SlideShare una empresa de Scribd logo

Conferencia

Descargar como PPTX, PDF
Fredy Giovanni Duitama Martínez
Fredy Giovanni Duitama Martínez

Este documento presenta conceptos generales sobre seguridad de la información, estándares y buenas prácticas como ISO 27001 e ISO 27002 y COBIT, el marco normativo aplicable en Colombia como la Ley de Habeas Data y la Ley de Protección de Datos, y cómo la seguridad de la información es aplicable y genera impacto en las organizaciones al mejorar el cumplimiento normativo, reputación y retención de clientes.

1 de 19
SEGURIDAD DE LA INFORMACIÓN EN LAS ORGANIZACIONES Ing. Fredy G. Duitama M. Esp. Administración de Riesgos Informáticos Consultor en Seguridad de la Información
Agenda • Conceptos Generales de Seguridad • Estándares y Buenas Prácticas • Marco Normativo Aplicable • Aplicabilidad Organizacional e Idea de Negocio • Preguntas del Auditorio
Conceptos Generales de Seguridad • Información: Son datos dotados de significado y propósito.
Activos de Información Información Personal Hardware Comunicaciones Instalaciones Software Cualquier tipo de información contenida en un medio digital o medio impreso (Documento). Hace referencia a cualquier funcionario y/o colaborador que tenga un vínculo con la Organización. Cualquier componente de máquina que sea necesario para efectuar o complementar operaciones sobre algún activo de información, incluyendo tecnologías de almacenamiento y procesamiento. Hace referencia a cualquier componente de hardware que se requiera para comunicar los activos de información. Hace referencia a las ubicaciones física (edificios, oficinas, sedes), requeridos para la ejecución y cumplimiento del objetivo del activo de información. Cualquier programa de cliente final, como suites de ofimática, correo, editor de documentos, etc. Conceptos Generales de Seguridad Son los recursos requeridos por la organización para su funcionamiento adecuado; su daño o destrucción implica una pérdida significativa para la organización.
Conceptos Generales de Seguridad • Riesgo: Posibilidad de Perdida o de no ganancia a la que se expone una actividad.
Conceptos Generales de Seguridad Seguridad de la Información: Garantiza que solo los usuarios autorizados puedan tener acceso a la información precisa y completa cuando sea necesario. Confidencialidad: hace referencia a la protección de información cuya divulgación no está autorizada. Integridad: la información debe ser precisa, coherente y completa desde su creación hasta su destrucción. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
Conceptos Generales de Seguridad • Seguridad Informática: Actividades enfocadas al cumplimiento de las definiciones de seguridad de la información, desde el punto de vista técnico (Hardware y Software). Seguridad de la Información Seguridad Informática
Conceptos Generales de Seguridad • Control: Acciones enfocadas a la verificación del cumplimiento normativo definido en una organización.
Estándares y Buenas Practicas
Estándares y Buenas Practicas • ISO 27001: conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Estándares y Buenas Practicas Familia ISO 27000 ISO 27000 ISO 27001 ISO 27002 ISO 27003 ISO 27004 ISO 27005 Visión general de las normas que componen la serie 27000, es una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso PHVA y términos y definiciones que se emplean en toda la serie 27000. Norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
Estándares y Buenas Practicas • COBIT: Marco de buenas practicas que apoya al negocio y los equipos y gestores de TI en la definición y la consecución de las metas de negocio de TI relacionadas, a través de un extenso modelo de gobierno, gestión, control, y aseguramiento.
Estándares y Buenas Practicas - Dominios COBIT Planeación y Organización Adquisición e Implementación Prestación de Servicio y Soporte Monitoreo y Evaluación 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir los procesos, la organización y las relaciones de TI 5. Gestionar la inversión en TI 6. Comunicar los requerimientos de la dirección 7. Gestionar el Recurso Humano 8. Gestionar la calidad 9. Evaluar y gestionar los riesgos de TI 10. Gestionar Proyectos 1. Identificar soluciones automatizadas 2. Adquirir y mantener SW aplicativo 3. Adquirir y mantener infraestructura de TI 4. Habilitar la operación y uso 5. Gestionar la demanda de recursos de TI 6. Gestionar Cambios 7. Instalar y acreditar soluciones y cambios 1. Definir y gestionar niveles de servicio 2. Gestionar servicios provistos por terceros 3. Gestionar la capacidad y el desempeño 4. Asegurar el servicio continuo 5. Garantizar la seguridad de los sistemas 6. Identificar y asignar costos 7. Educar y entrenar usuarios 8. Gestionar mesa de ayuda e incidentes 9. Gestionar la configuración 10. Gestionar problemas 11. Gestionar datos 12. Gestionar ambiente físico 13. Gestionar operaciones 1. Monitorear y evaluar desempeño de TI 2. Monitorear y evaluar control interno 3. Asegurar cumplimiento regulatorio 4. Proveer Gobierno de TI
Marco Normativo Aplicable Ley 1266 de 2008 (Habeas Data). • Derecho de los Colombia de saber quien tiene almacenada su Información y corregirla de ser necesario. • Permite a los Colombianos proteger sus datos y definir los usos que se le den • Define los tipos de datos aceptados en Colombia (Personal, Publico, Semiprivado y Privado) Ley 1273 de 2009 (Modificación Código Penal). • Creo nuevos tipos de delitos penales relacionados con delitos informáticos y la protección de la información con penas de hasta 120 meses y hasta 1500 SMMLV de multas. • Algunos de estos delitos son: sabotaje informático, Acceso Abusivo a datos, Interceptación de datos, Daño informático, uso de software malicioso, violación de datos personales entre otros. Ley 1581 de 2012 (Protección de Datos). • Determina los principios que deben seguirse en todo Tratamiento de Datos Personales dentro de los que encontramos: Legalidad, Finalidad, Libertad, Veracidad o Calidad, Trasparencia, Acceso y circulación restringida, Seguridad y confidencialidad.
Marco Normativo Aplicable Compes 3701 de 2011 (Ciberseguridad - Ciberdefensa). • Dicta los lineamientos de política de Ciberseguridad y Ciberdefensa para contrarrestar las amenazas crecientes en el ámbito nacional. • Crea organismos para fortalecer la capacidad del estado para afrontar las amenazas cibernéticas, algunos de estos son: ColCERT Grupo de Respuesta a Emergencias Cibernéticas de Colombia, Centro Cibernético Policial - CCP, Comando Conjunto Cibernético - CCOC Circular Externa 042 de 2012 (SFC). • Dicta los requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios aplicable al sector financiero.
Aplicabilidad Organizacional Todas las Entidades Generan Información “Cada día se genera la increíble cantidad de 2,9 trillones de bytes de datos”. Impacto Generado por la Seguridad de la Información en el Gobierno Organizacional. Buen Nombre y Retención de Clientes. Cumplimiento Normativo
Idea de Negocio Tiempo de Implementación Mercado Objetivo Inversión Recursos Requeridos
Preguntas del Auditorio
GRACIAS Email: duitama90@gmail.com Cel. 320 4954495

Recomendados

Conferencia
ConferenciaConferencia
ConferenciaFredy Giovanni Duitama Martínez
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 

Recomendados

Conferencia
ConferenciaConferencia
ConferenciaFredy Giovanni Duitama Martínez
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
AuditoriacharlaVicente Lingan
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yungadanny yunga
 
New Generations of Donor Engagement | Kim Parker
New Generations of Donor Engagement | Kim ParkerNew Generations of Donor Engagement | Kim Parker
New Generations of Donor Engagement | Kim ParkerOPERA America
 
Sesión v
Sesión vSesión v
Sesión voarl8791
 

Más contenido relacionado

La actualidad más candente

Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 

La actualidad más candente (20)

Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 

Destacado

New Generations of Donor Engagement | Kim Parker
New Generations of Donor Engagement | Kim ParkerNew Generations of Donor Engagement | Kim Parker
New Generations of Donor Engagement | Kim ParkerOPERA America
 
Management consulting & Corporate Relation
Management consulting & Corporate RelationManagement consulting & Corporate Relation
Management consulting & Corporate RelationTalent Talk Media
 
Thao rửa bể nước
Thao rửa bể nướcThao rửa bể nước
Thao rửa bể nướcvanmanh805
 
Isu Pendekatan Pengajaran Matematik
Isu Pendekatan Pengajaran MatematikIsu Pendekatan Pengajaran Matematik
Isu Pendekatan Pengajaran MatematikNurAlias91
 
Manual saeh de urgencias medicas (1)
Manual saeh de urgencias medicas (1)Manual saeh de urgencias medicas (1)
Manual saeh de urgencias medicas (1)Rosabell Orfelinda
 
Ecología y cambio climático en la alta montaña Andina
Ecología y cambio climático en la alta montaña AndinaEcología y cambio climático en la alta montaña Andina
Ecología y cambio climático en la alta montaña AndinaJosé Alvarez Cornett
 
Il nuovo paradigma del Marketing Transpersonale
Il nuovo paradigma del Marketing TranspersonaleIl nuovo paradigma del Marketing Transpersonale
Il nuovo paradigma del Marketing TranspersonaleNinja Academy
 
MRKT 3055 Quantitative Market Research Final Project-1
MRKT 3055 Quantitative Market Research Final Project-1MRKT 3055 Quantitative Market Research Final Project-1
MRKT 3055 Quantitative Market Research Final Project-1Brittney D'Agostino
 

Destacado (12)

New Generations of Donor Engagement | Kim Parker
New Generations of Donor Engagement | Kim ParkerNew Generations of Donor Engagement | Kim Parker
New Generations of Donor Engagement | Kim Parker
 
Sesión v
Sesión vSesión v
Sesión v
 
Management consulting & Corporate Relation
Management consulting & Corporate RelationManagement consulting & Corporate Relation
Management consulting & Corporate Relation
 
Presentación1 delitos informaticos
Presentación1 delitos informaticosPresentación1 delitos informaticos
Presentación1 delitos informaticos
 
DEDER KLASSEN
DEDER KLASSENDEDER KLASSEN
DEDER KLASSEN
 
Thao rửa bể nước
Thao rửa bể nướcThao rửa bể nước
Thao rửa bể nước
 
Isu Pendekatan Pengajaran Matematik
Isu Pendekatan Pengajaran MatematikIsu Pendekatan Pengajaran Matematik
Isu Pendekatan Pengajaran Matematik
 
Manual saeh de urgencias medicas (1)
Manual saeh de urgencias medicas (1)Manual saeh de urgencias medicas (1)
Manual saeh de urgencias medicas (1)
 
Dublin
DublinDublin
Dublin
 
Ecología y cambio climático en la alta montaña Andina
Ecología y cambio climático en la alta montaña AndinaEcología y cambio climático en la alta montaña Andina
Ecología y cambio climático en la alta montaña Andina
 
Il nuovo paradigma del Marketing Transpersonale
Il nuovo paradigma del Marketing TranspersonaleIl nuovo paradigma del Marketing Transpersonale
Il nuovo paradigma del Marketing Transpersonale
 
MRKT 3055 Quantitative Market Research Final Project-1
MRKT 3055 Quantitative Market Research Final Project-1MRKT 3055 Quantitative Market Research Final Project-1
MRKT 3055 Quantitative Market Research Final Project-1
 

Similar a Conferencia

Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad17oswaldo
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionJesus Ponce
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectualplluncor
 

Similar a Conferencia (20)

Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
iso 27001.pptx
iso 27001.pptxiso 27001.pptx
iso 27001.pptx
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Infraestructura de las tic
Infraestructura de las ticInfraestructura de las tic
Infraestructura de las tic
 
Cobit
CobitCobit
Cobit
 
Vc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridadVc4 nm73 serrano s yosimar-normas seguridad
Vc4 nm73 serrano s yosimar-normas seguridad
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de seguros
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacionC2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
C2cm23-Eq2-Política, derecho, norma y legislación informática-presentacion
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 
Superior
SuperiorSuperior
Superior
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
 

Conferencia

  • 1. SEGURIDAD DE LA INFORMACIÓN EN LAS ORGANIZACIONES Ing. Fredy G. Duitama M. Esp. Administración de Riesgos Informáticos Consultor en Seguridad de la Información
  • 2. Agenda • Conceptos Generales de Seguridad • Estándares y Buenas Prácticas • Marco Normativo Aplicable • Aplicabilidad Organizacional e Idea de Negocio • Preguntas del Auditorio
  • 3. Conceptos Generales de Seguridad • Información: Son datos dotados de significado y propósito.
  • 4. Activos de Información Información Personal Hardware Comunicaciones Instalaciones Software Cualquier tipo de información contenida en un medio digital o medio impreso (Documento). Hace referencia a cualquier funcionario y/o colaborador que tenga un vínculo con la Organización. Cualquier componente de máquina que sea necesario para efectuar o complementar operaciones sobre algún activo de información, incluyendo tecnologías de almacenamiento y procesamiento. Hace referencia a cualquier componente de hardware que se requiera para comunicar los activos de información. Hace referencia a las ubicaciones física (edificios, oficinas, sedes), requeridos para la ejecución y cumplimiento del objetivo del activo de información. Cualquier programa de cliente final, como suites de ofimática, correo, editor de documentos, etc. Conceptos Generales de Seguridad Son los recursos requeridos por la organización para su funcionamiento adecuado; su daño o destrucción implica una pérdida significativa para la organización.
  • 5. Conceptos Generales de Seguridad • Riesgo: Posibilidad de Perdida o de no ganancia a la que se expone una actividad.
  • 6. Conceptos Generales de Seguridad Seguridad de la Información: Garantiza que solo los usuarios autorizados puedan tener acceso a la información precisa y completa cuando sea necesario. Confidencialidad: hace referencia a la protección de información cuya divulgación no está autorizada. Integridad: la información debe ser precisa, coherente y completa desde su creación hasta su destrucción. Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
  • 7. Conceptos Generales de Seguridad • Seguridad Informática: Actividades enfocadas al cumplimiento de las definiciones de seguridad de la información, desde el punto de vista técnico (Hardware y Software). Seguridad de la Información Seguridad Informática
  • 8. Conceptos Generales de Seguridad • Control: Acciones enfocadas a la verificación del cumplimiento normativo definido en una organización.
  • 10. Estándares y Buenas Practicas • ISO 27001: conjunto de estándares desarrollados por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
  • 11. Estándares y Buenas Practicas Familia ISO 27000 ISO 27000 ISO 27001 ISO 27002 ISO 27003 ISO 27004 ISO 27005 Visión general de las normas que componen la serie 27000, es una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso PHVA y términos y definiciones que se emplean en toda la serie 27000. Norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. En su Anexo A, enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002:2005. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos.
  • 12. Estándares y Buenas Practicas • COBIT: Marco de buenas practicas que apoya al negocio y los equipos y gestores de TI en la definición y la consecución de las metas de negocio de TI relacionadas, a través de un extenso modelo de gobierno, gestión, control, y aseguramiento.
  • 13. Estándares y Buenas Practicas - Dominios COBIT Planeación y Organización Adquisición e Implementación Prestación de Servicio y Soporte Monitoreo y Evaluación 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir los procesos, la organización y las relaciones de TI 5. Gestionar la inversión en TI 6. Comunicar los requerimientos de la dirección 7. Gestionar el Recurso Humano 8. Gestionar la calidad 9. Evaluar y gestionar los riesgos de TI 10. Gestionar Proyectos 1. Identificar soluciones automatizadas 2. Adquirir y mantener SW aplicativo 3. Adquirir y mantener infraestructura de TI 4. Habilitar la operación y uso 5. Gestionar la demanda de recursos de TI 6. Gestionar Cambios 7. Instalar y acreditar soluciones y cambios 1. Definir y gestionar niveles de servicio 2. Gestionar servicios provistos por terceros 3. Gestionar la capacidad y el desempeño 4. Asegurar el servicio continuo 5. Garantizar la seguridad de los sistemas 6. Identificar y asignar costos 7. Educar y entrenar usuarios 8. Gestionar mesa de ayuda e incidentes 9. Gestionar la configuración 10. Gestionar problemas 11. Gestionar datos 12. Gestionar ambiente físico 13. Gestionar operaciones 1. Monitorear y evaluar desempeño de TI 2. Monitorear y evaluar control interno 3. Asegurar cumplimiento regulatorio 4. Proveer Gobierno de TI
  • 14. Marco Normativo Aplicable Ley 1266 de 2008 (Habeas Data). • Derecho de los Colombia de saber quien tiene almacenada su Información y corregirla de ser necesario. • Permite a los Colombianos proteger sus datos y definir los usos que se le den • Define los tipos de datos aceptados en Colombia (Personal, Publico, Semiprivado y Privado) Ley 1273 de 2009 (Modificación Código Penal). • Creo nuevos tipos de delitos penales relacionados con delitos informáticos y la protección de la información con penas de hasta 120 meses y hasta 1500 SMMLV de multas. • Algunos de estos delitos son: sabotaje informático, Acceso Abusivo a datos, Interceptación de datos, Daño informático, uso de software malicioso, violación de datos personales entre otros. Ley 1581 de 2012 (Protección de Datos). • Determina los principios que deben seguirse en todo Tratamiento de Datos Personales dentro de los que encontramos: Legalidad, Finalidad, Libertad, Veracidad o Calidad, Trasparencia, Acceso y circulación restringida, Seguridad y confidencialidad.
  • 15. Marco Normativo Aplicable Compes 3701 de 2011 (Ciberseguridad - Ciberdefensa). • Dicta los lineamientos de política de Ciberseguridad y Ciberdefensa para contrarrestar las amenazas crecientes en el ámbito nacional. • Crea organismos para fortalecer la capacidad del estado para afrontar las amenazas cibernéticas, algunos de estos son: ColCERT Grupo de Respuesta a Emergencias Cibernéticas de Colombia, Centro Cibernético Policial - CCP, Comando Conjunto Cibernético - CCOC Circular Externa 042 de 2012 (SFC). • Dicta los requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios aplicable al sector financiero.
  • 16. Aplicabilidad Organizacional Todas las Entidades Generan Información “Cada día se genera la increíble cantidad de 2,9 trillones de bytes de datos”. Impacto Generado por la Seguridad de la Información en el Gobierno Organizacional. Buen Nombre y Retención de Clientes. Cumplimiento Normativo
  • 17. Idea de Negocio Tiempo de Implementación Mercado Objetivo Inversión Recursos Requeridos