONES QUE PROPORCIONAN LA CERTIFICACIÓN DE LOS S ISTEMAS DE G ESTIÓN DE S EGURIDAD DE LA I NFORMACIÓN. E STA NORMA ESPECIFICA REQUISITOS PARA LA CERTIFICACIÓN DE SGSI Y ES USADA EN CONJUNTO CON LA NORMA 17021-1, LA NORMA GENÉRICA DE ACREDITACIÓN.  ISO/IEC 27007: G UÍA PARA AUDITAR AL SGSI.  ISO/IEC 27799:2008: G UÍA PARA IMPLEMENTAR ISO/IEC 27002 EN LA INDUSTRIA DE LA SALUD.  ISO/IEC 27035:2011: S EGURIDAD DE LA I NFORMACIÓN, T ÉCNICAS DE G ESTIÓN DE S EGURIDAD, G ESTIÓN DE I NCIDENTES DE S EGURIDAD. E STE ESTÁNDAR HACE FOCO EN LAS ACTIVIDADES DE DETECCIÓN, REPORTE Y EVALUACIÓN DE INCIDENTES DE SEGURIDAD Y SUS VULNERABILIDADES.

8  L A N ORMA ISO 27001 ES UNA NORMA INTERNACIONAL Y ABIERTA, CUYO OBJETIVO ES ESTABLECER LOS REQUISITOS MÍNIMOS CON LOS QUE DEBE CUMPLIR UN S ISTEMA DE G ESTIÓN DE S EGURIDAD DE LA I NFORMACIÓN (SGSI) EN UNA O RGANIZACIÓN.

9  P ERMITE A LA EMPRESA DEMOSTRAR QUE DISPONE DE LOS CONTROLES Y LOS PROCEDIMIENTOS ADECUADOS PARA ASEGURAR EL TRATAMIENTO SEGURO DE LOS DATOS Y LA INFORMACIÓN QUE SE MANEJA.  S E OBTIENE UN IMPORTANTE ELEMENTO DIFERENCIADOR, QUE DESTACA POR SOBRE LA COMPETENCIA.  C UMPLIMIENTO DE LAS NORMATIVAS LEGALES RELATIVAS A LA PROTECCIÓN DE DATOS, LO QUE PERMITE REDUCIR LOS PROBLEMAS CON CLIENTES Y USUARIOS.

10 L A NORMA ISO 9004 ESPECIFICA QUE TODA ACTIVIDAD QUE SE REALICE DENTRO DE UNA ORGANIZACIÓN, SEA DEL TIPO QUE SEA ( PROCESOS PRODUCTIVOS, ADMINISTRATIVOS, COMERCIALES, DE GESTIÓN ), SE CONSIDERA, SE TRATA Y SE GESTIONA COMO SI FUESE UN PROCESO, ESTO ES LO QUE SE CONOCE COMO “E NFOQUE DE P ROCESOS ”. S E PUEDE DEFINIR UN PROCESO COMO UN CONJUNTO DE ACTIVIDADES ORIENTADAS A GENERAR VALOR AÑADIDO A SUS ENTRADAS PARA CONSEGUIR UN RESULTADO QUE SATISFAGA LOS REQUISITOS DEL CLIENTE.

11  C UALQUIER ACTIVIDAD QUE RECIBE ENTRADAS Y LAS TRANSFORMA EN SALIDAS ES UN PROCESO.  U NA EMPRESA U ORGANIZACIÓN REQUIERE GESTIONAR UN GRAN NÚMERO DE PROCESOS QUE DE NINGÚN MODO SON INDEPENDIENTES, SINO QUE SE ENCUENTRAN TODOS INTERRELACIONADOS DE FORMA QUE, NORMALMENTE, LAS SALIDAS DE UNOS SON LAS ENTRADAS DE OTROS.

12  P ERMITE CONTROLAR DE FORMA CONTINUA TODOS LOS PROCESOS, TANTO DE UNA MANERA INDIVIDUAL COMO EN CONJUNTO.  S E REDUCEN LOS COSTOS Y SE ACORTAN TIEMPOS SI SE UTILIZAN LOS RECURSOS DE FORMA ADECUADA.  P ROPORCIONA MEJORES RESULTADOS, CON UNA MAYOR CONSISTENCIA Y QUE ADEMÁS SE PUEDEN PREDECIR DE UNA FORMA MÁS SENCILLA Y MÁS FIABLE.  P ERMITE ESTABLECER PRIORIDADES A LA HORA DE REALIZAR MEJORAS.

13 E L HECHO DE ADOPTAR ESTA VISIÓN DE LA ACTIVIDAD DE UNA ORGANIZACIÓN IMPLICA NECESARIAMENTE LA REALIZACIÓN DE DIVERSAS TAREAS QUE PODEMOS ENGLOBAR EN LOS SIGUIENTES PUNTOS :  E S NECESARIO ENFOCAR LA GESTIÓN COMO PROCESO SOBRE PARTES DE LA EMPRESA TALES COMO PROVISIÓN DE RECURSOS, REALIZACIÓN DEL PRODUCTO, RECURSOS HUMANOS Y MATERIALES, LO QUE MEJORARÁ LAS ACTIVIDADES DE LA ORGANIZACIÓN.  E S NECESARIO LLEVAR A CABO UNA DEFINICIÓN PRECISA DE LAS ACTIVIDADES QUE SON NECESARIAS PARA LOGRAR EL RESULTADO DESEADO.  E S DE SUMA IMPORTANCIA ESTABLECER LA JERARQUÍA DE RESPONSABILIDADES Y DAR INDICACIONES PARA GESTIONAR LAS ACTIVIDADES CLAVES.

14 E S DECIR, TODA ACTIVIDAD DEBE TENER :  U N O BJETO D EFINIDO CON FRONTERAS Y LÍMITES BIEN DETERMINADOS POR CADA UNA DE LAS ETAPAS Y PARA EL PROCESO GLOBAL.  A LGÚN TIPO DE I NDICADOR QUE SEA CUANTIFICABLE O MEDIBLE, PARA PODER COMPROBAR EL GRADO DE CUMPLIMIENTO DE LOS OBJETIVOS.  D ESIGNAR A UN R ESPONSABLE DE DICHO PROCESO.

15 E STE ENFOQUE DE TODA ACTIVIDAD COMO UN PROCESO, HACE QUE PODAMOS APLICARLE LA METODOLOGÍA CONOCIDA COMO : PDCA (P LAN – D O – C HECK – A CT ) O LO QUE ES LO MISMO P H V A (P LANIFICAR – H ACER – V ERIFICAR – A CTUAR ), QUE NO ES MÁS QUE UN SISTEMA DE MEJORA CONTINUA.

16 DO (H ACER ) P LANIFICACIÓN Y ESTABLECIMIENTOS DE LOS DOCUMENTOS CORRECTOS, P OLÍTICA, O BJETIVOS. P LANIFICACIÓN Y ESTABLECIMIENTOS DE LOS DOCUMENTOS CORRECTOS, P OLÍTICA, O BJETIVOS. R EALIZAR LAS ACTIVIDADES CONFORME A LA DOCUMENTACIÓN A CTUAR CORRECTIVAMENTE / P REVENTIVAMENTE SOBRE LAS C AUSAS DE NO C ONFORMIDADES O I MPLEMENTAR MEJORAS. A CTUAR CORRECTIVAMENTE / P REVENTIVAMENTE SOBRE LAS C AUSAS DE NO C ONFORMIDADES O I MPLEMENTAR MEJORAS. C ONTROLAR LAS C ONFORMIDADES O PORTUNIDAD DE MEJORA

17  P LANIFICAR : P ARA PODER ESTABLECER LOS OBJETIVOS DE CADA ACTIVIDAD ES NECESARIO TENER UNA POLÍTICA CLARA DE LO QUE SE PRETENDE RESPECTO AL SISTEMA DE GESTIÓN DE CALIDAD E IDENTIFICAR LAS NECESIDADES Y EXPECTATIVAS DE LOS CLIENTES DE UN MODO FIABLE, ASÍ SE PUEDEN DETERMINAR CUALES SON LOS PROCESOS NECESARIOS PARA CONSEGUIR LOS RESULTADOS DESEADOS.  H ACER : E TAPA DE REALIZACIÓN DEL PRODUCTO O SERVICIO EN LA QUE ES NECESARIO GESTIONAR DE FORMA ADECUADA TODOS LOS RECURSOS DE LA EMPRESA.  V ERIFICAR : T ODOS LOS PROCESOS Y PRODUCTOS SON ANALIZADOS Y MEDIDOS, DE FORMA QUE CUMPLAN SIEMPRE CON LOS REQUISITOS, POLÍTICA Y OBJETIVOS DE LA ORGANIZACIÓN. S E INFORMA SOBRE LOS RESULTADOS Y SE ANALIZAN DICHOS DATOS.  A CTUAR : UNA VEZ REALIZADOS LOS ANÁLISIS DE LOS RESULTADOS DE LA ETAPA ANTERIOR, SE TOMAN MEDIDAS AL RESPECTO Y SE PLANIFICA DE NUEVO CON EL FIN DE MANTENER UNA MEJORA CONTINUA.

18  L A I NFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. M ANTENER SU I NTEGRIDAD, C ONFIDENCIALIDAD Y D ISPONIBILIDAD ES ESENCIAL PARA ALCANZAR LOS OBJETIVOS DEL NEGOCIO.  E S LA PROTECCIÓN DE LA CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD DE LOS A CTIVOS DE I NFORMACIÓN SEGÚN SEA NECESARIO, PARA ALCANZAR LOS OBJETIVOS DEL NEGOCIO DE LA ORGANIZACIÓN.

19 E S UNA HERRAMIENTA DE GESTIÓN QUE NOS VA A PERMITIR CONOCER, GESTIONAR Y MINIMIZAR LOS POSIBLES RIESGOS QUE ATENTEN CONTRA LA S EGURIDAD DE LA I NFORMACIÓN.

20  LA S EGURIDAD DE LA I NFORMÁTICA SE REFIERE A LA PROTECCIÓN DE LAS INFRAESTRUCTURAS DE LAS TIC` S QUE SOPORTAN NUESTRO NEGOCIO.  L A S EGURIDAD DE LA I NFORMACIÓN ES LA PROTECCIÓN DE LOS ACTIVOS DE I NFORMACIÓN MÁS FUNDAMENTALES PARA EL ÉXITO DE CUALQUIER ORGANIZACIÓN.

21  L A INFORMACIÓN ASOCIADA A NUESTROS CLIENTES.  L A INFORMACIÓN ASOCIADA A NUESTRAS VENTAS.  L A INFORMACIÓN ASOCIADA A NUESTRO PERSONAL.  L A INFORMACIÓN ASOCIADA A NUESTROS PRODUCTOS Y S ERVICIOS.  L A INFORMACIÓN ASOCIADA A NUESTRAS OPERACIONES.

22 L AS “B UENAS P RÁCTICAS ” EN S EGURIDAD DE LA I NFORMACIÓN, PROTEGEN A ÉSTA CONTRA UNA AMPLIA GAMA DE AMENAZAS, TANTO DE ORDEN FORTUITO ( DESTRUCCIÓN PARCIAL O TOTAL POR INCENDIO INUNDACIONES, TERREMOTOS EVENTOS ELÉCTRICOS Y OTROS ) COMO DE ORDEN DELIBERADO, TAL COMO FRAUDE, ESPIONAJE, SABOTAJE, VANDALISMO, ETC.

23  C ONFIDENCIALIDAD : S E GARANTIZA QUE LA INFORMACIÓN ES ACCESIBLE SÓLO A AQUELLAS PERSONAS AUTORIZADAS.  I NTEGRIDAD : S E SALVAGUARDA LA EXACTITUD Y TOTALIDAD DE LA INFORMACIÓN Y LOS MÉTODOS DE PROCESAMIENTO Y TRANSMISIÓN.  D ISPONIBILIDAD : S E GARANTIZA QUE LOS USUARIOS AUTORIZADOS TIENEN ACCESO A LA INFORMACIÓN Y A LOS RECURSOS RELACIONADOS TODA VEZ QUE LO REQUIERAN.

24 U NA A MENAZA ES LA POSIBILIDAD DE OCURRENCIA DE CUALQUIER TIPO DE EVENTO O ACCIÓN QUE PUEDE PRODUCIR UN DAÑO ( MATERIAL O INMATERIAL ) SOBRE LOS ELEMENTOS DE UN SISTEMA, EN EL CASO DE LA S EGURIDAD I NFORMÁTICA, LOS E LEMENTOS DE I NFORMACIÓN. L AS A MENAZAS A LA S EGURIDAD DE LA I NFORMACIÓN ATENTAN CONTRA LA C - I - D DE LA INFORMACIÓN.

25  E L USUARIO : CAUSA DEL MAYOR PROBLEMA LIGADO A LA SEGURIDAD DE UN SISTEMA INFORMÁTICO ( PORQUE NO LE IMPORTA, NO SE DA CUENTA O A PROPÓSITO ).  P ROGRAMAS M ALICIOSOS : PROGRAMAS DESTINADOS A PERJUDICAR O A HACER UN USO ILÍCITO DE LOS RECURSOS DEL SISTEMA.

26  U N INTRUSO : PERSONA QUE CONSIGUE ACCEDER A LOS DATOS O PROGRAMAS DE LOS CUALES NO TIENE ACCESO PERMITIDO (C RACKER, D EFACER, S CRIPT K IDDIE O S CRIPT B OY, V IRUXER, ETC.).  U N SINIESTRO ( ROBO, INCENDIO, INUNDACIÓN ): UNA MALA MANIPULACIÓN O UNA MAL INTENCIÓN DERIVAN A LA PÉRDIDA DEL MATERIAL O DE LOS ARCHIVOS.  E L PERSONAL INTERNO DE S ISTEMAS. L AS PUJAS DE PODER QUE LLEVAN A DISOCIACIONES ENTRE LOS SECTORES Y SOLUCIONES INCOMPATIBLES PARA LA SEGURIDAD INFORMÁTICA.

27 L A PALABRA V ULNERABILIDAD HACE REFERENCIA A UNA DEBILIDAD EN UN SISTEMA PERMITIENDO A UN ATACANTE VIOLAR LA CONFIDENCIALIDAD, INTEGRIDAD, DISPONIBILIDAD, CONTROL DE ACCESO Y CONSISTENCIA DEL SISTEMA O DE SUS DATOS Y APLICACIONES.

28  U NA VULNERABILIDAD ES UNA DEBILIDAD EN UN ACTIVO.  U NA AMENAZA ES UNA VIOLACIÓN POTENCIAL DE LA SEGURIDAD.  N O ES NECESARIO QUE LA VIOLACIÓN OCURRA PARA QUE LA AMENAZA EXISTA.  L AS AMENAZAS “ EXPLOTAN ” VULNERABILIDADES.

29 O BJETIVO G ENERAL DEL SGSI DE CAS-CHILE®  A SEGURAR LA C ONFIDENCIALIDAD, I NTEGRIDAD Y D ISPONIBILIDAD DE LA INFORMACIÓN TANTO PROPIA COMO CONFIADA POR TERCEROS Y QUE SON MANEJADOS POR LA O RGANIZACIÓN. O BJETIVOS E SPECÍFICOS  C ONTAR CON UN S ISTEMA DE G ESTIÓN DE S EGURIDAD DE LA I NFORMACIÓN CERTIFICADO, CON EL FIN DE MITIGAR LOS RIESGOS OPERATIVOS DE LOS S ERVICIOS O UTSOURCING.  D ISMINUIR EN UN 5% ANUALMENTE LOS REPORTES DE INCIDENCIAS.  A SEGURAR LA M EJORA C ONTINUA SOBRE LA BASE DE LA M EDICIÓN O BJETIVA.

30 C UANDO UNA EMPRESA DECIDE ADAPTARSE A ESTA NORMA, BÁSICAMENTE SE EMPRENDERÁN LAS ACTIVIDADES QUE SE DETALLAN A CONTINUACIÓN Y QUE DEBEN SER DOCUMENTADAS.  P OLÍTICA DE S EGURIDAD.  I NVENTARIO DE A CTIVOS.  A NÁLISIS DE R IESGOS.  D ECISIONES DE LA DIRECCIÓN RESPECTO A LOS RIESGOS IDENTIFICADOS, ASÍ COMO LA APROBACIÓN DE LOS RIESGOS RESIDUALES.  D OCUMENTACIÓN DE A PLICABILIDAD O S TATEMENT OF A PPLICABILITY (SOA, ISO 27001 C LÁUSULA 4.2.1 J ). L ISTA LOS OBJETIVOS Y CONTROLES QUE SE VAN A IMPLEMENTAR EN UNA ORGANIZACIÓN, ASÍ COMO LAS JUSTIFICACIONES DE AQUELLOS CONTROLES QUE NO VAN A SER IMPLEMENTADOS.

31 T RATAR LOS R IESGOS A NALIZAR LOS R IESGOS I DENTIFICAR R IESGOS D EFINIR EL E NFOQUE DE A NÁLISIS I DENTIFICAR A CTIVOS D EFINIR P OLÍTICA DE S EGURIDAD D EFINIR A LCANCE

32 E S DECIR, SOBRE QUÉ PROCESO O PROCESOS VA A ACTUAR, YA QUE NO ES NECESARIA LA APLICACIÓN DE LA NORMA A TODA LA ENTIDAD. H AY QUE EVALUAR LOS RECURSOS QUE SE PUEDEN DEDICAR AL PROYECTO Y SI REALMENTE ES PRECISO ABARCAR TODA LA ORGANIZACIÓN. N ORMALMENTE ES MÁS PRÁCTICO LIMITAR EL ALCANCE DEL SGSI A AQUELLOS SERVICIOS, DEPARTAMENTOS, O PROCESOS EN LOS QUE RESULTE MÁS SENCILLO, BIEN PORQUE EL ESFUERZO VA A SER MENOR O PORQUE LA VISIBILIDAD DEL PROYECTO ( INTERNA O EXTERNA ) ES MAYOR.

33  E L A LCANCE DEL S ISTEMA DE G ESTIÓN DE S EGURIDAD DE LA I NFORMACIÓN DE CAS-CHILE®, TIENE RELACIÓN CON EL S ERVICIO O UT S OURCING.  E NTENDEREMOS COMO “O UTSOURCING ” LOS SERVICIOS ENTREGADOS POR CAS-CHILE® PARA PROVEER SOLUCIONES INTEGRALES A SUS CLIENTES CUANDO ESTOS OPTAN POR EXTERNALIZAR S ERVICIOS C RÍTICOS ASOCIADOS A CADA UNO DE ESTOS PRODUCTOS, DESTINANDO SUS RECURSOS Y COSTOS ASOCIADOS A UNA EMPRESA ESPECIALIZADA ( EXTERNA ).

34 E STO SE TRADUCE EN :  A UMENTO DE LA RENTABILIDAD A TRAVÉS DE LA MEJORA EN LOS NIVELES DE PRODUCTIVIDAD.  M AYOR FLEXIBILIDAD INTERNA MAXIMIZANDO LA ADMINISTRACIÓN DEL TIEMPO.  U TILIZACIÓN DE RECURSOS MULTIDISCIPLINARIOS.  O PTIMIZACIÓN EN LOS CONTROLES.  A CCESO A TECNOLOGÍA DE AVANZADA. E STE S ERVICIO ESTA COMPUESTO POR UNA SERIE DE S ERVICIOS INDIVIDUALES, QUE ENTREGA UNA AMPLIA GAMA DE TECNOLOGÍAS Y PERMITEN SATISFACER LAS NECESIDADES A NUESTROS CLIENTES DE FORMA INDIVIDUAL.  S ERVICIO E-COM.  S ERVICIO C LOUD C OMPUTING.  S ERVICIO DE SITIOS WEB.

35 L AS P OLÍTICAS SON ELEMENTOS DE ALTO NIVEL. E LLAS REPRESENTAN LA FILOSOFÍA CORPORATIVA DE UNA ORGANIZACIÓN Y EL PENSAMIENTO ESTRATÉGICO DE LA A LTA G ERENCIA Y DE LOS DUEÑOS DE LOS PROCESOS DEL NEGOCIO. L AS POLÍTICAS DEBEN SER CLARAS Y CONCISAS PARA QUE SEAN ESPECÍFICAS.

36  D ECIDE QUÉ CRITERIOS SE VAN A UTILIZAR, ESTABLECIENDO LAS PRINCIPALES LÍNEAS DE ACCIÓN QUE SE VAN A SEGUIR PARA QUE LA CONFIDENCIALIDAD, LA INTEGRIDAD Y LA DISPONIBILIDAD QUEDEN GARANTIZADAS.  E STA POLÍTICA TENDRÁ EN CUENTA LOS REQUISITOS DEL NEGOCIO, LOS CONTRACTUALES Y LOS LEGALES QUE SEAN APLICABLES.  E S ESENCIAL QUE EL SGSI ESTÉ ALINEADO CON EL RESTO DE LAS ESTRATEGIAS, PLANES Y MODOS DE FUNCIONAR DE LA ORGANIZACIÓN PARA QUE PUEDA INTEGRARSE EN EL DÍA A DÍA SIN COMPLICACIONES Y RINDIENDO RESULTADOS DESDE EL PRINCIPIO.  D EBE DEJAR CLARA LAS NORMAS BÁSICAS DE SEGURIDAD EN LA ORGANIZACIÓN, DEFINIENDO CUÁL VA A SER EL COMPORTAMIENTO DE LA MISMA EN CUANTO A LOS USOS DE LA INFORMACIÓN Y DE LOS SISTEMAS, LOS ACCESOS, CÓMO SE GESTIONARÁN LAS INCIDENCIAS, ETC.  L OS EMPLEADOS DEBEN CONOCER ESTA POLÍTICA Y ADHERIRSE A ELLA, INCLUSO FORMALMENTE SI ES NECESARIO.

37 CAS-CHILE®, CONSCIENTE DE LA IMPORTANCIA QUE REPRESENTA PARA SU NEGOCIO MANTENER Y ASEGURAR LA I NTEGRIDAD, C ONFIDENCIALIDAD Y D ISPONIBILIDAD DE LOS ACTIVOS DE INFORMACIÓN (T RÍADA DE LA S EGURIDAD DE LA I NFORMACIÓN ) TANTO PROPIOS, COMO CONFIADOS POR TERCEROS Y QUE SON MANEJADOS POR LA ORGANIZACIÓN. S E COMPROMETE A D ESARROLLAR, I MPLANTAR, M ANTENER Y M EJORAR CONTINUAMENTE EL S ISTEMA DE G ESTIÓN DE S EGURIDAD DE LA I NFORMACIÓN (SGSI), BRINDANDO TODO EL APOYO REQUERIDO PARA CUMPLIR METAS Y PRINCIPIOS DE SEGURIDAD, TOMANDO EN CUENTA A SU VEZ LOS REQUERIMIENTOS COMERCIALES Y LEGALES VIGENTES, ADEMÁS DE LAS OBLIGACIONES DE SEGURIDAD PROPIAS DE LA ORGANIZACIÓN Y SU ESTRATEGIA DE NEGOCIO, CON EL FIN DE PROVEER SERVICIOS CON MAYORES NIVELES DE SEGURIDAD Y CALIDAD. E NTENDEMOS COMO A CTIVOS DE I NFORMACIÓN AQUEL BIEN QUE TIENE VALOR PARA LA ORGANIZACIÓN TAL COMO EL H ARDWARE, S OFTWARE, LA I NFRAESTRUCTURA Y LAS P ERSONAS QUE LA SOPORTAN, JUNTO CON ELLO TODO AQUEL QUE POSEE EL CONOCIMIENTO DE LOS PROCESOS QUE EXISTEN EN LA EMPRESA.

38 P ARA ESTOS EFECTOS, NUESTRA ORGANIZACIÓN SE RIGE POR LOS 11 D OMINIOS DE S EGURIDAD ESTABLECIDOS EN LA NORMA ISO/IEC 27001:2005 DEFINIENDO LAS POLÍTICAS, OBJETIVOS, PROCEDIMIENTOS Y MANTENIMIENTO DE LOS REGISTROS NECESARIOS PARA EVITAR DESTRUCCIÓN, DIVULGACIÓN, MODIFICACIÓN Y UTILIZACIÓN NO AUTORIZADA DE TODA LA INFORMACIÓN RELACIONADA CON CLIENTES, EMPLEADOS, PROVEEDORES, PRECIOS, BASES DE CONOCIMIENTO, MANUALES, CASOS DE ESTUDIO, CÓDIGOS FUENTE, ESTRATEGIA, GESTIÓN, Y OTROS CONCEPTOS. A DEMÁS, CAS-CHILE® VELARÁ POR INSTRUIR Y EDUCAR CONSTANTEMENTE A SUS EMPLEADOS EN AQUELLAS MATERIAS RELATIVAS A LA SEGURIDAD DE LA INFORMACIÓN, CREANDO CONCIENCIA DE LA IMPORTANCIA DE CUMPLIR CON LOS CONTROLES Y POLÍTICAS APLICADAS AL USO, ALMACENAMIENTO, ACCESO Y DISTRIBUCIÓN DE INFORMACIÓN, HACIÉNDOLAS PARTE DE SU CULTURA ORGANIZACIONAL Y PENALIZANDO CUALQUIER TIPO DE VIOLACIÓN A ÉSTAS. E STA P OLÍTICA DEBERÁ SER CONOCIDA POR TODO EL PERSONAL, CLIENTES Y PROVEEDORES DE CAS-CHILE®.

39 S E DENOMINA ACTIVO A AQUELLO QUE TIENE ALGÚN VALOR PARA LA ORGANIZACIÓN Y POR TANTO DEBE PROTEGERSE. U N ACTIVO DE INFORMACIÓN ES AQUEL ELEMENTO QUE CONTIENE O MANIPULA INFORMACIÓN.

40 A CTIVOS DE I NFORMACIÓN SON ARCHIVOS, BASES DE DATOS, CONTRATOS, ACUERDOS, DOCUMENTACIÓN DEL SISTEMA, APLICACIONES, SOFTWARE BÁSICO, COMPUTADORES, EQUIPOS, DE COMUNICACIONES, ETC. Y LAS PERSONAS, QUE SON AL FIN Y AL CABO LAS QUE EN ÚLTIMA INSTANCIA GENERAN, TRANSMITEN Y DESTRUYEN INFORMACIÓN. ES DECIR DENTRO, DE UN ORGANIZACIÓN SE HAN DE CONSIDERAR TODOS LOS TIPOS DE ACTIVOS DE INFORMACIÓN. S EGÚN ISACA, UN ACTIVO DE I NFORMACIÓN ES UN RECURSO O BIEN ECONÓMICO PROPIEDAD DE UNA EMPRESA, CON EL CUAL SE TIENEN BENEFICIOS.

41 C ADA UNO DE LOS A CTIVOS QUE SE IDENTIFIQUEN DEBEN CONTAR CON UN RESPONSABLE, QUE SERÁ SU PROPIETARIO. E STA PERSONA SE HARÁ CARGO DE MANTENER LA SEGURIDAD DEL ACTIVO AUNQUE NO NECESARIAMENTE SERÁ LA QUE GESTIONE EL DÍA A DÍA DEL MISMO. P OR EJEMPLO : U NA BASE DE DATOS CON TODOS LOS CLIENTES DE LA EMPRESA. E L PROPIETARIO DE ESTA SERÁ EL G ERENTE DE V ENTAS, PERO SIN EMBARGO, LOS VENDEDORES SERÁN LOS USUARIOS DEL SISTEMA DE G ESTIÓN DE V ENTAS Y SU BBDD.

42  E L SGSI VA A PROTEGER LOS ACTIVOS QUE QUEDEN DENTRO DEL ALCANCE DEFINIDO, POR ESO ES VITAL LISTARLOS TODOS, IDENTIFICANDO QUÉ ACTIVOS SON LOS QUE SOPORTAN LOS PROCESOS DE LA ORGANIZACIÓN.  U NA VEZ IDENTIFICADOS DEBEN VALORARSE.  D E ACUERDO CON LA RELEVANCIA QUE LA ORGANIZACIÓN OTORGUE A LOS ACTIVOS, SE ESCOGERÁ EL GRUPO DE LOS MÁS VALIOSOS PARA EFECTUAR EL ANÁLISIS DE RIESGOS.  E STA TAREA CONSUME GRAN PARTE DE LOS RECURSOS DEL PROYECTO, POR LO QUE ES CONVENIENTE SIMPLIFICARLA.  D EBEN RELACIONARSE CON LOS PROCESOS DE NEGOCIO QUE SOPORTAN, DE FORMA QUE QUEDE EXPLÍCITA LA DEPENDENCIA DEL NEGOCIO RESPECTO DE ESOS ACTIVOS.

43

44  D ETERMINARÁ LAS AMENAZAS Y VULNERABILIDADES DE LOS ACTIVOS DE LA INFORMACIÓN PREVIAMENTE INVENTARIADOS.  T AREA CRUCIAL PARA EL CORRECTO DISEÑO DEL SGSI, PUESTO QUE DE SU RESULTADO DEPENDE QUE SE ESCOJAN CIERTOS CONTROLES U OTROS, QUE SON LOS QUE CONFORMARÁN NUESTROS SISTEMA.

45  I DENTIFICAR LOS RIESGOS QUE PUEDEN AFECTAR LA ORGANIZACIÓN Y SUS ACTIVOS DE INFORMACIÓN. E L RIESGO SE DEFINE EN FUNCIÓN DEL DAÑO QUE PODRÍA PRODUCIR UNA AMENAZA POR LA PROBABILIDAD DE QUE ESO OCURRA.  D EFINIR LOS CRITERIOS PARA ACEPTAR LOS RIESGOS Y SELECCIONAR LOS CONTROLES DE MANERA PROPORCIONAL A LOS RIESGOS DETECTADOS Y A LOS RECURSOS DISPONIBLES.  A PLICAR CONTROLES A TODOS LOS ACTIVOS NO SUELE SER VIABLE NI ORGANIZATIVA, NI ECONÓMICAMENTE.

46 O BTENIDOS LOS NIVELES DE RIESGO, HAY QUE DECIDIR SI SON ACEPTABLES O NO, SEGÚN EL CRITERIO FIJADO PREVIAMENTE.  M ITIGAR EL R IESGO : R EDUCIRLO MEDIANTE LA IMPLEMENTACIÓN DE CONTROLES QUE LO DISMINUYAN HASTA UN NIVEL ACEPTABLE.  A SUMIR EL R IESGO : L A DIRECCIÓN TOLERA EL RIESGO, YA QUE ESTÁ POR DEBAJO DE UN VALOR DE RIESGO ASUMIBLE O BIEN PORQUE NO SE PUEDE HACER FRENTE RAZONABLEMENTE A ESE RIESGO, POR COSTOSO O DIFÍCIL.  T RANSFERIR EL R IESGO : A UN TERCERO, ASEGURANDO EL ACTIVO QUE TIENE EL RIESGO O SUBCONTRATANDO EL SERVICIO.  E LIMINAR EL R IESGO : P UEDE RESULTAR COMPLICADO O COSTOSO.

47  D EBEN SER SELECCIONADOS ENTRE LOS LISTADOS DEL ANEXO A DE LA PROPIA NORMA (N ORMA UNE-ISO/IEC 27002).  S E PUEDEN AÑADIR OTROS, PERO ESTA LISTA DE CONTROLES ES UN SÓLIDO PUNTO DE PARTIDA PARA ELEGIR LAS MEDIDAS DE SEGURIDAD APROPIADAS PARA EL SGSI.  A LA HORA DE ESCOGER O RECHAZAR UN CONTROL SE DEBE CONSIDERAR HASTA QUÉ PUNTO ESE CONTROL VA A AYUDAR A REDUCIR EL RIESGO QUE HAY Y CUAL VA A SER EL COSTE DE SU IMPLEMENTACIÓN Y MANTENIMIENTO.  U N SGSI NO TIENE NECESARIAMENTE QUE TENER CUBIERTOS TODOS Y CADA UNO DE LOS RIESGOS A LOS QUE SE ESTÁ EXPUESTO, SINO QUE TRATARÁ DE MITIGARLOS DE ACUERDO A LAS NECESIDADES DEL NEGOCIO.

48  U NA VEZ SELECCIONADOS LOS CONTROLES SE REPETIRÁ EL ANÁLISIS DE RIESGOS TENIENDO EN CUENTA TODAS LAS MEDIDAS DE SEGURIDAD IMPLEMENTADAS.  E L VALOR DEL RIESGO OBTENIDO SERÁ EL RIESGO ACTUAL, EN FUNCIÓN DEL QUE SE DETERMINA EL RIESGO ASUMIBLE POR LA ORGANIZACIÓN Y SE DECIDEN NUEVAS ESTRATEGIAS Y ACCIONES PARA REDUCIR LOS RIESGOS QUE ESTÉN POR ENCIMA DE ESE VALOR.  L A DIRECCIÓN DEBE APROBAR EL VALOR DEL RIESGO ACEPTABLE Y ASUMIR EL RIESGO RESIDUAL.

49 U NA DECLARACIÓN DE APLICABILIDAD DEBE INCLUIR :  O BJETIVOS DE CONTROL Y LOS CONTROLES SELECCIONADOS, CON LAS RAZONES DE ESTA ELECCIÓN.  L A EXCLUSIÓN DE CUALQUIER OBJETIVO DEL CONTROL Y DE CUALQUIER CONTROL EN EL ANEXO A Y LA JUSTIFICACIÓN PARA DICHA EXCLUSIÓN.  L OS OBJETIVOS DE CONTROL Y LOS CONTROLES ACTUALMENTE IMPLEMENTADOS, CON UNA JUSTIFICACIÓN.

50  E STAS ACTIVIDADES SE REGISTRARÁN EN UN PLAN DE TRATAMIENTO DE RIESGO QUE REGULE TODAS LAS ACCIONES NECESARIAS PARA TRATARLE, ADEMÁS DE LOS RECURSOS, LAS RESPONSABILIDADES Y LAS PRIORIDADES PARA LA GESTIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN.  P ARA PONER EN MARCHA EL SGSI LA DIRECCIÓN TIENE QUE APROBAR A DOCUMENTACIÓN DESARROLLADA EN LAS ACTIVIDADES DETALLADAS EN EL PUNTO ANTERIOR Y PROVEER LOS RECURSOS NECESARIOS PARA EJECUTAR LAS ACTIVIDADES.

51  L A SEGURIDAD ES UN PROCESO EN CONTINUO CAMBIO. L AS ORGANIZACIONES NO SON ESTÁTICAS Y SU GESTIÓN TAMPOCO LO ES.  S ERÍA UN GRAVE ERROR CONSIDERAR QUE UNA VEZ ANALIZADOS LOS RIESGOS Y DEFINIDAS LAS MEDIDAS PARA REDUCIRLOS SE HAYA TERMINADO EL TRABAJO.  F ORMA PARTE DEL CICLO PDCA. H AY QUE CONTROLAR Y REVISAR EL SGSI DE MANERA PERIÓDICA PARA GARANTIZAR LA CONVENIENCIA, ADECUACIÓN Y EFICACIA CONTINUA DEL SISTEMA.

52 E L SGSI DEBE CONTAR CON LA DOCUMENTACIÓN NECESARIA QUE JUSTIFIQUE LAS DECISIONES DE LA DIRECCIÓN, LAS POLÍTICAS Y LAS ACCIONES TOMADAS Y QUE SE PUEDA DEMOSTRAR QUE LOS CONTROLES SELECCIONADOS LO HAN SIDO COMO RESULTADO DE ESTAS DECISIONES Y DEL ANÁLISIS DE RIESGOS. D EBE CONTENER :  L A POLÍTICA Y OBJETIVO DEL SGSI.  E L A LCANCE DEL SGSI.  D ESCRIPCIÓN DE LA METODOLOGÍA DE ANÁLISIS DE RIESGO.  I NVENTARIO DE A CTIVOS.  L OS PROCEDIMIENTOS Y CONTROLES DE APOYO AL SGSI.  A NÁLISIS DE R IESGO.  P LAN DE T RATAMIENTO DE R IESGO.  D ECLARACIÓN DE A PLICABILIDAD.  P ROCEDIMIENTOS PARA IMPLEMENTACIÓN DE CONTROLES.  R EGISTROS REQUERIDOS POR LA NORMA.

53  L OS DOCUMENTOS REQUERIDOS POR EL SGSI DEBEN HALLARSE PROTEGIDOS Y CONTROLADOS, POR LO QUE SE PRECISAN UNOS PROCEDIMIENTOS DE CONTROL DE DOCUMENTACIÓN, DE REVISIÓN Y DE REGISTRO ( INFORMES, AUDITORÍAS, CAMBIOS, AUTORIZACIONES DE ACCESO, PERMISOS TEMPORALES, BAJAS, ETC.).  L OS DOCUMENTOS DEBEN CONTEMPLAR CÓMO SE GENERAN, APRUEBAN, REVISAN Y ACTUALIZAN SEGÚN SEA NECESARIO.  U NA BUENA GESTIÓN DOCUMENTAL CONTARÁ CON QUE LOS CAMBIOS SEAN IDENTIFICADOS Y QUE LA IDENTIFICACIÓN DE LOS DOCUMENTOS Y SU ESTADO RESULTEN CLARAS.  L OS DOCUMENTOS DEBEN ESTAR DISPONIBLES Y ACCESIBLES EN TODOS LOS PUNTOS EN LOS QUE SEA NECESARIO UTILIZARLOS.

54  S ON AQUELLOS DOCUMENTOS QUE PROPORCIONAN EVIDENCIA DE LA REALIZACIÓN DE ACTIVIDADES DEL SGSI. C ON ELLOS SE PUEDE VERIFICAR EL CUMPLIMIENTO DE LOS REQUISITOS.  E JEMPLO DE REGISTROS SON EL LIBRO DE VISITAS, LOS INFORMES DE AUDITORÍAS Y LOS LOG DE LOS SISTEMAS.  R EQUISITO FUNDAMENTAL PARA PONER EN MARCHA UN SGSI. N O SOLO POR QUE ES UNO DE LOS EPÍGRAFES CONTEMPLADOS EN LA NORMA, SI NO PORQUE EL CAMBIO DE CULTURA Y CONCIENCIACIÓN QUE GENERA EL PROCESO SERÍA IMPOSIBLE DE SOBRELLEVAR SIN EL COMPROMISO CONSTANTE DE LA DIRECCIÓN.  E L DESARROLLO, LA IMPLEMENTACIÓN Y EL MANTENIMIENTO DEL SGSI EXIGEN UN ESFUERZO ORGANIZATIVO IMPORTANTE, QUE ÚNICAMENTE PODRÍA LLEVARSE A CABO CON UNA VOLUNTAD CLARA DE HACERLO POR PARTE DE LA DIRECCIÓN, PUESTO QUE ES ELLA QUIÉN TIENE QUE PROVEER DE RECURSOS AL PROYECTO, TANTO FINANCIEROS COMO HUMANOS, POR LO QUE SU APOYO ES IMPRESCINDIBLE.

55  L A DIRECCIÓN DEBE GESTIONAR LOS RECURSOS. H A DE COMENZAR A PROVEER DE RECURSOS AL DESARROLLO Y MANTENIMIENTO DEL SGSI EN FUNCIÓN DE LO QUE SE ESTIME NECESARIO PARA ESTABLECER, IMPLEMENTAR, PONER EN FUNCIONAMIENTO, EFECTUAR EL SEGUIMIENTO, REVISAR, MANTENER Y MEJORAR EL SGSI.  L A NORMA EXIGE QUE TODOS LOS TRABAJADORES CON RESPONSABILIDADES DEFINIDAS EN EL QUE EL SGSI SEAN COMPETENTES PARA EFECTUAR LAS ACTIVIDADES NECESARIAS.  E STO SIGNIFICA QUE HAY QUE DEFINIR LAS COMPETENCIAS NECESARIAS Y EN FUNCIÓN DE TALES NECESIDADES PROPORCIONAR LA FORMACIÓN A LA PLANTILLA O ADOPTAR OTRAS ACCIONES PARA SATISFACERLAS, POR EJEMPLO, LA CONTRATACIÓN DE PERSONAL COMPETENTE.

56  U NA DE LAS HERRAMIENTAS MÁS INTERESANTES PARA CONTROLAR EL FUNCIONAMIENTO DEL SGSI SON LAS AUDITORÍAS INTERNAS. E STAS AUDITORÍAS DEBEN PROGRAMARSE Y PREPARARSE REGULARMENTE, NORMALMENTE UNA VEZ AL AÑO. H AY QUE FIJARSE EN :  E L ESTADO E IMPORTANCIA DE LOS PROCESOS Y LAS ÁREAS QUE SERÁN AUDITADAS, DE ESTE MODO, SE DETERMINARÁ EL TIEMPO Y LOS RECURSOS QUE HABRÁ QUE DESTINAR PARA EFECTUAR LA AUDITORÍA.  L OS CRITERIOS DE AUDITORÍA.  E L ALCANCE, SI VA A SER GLOBAL O PARCIAL.  L A FRECUENCIA DE REALIZACIÓN DE LAS AUDITORÍAS.  L OS MÉTODOS QUE SE VAN A UTILIZAR PARA HACER AUDITORÍAS.

57  L A DIRECCIÓN DEBE REVISAR EL SGSI DE MANERA PERIÓDICA PARA GARANTIZAR LA CONVENIENCIA, ADECUACIÓN Y EFICACIA CONTINUAS DEL SISTEMA. E STE PROCESO NO DEBERÍA SER UN EJERCICIO EJECUTADO ÚNICAMENTE PARA CUMPLIR LOS REQUISITOS DE LA NORMA Y DE LOS AUDITORES. S INO QUE DEBERÍA SER UNA PARTE INTEGRAL DEL PROCESO DE GESTIÓN DEL NEGOCIO DE LA ORGANIZACIÓN.

58  R ESULTADOS DE LAS AUDITORÍAS Y REVISIONES DEL SGSI.  C OMENTARIOS DE LAS PARTES INTERESADAS.  T ÉCNICAS, PRODUCTOS O PROCEDIMIENTOS QUE PODRÍAN SER EMPLEADOS POR LA ORGANIZACIÓN PARA MEJORAR EL FUNCIONAMIENTO Y LA EFECTIVIDAD DEL SGSI.  E STADO DE LAS ACCIONES PREVENTIVAS Y CORRECTIVAS.  V ULNERABILIDADES O AMENAZAS QUE NO SE HAN TRATADO CORRECTAMENTE.  R ESULTADO DE MÉTRICAS DE EFECTIVIDAD.  A CCIONES DE SEGUIMIENTO DE ANTERIORES REVISIONES POR LA DIRECCIÓN.  R ECOMENDACIONES PARA LA MEJORA.  C UALQUIER CAMBIO QUE PUDIERA AFECTAR AL SGSI.

59  I DENTIFICACIÓN DE ACCIONES PARA MEJORAR LA EFECTIVIDAD DEL SGSI.  A CTUALIZACIÓN DE LA EVALUACIÓN Y LA GESTIÓN DE RIESGOS.  M ODIFICACIÓN DE LOS PROCEDIMIENTOS Y CONTROLES QUE AFECTAN A LA SEGURIDAD DE LA INFORMACIÓN PARA AJUSTARSE A INCIDENTES O CAMBIOS.  R EALIZACIÓN DE MEJORAS EN LA MANERA DE MEDIR LA EFECTIVIDAD DE LOS CONTROLES.

60  A CTIVIDAD RECURRENTE PARA INCREMENTAR LA CAPACIDAD A LA HORA DE CUMPLIR LOS REQUISITOS.  P UNTO FUNDAMENTAL EN CUALQUIER SISTEMA DE GESTIÓN SEGÚN LAS NORMAS ISO POR LO QUE DEBE SER UN OBJETIVO PERMANENTE DE LA ORGANIZACIÓN.  L OS SISTEMAS DE GESTIÓN TENDRÁN POR TANTO QUE APOYAR ESTE PROCESO, QUE SE REALIMENTA A SÍ MISMO Y NUNCA TERMINA YA QUE SIEMPRE SE PUEDE MEJORAR ALGO.

61 L A M EJORA C ONTINUA ES UN PUNTO CLAVE PARA EL CORRECTO FUNCIONAMIENTO DE UN SGSI POR LO QUE DEBE SER UN OBJETIVO PERMANENTE DE LA ORGANIZACIÓN

62  P ARA QUE LA MEJORA CONTINUA SEA FACTIBLE ES INDISPENSABLE LA FORMACIÓN ACERCA DE CÓMO LLEVARLA A CABO.  E S NECESARIO FIJAR LOS OBJETIVOS Y ESTABLECER SISTEMAS DE MEDIDAS PARA COMPROBAR SU EFECTIVIDAD. S I UNA ORGANIZACIÓN TIENE COMO PRINCIPIO FUNDAMENTAL LA MEJORA CONTINUA, SE VERÁ REFORZADA SU VENTAJA A LA HORA DE COMPETIR A TRAVÉS DE UNA MEJOR ORGANIZACIÓN, LO QUE PERMITIRÁ UNA MAYOR FLEXIBILIDAD DE REACCIÓN ANTE LAS OPORTUNIDADES QUE SE LE PRESENTAN.

63  T AREA QUE SE EMPRENDE PARA CORREGIR UNA NO CONFORMIDAD SIGNIFICATIVA CON CUALQUIERA DE LOS REQUISITOS DEL SGSI.  S E APLICAN PARA EVITAR LA APARICIÓN DE FUTURAS NO CONFORMIDADES. A CCIONES ENCAMINADAS A ELIMINAR LA CAUSA DE UNA POSIBLE NO CONFORMIDAD.  S E DETERMINA LA POSIBLE FUENTE DE PROBLEMAS CON EL OBJETO DE ELIMINARLA. C ON ELLO SE EVITA TENER QUE SOLUCIONAR PROBLEMAS.

64  C ONTIENE 133 CONTROLES CONSIDERADOS COMO LAS MEJORES PRÁCTICAS EN SEGURIDAD DE LA INFORMACIÓN Y QUE SE DETALLAN EN LA N ORMA UNE- ISO/IEC27002.  A LO LARGO DE LA NORMA UNE-ISO/IEC 27001 SE HACE REFERENCIA A ESTE ANEXO COMO EL PUNTO DE PARTIDA PARA LA SELECCIÓN DE CONTROLES.

65  I NCIDENTE DE S EGURIDAD I NFORMÁTICA : UN EVENTO QUE ATENTE CONTRA LA C ONFIDENCIALIDAD, I NTEGRIDAD Y D ISPONIBILIDAD DE LA INFORMACIÓN Y LOS RECURSOS TECNOLÓGICOS.  I NCIDENTE DE S EGURIDAD DE LA I NFORMACIÓN : ACCESO, INTENTO DE ACCESO, USO, DIVULGACIÓN, MODIFICACIÓN O DESTRUCCIÓN NO AUTORIZADA DE INFORMACIÓN. UN IMPEDIMENTO EN LA OPERACIÓN NORMAL DE LAS REDES, SISTEMAS O RECURSOS INFORMÁTICOS O UNA VIOLACIÓN A LA P OLÍTICA DE S EGURIDAD DE LA I NFORMACIÓN.

66  P ARA RESPONDER A LOS INCIDENTES EN FORMA SISTEMÁTICA Y MINIMIZAR SU OCURRENCIA.  P ARA FACILITAR UNA RECUPERACIÓN RÁPIDA Y EFICIENTE DE LAS ACTIVIDADES MINIMIZANDO LA PÉRDIDA DE INFORMACIÓN Y LA INTERRUPCIÓN DE LOS SERVICIOS.  P ARA MEJORAR CONTINUAMENTE EL MARCO DE SEGURIDAD Y EL PROCESO DE TRATAMIENTO DE INCIDENTES.  P ARA MANEJAR CORRECTAMENTE LOS ASPECTOS LEGALES QUE PUDIERAN SURGIR DURANTE ESTE PROCESO.

67  R EGISTRAR LOS SÍNTOMAS DEL PROBLEMA Y LOS MENSAJES QUE APARECEN EN PANTALLA.  E STABLECER LAS MEDIDAS DE APLICACIÓN INMEDIATA ANTE LA PRESENCIA DE UNA ANOMALÍA.  A LERTAR INMEDIATAMENTE AL R ESPONSABLE DE S EGURIDAD DE LA I NFORMACIÓN O DEL A CTIVO DE QUE SE TRATE.  G ENERAR UN REPORTE DE INCIDENTE DE SEGURIDAD

68 D ENTRO DE LOS PELIGROS INFORMÁTICOS A LOS QUE NOS ENCONTRAMOS EXPUESTOS, EN EL ÁMBITO DE LA S EGURIDAD DE LA I NFORMACIÓN, SE ENCUENTRAN DOS GRANDES GRUPOS. 1.- E L PRIMERO DE ELLOS, TIENEN RELACIÓN DIRECTA CON LOS C OMPUTADORES : C ÓDIGO M ALICIOSOS – M ALWARE (V IRUS, TROYANOS, GUSANOS, ETC.). A MBOS TIPOS DE PELIGROS SON CONOCIDOS POR LOS LADRONES DE INFORMACIÓN Y POR ENDE, UTILIZADOS PARA COMPLETAR SUS PROPÓSITOS O EXPONER A NUESTRA O RGANIZACIÓN.

69  G USANOS : S E DIFERENCIAN DE LOS VIRUS EN QUE SE REPRODUCEN POR SÍ MISMOS. S ON AUTOCONTENIDOS Y NO NECESITAN DE OTRA APLICACIÓN PARA EXTENDERSE. E J : E L V IRUS M ELISSA ( QUE EN REALIDAD SE TRATABA DE UN GUSANO ) SE EXTENDIÓ A MÁS DE 100.000 USUARIOS EN UN PERIODO DE CORTO DE TIEMPO.  T ROYANOS : S ON PROGRAMAS QUE SE INTRODUCEN EN UN SISTEMA O RED BAJO LA APARIENCIA DE OTRO PROGRAMA.  B OMBAS L ÓGICAS : S ON PROGRAMAS O FRAGMENTOS DE CÓDIGO QUE SE EJECUTAN CUANDO SE PRODUCE CIERTO EVENTO PREDEFINIDO.

70 2. S EGUNDO, AQUELLOS QUE PASAN POR EL SER HUMANO :  I NGENIERÍA S OCIAL : P RÁCTICA DE OBTENER INFORMACIÓN CONFIDENCIAL A TRAVÉS DE LA MANIPULACIÓN DE USUARIOS LEGÍTIMOS. L A UTILIZAN LOS DELINCUENTES INFORMÁTICOS PARA OBTENER ACCESO O PRIVILEGIOS EN SISTEMAS DE INFORMACIÓN PARA REALIZAR ALGÚN ACTO QUE PERJUDIQUE O EXPONGA A LA PERSONA U ORGANISMO COMPROMETIDO A RIESGOS O ABUSOS.  H ACKING : I RRUPCIÓN ILEGAL A SISTEMAS COMPUTACIONALES CON FINES CRIMINALES.

71  H ACKTIVISMO : U TILIZACIÓN DE COMPUTADORAS, HERRAMIENTAS DIGITALES Y REDES DE INFORMÁTICA COMO UNA FORMA DE RENDIR PROTESTA CON FINES POLÍTICOS. I NCLUYEN DESFIGURACIONES DE WEB, REDIRECCIONES, ROBO DE INFORMACIÓN, SUSTITUCIONES VIRTUALES, ETC.  C RACKERS : A LGUIEN QUE VIOLA LA SEGURIDAD DE UN SISTEMA DE FORMA SIMILAR A UN HACKER, PERO DE MANERA ILEGAL Y CON DIFERENTES FINES.  E XPLOTACIÓN DEL S OFTWARE : S E REFIERE A LAS ATAQUES LANZADO CONTRA APLICACIONES O SERVICIOS : B ASES DE DATOS. C OMERCIO E LECTRÓNICO. S PYWARE ( MONITOREA LA ACTIVIDAD DEL USUARIO ). A PLICACIONES.

72  C REACIÓN DE UN COMITÉ DE SEGURIDAD INTERDISCIPLINARIO INCLUYENDO EL Á REA TI.  A SIGNACIÓN DE UN RESPONSABLE DE LA SEGURIDAD DE LA INFORMACIÓN (O FICIAL DE SEGURIDAD ).  A PROBACIÓN DEL DOCUMENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.  V ELAR POR EL CUMPLIMIENTO DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.  A SIGNACIÓN DE RESPONSABILIDADES ASOCIADAS AL TEMA DE LA SEGURIDAD DE LA INFORMACIÓN.

73  D EBE PERIÓDICAMENTE REVISAR EL ESTADO GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN.  R EVISAR Y MONITOREAR LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.  R EVISAR Y APROBAR LOS PROYECTOS DE SEGURIDAD DE LA INFORMACIÓN.  A PROBAR LAS MODIFICACIONES O NUEVAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN.  R EALIZAR OTRAS ACTIVIDADES DE ALTO NIVEL RELACIONADAS CON LA SEGURIDAD DE LA INFORMACIÓN.

74  R EALIZAR LAS ACTIVIDADES DE GESTIÓN DEL SGSI.  A DMINISTRAR Y GESTIONAR LAS CUENTAS DE USUARIOS Y LOS PRIVILEGIOS DE ACCESO.  A SEGURAR LA INTEGRIDAD DE LA INFORMACIÓN.  I NCLUIR EN LOS DESARROLLO FUTUROS LOS ASPECTOS DE S EGURIDAD  CONCIENTIZACIÓN DE USUARIOS INTERNOS Y EXTERNOS.  ANÁLISIS DE RIESGOS DE NEGOCIO Y TECNOLÓGICOS.  P LAN DE C ONTINUIDAD DEL N EGOCIO.

75  R ESPONSABLE O DUEÑO DEL ACTIVO DE I NFORMACIÓN.  C USTODIOS DE LOS ACTIVOS DE INFORMACIÓN DE LA O RGANIZACIÓN.  D EFINIR SI EL ACTIVO ESTA SUJETO A LEYES.  D EFINIR QUIENES TIENEN ACCESO A LA INFORMACIÓN.  I NFORMAR I NCIDENTES DE S EGURIDAD.  I MPLEMENTAR LAS MEDIDAS DE S EGURIDAD NECESARIAS.  T ODO EL P ERSONAL DE LA O RGANIZACIÓN.  C ONOCER Y COMPROMETE LA P OLÍTICA DE S EGURIDAD Y LOS PROCEDIMIENTOS QUE APLIQUEN.  L LEVAR A CABO SU TRABAJO ASEGURADO, NO AFECTAR LA S EGURIDAD DE LA I NFORMACIÓN.  C OMUNICAR I NCIDENTES DE S EGURIDAD.

76 A DQUIRIR A CTIVO C LASIFICAR A CTIVO (S ERVICIO T ÉCNICO ) R EVISAR I MPACTO I NCORPORAR A I NVENTARIO (SGSI) A NALIZA R IESGO R IESGO T OTAL ( SGSI) S ELECCIONAR C ONTROLES T RATAR A CTIVO (SGSI ) R IESGO R ESIDUAL D OCUMENTO DE A PLICABILIDAD (SGSI) S ERVICIO T ÉCNICO J EFE S EGURIDAD

77 D ETECTAR I NCIDENCIA I NFORMAR I NCIDENCIA (U SUARIO ) V ERIFICAR E VIDENCIAR T RASPASAR (J EFE SI) A NALIZAR S OLUCIONAR R ESPONDER ( D UEÑO ) A PLICAR S OLUCIÓN R EGISTRAR (D UEÑO ) C ERRAR I NCIDENCIA I NFORMA (J EFE SI) F UNCIONARIO J EFE S EGURIDAD D UEÑO A CTIVO J EFE S EGURIDAD

78 N ECESITA A CCESOS G ENERA S OLICITUD R EVISA Y APRUEBA S OLICITUD E NVÍA S OLICITUD A SGSI V ERIFICA A CCESOS A UTORIZA A CCESOS R EENVÍA S OLICITUD A SIGNA A CCESOS A CTUALIZA P LANILLA ACCESOS I NFORMA J EFE Á REA I NFORMA ESTADO S OLICITUD C IERRA EL P ROCES o F UNCIONARIO J EFE Á REA J EFE DE S EGURIDAD D UEÑO A CTIVO J EFE S EGURIDAD

79  R EGLAMENTO I NTERNO.  P OLÍTICAS DE S EGURIDAD DE LA I NFORMACIÓN.  M ANUAL DE P OLÍTICAS DE S EGURIDAD DE LA I NFORMACIÓN.  P ROCESAMIENTO Y C LASIFICACIÓN DE LA I NFORMACIÓN.  P ROCESO DE G ESTIÓN DE A CTIVOS.

80  ¿Q UÉ SON LOS A CTIVOS ?  ¿P OR QUÉ PROTEGEMOS LA I NFORMACIÓN ?  ¿C ONTRA QUE PROTEGEMOS LA I NFORMACIÓN ?  C OMPROMISOS DE LA G ERENCIA  F UNCIONES DEL C OMITÉ DE S EGURIDAD DE LA I NFORMACIÓN  F UNCIONES DEL J EFE DE S EGURIDAD DE LA I NFORMACIÓN  P OLÍTICA DEL S ISTEMA DE S EGURIDAD DE LA I NFORMACIÓN  O BJETIVOS DEL S ISTEMA DE S EGURIDAD DE LA I NFORMACIÓN  A LCANCE DEL S ISTEMA DE S EGURIDAD DE LA I NFORMACIÓN  M ETODOLOGÍA DE G ESTIÓN DE R IESGO  G ESTIÓN DE I NCIDENCIAS  P ROCESO DE S OLICITUD DE ACCESOS