La norma ISO 17799 proporciona recomendaciones para gestionar la seguridad de la información en las organizaciones. Se estructura en once dominios de control relacionados con aspectos como la política de seguridad, clasificación de activos, seguridad física, control de accesos y desarrollo de sistemas. Su objetivo es establecer una base para desarrollar normas de seguridad internas y crear confianza entre empresas manejando la información de forma segura.
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
Con el incremento del uso de las TIC y la revalorización de la información, la Seguridad de la Información se convierte en una necesidad para niños, adultos, empresas y autoridades.
Necesitamos crear una cultura de seguridad de la información, ya que el mal uso que se le de a la información puede tener implicaciones en nuestra vida privada, patrimonio, etc.
What is Information Security?
Information security means that the confidentiality, integrity and availability of information assets is maintained.
Confidentiality: This means that information is only used by people who are authorized to access it.
Integrity: It ensures that information remains intact and unaltered. Any changes to the information through malicious action, natural disaster, or even a simple innocent mistake are tracked.
Availability: This means that the information is accessible when authorized users need it.
Information Security Threats:
Most common types of information security threats are:
Theft of confidential information by hacking
System sabotage by hackers
Phishing and other social engineering attacks
Virus, spyware and malware
Social Media-the fraud threat
Theft of Confidential Information:
One of the major threat to information security is the theft of confidential data by hacking. This includes theft of employee information or theft of trade secrets and other intellectual property (IP).
Theft of Employee Information
Employee information includes credit card information, corporate credit card information, social security number , address, etc. It also includes theft of healthcare records as they contain personal information such date of birth, address, and name of relatives.
Theft of Trade Secrets and other Intellectual Property (IP)
Technology from various verticals including IT, aerospace, and telecommunications are constantly stolen by outsiders or insiders (industrial espionage). China is a growing offender as it continues to advance in technology relying on theft of international trade secrets and IP.
Piracy/copyright infringement.
Corporate business strategies including marketing strategies, product introduction strategies.
System Sabotage:
What is system sabotage?
Planting malware on networks of target organization and generating an enormous amount of transaction activity resulting in malfunction or crash of the system.
Who would perpetrate it?
System sabotage is usually committed by disgruntled ex-employees and by remote cyber-attackers for no particular reason.
The most sensational case of system sabotage: One of the recent examples is the sabotage of Sony PlayStation.
Phishing:
To obtain confidential data about individuals-customers, clients, employees or vendors that can be used to commit various types of identity fraud such as:
Opening bank accounts in victim’s name
Applying for loans in victim’s name
Applying for credit cards in victim’s name
Obtaining medical services in victims name (e-death)
Other kind of more sophisticated social engineering attacks include spear-phishing.
Spear-phishing targets specific individuals such as AP manger, controller, senior accountant to gain access to corporate bank accounts and transfer funds abroad.
Other threats include:
Smishing: Phishing via SMS (texting)
Vishing: Phishing via voice (phone)
Mobile hackin
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
¿Que es una contingencia informatica? Contingencia suele referirse a algo que es probable que ocurra, aunque no se tiene una certeza al respecto. La contingencia, por lo tanto, es lo posible o aquello que puede, o no, concretarse, un acontecimiento cuya realización no está prevista.
Information Security Awareness, Petronas Marketing SudanAhmed Musaad
A two hours security awareness session that I presented for Petronas Marketing Sudan employees. The session includes -- but not limited to -- many topics like Passwords, Email Security, Social Networks Security, Physical Security, and Laptop Security.
You can use this as an introductory session for your security awareness training, but not as a sufficient one time session at all.
Your comments, feedback, and suggestions are much appreciated.
Con el incremento del uso de las TIC y la revalorización de la información, la Seguridad de la Información se convierte en una necesidad para niños, adultos, empresas y autoridades.
Necesitamos crear una cultura de seguridad de la información, ya que el mal uso que se le de a la información puede tener implicaciones en nuestra vida privada, patrimonio, etc.
What is Information Security?
Information security means that the confidentiality, integrity and availability of information assets is maintained.
Confidentiality: This means that information is only used by people who are authorized to access it.
Integrity: It ensures that information remains intact and unaltered. Any changes to the information through malicious action, natural disaster, or even a simple innocent mistake are tracked.
Availability: This means that the information is accessible when authorized users need it.
Information Security Threats:
Most common types of information security threats are:
Theft of confidential information by hacking
System sabotage by hackers
Phishing and other social engineering attacks
Virus, spyware and malware
Social Media-the fraud threat
Theft of Confidential Information:
One of the major threat to information security is the theft of confidential data by hacking. This includes theft of employee information or theft of trade secrets and other intellectual property (IP).
Theft of Employee Information
Employee information includes credit card information, corporate credit card information, social security number , address, etc. It also includes theft of healthcare records as they contain personal information such date of birth, address, and name of relatives.
Theft of Trade Secrets and other Intellectual Property (IP)
Technology from various verticals including IT, aerospace, and telecommunications are constantly stolen by outsiders or insiders (industrial espionage). China is a growing offender as it continues to advance in technology relying on theft of international trade secrets and IP.
Piracy/copyright infringement.
Corporate business strategies including marketing strategies, product introduction strategies.
System Sabotage:
What is system sabotage?
Planting malware on networks of target organization and generating an enormous amount of transaction activity resulting in malfunction or crash of the system.
Who would perpetrate it?
System sabotage is usually committed by disgruntled ex-employees and by remote cyber-attackers for no particular reason.
The most sensational case of system sabotage: One of the recent examples is the sabotage of Sony PlayStation.
Phishing:
To obtain confidential data about individuals-customers, clients, employees or vendors that can be used to commit various types of identity fraud such as:
Opening bank accounts in victim’s name
Applying for loans in victim’s name
Applying for credit cards in victim’s name
Obtaining medical services in victims name (e-death)
Other kind of more sophisticated social engineering attacks include spear-phishing.
Spear-phishing targets specific individuals such as AP manger, controller, senior accountant to gain access to corporate bank accounts and transfer funds abroad.
Other threats include:
Smishing: Phishing via SMS (texting)
Vishing: Phishing via voice (phone)
Mobile hackin
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
¿Que es una contingencia informatica? Contingencia suele referirse a algo que es probable que ocurra, aunque no se tiene una certeza al respecto. La contingencia, por lo tanto, es lo posible o aquello que puede, o no, concretarse, un acontecimiento cuya realización no está prevista.
Information Security Awareness, Petronas Marketing SudanAhmed Musaad
A two hours security awareness session that I presented for Petronas Marketing Sudan employees. The session includes -- but not limited to -- many topics like Passwords, Email Security, Social Networks Security, Physical Security, and Laptop Security.
You can use this as an introductory session for your security awareness training, but not as a sufficient one time session at all.
Your comments, feedback, and suggestions are much appreciated.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
This 7799 checklist shall be used to audit Organisation's Information Technology Security standard. This checklist does not provide vendor specific security considerations but rather attempts to provide a generic checklist of security considerations to be used when auditing an organisation's Information Technology Security.
This checklist is not a replacement for any 7799 Standard. But this checklist can be used in conjunction with 7799 standard to review and evaluate IT security of the organisation.
Governance and Management of Enterprise IT with COBIT 5 FrameworkGoutama Bachtiar
This courseware was designed for the training entitled 'Governance and Management of Enterprise IT with COBIT 5 Framework' with the objective of understanding COBIT 5 Framework as well as achieving IT Governance effectiveness using the respective framework.
COBIT 5 IT Governance Model: an Introductionaqel aqel
This lecture provides quick and direct insight about Information technologies governance using COBIT 5 framework. COBIT 5 in its fifth edition released by information systems audit and control association (www.isaca.org) in 2012 to supersede the version 4.1 / 2007. It also included ISACA’s VAL-IT model that aimed to manage the financial perspective of IT as well as RISK-IT framework.
The lecture was part of ISACA- Riyadh chapter activities in April 2015 under the sponsorship of Al-Fisal University.
En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
Esta es una breve diapositiva acerca de la seguridad informatica de tecnologías de la información esta es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Aqui algunas pautas...
1. ISO 17799
SILVIA YULIETH HERNANDEZ GOMEZ
ADRIANA CHAVEZ DE LA CRUZ
SEGURIDAD Y PRIVACIDAD DE LA INFORMACION
2. ¿QUÉ ES LA NORMA
ISO 17799?
Es una norma internacional que ofrece
recomendaciones para realizar la gestión de la
seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener la
seguridad de una organización.
3. 1995 1998 2000 2002 2004
HISTORIA
British
Standard
Institute
BS 7799
BS 7799-2
BS 7799 Se
denomina ISO/IEC
17799
ISO se adopta como
UNE 17799
UNE 71502 basada
en BS 7799-2
5. OBJETIVO
Proporcionar una base
para desarrollar normas
de seguridad dentro de
las Organización
Establece
transacciones y
relaciones de
confianza entre
empresas
Aplicable a todo
tipo de
organización
Método de gestión
eficaz de la
seguridad
7. POLÍTICA DE SEGURIDAD
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD
Dirigir y dar soporte a la gestión de la seguridad de la
información.
Gestionar la seguridad de la información
dentro de la organización.
Mantener la seguridad de la información cuando
la responsabilidad de su tratamiento se ha
externalizado a otra organización.
Mantener la seguridad de los recursos de tratamiento de
la información y de los activos de información de la
organización que son accedidos por terceros.
8. CLASIFICACIÓN Y CONTROL DE ACTIVOS
Mantener una protección adecuada sobre los
activos de la organización.
Asegurar un nivel de protección adecuado a los
activos de información.
9. SEGURIDAD LIGADA AL PERSONAL
Reducir los
riesgos de
errores
humanos,
robos, fraudes
o mal uso de
las
instalaciones y
los servicios.
Asegurar que los usuarios son
conscientes de las amenazas
y riesgos en el ámbito de la
seguridad de la
información, y que están
preparados para sostener la
política de seguridad de la
organización en el curso
normal de su trabajo.
Minimizar los
daños
provocados por
incidencias de
seguridad y por
el mal
funcionamiento,
controlándolos y
aprendiendo de
ellos.
10. SEGURIDAD FÍSICA Y DEL ENTORNO
Evitar accesos no
autorizados, daños
e interferencias
contra los locales
y la información
de la
organización.
Evitar pérdidas,
daños o
comprometer los
activos así como
la interrupción de
las actividades de
la organización.
Prevenir las
exposiciones a
riesgo o robos
de información
y de recursos de
tratamiento de
información.
12. CONTROL DE ACCESOS
Controlar accesos a
información
Evitar acceso de usuarios no
autorizados.
Protección de los servicios
en red.
Detectar actividades no
autorizadas.
Garantizar la seguridad de la
información
1
3
2
4
5
13. DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Asegurar que la seguridad está
incluida dentro de los SI
Evitar pérdidas, modificaciones o mal uso
de los datos.
Proteger confidencialidad, autenticidad e
integridad de la información.
Asegurar que los proyectos de Tecnología de la
Información sean llevadas a cabo de una forma segura
Mantener la seguridad del software y la información de la
aplicación del sistema.
14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO
Reaccionar a la interrupción de actividades del
negocio y proteger sus procesos críticos frente
grandes fallos o desastres.
Maximizar la efectividad y minimizar la
interferencia
CONFORMIDAD
Evitar el incumplimiento de cualquier ley
Garantizar la alineación de los
sistemas con la política de seguridad
de la organización
15. VENTAJAS PARA LA ADOPCION
DE LA NORMA ISO 17799
Aumento de la seguridad efectiva de los sistemas de
información.
Correcta planificación y gestión de la seguridad.
Garantías de continuidad del negocio
Mejora continua a través del proceso de auditoría
interna.
Incremento de los niveles de confianza de los clientes
y socios de negocios.
16. ORIENTACION DE LA NORMA ISO
17799
La norma ISO 17799 no es una norma tecnológica.
La seguridad de la información es un asunto que compete a
la alta gerencia no al área tecnológica, por lo cual es un
asunto empresarial.
La gente toma decisiones de seguridad basados en los
riesgos percibidos no en los riesgos reales, por lo cual el
análisis de riesgos es fundamental para los negocios.
17. IMPLANTACION DE UN SISTEMA ISO
17799
Identificar los riesgos de los activos físicos e
informativos de su compañía.
Evaluar los riesgos identificados en todas las áreas
de control de seguridad.
Identificar y evaluar opciones para el tratamiento de
riesgos y tomar acción para administrar y manejarlos
Seleccionar un sistema de controles con eficiencia
de costos
Preparar una Declaración de Aplicación.
1
3
2
4
5
18. CONCLUSIONES
ISO 17799 es una norma internacional que
ofrece recomendaciones para realizar la gestión
de la seguridad de la información
La norma se estructura en once dominios de
control que cubren por completo todos los
aspectos relativos a la seguridad de la
información.
Implantar ISO 17799 puede requerir de un
trabajo de consultoría que adapte los
requerimientos de la norma a las necesidades
de cada organización.