ISO 17799
Páginas: 8 (1872 palabras)
Publicado: 27 de septiembre de 2013
Un acercamiento a las mejores prácticas
de seguridad de información
internacionalmente reconocidas en el
estándar ISO 17799:2005
Cómo pueden las organizaciones asegurar y cumplir las
regulaciones para preservar la confidencialidad, integridad y
disponibilidad de su información
Jaime Yory
Gerente General
Director de Operaciones Internacionales de MVA
Bogotá, Colombia
Septiembre 7 de2006
Agenda
Algunos conceptos básicos y terminología
La Seguridad
La seguridad de la información
¿Qué es la norma ISO 17799?
Estructura de la norma
Dominios & Objetivos de control
Ventajas
Conclusiones
Recomendaciones
Agenda de Presentaciones
Algunos Conceptos Básicos (1)
La Información
“La información es un activo que,
como otros activos importantes del
negocio, tiene valorpara la
organización
y
requiere
en
consecuencia
una
protección
adecuada.” ISO/IEC 17799
Algunos Conceptos Básicos (2)
Vulnerabilidad
Vulnerabilidad: Una debilidad (o
agujero) en la seguridad de la
organización
▪ Puntos y control de acceso (lógicos y
físicos)
▪ Falta de Mantenimiento
▪ Personal sin conocimiento
▪ Desactualización de los sistemas
críticos
▪ Una vulnerabilidad,por sí misma, no
produce daños. Es un condicionante para
que una amenaza afecte un activo
Algunos Conceptos Básicos (3)
Amenaza
Declaración intencionada de hacer un daño (Virus, acceso no
autorizado, robo)
Eventos naturales que pueden desencadenar daños materiales o
pérdidas inmateriales en sus activos. Las amenazas se pueden
materializar y transformarse en agresiones
RiesgoPotencial explotación de una vulnerabilidad de un activo de
información por una amenaza.
Se valora como una función del Impacto, Amenaza,
Vulnerabilidad y de la probabilidad de un ataque exitoso
Ataque
Acción intencional e injustificada (desde el punto de vista del
atacado). Intento por romper la seguridad de un sistema o de un
componente del sistema.
Algunos Conceptos Básicos (4)
AtacanteAlguien que deliberadamente intenta hacer que un sistema de
seguridad falle, encontrando y explotando una vulnerabilidad
Externos & Internos
Internos: Difíciles de detener porque la organización esta forzada a
confiar en ellos. Conocen cómo trabaja el sistema y cuáles son sus
debilidades.
“Quizás el error mas común de seguridad es gastar considerables
recursos combatiendo a los atacantesexternos ignorando las
amenazas internas”
“Hay que conocer los atacantes: Motivaciones, objetivos, expertise,
acceso, recursos, aversión al riesgo”
Safety & Security
• Prevención en contra de actos no intencionales Vs
intencionales por parte de terceros
La Seguridad
Es difícil de medir, la mayor parte del tiempo oímos de ella
cuando solo cuando falla
La medición de los resultadoses clave para justificar la
inversión ante la alta gerencia
La Seguridad es una sensación y una realidad. Sentirse seguro
no es realmente estar protegido.
El concepto de seguridad es altamente subjetivo, por tanto
cada uno determina su nivel de riesgo y lo que está dispuesto
a dar por las medidas que tome.
No hay un nivel correcto de seguridad, existe un juicio
personal sobre el nivel deriesgo aceptable y lo que constituye
una amenaza.
Seguridad de la Información (1)
El objetivo de la seguridad de
la información es proteger
adecuadamente este activo
para asegurar la continuidad
del negocio, minimizar los
daños a la organización y
maximizar el retorno de las
inversiones y las oportunidades de negocio.
Seguridad de la Información (2)
La seguridad de la informaciónse define como la
preservación de:
▪ Confidencialidad. Aseguramiento de que la información
es accesible sólo para aquellos autorizados a tener acceso
▪ Integridad. Garantía de la exactitud y totalidad de la
información y de los métodos de procesamiento.
▪ Disponibilidad. Aseguramiento de que los usuarios
autorizados tienen acceso cuando lo requieran a la
información y a los recursos...
de seguridad de información
internacionalmente reconocidas en el
estándar ISO 17799:2005
Cómo pueden las organizaciones asegurar y cumplir las
regulaciones para preservar la confidencialidad, integridad y
disponibilidad de su información
Jaime Yory
Gerente General
Director de Operaciones Internacionales de MVA
Bogotá, Colombia
Septiembre 7 de2006
Agenda
Algunos conceptos básicos y terminología
La Seguridad
La seguridad de la información
¿Qué es la norma ISO 17799?
Estructura de la norma
Dominios & Objetivos de control
Ventajas
Conclusiones
Recomendaciones
Agenda de Presentaciones
Algunos Conceptos Básicos (1)
La Información
“La información es un activo que,
como otros activos importantes del
negocio, tiene valorpara la
organización
y
requiere
en
consecuencia
una
protección
adecuada.” ISO/IEC 17799
Algunos Conceptos Básicos (2)
Vulnerabilidad
Vulnerabilidad: Una debilidad (o
agujero) en la seguridad de la
organización
▪ Puntos y control de acceso (lógicos y
físicos)
▪ Falta de Mantenimiento
▪ Personal sin conocimiento
▪ Desactualización de los sistemas
críticos
▪ Una vulnerabilidad,por sí misma, no
produce daños. Es un condicionante para
que una amenaza afecte un activo
Algunos Conceptos Básicos (3)
Amenaza
Declaración intencionada de hacer un daño (Virus, acceso no
autorizado, robo)
Eventos naturales que pueden desencadenar daños materiales o
pérdidas inmateriales en sus activos. Las amenazas se pueden
materializar y transformarse en agresiones
RiesgoPotencial explotación de una vulnerabilidad de un activo de
información por una amenaza.
Se valora como una función del Impacto, Amenaza,
Vulnerabilidad y de la probabilidad de un ataque exitoso
Ataque
Acción intencional e injustificada (desde el punto de vista del
atacado). Intento por romper la seguridad de un sistema o de un
componente del sistema.
Algunos Conceptos Básicos (4)
AtacanteAlguien que deliberadamente intenta hacer que un sistema de
seguridad falle, encontrando y explotando una vulnerabilidad
Externos & Internos
Internos: Difíciles de detener porque la organización esta forzada a
confiar en ellos. Conocen cómo trabaja el sistema y cuáles son sus
debilidades.
“Quizás el error mas común de seguridad es gastar considerables
recursos combatiendo a los atacantesexternos ignorando las
amenazas internas”
“Hay que conocer los atacantes: Motivaciones, objetivos, expertise,
acceso, recursos, aversión al riesgo”
Safety & Security
• Prevención en contra de actos no intencionales Vs
intencionales por parte de terceros
La Seguridad
Es difícil de medir, la mayor parte del tiempo oímos de ella
cuando solo cuando falla
La medición de los resultadoses clave para justificar la
inversión ante la alta gerencia
La Seguridad es una sensación y una realidad. Sentirse seguro
no es realmente estar protegido.
El concepto de seguridad es altamente subjetivo, por tanto
cada uno determina su nivel de riesgo y lo que está dispuesto
a dar por las medidas que tome.
No hay un nivel correcto de seguridad, existe un juicio
personal sobre el nivel deriesgo aceptable y lo que constituye
una amenaza.
Seguridad de la Información (1)
El objetivo de la seguridad de
la información es proteger
adecuadamente este activo
para asegurar la continuidad
del negocio, minimizar los
daños a la organización y
maximizar el retorno de las
inversiones y las oportunidades de negocio.
Seguridad de la Información (2)
La seguridad de la informaciónse define como la
preservación de:
▪ Confidencialidad. Aseguramiento de que la información
es accesible sólo para aquellos autorizados a tener acceso
▪ Integridad. Garantía de la exactitud y totalidad de la
información y de los métodos de procesamiento.
▪ Disponibilidad. Aseguramiento de que los usuarios
autorizados tienen acceso cuando lo requieran a la
información y a los recursos...
Leer documento completo
Regístrate para leer el documento completo.