Upload File

papersgsi

prev
next
out of 6
Download PaperSGSI

Upload: luis-miguel

Post on 09-Oct-2015

2 views

Category:

Documents


0 download

Report

TRANSCRIPT

Microsoft Word - SPLNPROC Author Instructions_Aug2014.doc

6 5 Proceso de implantacin de un Sistema de Gestin de Seguridad de la Informacin Luis Miguel Calua Daz11 Ingeniera de Sistemas, Universidad Nacional de Cajamarca, Cajamarca, Per [email protected]

Resumen. La gestin de la seguridad de la informacin es un factor cada vez ms determinante en la competitividad de las organizaciones. La gestin del riesgo y el aseguramiento de la informacin se apoyan en la aplicacin de normas internacionales como el estndar ISO/IEC 27001. La proteccin de los sistemas de informacin es un problema importante que enfrentan las organizaciones. La aplicacin de una poltica de seguridad se considera esencial para la gestin de la seguridad de los sistemas de informacin. La implementacin de una seguridad de xito poltica en una organizacin, sin embargo, no es una tarea sencilla y depende muchos factores. Este trabajo explora el proceso implantacin de una poltica de seguridad. La perspectiva empleado en este trabajo ilumina la naturaleza dinmica de la aplicacin de polticas de seguridad y da a luz contextual factores que afectan su implantacin exitosa.Palabras Clave: ISO/IEC 27001, Seguridad de la Informacin, Auditora de Seguridad.Introduccin Las organizaciones hoy en da dependen en gran medida de los sistemas de informacin basados en computadoras (IS) para una parte vital de su funcionamiento. Se comprender la informacin que es de ser almacenado, o de cualquier manera procesada por una organizacin, el hardware y el software que constituye la configuracin de los sistemas informticos, un contexto social sistema que est formado por las acciones y las relaciones entre los usuarios de SI, as como un conjunto de procedimientos que orientar las acciones de los usuarios [1]. Bajo esta perspectiva, IS no slo tienen una parte tcnica, sino tambin una social, dimensin. Ests son de gran importancia para las organizaciones a travs de una amplia gama de sectores econmicos. En consecuencia, su correcto funcionamiento y sin obstculos operacin es un tema crtico que ha atrado la atencin de ambos es la investigacin y la prctica. Informacin de gestin de la seguridad de sistemas es una corriente de las actividades de gestin que tienen como objetivo proteger a la SI y crear un marco en el que documento, el IS opera como se esperaba por la organizacin (Eloff y von Solms, 2000). Es gestin de la seguridad tiene como objetivo minimizar los riesgos que enfrentan los sistemas de informacin en su funcionamiento e incluye un nmero de diferentes fases: aplanningphase, animplementation fase, durante la cual los planes de seguridad se ponen a la accin y anassessmentorauditphase (Dhillon, 1997; Bjrck, 2001). Finalmente, el objetivo de desarrollar tareas seguridad proporcionan awarenessand securitytraining andeducationare tambin incluido en la seguridad es agenda de gestin (Trompeter y Eloff, 2001). La aplicacin de una poltica de seguridad IS es uno de los principales mecanismos empleados por la seguridad es gestin [2]. Una es la poltica de seguridad incluye la intenciones y prioridades con respecto a la proteccin de la SI, por lo general se hace referencia como la seguridad objetivos, junto con una descripcin general de los medios y mtodos para lograr estos objetivos [3]. La formulacin de una poltica de seguridad es una tarea multifactica de importancia crtica (Hone y Eloff, 2002a) y debe combinar tcnica y medidas organizativas que abordan la seguridad requisitos para proteger no slo a los componentes de la SI, sino tambin su funcionalidad global (Karyda et al., 2001). A pesar de que la implantacin y el uso de una poltica de seguridad es una prctica comn y que organizaciones dedican importantes recursos a las actividades de gestin de la seguridad, que es un lugar comn que demasiado a menudo la aplicacin de una poltica de seguridad no lograr sus metas [4]. La formulacin de una poltica de seguridad efectiva puede ser muy exigente y actividad complicada. Aunque la orientacin para la formulacin de una poltica de seguridad est ampliamente disponible (por ejemplo, normas de gestin de la seguridad de la informacin, mejor prcticas, etc), hay un fuerte escepticismo de tanto IS investigadores de seguridad y profesionales hacia el uso y la eficacia de la seguridad polticas (Hone y Eloff, 2002b). Una variedad de razones y explicaciones se han propuesto para explicar la falta de eficacia en el uso de IS polticas de seguridad, incluyendo que los controles de seguridad menudo constituyen una "barrera para el progreso" y que polticas de seguridad son muy propensos a ser eludidas por los empleados en su esfuerzo para llevar a cabo de manera eficiente sus tareas (Wood, 2000). Otras explicaciones que se han propuesto reconocer el hecho de que, en Para ser eficaz, una poltica de seguridad debe IS cumplir con los requisitos especficos de seguridad y objetivos que dependen de la organizacin especfica y su entorno [5]. Considerando que los objetivos de seguridad de las entidades individuales (por ejemplo, servidores, estaciones de trabajo, archivos y redes) puede ser similar en diferentes organizaciones, sin embargo, no hay solucin de seguridad nica, ni una sola poltica de seguridad que puede adaptarse a todas las organizaciones (Whitman et al., 2001). Este trabajo intenta llenar este vaco mediante el estudio de la formulacin, implementacin y adopcin de las polticas de seguridad en relacin con el especfico contexto en el que tienen lugar. A continuacin, nuestros hallazgos y conclusiones generales derivadas desde ambos casos se resumen y, en el ltimo de seccin, consideraciones generales e indicaciones para la futura la investigacin se presentan.

Sistema de Gestin de Seguridad de la Informacin (SGSI)Conceptos Bsicos Relacionados con SGSIEn trminos generales, es natural hablar de varios conceptos bsicos tales como el riesgo, los activos, la amenaza, vulnerabilidad, impacto, sistema de informacin, la seguridad del sistema de informacin, evaluacin de riesgos. Y algunos core conceptos son como sigue: La Seguridad Para muchas empresas es clave la proteccin de la informacin en trminos de:Disponibilidad: la informacin debe estar disponible en forma oportuna cuando es requerida.Integridad: debe asegurarse la exactitud y completitud de la informacin y los mtodos de procesamiento.Confidencialidad: solo los usuarios autorizados pueden tener acceso a la informacin relevante Sistema de Informacin Es un concepto estricto de un sistema de informacin, que se refiere a la sistema basado en ordenador. Es un conjunto orgnico de instalaciones como los seres humanos, las normas, bases de datos, hardware y software, herramientas y entorno de ejecucin [6]. Se destaca la aplicacin de ordenador y tecnologa de la comunicacin en red. Dos niveles de significados se incluyen en el sistema de informacin. Seguridad del Sistema de Informacin El propsito de la informatizacin es para completar la operacin misin al sistema de informacin. Al mismo tiempo, el sistema de informacin se basa en su constitucin elementos e informacin en el proceso de consecucin de misin de la organizacin [7]. En una palabra, la informacin la seguridad del sistema se puede utilizar en elementos de sistema de informacin de coordinacin y lograr sistema de informacin de misin.

Uso de SGSILa informacin, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organizacin. La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos.Las organizaciones y sus sistemas de informacin estn expuestos a un nmero cada vez ms elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos crticos de informacin a diversas formas de fraude, espionaje, sabotaje o vandalismo [8]. Los virus informticos, el hacking o los ataques de denegacin de servicio son algunos ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organizacin o aquellos provocados accidentalmente por catstrofes naturales y fallos tcnicos.El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las condiciones variables del entorno, la proteccin adecuada de los objetivos de negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin de las organizaciones.El modelo de gestin de la seguridad debe contemplar unos procedimientos adecuados y la planificacin e implantacin de controles de seguridad basados en una evaluacin de riesgos y en una medicin de la eficacia de los mismos. [9]El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.

SGSI Y NormativasLos Sistemas de Gestin de la Seguridad de la Informacin estn asociados a la normativa ISO/IEC 27001, que es un estndar de seguridad internacionalmente reconocido y se enmarca dentro de una serie de estndares conocidos como la familia 27000.

Metodologa Implantacin de un SGSIPor qu implantar un SGSI?Un SGSI permite dotar y mantener seguridad, sobre la informacin que maneja la organizacin [10]. Si adems se certifica con el estndar ISO/IEC 27001, ofrece una ventaja competitiva.En esta seccin se describe la metodologa propuesta para la implantacin de un SGSI, concentrndonos en la etapa de planificacin del modelo PDCA (Plan Do Check Act), definido en la norma ISO/IEC 27001.

Ciclo DemingPara establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001:2005, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.

Fig. 1. Artifacts empowered by Artificial Intelligence (Source: LNCS 5640, p. 115)

Table 1. Relacin de elementos de control y las clases de proteccin a la norma ISO/IEC 17799:2001 (E). ISO/IEC 17799-2001(E)

1. Polticas de Seguridad

2. Organizacin de la Seguridad de la Informacin

3. Seguridad Fsica y Ambiental

4. Informtica y gestin de redes

5. Control de Acceso

6. Desarrollo y Mantenimiento de Sistemas

7. Gestin de la Continuidad del Negocio

8. Cumplimiento

9. Seguridad de los Recursos Humanos

10. Gestin de Activos y Control

References 1. L. W. Dai Zongkun, Information systems security, China: Publishing house of electronics industry, 2002.1.2. Ren-Wei, A: The certification of the information. Web. http://www.sciencedirect.com/science/article/pii/S0963868714000055 (2003). Accedido el 19 de Septiembre de 2014.3. security management systems4. Karida, M; Kiountouzis, E: The certification of the information. Web. http://www.sciencedirect.com/science/article/pii/ S0167404804002378 (2004). Accedido el 19 de Septiembre de 2014.5. Webb, J; Ahmad, A; Maynar, S: Model for information security risk management. Web. http://www.sciencedirect.com/science/article/pii/S0167404814000571 (2003). Accedido el 19 de Septiembre de 2014.6. Farm, K; Lin, S; Fung, A: A study on information security management system evaluationassets, threat and vulnerability. Web. http://www.sciencedirect.com/science/article/pii/ S1053482212000538 (2003). Accedido el 19 de Septiembre de 2014.7. Ozkan, S; Karabacak, B: Collaborative risk method for information security management practices. Web. http://www.sciencedirect.com/science/article/pii/ S0268401210001222 (2010). Accedido el 19 de Septiembre de 2014.8. Bhaskar, R; Kapoor, B: Information Technology Security Managemen. Web. http://www.sciencedirect.com/science/article/pii/B9780124166882000039 (2008). Accedido el 19 de Septiembre de 2014.9. Trcek, D: An integral framework for information systems security management. Web. http://www.sciencedirect.com/science/article/pii/ S0167404803004139 (2003). Accedido el 19 de Septiembre de 2014.10. Zhiwei, Y; Zhongyuan, J: The Evolution of Risk Evaluation for Information Systems Security. Web. http://www.sciencedirect.com/science/article/pii/S1876610212005760 (2003). Accedido el 19 de Septiembre de 2014.


I Am a Holocaust Denier and I Am Unafraid

Iron Mills Essay

Effective Parenting: Establishing Boundaries

Who Killed God

Disclaimer

European Colinization of Latin America

United States Constitution

How Computer Keyboards Work

Aesops Fables

Do you admire Leonardo da Vinci?

Tragic Heroes

Personality Development

Jan Van Eyck and the Man In A Red Turban

The Last Carnival I Ever Saw

Introduction to Six Sigma

The Best American Humorous Short Stories

Physical Modelling Synthesis Overview

The Dutch Republic In International Trade

Venture Capital

Plato - Symposium

Star Wars Prequel Trilogy Trivia (Episodes I-III)

Chapter-01

Improve the Color Quality Of Your Monitor

Fortran

Steve Jobs' Commencement Speech at Stanford

Keyboard Shortcuts for the Opera Browser for Mac OS X

Barclays1

Bodybuilding - The Rock Hard Challenge (Month 1 Training)

Life Is Just A Dream - Or Is It?

How Computer Monitors Work

Bhagavad Gita

xCDC14a

Rubik's cube solution

Chapter 23

Simple Functions in Haskell