domingo, 31 de mayo de 2015

2.5 Análisis de riesgo dentro del SGSI


Es habitual, dada todavía la poca experiencia que existe en empresas sobre la seguridad que el análisis de riesgos lo realice la consultora externa que apoya en el proceso de implantación. Sin embargo, es muy importante que la empresa se involucre en esta actividad y entienda cómo se ha realizado este análisis. Sobre todo porque en el segundo ciclo del SGSI, se debe revisar éste análisis por si han habido cambios. Por hacer un simil que se entienda, el análisis de riesgos es como la visita al doctor para que nos identifique una enfermedad. Se realizan una serie de actividades como son: identificación de activos, identificación de amenazas, estimación de impactos y vulnerabilidades y con todo ello ya se puede calcular el riesgo.

Una vez identificados todos los activos de información comprendidos en el alcance, utilizados la metodología de las elipses, se procede el SGSI, siguiendo las pautas del estándar ISO 27001:2005 en su sección 4.2.1 En esencia lo que se exige es efectuar de manera disciplinada y sistemática un análisis y evaluación del riesgo de los activos identificados para determinar cuales son aquellos que deben ser protegidos para mitigar su riesgo, así como definir también cual es el riesgo residual (el riesgo con el cual la empresa esta dedicada a convivir)

SGSI son las siglas del Sistema de Gestión de Seguridad de la Información al que da lugar la norma ISO 27001.Se entiende por información el conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que esté guardada o sea transmitida, de su origen o de la fecha de elaboración.

En este área nueva, existe un gran interés estudiar y comprender mejor el concepto del riesgo. Yo tengo un especial cariño a esta actividad porque fue por la que me introduce en esto de la seguridad hace ya casi diez años probando la primera versión de MAGERIT. Desde entonces el enfoque y la madurez de esta actividad ha cambiado y mejorado mucho, tratando de huir de la subjetividad de las valoraciones para llegar a un proceso formal, metódico y racional de valoración del riesgo. 
Gracias a www.iso27000.es he podido dar con FAIR. Esta aproximación trata de ofrecer las bases fundamentales del proceso, una descripción de los conceptos a utilizar, así como un marco para la realización de análisis de riesgos.



http://www.iso27000.es/download/Evaluacion_Riesgo_iso27001.pdf


Publicadas por a la/s No hay comentarios.:

2.4 Factores e éxito para la implementación de SGSI

                               
Esta norma proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de dicho SGSI basándose en un enfoque de la seguridad como proceso y apoyado en el tradicional ciclo de Demming de mejora continua, PDCA (Plan – Do – Check – Act).

En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

 Mucho se habla últimamente de ciberseguridad y la verdad es que la cuestión debería empezar a preocupar. Cuando ves a tanto experto comentar que la situación está empeorando con titulares como "el mayor ataque ciberterrorista es cuestión de tiempo"  de Eugene Kaspersky hemos de suponer que las cosas deben estar muy feas. Tal como expresa el titulo del post quiero aportar mi visión de la situación partiendo de la realidad que me toca analizar día a día y teniendo en cuenta que quien escribe es un profesional de provincia que analiza la realidad de empresas que no están situadas dentro del Ibex 35. En cualquier caso al menos creo interesante comentar cómo se ven las cosas por estas tierras, aunque sean de segunda división.


La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.

Fundamentos:

Para garantizar que la seguridad de la información es gestionada correctamente se debe identificar inicialmente su ciclo de vida y los aspectos relevantes adoptados para garantizar su C-I-D:
·         Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

·         Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

·         Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

En base al conocimiento del ciclo de vida de cada información relevante se debe adoptar el uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.


Publicadas por a la/s No hay comentarios.:

2.3 Estándares para la gestión de seguridad en la información

           

¿Por qué normas/estándares de seguridad?

Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los recursos y datos que gestionan. − Deben demostrar que identifican y detectan los riesgos a los que está sometida y que adoptan medidas adecuadas y proporcionadas. 

Las normas son un modelo, un patrón, ejemplo o criterio a seguir. Una norma es una fórmula que tiene valor de regla y tiene por finalidad definir las características que debe poseer un objeto y los productos que han de tener una compatibilidad para ser usados a nivel internacional. Pongamos, por ejemplo, el problema que ocasiona a muchos usuarios los distintos modelos de enchufes que existen a escala internacional para poder acoplar pequeñas máquinas de uso personal: secadores de cabello, máquinas de afeitar, etc. cuando se viaja. La incompatibilidad repercute en muchos campos. La normalización de los productos es, pues, importante.

La finalidad principal de las normas ISO es orientar, coordinar, simplificar y unificar los usos para conseguir menores costes y efectividad.

 Marco Histórico:

 Los conceptos en que se basan las modernas normas de aseguramiento de calidad son los que utilizaban los artesanos en la antigüedad, es decir planificaban sus tareas, desarrollaban sus herramientas, obtenían sus materias primas, hacían los trabajos y verificaban sus resultados. 
La necesidad de utilizar normas de calidad se hace presente a mediados del siglo XIX cuando comienza a desarrollarse la producción en masa.
La evolución se produce muy rápidamente a partir de principios de siglo mereciendo destacarse los siguientes hitos:

 1900, Inspección como actividad. 
1930, Muestreo estadístico. 
1950, Prácticas de aseguramiento de calidad en empresas. 
1970, Idem a nivel nacional. 
1979, Normas para el aseguramiento de la calidad, BS 5750. 
1987, Basadas en la BS 5750 se editan las normas ISO serie 9000. 
1994, Se realiza una revisión de las normas base. 
2000, Se realiza la última revisión de las normas base

http://es.wikipedia.org/wiki/Organizaci%C3%B3n_Internacional_de_Normalizaci%C3%B3n 

http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf

Publicadas por a la/s No hay comentarios.:

2.2.1 Elaboración de un plan de seguridad

                                                  



Es un documento que debe establecer escenario y objetivos específicos que deriven de la asignación de tareas, responsabilidades y recursos necesarios para salvaguardar la vida de las personas y el patrimonio frente a los desastres de cualquier índole.

OBJETIVO
1. Lograr la máxima respuesta operativa de la población, eliminando o diminuyendo los posibles daños a la vida y la propiedad

2. Organizar de manera sistemática el trabajo de la población y autoridades para evitar duplicidad de funciones

3. Garantizar la atención de auxilio y atención a los damnificados en forma oportuna y eficaz

4. Lograr la sensibilidad de la población para lograr la participación y colaboración en todas las actividades de la Defensa Civil

Tipos de planes Plan de Operaciones de Emergencia Plan de Contingencia Plan de Seguridad en Defensa Civil Plan Logístico

Tipos de planes Plan de Operaciones de Emergencia Plan de Contingencia Plan de Seguridad en Defensa Civil Plan Logístico

http://www.ugel03.gob.pe/pdf/110418c.pdf


Publicadas por a la/s No hay comentarios.:

2.2 Administración de la Seguridad

Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.
La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.
La definición de los permisos de acceso requiere determinar cual será el nivel de seguridad necesario sobre los datos, por lo que es imprescindible clasificar la información, determinando el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados.

Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno.

Pero además de este compromiso debe existir una concientización por parte de la administración hacia el personal en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la organización.


Publicadas por a la/s No hay comentarios.:

2.1 Seguridad, calidad y gestion de servicios en las tics.

                         

Hoy por hoy la sociedad, la nuestra, se  caracterizada por el uso generalizado de las Tecnologías de la Información y la Comunicación (TIC) en todas las actividades humanas y por una fuerte tendencia a la mundialización económica y cultural (ver exige de todos los ciudadanos nuevas competencias personales, sociales y profesionales para poder afrontar los continuos cambios que imponen en todos los ámbitos los rápidos avances de la Ciencia y la nueva “economía global” .

El impacto que conlleva el nuevo marco globalizado del mundo actual y sus omnipresentes, imprescindibles y poderosas herramientas TIC, está induciendo una profunda revolución en todos los ámbitos sociales que afecta también, y muy especialmente, al mundo educativo. Estamos ante una nueva cultura que supone nuevas formas de ver y entender el mundo que nos rodea, que ofrece nuevos sistemas de comunicación interpersonal de alcance universal e informa de “todo”, que proporciona medios para viajar con rapidez a cualquier lugar e instrumentos tecnificados para realizar nuestros trabajos, y que presenta nuevos valores y normas de comportamiento. Obviamente todo ello tiene una fuerte repercusión en el ámbito educativo:

Ante la efervescente y cambiante sociedad actual, las necesidades de formación de los ciudadanos se prolongan más allá de los primeros estudios profesionalizadores y se extienden a lo largo de toda su vida. La formación continua resulta cada vez más imprescindible, tanto por las exigencias derivadas de los cambios en los entornos laborales como también para hacer frente a los cambios que se producen en los propios entornos domésticos y de ocio.

Crece la importancia de la educación informal a través de los medios de comunicación social y muy especialmente Internet. Aunque los conocimientos adquiridos ocasionalmente a través de estos medios muchas veces resultan desestructurados y poco precisos, la cantidad de tiempo que las personas les dedican y las infinitas posibilidades de acceso a atractivas informaciones multimedia que proporcionan (periódicos y revistas, películas, programas TV, informativos de actualidad, reportajes, todo tipo de páginas web, juegos…) hacen de ellos una de las principales fuentes de información y formación de los ciudadanos.

Todo se revisa, todo cambia: los objetivos y los programas de las instituciones formativas (que entre otras cosas incluye la alfabetización digital), las infraestructuras físicas y tecnológicas, la organización y gestión de los centros, los materiales formativos y las metodologías que se utilizan… Se va perfilando un nuevo modelo de escuela y de instituciones formativas en general(ver (ver · Aparecen nuevos entornos formativos en el ciberespacio, que liberan a los estudiantes y profesores de las exigencia de coincidencia en el tiempo y en el espacio, y facilitan así el acceso a la formación en cualquier circunstancia a lo largo de toda la vida. Los nuevos sistemas de formación on-line (aprovechando los recursos informáticos y el ciberespacio) mejoran con mucho las prestaciones de la enseñanza a distancia tradicional, que solamente disponía del correo, el teléfono y la radiotelevisión como canales de comunicación y difusión de los recursos didácticos audiovisuales y en papel 


Publicadas por a la/s No hay comentarios.:
Suscribirse a: Entradas (Atom)