SlideShare una empresa de Scribd logo

Seguridad de la información

David Narváez
David Narváez

Seguridad de la información ISO 27001 Controles de seguridad Diseño de políticas de seguridad Identificación de riesgos Ciberseguridad

Ingeniería
1 de 61
Descargar para leer sin conexión
Gestión Seguridad de la Información Autor: Luis David Narváez Máster en Seguridad Informática Unidad 6 SEGURIDAD DE REDES
Temática • Definiciones • Procesos • Gestión de Riesgos. • Normativa y Estándares Seguridad de la Información 2
Introducción a la Administración de Redes 3 Qué es 27001 ? https://www.youtube.com/watch?v=iZNUDnf7QgQ
Seguridad de la Información Definiciones Unidad 6 4
Seguridad de la Información 5 ¿Qué es la seguridad de la información? << Preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad o el no repudio >> ISO 27001
Seguridad de la Información 6
Seguridad de la Información 7 Coste vs Beneficio El coste de la «no-seguridad» es mayor que el de la «seguridad». Dicho de otra forma, la gestión de la seguridad tiene que fundamentarse en un análisis coste-beneficio. El problema es que la cuantificación del coste en este caso depende del análisis de riesgos.
Seguridad de la Información 8 Gestión de la Seguridad La seguridad de la información implica determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo. La seguridad de la información implica la implementación de estrategias que cubran los procesos de la organización en los cuales la información es el activo primordial.
Seguridad de la Información 9 Gestión de la Seguridad Ejemplo: Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía, detección de intrusos y seguimiento de la actividad interna. No obstante, la simple negligencia de un empleado relativa a la política de claves de seguridad puede permitir el acceso a un intruso. Es importante entender que un sistema de seguridad incluye también a personas y procedimientos, más allá de los sistemas informáticos en sí. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología».
Seguridad de la Información 10 Perspectivas
Seguridad de la Información 11 Perspectivas El punto de vista legal concierne a las regulaciones internacionales, nacionales y regionales que protegen básicamente la privacidad y los derechos de propiedad intelectual.
Seguridad de la Información 12 Perspectivas La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de elementos técnicos (hardware, software, redes) que tiene determinadas características relacionadas con la seguridad.
Seguridad de la Información 13 Perspectivas La visión organizativa considera esencialmente la seguridad como un elemento fundamental para el negocio, dado que permite asegurar que los procesos de negocio se realizan sin disrupciones en cuanto a la confidencialidad, disponibilidad e integridad de la información.
Seguridad de la Información 14 Perspectivas La perspectiva organizativa de la seguridad se basa en el análisis de riesgos, dado que el coste de las brechas o ataques contra la seguridad es un elemento a evitar de difícil estimación. Esto incluye también los riesgos legales, dado que en la mayoría de las empresas se guarda información personal al menos de los clientes.
Seguridad de la Información 15 Perspectivas La seguridad de la información en una organización básicamente implica la protección de los activos necesarios para que la organización cumpla con su misión frente al daño o la destrucción. Por esa naturaleza, es una actividad crítica en la empresa. Dado que no puede conseguirse un nivel perfecto de seguridad, la decisión del grado de seguridad (y el coste que se incurre en obtenerla) es una decisión básica de gestión.
Seguridad de la Información 16 Perspectivas Realidades: Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad como controles innecesarios, engorrosos o excesivos. Por ello, los controles de seguridad deben justificarse adecuadamente y la actitud de los empleados hacia la seguridad debe ser objeto de formación, entrenamiento y explicación.
Seguridad de la Información 17 Sistemas de Información La seguridad es un proceso continuo de mejora y no un estado de un sistema por lo que las políticas y controles establecidos para la protección de la información deberán revisarse, probarse y adecuarse, de ser necesario, ante los nuevos riesgos que se identifiquen.
Seguridad de la Información 18 Conceptos previos
Seguridad de la Información La Seguridad es un asunto económico? Unidad 3 19
Seguridad de la Información 20 Seguridad y Dinero Dado que la seguridad cuesta dinero, el problema fundamental es buscar un equilibrio entre el coste de la seguridad y el impacto económico de los riesgos probables. Es importante entender la vertiente económica de la seguridad, dado que aparentemente los avances técnicos en seguridad (como lo fue la criptografía en su día) no mejoran la seguridad de las empresas si éstas no la ponen en práctica.
Seguridad de la Información 21 Seguridad y Dinero En general, la seguridad implica costes incluso más allá del coste de los sistemas, software o tiempo de expertos en la configuración y diseño de los mismos. También tiene un coste en la forma de la resistencia de los empleados o su frustración, que en ocasiones ven las medidas de seguridad como impedimentos para realizar su trabajo más ágilmente.
Seguridad de la Información 22 Seguridad y Dinero Por eso, muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los dos siguientes elementos:
Seguridad de la Información 23 Marco económico La idea es que hay unos costes, tanto desde el punto de vista del ataque como del de la defensa, y posterior mitigación del daño. Los atacantes se enfrentan a medidas de defensa explícitas y a la identificación de vulnerabilidades. En general para que un atacante incurra en un «coste de ruptura» o CTB los beneficios de su acción tienen que ser superiores.
Seguridad de la Información 24 Marco económico Retorno de la inversión en seguridad de la información (ROSI)
Seguridad de la Información 25 Marco económico Punto de vista 1: Los beneficios de los ataques son difíciles de estimar a priori, pero en general, si se pretende vender información confidencial, por ejemplo, para el fraude de tarjetas de crédito, en general el coste de explorar las vulnerabilidades es bajo en relación al beneficio posible. Solo cuando los mecanismos de protección sean más complejos de burlar un atacante no lo seguirá intentando.
Seguridad de la Información 26 Marco económico Punto de vista 2: Por otro lado, los motivos de los atacantes son subjetivos, e incluyen motivaciones no económicas, que les pueden llevar a incurrir en CTBs mayores que los beneficios económicos esperados (que en ocasiones es ninguno simplemente). La estimación del CTB puede hacerse mediante la contratación de un «penetration testing», donde se contratan servicios de profesionales que intentan realizar un ataque en condiciones realistas.
Seguridad de la Información 27 Costes Básicos Coste de construcción de las medidas defensivas, incluyendo la configuración de firewalls, sistemas redundantes, IDS, etc. Coste de reparación de vulnerabilidades. En una configuración simple, esto puede consistir en mantener el software actualizado con los últimos parches, pero en ocasiones esto no es suficiente, y hace falta un esfuerzo proactivo en buscar vulnerabilidades potenciales según aparecen.
Seguridad de la Información 28 Triada SGI Estos tres atributos pueden utilizarse como criterio para los controles de seguridad dentro de las organizaciones. Sus atributos «inversos», de carácter negativo o no deseable, son la revelación, la alteración y la destrucción.
Seguridad de la Información 29 Triada SGI Confidencialidad: Es la propiedad de prevenir la revelación y divulgación intencionada o no intencionada de información a personas o sistemas no autorizados. Las amenazas a la confidencialidad son múltiples y los medios para conseguir acceso muy diversos. Un ejemplo de técnica para obtener información confidencial es el conocido phishing. Con el auge de las redes sociales on-line como Facebook también ha llegado el phishing
Seguridad de la Información 30 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad de la información se gestiona de acuerdo a tres principios básicos: • Dar acceso de acuerdo al criterio del menor privilegio (criterio need- to-know). • Separación de obligaciones (duties). • Rotación de obligaciones.
Seguridad de la Información 31 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
Seguridad de la Información 32 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones. En el contexto de la seguridad de la información, habitualmente se habla de la disponibilidad en dos situaciones típicas: • Ataques de denegación de servicio (denial of service, DoS). • Pérdidas de datos o capacidades de procesamiento de datos debidas a catástrofes naturales (terremotos, inundaciones, etc.) o a acciones humanas (bombas, sabotajes, etc.).
Seguridad de la Información 33 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones.
Seguridad de la Información 34 Triada SGI Disponibilidad: Un ataque DoS sobre un sistema es básicamente un ataque por el cual los recursos de cómputo del sistema se redirigen por medios externos a tareas que impiden su uso por los usuarios legítimos. Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
Seguridad de la Información La Seguridad es un proceso? Unidad 3 35
Seguridad de la Información 36 Procesos La gestión de la seguridad implica la identificación de activos de información y el desarrollo, documentación e implementación de políticas, normas, procedimientos y directrices que garanticen su disponibilidad, integridad y confidencialidad. Las herramientas de gestión (como la clasificación de datos, la formación y concienciación sobre seguridad, la evaluación de riesgos y el análisis de riesgos) se utilizan para identificar las amenazas, clasificar los activos y su vulnerabilidad para establecer controles de seguridad eficaces.
Seguridad de la Información 37 Procesos
Seguridad de la Información 38 Política General Esta es una política general de alto nivel y de carácter estratégico de la que se derivan las demás. Típicamente contiene lo siguiente: • Una declaración de la importancia de los recursos de información en la empresa. • Una declaración de compromiso de la dirección clara con la seguridad de la información. • Un compromiso de delegación a las políticas derivadas de ella.
Seguridad de la Información 39 Políticas Funcionales Esta políticas son también de alto nivel, por lo que indican qué debe hacerse pero no detallan el cómo (esto vendrá detallado concretamente en los procedimientos). Típicamente, estas políticas afectan a un área funcional o un determinado tipo de aplicación, como puede ser la «política de uso del correo electrónico».
Seguridad de la Información 40 Estándares, directrices y procedimientos Los estándares, directrices y procedimientos son medios para implementar las políticas. Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme. Son obligatorios y en ocasiones implican determinados compromisos con ciertos sistemas operativos o fabricantes de software.
Seguridad de la Información 41 Estándares, directrices y procedimientos Las directrices son similares a los estándares pero son solo recomendaciones, no son de obligado cumplimiento. Son un mecanismo más flexible que los estándares y pueden utilizarse para determinar estándares. Los procedimientos (a veces denominados «prácticas») son descripciones detalladas de los pasos para llevar a cabo una determinada tarea para que los usuarios los puedan llevar a cabo sin dudas.
Seguridad de la Información 42 Estándares, directrices y procedimientos Líneas base (baselines) que son descripciones sobre cómo configurar determinados elementos de seguridad para que sean aplicados de manera uniforme en toda la organización.
Seguridad de la Información 43 Estándares, directrices y procedimientos
Seguridad de la Información 44 Actividad (1) 3.1 Políticas de Seguridad de la Información En esta actividad (Tarea en grupo) se cumplirán los siguientes objetivos: • Parte 1: Realizar una lectura comprensiva del documento • Parte 2: Escoger dos políticas, donde se deberá identificar los activos de información, y los posibles riesgos.
Seguridad de la Información Políticas SGSI Unidad 6 45
Seguridad de la Información 46 Políticas SGSI
Seguridad de la Información 47 Gestión de la Seguridad Es importante resaltar la importancia de los programas de concienciación (o educación) de los empleados, necesarios para hacer efectiva la implementación de políticas, estándares y procedimientos.
Seguridad de la Información 48 Diseño de Políticas • Las políticas tienen muchas utilidades, por ejemplo, pueden ser literalmente un salvavidas durante un desastre, o podrían ser un requisito de una función reguladora. • La política también puede proporcionar protección contra la responsabilidad debida a un trabajador o definir acciones para el control de los secretos comerciales.
Seguridad de la Información 49 Diseño de Políticas • El término «política» es uno de esos términos que pueden significar varias cosas en seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores, que se refieren al control de acceso y la información de enrutamiento. • Los estándares, procedimientos y directrices también se conocen como políticas en el sentido más amplio de la seguridad.
Seguridad de la Información 50 Diseño de Políticas • Las políticas se definen como controles administrativos de carácter temático, a veces denominadas políticas funcionales. • Por ello se adopta la siguiente definición de política.
Seguridad de la Información 51 Diseño de Políticas • Por lo tanto, las políticas no son directrices o estándares, ni tampoco obviamente procedimientos. • Las políticas describen la seguridad en términos generales y no específicos. Pueden considerarse las «plantillas» o «requisitos generales» que determinan cómo se diseñarán e implementarán los diferentes elementos de la seguridad.
Seguridad de la Información 52 Diseño de Políticas - Error • La diferencia entre política e implementación es importante. • Por ejemplo, si una política estableciese que el login único debe hacerse con un producto concreto de una empresa, cuando el mercado evolucione, puede que otros productos sean mejores. No parece razonable que el objetivo (que es lo que define la política) esté ligado a un producto o tecnología concreta, al menos en la mayoría de los casos. Ahora bien, la política sí que puede indicar la obligatoriedad de que, independientemente de la elección de producto final, se documenten las razones de por qué se ha seleccionado.
Seguridad de la Información 53 Diseño de Políticas - Objetivos • El diseño de políticas es importante porque estas definen los objetivos de la seguridad. Además, la participación de la dirección en la definición de las políticas proporciona un mensaje claro sobre la implicación y compromiso de la organización en sus niveles directivos. Las políticas, salvo excepciones convenientemente documentadas y aprobadas, se aplican a la organización entera, por lo que facilitan tener unos estándares de seguridad coherentes, y esto es algo que los clientes pueden apreciar y hace la gestión más sencilla.
Seguridad de la Información 54 Diseño de Políticas - Objetivos • Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un empleado por una acción relacionada con la seguridad, y no había política escrita, es complicado justificar esa amonestación.
Seguridad de la Información 55 Diseño de Políticas - Componentes 1. Propósito: incluye la definición del porqué de esta política, es decir, qué se quiere controlar o qué riesgos mitigar en concreto. En este caso se hace referencia a la búsqueda de vulnerabilidades, uno de los riesgos que habitualmente se identifican como importantes en las aplicaciones web por su propia naturaleza. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 56 Diseño de Políticas - Componentes 2. Ámbito: se especifica a qué procesos dentro de la empresa se aplica la política (en este caso, a cualquier desarrollo o mantenimiento de aplicaciones web), quién lleva a cabo los procedimientos que implementarán la política, y qué grado de diseminación tendrá. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 57 Diseño de Políticas - Componentes 3. Descripción de la política en sí. En este caso se detalla cuándo se debe realizar, su duración, las herramientas a utilizar, cómo se deben expresar sus resultados, etc. Podemos considerar ésta como una política bastante detallada. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 58 Diseño de Políticas - Componentes 4. Responsabilidades. Quién es responsable de que se cumpla la política, en este caso es una combinación del staff de seguridad y el personal implicado en el desarrollo de la aplicación web o su mantenimiento. En algunas ocasiones, los responsables pueden ser todo el personal de la empresa, por ejemplo, si la política hace referencia a la gestión del correo electrónico de la empresa, que implica a todos los empleados. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 59 Diseño de Políticas - Adicionales • Sección de definiciones para hacer precisa la política en sí. • Las políticas provienen de la implementación de la gestión que es un ciclo de mejora continua, deben tener algún mecanismo de seguimiento de versiones o revisiones. • • Reutilización de estándares, concretamente, definiciones de OWASP. SANs Templates: https://www.sans.org/information-security-policy/
Seguridad de la Información 60 Actividad (2) 6.2 Diseño Políticas de Seguridad de la Información En esta actividad (Tarea en grupo) se cumplirán los siguientes objetivos: • Parte 1: Seleccionar un proceso • Parte 2: Determinar los riesgos asociados a los activos de información en ese proceso. • Parte 3: Formulación de políticas. • Parte 4: Diseño de la política.
Seguridad de la Información MUCHAS GRACIAS Autor: Luis David Narváez Máster en Seguridad Informática 61

Recomendados

Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 

Recomendados

Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controlesMarcosPassarello2
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacionBenito González Rocha
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionygaiboruniandesr
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdfArturoLazarteVilcama
 

Más contenido relacionado

La actualidad más candente

Norma nist
Norma nistNorma nist
Norma nistcristina
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacionBenito González Rocha
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 

La actualidad más candente (20)

Norma nist
Norma nistNorma nist
Norma nist
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
Nist
NistNist
Nist
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 

Similar a Seguridad de la información

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionygaiboruniandesr
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdfArturoLazarteVilcama
 
Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Kandu Tapia
 
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Kandu Tapia
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacionG Hoyos A
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Preguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPreguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPedro Cobarrubias
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 

Similar a Seguridad de la información (20)

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
 
Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1Ibm inf sec_tratamientodatos_briefprensa_v1
Ibm inf sec_tratamientodatos_briefprensa_v1
 
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
Soluciones de negocio, seguridad y tecnología para afrontar la protección de ...
 
Marco
MarcoMarco
Marco
 
Marco
MarcoMarco
Marco
 
Segrinfo pilares
Segrinfo pilaresSegrinfo pilares
Segrinfo pilares
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacion
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Preguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad InformaticaPreguntas de Diagnostico Sobre Seguridad Informatica
Preguntas de Diagnostico Sobre Seguridad Informatica
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad Informatica
 
Evaluacion final
Evaluacion finalEvaluacion final
Evaluacion final
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
(5026)SEGURIDAD_INFORMACION.ppt
(5026)SEGURIDAD_INFORMACION.ppt(5026)SEGURIDAD_INFORMACION.ppt
(5026)SEGURIDAD_INFORMACION.ppt
 

Más de David Narváez

3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdf3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdfDavid Narváez
 
1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdf1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdfDavid Narváez
 
Muestreo Aleatorio - Bioestadística
Muestreo Aleatorio - BioestadísticaMuestreo Aleatorio - Bioestadística
Muestreo Aleatorio - BioestadísticaDavid Narváez
 
Protocolos y Acceso a la Red
Protocolos y Acceso a la RedProtocolos y Acceso a la Red
Protocolos y Acceso a la RedDavid Narváez
 
Procedimientos Estadística Descriptiva
Procedimientos Estadística DescriptivaProcedimientos Estadística Descriptiva
Procedimientos Estadística DescriptivaDavid Narváez
 
Variables Recolección Datos
Variables Recolección DatosVariables Recolección Datos
Variables Recolección DatosDavid Narváez
 
2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdf2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdfDavid Narváez
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfDavid Narváez
 
1. Redes en la Actualidad
1. Redes en la Actualidad1. Redes en la Actualidad
1. Redes en la ActualidadDavid Narváez
 
3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidad3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidadDavid Narváez
 
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdfDavid Narváez
 
Procedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdfProcedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdfDavid Narváez
 
2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdf2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdfDavid Narváez
 
2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdf2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdfDavid Narváez
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfDavid Narváez
 
1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOTDavid Narváez
 
Virtual private network VPN e IPSec
Virtual private network VPN e IPSecVirtual private network VPN e IPSec
Virtual private network VPN e IPSecDavid Narváez
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACLDavid Narváez
 
Recomendación X.800 UIT
Recomendación X.800 UITRecomendación X.800 UIT
Recomendación X.800 UITDavid Narváez
 

Más de David Narváez (20)

3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdf3. Procedimientos Estadística Descriptiva.pdf
3. Procedimientos Estadística Descriptiva.pdf
 
1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdf1. Conceptos Datos Valores - Gamificacion.pdf
1. Conceptos Datos Valores - Gamificacion.pdf
 
Muestreo Aleatorio - Bioestadística
Muestreo Aleatorio - BioestadísticaMuestreo Aleatorio - Bioestadística
Muestreo Aleatorio - Bioestadística
 
Protocolos y Acceso a la Red
Protocolos y Acceso a la RedProtocolos y Acceso a la Red
Protocolos y Acceso a la Red
 
Procedimientos Estadística Descriptiva
Procedimientos Estadística DescriptivaProcedimientos Estadística Descriptiva
Procedimientos Estadística Descriptiva
 
Variables Recolección Datos
Variables Recolección DatosVariables Recolección Datos
Variables Recolección Datos
 
2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdf2. Sistema Operativo de Red.pdf
2. Sistema Operativo de Red.pdf
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdf
 
1. Redes en la Actualidad
1. Redes en la Actualidad1. Redes en la Actualidad
1. Redes en la Actualidad
 
3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidad3. Medidas de posición y variabilidad
3. Medidas de posición y variabilidad
 
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
2.2C Procedimientos Estadística Descriptiva-Tendencias Centrales.pdf
 
Procedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdfProcedimientos Estadística Descriptiva-Frecuencias.pdf
Procedimientos Estadística Descriptiva-Frecuencias.pdf
 
2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdf2.2 Procedimientos Estadistica Descriptiva.pdf
2.2 Procedimientos Estadistica Descriptiva.pdf
 
2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdf2.1 Variables Recoleccion Datos.pdf
2.1 Variables Recoleccion Datos.pdf
 
Conceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdfConceptos Datos Valores - Bioestadistica.pdf
Conceptos Datos Valores - Bioestadistica.pdf
 
1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT1. Perspectivas, impactos y procesos IOT
1. Perspectivas, impactos y procesos IOT
 
Virtual private network VPN e IPSec
Virtual private network VPN e IPSecVirtual private network VPN e IPSec
Virtual private network VPN e IPSec
 
Listas de control de acceso - ACL
Listas de control de acceso - ACLListas de control de acceso - ACL
Listas de control de acceso - ACL
 
Recomendación X.800 UIT
Recomendación X.800 UITRecomendación X.800 UIT
Recomendación X.800 UIT
 
OSPF MULTIAREA
OSPF MULTIAREAOSPF MULTIAREA
OSPF MULTIAREA
 

Último

Sistema de gestión de turnos para negocios
Sistema de gestión de turnos para negociosSistema de gestión de turnos para negocios
Sistema de gestión de turnos para negociosfranchescamassielmor
 
Físicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresFísicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresSegundo Silva Maguiña
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfErikNivor
 
Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...
Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...
Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...ssuser646243
 
Trabajo en altura de acuerdo a la normativa peruana
Trabajo en altura de acuerdo a la normativa peruanaTrabajo en altura de acuerdo a la normativa peruana
Trabajo en altura de acuerdo a la normativa peruana5extraviado
 
trabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidastrabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidasNelsonQuispeQuispitu
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEANDECE
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCANDECE
 
Espontaneidad de las reacciones y procesos espontáneos
Espontaneidad de las reacciones y procesos espontáneosEspontaneidad de las reacciones y procesos espontáneos
Espontaneidad de las reacciones y procesos espontáneosOscarGonzalez231938
 
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdfSEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdffredyflores58
 
Tarea de UTP matematices y soluciones ingenieria
Tarea de UTP matematices y soluciones ingenieriaTarea de UTP matematices y soluciones ingenieria
Tarea de UTP matematices y soluciones ingenieriaSebastianQP1
 
NOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptxNOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptxJairReyna1
 
594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...
594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...
594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...humberto espejo
 
Revista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de ProyectosRevista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de ProyectosJeanCarlosLorenzo1
 
Fisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfFisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfJessLeonelVargasJimn
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaANDECE
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasSegundo Silva Maguiña
 
Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.ALEJANDROLEONGALICIA
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptVitobailon
 
Clase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxClase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxPaolaVillalba13
 

Último (20)

Sistema de gestión de turnos para negocios
Sistema de gestión de turnos para negociosSistema de gestión de turnos para negocios
Sistema de gestión de turnos para negocios
 
Físicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y VectoresFísicas 1: Ecuaciones Dimensionales y Vectores
Físicas 1: Ecuaciones Dimensionales y Vectores
 
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdfCONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
CONSTRUCCIONES II - SEMANA 01 - REGLAMENTO NACIONAL DE EDIFICACIONES.pdf
 
Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...
Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...
Como de produjo la penicilina de manera masiva en plena guerra mundial Biotec...
 
Trabajo en altura de acuerdo a la normativa peruana
Trabajo en altura de acuerdo a la normativa peruanaTrabajo en altura de acuerdo a la normativa peruana
Trabajo en altura de acuerdo a la normativa peruana
 
trabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidastrabajos en altura 2024, sistemas de contencion anticaidas
trabajos en altura 2024, sistemas de contencion anticaidas
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSE
 
Edificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRCEdificio residencial Becrux en Madrid. Fachada de GRC
Edificio residencial Becrux en Madrid. Fachada de GRC
 
Espontaneidad de las reacciones y procesos espontáneos
Espontaneidad de las reacciones y procesos espontáneosEspontaneidad de las reacciones y procesos espontáneos
Espontaneidad de las reacciones y procesos espontáneos
 
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdfSEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
SEMANA 6 MEDIDAS DE TENDENCIA CENTRAL.pdf
 
Tarea de UTP matematices y soluciones ingenieria
Tarea de UTP matematices y soluciones ingenieriaTarea de UTP matematices y soluciones ingenieria
Tarea de UTP matematices y soluciones ingenieria
 
NOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptxNOM-002-STPS-2010, combate contra incendio.pptx
NOM-002-STPS-2010, combate contra incendio.pptx
 
594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...
594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...
594305198-OPCIONES-TARIFARIAS-Y-CONDICIONES-DE-APLICACION-DE-TARIFAS-A-USUARI...
 
Revista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de ProyectosRevista estudiantil, trabajo final Materia ingeniería de Proyectos
Revista estudiantil, trabajo final Materia ingeniería de Proyectos
 
Fisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdfFisiología del azufre en plantas S.S.pdf
Fisiología del azufre en plantas S.S.pdf
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes Granada
 
Parámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para PlataformasParámetros de Perforación y Voladura. para Plataformas
Parámetros de Perforación y Voladura. para Plataformas
 
Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.Flujo potencial, conceptos básicos y ejemplos resueltos.
Flujo potencial, conceptos básicos y ejemplos resueltos.
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.ppt
 
Clase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptxClase 1 Análisis Estructura. Para Arquitectura pptx
Clase 1 Análisis Estructura. Para Arquitectura pptx
 

Seguridad de la información

  • 1. Gestión Seguridad de la Información Autor: Luis David Narváez Máster en Seguridad Informática Unidad 6 SEGURIDAD DE REDES
  • 2. Temática • Definiciones • Procesos • Gestión de Riesgos. • Normativa y Estándares Seguridad de la Información 2
  • 3. Introducción a la Administración de Redes 3 Qué es 27001 ? https://www.youtube.com/watch?v=iZNUDnf7QgQ
  • 4. Seguridad de la Información Definiciones Unidad 6 4
  • 5. Seguridad de la Información 5 ¿Qué es la seguridad de la información? << Preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad o el no repudio >> ISO 27001
  • 6. Seguridad de la Información 6
  • 7. Seguridad de la Información 7 Coste vs Beneficio El coste de la «no-seguridad» es mayor que el de la «seguridad». Dicho de otra forma, la gestión de la seguridad tiene que fundamentarse en un análisis coste-beneficio. El problema es que la cuantificación del coste en este caso depende del análisis de riesgos.
  • 8. Seguridad de la Información 8 Gestión de la Seguridad La seguridad de la información implica determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo. La seguridad de la información implica la implementación de estrategias que cubran los procesos de la organización en los cuales la información es el activo primordial.
  • 9. Seguridad de la Información 9 Gestión de la Seguridad Ejemplo: Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía, detección de intrusos y seguimiento de la actividad interna. No obstante, la simple negligencia de un empleado relativa a la política de claves de seguridad puede permitir el acceso a un intruso. Es importante entender que un sistema de seguridad incluye también a personas y procedimientos, más allá de los sistemas informáticos en sí. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología».
  • 10. Seguridad de la Información 10 Perspectivas
  • 11. Seguridad de la Información 11 Perspectivas El punto de vista legal concierne a las regulaciones internacionales, nacionales y regionales que protegen básicamente la privacidad y los derechos de propiedad intelectual.
  • 12. Seguridad de la Información 12 Perspectivas La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de elementos técnicos (hardware, software, redes) que tiene determinadas características relacionadas con la seguridad.
  • 13. Seguridad de la Información 13 Perspectivas La visión organizativa considera esencialmente la seguridad como un elemento fundamental para el negocio, dado que permite asegurar que los procesos de negocio se realizan sin disrupciones en cuanto a la confidencialidad, disponibilidad e integridad de la información.
  • 14. Seguridad de la Información 14 Perspectivas La perspectiva organizativa de la seguridad se basa en el análisis de riesgos, dado que el coste de las brechas o ataques contra la seguridad es un elemento a evitar de difícil estimación. Esto incluye también los riesgos legales, dado que en la mayoría de las empresas se guarda información personal al menos de los clientes.
  • 15. Seguridad de la Información 15 Perspectivas La seguridad de la información en una organización básicamente implica la protección de los activos necesarios para que la organización cumpla con su misión frente al daño o la destrucción. Por esa naturaleza, es una actividad crítica en la empresa. Dado que no puede conseguirse un nivel perfecto de seguridad, la decisión del grado de seguridad (y el coste que se incurre en obtenerla) es una decisión básica de gestión.
  • 16. Seguridad de la Información 16 Perspectivas Realidades: Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad como controles innecesarios, engorrosos o excesivos. Por ello, los controles de seguridad deben justificarse adecuadamente y la actitud de los empleados hacia la seguridad debe ser objeto de formación, entrenamiento y explicación.
  • 17. Seguridad de la Información 17 Sistemas de Información La seguridad es un proceso continuo de mejora y no un estado de un sistema por lo que las políticas y controles establecidos para la protección de la información deberán revisarse, probarse y adecuarse, de ser necesario, ante los nuevos riesgos que se identifiquen.
  • 18. Seguridad de la Información 18 Conceptos previos
  • 19. Seguridad de la Información La Seguridad es un asunto económico? Unidad 3 19
  • 20. Seguridad de la Información 20 Seguridad y Dinero Dado que la seguridad cuesta dinero, el problema fundamental es buscar un equilibrio entre el coste de la seguridad y el impacto económico de los riesgos probables. Es importante entender la vertiente económica de la seguridad, dado que aparentemente los avances técnicos en seguridad (como lo fue la criptografía en su día) no mejoran la seguridad de las empresas si éstas no la ponen en práctica.
  • 21. Seguridad de la Información 21 Seguridad y Dinero En general, la seguridad implica costes incluso más allá del coste de los sistemas, software o tiempo de expertos en la configuración y diseño de los mismos. También tiene un coste en la forma de la resistencia de los empleados o su frustración, que en ocasiones ven las medidas de seguridad como impedimentos para realizar su trabajo más ágilmente.
  • 22. Seguridad de la Información 22 Seguridad y Dinero Por eso, muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los dos siguientes elementos:
  • 23. Seguridad de la Información 23 Marco económico La idea es que hay unos costes, tanto desde el punto de vista del ataque como del de la defensa, y posterior mitigación del daño. Los atacantes se enfrentan a medidas de defensa explícitas y a la identificación de vulnerabilidades. En general para que un atacante incurra en un «coste de ruptura» o CTB los beneficios de su acción tienen que ser superiores.
  • 24. Seguridad de la Información 24 Marco económico Retorno de la inversión en seguridad de la información (ROSI)
  • 25. Seguridad de la Información 25 Marco económico Punto de vista 1: Los beneficios de los ataques son difíciles de estimar a priori, pero en general, si se pretende vender información confidencial, por ejemplo, para el fraude de tarjetas de crédito, en general el coste de explorar las vulnerabilidades es bajo en relación al beneficio posible. Solo cuando los mecanismos de protección sean más complejos de burlar un atacante no lo seguirá intentando.
  • 26. Seguridad de la Información 26 Marco económico Punto de vista 2: Por otro lado, los motivos de los atacantes son subjetivos, e incluyen motivaciones no económicas, que les pueden llevar a incurrir en CTBs mayores que los beneficios económicos esperados (que en ocasiones es ninguno simplemente). La estimación del CTB puede hacerse mediante la contratación de un «penetration testing», donde se contratan servicios de profesionales que intentan realizar un ataque en condiciones realistas.
  • 27. Seguridad de la Información 27 Costes Básicos Coste de construcción de las medidas defensivas, incluyendo la configuración de firewalls, sistemas redundantes, IDS, etc. Coste de reparación de vulnerabilidades. En una configuración simple, esto puede consistir en mantener el software actualizado con los últimos parches, pero en ocasiones esto no es suficiente, y hace falta un esfuerzo proactivo en buscar vulnerabilidades potenciales según aparecen.
  • 28. Seguridad de la Información 28 Triada SGI Estos tres atributos pueden utilizarse como criterio para los controles de seguridad dentro de las organizaciones. Sus atributos «inversos», de carácter negativo o no deseable, son la revelación, la alteración y la destrucción.
  • 29. Seguridad de la Información 29 Triada SGI Confidencialidad: Es la propiedad de prevenir la revelación y divulgación intencionada o no intencionada de información a personas o sistemas no autorizados. Las amenazas a la confidencialidad son múltiples y los medios para conseguir acceso muy diversos. Un ejemplo de técnica para obtener información confidencial es el conocido phishing. Con el auge de las redes sociales on-line como Facebook también ha llegado el phishing
  • 30. Seguridad de la Información 30 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad de la información se gestiona de acuerdo a tres principios básicos: • Dar acceso de acuerdo al criterio del menor privilegio (criterio need- to-know). • Separación de obligaciones (duties). • Rotación de obligaciones.
  • 31. Seguridad de la Información 31 Triada SGI Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
  • 32. Seguridad de la Información 32 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones. En el contexto de la seguridad de la información, habitualmente se habla de la disponibilidad en dos situaciones típicas: • Ataques de denegación de servicio (denial of service, DoS). • Pérdidas de datos o capacidades de procesamiento de datos debidas a catástrofes naturales (terremotos, inundaciones, etc.) o a acciones humanas (bombas, sabotajes, etc.).
  • 33. Seguridad de la Información 33 Triada SGI Disponibilidad: Es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones.
  • 34. Seguridad de la Información 34 Triada SGI Disponibilidad: Un ataque DoS sobre un sistema es básicamente un ataque por el cual los recursos de cómputo del sistema se redirigen por medios externos a tareas que impiden su uso por los usuarios legítimos. Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia.
  • 35. Seguridad de la Información La Seguridad es un proceso? Unidad 3 35
  • 36. Seguridad de la Información 36 Procesos La gestión de la seguridad implica la identificación de activos de información y el desarrollo, documentación e implementación de políticas, normas, procedimientos y directrices que garanticen su disponibilidad, integridad y confidencialidad. Las herramientas de gestión (como la clasificación de datos, la formación y concienciación sobre seguridad, la evaluación de riesgos y el análisis de riesgos) se utilizan para identificar las amenazas, clasificar los activos y su vulnerabilidad para establecer controles de seguridad eficaces.
  • 37. Seguridad de la Información 37 Procesos
  • 38. Seguridad de la Información 38 Política General Esta es una política general de alto nivel y de carácter estratégico de la que se derivan las demás. Típicamente contiene lo siguiente: • Una declaración de la importancia de los recursos de información en la empresa. • Una declaración de compromiso de la dirección clara con la seguridad de la información. • Un compromiso de delegación a las políticas derivadas de ella.
  • 39. Seguridad de la Información 39 Políticas Funcionales Esta políticas son también de alto nivel, por lo que indican qué debe hacerse pero no detallan el cómo (esto vendrá detallado concretamente en los procedimientos). Típicamente, estas políticas afectan a un área funcional o un determinado tipo de aplicación, como puede ser la «política de uso del correo electrónico».
  • 40. Seguridad de la Información 40 Estándares, directrices y procedimientos Los estándares, directrices y procedimientos son medios para implementar las políticas. Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme. Son obligatorios y en ocasiones implican determinados compromisos con ciertos sistemas operativos o fabricantes de software.
  • 41. Seguridad de la Información 41 Estándares, directrices y procedimientos Las directrices son similares a los estándares pero son solo recomendaciones, no son de obligado cumplimiento. Son un mecanismo más flexible que los estándares y pueden utilizarse para determinar estándares. Los procedimientos (a veces denominados «prácticas») son descripciones detalladas de los pasos para llevar a cabo una determinada tarea para que los usuarios los puedan llevar a cabo sin dudas.
  • 42. Seguridad de la Información 42 Estándares, directrices y procedimientos Líneas base (baselines) que son descripciones sobre cómo configurar determinados elementos de seguridad para que sean aplicados de manera uniforme en toda la organización.
  • 43. Seguridad de la Información 43 Estándares, directrices y procedimientos
  • 44. Seguridad de la Información 44 Actividad (1) 3.1 Políticas de Seguridad de la Información En esta actividad (Tarea en grupo) se cumplirán los siguientes objetivos: • Parte 1: Realizar una lectura comprensiva del documento • Parte 2: Escoger dos políticas, donde se deberá identificar los activos de información, y los posibles riesgos.
  • 45. Seguridad de la Información Políticas SGSI Unidad 6 45
  • 46. Seguridad de la Información 46 Políticas SGSI
  • 47. Seguridad de la Información 47 Gestión de la Seguridad Es importante resaltar la importancia de los programas de concienciación (o educación) de los empleados, necesarios para hacer efectiva la implementación de políticas, estándares y procedimientos.
  • 48. Seguridad de la Información 48 Diseño de Políticas • Las políticas tienen muchas utilidades, por ejemplo, pueden ser literalmente un salvavidas durante un desastre, o podrían ser un requisito de una función reguladora. • La política también puede proporcionar protección contra la responsabilidad debida a un trabajador o definir acciones para el control de los secretos comerciales.
  • 49. Seguridad de la Información 49 Diseño de Políticas • El término «política» es uno de esos términos que pueden significar varias cosas en seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores, que se refieren al control de acceso y la información de enrutamiento. • Los estándares, procedimientos y directrices también se conocen como políticas en el sentido más amplio de la seguridad.
  • 50. Seguridad de la Información 50 Diseño de Políticas • Las políticas se definen como controles administrativos de carácter temático, a veces denominadas políticas funcionales. • Por ello se adopta la siguiente definición de política.
  • 51. Seguridad de la Información 51 Diseño de Políticas • Por lo tanto, las políticas no son directrices o estándares, ni tampoco obviamente procedimientos. • Las políticas describen la seguridad en términos generales y no específicos. Pueden considerarse las «plantillas» o «requisitos generales» que determinan cómo se diseñarán e implementarán los diferentes elementos de la seguridad.
  • 52. Seguridad de la Información 52 Diseño de Políticas - Error • La diferencia entre política e implementación es importante. • Por ejemplo, si una política estableciese que el login único debe hacerse con un producto concreto de una empresa, cuando el mercado evolucione, puede que otros productos sean mejores. No parece razonable que el objetivo (que es lo que define la política) esté ligado a un producto o tecnología concreta, al menos en la mayoría de los casos. Ahora bien, la política sí que puede indicar la obligatoriedad de que, independientemente de la elección de producto final, se documenten las razones de por qué se ha seleccionado.
  • 53. Seguridad de la Información 53 Diseño de Políticas - Objetivos • El diseño de políticas es importante porque estas definen los objetivos de la seguridad. Además, la participación de la dirección en la definición de las políticas proporciona un mensaje claro sobre la implicación y compromiso de la organización en sus niveles directivos. Las políticas, salvo excepciones convenientemente documentadas y aprobadas, se aplican a la organización entera, por lo que facilitan tener unos estándares de seguridad coherentes, y esto es algo que los clientes pueden apreciar y hace la gestión más sencilla.
  • 54. Seguridad de la Información 54 Diseño de Políticas - Objetivos • Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un empleado por una acción relacionada con la seguridad, y no había política escrita, es complicado justificar esa amonestación.
  • 55. Seguridad de la Información 55 Diseño de Políticas - Componentes 1. Propósito: incluye la definición del porqué de esta política, es decir, qué se quiere controlar o qué riesgos mitigar en concreto. En este caso se hace referencia a la búsqueda de vulnerabilidades, uno de los riesgos que habitualmente se identifican como importantes en las aplicaciones web por su propia naturaleza. SANs Templates: https://www.sans.org/information-security-policy/
  • 56. Seguridad de la Información 56 Diseño de Políticas - Componentes 2. Ámbito: se especifica a qué procesos dentro de la empresa se aplica la política (en este caso, a cualquier desarrollo o mantenimiento de aplicaciones web), quién lleva a cabo los procedimientos que implementarán la política, y qué grado de diseminación tendrá. SANs Templates: https://www.sans.org/information-security-policy/
  • 57. Seguridad de la Información 57 Diseño de Políticas - Componentes 3. Descripción de la política en sí. En este caso se detalla cuándo se debe realizar, su duración, las herramientas a utilizar, cómo se deben expresar sus resultados, etc. Podemos considerar ésta como una política bastante detallada. SANs Templates: https://www.sans.org/information-security-policy/
  • 58. Seguridad de la Información 58 Diseño de Políticas - Componentes 4. Responsabilidades. Quién es responsable de que se cumpla la política, en este caso es una combinación del staff de seguridad y el personal implicado en el desarrollo de la aplicación web o su mantenimiento. En algunas ocasiones, los responsables pueden ser todo el personal de la empresa, por ejemplo, si la política hace referencia a la gestión del correo electrónico de la empresa, que implica a todos los empleados. SANs Templates: https://www.sans.org/information-security-policy/
  • 59. Seguridad de la Información 59 Diseño de Políticas - Adicionales • Sección de definiciones para hacer precisa la política en sí. • Las políticas provienen de la implementación de la gestión que es un ciclo de mejora continua, deben tener algún mecanismo de seguimiento de versiones o revisiones. • • Reutilización de estándares, concretamente, definiciones de OWASP. SANs Templates: https://www.sans.org/information-security-policy/
  • 60. Seguridad de la Información 60 Actividad (2) 6.2 Diseño Políticas de Seguridad de la Información En esta actividad (Tarea en grupo) se cumplirán los siguientes objetivos: • Parte 1: Seleccionar un proceso • Parte 2: Determinar los riesgos asociados a los activos de información en ese proceso. • Parte 3: Formulación de políticas. • Parte 4: Diseño de la política.
  • 61. Seguridad de la Información MUCHAS GRACIAS Autor: Luis David Narváez Máster en Seguridad Informática 61