SlideShare ist ein Scribd-Unternehmen logo

Introduccin a los conceptos de seguridad

H
Harold Morales
1 von 10
Downloaden Sie, um offline zu lesen
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Introducción a los conceptos de Seguridad de información Entendiendo los conceptos básicos de seguridad ¿0.1 Que es la seguridad de la información? La Seguridad de la información es el conjunto de estándares, procesos, procedimientos, estrategias, recursos informáticos, recursos educativos y recurso humano integrado para proveer toda la protección debida y requerida a la información y a los recursos informáticos de una empresa, institución o agencia gubernamental La información es un recurso o activo que, como otros recursos importantes del negocio, es esencial a una organización y a su operación y por consiguiente necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez más interconectado. Como resultado de esta ínter conectividad creciente, la información se expone ahora a un número ascendente y a una variedad más amplia de de amenazas y vulnerabilidades. La información puede existir en muchas formas. Puede imprimirse o puede escribirse en el papel, guardar electrónicamente, transmitirse por el correo o usando los medios electrónicos, puede ser mostrada en las películas, o hablada en la conversación. Cualquier forma que la información tome, o cualquier medio por donde sea compartida o guardada, siempre debe ser apropiadamente protegida. La seguridad de la información es la protección de información de una gama amplia de amenazas para asegurar la continuidad comercial, minimizar el riesgo comercial, y aumentar al máximo el retorno en las inversiones y las oportunidades de negocios. La seguridad de la información se logra llevando a cabo un conjunto conveniente de controles, incluyendo las políticas, los procesos, procedimientos, estructuras orgánicas y funciones del hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados, dónde sea necesario, para asegurar que se reúnen la seguridad específica y objetivos de negocio de la organización. Esto debe hacerse en conjunción con otros procesos de administración de negocios. ¿0.2 Por qué se necesita la seguridad de la información? La información y los procesos de apoyo, sistemas, y redes son uno de los recursos mas importantes del negocio. Definir, lograr, mantener y mejorar la seguridad de la información pueden ser esenciales para mantenerse en el borde competitivo, mantener un alto flujo del dinero en efectivo, tener rentabilidad, cumplimiento legal, y sostenimiento de la imagen comercial. Se enfrentan las organizaciones y sus sistemas de información y redes con las amenazas de seguridad de un amplio rango de fuentes, incluyendo fraude ayudado por computadora, espionaje, sabotaje, vandalismo, fuego o diluvio e inundaciones. Autor: Ingeniero Jaime Hernando Rubio Rincón página 1
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Las causas de daño como el código malévolo, penetración de computadoras, y ataques de negación del servicio han llegado a ser más comunes, más ambicioso, y mas sofisticados. La seguridad de la información y proteger las infraestructuras críticas del negocio es importante para ambos sectores público y de negocios del sector privado. En ambos sectores, la seguridad de la información funcionará como un habilitador, por ejemplo para lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. La interconexión de las redes privadas públicas y privadas y el compartir de recursos de información aumentan la dificultad de lograr el control de acceso. La tendencia a la informática distribuida también ha debilitado la efectividad del control central, especializado. No se han diseñado muchos sistemas de información seguros. La seguridad que puede lograrse a través de los medios técnicos es limitada, y debe apoyarse por una apropiada gestión apropiada y por los procedimientos. Identificando qué controles deben ser implementados requiere planificación cuidadosa y atención al detalle. La gestión de la seguridad de la información requiere, como un mínimo, participación por todos los empleados de la organización. También puede requerir la participación de los accionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas. Asesoría y Consejo de especialista de las organizaciones externas también puede necesitarse. 0.3 Cómo establecer los requerimientos de seguridad? Es esencial que una organización identifique sus requerimientos de seguridad. Hay tres fuentes principales de los requerimientos de seguridad. 1. una fuente se deriva de evaluar los riesgos de la organización, mientras se tienen en cuenta la estrategia de negocio global de la organización y sus objetivos. A través de una valoración de riesgo, se identifican amenazas a los recursos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial. 2. otra fuente es los requerimientos legales, estatutarios, reguladores y contractuales que la organización, sus socios comerciales, contratistas, y proveedores de servicio tienen que satisfacer, y el ambiente socio-cultural. 3. una fuente extensa es el conjunto particular de principios, objetivos y requerimientos comerciales para la información que se procesa que una organización ha desarrollado para apoyar sus funcionamientos. 0.4 Evaluando los riesgos de seguridad Los requerimientos de seguridad son identificados mediante una valoración metódica de riesgos de seguridad. El gasto en los controles se necesita probablemente equilibrar contra el daño comercial que puedan ser resultado de las fallas de seguridad. Los resultados de la valoración de riesgo ayudarán a guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgos de la seguridad de la Autor: Ingeniero Jaime Hernando Rubio Rincón página 2
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 información, y por llevar a cabo los controles seleccionados para protegerse contra cada uno de estos riesgos. La valoración de riesgo debe repetirse periódicamente para estar atentos a cualquier cambio que pudiera influir en los resultados de valoración del riesgo. . 0.5 Seleccionando Controles Una vez se han identificado requerimientos de seguridad y riesgos y las decisiones para el tratamiento de riesgos han sido tomadas, deben seleccionarse los controles apropiados e implementarlos para asegurar la mitigación de los riesgos a un nivel aceptable. Pueden seleccionarse los controles de esta norma o de otros juegos de controles, o pueden diseñarse nuevos controles apropiados para satisfacer las necesidades específicas. La selección de controles de seguridad depende en decisiones orgánicas basadas en el criterio para la aceptación de riesgo, la opciones en el tratamiento de riesgo, y el enfoque de gestión general de riesgo aplicado en la organización, y también debe estar sujeto regulaciones relevantes y a la legislación internacional y nacional. Algunos de los controles en esta norma pueden ser considerados como guías de los principios para la gestión de la seguridad de la información y aplicable para la mayoría de las organizaciones. Ellos se explican en más detalle debajo bajo del encabezado “el punto de partida de seguridad de la información.” Puede encontrarse más información sobre seleccionar controles y otras opciones de tratamiento de riesgo en la cláusula 4.2 “Tratando los riesgos de seguridad". 0.6 Punto de partida de seguridad de la información Varios controles pueden ser considerados como un buen punto de partida para llevar a cabo la protección de la información. Ellos o están basado en los requerimientos esenciales de tipo legislativo o se consideran ser una practica común para la seguridad de la información. Controles considerados esenciales a una organización desde un punto de vista del legislativo incluyen, (dependiendo de la legislación aplicable): a) protección de los datos y retiro de información personal b) protección de archivos de la organización c) los derechos de la propiedad intelectual Controles considerados como práctica común para la seguridad de la información incluyen: a) el documento de políticas de seguridad de la información b) la asignación de responsabilidades de seguridad de la información c) el conocimiento de seguridad de la información, educación, y entrenamiento d) el proceso correcto en las aplicaciones ; e) la gestión de vulnerabilidad técnica ; f) la gestión de continuidad del negocio ; Autor: Ingeniero Jaime Hernando Rubio Rincón página 3
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 g) la gestión de incidentes de seguridad de la información y mejoras Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los ambientes. Debe notarse que aunque todos los controles en esta norma son importantes y deben ser considerados, la relevancia de cualquier control debe determinarse a la luz de los riesgos específicos que una organización pudiera enfrentar. Aunque el enfoque anterior es considerado un punto de partida bueno, no reemplaza la selección de controles basado en una valoración de riesgo. 0.7 Factores críticos de éxito La experiencia ha mostrado que los factores siguientes son a menudo críticos a la aplicación exitosa de la seguridad de la información dentro de una organización: a) la política de seguridad de la información, la estrategia, objetivos, y actividades que reflejen los objetivos de negocios; b) un enfoque y una estructura para implementar, mantener, supervisar y mejorar la seguridad de la información que sea consistente con la cultura organizacional; c) el apoyo visible y comprometido de todos los niveles de gestión; d) una comprensión buena de los requerimientos de seguridad de la información, valoración de riesgo, y gestión del riesgo; e) el mercadeo eficaz de los conceptos de seguridad de la información a todos los gerentes, empleados, tercera partes para lograr el conocimiento; f) la distribución de guía en la política de seguridad de la información y normas a todos los gerentes, los empleados y terceras partes; g) la provisión financiera para consolidar las actividades de gestión de la seguridad de la información; h) proporcionar conocimiento apropiado, entrenamiento, y educación; i) establecer un proceso eficaz de manejo de incidentes de seguridad de la información; j) la aplicación de un sistema de mediciones que se pueda usar para evaluar el rendimiento en la gestión de seguridad de la información y realimente sugerencias la mejora de esa gestión. 0.8 Desarrollo de sus propias pautas Este código de práctica puede considerarse como un punto de partida para la organización en vías de desarrollo específico de las pautas. No todos los controles y guías en este código de práctica pueden ser aplicables. Además, pueden requerirse controles y pautas adicionales no incluidas en esta norma. Cuando se desarrollan los documentos conteniendo pautas adicionales o controles, puede ser útil incluir las referencias cruzadas a las cláusulas en esta norma dónde aplique para facilitar la verificación de cumplimiento por parte de interventores y socios de negocios. Autor: Ingeniero Jaime Hernando Rubio Rincón página 4
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 0.9 Términos y definiciones Para los propósitos de este documento los siguientes términos y definiciones aplican: 2.1 Activo cualquier elemento que tenga un valor para la organización [ISO/IEC 13335- 1:2004] 2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso las políticas, los procedimientos, las pautas, prácticas o estructuras organizacionales que pueden ser de tipo administrativo, técnico, de gestión, o de naturaleza legal. NOTA La palabra control se usa como un sinónimo para resguardo o contramedida. 2.3 pauta una descripción que clarifica lo que debe hacerse y cómo, para lograr el conjunto de los objetivos establecidos en las políticas [ISO/IEC 13335-1:2004] 2.4 facilidades de procesamiento de información cualquier sistema de procesamiento de información, servicio o infraestructura, o las localidades físicas que los alojan 2.5 la seguridad de información la preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades, fuertemente relacionadas tales como la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden también ser involucradas. 2.6 el evento de seguridad de la información es una ocurrencia identificada de un sistema, servicio o estado de la red indicando una posible brecha de la política de seguridad de información o fracaso de sus resguardos, o una situación previamente desconocida que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004 2.7 incidente de seguridad de información un incidente de seguridad de la información se indica por un solo o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio mediante las amenazas a la seguridad de la información.[ISO/IEC TR 18044:2004] 2.8 la política la intención y dirección global como formalmente fue expresada por la gerencia o administración 2.9 el riesgo la combinación de la probabilidad de un evento y su consecuencia [ISO/IEC Guide 73:2002] 2.10 análisis de riesgo el uso sistemático de información para identificar las fuentes y estimar el riesgo [ISO/IEC Guide 73:2002] 2.11 la valoración del riesgo el proceso global de análisis de riesgo y evaluación de riesgo [ISO/IEC Guide 73:2002] 2.12 la evaluación del riesgo el proceso de comparar el riesgo estimado contra el criterio de un riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002] 2.13 la gestión del riesgo las actividades coordinadas para dirigir y controlar una organización con respecto al riesgo NOTA: La gestión del Riesgo incluye típicamente valoración de riesgo, tratamiento de riesgo, aceptación de riesgo y comunicación del riesgo.[ISO/IEC Guide 73:2002] 2.14 Tratamiento del riesgo el proceso de selección y aplicación de medidas para modificar el riesgo [ISO/IEC Guide 73:2002] 2.15 tercera parte esa persona o institución que se reconocen como un ser independiente de las partes involucradas, con respecto a un problema, trabajo o labor en cuestión [ISO/IEC Guide 2:1996] 2.16 la amenaza una causa potencial de un incidente no deseado que puede producir daño a un sistema u organización [ISO/IEC 13335-1:2004] 2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarse por uno o más amenazas [ISO/IEC 13335-1:2004] Autor: Ingeniero Jaime Hernando Rubio Rincón página 5
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Concepto integrado de los diferentes elementos de la seguridad de la información Análisis de riesgos Vulnerabilidad Riesgo Amenaza: Confidencialidad Evento Disponibilidad Integridad Autenticidad Plan de protección, (No repudio) Recursos de HW y SW (FW, IDS, Criptografía) para protección, PPPE y auditoria permanente Figura 1. Relación vulnerabilidad, amenaza, riesgo y evento En la Figura 1 pretendemos hacer un esquema que explique integralmente los conceptos fundamentales de la seguridad. En primer lugar tenemos las vulnerabilidades que vienen siendo como los puntos débiles de la seguridad de la información. Haciendo una paradoja puede ser como un defecto de la infraestructura de recursos informáticos que pone en riesgo su propia supervivencia o la la de la información. Por otro lado tenemos el sutil tema de la amenaza en cualquiera de sus tipos incluidos en la gráfica, externa o interna a la organización. La conjunción simultanea de la vulnerabilidad y la amenaza construye e implica un riesgo de seguridad. La ocurrencia del riesgo lo convierte entonces en un evento y la teoria de Seguridad y Protección de la información es ese conjunto de actividades marcadas en azul que trata por todos los medios que el riesgo se convierta en evento, mitigando la probabilidad de ocurrencia del mismo. 1.0 Evaluando riesgos de seguridad Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos contra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Los resultados deben guiar y deben determinar la apropiada acción administrativa y la prioridad para gestionar el riesgo de la seguridad de información y para implementar los controles seleccionados para protegerse contra estos riesgos. El proceso de evaluar los riesgos y Autor: Ingeniero Jaime Hernando Rubio Rincón página 6
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentes de la organización o los sistemas individuales de información. La valoración de riesgo debe incluir el enfoque sistemático de estimar la magnitud de riesgos (el análisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgo para determinar la importancia de los riesgos (la evaluación de riesgo). También deben realizarse periódicamente las valoraciones de riesgo para conducir los cambios en los requerimientos seguridad y en la situación de riesgo, por ejemplo en los recursos, amenazas, las vulnerabilidades, los impactos, la evaluación del riesgo, y cuando los cambios significativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metódica capaz de producir resultados comparables y reproducibles. La valoración del riesgo de seguridad de la información debe tener un alcance claramente definido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otras áreas, si es lo apropiado. El alcance de una valoración de riesgo o puede ser la organización entera, o las partes de la organización, un sistema de información individual, componentes del sistema específicos, o servicios dónde esto es factible, realista, y útil. Se discuten ejemplos de metodologías de valoración de riesgo en ISO/IEC TR13335-3 (Las guías para la Gestión de la Seguridad de la información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN). 1.2 Tratando los riesgos de seguridad Antes de considerado el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si o no se pueden aceptar los riesgos. Por ejemplo, pueden aceptarse los riesgos si se evalúa que el riesgo es bajo o que el costo de tratamiento no es rentable para la organización. Las decisiones tomadas deben documentadas. Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisión de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen: a) aplicando los controles apropiados para reducir los riesgos; b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen claramente la política de organización y los criterio para la aceptación de riesgo; c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los riesgos; d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o proveedores. Para los riesgos dónde la decisión de tratamiento de riesgo ha sido aplicar los controles apropiados, estos controles deben seleccionarse y deben llevarse a cabo para cumplir con los requerimientos identificados por una valoración de riesgo. Los controles deba asegurar que se reducen los riesgos a un nivel aceptable teniendo en cuenta: a) los requerimientos y restricciones de la legislación nacional e internacional y las regulaciones; b) los objetivos organizacionales; c) los requerimientos y restricciones operacionales; d) el costo de implementación y operación respecto al nivel de riesgo que esta siendo reducido, y restante , permaneciendo proporcional a los requerimientos y restricciones de la organización. e) la necesidad de equilibrar la inversión en la aplicación y funcionamiento de controles contra el dañe para ser el resultado de los fracasos de seguridad probablemente. Autor: Ingeniero Jaime Hernando Rubio Rincón página 7
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, o pueden diseñarse nuevos controles para satisfacer las necesidades específicas de la organización. Es necesario reconocer que algunos controles no puedan ser aplicables a cada sistema de información o ambiente, y no podría ser factible para todas las organizaciones. Como un ejemplo, el parágrafo 10.1.3 describe cómo pueden dividir los deberes y funciones para prevenir el fraude y el error. No puede ser posible para las organizaciones más pequeñas dividir todos los deberes y otras maneras de lograr el mismo objetivo del control pueden ser necesarias. Como otro ejemplo, el parágrafo 10.10 describe cómo el uso del sistema puede supervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registro de eventos, podrían entrar en choque con la legislación aplicable, como protección de la privacidad del cliente o en el lugar de trabajo. Los controles de seguridad de información deben ser considerados en los sistemas, proyectos y aplicaciones diseñando la especificación de los requerimientos de seguridad en la fase de diseño. Fallas en este punto puede producir costos adicionales así y hacer menos eficaz las soluciones, y quizá, en el peor caso, incapacidad para lograr la seguridad adecuada. Debe tenerse presente que ningún conjunto de controles puede lograr la seguridad completa, y gestión adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y la efectividad en los controles de seguridad para soportar los objetivos de la organización. 2 Política de seguridad Un política de seguridades es una decisión ejecutiva sobre el quehacer en el procesamiento, acceso, almacenamiento, creación, mantenimiento y eliminación de la información, para protegerla adecuadamente. 2.1 Política de seguridad de información El objetivo: Proporcionar gestión de dirección y apoyar la seguridad de información de acuerdo con los requerimientos del negocio, leyes pertinentes y regulaciones. La dirección debe establecer una política clara en la línea con los objetivos del negocios y debe demostrar apoyo y compromiso con la seguridad de información a través de la emisión y mantenimiento de una política de seguridad de información para la organización. 2.1.2 Documento de la política de seguridad de la información Control Un Documento de la política de seguridad de la información debe aprobarse por la dirección, y publicarlo y comunicarlo a todos los empleados y la tercera parte externa pertinente. La guía de aplicación El Documento de la política de seguridad de la información debe declarar el compromiso de la dirección y debe partir del enfoque de la organización para el manejo de la seguridad de información. El documento de la política debe contener declaraciones involucrando: a) una definición de seguridad de la información, sus objetivos globales, alcance y la importancia de la seguridad como un mecanismo habilitador para compartir la información (ver el parágrafo de la introducción); b) una declaración de intención de la dirección para , apoyar las metas y principios de seguridad de la información, en línea con la estrategia y objetivos de negocios; Autor: Ingeniero Jaime Hernando Rubio Rincón página 8
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 c) un armazón por establecer objetivos de control y controles, incluso la estructura de la valoración y manejo de riesgo; d) una explicación breve de las políticas de seguridad, principios, normas, y requerimientos de cumplimiento de importancia particular para la organización, incluyendo: 1) la complacencia con el legislativo, los requerimientos reguladores y contractuales; 2) la educación de seguridad, entrenamiento, y requerimientos de conocimiento; 3) la gestión de continuidad del negocio; 4) las consecuencias de las violaciones de la política de seguridad de la información; e) una definición de las responsabilidades generales y específicas para la gestión de la seguridad de información, incluyendo el informar los incidentes de seguridad de la información; f) las referencias a documentación que pueden apoyar la política, por ejemplo la seguridad más detallada las políticas y procedimientos para los sistemas de información específicos o las reglas de seguridad que los usuarios deben cumplir. Esta política de seguridad de información debe comunicarse a lo largo de la organización a los usuarios en un formato apropiado, accesible y entendible al lector intencional. Otra información La política de seguridad de información podría ser una parte de un documento de la política general. Si la información de la política de seguridad es distribuída fuera de la organización, el debe tenerse cuidado para no descubrir o revelar información sensible. Información adicional puede encontrarse en el ISO/IEC 13335-1:2004. 2.1.3 Revisión de la política de seguridad de información Control La política de seguridad de información debe revisarse a intervalos planeados o si ocurren cambios significativos para asegurar su conveniencia de continuación, suficiencia, y efectividad. La guía de aplicación La política de seguridad de información debe tener un dueño quien tenga responsabilidades de gestión aprobadas para el desarrollo, revisión, y evaluación de la política de seguridad. La revisión debe incluir las oportunidades de evaluación para la mejora de la política de seguridad de información de la organización y enfoque a manejar la seguridad de información en respuesta a los cambios al ambiente organizacional, las circunstancias comerciales y de negocios, las condiciones legales, o el ambiente técnico. La revisión de la política de seguridad de información debe tomar cuenta de los resultados de revisiones manejadas. Allí debe definirse los procedimientos de manejo de revisión, incluso un horario o período de la revisión. La entrada a la gestión de revisión debe incluir la información en: a) la retroalimentación de terceras partes interesadas; b) los resultados de revisiones independientes (vea 6.1.8); c) el estado de acciones preventivas y correctivas (vea 6.1.8 y 15.2.1); d) los resultados de revisiones de gestiones anteriores; e) efectividad del proceso y cumplimientos de las política de seguridad de la información; Autor: Ingeniero Jaime Hernando Rubio Rincón página 9
Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 f) cambios que podrían afectar el enfoque de la organización al manejo de la seguridad de información, incluso los cambios al ambiente organizacional, circunstancias comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y legales, o al ambiente técnico; g) las tendencias relacionadas con las amenazas y vulnerabilidades; h) incidentes reportados de seguridad de información (vea 13.1); i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6). La salida de la gestión de revisión debe incluir cualquier decisión y acciones relacionadas a: a) la mejora del enfoque de la organización a la gestión de la seguridad de la información y sus procesos; b) la mejora de objetivos de control y controles; c) la mejora en la asignación de recursos y/o responsabilidades. Un registro de la gestión de revisión debe mantenerse. La aprobación gerencial para la política revisada debe obtenerse. Autor: Ingeniero Jaime Hernando Rubio Rincón página 10

Empfohlen

Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformaticaElizabeth Sanchez
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
RiesgosinformaticaFlorencio Lara
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 

Empfohlen

Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformaticaElizabeth Sanchez
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
RiesgosinformaticaFlorencio Lara
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.Principales riesgos de Ciberseguridad y estrategias de mitigación.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridadOsiel Alvarez Villarreal
 
FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05
FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05
FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05Jordano Santos Cerqueira
 
Un asesino silencioso anda suelto
Un asesino silencioso anda sueltoUn asesino silencioso anda suelto
Un asesino silencioso anda sueltodeliberandobiologia23
 
Proyectos de investigacion latinoamerica
Proyectos de investigacion latinoamericaProyectos de investigacion latinoamerica
Proyectos de investigacion latinoamericaMiguel Angel Mollinedo
 
Hipertextoliteraturaboomlatinoamericano
HipertextoliteraturaboomlatinoamericanoHipertextoliteraturaboomlatinoamericano
Hipertextoliteraturaboomlatinoamericanofabianignacio13
 
Trabajo geo1
Trabajo geo1Trabajo geo1
Trabajo geo1aliciamontiel
 
Proyecto 2
Proyecto 2 Proyecto 2
Proyecto 2 lladrianall
 
Marte, dios de la guerra
Marte, dios de la guerraMarte, dios de la guerra
Marte, dios de la guerrapuchimandaynotubanda
 

Weitere ähnliche Inhalte

Was ist angesagt?

3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 

Was ist angesagt? (15)

3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Seguridad
SeguridadSeguridad
Seguridad
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
 
2003 07-seguridad
2003 07-seguridad2003 07-seguridad
2003 07-seguridad
 

Andere mochten auch

FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05
FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05
FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05Jordano Santos Cerqueira
 
Proyectos de investigacion latinoamerica
Proyectos de investigacion latinoamericaProyectos de investigacion latinoamerica
Proyectos de investigacion latinoamericaMiguel Angel Mollinedo
 
Hipertextoliteraturaboomlatinoamericano
HipertextoliteraturaboomlatinoamericanoHipertextoliteraturaboomlatinoamericano
Hipertextoliteraturaboomlatinoamericanofabianignacio13
 
La mujer y las dimensiones del espacio alimentario: un instrumento para abord...
La mujer y las dimensiones del espacio alimentario: un instrumento para abord...La mujer y las dimensiones del espacio alimentario: un instrumento para abord...
La mujer y las dimensiones del espacio alimentario: un instrumento para abord...FAO
 
บุคลากรคอม
บุคลากรคอมบุคลากรคอม
บุคลากรคอมnutty_npk
 
Guía de trabajo
Guía de trabajoGuía de trabajo
Guía de trabajoKei Quiroz
 
Plan de desarrollo sostenible para el ecuador [PDSE]
Plan de desarrollo sostenible para el ecuador [PDSE]Plan de desarrollo sostenible para el ecuador [PDSE]
Plan de desarrollo sostenible para el ecuador [PDSE]Cloud Rodriguez
 
1 fundamentos de la seg info
1 fundamentos de la seg info1 fundamentos de la seg info
1 fundamentos de la seg infoHarold Morales
 
El secreto de las siete semillas 2
El secreto de las siete semillas 2El secreto de las siete semillas 2
El secreto de las siete semillas 2Ana Bazán
 

Andere mochten auch (20)

FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05
FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05
FACELI - D1 - Zilda Maria Fantin Moreira - Linguagem Jurídica - AULA 05
 
Un asesino silencioso anda suelto
Un asesino silencioso anda sueltoUn asesino silencioso anda suelto
Un asesino silencioso anda suelto
 
Proyectos de investigacion latinoamerica
Proyectos de investigacion latinoamericaProyectos de investigacion latinoamerica
Proyectos de investigacion latinoamerica
 
Hipertextoliteraturaboomlatinoamericano
HipertextoliteraturaboomlatinoamericanoHipertextoliteraturaboomlatinoamericano
Hipertextoliteraturaboomlatinoamericano
 
Trabajo geo1
Trabajo geo1Trabajo geo1
Trabajo geo1
 
Proyecto 2
Proyecto 2 Proyecto 2
Proyecto 2
 
Marte, dios de la guerra
Marte, dios de la guerraMarte, dios de la guerra
Marte, dios de la guerra
 
Los periféricos
Los periféricosLos periféricos
Los periféricos
 
Color theory
Color theoryColor theory
Color theory
 
La mujer y las dimensiones del espacio alimentario: un instrumento para abord...
La mujer y las dimensiones del espacio alimentario: un instrumento para abord...La mujer y las dimensiones del espacio alimentario: un instrumento para abord...
La mujer y las dimensiones del espacio alimentario: un instrumento para abord...
 
บุคลากรคอม
บุคลากรคอมบุคลากรคอม
บุคลากรคอม
 
2 geografia física, relleu, àsia
2 geografia física, relleu, àsia2 geografia física, relleu, àsia
2 geografia física, relleu, àsia
 
Guía de trabajo
Guía de trabajoGuía de trabajo
Guía de trabajo
 
Plan de desarrollo sostenible para el ecuador [PDSE]
Plan de desarrollo sostenible para el ecuador [PDSE]Plan de desarrollo sostenible para el ecuador [PDSE]
Plan de desarrollo sostenible para el ecuador [PDSE]
 
Cubre necesidades
Cubre necesidadesCubre necesidades
Cubre necesidades
 
Reclusos
ReclusosReclusos
Reclusos
 
1 fundamentos de la seg info
1 fundamentos de la seg info1 fundamentos de la seg info
1 fundamentos de la seg info
 
Los factores productivos
Los factores productivosLos factores productivos
Los factores productivos
 
Purdue Fashion Show 2015
Purdue Fashion Show 2015Purdue Fashion Show 2015
Purdue Fashion Show 2015
 
El secreto de las siete semillas 2
El secreto de las siete semillas 2El secreto de las siete semillas 2
El secreto de las siete semillas 2
 

Ähnlich wie Introduccin a los conceptos de seguridad

Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Diapositivas de ludeña1
Diapositivas de ludeña1Diapositivas de ludeña1
Diapositivas de ludeña1henry
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7Whitman Perez
 

Ähnlich wie Introduccin a los conceptos de seguridad (20)

Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 
ETICA
ETICA ETICA
ETICA
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Diapositivas de ludeña1
Diapositivas de ludeña1Diapositivas de ludeña1
Diapositivas de ludeña1
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacion
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Documentos final.11.7
Documentos final.11.7Documentos final.11.7
Documentos final.11.7
 

Mehr von Harold Morales

Trabajo de procesos especiales 1111
Trabajo de procesos especiales 1111Trabajo de procesos especiales 1111
Trabajo de procesos especiales 1111Harold Morales
 
Sentencia 12 de mayo 2011 exp
Sentencia 12 de mayo 2011 expSentencia 12 de mayo 2011 exp
Sentencia 12 de mayo 2011 expHarold Morales
 
Documento sobre el nivel de enlace de datos
Documento sobre el nivel de enlace de datosDocumento sobre el nivel de enlace de datos
Documento sobre el nivel de enlace de datosHarold Morales
 
Demanda de consultorio 3
Demanda de consultorio 3Demanda de consultorio 3
Demanda de consultorio 3Harold Morales
 
Capitulo 1 propiedades de la seguridad de la informacion
Capitulo 1 propiedades de la seguridad de la informacionCapitulo 1 propiedades de la seguridad de la informacion
Capitulo 1 propiedades de la seguridad de la informacionHarold Morales
 
Sentencia nicho revisada
Sentencia nicho revisadaSentencia nicho revisada
Sentencia nicho revisadaHarold Morales
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datosHarold Morales
 
Explorationnetworkchapter8 110425083947-phpapp02
Explorationnetworkchapter8 110425083947-phpapp02Explorationnetworkchapter8 110425083947-phpapp02
Explorationnetworkchapter8 110425083947-phpapp02Harold Morales
 

Mehr von Harold Morales (10)

Trabajo de procesos especiales 1111
Trabajo de procesos especiales 1111Trabajo de procesos especiales 1111
Trabajo de procesos especiales 1111
 
Sentencia 12 de mayo 2011 exp
Sentencia 12 de mayo 2011 expSentencia 12 de mayo 2011 exp
Sentencia 12 de mayo 2011 exp
 
Documento sobre el nivel de enlace de datos
Documento sobre el nivel de enlace de datosDocumento sobre el nivel de enlace de datos
Documento sobre el nivel de enlace de datos
 
Direccionesii
DireccionesiiDireccionesii
Direccionesii
 
Demanda de consultorio 3
Demanda de consultorio 3Demanda de consultorio 3
Demanda de consultorio 3
 
Conceptos basicos
Conceptos basicosConceptos basicos
Conceptos basicos
 
Capitulo 1 propiedades de la seguridad de la informacion
Capitulo 1 propiedades de la seguridad de la informacionCapitulo 1 propiedades de la seguridad de la informacion
Capitulo 1 propiedades de la seguridad de la informacion
 
Sentencia nicho revisada
Sentencia nicho revisadaSentencia nicho revisada
Sentencia nicho revisada
 
Capa de enlace de datos
Capa de enlace de datosCapa de enlace de datos
Capa de enlace de datos
 
Explorationnetworkchapter8 110425083947-phpapp02
Explorationnetworkchapter8 110425083947-phpapp02Explorationnetworkchapter8 110425083947-phpapp02
Explorationnetworkchapter8 110425083947-phpapp02
 

Introduccin a los conceptos de seguridad

  • 1. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Introducción a los conceptos de Seguridad de información Entendiendo los conceptos básicos de seguridad ¿0.1 Que es la seguridad de la información? La Seguridad de la información es el conjunto de estándares, procesos, procedimientos, estrategias, recursos informáticos, recursos educativos y recurso humano integrado para proveer toda la protección debida y requerida a la información y a los recursos informáticos de una empresa, institución o agencia gubernamental La información es un recurso o activo que, como otros recursos importantes del negocio, es esencial a una organización y a su operación y por consiguiente necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez más interconectado. Como resultado de esta ínter conectividad creciente, la información se expone ahora a un número ascendente y a una variedad más amplia de de amenazas y vulnerabilidades. La información puede existir en muchas formas. Puede imprimirse o puede escribirse en el papel, guardar electrónicamente, transmitirse por el correo o usando los medios electrónicos, puede ser mostrada en las películas, o hablada en la conversación. Cualquier forma que la información tome, o cualquier medio por donde sea compartida o guardada, siempre debe ser apropiadamente protegida. La seguridad de la información es la protección de información de una gama amplia de amenazas para asegurar la continuidad comercial, minimizar el riesgo comercial, y aumentar al máximo el retorno en las inversiones y las oportunidades de negocios. La seguridad de la información se logra llevando a cabo un conjunto conveniente de controles, incluyendo las políticas, los procesos, procedimientos, estructuras orgánicas y funciones del hardware y software. Estos controles deben ser establecidos, implementados, supervisados, revisados y mejorados, dónde sea necesario, para asegurar que se reúnen la seguridad específica y objetivos de negocio de la organización. Esto debe hacerse en conjunción con otros procesos de administración de negocios. ¿0.2 Por qué se necesita la seguridad de la información? La información y los procesos de apoyo, sistemas, y redes son uno de los recursos mas importantes del negocio. Definir, lograr, mantener y mejorar la seguridad de la información pueden ser esenciales para mantenerse en el borde competitivo, mantener un alto flujo del dinero en efectivo, tener rentabilidad, cumplimiento legal, y sostenimiento de la imagen comercial. Se enfrentan las organizaciones y sus sistemas de información y redes con las amenazas de seguridad de un amplio rango de fuentes, incluyendo fraude ayudado por computadora, espionaje, sabotaje, vandalismo, fuego o diluvio e inundaciones. Autor: Ingeniero Jaime Hernando Rubio Rincón página 1
  • 2. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Las causas de daño como el código malévolo, penetración de computadoras, y ataques de negación del servicio han llegado a ser más comunes, más ambicioso, y mas sofisticados. La seguridad de la información y proteger las infraestructuras críticas del negocio es importante para ambos sectores público y de negocios del sector privado. En ambos sectores, la seguridad de la información funcionará como un habilitador, por ejemplo para lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. La interconexión de las redes privadas públicas y privadas y el compartir de recursos de información aumentan la dificultad de lograr el control de acceso. La tendencia a la informática distribuida también ha debilitado la efectividad del control central, especializado. No se han diseñado muchos sistemas de información seguros. La seguridad que puede lograrse a través de los medios técnicos es limitada, y debe apoyarse por una apropiada gestión apropiada y por los procedimientos. Identificando qué controles deben ser implementados requiere planificación cuidadosa y atención al detalle. La gestión de la seguridad de la información requiere, como un mínimo, participación por todos los empleados de la organización. También puede requerir la participación de los accionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas. Asesoría y Consejo de especialista de las organizaciones externas también puede necesitarse. 0.3 Cómo establecer los requerimientos de seguridad? Es esencial que una organización identifique sus requerimientos de seguridad. Hay tres fuentes principales de los requerimientos de seguridad. 1. una fuente se deriva de evaluar los riesgos de la organización, mientras se tienen en cuenta la estrategia de negocio global de la organización y sus objetivos. A través de una valoración de riesgo, se identifican amenazas a los recursos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial. 2. otra fuente es los requerimientos legales, estatutarios, reguladores y contractuales que la organización, sus socios comerciales, contratistas, y proveedores de servicio tienen que satisfacer, y el ambiente socio-cultural. 3. una fuente extensa es el conjunto particular de principios, objetivos y requerimientos comerciales para la información que se procesa que una organización ha desarrollado para apoyar sus funcionamientos. 0.4 Evaluando los riesgos de seguridad Los requerimientos de seguridad son identificados mediante una valoración metódica de riesgos de seguridad. El gasto en los controles se necesita probablemente equilibrar contra el daño comercial que puedan ser resultado de las fallas de seguridad. Los resultados de la valoración de riesgo ayudarán a guiar y determinar la acción de gestión apropiada y las prioridades para manejar los riesgos de la seguridad de la Autor: Ingeniero Jaime Hernando Rubio Rincón página 2
  • 3. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 información, y por llevar a cabo los controles seleccionados para protegerse contra cada uno de estos riesgos. La valoración de riesgo debe repetirse periódicamente para estar atentos a cualquier cambio que pudiera influir en los resultados de valoración del riesgo. . 0.5 Seleccionando Controles Una vez se han identificado requerimientos de seguridad y riesgos y las decisiones para el tratamiento de riesgos han sido tomadas, deben seleccionarse los controles apropiados e implementarlos para asegurar la mitigación de los riesgos a un nivel aceptable. Pueden seleccionarse los controles de esta norma o de otros juegos de controles, o pueden diseñarse nuevos controles apropiados para satisfacer las necesidades específicas. La selección de controles de seguridad depende en decisiones orgánicas basadas en el criterio para la aceptación de riesgo, la opciones en el tratamiento de riesgo, y el enfoque de gestión general de riesgo aplicado en la organización, y también debe estar sujeto regulaciones relevantes y a la legislación internacional y nacional. Algunos de los controles en esta norma pueden ser considerados como guías de los principios para la gestión de la seguridad de la información y aplicable para la mayoría de las organizaciones. Ellos se explican en más detalle debajo bajo del encabezado “el punto de partida de seguridad de la información.” Puede encontrarse más información sobre seleccionar controles y otras opciones de tratamiento de riesgo en la cláusula 4.2 “Tratando los riesgos de seguridad". 0.6 Punto de partida de seguridad de la información Varios controles pueden ser considerados como un buen punto de partida para llevar a cabo la protección de la información. Ellos o están basado en los requerimientos esenciales de tipo legislativo o se consideran ser una practica común para la seguridad de la información. Controles considerados esenciales a una organización desde un punto de vista del legislativo incluyen, (dependiendo de la legislación aplicable): a) protección de los datos y retiro de información personal b) protección de archivos de la organización c) los derechos de la propiedad intelectual Controles considerados como práctica común para la seguridad de la información incluyen: a) el documento de políticas de seguridad de la información b) la asignación de responsabilidades de seguridad de la información c) el conocimiento de seguridad de la información, educación, y entrenamiento d) el proceso correcto en las aplicaciones ; e) la gestión de vulnerabilidad técnica ; f) la gestión de continuidad del negocio ; Autor: Ingeniero Jaime Hernando Rubio Rincón página 3
  • 4. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 g) la gestión de incidentes de seguridad de la información y mejoras Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los ambientes. Debe notarse que aunque todos los controles en esta norma son importantes y deben ser considerados, la relevancia de cualquier control debe determinarse a la luz de los riesgos específicos que una organización pudiera enfrentar. Aunque el enfoque anterior es considerado un punto de partida bueno, no reemplaza la selección de controles basado en una valoración de riesgo. 0.7 Factores críticos de éxito La experiencia ha mostrado que los factores siguientes son a menudo críticos a la aplicación exitosa de la seguridad de la información dentro de una organización: a) la política de seguridad de la información, la estrategia, objetivos, y actividades que reflejen los objetivos de negocios; b) un enfoque y una estructura para implementar, mantener, supervisar y mejorar la seguridad de la información que sea consistente con la cultura organizacional; c) el apoyo visible y comprometido de todos los niveles de gestión; d) una comprensión buena de los requerimientos de seguridad de la información, valoración de riesgo, y gestión del riesgo; e) el mercadeo eficaz de los conceptos de seguridad de la información a todos los gerentes, empleados, tercera partes para lograr el conocimiento; f) la distribución de guía en la política de seguridad de la información y normas a todos los gerentes, los empleados y terceras partes; g) la provisión financiera para consolidar las actividades de gestión de la seguridad de la información; h) proporcionar conocimiento apropiado, entrenamiento, y educación; i) establecer un proceso eficaz de manejo de incidentes de seguridad de la información; j) la aplicación de un sistema de mediciones que se pueda usar para evaluar el rendimiento en la gestión de seguridad de la información y realimente sugerencias la mejora de esa gestión. 0.8 Desarrollo de sus propias pautas Este código de práctica puede considerarse como un punto de partida para la organización en vías de desarrollo específico de las pautas. No todos los controles y guías en este código de práctica pueden ser aplicables. Además, pueden requerirse controles y pautas adicionales no incluidas en esta norma. Cuando se desarrollan los documentos conteniendo pautas adicionales o controles, puede ser útil incluir las referencias cruzadas a las cláusulas en esta norma dónde aplique para facilitar la verificación de cumplimiento por parte de interventores y socios de negocios. Autor: Ingeniero Jaime Hernando Rubio Rincón página 4
  • 5. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 0.9 Términos y definiciones Para los propósitos de este documento los siguientes términos y definiciones aplican: 2.1 Activo cualquier elemento que tenga un valor para la organización [ISO/IEC 13335- 1:2004] 2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso las políticas, los procedimientos, las pautas, prácticas o estructuras organizacionales que pueden ser de tipo administrativo, técnico, de gestión, o de naturaleza legal. NOTA La palabra control se usa como un sinónimo para resguardo o contramedida. 2.3 pauta una descripción que clarifica lo que debe hacerse y cómo, para lograr el conjunto de los objetivos establecidos en las políticas [ISO/IEC 13335-1:2004] 2.4 facilidades de procesamiento de información cualquier sistema de procesamiento de información, servicio o infraestructura, o las localidades físicas que los alojan 2.5 la seguridad de información la preservación de la confidencialidad, integridad y disponibilidad de la información; además, otras propiedades, fuertemente relacionadas tales como la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden también ser involucradas. 2.6 el evento de seguridad de la información es una ocurrencia identificada de un sistema, servicio o estado de la red indicando una posible brecha de la política de seguridad de información o fracaso de sus resguardos, o una situación previamente desconocida que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004 2.7 incidente de seguridad de información un incidente de seguridad de la información se indica por un solo o una serie de eventos de seguridad de la información no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio mediante las amenazas a la seguridad de la información.[ISO/IEC TR 18044:2004] 2.8 la política la intención y dirección global como formalmente fue expresada por la gerencia o administración 2.9 el riesgo la combinación de la probabilidad de un evento y su consecuencia [ISO/IEC Guide 73:2002] 2.10 análisis de riesgo el uso sistemático de información para identificar las fuentes y estimar el riesgo [ISO/IEC Guide 73:2002] 2.11 la valoración del riesgo el proceso global de análisis de riesgo y evaluación de riesgo [ISO/IEC Guide 73:2002] 2.12 la evaluación del riesgo el proceso de comparar el riesgo estimado contra el criterio de un riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002] 2.13 la gestión del riesgo las actividades coordinadas para dirigir y controlar una organización con respecto al riesgo NOTA: La gestión del Riesgo incluye típicamente valoración de riesgo, tratamiento de riesgo, aceptación de riesgo y comunicación del riesgo.[ISO/IEC Guide 73:2002] 2.14 Tratamiento del riesgo el proceso de selección y aplicación de medidas para modificar el riesgo [ISO/IEC Guide 73:2002] 2.15 tercera parte esa persona o institución que se reconocen como un ser independiente de las partes involucradas, con respecto a un problema, trabajo o labor en cuestión [ISO/IEC Guide 2:1996] 2.16 la amenaza una causa potencial de un incidente no deseado que puede producir daño a un sistema u organización [ISO/IEC 13335-1:2004] 2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarse por uno o más amenazas [ISO/IEC 13335-1:2004] Autor: Ingeniero Jaime Hernando Rubio Rincón página 5
  • 6. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Concepto integrado de los diferentes elementos de la seguridad de la información Análisis de riesgos Vulnerabilidad Riesgo Amenaza: Confidencialidad Evento Disponibilidad Integridad Autenticidad Plan de protección, (No repudio) Recursos de HW y SW (FW, IDS, Criptografía) para protección, PPPE y auditoria permanente Figura 1. Relación vulnerabilidad, amenaza, riesgo y evento En la Figura 1 pretendemos hacer un esquema que explique integralmente los conceptos fundamentales de la seguridad. En primer lugar tenemos las vulnerabilidades que vienen siendo como los puntos débiles de la seguridad de la información. Haciendo una paradoja puede ser como un defecto de la infraestructura de recursos informáticos que pone en riesgo su propia supervivencia o la la de la información. Por otro lado tenemos el sutil tema de la amenaza en cualquiera de sus tipos incluidos en la gráfica, externa o interna a la organización. La conjunción simultanea de la vulnerabilidad y la amenaza construye e implica un riesgo de seguridad. La ocurrencia del riesgo lo convierte entonces en un evento y la teoria de Seguridad y Protección de la información es ese conjunto de actividades marcadas en azul que trata por todos los medios que el riesgo se convierta en evento, mitigando la probabilidad de ocurrencia del mismo. 1.0 Evaluando riesgos de seguridad Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos contra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Los resultados deben guiar y deben determinar la apropiada acción administrativa y la prioridad para gestionar el riesgo de la seguridad de información y para implementar los controles seleccionados para protegerse contra estos riesgos. El proceso de evaluar los riesgos y Autor: Ingeniero Jaime Hernando Rubio Rincón página 6
  • 7. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentes de la organización o los sistemas individuales de información. La valoración de riesgo debe incluir el enfoque sistemático de estimar la magnitud de riesgos (el análisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgo para determinar la importancia de los riesgos (la evaluación de riesgo). También deben realizarse periódicamente las valoraciones de riesgo para conducir los cambios en los requerimientos seguridad y en la situación de riesgo, por ejemplo en los recursos, amenazas, las vulnerabilidades, los impactos, la evaluación del riesgo, y cuando los cambios significativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metódica capaz de producir resultados comparables y reproducibles. La valoración del riesgo de seguridad de la información debe tener un alcance claramente definido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otras áreas, si es lo apropiado. El alcance de una valoración de riesgo o puede ser la organización entera, o las partes de la organización, un sistema de información individual, componentes del sistema específicos, o servicios dónde esto es factible, realista, y útil. Se discuten ejemplos de metodologías de valoración de riesgo en ISO/IEC TR13335-3 (Las guías para la Gestión de la Seguridad de la información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN). 1.2 Tratando los riesgos de seguridad Antes de considerado el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si o no se pueden aceptar los riesgos. Por ejemplo, pueden aceptarse los riesgos si se evalúa que el riesgo es bajo o que el costo de tratamiento no es rentable para la organización. Las decisiones tomadas deben documentadas. Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisión de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen: a) aplicando los controles apropiados para reducir los riesgos; b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen claramente la política de organización y los criterio para la aceptación de riesgo; c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los riesgos; d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o proveedores. Para los riesgos dónde la decisión de tratamiento de riesgo ha sido aplicar los controles apropiados, estos controles deben seleccionarse y deben llevarse a cabo para cumplir con los requerimientos identificados por una valoración de riesgo. Los controles deba asegurar que se reducen los riesgos a un nivel aceptable teniendo en cuenta: a) los requerimientos y restricciones de la legislación nacional e internacional y las regulaciones; b) los objetivos organizacionales; c) los requerimientos y restricciones operacionales; d) el costo de implementación y operación respecto al nivel de riesgo que esta siendo reducido, y restante , permaneciendo proporcional a los requerimientos y restricciones de la organización. e) la necesidad de equilibrar la inversión en la aplicación y funcionamiento de controles contra el dañe para ser el resultado de los fracasos de seguridad probablemente. Autor: Ingeniero Jaime Hernando Rubio Rincón página 7
  • 8. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, o pueden diseñarse nuevos controles para satisfacer las necesidades específicas de la organización. Es necesario reconocer que algunos controles no puedan ser aplicables a cada sistema de información o ambiente, y no podría ser factible para todas las organizaciones. Como un ejemplo, el parágrafo 10.1.3 describe cómo pueden dividir los deberes y funciones para prevenir el fraude y el error. No puede ser posible para las organizaciones más pequeñas dividir todos los deberes y otras maneras de lograr el mismo objetivo del control pueden ser necesarias. Como otro ejemplo, el parágrafo 10.10 describe cómo el uso del sistema puede supervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registro de eventos, podrían entrar en choque con la legislación aplicable, como protección de la privacidad del cliente o en el lugar de trabajo. Los controles de seguridad de información deben ser considerados en los sistemas, proyectos y aplicaciones diseñando la especificación de los requerimientos de seguridad en la fase de diseño. Fallas en este punto puede producir costos adicionales así y hacer menos eficaz las soluciones, y quizá, en el peor caso, incapacidad para lograr la seguridad adecuada. Debe tenerse presente que ningún conjunto de controles puede lograr la seguridad completa, y gestión adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y la efectividad en los controles de seguridad para soportar los objetivos de la organización. 2 Política de seguridad Un política de seguridades es una decisión ejecutiva sobre el quehacer en el procesamiento, acceso, almacenamiento, creación, mantenimiento y eliminación de la información, para protegerla adecuadamente. 2.1 Política de seguridad de información El objetivo: Proporcionar gestión de dirección y apoyar la seguridad de información de acuerdo con los requerimientos del negocio, leyes pertinentes y regulaciones. La dirección debe establecer una política clara en la línea con los objetivos del negocios y debe demostrar apoyo y compromiso con la seguridad de información a través de la emisión y mantenimiento de una política de seguridad de información para la organización. 2.1.2 Documento de la política de seguridad de la información Control Un Documento de la política de seguridad de la información debe aprobarse por la dirección, y publicarlo y comunicarlo a todos los empleados y la tercera parte externa pertinente. La guía de aplicación El Documento de la política de seguridad de la información debe declarar el compromiso de la dirección y debe partir del enfoque de la organización para el manejo de la seguridad de información. El documento de la política debe contener declaraciones involucrando: a) una definición de seguridad de la información, sus objetivos globales, alcance y la importancia de la seguridad como un mecanismo habilitador para compartir la información (ver el parágrafo de la introducción); b) una declaración de intención de la dirección para , apoyar las metas y principios de seguridad de la información, en línea con la estrategia y objetivos de negocios; Autor: Ingeniero Jaime Hernando Rubio Rincón página 8
  • 9. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 c) un armazón por establecer objetivos de control y controles, incluso la estructura de la valoración y manejo de riesgo; d) una explicación breve de las políticas de seguridad, principios, normas, y requerimientos de cumplimiento de importancia particular para la organización, incluyendo: 1) la complacencia con el legislativo, los requerimientos reguladores y contractuales; 2) la educación de seguridad, entrenamiento, y requerimientos de conocimiento; 3) la gestión de continuidad del negocio; 4) las consecuencias de las violaciones de la política de seguridad de la información; e) una definición de las responsabilidades generales y específicas para la gestión de la seguridad de información, incluyendo el informar los incidentes de seguridad de la información; f) las referencias a documentación que pueden apoyar la política, por ejemplo la seguridad más detallada las políticas y procedimientos para los sistemas de información específicos o las reglas de seguridad que los usuarios deben cumplir. Esta política de seguridad de información debe comunicarse a lo largo de la organización a los usuarios en un formato apropiado, accesible y entendible al lector intencional. Otra información La política de seguridad de información podría ser una parte de un documento de la política general. Si la información de la política de seguridad es distribuída fuera de la organización, el debe tenerse cuidado para no descubrir o revelar información sensible. Información adicional puede encontrarse en el ISO/IEC 13335-1:2004. 2.1.3 Revisión de la política de seguridad de información Control La política de seguridad de información debe revisarse a intervalos planeados o si ocurren cambios significativos para asegurar su conveniencia de continuación, suficiencia, y efectividad. La guía de aplicación La política de seguridad de información debe tener un dueño quien tenga responsabilidades de gestión aprobadas para el desarrollo, revisión, y evaluación de la política de seguridad. La revisión debe incluir las oportunidades de evaluación para la mejora de la política de seguridad de información de la organización y enfoque a manejar la seguridad de información en respuesta a los cambios al ambiente organizacional, las circunstancias comerciales y de negocios, las condiciones legales, o el ambiente técnico. La revisión de la política de seguridad de información debe tomar cuenta de los resultados de revisiones manejadas. Allí debe definirse los procedimientos de manejo de revisión, incluso un horario o período de la revisión. La entrada a la gestión de revisión debe incluir la información en: a) la retroalimentación de terceras partes interesadas; b) los resultados de revisiones independientes (vea 6.1.8); c) el estado de acciones preventivas y correctivas (vea 6.1.8 y 15.2.1); d) los resultados de revisiones de gestiones anteriores; e) efectividad del proceso y cumplimientos de las política de seguridad de la información; Autor: Ingeniero Jaime Hernando Rubio Rincón página 9
  • 10. Escuela Colombiana de Ingeniería Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascículo No2 f) cambios que podrían afectar el enfoque de la organización al manejo de la seguridad de información, incluso los cambios al ambiente organizacional, circunstancias comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y legales, o al ambiente técnico; g) las tendencias relacionadas con las amenazas y vulnerabilidades; h) incidentes reportados de seguridad de información (vea 13.1); i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6). La salida de la gestión de revisión debe incluir cualquier decisión y acciones relacionadas a: a) la mejora del enfoque de la organización a la gestión de la seguridad de la información y sus procesos; b) la mejora de objetivos de control y controles; c) la mejora en la asignación de recursos y/o responsabilidades. Un registro de la gestión de revisión debe mantenerse. La aprobación gerencial para la política revisada debe obtenerse. Autor: Ingeniero Jaime Hernando Rubio Rincón página 10