Monday, February 06, 2012

Manual de seguridad de la información

Los siguientes conceptos han sido obtenidos de los manuales de de la Oficina federal alemana para la seguridad y las tecnologías de la información, abreviada como BSI (Bundesamt für Sicherheit in der Informationstechnik)

Definición y tareas de gestión de seguridad



  • Seguridad IT: Es el estado de un sistema de información donde es posible limitar los riesgos y amenazas un nivel controlable. Esto es gracias a la implementación de medidas adecuadas que se han tomado para proteger la infraestructura tecnológica y de información. 
  • Seguridad TIC: Seguridad para los sistemas IT y de comunicación
  • Seguridad de la Información: Protege la información contra pérdida, alteración y acceso no autorizado. Incluye los activos de información que se ha procesado y almacenado electrónicamente, además de la información verbal o escrita en documentos (SIHB).
  • Privacidad: Protección de datos personales (DSG)
  • Seguridad de datos: (GDG) depende del tipo de datos utilizados, el alcance y el propósito de uso de estos. Es necesario tener en cuenta la capacidad técnica y la viabilidad económica para garantizar  el uso correcto de los datos y su  protección en contra de perdida, ya sea por destrucción accidental o ilegal, por ejemplo que no sean accesibles a personas no autorizadas. 
  • Gestión de Seguridad: Es el proceso continuo para garantizar el cumplimiento de los objetivos de seguridad (Confidencialidad, integridad, disponibilidad) de los sistemas IT. Los posibles requisitos adicionales son poder determinar la traceabilidad, responsabilidad, autenticidad y anonimato. 
Las nuevas tecnologías traen grandes ventajas pero también generan nuevos riesgos y nuevas amenazas.

¿Como está la situación hoy en día? 

  • Demasiadas medidas
  • Responsabilidades poco claras
  • Normas que se contradicen
  • Medidas poco prácticas
la seguridad de la información es siempre una tareas de administración y persigue los siguientes objetivos y funciones:
  • Definir los objetivos y las políticas de seguridad de la información que debe seguir una Organización
  • Identificación y análisis de riesgos
  • Establecimiento de medidas de seguridad adecuadas
  • Control de la ejecución y la operación continua
  • Fomentar la concientización sobre la importancia de las aplicación de las medidas de seguridad dentro de la empresa.
  • Generar respuestas adecuadas a los posibles incidentes de seguridad

Manual de seguridad de información SIHB

Recopila las medidas de seguridad estandarizadas para cumplir necesidades normales de protección, partiendo de diferentes fuentes como: el  Manual de Protección de Línea Base del  BSI  y de las normas ISO/IEC 27002, ISO/IEC 27001 e ISO/IEC TR 13335. Sus requisitos son:

• Compatibilidad con otros sistemas de gestión de seguridad
Acomodación al Marco legal y jurídico con las Normas y leyes del país dende se implemente
• Las medidas genéricas sin detalles específicos para un sistema en particular
El sistema y la información poseen un Ciclo de vida el cual debe realimentarse, ajustarse y actualizarse, según la dinámica en que se mueva la organización.

Estructura del Manual

Capítulo 1: Introducción
Capítulo 2: Sistema de Gestión de Seguridad de la Información
Capítulo 3: Responsabilidad de Gestión
Capítulo 4: Análisis de Riesgos

Medidas SIHB conforme a ISO/IEC 27001 e ISO/IEC 27002

Capítulo 5: Política de Seguridad de la Información
Capítulo 6: Organización
Capítulo 7: los activos y la clasificación de la información
Capítulo 8: Seguridad del personal
Capítulo 9: La seguridad física y ambiental
Capítulo 10: Gestión de la seguridad en las comunicaciones y operaciones
Capítulo 11: Control de acceso, sistemas de autenticación
Capítulo 12: Seguridad en el desarrollo, operación y mantenimiento
Capítulo 13: Manejo de Incidentes
Capítulo 14: Recuperación de Desastres y de Continuidad del Negocio
Capítulo 15: Cumplimiento de Seguridad

Anexos incluidos en el SIHB
  • Escenarios de seguridad
    • Seguridad Industrial
    • Seguridad y la doctrina de defensa
    • Gobierno electrónico
  • Tecnologías de Seguridad
    • Medidas criptográficas
    • Tunelamiento
    • Virtualización
  • Patrones de contratos, compromisos, documentación
  • Normas
  • Documentos de referencia
  •  Tablas de referencia
  • Decisiones de la Junta Directiva TIC y leyes
  • Direcciones
Mas información detallada sobre SIHB aqui
 
Si tienes información adicional sobre este tema, tus comentarios o links de referencia son bienvenidos. 
Post a Comment