Post on 07-Mar-2016
description
ARQUITECTURA DE SEGURIDAD
Gestin de Tecnologa de Informacin
La informacin es el activo intangible mas valioso de una organizacin
INTRODUCCION Una de las principales necesidades que tienen las organizaciones actualmente es la gestin de la seguridad de los Sistemas de Informacin, entendiendo que en este contexto los Sistemas de Informacin no estn limitados al mbito tecnolgico. Para atender estas necesidades muchas organizaciones a nivel mundial (ISO, BS, NIST, IEEE, ITU-T, ITGI), han desarrollado y continan desarrollando estndares, mejores prcticas, metodologas y herramientas que facilitan una gestin eficiente de la seguridad. En la prctica, dichos estndares y mejores prcticas se han convertido en recomendaciones de obligado cumplimiento con implicaciones legales por un lado, y por otro se han convertido en motivo de certificacin que marcan una diferencia a la vista de los clientes. Pero ms all del cumplimiento legal o la obtencin de una certificacin que facilite la actividad comercial, el apego a estndares y mejores prcticas de gestin de la seguridad de la informacin permite a las organizaciones obtener un beneficio bsico: la gestin efectiva y controlada de uno de sus activos fundamentales: la informacin. Este beneficio tiene consecuencias positivas en la eficiencia y eficacia de los procesos de negocio, lo que a su vez se traduce en mayor rentabilidad para la empresa dentro un marco de mejora continua. Qu es una Arquitectura de Seguridad? Tomando como base la evaluacin de riesgos del negocio, un referente estratgico que describe lo siguiente:
La normativa de seguridad que debe regir el comportamiento de la organizacin y cuyo pilar fundamental es la poltica general de seguridad de la informacin
La estructura organizativa de seguridad y los roles/ responsabilidades que las personas deben adoptar en el marco de la seguridad de la informacin
La infraestructura tecnolgica requerida para controlar el registro, proceso, almacenamiento y flujo de la informacin de forma segura
Cul es el propsito de una Arquitectura de Seguridad? Su propsito es describir la normativa, estructura organizativa e infraestructura tecnolgica que faciliten la implantacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI1) para minimizar con efectividad los riesgos a los que est expuesta la informacin en sus tres coordenadas bsicas: integridad, confidencialidad y disponibilidad. A qu tipo de empresa u organizacin le sirve la implantacin de una Arquitectura de Seguridad? A aquellas cuyos directivos responden negativamente a las siguientes preguntas:
Tiene su organizacin, identificadas formalmente las necesidades de seguridad de la informacin?
Dispone su organizacin, de una poltica de seguridad de la informacin autorizada e implantada?
Dispone de una estructura organizativa de seguridad reconocida por todos los empleados y formalmente implantada?
Dispone de un plan de tecnologa que responde coherentemente a las necesidades de seguridad del negocio?
METODOLOGA La metodologa utilizada consta de las siguientes etapas:
Identificacin de las necesidades de seguridad del negocio (BIA2)
Establecimiento de la situacin actual con base en un anlisis de riesgos (RA3)
Definicin de la Arquitectura de Seguridad de referencia
Anlisis de la brecha existente entre la situacin actual y la de referencia, determinar acciones requeridas, recursos y costos
Elaboracin del plan de implantacin de la arquitectura de referencia considerando recursos, prioridades e indicadores de control
1 Definido en la norma ISO 17799, 27001 y BS 7799 2 BIA Business Impact Analysis 3 RA Risk Assessment
ARQUITECTURA DE SEGURIDAD
Gestin de Tecnologa de Informacin
Qu incluye la Arquitectura de Seguridad de referencia?
El desarrollo de la normativa de seguridad (poltica, estndares, procedimientos y guas)
La definicin de la estructura organizativa de seguridad de la informacin y la descripcin de roles y responsabilidades
La descripcin de la infraestructura tecnolgica de seguridad de referencia
Por qu el plan de implantacin de la arquitectura de referencia facilita la implantacin de un Sistema de Gestin de Seguridad de la informacin (SGSI)? Porque el plan basa su desarrollo en el Modelo de proteccin de la informacin (Ilustracin 1), el mismo que est alineado con el estndar ISO-17799 que describe las Mejores prcticas para la Gestin de Seguridad de la Informacin e ISO-27001 que describe especificaciones para un Sistema de Gestin de Seguridad de la Informacin (SGSI). Dicho modelo tiene su centro en la clasificacin de la informacin, la gestin de riesgos y los tres ejes definidos en la arquitectura de seguridad:
Normativa (Poltica de seguridad
institucional) Estructura organizativa (personal
capacitado y consciente) Infraestructura tecnolgica (tecnologa
controlada)
RESUMEN Un Sistema de Gestin de Seguridad de la Informacin (SGSI) funcional y efectivo, requiere la implementacin de numerosos controles que son descritos en las normas ISO 17799/27001. Abarcar la totalidad de controles en un proceso de implantacin inicial es una tarea compleja y costosa, en especial para organizaciones cuyos procesos de seguridad de la informacin son inmaduros o inexistentes. La definicin e implementacin de la Arquitectura de Seguridad de la Informacin que se describe en este documento, est orientada a facilitar la implementacin de un SGSI en organizaciones que se estn iniciando en el proceso formal de aseguramiento de la informacin.
Gestinde riesgos
POLTICA INSTITUCIONAL
TECNOLOGA CONTROLADA
PERSONAL CAPACITADO Y CONSCIENTE
Leyes, regulaciones y reglamentos
del sector
Estndares:- Extenos- Internos
Guas y procedimientos
Servicios de seguridad
Procesos de seguridadasociados
Desarrollo seguro de
aplicaciones
Seguridad fsica y
ambiental
Difusin y capacitacin
Estructura organizacional
(RyR)
Activos de informacin clasificados
Continuidad del negocio