El documento presenta los conceptos fundamentales de seguridad de la información. Explica que la seguridad de la información se refiere a proteger la confidencialidad, integridad y disponibilidad de la información independientemente de su formato, y no es sinónimo de ciberseguridad o privacidad de datos. También describe las características de la información relacionadas a la seguridad como autenticación, autorización, no repudio, y la importancia de proteger los datos personales. Finalmente, resalta que el gobierno de la seguridad
Este documento presenta un borrador de un Plan Director de Seguridad de la Información. Explica que el Plan Director permite definir las actividades de Seguridad de la Información a corto, mediano y largo plazo. Identifica los requisitos organizativos y de seguridad, los activos y su importancia, y realiza un análisis de riesgos. Además, alinea la seguridad con la estrategia de negocio y establece objetivos, estrategias, políticas y controles para gestionar los riesgos.
Este documento describe la importancia de las políticas de seguridad de la información para proteger los activos y la información de una organización. Explica que las políticas deben identificar los activos valiosos, las amenazas, vulnerabilidades y riesgos, y establecer controles de seguridad. También cubre los componentes clave de una política como políticas específicas, procedimientos, estándares y la estructura organizacional requerida.
El documento describe lo que es un Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo sus principios fundamentales de confidencialidad, integridad y disponibilidad. Explica que un SGSI utiliza un enfoque sistemático y documentado para gestionar los riesgos relacionados con la información de una organización de acuerdo con la norma ISO 27001. También cubre otros elementos clave como la evaluación de riesgos, el compromiso de la dirección y la mejora continua.
Este documento presenta las políticas de seguridad de la información de COFISOM E.I.R.L. Establece objetivos como lograr niveles adecuados de integridad, confidencialidad y disponibilidad de la información institucional. Define términos como activo estratégico, confidencialidad, integridad y disponibilidad. Asigna responsabilidades al gerente general, jefes de área y jefe de sistemas. Incluye políticas generales y específicas sobre software, seguridad física, acceso a la inform
Este documento presenta recomendaciones para definir una política y procedimientos de seguridad de la información para proteger los sistemas de información de una empresa. Incluye recomendaciones sobre la política de seguridad, gestión de activos, seguridad ligada a recursos humanos, seguridad física y ambiental, gestión de comunicaciones y operaciones, control de acceso lógico, gestión de incidentes, planes de contingencia y cumplimiento legal. El objetivo es establecer actividades y protocolos para garantizar la confidencialidad, integridad y disponibil
Este documento resume los conceptos clave de enmascaramiento de datos y robo de identidad. Explica que el enmascaramiento de datos protege la privacidad al ocultar información personal en entornos no productivos. También destaca los beneficios como mejorar la seguridad, cumplir con las leyes de privacidad y facilitar las pruebas. Sin embargo, enmascarar los datos con precisión es complejo debido a retos como mantener la utilidad y relaciones entre los datos.
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdfNAVIRAGISSELAANGULOM
Este documento presenta una propuesta para mejorar la gestión de la seguridad de la información en las organizaciones mediante la implementación de siete gestiones clave alineadas con el ciclo PHVA de mejora continua. Estas gestiones incluyen la gestión de activos de información, riesgos de seguridad de la información, incidentes de seguridad de la información, cumplimiento, continuidad del negocio, cambio cultural y estrategia de seguridad de la información.
Este documento presenta un borrador de un Plan Director de Seguridad de la Información. Explica que el Plan Director permite definir las actividades de Seguridad de la Información a corto, mediano y largo plazo. Identifica los requisitos organizativos y de seguridad, los activos y su importancia, y realiza un análisis de riesgos. Además, alinea la seguridad con la estrategia de negocio y establece objetivos, estrategias, políticas y controles para gestionar los riesgos.
Este documento describe la importancia de las políticas de seguridad de la información para proteger los activos y la información de una organización. Explica que las políticas deben identificar los activos valiosos, las amenazas, vulnerabilidades y riesgos, y establecer controles de seguridad. También cubre los componentes clave de una política como políticas específicas, procedimientos, estándares y la estructura organizacional requerida.
El documento describe lo que es un Sistema de Gestión de Seguridad de la Información (SGSI), incluyendo sus principios fundamentales de confidencialidad, integridad y disponibilidad. Explica que un SGSI utiliza un enfoque sistemático y documentado para gestionar los riesgos relacionados con la información de una organización de acuerdo con la norma ISO 27001. También cubre otros elementos clave como la evaluación de riesgos, el compromiso de la dirección y la mejora continua.
Este documento presenta las políticas de seguridad de la información de COFISOM E.I.R.L. Establece objetivos como lograr niveles adecuados de integridad, confidencialidad y disponibilidad de la información institucional. Define términos como activo estratégico, confidencialidad, integridad y disponibilidad. Asigna responsabilidades al gerente general, jefes de área y jefe de sistemas. Incluye políticas generales y específicas sobre software, seguridad física, acceso a la inform
Este documento presenta recomendaciones para definir una política y procedimientos de seguridad de la información para proteger los sistemas de información de una empresa. Incluye recomendaciones sobre la política de seguridad, gestión de activos, seguridad ligada a recursos humanos, seguridad física y ambiental, gestión de comunicaciones y operaciones, control de acceso lógico, gestión de incidentes, planes de contingencia y cumplimiento legal. El objetivo es establecer actividades y protocolos para garantizar la confidencialidad, integridad y disponibil
Este documento resume los conceptos clave de enmascaramiento de datos y robo de identidad. Explica que el enmascaramiento de datos protege la privacidad al ocultar información personal en entornos no productivos. También destaca los beneficios como mejorar la seguridad, cumplir con las leyes de privacidad y facilitar las pruebas. Sin embargo, enmascarar los datos con precisión es complejo debido a retos como mantener la utilidad y relaciones entre los datos.
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdfNAVIRAGISSELAANGULOM
Este documento presenta una propuesta para mejorar la gestión de la seguridad de la información en las organizaciones mediante la implementación de siete gestiones clave alineadas con el ciclo PHVA de mejora continua. Estas gestiones incluyen la gestión de activos de información, riesgos de seguridad de la información, incidentes de seguridad de la información, cumplimiento, continuidad del negocio, cambio cultural y estrategia de seguridad de la información.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.
Present. int. a los sgsi.... isis liconaIsis Licona
El documento introduce el concepto de Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Explica que un SGSI implica preservar la confidencialidad, integridad y disponibilidad de la información de una organización a través de un proceso sistemático y documentado. También describe los fundamentos de un SGSI como garantizar la confidencialidad, integridad y disponibilidad de la información, así como los beneficios de implementar un SGSI en una organización.
El documento habla sobre las políticas de seguridad informática. Explica que las políticas establecen las expectativas de una organización con respecto a la seguridad de la información y los recursos tecnológicos. También describen los elementos clave que deben incluirse como el alcance, los objetivos, las responsabilidades y las consecuencias por violaciones. Finalmente, señala que es importante identificar los activos valiosos, las amenazas potenciales y los riesgos asociados para desarrollar una política de seguridad efectiva.
El documento proporciona información sobre los sistemas de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2013. Explica que la información constituye un activo importante para las organizaciones y que la norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.
Este documento presenta información sobre políticas de seguridad informática. En la primera semana se estudiarán las políticas de seguridad, los procedimientos de la organización y métodos para evaluar el valor de la información. Luego, define elementos clave de las políticas de seguridad e incluye recomendaciones para establecerlas, como realizar una evaluación de riesgos y obtener involucramiento de los empleados. Finalmente, identifica razones comunes por las que las políticas de seguridad a menudo no se implementan, como el uso de lenguaje técnico
Presentación que incluye muchos aspectos a tener en cuenta ante una auditoria en seguridad IT, una correcta gestión de la SGSI y un modelo de estructura de un gestor de documentos del departamento de IS.
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
El documento describe el estándar ISO 27005 para la gestión de riesgos de seguridad de la información. Explica que el estándar incluye fases como el establecimiento del contexto, la identificación de riesgos, la estimación de riesgos, la evaluación de riesgos y la comunicación y vigilancia de los riesgos. También detalla los pasos para implementar el estándar dentro de una organización.
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
El documento describe las normas ISO 27001 y 27002 relacionadas con la gestión de la seguridad de la información. La ISO 27001 proporciona un modelo para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad de la información. La ISO 27002 ofrece recomendaciones de mejores prácticas para iniciar, implementar o mantener sistemas de gestión de seguridad de la información. Ambas normas enfatizan la importancia de evaluar riesgos, seleccionar controles adecuados y
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
El documento describe las normas ISO 27001 y 27002 relacionadas con la gestión de la seguridad de la información. La ISO 27001 proporciona un modelo para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad de la información. La ISO 27002 ofrece recomendaciones de mejores prácticas para iniciar, implementar o mantener sistemas de gestión de seguridad de la información. Ambas normas enfatizan la importancia de evaluar riesgos, seleccionar controles adecuados y
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
El documento habla sobre las normas ISO 27001 y 27002 relacionadas con la gestión de seguridad de la información. La ISO 27001 define cómo organizar la seguridad de la información en cualquier organización, mientras que la ISO 27002 proporciona recomendaciones de mejores prácticas. Algunos puntos clave incluyen evaluar riesgos de seguridad, seleccionar controles apropiados, y establecer políticas para proteger datos, propiedad intelectual, y gestionar incidentes de seguridad.
El documento habla sobre las normas ISO 27001 y 27002 relacionadas con la gestión de seguridad de la información. La ISO 27001 define cómo organizar la seguridad de la información en cualquier organización, mientras que la ISO 27002 proporciona recomendaciones de mejores prácticas. Algunos puntos clave incluyen evaluar riesgos de seguridad, seleccionar controles apropiados, y establecer políticas para proteger datos, propiedad intelectual, y gestionar incidentes de seguridad.
Gestión de la Seguridad de la Información con ISO27002EXIN
El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000
Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
La ISO 27001 es un estándar internacional para la implementación de un sistema de gestión de seguridad de la información que permite a una organización evaluar riesgos e implementar controles para proteger la confidencialidad, integridad y disponibilidad de la información. La certificación ISO 27001 cubre aspectos como política de seguridad, gestión de activos, seguridad física y del personal, gestión de incidentes y conformidad.
El documento habla sobre la seguridad de la información. Explica que la seguridad implica identificar y evaluar riesgos para proteger datos, tiempo y recursos. También describe los componentes clave de un sistema de gestión de seguridad de la información como la política de seguridad, clasificación de activos, control de accesos, y asignación de responsabilidades.
Conceptos fundamentales de la seguridad de información y direccionadores para montar un modelo de gobierno adecuado para compañías de gestión de inversiones
El documento describe cómo comunicar la implementación de un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO 27001 a los diferentes niveles de una organización. Sugiere realizar un estudio de la cultura operativa y de los recursos humanos para diseñar un modelo de comunicación adecuado para la dirección, gerencia y usuarios, teniendo en cuenta sus diferentes intereses. El SGSI ayudará a proteger los activos de información de una organización y demostrar su compromiso con la seguridad.
Este documento describe la importancia de las políticas de seguridad de la información para proteger los activos de información de una organización. Explica que la seguridad no es solo un tema tecnológico, sino que requiere el compromiso de toda la organización. También resume los pasos clave para establecer políticas de seguridad, como reconocer los activos, amenazas y vulnerabilidades clave, e implementar controles y una estructura organizacional para gestionar los riesgos identificados.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Este documento resume las experiencias de implementar un programa nacional para mejorar la gestión de la seguridad de la información. Detalla los objetivos de la seguridad de la información, las razones legales para su implementación, y las restricciones que enfrentan las organizaciones públicas. Explica los hitos clave y factores críticos para el éxito como el compromiso de la alta dirección y la gestión del cambio cultural. El resumen proporciona una visión general de los temas principales discutidos en el documento.
Present. int. a los sgsi.... isis liconaIsis Licona
El documento introduce el concepto de Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001. Explica que un SGSI implica preservar la confidencialidad, integridad y disponibilidad de la información de una organización a través de un proceso sistemático y documentado. También describe los fundamentos de un SGSI como garantizar la confidencialidad, integridad y disponibilidad de la información, así como los beneficios de implementar un SGSI en una organización.
El documento habla sobre las políticas de seguridad informática. Explica que las políticas establecen las expectativas de una organización con respecto a la seguridad de la información y los recursos tecnológicos. También describen los elementos clave que deben incluirse como el alcance, los objetivos, las responsabilidades y las consecuencias por violaciones. Finalmente, señala que es importante identificar los activos valiosos, las amenazas potenciales y los riesgos asociados para desarrollar una política de seguridad efectiva.
El documento proporciona información sobre los sistemas de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2013. Explica que la información constituye un activo importante para las organizaciones y que la norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.
Este documento presenta información sobre políticas de seguridad informática. En la primera semana se estudiarán las políticas de seguridad, los procedimientos de la organización y métodos para evaluar el valor de la información. Luego, define elementos clave de las políticas de seguridad e incluye recomendaciones para establecerlas, como realizar una evaluación de riesgos y obtener involucramiento de los empleados. Finalmente, identifica razones comunes por las que las políticas de seguridad a menudo no se implementan, como el uso de lenguaje técnico
Presentación que incluye muchos aspectos a tener en cuenta ante una auditoria en seguridad IT, una correcta gestión de la SGSI y un modelo de estructura de un gestor de documentos del departamento de IS.
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
El documento describe el estándar ISO 27005 para la gestión de riesgos de seguridad de la información. Explica que el estándar incluye fases como el establecimiento del contexto, la identificación de riesgos, la estimación de riesgos, la evaluación de riesgos y la comunicación y vigilancia de los riesgos. También detalla los pasos para implementar el estándar dentro de una organización.
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
El documento describe las normas ISO 27001 y 27002 relacionadas con la gestión de la seguridad de la información. La ISO 27001 proporciona un modelo para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad de la información. La ISO 27002 ofrece recomendaciones de mejores prácticas para iniciar, implementar o mantener sistemas de gestión de seguridad de la información. Ambas normas enfatizan la importancia de evaluar riesgos, seleccionar controles adecuados y
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
El documento describe las normas ISO 27001 y 27002 relacionadas con la gestión de la seguridad de la información. La ISO 27001 proporciona un modelo para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad de la información. La ISO 27002 ofrece recomendaciones de mejores prácticas para iniciar, implementar o mantener sistemas de gestión de seguridad de la información. Ambas normas enfatizan la importancia de evaluar riesgos, seleccionar controles adecuados y
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
El documento habla sobre las normas ISO 27001 y 27002 relacionadas con la gestión de seguridad de la información. La ISO 27001 define cómo organizar la seguridad de la información en cualquier organización, mientras que la ISO 27002 proporciona recomendaciones de mejores prácticas. Algunos puntos clave incluyen evaluar riesgos de seguridad, seleccionar controles apropiados, y establecer políticas para proteger datos, propiedad intelectual, y gestionar incidentes de seguridad.
El documento habla sobre las normas ISO 27001 y 27002 relacionadas con la gestión de seguridad de la información. La ISO 27001 define cómo organizar la seguridad de la información en cualquier organización, mientras que la ISO 27002 proporciona recomendaciones de mejores prácticas. Algunos puntos clave incluyen evaluar riesgos de seguridad, seleccionar controles apropiados, y establecer políticas para proteger datos, propiedad intelectual, y gestionar incidentes de seguridad.
Gestión de la Seguridad de la Información con ISO27002EXIN
El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000
Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
La ISO 27001 es un estándar internacional para la implementación de un sistema de gestión de seguridad de la información que permite a una organización evaluar riesgos e implementar controles para proteger la confidencialidad, integridad y disponibilidad de la información. La certificación ISO 27001 cubre aspectos como política de seguridad, gestión de activos, seguridad física y del personal, gestión de incidentes y conformidad.
El documento habla sobre la seguridad de la información. Explica que la seguridad implica identificar y evaluar riesgos para proteger datos, tiempo y recursos. También describe los componentes clave de un sistema de gestión de seguridad de la información como la política de seguridad, clasificación de activos, control de accesos, y asignación de responsabilidades.
Conceptos fundamentales de la seguridad de información y direccionadores para montar un modelo de gobierno adecuado para compañías de gestión de inversiones
El documento describe cómo comunicar la implementación de un sistema de gestión de seguridad de la información (SGSI) basado en la norma ISO 27001 a los diferentes niveles de una organización. Sugiere realizar un estudio de la cultura operativa y de los recursos humanos para diseñar un modelo de comunicación adecuado para la dirección, gerencia y usuarios, teniendo en cuenta sus diferentes intereses. El SGSI ayudará a proteger los activos de información de una organización y demostrar su compromiso con la seguridad.
Este documento describe la importancia de las políticas de seguridad de la información para proteger los activos de información de una organización. Explica que la seguridad no es solo un tema tecnológico, sino que requiere el compromiso de toda la organización. También resume los pasos clave para establecer políticas de seguridad, como reconocer los activos, amenazas y vulnerabilidades clave, e implementar controles y una estructura organizacional para gestionar los riesgos identificados.
Similar a Cap. 1 - Generalidades sobre seguridad de información (2).pdf (20)
ACERTIJO DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARÍS. Por JAVI...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “DESCIFRANDO CÓDIGO DEL CANDADO DE LA TORRE EIFFEL EN PARIS”. Esta actividad de aprendizaje propone el reto de descubrir el la secuencia números para abrir un candado, el cual destaca la percepción geométrica y conceptual. La intención de esta actividad de aprendizaje lúdico es, promover los pensamientos lógico (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia y viso-espacialidad. Didácticamente, ésta actividad de aprendizaje es transversal, y que integra áreas del conocimiento: matemático, Lenguaje, artístico y las neurociencias. Acertijo dedicado a los Juegos Olímpicos de París 2024.
2. Contenido
• ¿Qué es y qué no es seguridad de la información?
• Las características de la información relacionadas con
seguridad: Confidencialidad, Integridad, Disponibilidad,
Autenticación y Autorización, No repudio.
• Privacidad de datos personales.
• Gobierno de la seguridad de la información.
• Implementando la seguridad de información empresarial
mediante políticas y procedimientos de seguridad de la
información.
• Referencias
2
4. Objetivo del capítulo
• Garantizar que el alumno conozca
y comprenda los conceptos
fundamentales sobre seguridad
de información.
• Aplicar los conceptos básicos en
situaciones contextualizadas.
• Entender el papel de la Alta
Dirección en la Seguridad de la
Información empresarial.
4
5. Introducción
• Dinámica introductoria
• Imagen del escritorio de un DBA (administrador de base de datos)
de una importante empresa, que se ha ausentado de su estación
de trabajo.
• En la empresa existen políticas de seguridad.
• En la empresa, el DBA es percibido como un “todopoderoso” que
maneja “a su antojo” las bases de datos de los diferentes
sistemas de información.
• En la imagen hay varios problemas de seguridad.
• Identifíquelos
5
6. ¿Qué es y qué no es seguridad
de la información?
• Muchas veces se hace referencia a varios términos a la vez, al
hablar de “seguridad de la información”:
• Seguridad informática
• Seguridad computacional
• Seguridad técnica
• Seguridad tecnológica
• Ciberseguridad
• Seguridad cibernética
• Privacidad de datos
• ¿Son todas lo mismo? ¿Son sinónimos?
6
7. ¿Qué es y qué no es seguridad
de la información?
7
Aspectos
Seguridad
De la Información
Ciberseguridad
¿Son sinónimos? NO
¿De qué se ocupa?
Protege la información,
independientemente de su
formato (físico, digital,
propiedad intelectual, ideas)
Pretende proteger los
activos digitales (desde
las redes, el hardware que
que procesa, almacena o
transporta información, el
software que hace lo
mismo)
Objetivo
Proteger la Integridad,
disponibilidad y confidencialidad de
la información en cualquier formato
Proteger la Integridad,
disponibilidad y
confidencialidad de la
información digital
8. ¿Qué es y qué no es seguridad
de la información?
• En un contexto general:
• La ausencia de riesgos de cualquier
naturaleza en un escenario.
• La seguridad dentro de un contexto
empresarial:
• Capacidad que tiene la empresa para
minimizar los efectos negativos provocados
por los riesgos presentes en su entorno
[ISACA, 2018].
• Brindar cierto nivel de confianza a los
miembros de organización (accionistas,
interesados) sobre que se van a alcanzar los
objetivos de negocio trazados a pesar de los
riesgos y amenazas del entorno. 8
9. ¿Qué es y qué no es seguridad de la
información?
• Seguridad de la información
• Es el conjunto de procesos y
actividades que permite
mantener libre de peligros y
daños por accidente o ataque, a
los activos de información que
forman parte de una organización
[Tupia, 2013].
• Preservation of confidentiality,
integrity and availability of
information; in addition, other
properties such as authenticity,
accountability, non-repudiation
and reliability can also be
involved [ISO, 2013]
9
10. Activo de información
• Todo elemento, en formato
impreso o digital que contenga
información relevante.
• Incluye:
• Sistemas de información
• Hardware
• Software
• Documentación
• La Información misma
• No es relevante su registro
contable. 10
11. Las característicasde la información
relacionadasconseguridad
• Confidencialidad
• Accesible solo a quienes
corresponda
• Integridad
• Completitud
• Disponibilidad
• Dispuesta en el tiempo
• Auditabilidad
• Accountability
• Capacidad de rastrear
modificaciones (¿quién hizo
qué? con la información)
• No repudio
11
12. Las características de la información
relacionadas con seguridad
• Autenticación
• Identificar
inequívocamente al usuario
que pretende acceder a
algún activo de
información.
• “Lo que tengo”
• “Lo que sé”
• “Lo que soy”
• Autorización
• Otorgamiento de derechos
a un usuario sobre un
activo de información,
luego de su
correspondiente
autenticación.
12
13. Privacidad de datos
• Existe un tipo particular de datos: los
datos personales.
• Aquellos que identifican
inequívocamente a una persona.
• La regulación de cada país determina:
• ¿Qué datos son considerados
personales?
• ¿Qué acciones de control debe
establecerse para protegerlos?
• ¿Qué sanciones hay para quienes
están obligados a protegerlos y no lo
hacen?
• La privacidad de datos exclusivamente
se encarga de su protección.
13
15. Introducción
• Preguntas guía
• ¿Es pertinente/importante ocuparse de la seguridad de la
información en la empresa, sea la empresa de cualquier rubro y
sea su información de cualquier naturaleza?
• En base a la respuesta a la pregunta anterior, ¿cree Ud. que las
empresas se están ocupando de la seguridad de la información o
están prefiriendo seguir “modas” como el big data, la analítica de
datos, entre otras?
• En base a la respuesta anterior, ¿por qué ocurre/no ocurre?
• ¿La regulación/ley tiene un papel preponderante en lograr que
las empresas se “preocupen” por la seguridad de la información?
15
16. La seguridad de la información
en la empresa
• Activo más importante de la empresa → Información
• Necesidad de proteger la información
• ¿Contra qué?
• ¿Solo la información o también “las otras cosas” que están
relacionadas a ella, tienen que ser protegidas?
• Responsabilidad dentro de la empresa:
• ¿Técnica?: Sí, No → justificar
• ¿Gerencial?: Sí, No → justificar
• ¿Transversal?: Sí, No → justificar
16
17. Gobierno de la seguridad de
información
• Es el conjunto de las
responsabilidades y prácticas
ejercidas por la alta dirección para
guiar y dirigir de forma eficiente y
responsable todos los aspectos
relacionados con la seguridad de
los activos de información,
garantizando la consecución de los
objetivos de negocio [ITGI06].
17
18. Gobierno de la seguridad de
información - Resultados esperados
1. Alineación estratégica: alinear la seguridad de información
y sus objetivos a los objetivos organizacionales.
2. Gestión de riesgos: identificarlos, tratarlos y reducir el
impacto que presentarían sobre los procesos y sus
correspondientes activos de información.
3. Entrega de valor: optimizar las inversiones de seguridad.
4. Gestión de recursos: el uso racional de los recursos para
fines de seguridad.
5. Medición del desempeño: monitorear los procesos de
seguridad, evaluando su idoneidad con métricas
pertinentes.
6. Integración: determinando que las funciones de
aseguramiento se integren a las estructuras
organizacionales y que esta integración sea transparente
18
19. Gobierno de la seguridad de
información - Roles y responsabilidades
19
21. Introducción
• ¿Cómo proteger los activos de información de la empresa?
1. Identificar los activos de información, clasificarlos y priorizarlos
2. Analizar el contexto de la organización
3. …. ¿y qué más?
21
22. Políticas y procedimientos de
seguridad
• Documentos oficiales que crean
un marco operacional en dos
dimensiones:
• ¿Qué hay que hacer y por
qué? (Política)
• ¿Cómo hay que hacerlo?
(Procedimiento)
• Factores críticos de éxito
• Seguir un proceso definido,
probado y aprobado para
definir políticas (reglas para
“definir reglas”)
• Auspicio de la Alta Dirección.
• Equipo de trabajo
multidisciplinario.
• Recursos y capacidades
adecuadas.
22
23. Políticas y procedimientos de
seguridad
23
Directorio
Gerencia de TI
Sub. Desasrrollo SW
Oficia de Seguridad
25. Redacción de la política de
seguridad de información
• Los objetivos deben estar claramente definidos
• La política debe referenciar a asuntos prácticos y específicos y no
debe entrar en conflicto con otra(s) política(s) corporativa.
• Debe referenciar a situaciones recurrentes y claramente indicar las
condiciones, a quien y a qué se aplica y con qué alcance.
• Debe especificar quién es responsable de aplicar la política
• Escrita en lenguaje simple y directo para facilitar la implementación
y una diseminación mas efectiva.
• Evite lo mas posible acrónimos, palabras en otros idiomas,
referencias innecesarias, etc.
• Durante el desarrollo y redacción de la política, discuta el texto con
quienes serán afectados para identificar mejoras
• Si la política es en relación a un mandato legal, debe incluir las
referencias pertinentes
25
26. Estructura y formato de la política
de seguridad de información
• A1.Número de Política: es el identificador universal de la política y la clave en la
base de datos.
• A2.Versión: las cuales son numeradas consecutivamente, 1.0, 2.0, etc.
• Cuando una versión se revisa y re-edita, esto se indica como 1.1 (versión 1,
revisión 1), etc.
• A3.Título: Indicar de forma clara y concisa el título en no más de un número
limitado de caracteres
• El título debe dar una idea general del tema de la política
• A4.Propósito: debe dar una idea del tema que la política va a dictar
• A5.Objetivo
• A6.Área de Impacto: Indicar (listar) las áreas afectadas por esta política
• A7.Política aprobada por: indicar nombre y título de quienes la han aprobado,
señalando la fecha de aprobación en formato standard
• A8.Fecha de implementación: fecha en que la política entrará en vigencia, en
formato standard
• A9.Fecha de primera revisión: fecha en que el CGPP ha programado la primera
revisión de la política, en formato standard
• A10. Excepciones: Indicar qué o quienes están exentos de seguir esta política 26
27. Bibliografía
[ITGI, 2006] Instituto de Gobierno de TI. Information Security
Governance Guiadance for Boards of Directors and Executive
management. ITGI publishing, USA (2003)
[ISACA, 2012] ISACA Internacional. CRISC Review Manual (Certified in
Risk and Information System Control). ISACA Publishing, USA (2012)
[ISACA, 2018] ISACA Internacional. CISM Review Manual (Certified
Information Security Manager). ISACA Publishing, USA (2013)
[ISACA, 2013b] ISACA. COBIT® 5 Procesos Catalizadores. ISACA
International Publishin, USA (2013)
[ISACA, 2013c] ISACA Internacional. CISA Review Manual (Certified
Information System Auditor). ISACA Publishing, USA (2013)
[ISO, 2013] International Standards Organization. ISO 27001:2013
Information technology - Security techniques - Information security
management systems – Requirements, USA (2013)
[Piattini, Hervata; 2007] M. Piattini; F. Hervata. Gobierno de las
Tecnologías y los Sistemas de Información. RA-MA, España (2001)
[Tupia, 2013] M. Tupia. Administración de la seguridad de información,
2da. edición. Tupia Consultores y Auditores S.A.C., Perú (2013)
27
27