muestra de contenido SI 12092014pdf

Marcos Nocete 17/03/2014 mnocete@hotmail.com
CONCIENCIACIÓN
EN MATERIA DE
SEGURIDAD DE LA
INFORMACIÓN
(LOGO)

CONCIENCIACIÓN EN SEGURIDAD
DE LA INFORMACIÓN
OBJETIVO: generar un
Ecosistema de Seguridad
Usuarios: del conocimientoal comportamiento

DE LA INFORMACIÓN
Los tres aspectos de la seguridad de la
información
Seguridad
lógica y
tecnológica
Seguridad
basada en
las
personas
Seguridad
física

DE LA INFORMACIÓN
ISO/IEC 27001:2005
CONCEPTOS BÁSICOS DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
BAJO 27001
1. Se trata de un enfoque por procesos.
2. Permite:
a) Comprender los requisitos de seguridad.
b) Implementar y operar controles.
c) Supervisar y revisar la eficacia del sistema.
d) Asegurar la mejora continua.
3. Actualmente se basa en el modelo PDCA, pero eso va a cambiar.
4. Se puede integrar con otras ISO (pe. 9001 y 14001).
5. Es un estandar, pero hay otros.
6. Por su naturaleza, no es vulnerable a tecnologías o software concretos.

DE LA INFORMACIÓN
ISO/IEC 27001:2005
ESPECIALMENTEIMPORTANTE:Concepto de activo.
Activo: Cualquierbien que tiene valorpara la organización.
Así, se consideranactivos de información o relacionadoscon ella:
- La documentaciónimpresa.
- Los activosfísicos de almacenamientoo procesamiento de información.
- Los intangibles,como la imagen de marca.
- Las personas, por su know-how.

DE LA INFORMACIÓN
ISO/IEC 27001:2005
ESPECIALMENTEIMPORTANTE:Concepto de activo.
Activo: Cualquierbien que tiene valorpara la organización.
Así, se consideranactivos de información:
- La documentaciónimpresa.
- Los activosfísicos de almacenamientoo procesamiento de información.
- Los intangibles,como la imagen de marca.
- Las personas, por su know-how.

DE LA INFORMACIÓN
ISO/IEC 27001:2005
El objetivo es que la informaciónmantengasus propiedades:
 DISPONIBILIDAD: la propiedad debe ser accesible y utilizable por una entidad
autorizada.
 CONFIDENCIALIDAD: la información no se pone a disposición o se revela a
entidades o procesos que no están autorizados.
 INTEGRIDAD: propiedad de salvaguardarla exactitud y completitud de los
activos.
Comparte objetivoscon la LOPD, que requiere obligatoriamente:
 CONFIDENCIALIDAD, INTEGRIDAD,DISPONIBILIDAD.

DE LA INFORMACIÓN
ISO/IEC 27001:2005
 EVENTO DE SEGURIDAD DE LA INFORMACIÓN: ocurrencia detectada en un estado
de un sistema, servicio o red que indica una posible violación de la política de
seguridad de la información […].
 INCIDENTE DE SEGURIDAD DE LA INFORMACIÓN:un único evento o una serie de
eventos de seguridad de la información, inesperados o no deseados, que tienen
una probabilidad significativa, de comprometer las actividades empresariales.
Estas definiciones implican que todo el personal tiene la obligación de estar atento a
cualquier situación que suponga un evento, incluso aunque no sea aparentemente
nuestra competencia.

DE LA INFORMACIÓN
27001: objetivos de control
A. 5. Políticade seguridad.
Proporciona indicaciones para la gestión y soporte de la SI de acuerdo con los
requisitos empresariales.
Implica:
a) Que debe existir un Documento de política de Seguridad de la Información y se
debe dar a conocer a los interesados. (ver A.5.1.1).
b) La política de seguridad debe revisarse periódicamente por sin algo en la
organizaciónhubiera cambiado. (A.5.1.2).
La aplicación de este punto supone:
la Dirección de la empresa publicita su compromisocon la SI (luego se trasmite que
debe ser importante).
La revisión y aprobación debe producirse por personas de nivel de
responsabilidad suficiente.

DE LA INFORMACIÓN
27001: objetivos de control
A. 6. Aspectos organizativos de la seguridad de la información(II).
Este punto implicapara la organización:
- Que se mantengancontactos con las autoridades competentes (pe. en el cas de
España, la Ley 15/99 obliga a declarar los ficheros a la AEPD) (A.6.1.6.)
- Que se mantengancontactos con grupos de interés especial (pe. foros de
cyberseguridad). (A.6.1.7.)
- Que la SI se revise de forma independiente (A.6.1.8.)

DE LA INFORMACIÓN
I. Política de
Seguridad

DE LA INFORMACIÓN
I. Política de Seguridad
4. La informaciónque maneja la compañía ¿estáclasificada de alguna manera?
Respuesta adecuada: la que demuestre que se conoce la existencia de tres
niveles de criticidad o sus equivalencias según la LOPD.
Respuestas inadecuadas: Las que impliquen desconocimiento de la
existencia y especial protección de la información crítica.

DE LA INFORMACIÓN
II. Acceso físico
a las Instalaciones

DE LA INFORMACIÓN
II. Acceso físico a las Instalaciones
5. ¿Quiénes disponen de tarjeta de acceso?
Respuesta adecuada: todo el personal con acceso habitual a las
instalaciones de la empresa debe tener su tarjeta de acceso
personal. Para las visitas existe la posibilidad de tarjetas temporales.
Respuesta inadecuada: desconocer que todo el mundo dentro del
edificio debe contar con tarjeta.
6. Le has prestado alguna vez tu tarjeta a algún compañero?
Respuesta adecuada: No, podría ser un problema de seguridad.
Respuesta inadecuada: sí; a veces; una vez lo hice (o cualquiera de sus
variantes).
7. ¿A quién acudirías si se te estropeara o perdiera la acreditación?
Respuesta adecuada: Acudiría a mi responsable inmediato.
Respuesta inadecuada: excesivas dudas.

DE LA INFORMACIÓN
V. Manejo de
Dispositivos Móviles

DE LA INFORMACIÓN
V. Manejo de Dispositivos Móviles
27. ¿Dispones de teléfono de empresa?, ¿qué harías en caso de
robo o pérdida?
Respuesta adecuada: mostrar conocimiento del protocolo
de la organización para el caso.
Respuesta inadecuada: desconocimiento del sentido común
anterior.
28. ¿Utilizas tu teléfono personal para tener el correo de la
empresa?, ¿qué harías en caso de robo o pérdida?
Respuesta adecuada (en caso de utilizarlo): ídem que en la
pregunta anterior.
* Muchas organizaciones disponen de protocolos para este caso, el
conocimientode los mismos indica concienciación.

DE LA INFORMACIÓN
VII. Uso del correo
electrónico

DE LA INFORMACIÓN
VII. Uso del correo electrónico
40. Un correo electrónico ¿se considera vinculante?
Respuesta adecuada: sí, equivale a haber firmado una carta.
Respuesta inadecuada: No. No lo sé. (O similares).
41. ¿Con qué correos debo tener un cuidado especial por motivos de
seguridad, virus, etc.?
Respuesta adecuada: los de remitentes desconocidos, los que estén
escritos de forma extraña en su “asunto”, los que contengan algún
tipo de software o archivo ejecutable, los que vengan en un idioma
que desconozco o no esperado….
Respuestas inadecuadas: No lo sé. (O mostrar desconocimiento de los
casos anteriores).

DE LA INFORMACIÓN
IX. Blogs
y otras RRSS

DE LA INFORMACIÓN
IX. Blog y otras RRSS
53. ¿Existe en Oracle alguna indicación sobre el uso de redes sociales o
blogs?
Respuesta adecuada: sí, (indicar la referencia documental de Oracle)
Respuesta inadecuada: No. No lo sé,.. (O mostrar desconocimiento ).
54. ¿Qué es lo que nunca debería publicar en ninguna red social?
Respuesta adecuada: información de la empresa, información de
terceros, cualquier tipo de información confidencial de la empresa,
trabajadores o clientes, opiniones en nombre de la empresa o que
pudieran pasar por tales, contenidos racistas, sexistas, etc. (O respuestas
que incluyan alguna de estas ideas).
Respuesta inadecuada: No lo sé. No se me ocurre,… (O respuestas que
muestran desconocimiento de las normas o desactualización).

DE LA INFORMACIÓN
ANÁLISIS DE UN INCIDENTE DE
SEGURIDAD DE LA INFORMACIÓN REAL
El caso Príncipe Guillermo (El País, 21/11/2012 ).

DE LA INFORMACIÓN
ANÁLISIS DE UN INCIDENTE DE
SEGURIDAD DE LA INFORMACIÓN REAL
 ¿Qué tipo de incidente se refleja en la fotografía?
 ¿Quién o quienes son los responsables?
 ¿Cuáles son las consecuencias potenciales de este incidente?
 ¿Nos puede pasar algo parecido en nuestra organización?

muestra de contenido SI 12092014pdf

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (11)

Similar a muestra de contenido SI 12092014pdf

Similar a muestra de contenido SI 12092014pdf (20)

muestra de contenido SI 12092014pdf