Los siguientes conceptos han sido obtenidos de los manuales de de la
Oficina federal alemana para la seguridad y las tecnologías de la
información, abreviada como BSI (Bundesamt für Sicherheit in der
Informationstechnik)
Definición y tareas de gestión de seguridad
- Seguridad IT: Es el estado de un sistema de información donde es posible limitar los riesgos y amenazas un nivel controlable. Esto es gracias a la implementación de medidas adecuadas que se han tomado para proteger la infraestructura tecnológica y de información.
- Seguridad TIC: Seguridad para los sistemas IT y de comunicación
- Seguridad de la Información: Protege la información contra pérdida, alteración y acceso no autorizado. Incluye los activos de información que se ha procesado y almacenado electrónicamente, además de la información verbal o escrita en documentos (SIHB).
- Privacidad: Protección de datos personales (DSG)
- Seguridad de datos: (GDG) depende del tipo de datos utilizados, el alcance y el propósito de uso de estos. Es necesario tener en cuenta la capacidad técnica y la viabilidad económica para garantizar el uso correcto de los datos y su protección en contra de perdida, ya sea por destrucción accidental o ilegal, por ejemplo que no sean accesibles a personas no autorizadas.
- Gestión de Seguridad: Es el proceso continuo para garantizar el cumplimiento de los objetivos de seguridad (Confidencialidad, integridad, disponibilidad) de los sistemas IT. Los posibles requisitos adicionales son poder determinar la traceabilidad, responsabilidad, autenticidad y anonimato.
Las nuevas tecnologías traen grandes ventajas pero también generan nuevos riesgos y nuevas amenazas.
¿Como está la situación hoy en día?
- Demasiadas medidas
- Responsabilidades poco claras
- Normas que se contradicen
- Medidas poco prácticas
la seguridad de la información es siempre una tareas de administración y persigue los siguientes objetivos y funciones:
- Definir los objetivos y las políticas de seguridad de la información que debe seguir una Organización
- Identificación y análisis de riesgos
- Establecimiento de medidas de seguridad adecuadas
- Control de la ejecución y la operación continua
- Fomentar la concientización sobre la importancia de las aplicación de las medidas de seguridad dentro de la empresa.
- Generar respuestas adecuadas a los posibles incidentes de seguridad
Manual de seguridad de información SIHB
Recopila las medidas de seguridad estandarizadas para cumplir necesidades normales de protección, partiendo de diferentes fuentes como: el Manual de Protección de Línea Base del BSI y de las normas ISO/IEC 27002, ISO/IEC 27001 e ISO/IEC TR 13335. Sus requisitos son:
• Compatibilidad con otros sistemas de gestión de seguridad
• Acomodación al Marco legal y jurídico con las Normas y leyes del país dende se implemente
• Las medidas genéricas sin detalles específicos para un sistema en particular
• El sistema y la información poseen un Ciclo de vida el cual debe realimentarse, ajustarse y actualizarse, según la dinámica en que se mueva la organización.
• Acomodación al Marco legal y jurídico con las Normas y leyes del país dende se implemente
• Las medidas genéricas sin detalles específicos para un sistema en particular
• El sistema y la información poseen un Ciclo de vida el cual debe realimentarse, ajustarse y actualizarse, según la dinámica en que se mueva la organización.
Estructura del Manual
Capítulo 1: Introducción
Capítulo 2: Sistema de Gestión de Seguridad de la Información
Capítulo 3: Responsabilidad de Gestión
Capítulo 4: Análisis de Riesgos
Capítulo 1: Introducción
Capítulo 2: Sistema de Gestión de Seguridad de la Información
Capítulo 3: Responsabilidad de Gestión
Capítulo 4: Análisis de Riesgos
Medidas SIHB conforme a ISO/IEC 27001 e ISO/IEC 27002
Capítulo 5: Política de Seguridad de la Información
Capítulo 6: Organización
Capítulo 7: los activos y la clasificación de la información
Capítulo 8: Seguridad del personal
Capítulo 9: La seguridad física y ambiental
Capítulo 10: Gestión de la seguridad en las comunicaciones y operaciones
Capítulo 11: Control de acceso, sistemas de autenticación
Capítulo 12: Seguridad en el desarrollo, operación y mantenimiento
Capítulo 13: Manejo de Incidentes
Capítulo 14: Recuperación de Desastres y de Continuidad del Negocio
Capítulo 15: Cumplimiento de Seguridad
Anexos incluidos en el SIHB
- Escenarios de seguridad
- Seguridad Industrial
- Seguridad y la doctrina de defensa
- Gobierno electrónico
- Tecnologías de Seguridad
- Medidas criptográficas
- Tunelamiento
- Virtualización
- Patrones de contratos, compromisos, documentación
- Normas
- Documentos de referencia
- Tablas de referencia
- Decisiones de la Junta Directiva TIC y leyes
- Direcciones
Mas información detallada sobre SIHB aqui
1 comment:
Great stuff :P
Post a Comment