SlideShare una empresa de Scribd logo

3.1 Seguridad de la información gestión y políticas

David Narváez
David Narváez

Este documento trata sobre la gestión y seguridad de la información. Explica conceptos clave como la triada de seguridad de la información (confidencialidad, integridad y disponibilidad), los procesos de gestión de seguridad (políticas, estándares, procedimientos), y el diseño de políticas de seguridad de la información. Además, destaca la importancia de la concienciación de los empleados para hacer efectiva la implementación de las políticas y controles de seguridad.

Ingeniería
1 de 62
Descargar para leer sin conexión
Seguridad de la Información Gestión Autor: Luis David Narváez Máster en Seguridad Informática Unidad 3 GESTIÓN Y SEGURIDAD DE REDES
Temática • Definiciones • Procesos • Gestión de Riesgos. • Normativa y Estándares Seguridad de la Información 2
Introducción a la Administración de Redes 3 Qué es 27000 ? https://www.youtube.com/watch?v=0bk_yirG8EA
Seguridad de la Información Definiciones Unidad 3 4
Seguridad de la Información 5 ¿Qué es la seguridad de la información? << Preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad o el no repudio >> ISO 27001
Seguridad de la Información 6
Seguridad de la Información 7 Coste vs Beneficio El coste de la «no-seguridad» es mayor que el de la «seguridad». Dicho de otra forma, la gestión de la seguridad tiene que fundamentarse en un análisis coste-beneficio. El problema es que la cuantificación del coste en este caso depende del análisis de riesgos.
Seguridad de la Información 8 Gestión de la Seguridad La seguridad de la información implica determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo. La seguridad de la información implica la implementación de estrategias que cubran los procesos de la organización en los cuales la información es el activo primordial.
Seguridad de la Información 9 Gestión de la Seguridad Ejemplo: Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía, detección de intrusos y seguimiento de la actividad interna. No obstante, la simple negligencia de un empleado relativa a la política de claves de seguridad puede permitir el acceso a un intruso. Es importante entender que un sistema de seguridad incluye también a personas y procedimientos, más allá de los sistemas informáticos en sí. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología».
Seguridad de la Información 10 Perspectivas
Seguridad de la Información 11 Perspectivas El punto de vista legal concierne a las regulaciones internacionales, nacionales y regionales que protegen básicamente la privacidad y los derechos de propiedad intelectual.
Seguridad de la Información 12 Perspectivas La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de elementos técnicos (hardware, software, redes) que tiene determinadas características relacionadas con la seguridad.
Seguridad de la Información 13 Perspectivas La visión organizativa considera esencialmente la seguridad como un elemento fundamental para el negocio, dado que permite asegurar que los procesos de negocio se realizan sin disrupciones en cuanto a la confidencialidad, disponibilidad e integridad de la información.
Seguridad de la Información 14 Perspectivas La perspectiva organizativa de la seguridad se basa en el análisis de riesgos, dado que el coste de las brechas o ataques contra la seguridad es un elemento a evitar de difícil estimación. Esto incluye también los riesgos legales, dado que en la mayoría de las empresas se guarda información personal al menos de los clientes.
Seguridad de la Información 15 Perspectivas La seguridad de la información en una organización básicamente implica la protección de los activos necesarios para que la organización cumpla con su misión frente al daño o la destrucción. Por esa naturaleza, es una actividad crítica en la empresa. Dado que no puede conseguirse un nivel perfecto de seguridad, la decisión del grado de seguridad (y el coste que se incurre en obtenerla) es una decisión básica de gestión.
Seguridad de la Información 16 Perspectivas Realidades: Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad como controles innecesarios, engorrosos o excesivos. Por ello, los controles de seguridad deben justificarse adecuadamente y la actitud de los empleados hacia la seguridad debe ser objeto de formación, entrenamiento y explicación.
Seguridad de la Información 17 Sistemas de Información La seguridad es un proceso continuo de mejora y no un estado de un sistema por lo que las políticas y controles establecidos para la protección de la información deberán revisarse, probarse y adecuarse, de ser necesario, ante los nuevos riesgos que se identifiquen.
Seguridad de la Información 18 Conceptos previos
Seguridad de la Información La Seguridad es un asunto económico? Unidad 3 19
Seguridad de la Información 20 Seguridad y Dinero Dado que la seguridad cuesta dinero, el problema fundamental es buscar un equilibrio entre el coste de la seguridad y el impacto económico de los riesgos probables. Es importante entender la vertiente económica de la seguridad, dado que aparentemente los avances técnicos en seguridad (como lo fue la criptografía en su día) no mejoran la seguridad de las empresas si éstas no la ponen en práctica.
Seguridad de la Información 21 Seguridad y Dinero En general, la seguridad implica costes incluso más allá del coste de los sistemas, software o tiempo de expertos en la configuración y diseño de los mismos. También tiene un coste en la forma de la resistencia de los empleados o su frustración, que en ocasiones ven las medidas de seguridad como impedimentos para realizar su trabajo más ágilmente.
Seguridad de la Información 22 Seguridad y Dinero Por eso, muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los dos siguientes elementos:
Seguridad de la Información 23 Marco económico La idea es que hay unos costes, tanto desde el punto de vista del ataque como del de la defensa, y posterior mitigación del daño. Los atacantes se enfrentan a medidas de defensa explícitas y a la identificación de vulnerabilidades. En general para que un atacante incurra en un «coste de ruptura» o CTB los beneficios de su acción tienen que ser superiores.
Seguridad de la Información 24 Marco económico Retorno de la inversión en seguridad de la información (ROSI)
Seguridad de la Información 25 Marco económico Punto de vista 1: Los beneficios de los ataques son difíciles de estimar a priori, pero en general, si se pretende vender información confidencial, por ejemplo, para el fraude de tarjetas de crédito, en general el coste de explorar las vulnerabilidades es bajo en relación al beneficio posible. Solo cuando los mecanismos de protección sean más complejos de burlar un atacante no lo seguirá intentando.
Seguridad de la Información 26 Marco económico Punto de vista 2: Por otro lado, los motivos de los atacantes son subjetivos, e incluyen motivaciones no económicas, que les pueden llevar a incurrir en CTBs mayores que los beneficios económicos esperados (que en ocasiones es ninguno simplemente). La estimación del CTB puede hacerse mediante la contratación de un «penetration testing», donde se contratan servicios de profesionales que intentan realizar un ataque en condiciones realistas.
Seguridad de la Información 27 Costes Básicos Coste de construcción de las medidas defensivas, incluyendo la configuración de firewalls, sistemas redundantes, IDS, etc. Coste de reparación de vulnerabilidades. En una configuración simple, esto puede consistir en mantener el software actualizado con los últimos parches, pero en ocasiones esto no es suficiente, y hace falta un esfuerzo proactivo en buscar vulnerabilidades potenciales según aparecen.
Seguridad de la Información 28 Actividad (1) 3.1 Modelos de retorno de inversión ROSI En esta actividad se cumplirán los siguientes objetivos: • Parte 1: Realizar una lectura comprensiva del documento • Parte 2: Investigar y profundizar sobre uno de los modelos seleccionados, y preparar una presentación.
Seguridad de la Información 29 Norma ISO 27001 https://www.youtube.com/watch?v=BNdPQU32p2Y
Seguridad de la Información 30 Triada SGI Estos tres atributos pueden utilizarse como criterio para los controles de seguridad dentro de las organizaciones. Sus atributos «inversos», de carácter negativo o no deseable, son la revelación, la alteración y la destrucción.
Seguridad de la Información 31 Triada SGI Confidencialidad: Es la propiedad de prevenir la revelación y divulgación intencionada o no intencionada de información a personas o sistemas no autorizados. Las amenazas a la confidencialidad son múltiples y los medios para conseguir acceso muy diversos. Un ejemplo de técnica para obtener información confidencial es el conocido phishing. Con el auge de las redes sociales on-line como Facebook también ha llegado el phishing
Seguridad de la Información 32 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad de la información se gestiona de acuerdo a tres principios básicos: • Dar acceso de acuerdo al criterio del menor privilegio (criterio need- to-know). • Separación de obligaciones (duties). • Rotación de obligaciones.
Seguridad de la Información 33 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
Seguridad de la Información 34 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones. En el contexto de la seguridad de la información, habitualmente se habla de la disponibilidad en dos situaciones típicas: • Ataques de denegación de servicio (denial of service, DoS). • Pérdidas de datos o capacidades de procesamiento de datos debidas a catástrofes naturales (terremotos, inundaciones, etc.) o a acciones humanas (bombas, sabotajes, etc.).
Seguridad de la Información 35 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones.
Seguridad de la Información 36 Triada SGI Disponibilidad: Un ataque DoS sobre un sistema es básicamente un ataque por el cual los recursos de cómputo del sistema se redirigen por medios externos a tareas que impiden su uso por los usuarios legítimos. Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
Seguridad de la Información La Seguridad es un proceso? Unidad 3 37
Seguridad de la Información 38 Procesos La gestión de la seguridad implica la identificación de activos de información y el desarrollo, documentación e implementación de políticas, normas, procedimientos y directrices que garanticen su disponibilidad, integridad y confidencialidad. Las herramientas de gestión (como la clasificación de datos, la formación y concienciación sobre seguridad, la evaluación de riesgos y el análisis de riesgos) se utilizan para identificar las amenazas, clasificar los activos y su vulnerabilidad para establecer controles de seguridad eficaces.
Seguridad de la Información 39 Procesos
Seguridad de la Información 40 Política General Esta es una política general de alto nivel y de carácter estratégico de la que se derivan las demás. Típicamente contiene lo siguiente: • Una declaración de la importancia de los recursos de información en la empresa. • Una declaración de compromiso de la dirección clara con la seguridad de la información. • Un compromiso de delegación a las políticas derivadas de ella.
Seguridad de la Información 41 Políticas Funcionales Esta políticas son también de alto nivel, por lo que indican qué debe hacerse pero no detallan el cómo (esto vendrá detallado concretamente en los procedimientos). Típicamente, estas políticas afectan a un área funcional o un determinado tipo de aplicación, como puede ser la «política de uso del correo electrónico».
Seguridad de la Información 42 Estándares, directrices y procedimientos Los estándares, directrices y procedimientos son medios para implementar las políticas. Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme. Son obligatorios y en ocasiones implican determinados compromisos con ciertos sistemas operativos o fabricantes de software.
Seguridad de la Información 43 Estándares, directrices y procedimientos Las directrices son similares a los estándares pero son solo recomendaciones, no son de obligado cumplimiento. Son un mecanismo más flexible que los estándares y pueden utilizarse para determinar estándares. Los procedimientos (a veces denominados «prácticas») son descripciones detalladas de los pasos para llevar a cabo una determinada tarea para que los usuarios los puedan llevar a cabo sin dudas.
Seguridad de la Información 44 Estándares, directrices y procedimientos Líneas base (baselines) que son descripciones sobre cómo configurar determinados elementos de seguridad para que sean aplicados de manera uniforme en toda la organización.
Seguridad de la Información 45 Estándares, directrices y procedimientos
Seguridad de la Información 46 Actividad (2) 3.2 Políticas de Seguridad de la Información En esta actividad se cumplirán los siguientes objetivos: • Parte 1: Realizar una lectura comprensiva del documento • Parte 2: Realizar una clasificación de las políticas: general y funcionales; estándares, directrices y procedimientos.
Seguridad de la Información Políticas SGSI Unidad 3 47
Seguridad de la Información 48 Políticas SGSI
Seguridad de la Información 49 Gestión de la Seguridad Es importante resaltar la importancia de los programas de concienciación (o educación) de los empleados, necesarios para hacer efectiva la implementación de políticas, estándares y procedimientos.
Seguridad de la Información 50 Diseño de Políticas • Las políticas tienen muchas utilidades, por ejemplo, pueden ser literalmente un salvavidas durante un desastre, o podrían ser un requisito de una función reguladora. • La política también puede proporcionar protección contra la responsabilidad debida a un trabajador o definir acciones para el control de los secretos comerciales.
Seguridad de la Información 51 Diseño de Políticas • El término «política» es uno de esos términos que pueden significar varias cosas en seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores, que se refieren al control de acceso y la información de enrutamiento. • Los estándares, procedimientos y directrices también se conocen como políticas en el sentido más amplio de la seguridad.
Seguridad de la Información 52 Diseño de Políticas • Las políticas se definen como controles administrativos de carácter temático, a veces denominadas políticas funcionales. • Por ello se adopta la siguiente definición de política.
Seguridad de la Información 53 Diseño de Políticas • Por lo tanto, las políticas no son directrices o estándares, ni tampoco obviamente procedimientos. • Las políticas describen la seguridad en términos generales y no específicos. Pueden considerarse las «plantillas» o «requisitos generales» que determinan cómo se diseñarán e implementarán los diferentes elementos de la seguridad.
Seguridad de la Información 54 Diseño de Políticas - Error • La diferencia entre política e implementación es importante. • Por ejemplo, si una política estableciese que el login único debe hacerse con un producto concreto de una empresa, cuando el mercado evolucione, puede que otros productos sean mejores. No parece razonable que el objetivo (que es lo que define la política) esté ligado a un producto o tecnología concreta, al menos en la mayoría de los casos. Ahora bien, la política sí que puede indicar la obligatoriedad de que, independientemente de la elección de producto final, se documenten las razones de por qué se ha seleccionado.
Seguridad de la Información 55 Diseño de Políticas - Objetivos • El diseño de políticas es importante porque estas definen los objetivos de la seguridad. Además, la participación de la dirección en la definición de las políticas proporciona un mensaje claro sobre la implicación y compromiso de la organización en sus niveles directivos. Las políticas, salvo excepciones convenientemente documentadas y aprobadas, se aplican a la organización entera, por lo que facilitan tener unos estándares de seguridad coherentes, y esto es algo que los clientes pueden apreciar y hace la gestión más sencilla.
Seguridad de la Información 56 Diseño de Políticas - Objetivos • Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un empleado por una acción relacionada con la seguridad, y no había política escrita, es complicado justificar esa amonestación.
Seguridad de la Información 57 Diseño de Políticas - Componentes 1. Propósito: incluye la definición del porqué de esta política, es decir, qué se quiere controlar o qué riesgos mitigar en concreto. En este caso se hace referencia a la búsqueda de vulnerabilidades, uno de los riesgos que habitualmente se identifican como importantes en las aplicaciones web por su propia naturaleza. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 58 Diseño de Políticas - Componentes 2. Ámbito: se especifica a qué procesos dentro de la empresa se aplica la política (en este caso, a cualquier desarrollo o mantenimiento de aplicaciones web), quién lleva a cabo los procedimientos que implementarán la política, y qué grado de diseminación tendrá. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 59 Diseño de Políticas - Componentes 3. Descripción de la política en sí. En este caso se detalla cuándo se debe realizar, su duración, las herramientas a utilizar, cómo se deben expresar sus resultados, etc. Podemos considerar ésta como una política bastante detallada. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 60 Diseño de Políticas - Componentes 4. Responsabilidades. Quién es responsable de que se cumpla la política, en este caso es una combinación del staff de seguridad y el personal implicado en el desarrollo de la aplicación web o su mantenimiento. En algunas ocasiones, los responsables pueden ser todo el personal de la empresa, por ejemplo, si la política hace referencia a la gestión del correo electrónico de la empresa, que implica a todos los empleados. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 61 Diseño de Políticas - Adicionales • Sección de definiciones para hacer precisa la política en sí. • Las políticas provienen de la implementación de la gestión que es un ciclo de mejora continua, deben tener algún mecanismo de seguimiento de versiones o revisiones. • • Reutilización de estándares, concretamente, definiciones de OWASP. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información MUCHAS GRACIAS Autor: Luis David Narváez Máster en Seguridad Informática 62

Recomendados

Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
CISSP Cheatsheet.pdf
CISSP Cheatsheet.pdfCISSP Cheatsheet.pdf
CISSP Cheatsheet.pdfshyedshahriar
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Cissp combined notes
Cissp combined notesCissp combined notes
Cissp combined notesJoshua Fonseca
 
Cybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architectureCybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architecturePriyanka Aash
 
ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGArul Nambi
 
SIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkSIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkBernie Leung, P.E., CISSP
 
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo... Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...Hernan Huwyler, MBA CPA
 

Recomendados

Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Aula 4 - Plano de Continuidade de Negócios (PCN)
Aula 4 - Plano de Continuidade de Negócios (PCN)Carlos Henrique Martins da Silva
 
CISSP Cheatsheet.pdf
CISSP Cheatsheet.pdfCISSP Cheatsheet.pdf
CISSP Cheatsheet.pdfshyedshahriar
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Cissp combined notes
Cissp combined notesCissp combined notes
Cissp combined notesJoshua Fonseca
 
Cybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architectureCybersecurity roadmap : Global healthcare security architecture
Cybersecurity roadmap : Global healthcare security architecturePriyanka Aash
 
ISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGISO 27001 - IMPLEMENTATION CONSULTING
ISO 27001 - IMPLEMENTATION CONSULTINGArul Nambi
 
SIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkSIEM in NIST Cyber Security Framework
SIEM in NIST Cyber Security FrameworkBernie Leung, P.E., CISSP
 
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo... Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...
Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a lo...Hernan Huwyler, MBA CPA
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSJohn Gilligan
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...PECB
 
AlienVault MSSP Overview - A Different Approach to Security for MSSP's
AlienVault MSSP Overview - A Different Approach to Security for MSSP'sAlienVault MSSP Overview - A Different Approach to Security for MSSP's
AlienVault MSSP Overview - A Different Approach to Security for MSSP'sAlienVault
 
Journey to the Center of Security Operations
Journey to the Center of Security OperationsJourney to the Center of Security Operations
Journey to the Center of Security Operations♟Sergej Epp
 
A case for Managed Detection and Response
A case for Managed Detection and ResponseA case for Managed Detection and Response
A case for Managed Detection and ResponseDigital Transformation EXPO Event Series
 
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykData Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykEryk Budi Pratama
 
Training Information Asset Owners
Training Information Asset OwnersTraining Information Asset Owners
Training Information Asset OwnersTommy Vandepitte
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
Data Loss Threats and Mitigations
Data Loss Threats and MitigationsData Loss Threats and Mitigations
Data Loss Threats and MitigationsApril Mardock CISSP
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmPriyanka Aash
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdfReZa AdineH
 
Cobit 5 for information security
Cobit 5 for information securityCobit 5 for information security
Cobit 5 for information securityElkanouni Mohamed
 
Data classification-policy
Data classification-policyData classification-policy
Data classification-policyCoi Xay
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Denise Tawwab
 
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)AHM Pervej Kabir
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
The Definitive Guide to Data Loss Prevention
The Definitive Guide to Data Loss PreventionThe Definitive Guide to Data Loss Prevention
The Definitive Guide to Data Loss PreventionDigital Guardian
 
Conceptual security architecture
Conceptual security architectureConceptual security architecture
Conceptual security architectureMubashirAslam5
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionygaiboruniandesr
 

Más contenido relacionado

La actualidad más candente

Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSJohn Gilligan
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...PECB
 
AlienVault MSSP Overview - A Different Approach to Security for MSSP's
AlienVault MSSP Overview - A Different Approach to Security for MSSP'sAlienVault MSSP Overview - A Different Approach to Security for MSSP's
AlienVault MSSP Overview - A Different Approach to Security for MSSP'sAlienVault
 
Journey to the Center of Security Operations
Journey to the Center of Security OperationsJourney to the Center of Security Operations
Journey to the Center of Security Operations♟Sergej Epp
 
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykData Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykEryk Budi Pratama
 
Training Information Asset Owners
Training Information Asset OwnersTraining Information Asset Owners
Training Information Asset OwnersTommy Vandepitte
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
Data Loss Threats and Mitigations
Data Loss Threats and MitigationsData Loss Threats and Mitigations
Data Loss Threats and MitigationsApril Mardock CISSP
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkPECB
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...Wellington Monaco
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmPriyanka Aash
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdfReZa AdineH
 
Cobit 5 for information security
Cobit 5 for information securityCobit 5 for information security
Cobit 5 for information securityElkanouni Mohamed
 
Data classification-policy
Data classification-policyData classification-policy
Data classification-policyCoi Xay
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Denise Tawwab
 
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)AHM Pervej Kabir
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de NegóciosCIMCORP
 
The Definitive Guide to Data Loss Prevention
The Definitive Guide to Data Loss PreventionThe Definitive Guide to Data Loss Prevention
The Definitive Guide to Data Loss PreventionDigital Guardian
 
Conceptual security architecture
Conceptual security architectureConceptual security architecture
Conceptual security architectureMubashirAslam5
 

La actualidad más candente (20)

Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
 
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
Information Security vs. Data Governance vs. Data Protection: What Is the Rea...
 
AlienVault MSSP Overview - A Different Approach to Security for MSSP's
AlienVault MSSP Overview - A Different Approach to Security for MSSP'sAlienVault MSSP Overview - A Different Approach to Security for MSSP's
AlienVault MSSP Overview - A Different Approach to Security for MSSP's
 
Journey to the Center of Security Operations
Journey to the Center of Security OperationsJourney to the Center of Security Operations
Journey to the Center of Security Operations
 
A case for Managed Detection and Response
A case for Managed Detection and ResponseA case for Managed Detection and Response
A case for Managed Detection and Response
 
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_ErykData Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
Data Protection Indonesia: Basic Regulation and Technical Aspects_Eryk
 
Training Information Asset Owners
Training Information Asset OwnersTraining Information Asset Owners
Training Information Asset Owners
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
 
Data Loss Threats and Mitigations
Data Loss Threats and MitigationsData Loss Threats and Mitigations
Data Loss Threats and Mitigations
 
Introduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security FrameworkIntroduction to Risk Management via the NIST Cyber Security Framework
Introduction to Risk Management via the NIST Cyber Security Framework
 
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
LGPD - LEI GERAL DE PROTEÇÃO DE DADOS - SGPD - SISTEMA DE GESTÃO DE PROTEÇÃO ...
 
From SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity ChasmFrom SIEM to SOC: Crossing the Cybersecurity Chasm
From SIEM to SOC: Crossing the Cybersecurity Chasm
 
SIEM POC Assessment.pdf
SIEM POC Assessment.pdfSIEM POC Assessment.pdf
SIEM POC Assessment.pdf
 
Cobit 5 for information security
Cobit 5 for information securityCobit 5 for information security
Cobit 5 for information security
 
Data classification-policy
Data classification-policyData classification-policy
Data classification-policy
 
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2Understanding the NIST Risk Management Framework: 800-37 Rev. 2
Understanding the NIST Risk Management Framework: 800-37 Rev. 2
 
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
 
Plano de Continuidade de Negócios
Plano de Continuidade de NegóciosPlano de Continuidade de Negócios
Plano de Continuidade de Negócios
 
The Definitive Guide to Data Loss Prevention
The Definitive Guide to Data Loss PreventionThe Definitive Guide to Data Loss Prevention
The Definitive Guide to Data Loss Prevention
 
Conceptual security architecture
Conceptual security architectureConceptual security architecture
Conceptual security architecture
 

Similar a 3.1 Seguridad de la información gestión y políticas

Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionygaiboruniandesr
 
Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Kandu Tapia
 
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Kandu Tapia
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdfArturoLazarteVilcama
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Miguel Véliz
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 

Similar a 3.1 Seguridad de la información gestión y políticas (20)

Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1
 
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Marco
MarcoMarco
Marco
 
Marco
MarcoMarco
Marco
 
Segrinfo pilares
Segrinfo pilaresSegrinfo pilares
Segrinfo pilares
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
(5026)SEGURIDAD_INFORMACION.ppt
(5026)SEGURIDAD_INFORMACION.ppt(5026)SEGURIDAD_INFORMACION.ppt
(5026)SEGURIDAD_INFORMACION.ppt
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 

Más de David Narváez

3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdf3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdfDavid Narváez
 
1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdf1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdfDavid Narváez
 
Muestreo Aleatorio - Bioestadística
Muestreo Aleatorio - BioestadísticaMuestreo Aleatorio - Bioestadística
Muestreo Aleatorio - BioestadísticaDavid Narváez
 
Protocolos y Acceso a la Red
Protocolos y Acceso a la RedProtocolos y Acceso a la Red
Protocolos y Acceso a la RedDavid Narváez
 
Procedimientos Estadística Descriptiva
Procedimientos Estadística DescriptivaProcedimientos Estadística Descriptiva
Procedimientos Estadística DescriptivaDavid Narváez
 
Variables Recolección Datos
Variables Recolección DatosVariables Recolección Datos
Variables Recolección DatosDavid Narváez
 
2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdf2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdfDavid Narváez
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfDavid Narváez
 
1. Redes en la Actualidad
1. Redes en la Actualidad1. Redes en la Actualidad
1. Redes en la ActualidadDavid Narváez
 
3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidad3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidadDavid Narváez
 
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdfDavid Narváez
 
Procedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdfProcedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdfDavid Narváez
 
2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdf2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdfDavid Narváez
 
2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdf2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdfDavid Narváez
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfDavid Narváez
 
1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOTDavid Narváez
 
Virtual private network VPN e IPSec
Virtual private network VPN e IPSecVirtual private network VPN e IPSec
Virtual private network VPN e IPSecDavid Narváez
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACLDavid Narváez
 
Recomendación X.800 UIT
Recomendación X.800 UITRecomendación X.800 UIT
Recomendación X.800 UITDavid Narváez
 

Más de David Narváez (20)

3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdf3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdf
 
1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdf1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdf
 
Muestreo Aleatorio - Bioestadística
Muestreo Aleatorio - BioestadísticaMuestreo Aleatorio - Bioestadística
Muestreo Aleatorio - Bioestadística
 
Protocolos y Acceso a la Red
Protocolos y Acceso a la RedProtocolos y Acceso a la Red
Protocolos y Acceso a la Red
 
Procedimientos Estadística Descriptiva
Procedimientos Estadística DescriptivaProcedimientos Estadística Descriptiva
Procedimientos Estadística Descriptiva
 
Variables Recolección Datos
Variables Recolección DatosVariables Recolección Datos
Variables Recolección Datos
 
2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdf2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdf
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdf
 
1. Redes en la Actualidad
1. Redes en la Actualidad1. Redes en la Actualidad
1. Redes en la Actualidad
 
3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidad3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidad
 
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
 
Procedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdfProcedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdf
 
2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdf2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdf
 
2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdf2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdf
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdf
 
1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT
 
Virtual private network VPN e IPSec
Virtual private network VPN e IPSecVirtual private network VPN e IPSec
Virtual private network VPN e IPSec
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACL
 
Recomendación X.800 UIT
Recomendación X.800 UITRecomendación X.800 UIT
Recomendación X.800 UIT
 
OSPF MULTIAREA
OSPF MULTIAREAOSPF MULTIAREA
OSPF MULTIAREA
 

Último

Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUMarcosAlvarezSalinas
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaANDECE
 
Uso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendiosUso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendioseduardochavezg1
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfMirthaFernandez12
 
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptxGARCIARAMIREZCESAR
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfErikNivor
 
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfCE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfssuserc34f44
 
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIACOMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIARafaelPaco2
 
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdfPPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdfZamiertCruzSuyo
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptxJhordanGonzalo
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
Electromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfElectromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfAnonymous0pBRsQXfnx
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdfAnthonyTiclia
 
Tiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IITiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IILauraFernandaValdovi
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPJosLuisFrancoCaldern
 
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfCAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfReneBellido1
 
Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.ALEJANDROLEONGALICIA
 
Historia de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfHistoria de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfIsbelRodrguez
 
Cadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesCadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesal21510263
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTFundación YOD YOD
 

Último (20)

Sesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERUSesion 02 Patentes REGISTRO EN INDECOPI PERU
Sesion 02 Patentes REGISTRO EN INDECOPI PERU
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes Granada
 
Uso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendiosUso y Manejo de Extintores Lucha contra incendios
Uso y Manejo de Extintores Lucha contra incendios
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
 
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
4.6 DEFINICION DEL PROBLEMA DE ASIGNACION.pptx
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
 
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdfCE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
CE.040 DRENAJE PLUVIAL_RM 126-2021-VIVIENDA.pdf
 
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIACOMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
COMPONENTES DE LA VIA FERREA UAJMS - BOLIVIA
 
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdfPPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
PPT ASISTENCIA TECNICA PRESENTACIÓN FT- ET.pdf
 
3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx3039_ftg_01Entregable 003_Matematica.pptx
3039_ftg_01Entregable 003_Matematica.pptx
 
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
Electromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdfElectromagnetismo Fisica FisicaFisica.pdf
Electromagnetismo Fisica FisicaFisica.pdf
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
 
Tiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo IITiempos Predeterminados MOST para Estudio del Trabajo II
Tiempos Predeterminados MOST para Estudio del Trabajo II
 
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIPSEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
SEGURIDAD EN CONSTRUCCION PPT PARA EL CIP
 
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdfCAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
CAP4-TEORIA EVALUACION DE CAUDALES - HIDROGRAMAS.pdf
 
Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.
 
Historia de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdfHistoria de la Arquitectura II, 1era actividad..pdf
Historia de la Arquitectura II, 1era actividad..pdf
 
Cadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operacionesCadenas de Markov investigación de operaciones
Cadenas de Markov investigación de operaciones
 
Una estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NISTUna estrategia de seguridad en la nube alineada al NIST
Una estrategia de seguridad en la nube alineada al NIST
 

3.1 Seguridad de la información gestión y políticas

  • 1. Seguridad de la Información Gestión Autor: Luis David Narváez Máster en Seguridad Informática Unidad 3 GESTIÓN Y SEGURIDAD DE REDES
  • 2. Temática • Definiciones • Procesos • Gestión de Riesgos. • Normativa y Estándares Seguridad de la Información 2
  • 3. Introducción a la Administración de Redes 3 Qué es 27000 ? https://www.youtube.com/watch?v=0bk_yirG8EA
  • 4. Seguridad de la Información Definiciones Unidad 3 4
  • 5. Seguridad de la Información 5 ¿Qué es la seguridad de la información? << Preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad o el no repudio >> ISO 27001
  • 6. Seguridad de la Información 6
  • 7. Seguridad de la Información 7 Coste vs Beneficio El coste de la «no-seguridad» es mayor que el de la «seguridad». Dicho de otra forma, la gestión de la seguridad tiene que fundamentarse en un análisis coste-beneficio. El problema es que la cuantificación del coste en este caso depende del análisis de riesgos.
  • 8. Seguridad de la Información 8 Gestión de la Seguridad La seguridad de la información implica determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo. La seguridad de la información implica la implementación de estrategias que cubran los procesos de la organización en los cuales la información es el activo primordial.
  • 9. Seguridad de la Información 9 Gestión de la Seguridad Ejemplo: Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía, detección de intrusos y seguimiento de la actividad interna. No obstante, la simple negligencia de un empleado relativa a la política de claves de seguridad puede permitir el acceso a un intruso. Es importante entender que un sistema de seguridad incluye también a personas y procedimientos, más allá de los sistemas informáticos en sí. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología».
  • 10. Seguridad de la Información 10 Perspectivas
  • 11. Seguridad de la Información 11 Perspectivas El punto de vista legal concierne a las regulaciones internacionales, nacionales y regionales que protegen básicamente la privacidad y los derechos de propiedad intelectual.
  • 12. Seguridad de la Información 12 Perspectivas La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de elementos técnicos (hardware, software, redes) que tiene determinadas características relacionadas con la seguridad.
  • 13. Seguridad de la Información 13 Perspectivas La visión organizativa considera esencialmente la seguridad como un elemento fundamental para el negocio, dado que permite asegurar que los procesos de negocio se realizan sin disrupciones en cuanto a la confidencialidad, disponibilidad e integridad de la información.
  • 14. Seguridad de la Información 14 Perspectivas La perspectiva organizativa de la seguridad se basa en el análisis de riesgos, dado que el coste de las brechas o ataques contra la seguridad es un elemento a evitar de difícil estimación. Esto incluye también los riesgos legales, dado que en la mayoría de las empresas se guarda información personal al menos de los clientes.
  • 15. Seguridad de la Información 15 Perspectivas La seguridad de la información en una organización básicamente implica la protección de los activos necesarios para que la organización cumpla con su misión frente al daño o la destrucción. Por esa naturaleza, es una actividad crítica en la empresa. Dado que no puede conseguirse un nivel perfecto de seguridad, la decisión del grado de seguridad (y el coste que se incurre en obtenerla) es una decisión básica de gestión.
  • 16. Seguridad de la Información 16 Perspectivas Realidades: Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad como controles innecesarios, engorrosos o excesivos. Por ello, los controles de seguridad deben justificarse adecuadamente y la actitud de los empleados hacia la seguridad debe ser objeto de formación, entrenamiento y explicación.
  • 17. Seguridad de la Información 17 Sistemas de Información La seguridad es un proceso continuo de mejora y no un estado de un sistema por lo que las políticas y controles establecidos para la protección de la información deberán revisarse, probarse y adecuarse, de ser necesario, ante los nuevos riesgos que se identifiquen.
  • 18. Seguridad de la Información 18 Conceptos previos
  • 19. Seguridad de la Información La Seguridad es un asunto económico? Unidad 3 19
  • 20. Seguridad de la Información 20 Seguridad y Dinero Dado que la seguridad cuesta dinero, el problema fundamental es buscar un equilibrio entre el coste de la seguridad y el impacto económico de los riesgos probables. Es importante entender la vertiente económica de la seguridad, dado que aparentemente los avances técnicos en seguridad (como lo fue la criptografía en su día) no mejoran la seguridad de las empresas si éstas no la ponen en práctica.
  • 21. Seguridad de la Información 21 Seguridad y Dinero En general, la seguridad implica costes incluso más allá del coste de los sistemas, software o tiempo de expertos en la configuración y diseño de los mismos. También tiene un coste en la forma de la resistencia de los empleados o su frustración, que en ocasiones ven las medidas de seguridad como impedimentos para realizar su trabajo más ágilmente.
  • 22. Seguridad de la Información 22 Seguridad y Dinero Por eso, muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los dos siguientes elementos:
  • 23. Seguridad de la Información 23 Marco económico La idea es que hay unos costes, tanto desde el punto de vista del ataque como del de la defensa, y posterior mitigación del daño. Los atacantes se enfrentan a medidas de defensa explícitas y a la identificación de vulnerabilidades. En general para que un atacante incurra en un «coste de ruptura» o CTB los beneficios de su acción tienen que ser superiores.
  • 24. Seguridad de la Información 24 Marco económico Retorno de la inversión en seguridad de la información (ROSI)
  • 25. Seguridad de la Información 25 Marco económico Punto de vista 1: Los beneficios de los ataques son difíciles de estimar a priori, pero en general, si se pretende vender información confidencial, por ejemplo, para el fraude de tarjetas de crédito, en general el coste de explorar las vulnerabilidades es bajo en relación al beneficio posible. Solo cuando los mecanismos de protección sean más complejos de burlar un atacante no lo seguirá intentando.
  • 26. Seguridad de la Información 26 Marco económico Punto de vista 2: Por otro lado, los motivos de los atacantes son subjetivos, e incluyen motivaciones no económicas, que les pueden llevar a incurrir en CTBs mayores que los beneficios económicos esperados (que en ocasiones es ninguno simplemente). La estimación del CTB puede hacerse mediante la contratación de un «penetration testing», donde se contratan servicios de profesionales que intentan realizar un ataque en condiciones realistas.
  • 27. Seguridad de la Información 27 Costes Básicos Coste de construcción de las medidas defensivas, incluyendo la configuración de firewalls, sistemas redundantes, IDS, etc. Coste de reparación de vulnerabilidades. En una configuración simple, esto puede consistir en mantener el software actualizado con los últimos parches, pero en ocasiones esto no es suficiente, y hace falta un esfuerzo proactivo en buscar vulnerabilidades potenciales según aparecen.
  • 28. Seguridad de la Información 28 Actividad (1) 3.1 Modelos de retorno de inversión ROSI En esta actividad se cumplirán los siguientes objetivos: • Parte 1: Realizar una lectura comprensiva del documento • Parte 2: Investigar y profundizar sobre uno de los modelos seleccionados, y preparar una presentación.
  • 29. Seguridad de la Información 29 Norma ISO 27001 https://www.youtube.com/watch?v=BNdPQU32p2Y
  • 30. Seguridad de la Información 30 Triada SGI Estos tres atributos pueden utilizarse como criterio para los controles de seguridad dentro de las organizaciones. Sus atributos «inversos», de carácter negativo o no deseable, son la revelación, la alteración y la destrucción.
  • 31. Seguridad de la Información 31 Triada SGI Confidencialidad: Es la propiedad de prevenir la revelación y divulgación intencionada o no intencionada de información a personas o sistemas no autorizados. Las amenazas a la confidencialidad son múltiples y los medios para conseguir acceso muy diversos. Un ejemplo de técnica para obtener información confidencial es el conocido phishing. Con el auge de las redes sociales on-line como Facebook también ha llegado el phishing
  • 32. Seguridad de la Información 32 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad de la información se gestiona de acuerdo a tres principios básicos: • Dar acceso de acuerdo al criterio del menor privilegio (criterio need- to-know). • Separación de obligaciones (duties). • Rotación de obligaciones.
  • 33. Seguridad de la Información 33 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
  • 34. Seguridad de la Información 34 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones. En el contexto de la seguridad de la información, habitualmente se habla de la disponibilidad en dos situaciones típicas: • Ataques de denegación de servicio (denial of service, DoS). • Pérdidas de datos o capacidades de procesamiento de datos debidas a catástrofes naturales (terremotos, inundaciones, etc.) o a acciones humanas (bombas, sabotajes, etc.).
  • 35. Seguridad de la Información 35 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones.
  • 36. Seguridad de la Información 36 Triada SGI Disponibilidad: Un ataque DoS sobre un sistema es básicamente un ataque por el cual los recursos de cómputo del sistema se redirigen por medios externos a tareas que impiden su uso por los usuarios legítimos. Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
  • 37. Seguridad de la Información La Seguridad es un proceso? Unidad 3 37
  • 38. Seguridad de la Información 38 Procesos La gestión de la seguridad implica la identificación de activos de información y el desarrollo, documentación e implementación de políticas, normas, procedimientos y directrices que garanticen su disponibilidad, integridad y confidencialidad. Las herramientas de gestión (como la clasificación de datos, la formación y concienciación sobre seguridad, la evaluación de riesgos y el análisis de riesgos) se utilizan para identificar las amenazas, clasificar los activos y su vulnerabilidad para establecer controles de seguridad eficaces.
  • 39. Seguridad de la Información 39 Procesos
  • 40. Seguridad de la Información 40 Política General Esta es una política general de alto nivel y de carácter estratégico de la que se derivan las demás. Típicamente contiene lo siguiente: • Una declaración de la importancia de los recursos de información en la empresa. • Una declaración de compromiso de la dirección clara con la seguridad de la información. • Un compromiso de delegación a las políticas derivadas de ella.
  • 41. Seguridad de la Información 41 Políticas Funcionales Esta políticas son también de alto nivel, por lo que indican qué debe hacerse pero no detallan el cómo (esto vendrá detallado concretamente en los procedimientos). Típicamente, estas políticas afectan a un área funcional o un determinado tipo de aplicación, como puede ser la «política de uso del correo electrónico».
  • 42. Seguridad de la Información 42 Estándares, directrices y procedimientos Los estándares, directrices y procedimientos son medios para implementar las políticas. Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme. Son obligatorios y en ocasiones implican determinados compromisos con ciertos sistemas operativos o fabricantes de software.
  • 43. Seguridad de la Información 43 Estándares, directrices y procedimientos Las directrices son similares a los estándares pero son solo recomendaciones, no son de obligado cumplimiento. Son un mecanismo más flexible que los estándares y pueden utilizarse para determinar estándares. Los procedimientos (a veces denominados «prácticas») son descripciones detalladas de los pasos para llevar a cabo una determinada tarea para que los usuarios los puedan llevar a cabo sin dudas.
  • 44. Seguridad de la Información 44 Estándares, directrices y procedimientos Líneas base (baselines) que son descripciones sobre cómo configurar determinados elementos de seguridad para que sean aplicados de manera uniforme en toda la organización.
  • 45. Seguridad de la Información 45 Estándares, directrices y procedimientos
  • 46. Seguridad de la Información 46 Actividad (2) 3.2 Políticas de Seguridad de la Información En esta actividad se cumplirán los siguientes objetivos: • Parte 1: Realizar una lectura comprensiva del documento • Parte 2: Realizar una clasificación de las políticas: general y funcionales; estándares, directrices y procedimientos.
  • 47. Seguridad de la Información Políticas SGSI Unidad 3 47
  • 48. Seguridad de la Información 48 Políticas SGSI
  • 49. Seguridad de la Información 49 Gestión de la Seguridad Es importante resaltar la importancia de los programas de concienciación (o educación) de los empleados, necesarios para hacer efectiva la implementación de políticas, estándares y procedimientos.
  • 50. Seguridad de la Información 50 Diseño de Políticas • Las políticas tienen muchas utilidades, por ejemplo, pueden ser literalmente un salvavidas durante un desastre, o podrían ser un requisito de una función reguladora. • La política también puede proporcionar protección contra la responsabilidad debida a un trabajador o definir acciones para el control de los secretos comerciales.
  • 51. Seguridad de la Información 51 Diseño de Políticas • El término «política» es uno de esos términos que pueden significar varias cosas en seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores, que se refieren al control de acceso y la información de enrutamiento. • Los estándares, procedimientos y directrices también se conocen como políticas en el sentido más amplio de la seguridad.
  • 52. Seguridad de la Información 52 Diseño de Políticas • Las políticas se definen como controles administrativos de carácter temático, a veces denominadas políticas funcionales. • Por ello se adopta la siguiente definición de política.
  • 53. Seguridad de la Información 53 Diseño de Políticas • Por lo tanto, las políticas no son directrices o estándares, ni tampoco obviamente procedimientos. • Las políticas describen la seguridad en términos generales y no específicos. Pueden considerarse las «plantillas» o «requisitos generales» que determinan cómo se diseñarán e implementarán los diferentes elementos de la seguridad.
  • 54. Seguridad de la Información 54 Diseño de Políticas - Error • La diferencia entre política e implementación es importante. • Por ejemplo, si una política estableciese que el login único debe hacerse con un producto concreto de una empresa, cuando el mercado evolucione, puede que otros productos sean mejores. No parece razonable que el objetivo (que es lo que define la política) esté ligado a un producto o tecnología concreta, al menos en la mayoría de los casos. Ahora bien, la política sí que puede indicar la obligatoriedad de que, independientemente de la elección de producto final, se documenten las razones de por qué se ha seleccionado.
  • 55. Seguridad de la Información 55 Diseño de Políticas - Objetivos • El diseño de políticas es importante porque estas definen los objetivos de la seguridad. Además, la participación de la dirección en la definición de las políticas proporciona un mensaje claro sobre la implicación y compromiso de la organización en sus niveles directivos. Las políticas, salvo excepciones convenientemente documentadas y aprobadas, se aplican a la organización entera, por lo que facilitan tener unos estándares de seguridad coherentes, y esto es algo que los clientes pueden apreciar y hace la gestión más sencilla.
  • 56. Seguridad de la Información 56 Diseño de Políticas - Objetivos • Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un empleado por una acción relacionada con la seguridad, y no había política escrita, es complicado justificar esa amonestación.
  • 57. Seguridad de la Información 57 Diseño de Políticas - Componentes 1. Propósito: incluye la definición del porqué de esta política, es decir, qué se quiere controlar o qué riesgos mitigar en concreto. En este caso se hace referencia a la búsqueda de vulnerabilidades, uno de los riesgos que habitualmente se identifican como importantes en las aplicaciones web por su propia naturaleza. SANs Templates: https://www.sans.org/information-security-policy/
  • 58. Seguridad de la Información 58 Diseño de Políticas - Componentes 2. Ámbito: se especifica a qué procesos dentro de la empresa se aplica la política (en este caso, a cualquier desarrollo o mantenimiento de aplicaciones web), quién lleva a cabo los procedimientos que implementarán la política, y qué grado de diseminación tendrá. SANs Templates: https://www.sans.org/information-security-policy/
  • 59. Seguridad de la Información 59 Diseño de Políticas - Componentes 3. Descripción de la política en sí. En este caso se detalla cuándo se debe realizar, su duración, las herramientas a utilizar, cómo se deben expresar sus resultados, etc. Podemos considerar ésta como una política bastante detallada. SANs Templates: https://www.sans.org/information-security-policy/
  • 60. Seguridad de la Información 60 Diseño de Políticas - Componentes 4. Responsabilidades. Quién es responsable de que se cumpla la política, en este caso es una combinación del staff de seguridad y el personal implicado en el desarrollo de la aplicación web o su mantenimiento. En algunas ocasiones, los responsables pueden ser todo el personal de la empresa, por ejemplo, si la política hace referencia a la gestión del correo electrónico de la empresa, que implica a todos los empleados. SANs Templates: https://www.sans.org/information-security-policy/
  • 61. Seguridad de la Información 61 Diseño de Políticas - Adicionales • Sección de definiciones para hacer precisa la política en sí. • Las políticas provienen de la implementación de la gestión que es un ciclo de mejora continua, deben tener algún mecanismo de seguimiento de versiones o revisiones. • • Reutilización de estándares, concretamente, definiciones de OWASP. SANs Templates: https://www.sans.org/information-security-policy/
  • 62. Seguridad de la Información MUCHAS GRACIAS Autor: Luis David Narváez Máster en Seguridad Informática 62