SlideShare una empresa de Scribd logo

muestra de contenido SI 12092014pdf

M
Marcos Nocete Aguilar
1 de 22
Descargar para leer sin conexión
Marcos Nocete 17/03/2014 mnocete@hotmail.com CONCIENCIACIÓN EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN (LOGO)
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN OBJETIVO: generar un Ecosistema de Seguridad Usuarios: del conocimientoal comportamiento Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN Los tres aspectos de la seguridad de la información Seguridad lógica y tecnológica Seguridad basada en las personas Seguridad física Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 CONCEPTOS BÁSICOS DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN BAJO 27001 1. Se trata de un enfoque por procesos. 2. Permite: a) Comprender los requisitos de seguridad. b) Implementar y operar controles. c) Supervisar y revisar la eficacia del sistema. d) Asegurar la mejora continua. 3. Actualmente se basa en el modelo PDCA, pero eso va a cambiar. 4. Se puede integrar con otras ISO (pe. 9001 y 14001). 5. Es un estandar, pero hay otros. 6. Por su naturaleza, no es vulnerable a tecnologías o software concretos. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 ESPECIALMENTEIMPORTANTE:Concepto de activo. Activo: Cualquierbien que tiene valorpara la organización. Así, se consideranactivos de información o relacionadoscon ella: - La documentaciónimpresa. - Los activosfísicos de almacenamientoo procesamiento de información. - Los intangibles,como la imagen de marca. - Las personas, por su know-how. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 ESPECIALMENTEIMPORTANTE:Concepto de activo. Activo: Cualquierbien que tiene valorpara la organización. Así, se consideranactivos de información: - La documentaciónimpresa. - Los activosfísicos de almacenamientoo procesamiento de información. - Los intangibles,como la imagen de marca. - Las personas, por su know-how. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 El objetivo es que la informaciónmantengasus propiedades:  DISPONIBILIDAD: la propiedad debe ser accesible y utilizable por una entidad autorizada.  CONFIDENCIALIDAD: la información no se pone a disposición o se revela a entidades o procesos que no están autorizados.  INTEGRIDAD: propiedad de salvaguardarla exactitud y completitud de los activos. Comparte objetivoscon la LOPD, que requiere obligatoriamente:  CONFIDENCIALIDAD, INTEGRIDAD,DISPONIBILIDAD. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005  EVENTO DE SEGURIDAD DE LA INFORMACIÓN: ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información […].  INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN:un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa, de comprometer las actividades empresariales. Estas definiciones implican que todo el personal tiene la obligación de estar atento a cualquier situación que suponga un evento, incluso aunque no sea aparentemente nuestra competencia. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN 27001: objetivos de control A. 5. Políticade seguridad. Proporciona indicaciones para la gestión y soporte de la SI de acuerdo con los requisitos empresariales. Implica: a) Que debe existir un Documento de política de Seguridad de la Información y se debe dar a conocer a los interesados. (ver A.5.1.1). b) La política de seguridad debe revisarse periódicamente por sin algo en la organizaciónhubiera cambiado. (A.5.1.2). La aplicación de este punto supone: la Dirección de la empresa publicita su compromisocon la SI (luego se trasmite que debe ser importante). La revisión y aprobación debe producirse por personas de nivel de responsabilidad suficiente. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN 27001: objetivos de control A. 6. Aspectos organizativos de la seguridad de la información(II). Este punto implicapara la organización: - Que se mantengancontactos con las autoridades competentes (pe. en el cas de España, la Ley 15/99 obliga a declarar los ficheros a la AEPD) (A.6.1.6.) - Que se mantengancontactos con grupos de interés especial (pe. foros de cyberseguridad). (A.6.1.7.) - Que la SI se revise de forma independiente (A.6.1.8.) Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN I. Política de Seguridad Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN I. Política de Seguridad 4. La informaciónque maneja la compañía ¿estáclasificada de alguna manera? Respuesta adecuada: la que demuestre que se conoce la existencia de tres niveles de criticidad o sus equivalencias según la LOPD. Respuestas inadecuadas: Las que impliquen desconocimiento de la existencia y especial protección de la información crítica. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN II. Acceso físico a las Instalaciones Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN II. Acceso físico a las Instalaciones 5. ¿Quiénes disponen de tarjeta de acceso? Respuesta adecuada: todo el personal con acceso habitual a las instalaciones de la empresa debe tener su tarjeta de acceso personal. Para las visitas existe la posibilidad de tarjetas temporales. Respuesta inadecuada: desconocer que todo el mundo dentro del edificio debe contar con tarjeta. 6. Le has prestado alguna vez tu tarjeta a algún compañero? Respuesta adecuada: No, podría ser un problema de seguridad. Respuesta inadecuada: sí; a veces; una vez lo hice (o cualquiera de sus variantes). 7. ¿A quién acudirías si se te estropeara o perdiera la acreditación? Respuesta adecuada: Acudiría a mi responsable inmediato. Respuesta inadecuada: excesivas dudas. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN V. Manejo de Dispositivos Móviles Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN V. Manejo de Dispositivos Móviles 27. ¿Dispones de teléfono de empresa?, ¿qué harías en caso de robo o pérdida? Respuesta adecuada: mostrar conocimiento del protocolo de la organización para el caso. Respuesta inadecuada: desconocimiento del sentido común anterior. 28. ¿Utilizas tu teléfono personal para tener el correo de la empresa?, ¿qué harías en caso de robo o pérdida? Respuesta adecuada (en caso de utilizarlo): ídem que en la pregunta anterior. * Muchas organizaciones disponen de protocolos para este caso, el conocimientode los mismos indica concienciación. Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN VII. Uso del correo electrónico Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN VII. Uso del correo electrónico 40. Un correo electrónico ¿se considera vinculante? Respuesta adecuada: sí, equivale a haber firmado una carta. Respuesta inadecuada: No. No lo sé. (O similares). 41. ¿Con qué correos debo tener un cuidado especial por motivos de seguridad, virus, etc.? Respuesta adecuada: los de remitentes desconocidos, los que estén escritos de forma extraña en su “asunto”, los que contengan algún tipo de software o archivo ejecutable, los que vengan en un idioma que desconozco o no esperado…. Respuestas inadecuadas: No lo sé. (O mostrar desconocimiento de los casos anteriores).
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN IX. Blogs y otras RRSS Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN IX. Blog y otras RRSS 53. ¿Existe en Oracle alguna indicación sobre el uso de redes sociales o blogs? Respuesta adecuada: sí, (indicar la referencia documental de Oracle) Respuesta inadecuada: No. No lo sé,.. (O mostrar desconocimiento ). 54. ¿Qué es lo que nunca debería publicar en ninguna red social? Respuesta adecuada: información de la empresa, información de terceros, cualquier tipo de información confidencial de la empresa, trabajadores o clientes, opiniones en nombre de la empresa o que pudieran pasar por tales, contenidos racistas, sexistas, etc. (O respuestas que incluyan alguna de estas ideas). Respuesta inadecuada: No lo sé. No se me ocurre,… (O respuestas que muestran desconocimiento de las normas o desactualización). Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ANÁLISIS DE UN INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN REAL El caso Príncipe Guillermo (El País, 21/11/2012 ). Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ANÁLISIS DE UN INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN REAL  ¿Qué tipo de incidente se refleja en la fotografía?  ¿Quién o quienes son los responsables?  ¿Cuáles son las consecuencias potenciales de este incidente?  ¿Nos puede pasar algo parecido en nuestra organización? Marcos Nocete 17/03/2014 mnocete@hotmail.com

Recomendados

Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadMonic Arguello
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaFernando Alfonso Casas De la Torre
 
Si semana01
Si semana01Si semana01
Si semana01Jorge Pariasca
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoWilliamBeltran007
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJorge Hernan Martinez Ruiz
 
Taller 1
Taller 1Taller 1
Taller 1willyjavrivchav
 

Recomendados

Articles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadArticles 5482 g3-procedimiento_de_seguridad
Articles 5482 g3-procedimiento_de_seguridadMonic Arguello
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaFernando Alfonso Casas De la Torre
 
Si semana01
Si semana01Si semana01
Si semana01Jorge Pariasca
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacionmargretk
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Paso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoPaso9 100414 66_artículo_científico
Paso9 100414 66_artículo_científicoWilliamBeltran007
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaJorge Hernan Martinez Ruiz
 
Taller 1
Taller 1Taller 1
Taller 1willyjavrivchav
 
Presentacion Seguridad Informatica
Presentacion Seguridad InformaticaPresentacion Seguridad Informatica
Presentacion Seguridad Informaticaalegria92
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionBioga Dixital
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaCarlos M. Sandoval
 
Si u1 apuntes
Si u1 apuntesSi u1 apuntes
Si u1 apuntesroland castillo
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y proteccióngrarysit
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Seminario
SeminarioSeminario
SeminarioEdilberto bland?
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgosJorge Pariasca
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONseguridad7p
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaIng. LucioJAP
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clCristian Sepulveda
 
Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuelainstituto universitario de tecnologia antonio jose de sucre
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNYurlyMilenaJAIMESTOR1
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Resume Vikash Pandey
Resume Vikash PandeyResume Vikash Pandey
Resume Vikash PandeyVikash Pandey
 
Proyecto innovacion
Proyecto innovacionProyecto innovacion
Proyecto innovacionjimenez_88
 

Más contenido relacionado

La actualidad más candente

Presentacion Seguridad Informatica
Presentacion Seguridad InformaticaPresentacion Seguridad Informatica
Presentacion Seguridad Informaticaalegria92
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionBioga Dixital
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y proteccióngrarysit
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONseguridad7p
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logicaIng. LucioJAP
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clCristian Sepulveda
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNYurlyMilenaJAIMESTOR1
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 

La actualidad más candente (20)

Presentacion Seguridad Informatica
Presentacion Seguridad InformaticaPresentacion Seguridad Informatica
Presentacion Seguridad Informatica
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Si u1 apuntes
Si u1 apuntesSi u1 apuntes
Si u1 apuntes
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y protección
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seminario
SeminarioSeminario
Seminario
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
 
Seguridad informatica en venezuela
Seguridad informatica en venezuelaSeguridad informatica en venezuela
Seguridad informatica en venezuela
 
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓNSEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 

Destacado

Resume Vikash Pandey
Resume Vikash PandeyResume Vikash Pandey
Resume Vikash PandeyVikash Pandey
 
Proyecto innovacion
Proyecto innovacionProyecto innovacion
Proyecto innovacionjimenez_88
 
Ejercicio 7
Ejercicio 7Ejercicio 7
Ejercicio 7luguuz
 
Rafael e thiago
Rafael e thiagoRafael e thiago
Rafael e thiagoNute JPA
 
ResBaz poster: Toolkit
ResBaz poster: ToolkitResBaz poster: Toolkit
ResBaz poster: ToolkitTom Kelly
 
EPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAU
EPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAUEPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAU
EPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAUVia Putri
 
Antoniodeguglielmowindows
AntoniodeguglielmowindowsAntoniodeguglielmowindows
AntoniodeguglielmowindowsMaria Langone
 

Destacado (11)

Resume Vikash Pandey
Resume Vikash PandeyResume Vikash Pandey
Resume Vikash Pandey
 
Proyecto innovacion
Proyecto innovacionProyecto innovacion
Proyecto innovacion
 
Ejercicio 7
Ejercicio 7Ejercicio 7
Ejercicio 7
 
Rafael e thiago
Rafael e thiagoRafael e thiago
Rafael e thiago
 
Entrevista al dircom
Entrevista al dircomEntrevista al dircom
Entrevista al dircom
 
ResBaz poster: Toolkit
ResBaz poster: ToolkitResBaz poster: Toolkit
ResBaz poster: Toolkit
 
Os clubs de lectura 2015
Os clubs de lectura 2015Os clubs de lectura 2015
Os clubs de lectura 2015
 
EPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAU
EPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAUEPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAU
EPIDOMOLOGI KASUS ISPA DI DAERAH GUNTUNG PAYUNG AKIBAT MUSIM KEMARAU
 
linkedin new_Part2
linkedin new_Part2linkedin new_Part2
linkedin new_Part2
 
Argentina
ArgentinaArgentina
Argentina
 
Antoniodeguglielmowindows
AntoniodeguglielmowindowsAntoniodeguglielmowindows
Antoniodeguglielmowindows
 

Similar a muestra de contenido SI 12092014pdf

DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...xavazquez
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadMao Sierra
 
Informe tecnico seguridad informatica
Informe tecnico seguridad informaticaInforme tecnico seguridad informatica
Informe tecnico seguridad informaticadahiaperez96
 
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad InformáticaInforme Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad InformáticaJesús Daniel Mayo
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Seguridad de la información 2017
Seguridad de la información 2017Seguridad de la información 2017
Seguridad de la información 2017Ronald Torrez
 
Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010guestf02120
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Alonso Caballero
 

Similar a muestra de contenido SI 12092014pdf (20)

Ciber seguridad
Ciber seguridadCiber seguridad
Ciber seguridad
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
Informe tecnico seguridad informatica
Informe tecnico seguridad informaticaInforme tecnico seguridad informatica
Informe tecnico seguridad informatica
 
seguridad_informatica
seguridad_informaticaseguridad_informatica
seguridad_informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad InformáticaInforme Análisis de caso Simón II - Gestión de la Seguridad Informática
Informe Análisis de caso Simón II - Gestión de la Seguridad Informática
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Seguridad de la información 2017
Seguridad de la información 2017Seguridad de la información 2017
Seguridad de la información 2017
 
Taller 3
Taller 3Taller 3
Taller 3
 
Seguridad, Confidencialidad y Cloud
Seguridad, Confidencialidad y CloudSeguridad, Confidencialidad y Cloud
Seguridad, Confidencialidad y Cloud
 
Seguridad de la información
Seguridad de la información Seguridad de la información
Seguridad de la información
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Unidad 1 capitulo1_final
Unidad 1 capitulo1_finalUnidad 1 capitulo1_final
Unidad 1 capitulo1_final
 
Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010Modulo i introducción curso seguridad 2010
Modulo i introducción curso seguridad 2010
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"
 
Caso estudio 1 victor argueta
Caso estudio 1 victor arguetaCaso estudio 1 victor argueta
Caso estudio 1 victor argueta
 
Segrinfo pilares
Segrinfo pilaresSegrinfo pilares
Segrinfo pilares
 
Segu
SeguSegu
Segu
 

muestra de contenido SI 12092014pdf

  • 1. Marcos Nocete 17/03/2014 mnocete@hotmail.com CONCIENCIACIÓN EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN (LOGO)
  • 2. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN OBJETIVO: generar un Ecosistema de Seguridad Usuarios: del conocimientoal comportamiento Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 3. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN Los tres aspectos de la seguridad de la información Seguridad lógica y tecnológica Seguridad basada en las personas Seguridad física Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 4. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 CONCEPTOS BÁSICOS DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN BAJO 27001 1. Se trata de un enfoque por procesos. 2. Permite: a) Comprender los requisitos de seguridad. b) Implementar y operar controles. c) Supervisar y revisar la eficacia del sistema. d) Asegurar la mejora continua. 3. Actualmente se basa en el modelo PDCA, pero eso va a cambiar. 4. Se puede integrar con otras ISO (pe. 9001 y 14001). 5. Es un estandar, pero hay otros. 6. Por su naturaleza, no es vulnerable a tecnologías o software concretos. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 5. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 ESPECIALMENTEIMPORTANTE:Concepto de activo. Activo: Cualquierbien que tiene valorpara la organización. Así, se consideranactivos de información o relacionadoscon ella: - La documentaciónimpresa. - Los activosfísicos de almacenamientoo procesamiento de información. - Los intangibles,como la imagen de marca. - Las personas, por su know-how. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 6. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 ESPECIALMENTEIMPORTANTE:Concepto de activo. Activo: Cualquierbien que tiene valorpara la organización. Así, se consideranactivos de información: - La documentaciónimpresa. - Los activosfísicos de almacenamientoo procesamiento de información. - Los intangibles,como la imagen de marca. - Las personas, por su know-how. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 7. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005 El objetivo es que la informaciónmantengasus propiedades:  DISPONIBILIDAD: la propiedad debe ser accesible y utilizable por una entidad autorizada.  CONFIDENCIALIDAD: la información no se pone a disposición o se revela a entidades o procesos que no están autorizados.  INTEGRIDAD: propiedad de salvaguardarla exactitud y completitud de los activos. Comparte objetivoscon la LOPD, que requiere obligatoriamente:  CONFIDENCIALIDAD, INTEGRIDAD,DISPONIBILIDAD. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 8. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ISO/IEC 27001:2005  EVENTO DE SEGURIDAD DE LA INFORMACIÓN: ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información […].  INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN:un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa, de comprometer las actividades empresariales. Estas definiciones implican que todo el personal tiene la obligación de estar atento a cualquier situación que suponga un evento, incluso aunque no sea aparentemente nuestra competencia. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 9. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN 27001: objetivos de control A. 5. Políticade seguridad. Proporciona indicaciones para la gestión y soporte de la SI de acuerdo con los requisitos empresariales. Implica: a) Que debe existir un Documento de política de Seguridad de la Información y se debe dar a conocer a los interesados. (ver A.5.1.1). b) La política de seguridad debe revisarse periódicamente por sin algo en la organizaciónhubiera cambiado. (A.5.1.2). La aplicación de este punto supone: la Dirección de la empresa publicita su compromisocon la SI (luego se trasmite que debe ser importante). La revisión y aprobación debe producirse por personas de nivel de responsabilidad suficiente. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 10. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN 27001: objetivos de control A. 6. Aspectos organizativos de la seguridad de la información(II). Este punto implicapara la organización: - Que se mantengancontactos con las autoridades competentes (pe. en el cas de España, la Ley 15/99 obliga a declarar los ficheros a la AEPD) (A.6.1.6.) - Que se mantengancontactos con grupos de interés especial (pe. foros de cyberseguridad). (A.6.1.7.) - Que la SI se revise de forma independiente (A.6.1.8.) Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 11. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN I. Política de Seguridad Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 12. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN I. Política de Seguridad 4. La informaciónque maneja la compañía ¿estáclasificada de alguna manera? Respuesta adecuada: la que demuestre que se conoce la existencia de tres niveles de criticidad o sus equivalencias según la LOPD. Respuestas inadecuadas: Las que impliquen desconocimiento de la existencia y especial protección de la información crítica. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 13. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN II. Acceso físico a las Instalaciones Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 14. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN II. Acceso físico a las Instalaciones 5. ¿Quiénes disponen de tarjeta de acceso? Respuesta adecuada: todo el personal con acceso habitual a las instalaciones de la empresa debe tener su tarjeta de acceso personal. Para las visitas existe la posibilidad de tarjetas temporales. Respuesta inadecuada: desconocer que todo el mundo dentro del edificio debe contar con tarjeta. 6. Le has prestado alguna vez tu tarjeta a algún compañero? Respuesta adecuada: No, podría ser un problema de seguridad. Respuesta inadecuada: sí; a veces; una vez lo hice (o cualquiera de sus variantes). 7. ¿A quién acudirías si se te estropeara o perdiera la acreditación? Respuesta adecuada: Acudiría a mi responsable inmediato. Respuesta inadecuada: excesivas dudas. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 15. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN V. Manejo de Dispositivos Móviles Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 16. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN V. Manejo de Dispositivos Móviles 27. ¿Dispones de teléfono de empresa?, ¿qué harías en caso de robo o pérdida? Respuesta adecuada: mostrar conocimiento del protocolo de la organización para el caso. Respuesta inadecuada: desconocimiento del sentido común anterior. 28. ¿Utilizas tu teléfono personal para tener el correo de la empresa?, ¿qué harías en caso de robo o pérdida? Respuesta adecuada (en caso de utilizarlo): ídem que en la pregunta anterior. * Muchas organizaciones disponen de protocolos para este caso, el conocimientode los mismos indica concienciación. Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 17. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN VII. Uso del correo electrónico Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 18. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN VII. Uso del correo electrónico 40. Un correo electrónico ¿se considera vinculante? Respuesta adecuada: sí, equivale a haber firmado una carta. Respuesta inadecuada: No. No lo sé. (O similares). 41. ¿Con qué correos debo tener un cuidado especial por motivos de seguridad, virus, etc.? Respuesta adecuada: los de remitentes desconocidos, los que estén escritos de forma extraña en su “asunto”, los que contengan algún tipo de software o archivo ejecutable, los que vengan en un idioma que desconozco o no esperado…. Respuestas inadecuadas: No lo sé. (O mostrar desconocimiento de los casos anteriores).
  • 19. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN IX. Blogs y otras RRSS Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 20. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN IX. Blog y otras RRSS 53. ¿Existe en Oracle alguna indicación sobre el uso de redes sociales o blogs? Respuesta adecuada: sí, (indicar la referencia documental de Oracle) Respuesta inadecuada: No. No lo sé,.. (O mostrar desconocimiento ). 54. ¿Qué es lo que nunca debería publicar en ninguna red social? Respuesta adecuada: información de la empresa, información de terceros, cualquier tipo de información confidencial de la empresa, trabajadores o clientes, opiniones en nombre de la empresa o que pudieran pasar por tales, contenidos racistas, sexistas, etc. (O respuestas que incluyan alguna de estas ideas). Respuesta inadecuada: No lo sé. No se me ocurre,… (O respuestas que muestran desconocimiento de las normas o desactualización). Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 21. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ANÁLISIS DE UN INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN REAL El caso Príncipe Guillermo (El País, 21/11/2012 ). Marcos Nocete 17/03/2014 mnocete@hotmail.com
  • 22. CONCIENCIACIÓN EN SEGURIDAD DE LA INFORMACIÓN ANÁLISIS DE UN INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN REAL  ¿Qué tipo de incidente se refleja en la fotografía?  ¿Quién o quienes son los responsables?  ¿Cuáles son las consecuencias potenciales de este incidente?  ¿Nos puede pasar algo parecido en nuestra organización? Marcos Nocete 17/03/2014 mnocete@hotmail.com