Seguridad Informatica

Cuando hablamos de seguridad informatica, tenemos que hacernos unas preguntas basicas y primordiales;
QUE SE QUIERE PROTEGER?
QUE RIESGOS PUEDO SUFRIR?
DE QUE FORMA PUEDO PLANIFICAR O PREVENIR?
El crecimiento de la preocupacion por la seguridad y uso masivo de la internet, a llevado a popularizar la terminologia tecnica asociada a la criptografia.
De esta forma comienza a surgir un interrogante sobre, amenazas, riesgos,vulnerabilidad y ataque, dando paso a unos parametros importantes con los cuales resuelven estas dudas dentro de la organizacion.
los aspectos mas importantes serian la confidencialidad, integridad, disponibilidad y el no repudio.

NORMAS ISO

Organizacion Internacional de estandares. ISO
La Comision Electrotecnica Internacional. IEC

Para tener una publicacion de un estandar internacional del comite se requiere al menos la aprobacion del 75% de los organismos nacionales que emiten el voto; la cual
conforman ISO/IEC que es el comite tecnico evaluador.

ISO 17799


Antes de que empieze a surgir un estandar, primero se debe tener en cuenta por que la necesidad o la problematica a solucionar.
en el 17799, se encontraron los stes puntos a desaarrollar.
1. Diferentes criterios para evaluar.
2. multitud de estandares.
3. al reconocer el 7799 como estandar intanacional, como el mas extendido y aceptado.
ISO 17799 es una norma dirigida aquellos responsables de iniciar, mantener y asegurar la informacion de una organizacion.
Esta norma tambien define a la informacion como un activo que posee valor para mantener la integridad y ver reflejado esto en el retorno de la utilidad de las inversione y oportunidades de negocio.
Siendo tambien una norma no certificable, pero reconoce (SGSI) Sistema de Gestion de la Seguridad de la Informacion, de la norma UNE 71502 certificable.



En el esquema anterior tiene una pequeña introduccion a la historia o evolucion de la norma.

CONTROLES
1. Politica de seguridad: dirige y da soporte a la gestion de la seguridad de la informacion
2. Aspectos organizativos para la seguridad: gestiona la seguridad de la infomacion dentro de la organizacion; mantiene la seguridad de los recursos de tratamiento de la informacion y de los activos de informacion de la organizacion que son accedidos por terceros y mantiene la seguridad de la informacion cuando la responsabilidad de su tratamiento se ha extrenalizado a otra organizacion.
3. Clasificacion y control de activos: mantiene una proteccion adecuada sobre los activos de la organizacion y asegura un nivel de proteccion adecuado a los activos de la informacion.
4. Seguridad ligada al personal: reduce el riesgo de lo errores humanos, robos, fraudes o mal uso de la instalcion y los servicios; asegura que los usuarios son conscientes de las amenazas y riesgo en el ambito de la seguridad de la informacion, y que estan preparados para sostener las politicas de seguridad de la organizacion y minimiza los daños provocados por incidencias de seguridad y por el mal funcionamiento controlandolo y aprendiendo de ellos.
5. Seguridad fisica y del entorno: evita el acceso no autorizado, daños e interferencias contra los locales y la informacion de la organizacion; evita perdidas, daños o comprometer los activos asi como la interrupcion de las actividades de la organizacion y previene las exposiciones a riesgos y a robos de la informcion y de recursos de tratamiento de informacion.
6. Gestion de comunicacion y operaciones: asegura la operacion correcta y segura de los recursos de tratamiento de la informacion; minimiza el riesgo de fallos en el sistema; protege la integridad del software y de la informacion; mantine la integridad y la disponibilidad de los servicios de tratamiento de infomacion y de comunicacion; asegura la salvaguarda de la informacion en las redes y la proteccion de su infraestructura de apoyo; evita daño a los activo e interrupciones de actividades de la organizacion y previene la perdida, modificacion o mal uso de la informacion intercambiada entre organizaciones.
7. Control de acceso: controla los accesos a la informacion; evita acceso no autorizado a los sistemas de informacion; proteje los servicios en red; evita acceso no autorizado a ordenadores; evita el acceso no autorizado a la infomacin contenida en el sistema; detecta actividades no autorizadas y garantiza la seguridad de la informacion cuando se usan dispositivos de informacion movil o teletrabajo.
8. Desarrollo y mantenimiento de sistema: asegura que la seguridad esta incluida dentro de los sistemas de informcion; evita perdidas, modificaiones o mal uso de los datos de usuario en las aplicaciones; protege la confidencialida, integridad y autenticidad de la informacion; asegura que los proyectos de Tecnologias de la Informacion y las actividades complementarias son llevadas a cabo de una forma segura y mantiene la seguridad del software y la informacion de la aplicacion del sistema.
9. Gestion de continuidad del negocio: reacciona a la interrupcion de actividades del negocio y protege sus procesos critiicos frente a grandes fallos o desastres.
10. Conformidad con la legislacion: evita el incumplimiento de cualquier ley, estatuto, regulacion u obligacion contractual y de cualquier requerimiento de seguridad; garantiza la alineacion de los sistemas con la politica de seguridad de la organizacion y con la normativa derivada de la misma y maximiza la efectividad y minimiza la interferencia de o desde el proceso de auditoria del sistema.