unidad 4: gestión de la seguridad
TRANSCRIPT
MINISTERIO DE RELACIONES EXTERIORES Y MOVILIDAD HUMANA
CURSO VIRTUAL DE SEGURIDAD DE LA
INFORMACIÓN.
DIRECCIÓN DE SEGURIDAD
INFORMÁTICA
UNIDAD 4: GESTIÓN DE LA SEGURIDAD
Sistema de Gestión de Seguridad de la Información.El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
¿Qué es un SGSI?SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.
En el siguiente contexto, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información:
• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
¿Para qué sirve un SGSI?La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
¿Para qué sirve un SGSI?La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.
El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
Esquema Gubernamental de Seguridad de la Información (EGSI).La Gestión de la Seguridad de la Información Gubernamental ha cobrado auge a partir de la promulgación del Acuerdo Ministerial 166 de la Secretaría Nacional de la Administración Pública (SNAP) del 19 de septiembre de 2013. El acuerdo fija las actividades principales que las entidades públicas deben cumplir para implementar el Esquema Gubernamental de Seguridad de la Información promulgado con el acuerdo, entre estas:• La aplicación obligatoria de la familia de Normas
Técnicas Ecuatorianas INEN ISO/IEC 27000 para gestión de la Seguridad de la Información por parte de las entidades de la APCDI.
• La implementación del EGSI en base al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de seguridad de la información en las entidades.
• El control, seguimiento y coordinación de la implantación del EGSI a cargo de la Secretaría Nacional de la Administración Pública.
• La revisión anual del EGSI conforme el cambio de la norma INEN ISO/IEC 27002 o cuando las circunstancias lo ameriten.
• El registro, documentación y reporte del cumplimiento del EGSI y la revisión por parte de las autoridades de la institución.
• La conformación al interior de cada institución de un Comité de Gestión de Seguridad de la Información y la designación de un Oficial de Seguridad de la Información y a un Responsable de Seguridad de Tecnologías de la Información (TI).
La implementación del EGSI en las entidades de la APCDI está siendo ejecutada y monitoreada por medio del sistema de Gobierno por Resultados (GPR) de la SNAP. En ese sistema, se ha creado un programa institucional que abarca a 180 entidades, las cuales ejecutan proyectos propios de implementación del EGSI alineados al mencionado programa.
Política de Seguridad de la Información.¿Qué es una política de seguridad informática?Una política de seguridad informática es establecer mecanismos y técnicas para mantener comunicaciones seguras, salvaguardar la información y los recursos de un equipo o de una red de datos de una organización, de daños intencionales o accidentales, destrucción y/o robo de la información, transferencia y/o modificación no autorizada de información, saturación de un sistema, virus y otros programas maliciosos, uso no autorizado de un sistema informático o hasta de intrusiones y/o ataques por simple diversión; por lo que para proteger la integridad de la información se lo debe hacer de forma oportuna, precisa, confiable y completa.
“Una política de seguridad es un enunciado formal de las reglas que los usuarios que acceden a los recursos de la red de una organización deben cumplir”. Se distinguen tres tipos:
• Política de seguridad, desarrollada por la función de seguridad e impulsada por las máximas autoridades.
• Políticas de seguridad de la información específicas desarrolladas e impulsadas por la función de seguridad de la información (Ej. Política de control de acceso).
• Políticas de otras áreas de la organización que pueden estar relacionadas con la seguridad de la información (Ej. Política de adquisición y desarrollo de software, Política de ventas).
Debe alinearse con los principios, objetivos, estrategia y disposición al riesgo de la organización.
Debe tener en cuenta el ambiente en el que funciona la organización. Ej. Regulaciones, infraestructura, etc.
Debe ser revisada por otras áreas. Ej. Área legal. Puede existir como un documento breve con guías de alto nivel y
enlaces a políticas más detalladas o como documento completo, con descripciones acabadas de todos los elementos relevantes.
Requisitos de una Política de Seguridad.• Es obligatoria.• Debe prever sanciones por incumplimiento.• Se focaliza en un resultado deseado y no en los medios a emplear
(Qué y no cómo).• Se concreta a través de construcciones de menor nivel (políticas
específicas, procedimientos).• Su ciclo de vida debe ser gestionado teniendo en cuenta las
etapas de desarrollo, difusión y mantenimiento.
Contenidos mínimos.• Propósito.• Alcance (qué abarca o incluye y qué no).• Roles y responsabilidades.• Consecuencias de incumplimientos.• Autoridades que aprueban el documento y
sus cambios.• Fechas: emisión, revisión y futuras revisiones.• Identificación: código, número.• Documentación de los cambios.
La Dirección de Seguridad Informática ha generado políticas de seguridad para el Ministerio de Relaciones Exteriores y Movilidad Humana, éstas políticas se las menciona en la figura siguiente:
Las políticas aprobadas se encuentran publicadas en la intranet institucional, en el a de tecnologías de la información.