Principio de Defensa de profundidad

1. Objetivos de la Seguridad Informática:

1.1. Minimizar y gestionar los riesgos además de detectar los posibles problemas y amenazas a la seguridad.

1.2. Garantizar la adecuada utilización de los recursos y de las apps del sistema

1.3. Limitar las pérdidas y conseguir la adecuada recuperación del sistema en caso de incidente de seguridad

1.4. Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos

2. Planes de activación

2.1. Plano técnico: Incluye selección, instalación, configuración y actualización de soluciones Hardware y Software (HW Y SW)

2.1.1. Criptografía

2.2. Plano legal: Son las leyes que cada país impone

2.3. Plano humano

2.3.1. Sensibilización y formación de empleados y directivos

2.3.2. Definición de funciones y obligaciones del personal y responsabilidades

2.3.3. Control y supervisión de los empleados

2.4. Plano organizativo: Donde se define e implantan:

2.4.1. 1.Políticas, normas y procedimientos

2.4.2. 2.Planes de contingencia y respuesta de incidentes

2.4.3. 3.Relaciones con terceros

3. Tecnologias UtilizadasSoftware para SGSI

3.1. El Software ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.

4. BIBLIOGRAFIA https://www.isotools.pe/iso-27001-factores-para-aplicar-defensa-en-profundidad-organizacion/#:~:text=Los%20cortafuegos%20son%20utilizados%20como,ataques%20tanto%20internos%20como%20externos. https://www.pmg-ssi.com/2015/01/iso-27001-componentes-de-la-defensa-en-profundidad/#:~:text=de%20nuestra%20organizaci%C3%B3n.-,Tecnolog%C3%ADa%20cortafuegos,ataques%20tanto%20internos%20como%20externos. http://polux.unipiloto.edu.co:8080/00002061.pdf

5. consiste en usar varias medidas de seguridad para proteger la integridad de la información. Este planteamiento cubre todos los aspectos de la seguridad empresarial, y es deliberadamente redundante cuando es necesario

6. Seguridad informática: Cualquier medida que impida la ejecución de aplicaciones no autorizadas sobre un sistema o red informática cuyos efectos pueden conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad

7. Cuales son las capas de defensa de Profundidad

7.1. Políticas y procedimientos de seguridad: Reglas, obligaciones y procedimientos que definan el enfoque de la organización para la protección y seguridad de la información. Las políticas deben comunicarse a toda la organización en una forma apropiada, entendible y accesible.

7.2. Seguridad física y del entorno: Objetivo: evitar que un posible atacante disponga de acceso físico a los equipos e infraestructuras de red industrial (al Hardware).

7.3. Defensa perimetral: El perímetro es el punto o conjunto de puntos de la red interna de confianza, gestionada por la propia organización, entra en contacto con otras redes externas o no fiables, cómo puede ser Internet o redes gestionadas por terceros.

7.4. Defensa de red: Si el atacante tiene acceso a la red, puede monitorizar el tráfico que circula por ésta, de forma pasiva (solo lectura) o activa (modificación posible).

7.5. Defensa de equipos: La seguridad de equipos, tanto servidores como clientes, se basa en la implementación de las algunos salvaguardas

7.6. Defensa de aplicaciones: Las aplicaciones se protegen realizando un control de acceso mediante la sólida implantación de mecanismos de autenticación y autorización.

7.7. Defensa de datos: Si un atacante ha conseguido traspasar todas las protecciones anteriores y tiene acceso a la aplicación, la autenticación y autorización, así como el cifrado, constituyen las tecnologías más empleadas para proteger los datos.