SlideShare una empresa de Scribd logo

Gestion de la seguridad

Descargar como PPTX, PDF
José Ramón Pernía Reyes
José Ramón Pernía Reyes

Excelente presentación de Federico Pacheco, donde se dan a conocer aspecto referente a la Gestión de la Seguridad, estoy seguro sera de utilidad para muchos.

Datos y análisis
1 de 32
Seguridad de la Información Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Introducción a la gestión de la seguridad
Copyright Entropy Security Contenidos • Necesidad de gestión de la seguridad • Estructura normativa • Implementación de un sistemas de gestión de la seguridad (SGSI) • Gestión del riesgo • Clasificación de la información • Gestión de cambios y actividades • Gestión de incidentes • Concientización de usuarios
Copyright Entropy Security Gestión de la seguridad • Objetivo principal – Proteger los activos de información de la organización • Necesidad fundamental – Alineación con el negocio • Características – Proceso continuo y cíclico – No hay soluciones únicas ni infalibles – Incumbencia de la alta gerencia (Top-Down) – Requiere establecer un sistema de gestión (SGSI) – Relacionado con el gobierno de la seguridad (Security Governance)
Copyright Entropy Security Gestión de la seguridad – Proceso continuo Planificar y organizar Implementar Operar y mantener Monitorear y evaluar
Copyright Entropy Security Gestión de la seguridad – Estándares de SGSI • ISO 27000 – Familia de estándares de seguridad de la información basado en BS7799 – Ejemplos • 27.001: Requisitos de los SGSI  Certificable • 27.002: Objetivos de control y controles recomendables • 27.003: Guía de implementación del SGSI • 27.005: Gestión de riesgos • COBIT (Control Objetives for Information and related Technologies) – Utilizado para implementar Gobierno de TI – Desarrollado por • ISACA – Information Systems Audit and Control Association • ITGI – IT Governance Institute
Copyright Entropy Security Gestión de la seguridad – ISO 27002 Evaluación y tratamiento de riesgos Política de Seguridad Organización de Seguridad de la Información Gestión de Activos Gestión de Recursos Humanos Seguridad Física y Ambiental Gestión de Operaciones y Comunicaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad Administración de la continuidad del negocio Cumplimiento de normativa y leyes
Copyright Entropy Security Gestión de la seguridad – Alta gerencia • Falta de entendimiento sobre la necesidad de seguridad • Idea de la seguridad como problemática, costosa e innecesaria • Incapacidad de identificar los riesgos asociados • Creer que se interferirá con el negocio • Creer que la seguridad es un tema de tecnología
Copyright Entropy Security Gestión de la seguridad – Dependencia Gerencia de Sistemas Auditoría Interna Area de Seguridad Informática Gerencia de Seguridad Consultoría Externa Recursos Humanos
Copyright Entropy Security Gestión de la seguridad – Responsable • Máxima autoridad: Comité de seguridad • Responsable funcional – CISO (Chief Information Security Officer) – ISSO (Information Systems Security Officer) • Objetivos – Establecer y mantener un programa de gestión de la seguridad – Comunicarse con la alta dirección – Debe conocer el negocio y los procesos
Copyright Entropy Security Gestión de la seguridad – Estructura normativa  Nivel estratégico  Nivel táctico  Nivel operativo Políticas GuidelinesNormasEstándares Procedimientos
Copyright Entropy Security Gestión de la seguridad – Normativas • Definen y clasifican las metas y objetivos • Definen roles, responsabilidades y escala de autoridad • Establecen criterios aceptables y uniformes de conducta • Informan al personal sus obligaciones y medidas por incumplimiento • Informan a terceros sobre las definiciones establecidas por la organización • Garantizar el cumplimiento de normas externas
Copyright Entropy Security Políticas de Seguridad Declaraciones de directivas de la alta gerencia para garantizar el apoyo y soporte a la seguridad • Dictadas por el comité de seguridad y aprobada por las autoridades • Suelen ser breves y generales • Define el desarrollo del programa de gestión de seguridad • Deben ser comunicadas y aceptadas por todo el personal • Alineadas con normativas legales y corporativas
Copyright Entropy Security Políticas de Seguridad - Implantación • Especifican el uso uniforme de una tecnología • Define actividades, acciones, reglas, regulaciones Estándares • Recomendaciones generales • Colaboran al cumplimiento de objetivos Normas • Definen parámetros mínimos para un estándarBaselines • Descripción detallada de tareasProcedimientos
Copyright Entropy Security Gestión de la seguridad – Aspectos legales • Responsabilidad de entender las amenazas y los riesgos Due Diligence (Debida Diligencia) • Implementar contramedidas para protegerse de los riesgos Due Care (Debido Cuidado) Si una organización no cumple con esto en relación a la protección de sus activos puede ser acusada de negligencia
Copyright Entropy Security Clasificación de la información Fundamentos • Procedimiento por el cuál se categoriza la información • Define niveles de confidencialidad, integridad y disponibilidad Motivos • Saber cuánto invertir en la protección de los datos • No todos los datos tienen el mismo valor • No todas las personas deben acceder a todos los datos • Aspectos legales y regulatorios
Copyright Entropy Security Clasificación de la información – Criterios Ejemplo de criterios • Valor • Vida útil • Asociación con personas Ejemplo de niveles • Público • Uso interno • Confidencial
Copyright Entropy Security Clasificación de la información – Resultados • Se define la información como un activo del negocio • Se declara a los gerentes de área como dueños de la información • Se establece a IT como custodio de la información • Se identifican datos importantes • Permite definir controles y costos asociados • Permite asignar roles y responsabilidades • Se demuestra compromiso con la seguridad
Copyright Entropy Security Clasificación de la información – Proceso Programas de concientización Especificación de procesos de desclasificación y transferencia de custodia Especificación y documentación de excepciones Clasificación realizada por el dueño (puede estar sujeta a verificación) Especificación del criterio de clasificación Identificación del Administrador
Copyright Entropy Security Clasificación de la información – Roles Dueño Custodio Usuario Auditor
Copyright Entropy Security Clasificación de la información – Funciones • Gerente o Director General • Comité de Seguridad • Responsable de Seguridad • Analista de Seguridad • Administrador de Seguridad • Auditor de seguridad
Copyright Entropy Security Gestión de cambios • Concepto – Contar con un adecuado control sobre las modificaciones en las operaciones • Necesidad – Determinados cambios pueden corromper un modelo de seguridad – Quien pide un cambio puede desconocer las implicancias • Pautas – El responsable debe analizar el impacto del cambio antes de implantarlo – Procesos que aseguren que solo se realizan modificaciones autorizadas – No debe bajar el nivel de seguridad en ningún momento
Copyright Entropy Security Gestión de Logs • Registros secuenciales de eventos • Incluye diversas definiciones – Selección de eventos a registrar – Ciclos de rotación – Compresión de logs – Verificaciones de integridad – Backup y protección que se dará • Software de análisis de logs
Copyright Entropy Security Gestión de actividades • Segregación de funciones – Nadie debe ser responsable de una tarea sensible de principio a fin – Nadie puede ser responsable de aprobar su propio trabajo – Sirve para la prevención del fraude • Rotación de tareas – Evita que el personal permanezca demasiado tiempo en una función – Se logra un alto nivel de control sobre las actividades – Favorece el reemplazo de funciones • Vacaciones obligatorias – Permite la detección de fraude y actividades no permitidas – Permite detectar el desempeño
Copyright Entropy Security Gestión de incidentes • Incidente de Seguridad – Evento no deseado de significativa probabilidad de amenazar la seguridad • Gestión de incidentes – Proceso para identificar tempranamente desvíos en políticas o fallas en controles • Realidad: los incidentes ocurren tarde o temprano – No existe la seguridad total – Es importante desarrollar la capacidad de reaccionar
Copyright Entropy Security Gestión de incidentes – CSIRT • CSIRT: Computer Security Incident Response Team – Equipo de respuesta a incidentes de seguridad – Suele haber CSIRT nacionales (US-CERT, ArCERT, AusCERT, etc.) • Detalles – Puede ser interno a la organización o externo – Recibe notificaciones de eventos ante los cuales responde – Se encarga de la respuesta, resolución, seguimiento post-incidente y reporte
Copyright Entropy Security Concientización (Awareness) • Conceptos – Sensibilización frente a la seguridad – Normalmente una de las áreas de menor consideración – Refuerza el eslabón mas débil  Usuario – No es lo mismo que Entrenamiento • Beneficios – Se reducen de los incidentes de seguridad – Se incrementa de la efectividad de los controles – Se promueve el buen uso de los recursos informáticos
Copyright Entropy Security Concientización – Formas de alcanzarla Presentaciones Conferencias Presentaciones Videos e-learning Publicación y Distribución Newsletters Boletines e intranet Incentivos Premios y reconocimiento por alcanzar objetivos relacionados con la seguridad Recordatorios Banners de login Marketing (tazas, lapiceras, mouse pads, etc.)
Copyright Entropy Security Concientización – Separación de audiencia Management • Breve • Lenguaje acorde • Focalizar en activos críticos • Impacto financiero de la falta de seguridad • Implicancias legales • Definir conceptos: políticas, estándares, procedimientos • Responsabilidades Empleados en gral. • Clara y dinámica • Derechos y obligaciones • Actividades aceptables • Ejemplos • Interacción Personal Técnico • Lenguaje técnico • Implicancias de seguridad en las tareas habituales • Comportamiento esperado • Estándares, procedimientos, guidelines, etc. • Manejo de incidentes • Funciones • Responsabilidades
Copyright Entropy Security Concientización – Revisión de resultados • Encuestas de opinión • Encuestas de calificación de la concientización • Medición de incidentes antes y después de la concientización • Observación del comportamiento del personal • Monitoreo de uso de recursos. • Evaluaciones de Seguridad
Copyright Entropy Security Concientización – Ejemplo de material
Copyright Entropy Security Concientización – Referencias
¿Preguntas? Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar

Recomendados

Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
información Segura
información Segurainformación Segura
información SeguraCesar Delgado
 
Tema 4
Tema 4Tema 4
Tema 4Carmelo Branimir España Villegas
 
Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...jcerdanv
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun SánchezNextel S.A.
 

Recomendados

Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
información Segura
información Segurainformación Segura
información SeguraCesar Delgado
 
Tema 4
Tema 4Tema 4
Tema 4Carmelo Branimir España Villegas
 
Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 8.jesus cerdan valenzuela seguridad informática para los empresario...jcerdanv
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun SánchezNextel S.A.
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
trabajo de imformatica
trabajo de imformaticatrabajo de imformatica
trabajo de imformaticaDavith Miguel Arenas
 
Seguridad en el servidor
Seguridad en el servidorSeguridad en el servidor
Seguridad en el servidorCarloz Kaztro
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)Onpux Diane Pie
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
AuditoriacharlaVicente Lingan
 
Educación y sensibilización en seguridad de la información
Educación y sensibilización en seguridad de la informaciónEducación y sensibilización en seguridad de la información
Educación y sensibilización en seguridad de la informaciónModernizacion y Gobierno Digital - Gobierno de Chile
 
Sensibilización seguridad
Sensibilización seguridadSensibilización seguridad
Sensibilización seguridadcuencadelplata2013
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castilloNevi Castillo
 
Mi presentación de la seguridad informatica
Mi presentación de la seguridad informaticaMi presentación de la seguridad informatica
Mi presentación de la seguridad informaticajeseniamagaly
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12mvega0722
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12mvega0722
 
Ian Johnson Cv2012 D Luxury
Ian Johnson Cv2012 D LuxuryIan Johnson Cv2012 D Luxury
Ian Johnson Cv2012 D LuxuryBigfaluda
 
Desert
DesertDesert
Desertnlttms
 

Más contenido relacionado

La actualidad más candente

Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Seguridad en el servidor
Seguridad en el servidorSeguridad en el servidor
Seguridad en el servidorCarloz Kaztro
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)Onpux Diane Pie
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castilloNevi Castillo
 
Mi presentación de la seguridad informatica
Mi presentación de la seguridad informaticaMi presentación de la seguridad informatica
Mi presentación de la seguridad informaticajeseniamagaly
 

La actualidad más candente (18)

Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
 
trabajo de imformatica
trabajo de imformaticatrabajo de imformatica
trabajo de imformatica
 
Seguridad en el servidor
Seguridad en el servidorSeguridad en el servidor
Seguridad en el servidor
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Educación y sensibilización en seguridad de la información
Educación y sensibilización en seguridad de la informaciónEducación y sensibilización en seguridad de la información
Educación y sensibilización en seguridad de la información
 
Sensibilización seguridad
Sensibilización seguridadSensibilización seguridad
Sensibilización seguridad
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad informática nevi castillo
Seguridad informática nevi castilloSeguridad informática nevi castillo
Seguridad informática nevi castillo
 
Mi presentación de la seguridad informatica
Mi presentación de la seguridad informaticaMi presentación de la seguridad informatica
Mi presentación de la seguridad informatica
 

Destacado

Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12mvega0722
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12mvega0722
 
Ian Johnson Cv2012 D Luxury
Ian Johnson Cv2012 D LuxuryIan Johnson Cv2012 D Luxury
Ian Johnson Cv2012 D LuxuryBigfaluda
 
Desert
DesertDesert
Desertnlttms
 
How to stop panic attacks fast and for good
How to stop panic attacks fast and for goodHow to stop panic attacks fast and for good
How to stop panic attacks fast and for goodnaztez
 
Diversidade biologica
Diversidade biologicaDiversidade biologica
Diversidade biologicaJosenildocte
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12mvega0722
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13mvega0722
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13mvega0722
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12mvega0722
 
Malerie's Presentation
Malerie's PresentationMalerie's Presentation
Malerie's Presentationmvega0722
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13mvega0722
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13mvega0722
 
Presentation
Presentation Presentation
Presentation mvega0722
 
Desert
DesertDesert
Desertnlttms
 
Ian johnson CV 2012
Ian johnson CV 2012Ian johnson CV 2012
Ian johnson CV 2012Bigfaluda
 

Destacado (18)

Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12
 
Ian Johnson Cv2012 D Luxury
Ian Johnson Cv2012 D LuxuryIan Johnson Cv2012 D Luxury
Ian Johnson Cv2012 D Luxury
 
Desert
DesertDesert
Desert
 
How to stop panic attacks fast and for good
How to stop panic attacks fast and for goodHow to stop panic attacks fast and for good
How to stop panic attacks fast and for good
 
Diversidade biologica
Diversidade biologicaDiversidade biologica
Diversidade biologica
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13
 
Biology presentation12
Biology presentation12Biology presentation12
Biology presentation12
 
Malerie's Presentation
Malerie's PresentationMalerie's Presentation
Malerie's Presentation
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13
 
Malerie's presentation#13
Malerie's presentation#13Malerie's presentation#13
Malerie's presentation#13
 
Presentation
Presentation Presentation
Presentation
 
Tecnicas de Busqueda de Informacion en Google
Tecnicas de Busqueda de Informacion en GoogleTecnicas de Busqueda de Informacion en Google
Tecnicas de Busqueda de Informacion en Google
 
Desert
DesertDesert
Desert
 
Ian johnson CV 2012
Ian johnson CV 2012Ian johnson CV 2012
Ian johnson CV 2012
 
Guia adopción internacional
Guia adopción internacionalGuia adopción internacional
Guia adopción internacional
 

Similar a Gestion de la seguridad

Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...jcerdanv
 
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...jcerdanv
 
Gestion de roles y responsabilidades
Gestion de roles y responsabilidadesGestion de roles y responsabilidades
Gestion de roles y responsabilidadesAndresJ08
 
01 principios(1)
01 principios(1)01 principios(1)
01 principios(1)Tito98Porto
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad ITRamiro Cid
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Seguridad informática principios basicos
Seguridad informática principios basicosSeguridad informática principios basicos
Seguridad informática principios basicosRossalyn
 

Similar a Gestion de la seguridad (20)

Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
 
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
Trabajo 7.jesus cerdan valenzuela seguridad informática para los empresario...
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Gestion de roles y responsabilidades
Gestion de roles y responsabilidadesGestion de roles y responsabilidades
Gestion de roles y responsabilidades
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
01 principios(1)
01 principios(1)01 principios(1)
01 principios(1)
 
Modelo de Política
Modelo de PolíticaModelo de Política
Modelo de Política
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad IT
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
 
Seguridad
SeguridadSeguridad
Seguridad
 
Tema 4
Tema 4Tema 4
Tema 4
 
Seguridad informática principios basicos
Seguridad informática principios basicosSeguridad informática principios basicos
Seguridad informática principios basicos
 

Último

CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...jhoecabanillas12
 
El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)estebancitoherrera
 
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docxmarthaarroyo16
 
La importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresaLa importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresamerca6
 
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,juberrodasflores
 
HABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdfHABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdfGEINER22
 
bases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria debases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria deCalet Cáceres Vergara
 
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfREPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfIrapuatoCmovamos
 
CUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdfCUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdfEDUARDO MAMANI MAMANI
 
Data Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosData Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosssuser948499
 
2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptx2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptxccordovato
 
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior UniversitariaSUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior Universitariachayananazcosimeon
 
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfPREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfluisccollana
 
LA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechoLA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechojuliosabino1
 
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfREPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfIrapuatoCmovamos
 
que son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptxque son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptxSergiothaine2
 
tipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicacióntipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicaciónJonathanAntonioMaldo
 

Último (17)

CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...
 
El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)
 
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
 
La importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresaLa importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresa
 
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
 
HABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdfHABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdf
 
bases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria debases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria de
 
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfREPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
 
CUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdfCUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdf
 
Data Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosData Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datos
 
2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptx2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptx
 
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior UniversitariaSUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
 
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfPREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
 
LA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechoLA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derecho
 
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfREPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
 
que son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptxque son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptx
 
tipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicacióntipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicación
 

Gestion de la seguridad

  • 1. Seguridad de la Información Federico Pacheco @FedeQuark www.federicopacheco.com.ar info@federicopacheco.com.ar Introducción a la gestión de la seguridad
  • 2. Copyright Entropy Security Contenidos • Necesidad de gestión de la seguridad • Estructura normativa • Implementación de un sistemas de gestión de la seguridad (SGSI) • Gestión del riesgo • Clasificación de la información • Gestión de cambios y actividades • Gestión de incidentes • Concientización de usuarios
  • 3. Copyright Entropy Security Gestión de la seguridad • Objetivo principal – Proteger los activos de información de la organización • Necesidad fundamental – Alineación con el negocio • Características – Proceso continuo y cíclico – No hay soluciones únicas ni infalibles – Incumbencia de la alta gerencia (Top-Down) – Requiere establecer un sistema de gestión (SGSI) – Relacionado con el gobierno de la seguridad (Security Governance)
  • 4. Copyright Entropy Security Gestión de la seguridad – Proceso continuo Planificar y organizar Implementar Operar y mantener Monitorear y evaluar
  • 5. Copyright Entropy Security Gestión de la seguridad – Estándares de SGSI • ISO 27000 – Familia de estándares de seguridad de la información basado en BS7799 – Ejemplos • 27.001: Requisitos de los SGSI  Certificable • 27.002: Objetivos de control y controles recomendables • 27.003: Guía de implementación del SGSI • 27.005: Gestión de riesgos • COBIT (Control Objetives for Information and related Technologies) – Utilizado para implementar Gobierno de TI – Desarrollado por • ISACA – Information Systems Audit and Control Association • ITGI – IT Governance Institute
  • 6. Copyright Entropy Security Gestión de la seguridad – ISO 27002 Evaluación y tratamiento de riesgos Política de Seguridad Organización de Seguridad de la Información Gestión de Activos Gestión de Recursos Humanos Seguridad Física y Ambiental Gestión de Operaciones y Comunicaciones Control de accesos Adquisición, desarrollo y mantenimiento de sistemas Gestión de incidentes de seguridad Administración de la continuidad del negocio Cumplimiento de normativa y leyes
  • 7. Copyright Entropy Security Gestión de la seguridad – Alta gerencia • Falta de entendimiento sobre la necesidad de seguridad • Idea de la seguridad como problemática, costosa e innecesaria • Incapacidad de identificar los riesgos asociados • Creer que se interferirá con el negocio • Creer que la seguridad es un tema de tecnología
  • 8. Copyright Entropy Security Gestión de la seguridad – Dependencia Gerencia de Sistemas Auditoría Interna Area de Seguridad Informática Gerencia de Seguridad Consultoría Externa Recursos Humanos
  • 9. Copyright Entropy Security Gestión de la seguridad – Responsable • Máxima autoridad: Comité de seguridad • Responsable funcional – CISO (Chief Information Security Officer) – ISSO (Information Systems Security Officer) • Objetivos – Establecer y mantener un programa de gestión de la seguridad – Comunicarse con la alta dirección – Debe conocer el negocio y los procesos
  • 10. Copyright Entropy Security Gestión de la seguridad – Estructura normativa  Nivel estratégico  Nivel táctico  Nivel operativo Políticas GuidelinesNormasEstándares Procedimientos
  • 11. Copyright Entropy Security Gestión de la seguridad – Normativas • Definen y clasifican las metas y objetivos • Definen roles, responsabilidades y escala de autoridad • Establecen criterios aceptables y uniformes de conducta • Informan al personal sus obligaciones y medidas por incumplimiento • Informan a terceros sobre las definiciones establecidas por la organización • Garantizar el cumplimiento de normas externas
  • 12. Copyright Entropy Security Políticas de Seguridad Declaraciones de directivas de la alta gerencia para garantizar el apoyo y soporte a la seguridad • Dictadas por el comité de seguridad y aprobada por las autoridades • Suelen ser breves y generales • Define el desarrollo del programa de gestión de seguridad • Deben ser comunicadas y aceptadas por todo el personal • Alineadas con normativas legales y corporativas
  • 13. Copyright Entropy Security Políticas de Seguridad - Implantación • Especifican el uso uniforme de una tecnología • Define actividades, acciones, reglas, regulaciones Estándares • Recomendaciones generales • Colaboran al cumplimiento de objetivos Normas • Definen parámetros mínimos para un estándarBaselines • Descripción detallada de tareasProcedimientos
  • 14. Copyright Entropy Security Gestión de la seguridad – Aspectos legales • Responsabilidad de entender las amenazas y los riesgos Due Diligence (Debida Diligencia) • Implementar contramedidas para protegerse de los riesgos Due Care (Debido Cuidado) Si una organización no cumple con esto en relación a la protección de sus activos puede ser acusada de negligencia
  • 15. Copyright Entropy Security Clasificación de la información Fundamentos • Procedimiento por el cuál se categoriza la información • Define niveles de confidencialidad, integridad y disponibilidad Motivos • Saber cuánto invertir en la protección de los datos • No todos los datos tienen el mismo valor • No todas las personas deben acceder a todos los datos • Aspectos legales y regulatorios
  • 16. Copyright Entropy Security Clasificación de la información – Criterios Ejemplo de criterios • Valor • Vida útil • Asociación con personas Ejemplo de niveles • Público • Uso interno • Confidencial
  • 17. Copyright Entropy Security Clasificación de la información – Resultados • Se define la información como un activo del negocio • Se declara a los gerentes de área como dueños de la información • Se establece a IT como custodio de la información • Se identifican datos importantes • Permite definir controles y costos asociados • Permite asignar roles y responsabilidades • Se demuestra compromiso con la seguridad
  • 18. Copyright Entropy Security Clasificación de la información – Proceso Programas de concientización Especificación de procesos de desclasificación y transferencia de custodia Especificación y documentación de excepciones Clasificación realizada por el dueño (puede estar sujeta a verificación) Especificación del criterio de clasificación Identificación del Administrador
  • 19. Copyright Entropy Security Clasificación de la información – Roles Dueño Custodio Usuario Auditor
  • 20. Copyright Entropy Security Clasificación de la información – Funciones • Gerente o Director General • Comité de Seguridad • Responsable de Seguridad • Analista de Seguridad • Administrador de Seguridad • Auditor de seguridad
  • 21. Copyright Entropy Security Gestión de cambios • Concepto – Contar con un adecuado control sobre las modificaciones en las operaciones • Necesidad – Determinados cambios pueden corromper un modelo de seguridad – Quien pide un cambio puede desconocer las implicancias • Pautas – El responsable debe analizar el impacto del cambio antes de implantarlo – Procesos que aseguren que solo se realizan modificaciones autorizadas – No debe bajar el nivel de seguridad en ningún momento
  • 22. Copyright Entropy Security Gestión de Logs • Registros secuenciales de eventos • Incluye diversas definiciones – Selección de eventos a registrar – Ciclos de rotación – Compresión de logs – Verificaciones de integridad – Backup y protección que se dará • Software de análisis de logs
  • 23. Copyright Entropy Security Gestión de actividades • Segregación de funciones – Nadie debe ser responsable de una tarea sensible de principio a fin – Nadie puede ser responsable de aprobar su propio trabajo – Sirve para la prevención del fraude • Rotación de tareas – Evita que el personal permanezca demasiado tiempo en una función – Se logra un alto nivel de control sobre las actividades – Favorece el reemplazo de funciones • Vacaciones obligatorias – Permite la detección de fraude y actividades no permitidas – Permite detectar el desempeño
  • 24. Copyright Entropy Security Gestión de incidentes • Incidente de Seguridad – Evento no deseado de significativa probabilidad de amenazar la seguridad • Gestión de incidentes – Proceso para identificar tempranamente desvíos en políticas o fallas en controles • Realidad: los incidentes ocurren tarde o temprano – No existe la seguridad total – Es importante desarrollar la capacidad de reaccionar
  • 25. Copyright Entropy Security Gestión de incidentes – CSIRT • CSIRT: Computer Security Incident Response Team – Equipo de respuesta a incidentes de seguridad – Suele haber CSIRT nacionales (US-CERT, ArCERT, AusCERT, etc.) • Detalles – Puede ser interno a la organización o externo – Recibe notificaciones de eventos ante los cuales responde – Se encarga de la respuesta, resolución, seguimiento post-incidente y reporte
  • 26. Copyright Entropy Security Concientización (Awareness) • Conceptos – Sensibilización frente a la seguridad – Normalmente una de las áreas de menor consideración – Refuerza el eslabón mas débil  Usuario – No es lo mismo que Entrenamiento • Beneficios – Se reducen de los incidentes de seguridad – Se incrementa de la efectividad de los controles – Se promueve el buen uso de los recursos informáticos
  • 27. Copyright Entropy Security Concientización – Formas de alcanzarla Presentaciones Conferencias Presentaciones Videos e-learning Publicación y Distribución Newsletters Boletines e intranet Incentivos Premios y reconocimiento por alcanzar objetivos relacionados con la seguridad Recordatorios Banners de login Marketing (tazas, lapiceras, mouse pads, etc.)
  • 28. Copyright Entropy Security Concientización – Separación de audiencia Management • Breve • Lenguaje acorde • Focalizar en activos críticos • Impacto financiero de la falta de seguridad • Implicancias legales • Definir conceptos: políticas, estándares, procedimientos • Responsabilidades Empleados en gral. • Clara y dinámica • Derechos y obligaciones • Actividades aceptables • Ejemplos • Interacción Personal Técnico • Lenguaje técnico • Implicancias de seguridad en las tareas habituales • Comportamiento esperado • Estándares, procedimientos, guidelines, etc. • Manejo de incidentes • Funciones • Responsabilidades
  • 29. Copyright Entropy Security Concientización – Revisión de resultados • Encuestas de opinión • Encuestas de calificación de la concientización • Medición de incidentes antes y después de la concientización • Observación del comportamiento del personal • Monitoreo de uso de recursos. • Evaluaciones de Seguridad