Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales.
Dictado en la Universidad Telesup -UPT, Lima - Perú, en los ciclos 2008-2 (noviembre/2008), 2009-1 (marzo/2009), 2010-0 (enero/2010), 2010-1 (marzo/2010), 2011-1 (marzo/2011).
Curso: Comunicación de datos y redes: 15 Buenas prácticas internacionales
1. COMUNICACIÓN DE DATOS Y REDES
Ing. CIP Jack Daniel Cáceres Meza
La Universidad de los Talentos
Formando Líderes para la Exportación
BUENAS PRÁCTICAS INTERNACIONALES
TEMA 15
Marzo/2011
2. 2
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Temas a tratar
Unidad de aprendizaje 4
Tema 1:
Buenas prácticas internacionales:
Gestión de la seguridad de la información: ISO/IEC 27002:2005.
Gestión de servicios de tecnologías de la información: ISO/IEC 20000-
2:2005.
3. 3
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desarrollo de la norma de seguridad
ISO/IEC 17799
Normativa internacional más completo
Compila guías - fundamentos para implantar mejores prácticas en
seguridad de la información
Análisis Del Riesgo, Política De la Seguridad
BS 7799-2:2002
Sistema gestor para la seguridad de la información
Auditoría
Utilizado como diferenciador y de posicionamiento en el mercado
Debe cumplir con el Data Protection Act
4. 4
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desarrollo de la norma de seguridad
Seguridad de información
Integridad
Confidencialidad
Disponibilidad
A mayores riesgos, mayor necesidad de:
Confianza
Privacidad
Seguridad
5. 5
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desarrollo de la norma de seguridad
Gestión de la Seguridad de la Información:
1. Política de seguridad
2. Aspectos organizativos para la seguridad
3. Clasificación y control de activos
4. Seguridad ligada al personal
5. Seguridad física y del entorno
6. Gestión de comunicaciones y operaciones
7. Control de accesos
8. Desarrollo y mantenimiento de sistemas
9. Gestión de continuidad del negocio
10.Conformidad con la legislación
6. 6
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
To counteract interruptions to business
activities and to critical business processes
from the effects of major failures or
disasters
Business Continuity
Planning
7. 7
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
1. To control access to information
2. To prevent unauthorised access to information
systems
3. To ensure the protection of networked services
4. To prevent unauthorized computer access
5. To detect unauthorised activities
6. To ensure information security when using mobile
computing and tele-networking facilities
System
Access
Control
8. 8
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
1. To ensure security is built into operational
systems
2. To prevent loss, modification or misuse of user
data in application systems
3. To protect the confidentiality, authenticity and
integrity of information
4. To ensure IT projects and support activities are
conducted in a secure manner
5. To maintain the security of application system
software and data
System
Development
and
Maintenance
9. 9
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
To prevent unauthorised access, damage
and interference to business premises and
information; to prevent loss, damage or
compromise of assets and interruption to
business activities; to prevent compromise
or theft of information and information
processing facilities
Physical and
Environmental Security
10. 10
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
1. To avoid breaches of any criminal or civil law,
statutory, regulatory or contractual obligations
and of any security requirements
2. To ensure compliance of systems with
organizational security policies and standards
3. To maximize the effectiveness of and to
minimize interference to/from the system audit
process
Compliance
11. 11
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
1. To reduce risks of human error, theft, fraud or
misuse of facilities
2. To ensure that users are aware of information
security threats and concerns, and are
equipped to support the corporate security
policy in the course of their normal work
3. To minimise the damage from security
incidents and malfunctions and learn from
such incidents
Personnel
12. 12
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
1. To manage information security within the
Company
2. To maintain the security of organizational
information processing facilities and information
assets accessed by third parties
3. To maintain the security of information when the
responsibility for information processing has
been outsourced to another organization
Security
Organisation
13. 13
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
1. To ensure the correct and secure operation of
information processing facilities
2. To minimise the risk of systems failures
3. To protect the integrity of software and
information
4. To maintain the integrity and availability of
information processing and communication
Computer &
Operations
Management
14. 14
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
1. To ensure the safeguarding of information in
networks and the protection of the supporting
infrastructure
2. To prevent damage to assets and interruptions
to business activities
3. To prevent loss, modification or misuse of
information exchanged between organizations
Computer &
Operations
Management
15. 15
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
ObjetivosSección
To provide management direction and
support for information security
Security Policy
To maintain appropriate protection of
corporate assets and to ensure that
information assets receive an appropriate
level of protection
Asset Classification and
Control
16. 16
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Gestión de la Seguridad de la Información
17. 17
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desarrollo de la norma
Controles:
Políticas
Practicas
Procedimientos
Estructuras organizacionales
Funciones del software
Detallado y periódico
Evaluación de riesgos
19. 19
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desarrollo de la norma
ISO 17799 no es una norma tecnológica
Ha sido redactada de forma flexible e independiente de
cualquier solución de seguridad específica
Proporciona buenas prácticas neutrales con respecto a la
tecnología y a las soluciones disponibles en el mercado
20. 20
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Desarrollo de la norma
Su efectividad depende de:
Difusión a tiempo
Distribución de material instructivo
Comunicación de incidentes
Implementación apropiada
Capacitación a todos los involucrados (dirección, operaciones,
usuarios)
Claridad en redacción, alcances y exclusiones
Políticas actualizadas, completas y flexibles
Acordes con las demandas de las diferentes áreas de la
organización
Mediciones y control
21. 21
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Esquemas similares
OCTAVE - Evaluación de la seguridad de sistemas
CIS – Medición de seguridad de sistemas Solaris, W2000, VPN,
routers y "firewall"
Federal Information Technology Security Assessment Framework
- Metodología para evaluar sistemas de seguridad (IT) y la
búsqueda por mejorar
DITSCAP (Proceso de Acreditación y Certificación, Información y
Tecnología del Departamento de Defensa USA)
22. 22
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO27002:2005
(Information technology -- Security techniques)
Contenido parcial
Evaluación y tratamiento del
riesgo.
Política de seguridad.
Aspectos organizativos de la
seguridad de la información.
Gestión de activos.
Seguridad ligada a los recursos
humanos.
Seguridad física y ambiental.
Gestión de comunicaciones y
operaciones.
Control de acceso.
Adquisición, desarrollo y
mantenimiento de los sistemas
de información.
Gestión de incidentes de
seguridad de la información.
Gestión de la continuidad del
negocio.
Cumplimiento.
23. 23
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO27000
(Information technology -- Security techniques)
PDCA
SGSI: Sistema de
gestión de la seguridad
de la información
SOA (Statement of
Applicability): Declaración
de aplicabilidad
24. 24
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO27002:2005
(Information technology -- Security techniques)
Beneficios
Confianza de clientes y socios estratégicos por la garantía de
calidad, integridad, disponibilidad y confidencialidad de la
información.
Los riesgos y sus controles son continuamente revisados.
Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.
Demuestra un compromiso real de mantener la seguridad de la
información.
Abre nuevas oportunidades de negocio con clientes
conscientes de la importancia de la seguridad.
Mejora el nivel ético y profesional de los empleados.
25. 25
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO27002:2005
(Information technology -- Security techniques)
Beneficios
Mejora la noción de la confidencialidad en el puesto de trabajo.
Establecimiento de una metodología de gestión de la seguridad
clara y estructurada.
Reducción del riesgo de pérdida, robo o corrupción de
información.
Los clientes tienen acceso a la información a través medidas de
seguridad.
Las auditorías externas ayudan cíclicamente a identificar las
debilidades del sistema y las áreas a mejorar.
Continuidad de las operaciones necesarias de negocio tras
incidentes de gravedad.
26. 26
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO27002:2005
(Information technology -- Security techniques)
Beneficios
Conformidad con la legislación vigente sobre información
personal, propiedad intelectual y otras.
Reducción de costes y mejora de los procesos y servicio.
Aumento de la seguridad en base a la gestión de procesos en
vez de en la compra sistemática de productos y tecnologías.
Mejora la manera en que la organización gestiona la seguridad
de la información.
Mejora los objetivos de control.
Incrementa la disponibilidad de recursos y aclara las
responsabilidades.
27. 27
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO27002:2005
(Information technology -- Security techniques)
Beneficios
Permitir la creación de nuevas actividades de negocio
relacionadas con la seguridad de la información.
Permite formular los objetivos y requisitos de seguridad de la
organización.
Forma de garantizar la gestión del riesgo y la rentabilidad de la
inversión en seguridad.
Para garantizar el cumplimiento de las leyes y regulaciones
establecidas en materia de gestión de información.
Identificación y aclaración de los procesos de gestión de la
seguridad.
28. 28
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO20000-2:2005
Information technology – Service management
La especificación
supone un completo
sistema de gestión
(organizado según
ISO 9001) basado en
procesos de gestión
de servicio, políticas,
objetivos y controles.
Fuente: 20000.fwtk.org
La gestión de servicio IT es un enfoque de conducción de negocio "de arriba hacia abajo" de la
gerencia de IT. Específicamente, trata el valor estratégico del negocio generado por IT y la necesidad
de brindar servicios IT de alta calidad - no solamente en el final sino también para los clientes y su
interacción con el sistema
IT. intersek-sc.com (entidad certificadora)
29. 29
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Cortesía de BMC Software
ISO20000-2:2005
(Information technology -- Service management)
Procesos de gestión de servicios
30. 30
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
Estándares internacionales: ISO 20000
Gestión de servicios de TI
31. 31
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO20000-2:2005
(Information technology -- Service management)
PDCA
Fuente: Institute of IT Service Management
32. 32
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO20000-2:2005
(Information technology -- Service management)
Beneficios
Alineación de servicios de TI con las estrategias del Negocio.
Incremento en la competitividad a través de la entrega de
mejores servicios a menor costo.
Creación de un marco de referencia para el mejoramiento de
servicios.
Enfoque a la creación de procesos pro-activos en vez de
procesos re-activos.
Mejoramiento en las interdependencias y operaciones internas
de TI.
La Gestión de las TICs mejora el posicionamiento del Dpto. de SI
y del CIO.
En un futuro los CIOS más gestores y menos tecnólogos.
33. 33
Ciclo 2011-IIng.CIP Jack Daniel Cáceres Meza
jack_caceres@hotmail.com
ISO20000-2:2005
(Information technology -- Service management)
Beneficios
Maximizar la Calidad del servicio.
Alinear los servicios de TI a las necesidades del negocio.
Reducir Costes.
Aumentar la satisfacción del Cliente.
Visión clara de la capacidad del departamento de TI.
Minimizar el tiempo de ciclo de cambios y mejorar resultados en
base a métricas.
Toma de decisiones en base a indicadores de negocio y de TI.
34. GRACIAS POR SU ATENCIÓN
Ing. CIP Jack Daniel Cáceres Meza
La Universidad de los Talentos
Formando Líderes para la Exportación