1. VULNERABILIDADES INFORMATICAS
1.1. Uso de computadoras, programas y equipos de red de tipo genérico en aplicaciones críticas.
1.2. Confianza excesiva en algún único dispositivo u oficina de seguridad.
1.3. Fallas de seguimiento en el monitoreo o indicadores de seguridad.
1.4. Cambio frecuente de elementos de la plataforma informática.
1.5. Falla en la adjudicación o seguimiento de responsabilidades.
1.6. Planes de contingencia nulos o pobres, tanto para situaciones cotidianas como extremas.
1.7. Ignorancia, negligencia o curiosidad por parte de usuarios en general de los sistemas.
1.8. Equipos, programas y redes "heredados" de generaciones tecnológicas anteriores.
1.9. Errores inherentes al diseño de microprocesadores y micro-códigos que se encuentran en rutinas básicas o "núcleo" de los sistemas, o en el encriptado o virtualización.
2. RIESGOS INFORMATICOS
2.1. Sustracción de datos personales para usos malintencionados.
2.2. Fugas de información, extracción o pérdida de información valiosa y/o privada.
2.3. Acciones de "ingeniería social" malintencionada: "phishing", "spam", espionaje, etcétera.
2.4. Uso indebido de materiales sujetos a derechos de propiedad intelectual.
2.5. Daño físico a instalaciones, equipos, programas, etcétera.
3. IMPACTOS
3.1. Disrupción en las rutinas y procesos de la organización con posibles consecuencias a su capacidad operativa.
3.2. Multas, sanciones o fincado de responsabilidades por violaciones a normatividad de confidencialidad.
3.3. Pérdida de la privacidad en registros y documentos de personas.
3.4. Incremento sensible y no programado en gastos emergentes de seguridad.
3.5. Costos de reemplazo de equipos, programas, y otros activos informáticos dañados, robados, perdidos o corrompidos en incidentes de seguridad.
4. LOS DIEZ DOMINIOS O ÁREAS DEL ESTÁNDAR SON:
4.1. Políticas de seguridad
4.1.1. Políticas de acceso a instalaciones sensibles.
4.1.2. Políticas y procedimientos de respaldo de datos.
4.1.3. Políticas y procedimientos de resguardo de información.
4.2. Aspectos formales para la seguridad organizational
4.2.1. Elaboración de diagnósticos de seguridad.
4.2.2. Establecimiento de personas, áreas o comités específicamente creados para la seguridad informática.
4.3. Clasificación y control de activos
4.3.1. Realización de un inventario completo de bases de datos y sistemas y aplicaciones informáticos.
4.3.2. Establecer y dar seguimiento a la periodicidad de estos inventarios.
4.4. Seguridad de las acciones del personal
4.4.1. Elaboración de los "perfiles de usuario" con acceso a cada una de las diversas bases de datos y recursos de información de la organización, tanto para el personal como para otros usuarios externos.
4.4.2. Establecimiento de normas y políticas para el uso correcto de las redes y la Internet.
4.5. Seguridad física y de entorno
4.5.1. Establecimiento de normas, políticas y procedimientos para regular el acceso restringido a instalaciones, equipos e infraestructura sensibles.
4.6. Administración de operaciones, comunicaciones y equipo
4.6.1. Monitoreo frecuente del acceso a sistemas, aplicaciones y bases de datos.
4.6.2. Establecimiento de normas, políticas y procedimientos para verificar de la integridad de la información que se crea y almacena.
4.6.3. Establecimiento de normas, políticas y procedimientos para llevar bitácoras y controles de fallas de equipos y sistemas.
4.7. Control de acceso a los sistemas
4.7.1. Establecimiento de normas, políticas y procedimientos para regular el acceso a todas las bases de datos y sistemas de información.
4.7.2. Establecimiento de normas, políticas y procedimientos para validación e integridad de datos, así como para depuraciones, descartes / disposiciones periódicas.
4.7.3. Establecimiento de normas, políticas y procedimientos para acceso a los sistemas y aplicaciones informáticos a través de identificación y autenticación.
4.8. Desarrollo de sistemas y su mantenimiento
4.8.1. Establecer y llevar procedimientos normados para la etapa de pruebas y liberación de nuevas versiones de sistemas de información.
4.8.2. Establecimiento de procedimientos estandarizados para la creación de manuales de usuario y manuales técnicos de todos los sistemas de información y mantenerlos actualizados.
4.9. Control de incidentes de seguridad de la información y continuidad de las operaciones de la organización.
4.9.1. Diseñar y establecer "centros espejo" o "bases de datos espejo" o "archivos espejo", supervisando su actualización rigurosa de acuerdo a lo estipulado por la organización del RFE.
4.9.2. Establecimiento de procedimientos estandarizados en todas las áreas respecto a la solución de incidentes o escalamiento de los mismos a instancias superiores.
4.9.3. Establecimiento de planes de contingencia, salvaguarda y recuperación de datos
4.10. Aspectos legales y normativos de la seguridad informática
4.10.1. Conocer y difundir las leyes, reglamentaciones, normas, etcétera dentro del marco jurídico que rigen y/o afectan a la organización.
4.10.2. Establecer y aplicar procedimientos normativos que rijan la adquisición y/o contratación de bienes y servicios informáticos, especialmente los dedicados a la seguridad informática.
4.10.3. Diseñar, establecer y supervisar los mecanismos para verificar el correcto seguimiento de normas, políticas y procedimientos de seguridad informática en todas las áreas de la organización.
5. CONCEPTOS DE LA SEGURIDAD INFORMÁTICA:
5.1. Recursos Informáticos
5.2. Amenaza
5.3. Impacto
5.4. Vulnerabilidad
5.5. Riesgo
6. AMENAZAS INFORMATICAS
6.1. El advenimiento y proliferación de "malware" o "malicious software"
6.2. El acceso no autorizado a conjuntos de información.
6.3. La pérdida, destrucción o sustracción de información debida a vandalismo.
6.4. Los "spammers" y otros mercadotecnistas irresponsables y egoístas quienes saturan y desperdician el ancho de banda de las organizaciones.
6.5. Los "phishers", especializados en robo de identidades personales y otros ataques del tipo de "ingeniería social".
7. ESTRATEGIA Y METODOLOGÍAS PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA
7.1. Este análisis o valoración de riesgos permite estar en capacidad de:
7.1.1. Identificar, evaluar y manejar los riesgos de seguridad informática.
7.1.2. Determinar las medidas de seguridad que minimizan o neutralizan ese riesgo a un costo razonable.
7.1.3. Tomar decisiones preventivas y planeadas en lo tocante a seguridad.
7.1.4. Establecer la probabilidad de que un recurso informático quede expuesto a un evento, así como el impacto que ese evento produciría en la organización.
7.2. Los elementos que un análisis de riesgos debe cubrir son:
7.2.1. Análisis de los activos que son de valor.
7.2.2. Análisis de amenazas cuya ocurrencia pueda producir pérdidas a la organización.
7.2.3. Análisis de vulnerabilidades en los controles de seguridad y en los sistemas.
7.2.4. Análisis de todos los riesgos y sus impactos en las operaciones de la organización.
7.2.5. Análisis de las medidas de seguridad que actuarían como una protección total o parcial contra cada riesgo.
7.3. Las limitantes generalmente observadas en estas metodologías son:
7.3.1. Es un proceso analítico con un gran número de variables.
7.3.2. Una sola metodología no es aplicable a todos los ambientes.
7.3.3. Inversión considerable de tiempo y recursos dedicados a las actividades.
7.3.4. Las soluciones al problema de seguridad no son instantáneas ni permanentes; el análisis de riesgos y sus soluciones es un proceso cíclico y continuo que involucra no sólo al área de tecnologías de la información sino a la organización en general.
7.3.5. La seguridad informática requiere de la participación de todos los niveles de la organización y es una responsabilidad compartida.