El documento presenta los desafíos de la gestión de la ciberseguridad en infraestructuras críticas. Explica que las infraestructuras críticas son aquellas que proveen servicios esenciales y que su perturbación tendría un grave impacto. Luego, detalla las etapas clave de la gestión de la ciberseguridad como saber qué activos se tienen, clasificarlos, analizar riesgos, tratar los riesgos y mantenerlo en el tiempo a través de la mejora continua. Finalmente, enlista algunos desafíos comunes
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA aquilesv
El documento habla sobre las normas y estándares aplicables a la auditoría informática como ISACA, COBIT, COSO y SEDSI. ISACA es una asociación internacional que apoya el desarrollo de metodologías y certificaciones para auditoría y control de sistemas de información. COBIT es una metodología aceptada mundialmente para el control de proyectos de tecnología e información, mientras que COSO provee directivas para la implantación de sistemas de control. Finalmente, SEDSI ha llevado a cabo una guía para la
Este documento propone diseñar un programa de capacitación docente en el uso de TIC para la Universidad Beta de Panamá usando la metodología PACIE. Se identifican problemas como falta de destrezas digitales de docentes y falta de conexión a internet. El programa capacitará a 160 docentes durante 10 meses en 6 módulos sobre tecnología e implementación de aprendizaje virtual. El objetivo es mejorar la calidad educativa mediante el uso correcto de TIC.
Este documento describe varias estrategias de educación virtual apoyadas en las TIC. Algunas estrategias clave son el uso de métodos asincrónicos y sincrónicos para permitir la comunicación flexible entre maestros y estudiantes, el uso del correo electrónico para comunicación y envío de trabajos, y el uso de la Internet para alojar sitios de cursos y compartir recursos multimedia e investigaciones. El documento también discute el uso de foros, chats y otras herramientas de aprendizaje colaborativo apoyadas por las TIC.
The Communist Party in China greatly used propaganda such as posters, slogans, and newspaper articles during the Great Leap Forward to gain people's enthusiasm for working extra hours in difficult conditions, urging them to "make Chairman Mao satisfied" and "produce more, contribute more". While the propaganda initially worked well, encouraging impressive but poorly constructed projects to be hastily built without adequate resources, it ultimately contributed to the failure of the Great Leap Forward's unrealistic goals.
El documento proporciona información sobre el Día de Andalucía el 28 de febrero, incluyendo los símbolos de Andalucía como la bandera verde y blanca, el himno y el gobierno andaluz. También describe el clima, el relieve, las reservas naturales, la fauna silvestre, celebridades, tradiciones y monumentos importantes de Andalucía.
Este documento proporciona consejos de un oftalmólogo sobre el cuidado de la vista y la prevención de problemas oculares al usar pantallas. Explica que al usar computadoras se parpadea menos de 5 veces por minuto, lo que causa ojo seco y fatiga. Recomienda ubicar el monitor debajo del horizonte visual para proteger los ojos, tomar descansos periódicos, y parpadear a propósito para lubricar los ojos. También aborda la postura correcta, la iluminación adecuada y la importancia de
This city is known for its hotels and tourist attractions , including Nickelodeon and its Tourism chain , Walt Disney World Resort, SeaWorld and Universal Orlando Resort. The center of the city of Orlando, better known as Downtown Orlando, hosts a team of professional basketball in the NBA, the Orlando Magic
Este documento discute varias herramientas y estrategias de marketing digital para una escuela, incluyendo el uso de correos electrónicos personalizados, aulas virtuales, blogs, redes sociales, análisis web, publicidad de Google y generación de ingresos a través de AdSense.
NORMAS Y ESTÁNDARES APLICABLES A LA AUDITORIA INFORMÁTICA aquilesv
El documento habla sobre las normas y estándares aplicables a la auditoría informática como ISACA, COBIT, COSO y SEDSI. ISACA es una asociación internacional que apoya el desarrollo de metodologías y certificaciones para auditoría y control de sistemas de información. COBIT es una metodología aceptada mundialmente para el control de proyectos de tecnología e información, mientras que COSO provee directivas para la implantación de sistemas de control. Finalmente, SEDSI ha llevado a cabo una guía para la
Este documento propone diseñar un programa de capacitación docente en el uso de TIC para la Universidad Beta de Panamá usando la metodología PACIE. Se identifican problemas como falta de destrezas digitales de docentes y falta de conexión a internet. El programa capacitará a 160 docentes durante 10 meses en 6 módulos sobre tecnología e implementación de aprendizaje virtual. El objetivo es mejorar la calidad educativa mediante el uso correcto de TIC.
Este documento describe varias estrategias de educación virtual apoyadas en las TIC. Algunas estrategias clave son el uso de métodos asincrónicos y sincrónicos para permitir la comunicación flexible entre maestros y estudiantes, el uso del correo electrónico para comunicación y envío de trabajos, y el uso de la Internet para alojar sitios de cursos y compartir recursos multimedia e investigaciones. El documento también discute el uso de foros, chats y otras herramientas de aprendizaje colaborativo apoyadas por las TIC.
The Communist Party in China greatly used propaganda such as posters, slogans, and newspaper articles during the Great Leap Forward to gain people's enthusiasm for working extra hours in difficult conditions, urging them to "make Chairman Mao satisfied" and "produce more, contribute more". While the propaganda initially worked well, encouraging impressive but poorly constructed projects to be hastily built without adequate resources, it ultimately contributed to the failure of the Great Leap Forward's unrealistic goals.
El documento proporciona información sobre el Día de Andalucía el 28 de febrero, incluyendo los símbolos de Andalucía como la bandera verde y blanca, el himno y el gobierno andaluz. También describe el clima, el relieve, las reservas naturales, la fauna silvestre, celebridades, tradiciones y monumentos importantes de Andalucía.
Este documento proporciona consejos de un oftalmólogo sobre el cuidado de la vista y la prevención de problemas oculares al usar pantallas. Explica que al usar computadoras se parpadea menos de 5 veces por minuto, lo que causa ojo seco y fatiga. Recomienda ubicar el monitor debajo del horizonte visual para proteger los ojos, tomar descansos periódicos, y parpadear a propósito para lubricar los ojos. También aborda la postura correcta, la iluminación adecuada y la importancia de
This city is known for its hotels and tourist attractions , including Nickelodeon and its Tourism chain , Walt Disney World Resort, SeaWorld and Universal Orlando Resort. The center of the city of Orlando, better known as Downtown Orlando, hosts a team of professional basketball in the NBA, the Orlando Magic
Este documento discute varias herramientas y estrategias de marketing digital para una escuela, incluyendo el uso de correos electrónicos personalizados, aulas virtuales, blogs, redes sociales, análisis web, publicidad de Google y generación de ingresos a través de AdSense.
Rediseno de la Organizacion con Sistemas de Informacion.pptJeanCarlitos5
Este documento presenta una agenda para una clase sobre rediseño de organizaciones con sistemas de información. La agenda incluye temas como procesos de resolución de problemas mediante SI, enfoques para el desarrollo de sistemas, metodologías y herramientas, y tendencias actuales. Se describen conceptos como ciclo de vida tradicional, prototipos, compra de paquetes, y desarrollo por usuarios finales.
El documento describe las fases del análisis de sistemas, incluyendo la inspección del proyecto, el estudio del sistema actual, y la definición de las necesidades de los usuarios. Explica que el análisis de sistemas estudia las aplicaciones de sistemas de información actuales para definir las necesidades y prioridades de los usuarios para mejorar el sistema. También cubre las herramientas y objetivos de cada fase del análisis de sistemas.
El documento presenta los objetivos y estructura del marco de trabajo COBIT (Control Objectives for Information and related Technology). COBIT ayuda a la gerencia a comprender y administrar los riesgos asociados con TI mediante el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de TI. Los procesos de TI se agrupan en dominios como adquisición e implementación, desarrollo y mantenimiento, entre otros. Cada dominio tiene objetivos de control orientados a asegurar que las soluciones de TI satisfagan los requer
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
Este documento trata sobre la asociación ISACA, la auditoría informática y los estándares aplicables. ISACA es una asociación internacional que apoya la auditoría y control de sistemas de información a través del desarrollo de marcos como COBIT. La auditoría informática evalúa si un sistema salvaguarda los activos, mantiene la integridad de datos y cumple las leyes. ISACA ofrece certificaciones como CISA y recursos a través de su red global de capítulos.
Entregable 6 Rendimiento de Base de Datosnoriarman
Este documento presenta el informe de auditoría informática de la base de datos de la empresa Milo C.A. realizada entre el 31 de enero y 28 de febrero de 2015. El resumen incluye los objetivos de diagnosticar, evaluar y analizar la gestión actual de la base de datos, así como presentar un informe final. Se evaluó el departamento de sistemas donde se encuentra la estructura física y lógica de la base de datos. La auditoría utilizó entrevistas, encuestas y estadísticas para evaluar aspectos como seguridad, dise
Este documento describe diferentes tipos de auditoría informática, incluyendo auditoría física, ofimática, de dirección, de mantenimiento y de base de datos. Explica que la auditoría ofimática evalúa el uso y funcionamiento de las aplicaciones de una organización. La auditoría de dirección evalúa las funciones de planificación, organización y control de un director. La auditoría de mantenimiento evalúa los procesos de mantenimiento de hardware y software.
Este documento presenta los 5 pilares fundamentales de las buenas prácticas de mantenimiento y confiabilidad según el CMRP. Estos pilares son: 1) gestión del negocio, 2) confiabilidad de los procesos, 3) confiabilidad del equipo, 4) liderazgo, y 5) gestión del trabajo. El documento también incluye la experiencia y credenciales del autor en estas áreas.
Este documento resume los principales conceptos y actividades involucradas en el análisis de sistemas, incluyendo la investigación preliminar, determinación de requerimientos, análisis de flujo de datos, diccionario de datos y comentarios finales. Se describe la importancia de la investigación preliminar para evaluar la factibilidad de un proyecto, así como las tres formas de determinar requerimientos: anticipación, investigación y especificación. También se explican conceptos clave como procesos, flujos de datos y almacenes de datos.
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Protiviti Peru
El documento describe un curso de dos días en Santiago, Chile, ofrecido por The International Consortium For Organizational Resilience (ICOR) para obtener la Certificación como Asociado en Técnico de Ambientes Críticos (CETa). El curso enseñará sobre la administración y operación de ambientes críticos como data centers para evitar interrupciones. Incluye un examen de certificación gratuito y será dictado por expertos en continuidad de negocios y gestión de datos.
El documento describe la metodología COBIT, incluyendo su historia, objetivo, características y usuarios. COBIT es una metodología creada en 1992 para el control adecuado de proyectos de tecnología y flujos de información, contribuyendo a reducir las brechas entre objetivos de negocio y aspectos técnicos. Incluye dominios, procesos y actividades para la gestión de recursos de tecnología de la información.
Este documento presenta un curso sobre análisis de requerimientos para sistemas de software. Explica conceptos clave como requerimientos, análisis de requerimientos y tipos de requerimientos. Contiene 7 capítulos que cubren temas como procesos de ingeniería de requerimientos, especificación y validación de requerimientos, relación con modelos de ciclo de vida, herramientas de modelado y métodos de comunicación. Incluye 4 apéndices con ejemplos de especificaciones de requerimientos para
ISACA comenzó en 1967 como un grupo pequeño de auditores de sistemas que discutían la necesidad de una fuente centralizada de información y guías en el campo de la auditoría de sistemas. En la actualidad, ISACA tiene más de 95,000 miembros en todo el mundo que trabajan en una variedad de roles relacionados con TI. ISACA ofrece cuatro certificaciones importantes, incluyendo CISA, que es reconocida globalmente y ha sido obtenida por más de 75,000 profesionales. CISA es una certificación para auditores de sistemas que requi
Principales áreas de la auditoría informáticamerytalopez
El documento trata sobre las principales áreas de la auditoría informática, incluyendo la auditoría física, ofimática, de la dirección, de la explotación y del desarrollo. Describe los objetivos y actividades clave de cada área de auditoría así como las fuentes de información y los controles relevantes.
Este documento presenta varias listas de verificación relacionadas con la auditoría de sistemas de TI. La primera lista verifica aspectos de seguridad de la información como políticas, procedimientos, controles de acceso y cifrado. Otras listas evalúan la aprobación, planificación y gestión de proyectos, la auditoría de las fases de análisis, diseño, construcción e implementación, y la auditoría de redes físicas y lógicas. El objetivo general es analizar la eficiencia de los sistemas informáticos y verificar
Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
El documento describe las etapas preliminares del desarrollo de un sistema de información, incluyendo la clarificación de requerimientos, el estudio de factibilidad y la aprobación del requerimiento. Luego discute los métodos para determinar requerimientos a través de entrevistas con usuarios y el análisis de procesos. Finalmente, destaca la importancia de comunicar los hallazgos a través de un reporte de terminación del análisis.
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
El documento describe las etapas preliminares del desarrollo de un sistema de información, incluyendo la clarificación de requerimientos, el estudio de factibilidad y la aprobación del requerimiento. Luego discute los métodos para determinar requerimientos a través de entrevistas con usuarios y el análisis de procesos existentes. Finalmente, destaca la importancia de comunicar los hallazgos a través de un reporte de terminación del análisis.
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...EXIN
Este documento presenta información sobre certificaciones para personal de centros de datos. Incluye una agenda con temas como la situación actual del mercado de centros de datos, la relación con la eficiencia energética, marcos de referencia y estándares, y la profesionalización a través de la especialización. También presenta información sobre cursos de certificación disponibles en áreas como diseño, construcción y operación de centros de datos.
Este documento resume los conceptos clave del análisis de sistemas. Explica las etapas de investigación preliminar, determinación de requerimientos, análisis del flujo de datos y diccionario de datos. La investigación preliminar evalúa la factibilidad técnica, operacional y económica del proyecto propuesto a través de entrevistas y revisión de documentos. La determinación de requerimientos identifica los procesos, datos y flujos de información existentes a través de técnicas como entrevistas y observación. El aná
#SayaCybersecurity The Attorney and CISO conversation.Mariano M. del Río
A conversation on the Threat Landscape in Latin America, as part of the #SAYACybersecurity Awareness Tour.
Diego Fernandez and Mariano M del Río share the stage to have a conversation of the current threat landscape with cyber and privacy in mind.
Este documento presenta los desafíos en la gestión de la ciberseguridad industrial y recomienda implementar los primeros cinco controles de seguridad críticos (CSC) de la lista CIS Controls, que incluyen inventario de activos, configuraciones seguras, gestión de vulnerabilidades, acceso privilegiado y monitoreo de logs. También enfatiza la importancia de cambiar la cultura de seguridad a través de la concientización, la formación y trabajar en equipo.
Más contenido relacionado
Similar a Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
Rediseno de la Organizacion con Sistemas de Informacion.pptJeanCarlitos5
Este documento presenta una agenda para una clase sobre rediseño de organizaciones con sistemas de información. La agenda incluye temas como procesos de resolución de problemas mediante SI, enfoques para el desarrollo de sistemas, metodologías y herramientas, y tendencias actuales. Se describen conceptos como ciclo de vida tradicional, prototipos, compra de paquetes, y desarrollo por usuarios finales.
El documento describe las fases del análisis de sistemas, incluyendo la inspección del proyecto, el estudio del sistema actual, y la definición de las necesidades de los usuarios. Explica que el análisis de sistemas estudia las aplicaciones de sistemas de información actuales para definir las necesidades y prioridades de los usuarios para mejorar el sistema. También cubre las herramientas y objetivos de cada fase del análisis de sistemas.
El documento presenta los objetivos y estructura del marco de trabajo COBIT (Control Objectives for Information and related Technology). COBIT ayuda a la gerencia a comprender y administrar los riesgos asociados con TI mediante el desarrollo de políticas claras y buenas prácticas para la seguridad y el control de TI. Los procesos de TI se agrupan en dominios como adquisición e implementación, desarrollo y mantenimiento, entre otros. Cada dominio tiene objetivos de control orientados a asegurar que las soluciones de TI satisfagan los requer
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
Este documento trata sobre la asociación ISACA, la auditoría informática y los estándares aplicables. ISACA es una asociación internacional que apoya la auditoría y control de sistemas de información a través del desarrollo de marcos como COBIT. La auditoría informática evalúa si un sistema salvaguarda los activos, mantiene la integridad de datos y cumple las leyes. ISACA ofrece certificaciones como CISA y recursos a través de su red global de capítulos.
Entregable 6 Rendimiento de Base de Datosnoriarman
Este documento presenta el informe de auditoría informática de la base de datos de la empresa Milo C.A. realizada entre el 31 de enero y 28 de febrero de 2015. El resumen incluye los objetivos de diagnosticar, evaluar y analizar la gestión actual de la base de datos, así como presentar un informe final. Se evaluó el departamento de sistemas donde se encuentra la estructura física y lógica de la base de datos. La auditoría utilizó entrevistas, encuestas y estadísticas para evaluar aspectos como seguridad, dise
Este documento describe diferentes tipos de auditoría informática, incluyendo auditoría física, ofimática, de dirección, de mantenimiento y de base de datos. Explica que la auditoría ofimática evalúa el uso y funcionamiento de las aplicaciones de una organización. La auditoría de dirección evalúa las funciones de planificación, organización y control de un director. La auditoría de mantenimiento evalúa los procesos de mantenimiento de hardware y software.
Este documento presenta los 5 pilares fundamentales de las buenas prácticas de mantenimiento y confiabilidad según el CMRP. Estos pilares son: 1) gestión del negocio, 2) confiabilidad de los procesos, 3) confiabilidad del equipo, 4) liderazgo, y 5) gestión del trabajo. El documento también incluye la experiencia y credenciales del autor en estas áreas.
Este documento resume los principales conceptos y actividades involucradas en el análisis de sistemas, incluyendo la investigación preliminar, determinación de requerimientos, análisis de flujo de datos, diccionario de datos y comentarios finales. Se describe la importancia de la investigación preliminar para evaluar la factibilidad de un proyecto, así como las tres formas de determinar requerimientos: anticipación, investigación y especificación. También se explican conceptos clave como procesos, flujos de datos y almacenes de datos.
Curso de Certificación para Técnico en Ambientes Críticos (CETa)Protiviti Peru
El documento describe un curso de dos días en Santiago, Chile, ofrecido por The International Consortium For Organizational Resilience (ICOR) para obtener la Certificación como Asociado en Técnico de Ambientes Críticos (CETa). El curso enseñará sobre la administración y operación de ambientes críticos como data centers para evitar interrupciones. Incluye un examen de certificación gratuito y será dictado por expertos en continuidad de negocios y gestión de datos.
El documento describe la metodología COBIT, incluyendo su historia, objetivo, características y usuarios. COBIT es una metodología creada en 1992 para el control adecuado de proyectos de tecnología y flujos de información, contribuyendo a reducir las brechas entre objetivos de negocio y aspectos técnicos. Incluye dominios, procesos y actividades para la gestión de recursos de tecnología de la información.
Este documento presenta un curso sobre análisis de requerimientos para sistemas de software. Explica conceptos clave como requerimientos, análisis de requerimientos y tipos de requerimientos. Contiene 7 capítulos que cubren temas como procesos de ingeniería de requerimientos, especificación y validación de requerimientos, relación con modelos de ciclo de vida, herramientas de modelado y métodos de comunicación. Incluye 4 apéndices con ejemplos de especificaciones de requerimientos para
ISACA comenzó en 1967 como un grupo pequeño de auditores de sistemas que discutían la necesidad de una fuente centralizada de información y guías en el campo de la auditoría de sistemas. En la actualidad, ISACA tiene más de 95,000 miembros en todo el mundo que trabajan en una variedad de roles relacionados con TI. ISACA ofrece cuatro certificaciones importantes, incluyendo CISA, que es reconocida globalmente y ha sido obtenida por más de 75,000 profesionales. CISA es una certificación para auditores de sistemas que requi
Principales áreas de la auditoría informáticamerytalopez
El documento trata sobre las principales áreas de la auditoría informática, incluyendo la auditoría física, ofimática, de la dirección, de la explotación y del desarrollo. Describe los objetivos y actividades clave de cada área de auditoría así como las fuentes de información y los controles relevantes.
Este documento presenta varias listas de verificación relacionadas con la auditoría de sistemas de TI. La primera lista verifica aspectos de seguridad de la información como políticas, procedimientos, controles de acceso y cifrado. Otras listas evalúan la aprobación, planificación y gestión de proyectos, la auditoría de las fases de análisis, diseño, construcción e implementación, y la auditoría de redes físicas y lógicas. El objetivo general es analizar la eficiencia de los sistemas informáticos y verificar
Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
El documento describe las etapas preliminares del desarrollo de un sistema de información, incluyendo la clarificación de requerimientos, el estudio de factibilidad y la aprobación del requerimiento. Luego discute los métodos para determinar requerimientos a través de entrevistas con usuarios y el análisis de procesos. Finalmente, destaca la importancia de comunicar los hallazgos a través de un reporte de terminación del análisis.
Inv preliminar,estudio de factibilidad, ciclo de vida pst21duberlisg
El documento describe las etapas preliminares del desarrollo de un sistema de información, incluyendo la clarificación de requerimientos, el estudio de factibilidad y la aprobación del requerimiento. Luego discute los métodos para determinar requerimientos a través de entrevistas con usuarios y el análisis de procesos existentes. Finalmente, destaca la importancia de comunicar los hallazgos a través de un reporte de terminación del análisis.
12º Webinar - 2ª Ed. EXIN en Castellano: Certificación de personal en Data Ce...EXIN
Este documento presenta información sobre certificaciones para personal de centros de datos. Incluye una agenda con temas como la situación actual del mercado de centros de datos, la relación con la eficiencia energética, marcos de referencia y estándares, y la profesionalización a través de la especialización. También presenta información sobre cursos de certificación disponibles en áreas como diseño, construcción y operación de centros de datos.
Este documento resume los conceptos clave del análisis de sistemas. Explica las etapas de investigación preliminar, determinación de requerimientos, análisis del flujo de datos y diccionario de datos. La investigación preliminar evalúa la factibilidad técnica, operacional y económica del proyecto propuesto a través de entrevistas y revisión de documentos. La determinación de requerimientos identifica los procesos, datos y flujos de información existentes a través de técnicas como entrevistas y observación. El aná
#SayaCybersecurity The Attorney and CISO conversation.Mariano M. del Río
A conversation on the Threat Landscape in Latin America, as part of the #SAYACybersecurity Awareness Tour.
Diego Fernandez and Mariano M del Río share the stage to have a conversation of the current threat landscape with cyber and privacy in mind.
Este documento presenta los desafíos en la gestión de la ciberseguridad industrial y recomienda implementar los primeros cinco controles de seguridad críticos (CSC) de la lista CIS Controls, que incluyen inventario de activos, configuraciones seguras, gestión de vulnerabilidades, acceso privilegiado y monitoreo de logs. También enfatiza la importancia de cambiar la cultura de seguridad a través de la concientización, la formación y trabajar en equipo.
Investigaciones en Entornos Corporativos - SecureTech/ICIACORPMariano M. del Río
Presentación orientada a la temática del ciberdelito y/o cibercrimen en los entornos corporativos. Recomendaciones, Prácticas, Lineamientos y Referencias para que las Organizaciones estén preparadas para poder investigar un acto delictivo en sus entornos.
El documento repite la misma información sobre una presentación en el Posgrado Cibercrimen UBA el 11 de junio de 2014 sobre Snowden, la privacidad y la concienciación, con las fuentes de Verizon y OEA.
Y ahora nos preocupamos por la privacidad gracias #snowdenMariano M. del Río
Charla orientado a los riesgos frente a los cuales se encuentra nuestra #privacidad en el mundo digital actual. Las responsabilidades de los gobiernos y también de los usuarios.
¿La batalla está perdida?
Y ahora nos preocupamos por la privacidad gracias #snowden
Desafíos de gestión_de_ciberseguridad_infraestructuras_críticas_20140715
1. Desafíos de la Gestión de
la #Ciberseguridad en
Infraestructuras Críticas
14 - 16 de Julio – México 1
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
2. 214 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
3. 314 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Agenda
¿Qué son las
infraestructuras
críticas?
Gestión de la
#Ciberseguridad
Saber qué
tenemos
Saber cuánto vale
Saber qué nos
podría pasar
Tomar decisiones
Mantenerlo en el
tiempo
Recomendaciones
Finales
Preguntas Referencias
4. 414 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
¿Qué son las infraestructuras críticas?
•CNPIC
•ENISA
•CPNI
•Homeland Security
Referencias
Fuente: wired
“Las infraestructuras estratégicas (es decir, aquellas que proporcionan servicios
esenciales) cuyo funcionamiento es indispensable y no permite soluciones
alternativas, por lo que su perturbación o destrucción tendría un grave impacto
sobre los servicios esenciales”. Definición CNPIC
5. 514 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Gestión de la #Ciberseguridad
• ENISA National
Cybersecurity
Strategies
• ISO 27001/2
• NIST SP800-82
• CNPIC Best
Practices Guides
• Critical Security
Controls – Council
On Cybersecurity
• Top 35 Mitigations
Strategies –
Australia DSD
• SP800-100
• FIPS 199/200
Referencias
Fuente: SecuringTheHuman
Requerimientos Básicos
Marco
de
Gobierno
•Políticas
•Roles y Responsabilidades
•Alcance
•Gestión de Riesgos
•Procesos
•Documentación
•Métricas
6. 614 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Gestión de la #Ciberseguridad
Fuente: SecuringTheHuman
Algunos Desafíos
Marco
de
Gobierno
•Definición de una Estrategia Nacional de
Ciberseguridad.
•Marco Legal y/o Regulatorio adecuado.
•Compromiso de las partes necesarias.
•Recursos.
•Visión de Largo Plazo.
•Apoyo Político.
•Influencia de actores clave.
•Lograr Compromiso Sociedad
7. •Nombre Activo
•Tipo de Activo
•Dirección IP
•Hostname
•Máscara de Red
•Sistema Operativo
•Servicios Activos
•Configuración Detallada
•Documentación
Datos Técnicos
714 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué tenemos
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• FIPS 199/200
Referencias
Fuente: Fondos10.net
Actividades Básicas
Inventario
de
Activos
•Definición Alcance
•Registros Vitales
•Herramientas de Identificación
•Datos Técnicos
•Relaciones
•Dependencias
•Servicios Involucrados
8. 814 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué tenemos
Fuente: Fondos10.net
InventariodeActivos
Algunos Desafíos
Colaboración Público – Privada
Establecimiento Regulaciones
Mecanismos de Comunicación
Seguros
Obtener Recursos Requeridos
Entrenamiento
Mantenerlo en el Tiempo
Entender el funcionamiento
9. La improvisación se paga caro.
914 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber cuánto vale
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• CPNI
• NERC
• ENISA
• FIPS 199/200
Referencias
Actividades Básicas
Clasificar
Activos
•Definición Alcance
•Talleres / Entrenamiento
•Metodologías Probadas
•Identificación Owner
•Steering Committe
•Personal Clave
•Nomenclatura
•Sistema de Gestión
•Internalizar el proceso
•Matriz de Clasificación
Fuente: Macove
10. 1014 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber cuánto valeClasificarActivos
Algunos Desafíos
Criterios de
Clasificación
Recursos
Requeridos
Contar con el
Personal Clave
Colaboración
Público - Privada
Entrenamiento
Mantenerlo en el
tiempo
Fuente: Macove
11. 1114 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué nos podría pasar
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• CCI
• CPNI
• NERC
• ENISA
Referencias
Fuente: Missionmode
Actividades Básicas
Análisis
de
Riesgos
•Definición Alcance
•Talleres / Entrenamiento
•Metodologías Probadas
•Identificación Owner
•Steering Committe
•Sistema de Gestión
•Internalizar el proceso
•Estandarizar Catálogos
•Entrenamiento
12. 1214 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Saber qué nos podría pasar
Fuente: Missionmode
Algunos Desafíos
Análisis
de
Riesgos
•Colaboración Público – Privada
•Obtener Recursos Necesarios
•Entrenamiento
•Tomadores de Decisión
•Contar con Personal Clave
•Mantenerlo en el tiempo
•Conocer el entorno
•Agregar Valor
13. 1314 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Tomar decisiones
• ISO 27005
• NIST SP800-100
• NIST SP800-37
• CERT Octave
• ENISA
• CCI
Referencias
Actividades Básicas
Tratar los
Riesgos
•Analizar Resultados
•Identificar y Analizar Riesgo Residual
•Asignar Recursos
•Aprobar Planes de Acción
•Dar apoyo y seguimiento
•Establecer Acuerdos
•Identificar Dificultades
•Definir Métricas
Fuente: Blogspot
14. 1414 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Tomar decisiones
Algunos Desafíos
Tratar los
Riesgos
•Lograr Compromiso Actores Involucrados
•Colaboración Público – Privada
•Colaboración Industria
•Recursos Técnicos y Económicos
•Competencias Requeridas
•Profesionalismo
•Conocer el entorno y la tecnología
•Mantenerlo en el Tiempo
•Seguimiento y Control
15. 1514 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Mantenerlo en el tiempo
• ISO 27001
• ISO 9001
• CCI
• Harvard Review
Referencias
Mejora
Continua
•Analizar Métricas
•Analizar Planes de Acción
•Analizar Incidentes / Problemas
•Repetir Análisis de Riesgos
•Aprender de lo sucedido
•Reuniones de Revisión Steering Committee
•Evaluaciones por parte de Terceros
•Certificación y/o Acreditación
Actividades Básicas
Convertir el Proyecto en Cultura
16. 1614 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Mantenerlo en el tiempo
Algunos Desafíos
Mejora
Continua
•Resistencia al Cambio
•Pérdida de Apoyo
•Cambios en las condiciones del entorno
•Compromiso de los involucrados
•Errores en las definiciones
•Ausencia de Visión de Largo Plazo
17. 1714 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Recomendaciones Finales
Aspectos Relevantes
Resumen
• Utilizar Estándares Internacionales
• Conocer el entorno
• Generar Acuerdos
• Obtener Sponsor Adecuado
• Comprometer Recursos
• Planificar, Planificar, Planificar
• Definir Alcance Realizable
• Fases, Hitos y Etapas
• Medir, Corregir, Aprender
• Documentar
• Trabajar por Proyectos
• Visión de Largo Plazo
18. 1814 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Preguntas
19. 1914 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
20. 2014 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Referencias
21. 2114 - 16 de Julio – México
Taller de Sistemas de Control Industrial e Infraestructuras
Críticas - OEA
Fuente: SecureTheHuman - SANS
Referencias