CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

martes, 27 de enero de 2009

MODULO DE SEGURIDAD

NORMAS
Conjunto de reglas, especificaciones técnicas, y características que se ha elaborado y aprobado por consenso a través de un organismo reconocido internacionalmente.
NORMAS ISO
ISO (International Organization for Standardization), Organización Internacional para la Estandarización, nace después dela segunda guerra mundial , creada el 23 de febrero de 1947.
es la organizacion encargada del desarrollo de las normas internacionales de fabricación, comercio y comunicación para toddos los campos industriales.
teniendo como funcion principal la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional.
NORMAS BS-7799
Debido a la necesidad de circularizar la información que poseen las organizaciones era precisa la existencia de alguna normativa o estándar, para protegerse la informacion de las empresasante esta necesidad apareció el BS 7799 (estándar para la gestión de la seguridad de la información),
publicada enn 1995 por el instituto de estandarizacion britanico.
NORMAS ISO 17799
Nace en el 2000 la cual se basa de la norma Bs-7799, constatemente se aplica a organizaciones pequeñas, medianas y multinacionales. ISO 17799 es un conjunto de buenas prácticas en la seguridad de la información estableciendo o alimentando la seguridad en una organizacion, esta norma es una orientacion para realizar buenas prácticas .
la seguridad de la infomacion se define como la conservacion de :
confidencialidad: se basa en la seguridad que se le da a la informacion de la empresa, teniendo en cuenta que esta debe ser privada y respetada principalmente por quienes la conforman.
integridad:los datos de la empresa deben permanecer intactos, sin ninguna modificacion que no este autorizada.
disponibilidad :es necesario que los recursos de la empresa esten presenten cuando se necesiten.
no repudio:nadie puede negar las acciones que realice.

Esta norma se estructura en diez secciones en las que cada uno de ellas hace referencia a un aspecto de la seguridad para la organización:
  • Políticas de seguridad: El estándar define como obligatorias las políticas de seguridad documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.
  • Organización de activos y recursos: Para apoyar la administracion en la seguridad de la información dentro de la organización.
  • Clasificación y control de activos: El análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información.
  • Seguridad del personal:El objetivo de esta área del estándar es contar con los elementos necesarios para moderar el riesgo inherente a la interacción humana, es decir, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.
  • Seguridad ambiental y física: Identificar los perímetros de seguridad, de forma que puedan establecersen controles en el manejo de equipos, transferencia de información y control de los accesos a las diferentes áreas con base en el tipo de seguridad establecida.
  • Comunicaciones y administración de operaciones: Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados,van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
  • Control de acceso: Habilitar los mecanismos que permitan monitorear el acceso a los activos de información,como por ejemplo :los procedimientos de administración de usuarios, definición de responsabilidades, etc.
  • Sistemas de desarrollo y mantenimiento: La organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.
  • Administración de continuidad del negocio: Para oponerse a las interrupciones de las actividades del negocio y proteger procesos críticos del negocio contra los efectos causados por fallas mayores o desastres.
  • Auditoria: Para evitar infracciones a las leyes criminales y civiles establecidas, obligaciones regulatorias o contractuales, y cualquier otro requisito de seguridad.

NORMAS ISO 27000

ISO 27000 es una familia de estándares internacionales, que propone requerimientos de sistemas de gestión de seguridad de la información, gestión de riesgo, métricas y medidas, guías de implantación, vocabulario y mejora continua.

COMPARACION ENTRE ISO 17799 Y 27000

norma iso 27000 nos muestra como aplicar las normas que han sido propuestas en las normas iso iso 17799.

la norma iso 17799 no es certificable, tampoco ha diso diseñada para dicho caso.

La norma que si es certificable es ISO 27001 como tambien lo fue su antecedora BS 7799-2.

GLOSARIO

SGSI: sistema de gestion en la seguridad de la informacion, su proposito es la organización del diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información.

ISMS: sistema de administracion en la seguridad de la informacio, este es lo mismo que (SASI).

CERT: Es un centro de coordinacion de atencion a incidentes de seguridad informatica, el cual esta en contacto directo con los centros de seguridad de sus empresas afiliadas y esta en capacidad de coordinar el tratamiento y solucion de las solicitudes y denuncias sobre problemas de seguridad informatica que son recidas al correo electonico de la organizacion, cabe resaltar que esta organizacion es a nivel internacional.

CERT actualmente se estan efectuando trabajos en contra del robo de informacion privada (phishing), la cual es usada posteriormente para sustraer dinero de las cuentas bancarias de las victimas.

ISC2: con sede en Estados Unidos y con oficinas en Londres, Hong Kong y Tokio, es el mundial, sin fines de lucro líder en la educación y la certificación de profesionales de la seguridad de la información a lo largo de su carrera. Son reconocidos por Estándar de Oro y certificaciones de clase mundial los programas de educación. Ofrecemos sus servicios a los profesionales en más de 135 países.Es una red de poder certificada de casi 60.000 profesionales de la industria en todo el mundo.

CISSP: Es una certificacion que hace la organizacion ISC2, el termino CISSP es utilizado para hacer referencia a:(Certificado del Sistema de Información de Seguridad del cuadro orgánico). Este hace un examen que consiste en 250 preguntas de opción múltiple, que abarca temas tales como sistemas de control de acceso, Criptografía, Seguridad y Prácticas de Manejo , y es administrado por la Organización Internacional de Certificación de Sistemas de Información de Seguridad o Consorcio (ISC) 2. (ISC) 2 CISSP promueve el examen como una ayuda para la evaluación de la información personal que realiza funciones de seguridad.

SANS: Esta organizacion ofrece informacion, capacitacion, certificación e investigacion en la seguridad de la informacion.Esta es a nivel internacional.

SEGURIDAD INFORMATICA

Hoy en día las técnicas de espionaje se han perfeccionado tanto que cualquier medio puede ser portador de un código maligno que amenace nuestra privacidad, desde recibir un e-mail hasta recibir ataques premeditados son amenazas que ponen a prueba nuestra capacidad de respuesta ante la peor situación.

consiste en asegurar que los recursos del sistema (información) de una organización para que sean utilizados de la manera que la empresa lo decide, aparte de permitir el acceso a la información contenida permite que su modificación sólo sea posible por las persona que tiene autorización de hacerlo.
La seguridad es un estado de cualquier tipo de información (informático o no) que nos indica que ese sistema está libre de peligros, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para que un sistema sea seguro se necesita de cuatro factores:

  • Confidencialidad
  • Integridad
  • Disponibilidad
  • No repudio

NECESIDAD DE LA SEGURIDAD INFORMATICA

  • Para obtener privacidad de la informacion que contiene la organizacion.
  • Por la existencia de personas ajenas a la información, conocidos como hackers, que buscan tener acceso a la red empresarial para modificar, sustraer o borrar datos.

TERMINOLOGIA DE LA SEGURIDAD INFORMATICA

  • Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.
  • Amenaza: es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
  • Impacto: medir la consecuencia al materializarse una amenaza
  • Riesgo: posibilidad de que se produzca un impacto determinado en un Activo o en toda la Organización.
  • Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.
  • Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
  • Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

LINK ,ESTUDIOS RELACIONADOS CON LA SEGURIDAD INFORMATICA

http://www.criptored.upm.es/paginas/docencia.htm

1 comentarios:

Alexis Palta dijo...

Hola nena Mucho gusto mi nombre es Alexis Palta, Me gusta mucho trabajar sobre sistemas de información, te cuento que ese es mi tema de investigación y pues el favor que necesito es: si tu tienes la norma Standard - 7799 o si por casualidad tienes una mas actualizada porfavor me puedes enviar un mensaje al correo djalexis_24@hotmail.com o al alexispalta@misena.edu.co
Le agradezco su colaboracion y espero una pronta respuesta...