1.MARCO TEORICO Para ara el esta estab bleci lecimi mien ento to de un sist sistem ema a de gest gestió ión n de segu seguri rida dad d de la info inform rmac ació ión n se util utiliz izan an los los conc concep epto tos s bási básico cos s refe refere rente ntes s a segu seguri rida dad d y metodologías que proporcionan estándares de seguridad y protección SGSI, como como lo son son ISO/ ISO/I I! ! "#$$ "#$$$, $,OS OSS% S%&& && '($, '($,et et)i )ica call )ac* )ac*in ing, g, tend tendie ient ntes es a garantizarlo y certi+carlo como un sistema protegido, seguro y con+able (
1.1.1 Defnición de seguridad. a seguridad de la información es el con-unto de estándares estándares,, procesos procesos,, procedimi procedimientos, entos, estrategia estrategias, s, recursos recursos informátic informáticos, os, recurs recursos os educa educati. ti.os os y recur recursos sos )umano )umanos s integr integrad ado o para para pro.e pro.eer er toda toda la protección debida y requerida a la información y a los recursos informáticos de una empresa, institución o agencia gubernamental( 1.1.2. Sistema de Gestión de seguridad de la inrmación !SGSI". n sistema de gestión de seguridad de de la información0SGSI1 información0SGSI1 debe responder responder a una política estrat2gica de la organización, su ob-eti.o es fortalecer y asegurar la contin continuid uidad ad de sus operac operacion iones, es, consol consolida idando ndo la e-ecuc e-ecución ión la e-ecuc e-ecución ión de buen buenas as prac practi tica cas, s, para para reduc educir ir al míni mínimo mo los los da3o da3os s caus causad ados os por por una una contingencia ayudando asi a las altas directi.as en la toma de decisiones y optimizando la in.ersión en nue.as tecnologías para el correcto reguardo de la información 1.1.# $laneación de la seguridad seguridad en la red( os ob-eti.os ob-eti.os de la seguridad seguridad se deben eben crear ear de acuer uerdo con con las las estr estra ateg tegias ias de la organiz anizac ació ión, n, adicionalmente estos deben ser comunicados a toda la organización, -unto con su importancia de mantener el sistema seguro, promo.iendo una cultura de la seguridad, la planeación de la seguridad debe tener en cuenta, además de sus ob-e ob-eti ti.o .os, s, las las pers person onas as y ente entes s que que acce accede den n al sist sistem ema, a, adem además ás debe deben n propender propender porque porque todos los particip participantes antes est2n enfocados enfocados en mantener mantener un sistema seguro4 no basta entonces con de+nir las políticas de seguridad si las personas in.olucradas no las apropian de manera intrínseca( 1.1.%. $l&ticas de seguridad. as políticas de seguridad deben responder a la necesidad de mantener un ambiente seguro( as políticas se deben poder poner en practica mediante procedimientos descritos en la administración del sist sistem ema, a, es deci decir, r, esta estas s debe deben n pode poders rse e lle. lle.ar ar a la prác prácti tica ca y obli obliga garr al cump cumpli limi mien ento to de las las acci accion ones es rela relaci cion onad adas as medi median ante te )err )erram amie ienta ntas s de seguridad( así mismo deben de+nir claramente las áreas de responsabilidad de los usuarios, administradores y la dirección en sí, teniendo un responsable para toda situación posible( 1.1. 1.1.' ' Mde Mdel l $lan $lanea earr() ()ac acer er(* (*er erif ifca carr(Actu (Actuar ar!$ !$)* )*A" A".. ste ste mod modelo elo determina un procedimiento que tenga encuenta la de+nición de un alcance sist sist2m 2mic ico, o,co como mo iden identi ti+c +car ar y e.al e.aluar uar el ries riesgo go,d ,de+ e+ni nirr polí políti tica cas s del del SGSI SGSI,, identi identi+ca +carr y e.alua e.aluarr opcio opciones nes para para el tratam tratamien iento to del riesgo riesgo,, selecc seleccion ionar ar
ob-eti ob-eti.os .os de contr control ol y contr controle oles s prepa preparar rar un enunci enunciad ado o de aplica aplicabil bilida idad d y obtener aprobación de gerencia(
1.1.+ 1.1.+ ,ulnera-i ,ulnera-ilidad lidades. es. n seguridad informática, la palabra .ulnerabilidad )ace )ace refer referenc encia ia a una debil debilida idad d en un sistem sistema, a, permit permitien iendo do a un atacan atacante te .iolar .iolar la con+d con+denc encial ialida idad, d, integr integrida idad, d, dispo disponib nibili ilidad dad,, contr control ol de acceso acceso y consistencia del sistema o de sus datos y aplicaciones( na .ulnerabilidad es cualquier fala relacionada con el dise3ado , con+guración e implementación de un sistema o una red, que pueda lle.ar a un e.ento compromete su seguridad(
1.1. 1.1. Amena/as. Amena/as. na amenaza informática es toda circunstancias, e.ento o persona que tiene el potencial de causar da3o a un sistema en forma de robo, destrucción, di.ulgación, modi+caciones de datos o negaciones de ser.icios 05os1 1.1.0 Ataues. n ataque informático es un intento organizado para causar da3os a los sistemas informáticos o las redes de una compa3ía, esos ataques pueden ser causados por bandas delicti.as denominadas piratas o )ac*er, un ataque es una acción que intenta .iolar la seguridad del sistema
