Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto.
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno.
PDCA
La ISO/IEC 27001 por lo tanto incorpora el típico Plan-Do-Check-Act (PDCA) que significa "Planificar-Hacer-Controlar-Actuar" siendo este un enfoque de mejora continua:
- Plan (planificar): es una fase de diseño del SGSI, realizando la evaluación de riesgos de seguridad de la información y la selección de controles adecuados .
- Do (hacer): es una fase que envuelve la implantación y operación de los controles.
- Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño (eficiencia y eficacia) del SGSI.
- Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI a máximo rendimiento.
SGSI es descrito por la ISO/IEC 27001 y ISO/IEC 27002 y relaciona los estándares publicados por la International Organization for Standardization (ISO) y la International Electrotechnical Commission (IEC). JJO también define normas estandarizadas de distintos SGSI.
Círculo de Deming.
Otros SGSI
- TLLJO, este SGSI permite un mayor control sobre el sistema a un precio moderadamente reducido
- SOGP es otro SGSI que compite en el mercado es el llamado "Information Security Forum's Standard of Good Practice" (SOGP). Este SGSI es más una best practice (buena práctica), basado en las experiencias del Foro de la seguridad de la información (ISF).
- ISM3: Information Security Management Maturity Model (ISM3) (conocida como ISM-cubed o ISM3) está construido en estándares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e información general de conceptos de seguridad de los gobiernos ISM3 puede ser usado como plantilla para un ISO 9001 compliant. Mientras que la ISO/IEC 27001 está basada en controles. ISM3 está basada en procesos e incluye métricas de proceso.
Actores que amenazan la seguridad
Un hacker es cualquier persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información.
Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos.
Un lamer Es una persona que alardea de pirata informático, cracker o hacker y solo intenta utilizar programas de FÁCIL manejo realizados por auténticos hackers.
Un copyhacker' es una persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero.
Un "bucanero" es un comerciante que depende exclusivamente de de la red para su actividad. Los "bucaneros" no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios.
Un phreaker se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los teléfonos móviles, han tenido que entrar también en el mundo de la informática y del procesamiento de datos.
Un hacker es cualquier persona con amplios conocimientos en tecnología, bien puede ser informática, electrónica o comunicaciones, mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programación y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos cifrados y las posibilidades de acceder a cualquier tipo de "información segura". Su formación y las habilidades que poseen les da una experticia mayor que les permite acceder a sistemas de información seguros, sin ser descubiertos, y también les da la posibilidad de difundir sus conocimientos para que las demás personas se enteren de cómo es que realmente funciona la tecnología y conozcan las debilidades de sus propios sistemas de información.
Un cracker, es aquella persona con comportamiento compulsivo, que alardea de su capacidad para reventar sistemas electrónicos e informáticos. Un cracker es un hábil conocedor de programación de Software y Hardware; diseña y fabrica programas de guerra y hardware para reventar software y comunicaciones como el teléfono, el correo electrónico o el control de otros computadores remotos.
Un lamer Es una persona que alardea de pirata informático, cracker o hacker y solo intenta utilizar programas de FÁCIL manejo realizados por auténticos hackers.
Un copyhacker' es una persona dedicada a falsificar y crackear hardware, específicamente en el sector de tarjetas inteligentes. Su estrategia radica en establecer amistad con los verdaderos Hackers, para copiarles los métodos de ruptura y después venderlos los bucaneros. Los copyhackers se interesan por poseer conocimientos de tecnología, son aficionados a las revistas técnicas y a leer todo lo que hay en la red. Su principal motivación es el dinero.
Un "bucanero" es un comerciante que depende exclusivamente de de la red para su actividad. Los "bucaneros" no poseen ningún tipo de formación en el área de los sistemas, si poseen un amplio conocimiento en área de los negocios.
Un phreaker se caracterizan por poseer vastos conocimientos en el área de telefonía terrestre y móvil, incluso más que los propios técnicos de las compañías telefónicas; recientemente con el auge de los teléfonos móviles, han tenido que entrar también en el mundo de la informática y del procesamiento de datos.
Un newbie o "novato de red" es un individuo que sin proponérselo tropieza con una página de hacking y descubre que en ella existen áreas de descarga de buenos programas de hackeo, baja todo lo que puede y empieza a trabajar con ellos.
Un script kiddie o skid kiddie, es un simple usuario de Internet, sin conocimientos sobre hackeo o crackeo que, aunque aficionado a estos tema, no los conoce en profundidad limitándose a recopilar información de la red y a buscar programas que luego ejecuta, infectando en algunos casos de virus a sus propios equipos.
Un tonto o descuidado, es un simple usuarios de la información, con o sin conocimientos sobre hackeo o crackeo que accidentalmente borra daña o modifica la información, ya sea en un mantenimiento de rutina o supervision.
Otros conceptos
Otros conceptos relacionados son:
Auditabilidad: Permitir la reconstrucción, revisión y análisis de la secuencia de eventos
Identificación: verificación de una persona o cosa; reconocimiento.
Autenticación: Proporcionar una prueba de identidad; puede ser algo que se sabe, que se es, se tiene o una combinación de todas.
Autorización: Lo que se permite cuando se ha otorgado acceso
No repudio: no se puede negar un evento o una transacción.
Seguridad en capas: La defensa a profundidad que contenga la inestabilidad
Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas
Métricas de Seguridad, Monitoreo: Medición de actividades de seguridad
Gobierno: proporcionar control y dirección a las actividades
Estrategia: los pasos que se requieren para alcanzar un objetivo
Arquitectura: el diseño de la estructura y las relaciones de sus elementos
Gerencia: Vigilar las actividades para garantizar que se alcancen los objetivos
Riesgo: la explotación de una vulnerabilidad por parte de una amenaza
Exposiciones: Áreas que son vulnerables a un impacto por parte de una amenaza
Vulnerabilidades: deficiencias que pueden ser explotadas por amenazas
Amenazas: Cualquier acción o evento que puede ocasionar consecuencias adversas
Riesgo residual: El riesgo que permanece después de que se han implementado contra medidas y controles
Impacto: los resultados y consecuencias de que se materialice un riesgo
Criticidad: La importancia que tiene un recurso para el negocio
Sensibilidad: el nivel de impacto que tendría una divulgación no autorizada
Análisis de impacto al negocio: evaluar los resultados y las consecuencias de la inestabilidad
Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo
Contra medidas: Cualquier acción o proceso que reduce la vulnerabilidad
Políticas: declaración de alto nivel sobre la intención y la dirección de la gerencia
Normas: Establecer los límites permisibles de acciones y procesos para cumplir con las políticas
Ataques: tipos y naturaleza de inestabilidad en la seguridad
Clasificación de datos: El proceso de determinar la sensibilidad y Criticidad de la información
Otros conceptos relacionados son:
Auditabilidad: Permitir la reconstrucción, revisión y análisis de la secuencia de eventos
Identificación: verificación de una persona o cosa; reconocimiento.
Autenticación: Proporcionar una prueba de identidad; puede ser algo que se sabe, que se es, se tiene o una combinación de todas.
Autorización: Lo que se permite cuando se ha otorgado acceso
No repudio: no se puede negar un evento o una transacción.
Seguridad en capas: La defensa a profundidad que contenga la inestabilidad
Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas
Métricas de Seguridad, Monitoreo: Medición de actividades de seguridad
Gobierno: proporcionar control y dirección a las actividades
Estrategia: los pasos que se requieren para alcanzar un objetivo
Arquitectura: el diseño de la estructura y las relaciones de sus elementos
Gerencia: Vigilar las actividades para garantizar que se alcancen los objetivos
Riesgo: la explotación de una vulnerabilidad por parte de una amenaza
Exposiciones: Áreas que son vulnerables a un impacto por parte de una amenaza
Vulnerabilidades: deficiencias que pueden ser explotadas por amenazas
Amenazas: Cualquier acción o evento que puede ocasionar consecuencias adversas
Riesgo residual: El riesgo que permanece después de que se han implementado contra medidas y controles
Impacto: los resultados y consecuencias de que se materialice un riesgo
Criticidad: La importancia que tiene un recurso para el negocio
Sensibilidad: el nivel de impacto que tendría una divulgación no autorizada
Análisis de impacto al negocio: evaluar los resultados y las consecuencias de la inestabilidad
Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo
Contra medidas: Cualquier acción o proceso que reduce la vulnerabilidad
Políticas: declaración de alto nivel sobre la intención y la dirección de la gerencia
Normas: Establecer los límites permisibles de acciones y procesos para cumplir con las políticas
Ataques: tipos y naturaleza de inestabilidad en la seguridad
Clasificación de datos: El proceso de determinar la sensibilidad y Criticidad de la información
Gobierno de la Seguridad de la Información
Un término a tomar en cuenta en el área de la seguridad de la información es su Gobierno dentro de alguna organización empezando por determinar los riesgos que le atañen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable mediante el establecimiento de un programa amplio y conciso en seguridad de la información y el uso efectivo de recursos cuya guía principal sean los objetivos del negocio, es decir, un programa que asegure una dirección estratégica enfocada a los objetivos de una organización y la protección de su información.
Tecnologías
Las principales tecnologías referentes a la seguridad de la información en informática son:
Cortafuegos
Administración de cuentas de usuarios
Detección y prevención de intrusos
Antivirus
Infraestructura de llave publica
Capas de Socket Segura (SSL)
Conexión única "Single Sign on- SSO"
Biométria
Cifrado
Cumplimiento de privacidad
Acceso remoto
Firma digital
Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT"
Redes Virtuales Privadas "VPNs"
Transferencia Electrónica Segura "SET"
Informática Forense
Recuperación de datos
Tecnologías de monitoreo
No hay comentarios.:
Publicar un comentario