3. Definiciones Básicas:
Activo: cualquier cosa que tenga valor para la
organización
Control: forma de defenderse contra un riesgo,
incluyendo políticas, procedimientos, directrices,
prácticas o estructuras organizacionales que pueden
ser de naturaleza administrativa, técnica o de
contingencia
Seguridad de la información: preservación de la
confidencialidad, integridad y disponibilidad de la
información
Política: intenciones o directrices globales
formalmente expresadas por la dirección
4. Levantamiento de Activos
Entrevistas
http://www.microsoft.com/spain/technet/recurs
os/articulos/srappb.mspx
9. Controles Existentes
Físicos
Acceso controlado al edificio por una
recepcionista y guardas con armamento grueso
Tarjetas electrónicas para todas las puertas de
acceso a oficinas de trabajo
Controles Biométricos para el acceso al cuarto de
servidores y bases de datos
Múltiples cámaras de vigilancia
Revisión de personal a la salida
Equipo de mantenimiento que revisa las servicios
periódicamente
10.
11. Controles Existentes (cont.)
Software
Acceso controlado a la red por medio de claves
Permisos de usuario según departamento
Inventario de software instalado
Firewall y antivirus en todos los equipos de la red
Datos:
Destrucción y reciclaje de papelería
Almacenamiento en bases de datos bien resguardadas
fuera del país
Generalidades:
Existe una buena representación legal previamente
contratada
12. Controles recomendados
Físicos:
Realizar inventario intensivo de equipo
Software
Compra de licencias faltantes
Uso de software libre
Contratar hackers para que exploten nuestras vulnerabilidades
Datos
Encriptación
Backups periódicos
Revisiones de acceso y uso de información
Generalidades:
Charlas sobre seguridad a empleados
Charlas motivacionales a los empleados
Plan de continuidad
14. Conclusiones
La empresa para la que laboro no está a un
100% en lo que refiere a la seguridad de la
información
Existen vulnerabilidades y deficiencias que
pueden ser solventadas con políticas y un
poco de inversión
Existen vulnerabilidades para las cuales es
casi imposible estar preparado
15. Conclusiones (cont.)
La seguridad electrónica cada vez juega un
papel más importantes en las empresas y se
ha convertido en un gasto prioritario
Se debe dar seguimiento a las soluciones que
velan por la seguridad, no vale con
implantarlas, hay que monitorearlas y
ajustarlas periódicamente
Se deben hacer simulacros para ver como se
respondería ante una situación dada
16. Referencias
http://iso27002.wiki.zoho.com/7-1-1-Inventario-
de-Activos.html
http://jmpovedar.wordpress.com/auditoria-
informatica/
http://www.microsoft.com/spain/technet/recurs
os/articulos/srappb.mspx
http://www.inteco.or.cr/esp/
http://www.inteco.es/
Norma IRAM ISO IEC 17799 - Argentina.
Estandar ISO 17799 (2005) – Español