MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',.P%"$'% '&t%'-a.'./MAPA MENTAL0 C1$o "$)a&ta% !& SGSI2Mxico D.F., 23 de Mayo de 20151MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',.2MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',.P%"$'% '&t%'-a.'./RESUMEN0 3ACIA UNA CULTURA DE SEGURIDADOCDE2Mxico D.F., 23 de Mayo de 20153MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',.Directrices de la OCDE para la seguridad desistemas y redes de informacin: Hacia unacultura de seguridadHacia una cultura de seguridadEstas Directrices pretendendar respuesta a unambiente de seguridad cada vez mscambiante, a travs de la promocin del desarrollo de una cultura de seguridad, esto es,centrndose en la seguridad del desarrollo de sistemas y redes de informacin, as como enla adopcin de nuevas formas de pensamiento y comportamiento en el uso e interconeindesistemasyredesdeinformacin! EstasDirectricesmarcanunaclararupturaconuntiempo en el "ue los aspectos de seguridad y el uso de redes y sistemas se consideraban confrecuenciacomoelementosaposteriori! #ossistemas, redesyserviciosdeinformacinafines, deben ser fiables y seguros, dado "ue los participantes son cada vez msdependientesdestos! $lounenfo"ue"uetomeencuentalosinteresesdetodoslosparticipantes y la naturaleza de los sistemas, redes y servicios afines puede proporcionaruna seguridad efectiva! #a promocin de una cultura de seguridad re"uerir tanto un liderazgo fuerte como unaparticipacin amplia para asegurar "ue se le otorgue un carcter de prioritario a laplanificacin y administracin de la seguridad, as como la comprensin de la necesidad deuna seguridad plena entre todos los participantes! #os aspectos de seguridad deberan serob%etodeinters yresponsabilidadatodos los niveles delaadministracinp&blicayempresa, as como para todos los participantes! Estas Directrices constituyen una base detraba%o fundamental 'acia una cultura de seguridad para toda la sociedad! Ello permitir"ue los participantes consideren la seguridad en el dise(o y uso de los sistemas y de lasredesdeinformacin!)simismo, estasDirectricesproponen"uetodoslosparticipantesadopten y promuevan una cultura de seguridad como modo de pensar, as como de evaluary actuar en los sistemas y redes de informacin! Propsitos#os propsitos de estas Directrices son* +romoverunaculturadeseguridadentretodoslosparticipantescomomediodeproteger los sistemas y redes de informacin! ,ncrementar la concienciacin sobre el riesgo de los sistemas y redes deinformacin- sobrelaspolticas, prcticas, medidasyprocedimientosdisponibles.MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',.parapoder afrontar estosriesgos- as comosobrelanecesidaddeadoptarlos ye%ecutarlos! +romover entre todos los participantes una confianza mayor en los sistemas y redesde informacin, s como en la forma de operar y de uso! /rear un marco general de referencia "ue ayude a los participantes en lacomprensin de los aspectos de seguridad y respeto de valores ticos en eldesarrolloye%ecucindepolticasco'erentes, as comodeprcticas, medidasyprocedimientos para la seguridad de sistemas y redes de informacin! +romover entretodoslos participantescuandoseaposible, lacooperacinyelintercambio de informacin sobre el desarrollo y e%ecucin de polticas deseguridad, as como de prcticas, medidas y procedimientos! +romover el conocimiento en materia de seguridad como un ob%etivo importante alograrentretodoslosparticipantesinvolucradosenel desarrolloye%ecucindenormas tcnicas! Principios#os siguientesnueveprincipios son complementarios entre s,y deben serinterpretadoscomountodo! 0stossondeintersgeneral paratodoslosparticipantesyatodoslosniveles, tantoenel mbitopolticocomotcnico! DeacuerdoconestasDirectrices, laresponsabilidad de los mismos vara de acuerdo con los papeles "ue desempe(en! 1odos severn beneficiados por la concienciacin, educacin, intercambio de informacin ycapacitacin "ue lleven a la adopcin de un me%or entendimiento de la seguridad y de lasprcticas re"ueridas! #os esfuerzos para fortalecer la seguridad de los sistemas y redes deinformacindebenser consistentes con los valores de una sociedad democrtica, enparticularconlanecesidaddecontarconflu%osdeinformacinlibresyabiertos, ylosprincipios bsicos de proteccin de la privacidad personal! Concienciacin* #os participantes debern ser conscientes de la necesidad decontar con sistemas y redes de informacin seguros, y tener conocimiento de losmedios para ampliar la seguridad! Responsabilidad* 1odos los participantes son responsables de la seguridad de los sistemas y redes de informacin! Respuesta* #osparticipantesdebenactuar demaneraadecuadaycon%untaparaprevenir, detectar y responder a incidentes "ue afecten la seguridad! 2MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',. tica* #os participantes deben respetar los intereses legtimos de terceros! Democracia:#a seguridad de los sistemas y redes de informacin debe sercompatible con los valores esenciales de una sociedad democrtica! Evaluacin del riesgo: #os participantes deben llevar a cabo evaluaciones de riesgo! Diseoyrealizacinde laseguridad:#os participantes deben incorporar laseguridad como un elemento esencial de los sistemas y redes de informacin Gestin de la eguridad: #os participantes deben adoptar una visin integral de la administracin de la seguridad! Reevaluacin:#os participantes debenrevisar yreevaluar laseguridaddesussistemas y redes de informacin, y realizar las modificaciones pertinentes sobre suspolticas, prcticas, medidas y procedimientos de seguridad! ConclusionesEstas Directrices contienen recomendaciones precisas dirigidas a las empresas,ya "ue fi%ala orientacin general y establece los principios fundamentales! 1ambin se alienta a lasempresas a cooperar con los poderes p&blicos en la elaboracin y aplicacin de polticas yregulaciones tomando en cuenta los puntos de vista de otros actores de la sociedad entre los"ue se incluyenla comunidadlocal ylos intereses de los empresarios! $e reconoceigualmente"uelospoderesp&blicosdebenser transparentesensusrelacionesconlasempresas y consultarlas sobre estas mismas cuestiones! 3MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',.P%"$'% '&t%'-a.'./R'4"#"1& 5' o# '#t6&5a%'# ISO 779892 'ISO:IEC17799 + ,o$)a%a,"1& ,o& o# ,o&t%o'#ISO 27002920052Mxico D.F., 23 de Mayo de 20154MAESTRA EN SEGURIDAD DE TECNOLOGA DE INFORMACIN.NORMATIVIDAD EN SEGURIDADLUIS FERNANDO MARTINEZPEREZNo. Cta. 15207902!"#.$a%t"&'()'%*$+.!&"t',.Controles de eguridad !"#$%%#%%'e!"(!EC)$$**imilitudes !" $+*, Di-erencias !" $+*,!" #$%%#%%' Esta normaproporciona recomendacionesde las me%ores prcticas en lagestin de seguridad de lainformacin!"(!EC)$$** +roporcionalos lineamientos deimplementacin de loscontroles/ontempla mecanismos deseguridad "ue pueden apoyarla implementacin de lossiguientes controles*,$5 4.678 2 est enfocada a losservicios y es muy especfico enel tipo de mecanismos a utilizar#os servicios "ue incluye son*1! )utenticacin! 2! /ontrol de acceso! 3! /onfidencialidad! .! ,ntegridad! 2! 9o repudio:estin de /omunicaciones y5peraciones contemplaintercambio de informacin,gestindelaseguridadde lared, seguimientoEsta norma contempla)utenticacindel origendelos datos* y )utenticacin deentidades pares, mecanismode integridad de datos,control de encaminamiento,;ic'ero de auditoras,$54.6782 no contempla nocontempla los siguientescontroles de seguridad de lainformacin "ue incluye ,$524