INTRODUCCIN A LA SEGURIDAD DE LA INFORMACIN

Facundo N. Oliva Cneo

1

Introduccin

LA INFORMACION ES UN BIEN VALIOSO. El valor de la informacin es tan importante como para determinar el poder relativo de un grupo de personas sobre otro. LA INFORMACION ES FRAGIL. La fragilidad de la informacin est dada, en general, por los medios que la sustentan, por los problemas tcnicos que presentan dichos medios y por su exposicin al alcance de personas que quieran daarla y/o robarla. En el caso particular de la informacin manejada por computadoras, su fragilidad est dada por las amenazas asociadas a las debilidades y vulnerabilidades de los medios de almacenamiento, procesamiento y transmisin, siendo las fallas tcnicas, las catstrofes, las impericias y los intrusos (como saboteadores y hackers), solo unos pocos ejemplos de dichas amenazas.
2

INFORMACIN

Informacin: Concepto
EXISTE EN MUCHAS FORMAS:
RESPECTO AL TIPO DE REPRESENTACION, puede estar dada en: o Nmeros, letras o smbolos en general, combinados segn las reglas de algn lenguaje de representacin, constituyendo as datos o mensajes inteligibles. o Imgenes, por ejemplo, fotografas, esquemas, planos, mapas cartogrficos, etc., o Sonidos, como la voz hablada, tonos, msica, etc., o Medios audiovisuales, por ejemplo, programas de televisin, pelculas, etc. RESPECTO AL SOPORTE, puede estar almacenada: o en papel, ya sea escrita, dibujada, impresa, etc., o en forma electrnica, magntica, o de forma de ser recuperada por medios pticos. RESPECTO AL MEDIO DE COMUNICACION, la informacin puede ser transmitida: o en forma coloquial, por ej. en una exposicin o conversacin (directa o telefnicamente) o por correo postal, o por medios electromagnticos en general, ya sea: Medios guiados: conductores elctricos formando lneas de transmisin, (guas de ondas, cables coaxiales, cables paralelos, cables de par trenzado, etc.), conductores pticos (las fibras pticas) Medios no guiados: informacin transmitida por OEM en el aire o vaco (i.e. redes wireless)

CUALQUIERA SEA LA FORMA QUE ADQUIERA O LOS MEDIOS POR LOS CULES SE 4 DISTRIBUYE O ALMACENA, SIEMPRE DEBE ESTAR PROTEGIDA

Informacin: Propiedades
La informacin en buen estado, goza de ciertas propiedades que deben ser preservadas para mantenerla as.
Las propiedades fundamentales de la informacin son: CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD La informacin puede tener tambin otras propiedades que sern de inters segn el caso. Ests son: AUTENTICIDAD CONTROL AUDITABILIDAD CONFIABILIDAD Adicionalmente pueden considerarse algunos otros aspectos, relacionados con los anteriores, pero que incorporan algunas consideraciones particulares. Estos son: PROTECCION A LA REPLICA NO REPUDIO 5 LEGALIDAD

Informacin: Propiedades
CONFIDENCIALIDAD (O PRIVACIDAD):
Propiedad de que esta se mantiene secreta y no revelada a entidades (individuos o procesos) no autorizados a conocerla. Al preservar dicha propiedad, se garantiza que la informacin es conocida y accedida slo por aquellas personas autorizadas a hacerlo.

INTEGRIDAD:
Propiedad de que esta permanece coherente, completa e inalterada, a menos, en este ltimo caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en forma pertinente y correcta. La preservacin de dicha propiedad garantiza la exactitud, coherencia y totalidad de la informacin y los mtodos de procesamiento. Integridad de un sistema: Propiedad de que los recursos del mismo permanecen inalterados, ya sean recursos de almacenamiento, procesamiento o distribucin. La integridad de un activo es la propiedad que salvaguarda su exactitud y totalidad.

DISPONIBILIDAD (U OPERATIVIDAD):
Propiedad de que esta se mantiene accesible y usable cada vez que una entidad autorizada a hacerlo lo requiera. La preservacin de dicha propiedad garantiza que la informacin estar siempre disponible para ser usada bajo demanda, ya sea para su consulta y/o procesamiento, por las personas o procesos autorizados. Disponibilidad de de un sistema: Propiedad de que los recursos del mismo se mantiene operativos, cada vez que una entidad autorizada los necesite. La preservacin de esta propiedad requiere que la informacin se mantenga correctamente almacenada, en los formatos preestablecidos para su recuperacin en forma satisfactoria, 6 con el hardware que la contiene y el software correspondiente funcionando normalmente.

Informacin: Propiedades
AUTENTICIDAD:
Propiedad que permite asociarla a una entidad (proceso o usuario). La preservacin de esta propiedad permite asegurar el origen de la informacin, validando a la entidad emisora de la misma, evitndose el acceso descontrolado a la informacin y a los recursos, y la suplantacin de identidades. La aplicacin mas evidente de la autenticacin es en el control de accesos. En general, el proceso de control de accesos consiste tpicamente de dos etapas: identificacin y autenticacin. En la identificacin, la entidad (proceso o usuario) dice quin es, y en la autenticacin, la entidad demuestra ser quin dice ser. Hay varios mtodos para autenticar y se abordarn en el captulo correspondiente. identificar y autenticar no es lo mismo. Autenticacin verifica Identificacin.

CONTROL:
Propiedad que permite asegurar que slo los usuarios autorizados pueden decidir quin accede a la informacin, cundo y cmo.

AUDITABILIDAD:
Propiedad que garantiza que todos los eventos de un sistema sean registrados para posteriores controles o auditorias.

CONFIABILIDAD:
Propiedad que garantiza que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones. Garantiza que la informacin es vlida y utilizable en tiempo, forma y distribucin. 7

Informacin: Propiedades
PROTECCION A LA REPLICA (O A LA DUPLICACION): Propiedad que garantiza que una transaccin slo puede realizarse una vez, a menos que se especifique lo contrario. La preservacin de dicha propiedad garantiza que si un intruso logra atrapar y copiar una transaccin con el propsito de reproducirla simulando ser el remitente original, no pueda completar satisfactoriamente dichas transacciones. NO REPUDIO: Propiedad que garantiza que cualquier entidad que envi o recibi informacin, no pueda alegar ante terceros, que no la envi o no la recibi. LEGALIDAD: Propiedad que garantiza que la informacin se ajusta al cumplimiento de las leyes, normas, reglamentaciones o 8 disposiciones a las que est sujeto la organizacin.

SEGURIDAD DE LA INFORMACIN

Seguridad de la Informacin: Concepto

Como cualquier otra temtica de la seguridad en tecnologa, consiste en la deteccin y control de riesgos.

EL BIEN PROTEGIDO ES LA INFORMACION

Trata de la proteccin de la informacin de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno sobre las inversiones y las oportunidades comerciales.
10

Seguridad de la Informacin: Concepto

Los pilares que en general hacen seguro a un sistema son la: CONFIDENCIALIDAD, INTEGRIDAD, Y DISPONIBILIDAD.

11

Seguridad de la Informacin: Concepto

Conservando las propiedades de confidencialidad, integridad y disponibilidad de los datos, se puede decir que estos se mantienen seguros.

12

Seguridad de la Informacin: Definicin

La SEGURIDAD DE LA INFORMACION trata de la preservacin de las propiedades de inters en cada caso, fundamentalmente: la confidencialidad, la integridad y la disponibilidad. Adems, la preservacin de la confiabilidad, autenticidad, control y auditabilidad es tpicamente necesario. Tambin el no-repudio, proteccin a la rplica y legalidad, pueden estar involucradas y ser necesario mantenerlas.
13

Seguridad de la informacin: Necesidad

Necesitan algn grado de seguridad de la informacin, personas y organizaciones que: - manejen informacin, - hagan uso de la tecnologa informtica y de comunicaciones, y - se interconecten a travs de redes y sistemas no confiables. Necesitan adems algn grado de conocimientos en seguridad informtica todas las personas que tiene alguna responsabilidad sobre menores con posibilidad de acceso a Internet.
14

Seguridad de la informacin: Necesidad

El grfico siguiente muestra algunos activos que vulnerados podran tener impacto, en distintos tipos de organizaciones.

15

Seguridad de la informacin: Datos de la Realidad

Estadstica elaborado por la NSA y el FBI donde se detallan las prdidas que tienen las organizaciones ante distintos incidentes ocurridos por la falta de seguridad de la informacin.

16

Lograr la Seguridad de la Informacin

La seguridad que puede lograrse solo por medios tcnicos es insuficiente: no tienen la posibilidad de brindar cobertura a la totalidad de aspectos a tener en cuenta, y an en los casos donde las soluciones puedan apoyarse en medios tcnicos, estos son insuficientes por si solos. Enfoque adecuado: los medios tcnicos deben encontrarse en el marco de un Sistema Integral de Gestin de Seguridad de la Informacin (SGSI), al cul complementan y respaldan, y sin el cual no son satisfactorios. Los medios tcnicos son la herramienta con que se implementan determinados procesos de seguridad informtica
17

AREAS DE LA SEGURIDAD DE LA INFORMACIN

18

AREAS DE LA SEGURIDAD DE LA INFORMACIN

Las normas, procedimientos y herramientas que se utilizan en seguridad de la informacin se pueden clasificar en las siguientes reas, de acuerdo con el tipo de funcin que cumplen:

Seguridad Organizativa (o Funcional o Administrativa) Seguridad Lgica (o Tcnica) Seguridad Fsica DATOS Seguridad Legal
SEGURIDAD LOGICA SEGURIDAD FISICA

19

AREAS DE LA SEGURIDAD DE LA INFORMACIN

Seguridad Organizativa (o Funcional o Administrativa): Asegura el cumplimiento de normas, estndares y procedimientos fsico-tcnicos. Seguridad Lgica (o Tcnica): Actan directa o indirectamente sobre la informacin procesada por los equipos. Seguridad Fsica: Actan directamente sobre la parte tangible. Seguridad Legal Evita las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad.
20

AREAS DE LA SEGURIDAD DE LA INFORMACIN SEGN ISO/IEC 27002:2005 (ex ISO/IEC 17799-2005)

En concordancia con la norma ISO/IEC 27002, la Seguridad de la Informacin puede pensarse formada por once dominios o clusulas. Cada clusula contiene un nmero de categoras o temas de seguridad principales, que suman 39 en total. As, los tpicos que se deben contemplar en una solucin efectiva y eficiente de Seguridad de la Informacin son 39.
21

ISO/IEC 27002:2005: Dominios

.

11- Cumplimiento

1- Poltica de Seguridad 2- Organizacin de la Seguridad

10- Gestin de la Cont. de las Actividades

9- Gestin de Incidentes

11 dominios 39 puntos
6- Gestin de Operac. y Comunic.

3- Gestin de Activos

8- Adquisicin, Desa. y Manten. de Sist. 7- Control de Accesos

4- Seguridad del RRHH 5- Seguridad Fsica y Ambiental

22

ISO/IEC 27002:2005: Dominios

5 Poltica de seguridad de la informacin 5.1 Poltica de seguridad de la informacin. Objetivo: Proporcionar a la gerencia la direccin y soporte para la seguridad de la informacin en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. 6 Organizacin de la seguridad de la informacin 6.1 Organizacin interna. Objetivo: Manejar la seguridad de la informacin dentro de la organizacin. 6.2 Grupos o personas externas. Objetivo: Mantener la seguridad de la informacin y los medios de procesamiento de informacin de la organizacin que son ingresados, procesados, comunicados a, o manejados por, grupos externos. 7 Gestin de activos 7.1 Responsabilidad por los activos. Objetivo: Lograr y mantener una apropiada proteccin de los activos organizacionales. 7.2 Clasificacin de la informacin. Objetivo: Asegurar que la informacin reciba un nivel de proteccin apropiado.
23

ISO/IEC 27002:2005: Dominios

8 Seguridad de recursos humanos 8.1 Antes del empleo. Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. 8.2 Durante el empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estn al tanto de las amenazas e inquietudes de la seguridad de la informacin, sus responsabilidades y obligaciones, y estn equipadas para apoyar la poltica de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano. 8.3 Terminacin o cambio de empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organizacin o cambien de empleo de una manera ordenada. 9 Seguridad fsica y ambiental 9.1 reas seguras. Objetivo: Evitar el acceso fsico no autorizado, dao e interferencia con la informacin y los locales de la organizacin. 9.2 Equipo de seguridad. Objetivo: Evitar prdida, dao, robo o compromiso de los 24 activos y la interrupcin de las actividades de la organizacin.

ISO/IEC 27002:2005: Dominios

10 Gestin de las comunicaciones y operaciones 10.1 Procedimientos y responsabilidades operacionales. Objetivo: Asegurar la operacin correcta y segura de los medios de procesamiento de la informacin. 10.2 Gestin de la entrega del servicio de terceros. Objetivo: Implementar y mantener el nivel apropiado de seguridad de la informacin y la entrega del servicio en lnea con los acuerdos de entrega de servicios de terceros. 10.3 Planeacin y aceptacin del sistema. Objetivo: Minimizar el riesgo de fallas en el sistema. 10.4 Proteccin contra el cdigo malicioso y mvil. Objetivo: Proteger la integridad del software y la integracin. 10.5 Respaldo o Back-Up. Objetivo: Mantener la integridad y disponibilidad de la informacin y los medios de procesamiento de informacin. 10.6 Gestin de seguridad de la red. Objetivo: Asegurar la proteccin de la informacin en redes y la proteccin de la infraestructura de soporte. 10.7 Gestin de medios. Objetivo: Evitar la divulgacin no-autorizada; modificacin, eliminacin o destruccin de activos; y la interrupcin de las actividades comerciales. 10.8 Intercambio de informacin. Objetivo: Mantener la seguridad en el intercambio de informacin y software dentro de la organizacin y con cualquier otra entidad externa. 10. 9 Servicios de comercio electrnico. Objetivo: Asegurar la seguridad de los servicios de comercio electrnico y su uso seguro. 25 10.10 Monitoreo. Objetivo: Detectar las actividades de procesamiento de informacin no autorizadas.

ISO/IEC 27002:2005: Dominios

11 Control del acceso 11.1 Requerimiento del negocio para el control del acceso. Objetivo: Controlar el acceso a la informacin. 11.2 Gestin de acceso del usuario. Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de informacin. 11.3 Responsabilidades del usuario. Objetivo: Evitar el acceso de usuarios no-autorizados, evitar poner en peligro la informacin y evitar el robo de informacin y los medios de procesamiento de la informacin. 11.4 Control de acceso a la red. Objetivo: Evitar el acceso no autorizado a los servicios de la red. 11.5 Control del acceso al sistema operativo. Objetivo: Evitar el acceso no autorizado a los sistemas operativos. 11.6 Control de acceso a la aplicacin y la informacin. Objetivo: Evitar el acceso no autorizado a la informacin mantenida en los sistemas de aplicacin. 26 11.7 Computacin y tele-trabajo mvil. Objetivo: Asegurar la seguridad de la informacin cuando se utiliza medios de computacin y tele-trabajo

ISO/IEC 27002:2005: Dominios

12 Adquisicin, desarrollo y mantenimiento de los sistemas de informacin 12.1 Requerimientos de seguridad de los sistemas de informacin. Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de informacin. 12.2 Procesamiento correcto en las aplicaciones. Objetivo: Prevenir errores, prdida, modificacin no autorizada o mal uso de la informacin en las aplicaciones. 12.3 Controles criptogrficos. Objetivo: Proteger la confidencialidad, autenticidad o integridad a travs de medios criptogrficos. 12.4 Seguridad de los archivos del sistema. Objetivo: Garantizar la seguridad de los archivos del sistema. 12.5 Seguridad en los procesos de desarrollo y soporte. Objetivo: Mantener la seguridad del software y la informacin del sistema de aplicacin. 12.6 Gestin de la Vulnerabilidad Tcnica. Objetivo: Reducir los riesgos resultantes de la explotacin de las vulnerabilidades tcnicas publicadas. 13 Gestin de un incidente en la seguridad de la informacin 13.1 Reporte de los eventos y debilidades de la seguridad de la informacin. Objetivo: Asegurar que los eventos y debilidades de la seguridad de la informacin asociados con los sistemas de informacin sean comunicados de una manera que permita que se realice una accin correctiva oportuna. 13.2 Gestin de los incidentes y mejoras en la seguridad de la informacin. Objetivo: 27 Asegurar que se aplique un enfoque consistente y efectivo a la gestin de los incidentes en la seguridad de la informacin.

ISO/IEC 27002:2005: Dominios

14 Gestin de la continuidad del negocio 14.1 Aspectos de la seguridad de la informacin de la gestin de la continuidad del negocio. Objetivo: Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales crticos de los efectos de fallas importantes o desastres en los sistemas de informacin y asegurar su reanudacin oportuna. 15 Cumplimiento 15.1 Cumplimiento de los requerimientos legales. Objetivo: Evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. 15.2 Cumplimiento de las polticas y estndares de seguridad, y cumplimiento tcnico. Objetivo: Asegurar el cumplimiento de los sistemas con las polticas y estndares de seguridad organizacional. 15.3 Consideraciones de auditoria de los sistemas de informacin. Objetivo: Maximizar la efectividad de y minimizar la interferencia 28 desde/hacia el proceso de auditoria del sistema de informacin.

29

AREAS DE LA SG. DE LA INFORM. Y DOMINIOS ISO

30

Normas ISO de Seguridad Informtica

Norma ISO-IEC 27002:2005 (17799:2005) Tecnologa de la Informacin Tcnicas de seguridad Cdigo para la prctica de la gestin de la seguridad de la informacin Norma ISO-IEC 27001:2005 Tecnologa de la Informacin Tcnicas de seguridad Sistema de Gestin de Seguridad de la Informacin Requerimientos
31

SISTEMA EN EL CONTEXTO DE LA SEGURIDAD DE LA INFORMACIN

32

ACTIVOS
ACTIVOS (ASSET) Un activo, es cualquier cosa que tenga valor para la organizacin. Existen muchos tipos de activos, incluyendo: a) Informacin: Toda representacin o comunicacin de conocimiento propio o de inters para la organizacin, en cualquier forma. b) Recursos de Informacin: Toda entidad que le brinda soporte al almacenamiento, procesamiento o transmisin de informacin (o a los datos a partir de los cules dicha informacin se puede construir). Son recursos de informacin las Bases de datos, archivos de datos, mensajes en una red de comunicaciones (sea de datos o de telefona), documentacin de los sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, acuerdos para contingencias, informacin archivada, contratos y acuerdos, informacin de investigaciones, rastros de auditoria, el cdigo de programacin de programas creados por la organizacin, etc. RECURSOS DE INFORMACION a) Activos o recursos software: Todo programa de computador creado o adquirido por la organizacin. Son recursos software los sistemas operativos y software del sistema de quipos en general (computadores, equipos de red, equipos de seguridad), herramientas de desarrollo y utilidades, software de aplicacin, suites ofimticas, etc. b) activos o recursos fsicos: equipo de cmputo, de comunicacin, medios removibles. Etc. c) servicios: servicios de computacin y comunicacin, servicios generales; por ejemplo, calefaccin, iluminacin, energa y aire acondicionado; d) personal, y sus calificaciones, capacidades y experiencia; e) intangibles, tales como la reputacin y la imagen de la organizacin.

El inventariado de activos ayuda a asegurar que se realice una proteccin efectiva de los mismos. El proceso de compilar un inventario de activos es un pre33 requisito importante de la gestin del riesgo.

SISTEMA DE INFORMACION
Es posible encontrar diversas formas de definir el concepto tradicional de sistema de informacin. La siguiente es una posible: Sistema de Informacin se refiere a un conjunto de Recursos de Tecnologas de la Informacin independientes pero organizados para el manejo de la informacin segn determinados procedimientos, tanto automatizados como manuales. Se entiende por manejo de la informacin la recopilacin, almacenamiento, procesamiento, mantenimiento, transmisin o difusin de informacin. Se entiende por Recursos de Tecnologa de la Informacin, todo recurso utilizado para el manejo de la informacin. Son recursos de tecnologa de la informacin (o recursos IT) los siguientes: Informacin, Recursos de Informacin, Recursos de software, Recursos de hardware, Recursos Humanos, Servicios 34

Sistema en Seguridad de la Informacin

En el contexto de la seguridad de la informacin, un sistema de informacin est formado por los activos y recursos de tecnologas de informacin, mas las personas, el entorno donde actan y todas las interacciones entre estos elementos: Personas (gerent., admin., usus, pers. de limp., etc.) Computadores (PCs, Servidores, Dispositivos de Red) Medios de Enlace (cables UTP, se. Wireless, etc.) Papeles Medios de almacenamiento digital Entorno Etc. Interacciones entre estos elementos

35

Sistema Informtico para la Seguridad Informtica

36

Ejemplo aspectos de la Seguridad Informtica: Seguridad en el Desarrollo

Inyeccin SQL: Autenticacin de Usuario en una DB

select * from tabla_usuarios where usuario= $user and clave= $pwd

37

Ejemplo aspectos de la Seguridad Informtica: Seguridad en el Desarrollo

Inyeccin SQL: Autenticacin de Usuario en una DB Ingresando cualquier cosa como clave, y la siguiente cadena en el usuario: administrador or 1=1 or 1=1

Se logra la siguiente sentencia, siempre valida: select * from tblUsers where user_id= administrador or 1=1 or 1=1 and passwd= cualquier_valor

38

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

39

EL CICLO DE VIDA DE LA SEGURIDAD DE LA INFORMACIN

El ciclo de vida de la seguridad de la informacin, consta de las siguientes etapas:

Identificacin del Sistema de Informacin de la organizacin Identificacin de los Requerimientos y Expectativas de Seguridad de la Informacin Realizar la Valoracin del Riesgo (risk assessment) Disear un Sistema de Gestin (o Administracin) de Seguridad de la Informacin (o SGSI, o ISMS por las siglas de Information Security Management System) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el ISMS, en forma continua.
40

Requerimientos de Seguridad
Es esencial que una organizacin identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos de seguridad: Una fuente deriva de evaluar los riesgos que enfrenta la organizacin, tomando en cuenta la estrategia general y los objetivos de la organizacin. Mediante la evaluacin de riesgos se identifican las amenazas a los activos, se evalan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. Otra fuente son los requerimientos legales, normativos, reglamentarios, estatuitarios y contractuales que debe cumplir la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios (proveedores), y su ambiente socio-cultural. Otra fuente es el conjunto especfico de principios, objetivos y requisitos comerciales para el procesamiento de la informacin que la 41 organizacin ha desarrollado para respaldar sus operaciones.

La evaluacin de riesgos
La evaluacin de riesgos es una consideracin sistemtica de los siguientes puntos: a) impacto potencial en los negocios de una falla de seguridad, teniendo en cuenta las potenciales consecuencias por una prdida de la confidencialidad, integridad o disponibilidad de la informacin y otros recursos; b) probabilidad de ocurrencia de dicha falla, tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados. La evaluacin del riesgo debiera incluir el enfoque sistemtico de calcular la magnitud de los riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluacin del riesgo). Los resultados de esta evaluacin ayudarn a: orientar y a determinar las prioridades y las acciones de gestin adecuadas para la administracin de los riesgos concernientes a seguridad de la informacin, y para la implementacin de los controles seleccionados a fin de brindar proteccin contra dichos riesgos. Los resultados de la evaluacin del riesgo debieran ayudar a: guiar y determinar las acciones de gestin apropiadas para la administracin de los riesgos concernientes a seguridad de la informacin, y establecer las prioridades para manejar los riesgos de la seguridad de la informacin y para implementar los controles seleccionados para protegerse contra estos riesgos.
42

SGSI
Planificar (Plan): Establecer el ISMS
Establecer las polticas, los objetivos, los procesos y procedimientos del ISMS pertinentes a la gestin de riesgos y la mejora de la seguridad de la informacin para entregar resultados de acuerdo con las polticas y objetivos generales de la organizacin.

Hacer (Do): Implementar y operar el ISMS

Implementar y operar las polticas, controles, procesos y procedimientos del ISMS.

Evaluar (Check): monitorear y examinar (revisar) el ISMS

Evaluar y, en cuando sea aplicable, medir el rendimiento de los procesos encontraste con las polticas y los objetivos del ISMS y la experiencia prctica, e informar los resultados a la gerencia para su examen.

Actualizar (Act): Mantener y mejorar el ISMS

Tomar acciones correctivas y preventivas, sobre la base de los resultados de la auditoria interna del ISMS y del examen de la gestin o de otra informacin relevante, para lograr la mejora continua del SGSI.
43

SGSI

44

SGSI

45

SGSI
.

46

SGSI
.

47

SGSI
.

48

Gestin de la Seguridad
. 2) ASEGURAR Cortafuegos Software fiable IPsec PKI

5) GESTIONAR y MEJORAR Administracin de recursos

1) POLITICA de SEGURIDAD

3) MONITORIZAR y REACCIONAR IDS

4) COMPROBAR Escaneo de vulnerabilidades

49

Modelo de Seguridad
.

50