resumen

1
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma inmediata, íntegra, confidencial, trazable y auténtica. LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Aurelio Herrero Blasco 1 1 [email protected], Departamento de Organización de Empresas, Universidad Politécnica de Valencia CONCLUSIONES • La necesidad de seguridad afecta a todas las formas de información y sus soportes, y a cualquier método usado para transmitir conocimientos, datos e ideas. • El propósito de la seguridad de los sistemas de información consiste en mantener la continuidad de los procesos organizacionales que soportan dichos sistemas. Así mismo intenta minimizar, tanto el coste global de la ejecución de dichos procesos, como las pérdidas de los recursos asignados a su funcionamiento. •En general las amenazas más frecuentas no van a ser la de los famosos hackers que roban secretos de las empresas, es poco frecuente; sino que el peligro van a provenir de: accesos no autorizados a la información, pérdida de datos por negligencia o por virus, etc., serán las verdaderas amenazas para la seguridad de la información . INTRODUCCIÓN REFERENCIAS La gestión de la seguridad de la información debe atender a un objetivo: reducir el nivel de riesgo al que la organización se encuentra expuesta. Procedimiento que debemos seguir para poder reducir el riesgo de amenazas al sistema de información. Analizar los principales activos de información involucrados en los procesos de negocio y determinar su valor para la organización. Identificar las amenazas potenciales que pueden afectar a cada uno de estos activos inventariados. Estimar el impacto o daño que nos produciría cualquier incidente, tanto en coste directo: pérdida de producción, como en coste indirecto: sanciones, daños a la imagen, etc. Valorar el riesgo de los activos de la organización. Todo esto debe documentarse y concretarse en un Plan director de seguridad de los sistemas de información y podemos tomar como referencia la norma UNE ISO/IEC 17799 “Código de buenas prácticas en materia de seguridad de la información” La seguridad de la información es imprescindible para el éxito de la actividad empresarial. Los sistemas de información evolucionan muy rápidamente, aumenta su capacidad de gestión y también aumenta su capacidad de almacenamiento. Pero a la vez, también han ido aumentando las nuevas amenazas y vulnerabilidades para las organizaciones. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. Para poder gestionar la seguridad de la información, responderemos a estas cuestiones: ¿Qué características de la seguridad debemos establecer para gestionar adecuadamente la seguridad de la información? Disponibilidad, integridad, confidencialidad, autenticidad de los usuarios, autenticidad del origen de los datos, trazabilidad del servicio, trazabilidad de los datos, serán las claves. ¿De dónde provienen las amenazas y en qué consisten esas amenazas? Las amenazas del entorno y del propio sistema de información, van a ser analizadas. Posteriormente analizaremos los distintos niveles de seguridad: Seguridad Física, Seguridad Lógica y Seguridad Organizacional. Estableceremos los procedimientos que debemos seguir para reducir el riesgo de amenazas al sistema de información. Analizaremos las debilidades del sistema. Clasificaremos los tipos de amenazas del sistema; actuaremos sobre ellas. XV CONGRESO AECA Valladolid 23 -25 Septiembre 2009 LA NECESIDAD DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Paredes-Granados, G (2006) .Introducción a la Criptografía. Revista Digital Universitaria. Número 7 Volumen / de 10 de junio de 2006 DGSCA-UNAM Ramió-Aguirre, J (2006). Libro electrónico de seguridad informática y criptografía. Universidad Politécnica de Madrid. Madrid. Valverde, JR (2009). Definición de una política de seguridad. EMBnet/CBN. http://rediris.es/cert/doc/docu_rediris/poli seg.es,html Documento en línea, consulta [06.01.2009]. Palabras clave: Seguridad de la información. Gestión de la seguridad de la información. Políticas de seguridad de la organización. Auditoria de sistemas de gestión de la seguridad de la información. ¿CÓMO DEFINIR SEGURIDAD DE LA INFORMACIÓN? Para PAREDES-GRANADOS, G (2006), La seguridad de la Información es un “conjunto de reglas, planes y acciones que permiten asegurar la información manteniendo las propiedades de confidencialidad, integridad y disponibilidad de la misma.” Cuando hablamos de seguridad de los sistemas de información estamos hablando de la seguridad informática. ¿CÓMO DEFINIR LA SEGURIDAD INFORMÁTICA? Según RAMIO-AGUIRRE, J (2006), podemos definir la seguridad informática como “un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el que además participan personas. Concienciarnos de su importancia en el proceso será crítico”. Según PAREDES-GRANADOS, G (2006), la seguridad informática es el “conjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridad y la disponibilidad de los recursos de un sistema”.

Upload: silas-church

Post on 01-Jan-2016

24 views

Category:

Documents


1 download

DESCRIPTION

RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma inmediata, íntegra, confidencial, trazable y auténtica. CONCLUSIONES. LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: RESUMEN

RESUMENLa seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma inmediata, íntegra, confidencial, trazable y auténtica.

LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Aurelio Herrero Blasco1

[email protected], Departamento de Organización de Empresas, Universidad Politécnica de Valencia

CONCLUSIONES

• La necesidad de seguridad afecta a todas las formas de información y sus soportes, y a cualquier método usado para transmitir conocimientos, datos e ideas.

• El propósito de la seguridad de los sistemas de información consiste en mantener la continuidad de los procesos organizacionales que soportan dichos sistemas.

• Así mismo intenta minimizar, tanto el coste global de la ejecución de dichos procesos, como las pérdidas de los recursos asignados a su funcionamiento.

•En general las amenazas más frecuentas no van a ser la de los famosos hackers que roban secretos de las empresas, es poco frecuente; sino que el peligro van a provenir de:

accesos no autorizados a la información, pérdida de datos por negligencia o por virus, etc., serán las verdaderas amenazas para la seguridad de la información .

INTRODUCCIÓN

REFERENCIAS

La gestión de la seguridad de la información debe atender a un objetivo: reducir el nivel de riesgo al que la organización se encuentra expuesta.

Procedimiento que debemos seguir para poder reducir el riesgo de amenazas al sistema de información.

Analizar los principales activos de información involucrados en los procesos de negocio y determinar su valor para la organización.

Identificar las amenazas potenciales que pueden afectar a cada uno de estos activos inventariados.

Estimar el impacto o daño que nos produciría cualquier incidente, tanto en coste directo: pérdida de producción, como en coste indirecto: sanciones, daños a la imagen, etc.

Valorar el riesgo de los activos de la organización.

Todo esto debe documentarse y concretarse en un Plan director de seguridad de los sistemas de información y podemos tomar como referencia la norma UNE ISO/IEC 17799 “Código de buenas prácticas en materia de seguridad de la información”

La seguridad de la información es imprescindible para el éxito de la actividad empresarial. Los sistemas de información evolucionan muy rápidamente, aumenta su capacidad de gestión y también aumenta su capacidad de almacenamiento. Pero a la vez, también han ido aumentando las nuevas amenazas y vulnerabilidades para las organizaciones.

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

Para poder gestionar la seguridad de la información, responderemos a estas cuestiones:

¿Qué características de la seguridad debemos establecer para gestionar adecuadamente la seguridad de la información?

Disponibilidad, integridad, confidencialidad, autenticidad de los usuarios, autenticidad del origen de los datos, trazabilidad del servicio, trazabilidad de los datos, serán las claves.

¿De dónde provienen las amenazas y en qué consisten esas amenazas?

Las amenazas del entorno y del propio sistema de información, van a ser analizadas.

Posteriormente analizaremos los distintos niveles de seguridad:

Seguridad Física, Seguridad Lógica y Seguridad Organizacional.

Estableceremos los procedimientos que debemos seguir para reducir el riesgo de amenazas al sistema de información.

Analizaremos las debilidades del sistema.

Clasificaremos los tipos de amenazas del sistema; actuaremos sobre ellas.

XV CONGRESO AECA Valladolid 23 -25 Septiembre 2009

LA NECESIDAD DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN

Paredes-Granados, G (2006) .Introducción a la Criptografía. Revista Digital Universitaria. Número 7 Volumen / de 10 de junio de 2006 DGSCA-UNAM

Ramió-Aguirre, J (2006). Libro electrónico de seguridad informática y criptografía. Universidad Politécnica de Madrid. Madrid.

Valverde, JR (2009). Definición de una política de seguridad. EMBnet/CBN. http://rediris.es/cert/doc/docu_rediris/poliseg.es,html Documento en línea, consulta [06.01.2009].

Palabras clave:

Seguridad de la información. Gestión de la seguridad de la información. Políticas de seguridad de la organización. Auditoria de sistemas de gestión de la seguridad de la información.

¿CÓMO DEFINIR SEGURIDAD DE LA INFORMACIÓN?

Para PAREDES-GRANADOS, G (2006), La seguridad de la Información es un

“conjunto de reglas, planes y acciones que permiten asegurar la información

manteniendo las propiedades de confidencialidad, integridad y disponibilidad de la misma.”

Cuando hablamos de seguridad de los sistemas de información estamos

hablando de la seguridad informática.

¿CÓMO DEFINIR LA SEGURIDAD INFORMÁTICA?

Según RAMIO-AGUIRRE, J (2006), podemos definir la seguridad informática

como “un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas

informáticos ante cualquier amenaza, un proceso en el que además participan

personas. Concienciarnos de su importancia en el proceso será crítico”.

Según PAREDES-GRANADOS, G (2006), la seguridad informática es el

“conjunto de políticas y mecanismos que nos permiten garantizar la

confidencialidad, la integridad y la disponibilidad de los recursos de un

sistema”.