El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.

1. GESTION DE LA SEGURIDAD DE LA INFORMACION Carlos Mauro Cárdenas Edith Santos Lorenzo José Luis Huamán Flores Ricardo Callupe Grupo -{: |-|4Ck3'5 :}-

2. Riesgos, Amenazas y Vulnerabilidades

3. ¿ Qué es la seguridad de la información ? La seguridad de la información protege la información de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el daño del negocio y maximizar el retorno de la inversión y las oportunidades de negocio.

4. ¿ Qué es la seguridad de la información ? Integridad Confidencialidad Disponibilidad Riesgo ¿ Qué es la seguridad de la información ? Administración Pacientes Empleados Atacantes Problemas Auditoria Interna El Publico

5. Análisis de Riesgos y Administración de la Plataforma Bienes Amenazas Vulnerabilidad Riesgo Medidas de Seguridad } } Análisis Administración

6. Pasos en un análisis de riesgos 1. Identificación costo posibles pérdidas (L) Identificar amenazas 2. Determinar susceptibilidad. La probabilidad de pérdida (P ) 3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar. ¿ B  P  L ? Se cierra el ciclo

7. Proceso de administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar

8. Riesgo Vulnerabilidades Amenazas Controles Requerimiento de Seguridad Bienes de Valor Bienes Proteción Exploit Reduce Increementa Indica Incrementa Exponen Tiene Disminuye Traen Impacto en Organizaciones Amenazas, Riesgos & Vulnerabilidades

9. Ciclo PDCA Política y Alcance del sistema Análisis de riesgos Selección de controles Acciones correctivas Acciones preventivas Modificación Plan Implantación del SGSI Implantación controles Implantación indicadores Auditoría interna No conformidades Grado de cumplimiento Plan Do Check Act

10. SEGURIDAD

11. Análisis. Ambitos

13. Ingeniería de Seguridad Modelo CERT

14. Ciclo del proceso de seguridad Análisis Operación Planificación Implementación

15. Seguridad Lógica Seguridad Física

16. Requisitos planteados a la seguridad Requisitos de seguridad Confiden- cialidad Integridad Disponibilidad Autentifi- cación Control de acceso Obligato- riedad Anonimato Concepto de seguridad contienen en determinada medida implementa

17. Seguridad correcta Seguridad El equilibrio correcto decide el éxito Gasto / costos Utilizabilidad Eficiencia Protección inversión Flexibilidad Funcionalidad Rentabilidad Disponibilidad

18. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION SGSI

19. SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION Está basado en el Modelo utilizado por las NORMAS ISO en general: Sirve: "Para establecer la política y los objetivos de seguridad de la información de la organización… y para lograr, a continuación estos objetivos". Planificar Hacer Actuar Verificar

20. DIAGNÓSTICO COTIZACIÓN CONSULTORÍA EVALUACIÓN CAPACITACIÓN y Certificación Metodología de implementación de la norma

21. DESCRIPCION GENERAL de CERTIFICACIONES Normas Empresas ISO177799 BS7799 ISO9001 COBIT AUDIT GUIDELINES COSO ITIL SARBANES OXLEY ACT Normas Personas CISSP CISA CISM CIA ISEC+ COMPTia ETHICAL HACKER OSSTMM

22. Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Objetivos del Negocio Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditoría independiente 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad 1.Definición del nivel de servicio 2.Administración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Administración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones

23. Marco COBIT

24. ¿Qué es BS 7799 / ISO 17799? La norma es publicada en dos partes: ISO/CEI 17799 Parte 1: Código de buenas prácticas relativo a la gestión de la seguridad de la información; BS 7799 Parte 2: Especificaciones relativas a la gestión de la seguridad de la información. BS 7799 / ISO 17799 tiene por objetivo " proporcionar una base común para la elaboración de las normas de seguridad de las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas ".

25. ISO/CEI 17799

26. Actualización en BS 7799 & IS 17799 Information Security Management System Standards ISO 17799 BS 7799 IS 17799 ISO 27001 ISO 27002

28. PDCA Model Applied to ISMS

29. ISMS Illustration of protection classes

31. TENDENCIAS

32. ¿Pero cuales son las tendencias de futuro? Internet (Banda Ancha) Comunicaciones móviles (3G) Computación ubicua Informatización y conexión en red de todas las cosas Disponer de capacidad de proceso de información en cualquier lugar y en cualquier momento Equipos móviles, PDA, integración TV-PC, domótica Negocio electrónico (e-Business) Aplicaciones y servicios (software) Tecnologías asociadas a contenidos

33. Computación ubicua: La informática en todas partes Microelectrónica. Dispositivos móviles. Seguridad en dispositivos móviles. Desarrollo de aplicaciones distribuidas Diseño y evaluación de sistemas hipermedia Seguridad en comercio electrónico Servidores de información Sistemas de tiempo real Sistemas distribuidos Seguridad en sistemas distribuidos Enseñanza asistida por ordenador Recuperación y acceso a la información Programación avanzada

34. Computer Security Day 30 de noviembre 2006 Actividades de concientización en Seguridad

35. Bibliografía CERT http://www.cert.org/ COBIT http://en.wikipedia.org/wiki/COBIT ISO 27001- Sistemas de Gestión Seguridad de la Información http://sgsi-iso27001.blogspot.com/ ISO/IEC_17799 http://en.wikipedia.org/wiki/ISO/IEC_17799 Análisis de la Norma ISO-27001 http://www.rzw.com.ar/modules.php?name=News&file=article&sid=3681 Oficina Nacional de Gobierno Electrónico e Informática http://www.pcm.gob.pe/portal_ongei/