Importancia de la ciberseguridad
Enviado por Alejandro Díaz • 9 de Mayo de 2022 • Tareas • 1.550 Palabras (7 Páginas) • 164 Visitas
[pic 1][pic 2][pic 3]
[pic 4]
Contenido
1. Introducción 2
2. Estándares base 2
3. Descripción de la empresa 2
4. Niveles de alerta y medidas asociadas 2
5. Justificación de las medidas 2
6. Conclusiones 2
7. Bibliografía 2
Introducción
La ciberseguridad forma parte de las actividades diarias de las personas como de todas las empresas ya sea de sector público o privado. En la actualidad ninguna compañía está exenta de sufrir un ciberataque, ya que la mayoría de información se encuentra expuesta en la red.
Para la realización de esta práctica, de la mano de entender la importancia de la ciberseguridad, vamos a realizar un análisis en función de los diferentes niveles de alerta de infraestructuras críticas (NAIC). Se dará detalle de la norma ISO27001 que será de base para la realización de la práctica.
También, se dará a conocer una breve descripción de la empresa sobre la cual se desarrollará la actividad, es decir la aplicación de las medidas de protección y seguridad para infraestructuras críticas e industriales. Como se menciona en la descripción de la actividad estas medidas deben ser adecuadas de acuerdo con los niveles de alertas de infraestructuras críticas (NAIC).
Estándares base
Para la realización de esta actividad se tomará como base la Norma ISO/IES27001.
ISO27001
Tiene como origen su primera publicación para octubre 2005, la cual tuvo su segunda edición para septiembre de 2013. De la familia de la serie 27000 es la que mayor relevancia tiene y posee los requisitos para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). En su anexo A, se enumeran los diferentes controles de forma resumida, los cuales pueden ser seleccionados por las organizaciones para la implementación de sus SGSI.
Descripción de la empresa
La empresa sobre la cual se va a realizar la práctica se trata de una organización que presta servicios de medicina prepagada en Ecuador. Dado que la prestación de los servicios está relacionada con la salud de las personas, se considera una infraestructura crítica.
La organización cuenta con 4 sucursales, las cuales se encuentran en diferentes ciudades de Ecuador. El personal cuenta con la asignación de equipo de computo (laptop) y en el caso del personal de ventas (Tablet) y dependiendo las medidas sanitarias por la pandemia se cuenta con la opción de teletrabajo. En total existen alrededor de 550 empleados en la organización. También, la organización trabaja de la mano con proveedores, bróker y prestadores, lo que hace que la información sea compartida.
Niveles de alerta y medidas asociadas
En la siguiente tabla se detalla el plan de medidas de protección para nuestra infraestructura crítica (organización). Se realiza la recopilación de 20 controles aplicables a diferentes ámbitos de la organización. Para la realización de estas medidas de protección nos hemos basado en los descrito anteriormente, la norma ISO27001.
Es así como, en base al Anexo A observamos los objetivos de control y controles:
- Políticas de Seguridad de la Información
- Organización de la seguridad de la información
- Seguridad de los recursos humanos
- Gestión de activos
- Control de acceso
- Criptografía
- Seguridad física y del entorno
- Seguridad de las operaciones
- Seguridad de las comunicaciones
- Adquisición, desarrollo y mantenimiento de sistemas
- Relaciones con los proveedores
- Gestión de incidentes de seguridad de la información
- Aspectos de seguridad de la información de la gestión de continuidad del negocio
- Cumplimiento
Dominio | Objetivo de control | Control | Nivel de Alerta | Responsable de su aplicación | Fecha límite de implementación | ||||
POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN | Política para la seguridad de la información | Se puede definir un conjunto de políticas para la seguridad de la información. | 1 | 2 | 3 | 4 | 5 | Dirección de la organización | Implementado |
Revisión de las políticas para la seguridad de la información | Las políticas para la seguridad de la información se deben realizar a intervalos planificados, o si ocurren cambios significativos. | 1 | 2 | 3 | 4 | 5 | Dirección de la organización | Implementado | |
ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN | Roles y responsabilidades para la seguridad de la información | Se debe definir y asignar todas las responsabilidades de la seguridad de la información. | 1 | 2 | 3 | 4 | 5 | ||
Política para dispositivos móviles | Se deben adoptar unas políticas y unas medidas de seguridad de soporte, para gestionar los riesgos introducidos por el uso de dispositivos móviles. | 1 | 2 | 3 | 4 | 5 | |||
Teletrabajo | Se deben adoptar unas políticas y unas medidas de seguridad de soporte, para proteger la información a la que se tiene acceso, que es procesada o almacenada en los lugares donde se realiza el teletrabajo. | 5 | |||||||
SEGURIDAD DE LOS RECURSOS HUMANOS | Selección | Las verificaciones de los antecedentes de todos los candidatos a un empleo que deben llevar a cabo de acuerdo con las leyes, reglamentaciones y ética pertinentes, y deben ser proporcionales a los requisitos del negocio, a la clasificación de la información a que se va a tener acceso, y a los riesgos percibidos. | 1 | 2 | 3 | 4 | 5 | ||
Términos y condiciones del empleo | Los acuerdos contractuales con empleados y contratistas deben establecer sus responsabilidades y las de la organización en cuanto a la seguridad de la información. | 1 | 2 | 3 | 4 | 5 | |||
Responsabilidades de la dirección. | La dirección debe exigir a todos los empleados y contratistas la aplicación de la seguridad de la información de acuerdo con las políticas y procedimientos establecidos por la organización. | 1 | 2 | 3 | 4 | 5 | |||
Toma de conciencia, educación y formación en la seguridad de la información. | Todos los empleados de la organización, y en donde sea pertinente, los contratistas. | 1 | 2 | 3 | 4 | 5 | |||
-- GESTIÓN DE ACTIVOS | Inventario de Activos | Se deben identificar los activos asociados con información e instalaciones de procesamiento de información, y se debe elaborar y mantener un inventario de estos activos. | 1 | 2 | 3 | 4 | 5 | ||
Clasificación de la información | La información se debe clasificar en función de los requisitos legales, valor, criticidad y susceptibilidad a divulgación o a modificación no autorizada. | 1 | 2 | 3 | 4 | 5 | |||
Gestión de medios removibles. | Se deben implementar procedimientos para la gestión de medios removibles, de acuerdo con el esquema de clasificación de información adoptado por la organización. | 4 | 5 | ||||||
CONTROL DE ACCESO | Política de control de acceso. | Se debe establecer, documentar y revisar una política de acceso con base a los requisitos del negocio y de seguridad de la información. | 1 | 2 | 3 | 4 | 5 | ||
Acceso a redes y a servicios en red. | Solo se debe permitir accesos de los usuarios a la red y a los servicios de red para los que hayan sido autorizados específicamente. | 3 | 4 | 5 | |||||
Registro y cancelación del registro de usuarios. | Se debe implementar un proceso formal de registro y de cancelación de registro de usuarios, para posibilitar la asignación de los derechos de acceso. | 1 | 2 | 3 | 4 | 5 | |||
Gestión de derechos de acceso privilegiado | Se debe restringir y controlar la asignación y uso de derechos de acceso privilegiado. | 3 | 4 | 5 | |||||
Sistema de gestión de contraseñas | Los sistemas de gestión de contraseñas deben ser interactivos y deben asegurar la calidad de las contraseñas | 1 | 2 | 3 | 4 | 5 | |||
SEGURIDAD FÍSICA Y DEL ENTORNO | Perímetro de seguridad física. | Se deben definir y usar perímetros de seguridad, y usarlos para proteger áreas que contengan información confidencial o critica, e instalaciones de manejo de información | 3 | 4 | 5 | ||||
Mantenimiento de equipos | Los equipos se deben mantener correctamente para asegurar su disponibilidad e integridad continuas. | 1 | 2 | 3 | 4 | 5 | |||
Política de escritorio limpio y pantalla limpia. | Se debe adoptar una política de escritorio limpio para los papeles y medios de almacenamiento removibles, y una política de pantalla limpia en las instalaciones de procesamiento de información. | 1 | 2 | 3 | 4 | 5 | |||
SEGURIDAD DE LAS OPERACIONES | Separación de los ambientes de desarrollo, pruebas y operación. | Se deben separar los ambientes de desarrollo, prueba y operación, para reducir los riesgos de acceso o cambios no autorizados al ambiente de operación. | 3 | 4 | 5 | ||||
Respaldo de la Información. | Se deben hacer copias de respaldo de la información, software e imágenes de los sistemas, y ponerlas a prueba regularmente de acuerdo con una política de copias de registro acordadas. | 3 | 4 | 5 | |||||
Registros del administrador y del operador. | Las actividades del administrador y del operador del sistema se deben registrar, y los registros se deben proteger y revisar con regularidad. | 2 | 3 | 4 | 5 | ||||
Sincronización de relojes | Los relojes de todos los sistemas de procedimiento de información pertinentes dentro de una organización o ámbito de seguridad se deben sincronizar con una única fuente de referencia de tiempo. | 1 | 2 | 3 | 4 | 5 | |||
Restricciones sobre la instalación de software | Se debe establecer e implementar las reglas para la instalación de software por parte de los usuarios. | 1 | 2 | 3 | 4 | 5 | |||
SEGURIDAD DE LAS COMUNICACIONES | Separación en las redes | Los grupos de servicios de información, usuarios y sistemas de información se deben separar en las redes. | 1 | 2 | 3 | 4 | 5 | ||
Mensajería electrónica | Se debe proteger adecuadamente la información incluida en la mensajería electrónica. | 1 | 2 | 3 | 4 | 5 | |||
Acuerdos de confidencialidad o de no divulgación. | Se deben identificar, revisar regularmente y documentar los requisitos para los acuerdos de confidencialidad o no divulgación que reflejen las necesidades de la organización para la protección de la información. | 3 | 4 | 5 | |||||
Adquisición, desarrollo y mantenimiento de sistemas | Política de desarrollo seguro | Se deben establecer y aplicar reglas para el desarrollo de software y de sistemas, a los desarrollos dentro de la organización. | 1 | 2 | 3 | 4 | 5 | ||
Desarrollo contratado externamente | La organización debe supervisar y hacer seguimiento de la actividad de desarrollo de sistemas contratados externamente. | 1 | 2 | 3 | 4 | 5 | |||
Pruebas de seguridad de sistemas. | Durante el desarrollo se deben llevar a cabo pruebas de funcionalidad de la seguridad. | 3 | 4 | 5 | |||||
RELACIONES CON LOS PROVEEDORES | Política de seguridad de la información para las relaciones con proveedores. | Política de seguridad de la información para las relaciones con proveedores | 3 | 4 | 5 |
Justificación de las medidas
…
Conclusiones
…
Bibliografía
…
...