SlideShare una empresa de Scribd logo

Normas de Seguridad de la Información

Descargar como PPTX, PDF
Jherdy Sotelo Marticorena
Jherdy Sotelo Marticorena

Espero q les sirva tanto como me sirio a mi, saludos.

Ingeniería
1 de 63
Seguridad en Redes Ing. Jerdy Sotelo Marticorena NORMAS DE SEGURIDAD EN TI
OBJETIVOS DEL CURSO • Desarrollar la terminología y los conceptos necesarios para realizar una adecuada Gestión de la Seguridad de la Información. • Desarrollar el conocimiento para diseñar, implementar, operar y mantener la seguridad de los diferentes componentes de una arquitectura TI. • Comprender los principales modelos, normas y estándares de Seguridad de la Información. • Conocer e implementar técnicas para gestionar los riesgos de Seguridad de la Información basados en normas y estándares internacionales.
CONTENIDO DEL DOMINIO • D1: Gobierno de Seguridad de la Información y Gestión de Riesgos. • D2: Seguridad de Operaciones. • D3: Control de Accesos. • D4: Diseño y Arquitectura de Seguridad. • D5: Legislación, Regulación, Cumplimiento e Investigación. • D6: Seguridad Física. • D7: Seguridad de Aplicaciones. • D8: Seguridad de Red y Telecomunicaciones. • D9: Plan de Continuidad de Negocios y Recuperación de Desastres. • D10: Criptografía.
PRESENTACIÓN DE LOS ALUMNOS • Nombres. • Nombre de la empresa (trabaja y/o práctica pre profesionales) • Puesto. • Experiencia en Seguridad de la Información. • Conocimiento de GNU/Linux. • Pasatiempos / Aficiones. • Expectativas del curso.
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN
SEGURIDAD Y GESTIÓN DE RIESGOS GESTIÓN CENTRALIZADA Análisis de Riesgos y determinación de controles Evaluación y Monitoreo Implementación de Políticas y Controles Promover la Concientización
CICLO DE VIDA DE LA INFORMACIÓN 1. CLASIFICACIÓN DESTRUCCIÓN DISPOSICIÓN 3. MIGRACIÓN 2. ALMACENAMIENTO Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación
SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA Tecnología ProcesosPersonas LA SEGURIDAD INFORMÁTICA: Se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soportan nuestro negocio. SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.
Que es la Seguridad de la Información (video)
CIA / CID – PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN • Confidencialidad: Es la propiedad por la que la información, no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: Es la propiedad de salvaguardar la exactitud y completitud de los activos. • Disponibilidad: Es la propiedad de ser accesible y utilizable por una entidad autorizada.
• Confidencialidad: • Mínimo privilegios. • Basado en la función del usuario • Se soporta en clasificación de información. • Cifrado de información. • Integridad: • Cambios no autorizados, intencionales o accidentales. • Información almacenada en diversos medios • Información modificada solo por el personal y controles autorizados. • Disponibilidad: • Disponible y accesible por personal autorizado y cuando lo necesiten. • Se ve afectada por ataques de DoS. • Pérdida o paralización de servicio por la presencia de incidente o desastre.
OTROS ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
Porqué es necesaria la Seguridad de la Información? La información y los procesos que la apoyan, los sistemas y las redes son activos importantes para la organización, por lo tanto, es esencial definir, realizar, mantener y mejorar la seguridad de la información para: • Mantener la competitividad de la empresa. • lograr el flujo de liquidez requerido. • Lograr el cumplimiento legal de la normatividad vigente a nivel nacional.
Somos conscientes de nuestras debilidades? • Internas o Externas. OSSTM – MAPA DE SEGURIDAD NOTA:LOS ATAQUES INTERNOS REPRESENTAN UN 60% DE TOTAL DE ATAQUES RECIBIDOS
AMENAZAS PARA LA SEGURIDAD
DE QUIEN DEBEMOS PROTEGERNOS: EXTERNAS
DE QUIEN DEBEMOS PROTEGERNOS: INTERNAS Categorización de usuarios
OPERATIVIDAD VS SEGURIDAD
TERMINOLOGÍA Y CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN
Terminología en Seguridad de la Información • Activos de información • Amenaza • Vulnerabilidad • Riesgo • Exposición • Salvaguarda • Impacto
• Activo: Recurso relacionado al sistema de información necesario para el funcionamiento correcto y para el cumplimiento de los objetivos de una organización. • Amenaza: Cualquier evento que ocasione incidencias , produciendo daños materiales o inmateriales sobre un activo de al organización. • Vulnerabilidad: Es una posibilidad de ocurrencia de la materialización de una amenaza hacia la seguridad de la organización. • Riesgo: Es la posibilidad de que se produzca un impacto determinado en la organización • Exposición: Es un caso de exponer la organización o parte de ella, a riesgos que causen daño posibles. • Salvaguarda: Es un proceso que elimina o minimiza los riesgos de seguridad, desde antes que se active una vulnerabilidad. • Impacto: Consecuencia de la materialización de una amenaza.
Activos de Información • Documentos en papel: Contratos, guías, etc. • Software: aplicativos y software de sistemas. • Dispositivos físicos: computadoras, medios removibles (USB, DVD, etc). • Personas: clientes, personal, etc. • Imagen y reputación de la empresa: Marca, logotipo, razón social. • Servicios: Comunicaciones, internet, energía. ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible o intangible que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
DOCUMENTOS • En papel: • Electrónico:
ACTIVOS DE SOFTWARE • Sistemas • Aplicaciones • Herramientas y programas
ACTIVOS FÍSICOS • Procesamiento • Comunicación • Medios de almacenamiento • Otros
SERVICIOS (Terceros) • Procesamiento y comunicaciones. • Servicios generales. • Otros proveedores.
FRECUENCIA MARCADO UBICACIÓN CUSTODIO VALORACIÓN CLASIFICACIÓN PROPIETARIO USUARIO ACTIVO DE INFORMACIÓN
CLASIFICACIÓN DE LA INFORMACIÓN Restringida Confidencial Interna Pública
Ubicación (Física o Lógica) • Lugares donde se almacena los Activos de información más importantes: • Oficinas. • Archivos. • Centro de cómputo. • Bóvedas. • Custodio de información (Proveedor).
Propietario El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control. Ejemplo: • Activo de información: Sistema Contabilidad. • Propietario del activo: Gerente de Contabilidad y Finanzas. • Custodio de la Base de Datos: Gerencia de TI. • Derecho de propietario del activo: Empresa.
Amenazas • Potencial para causar un incidente indeseado que puede resultar en daño al sistema, a la empresa o a sus activos. • Puede ser accidental o intencional • Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: Terremoto, incendio, etc. • Humanas: Errores de mantenimiento, huelgas, etc • Tecnológicas: Caída de Red, Sobretráfico, etc
Ingeniería Social • Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente nos daría acceso a un sistema de información, aplicativo o recurso informático. «EL ARTE DE ENGAÑAR A LAS PERSONAS»
Video de Ing. Social
SGSI (Sistema de Gestión de la Seguridad de la Información)
Sistema de Gestión de la Seguridad de la Información SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.
ISO 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas.
ISO 27001 • Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.
ISO 27002 • La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI. • Se compone de 11 dominios, 39 objetivos de seguridad y 133 controles de seguridad. • Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado aspecto de la seguridad de la información.
Distribución de los dominios de la Norma ISO 27002
ISO 27002 (documentación) La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.
GESTIÓN DE RIESGOS
Requerimientos del Negocio • Los modelos de seguridad deben adaptarse a las necesidades y objetivos de las organizaciones. • No es posible aplicar un mismo modelo de seguridad para organizaciones de diferentes rubros.
Requerimientos del Negocio • En una organización privada los servicios de disponibilidad e integridad de la información, cobran mayor valor que la confidencialidad, ya que sus objetivos, apuntan hacía la competencia en marketing y ventas. • En una organización militar, el servicio de confidencialidad cobra mayor valor que la disponibilidad e integridad de la información, ya que administra información crítica que NO PUEDE NI DEBE tener accesos desautorizados.
Introducción al Análisis de Riesgos • Es necesario recordar que: • No existe SEGURIDAD AL 100%. • No existe 0% de Riesgos. • Ningún control es infalible. • Cada organización tiene vulnerabilidades y riesgos diferentes. • Los riesgos no se puede eliminar pero si darle un tratamiento
Análisis de Riesgos Métodos para analizar los riesgos: • Cuantitativo. • Cualitativo. Existen algunas metodologías para el análisis y gestión de riesgos:  Magerit  Octave  ISO 27005  RISK IT  ISO 31000  AS/NZS 4360
Que persigue con el Análisis de Riesgos • Identificar y clasificar los activos críticos de la organización. • Determinar a que amenazas están expuestas. • Determinar que salvaguardas existen y cuan eficaces son frente al riesgo. • Estimar el impacto. • Estimar el riesgo.
1. Inventariar 2. Análisis 4. Tratamiento 3. Evaluación Basado en la Norma ISO 27005 Ciclo del Análisis y Evaluación de Riesgos
Proceso de evaluación del Riesgo
Nivel de Riesgo Aceptable • Es el Riesgo que queda en la organización luego de implementar controles. • Cuando el nivel de Riesgo que queda se asume y acepta, entonces podemos decir que tenemos un Riesgo Residual. • Siempre existirán Riesgos Residual. • ¿Cuál es el nivel de Riesgo Residual aceptable en su organización? - La alta dirección debe decidir.
OPCIONES PARA EL TRATAMIENTO DE LOS RIESGOS
Tratando los Riesgos de Seguridad • Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no, los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización.
Tratando los Riesgos de Seguridad Posibles opciones para el tratamiento del riesgo incluye: a) Aplicar controles apropiados para reducir el riesgo. b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización. c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran. d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.
Dirección de Tratamiento del Riesgo Opciones: • ACEPTAR el riesgo efectivo. • TRANSFERIR el Riesgo. • REDUCIR el Riesgo a un nivel aceptado. • EVITAR Riesgos.
Aceptando el Riesgo CONDICIONES: • La organización no encuentra controles para mitigar el riesgo efectivo. • La implementación de controles tiene un costo superior que las consecuencias del riesgo. • Cuando las organizaciones toman está decisión de aceptar el riesgo, se debe documentar y definir con precisión el criterio utilizado para la aceptación del riesgo.
Transferir el Riesgo CONDICIONES: • Cuando para la organización es difícil reducir o controlar el riesgo a un nivel aceptable. • La alternativa de trasferir el riesgo a una tercera parte es más económica ante estas circunstancias. • Las transferencia del riesgo no elimina el riesgo residual.
Reducir el Riesgo CONDICIONES: • Se debe reducir el riesgo al nivel que se haya definido como riesgo aceptable. • Los controles a implementar pueden reducir el riesgo estimado en dos maneras:  Reduciendo la probabilidad de ocurrencia de la amena.  Minimizando el impacto que podría causar si el riesgo logra ocurrir sobre el activo.
Evitar el Riesgo GENERALIDADES: • Cualquier acción o control propuesto que permita cambiar el rumbo de las actividades, para así evitar la presencia del riesgo. • El riesgo se puede evitar por medio de: • No continuar desarrollando una actividad en particular. • Trasladar nuestros activos a otro lugar o área segura. • Decidir no procesar cierta información considerada muy sensitiva.
Resultados del Análisis de Riesgos • Asignación de valores monetarios a los activos. • Lista de todos los posibles y potenciales amenazas. • Probabilidad de cantidad de ocurrencias por cada amenaza. • Potencial que la organización pueda aguantar en un lapso de 12 meses, frente a la amenaza. • Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.
Inventario de Activos • Relación de todos los activos importantes. • Cada activo debe tener un propietario y custodio (responsabilidades definidas) • Los activos se identifican, no se inventan.
Seguridad de Redes Ing. Jerdy Sotelo Marticorena

Recomendados

Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
Neyber Porras
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
kyaalena
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 

Recomendados

Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
Neyber Porras
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
kyaalena
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Presentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptxPresentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptx
AlvaroVasquez54
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
Bella Romero Aguillón
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
1426NA
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
Ramiro Cid
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
PresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicaPresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTica
carmelacaballero
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
 
Gestión de incidentes
Gestión de incidentesGestión de incidentes
Gestión de incidentes
johnfer1234
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
Fernando Alfonso Casas De la Torre
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Universidad José María Vargas
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
Carlos Guerrero
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Universidad de Los Andes (ULA)
 
Importancia de la Seguridad Informática
Importancia de la Seguridad InformáticaImportancia de la Seguridad Informática
Importancia de la Seguridad InformáticaTita Mazorra Granja
 

Más contenido relacionado

La actualidad más candente

Presentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptxPresentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptx
AlvaroVasquez54
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
Bella Romero Aguillón
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
1426NA
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
Ramiro Cid
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
PresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicaPresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTica
carmelacaballero
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
 
Gestión de incidentes
Gestión de incidentesGestión de incidentes
Gestión de incidentes
johnfer1234
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
Fernando Alfonso Casas De la Torre
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Universidad José María Vargas
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
Carlos Guerrero
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 

La actualidad más candente (20)

Presentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptxPresentación de auditoría de Redes.pptx
Presentación de auditoría de Redes.pptx
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridad
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
PresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTicaPresentacióN De Microsoft Power Point Seguridad InformáTica
PresentacióN De Microsoft Power Point Seguridad InformáTica
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Gestión de incidentes
Gestión de incidentesGestión de incidentes
Gestión de incidentes
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 

Destacado

Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Universidad de Los Andes (ULA)
 
Importancia de la Seguridad Informática
Importancia de la Seguridad InformáticaImportancia de la Seguridad Informática
Importancia de la Seguridad InformáticaTita Mazorra Granja
 
Sociedad de la in-seguridad
Sociedad de la in-seguridadSociedad de la in-seguridad
Sociedad de la in-seguridad
Daniel Sasia
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Neila Rincon
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Pedro Trelles Araujo
 
Trabajo De Imbestigación N°1
Trabajo De Imbestigación N°1Trabajo De Imbestigación N°1
Trabajo De Imbestigación N°1
kevinsss31
 
Guia pràctica Com actuar davant la pobresa energètica. 3a edició. Ecoserveis
Guia pràctica Com actuar davant la pobresa energètica. 3a edició. EcoserveisGuia pràctica Com actuar davant la pobresa energètica. 3a edició. Ecoserveis
Guia pràctica Com actuar davant la pobresa energètica. 3a edició. Ecoserveis
Ecoserveis Cultura Energética
 
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
Henrry Osmar Torres
 
Las redes sosiales
Las redes sosialesLas redes sosiales
Las redes sosiales
rojas240289
 
Las redes sosiales
Las redes sosialesLas redes sosiales
Las redes sosiales
rojas240289
 
Las redes sosiales
Las redes sosialesLas redes sosiales
Las redes sosiales
rojas240289
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Jack Daniel Cáceres Meza
 
Diseño de herramienta de evaluación de la seguridad de la información y mapa ...
Diseño de herramienta de evaluación de la seguridad de la información y mapa ...Diseño de herramienta de evaluación de la seguridad de la información y mapa ...
Diseño de herramienta de evaluación de la seguridad de la información y mapa ...
David Eliseo Martinez Castellanos
 
Trastornos adictivos
Trastornos adictivosTrastornos adictivos
Trastornos adictivospatriciabde
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
bolacoandres
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
Ingeniería Nica
 
La seguridad de la información en el Gobierno de Canadá
La seguridad de la información en el Gobierno de CanadáLa seguridad de la información en el Gobierno de Canadá
La seguridad de la información en el Gobierno de Canadá
ASIDER Asider
 
Redes sociales y menores. Conductas de riesgo en Internet ppt
Redes sociales y menores. Conductas de riesgo en Internet pptRedes sociales y menores. Conductas de riesgo en Internet ppt
Redes sociales y menores. Conductas de riesgo en Internet ppt
Elena Martín
 
Gestión de información y del conocimiento
Gestión de información y del conocimiento Gestión de información y del conocimiento
Gestión de información y del conocimiento Rafael Duin
 

Destacado (20)

Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Importancia de la Seguridad Informática
Importancia de la Seguridad InformáticaImportancia de la Seguridad Informática
Importancia de la Seguridad Informática
 
Sociedad de la in-seguridad
Sociedad de la in-seguridadSociedad de la in-seguridad
Sociedad de la in-seguridad
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Trabajo De Imbestigación N°1
Trabajo De Imbestigación N°1Trabajo De Imbestigación N°1
Trabajo De Imbestigación N°1
 
Guia pràctica Com actuar davant la pobresa energètica. 3a edició. Ecoserveis
Guia pràctica Com actuar davant la pobresa energètica. 3a edició. EcoserveisGuia pràctica Com actuar davant la pobresa energètica. 3a edició. Ecoserveis
Guia pràctica Com actuar davant la pobresa energètica. 3a edició. Ecoserveis
 
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
La importancia de la Seguridad Informática en los Usuarios de la Región Lamba...
 
Las redes sosiales
Las redes sosialesLas redes sosiales
Las redes sosiales
 
Las redes sosiales
Las redes sosialesLas redes sosiales
Las redes sosiales
 
Las redes sosiales
Las redes sosialesLas redes sosiales
Las redes sosiales
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
 
Diseño de herramienta de evaluación de la seguridad de la información y mapa ...
Diseño de herramienta de evaluación de la seguridad de la información y mapa ...Diseño de herramienta de evaluación de la seguridad de la información y mapa ...
Diseño de herramienta de evaluación de la seguridad de la información y mapa ...
 
Trastornos adictivos
Trastornos adictivosTrastornos adictivos
Trastornos adictivos
 
Instalacion de software
Instalacion de softwareInstalacion de software
Instalacion de software
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
La seguridad de la información en el Gobierno de Canadá
La seguridad de la información en el Gobierno de CanadáLa seguridad de la información en el Gobierno de Canadá
La seguridad de la información en el Gobierno de Canadá
 
Redes sociales y menores. Conductas de riesgo en Internet ppt
Redes sociales y menores. Conductas de riesgo en Internet pptRedes sociales y menores. Conductas de riesgo en Internet ppt
Redes sociales y menores. Conductas de riesgo en Internet ppt
 
Gestión de información y del conocimiento
Gestión de información y del conocimiento Gestión de información y del conocimiento
Gestión de información y del conocimiento
 

Similar a Normas de Seguridad de la Información

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
dsiticansilleria
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
Carlos Viteri
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
carlos910042
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Seguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalSeguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia Digital
Internet Security Auditors
 
CSX2021 - Modulo cybersecurity cloud fundamentals
CSX2021 - Modulo cybersecurity cloud fundamentalsCSX2021 - Modulo cybersecurity cloud fundamentals
CSX2021 - Modulo cybersecurity cloud fundamentals
raiku011
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docxLizy Pineda
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Informpachiuss
 
SEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdfSEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdf
ROOSVELTENRIQUEZGAME1
 
La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)
Onpux Diane Pie
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
Vicente Lingan
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASSEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
Kevin Pacheco
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
aleleo1
 
Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1
reinaldo baptista
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
Miguel Cabrera
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
Maurice Frayssinet
 

Similar a Normas de Seguridad de la Información (20)

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
Seguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalSeguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia Digital
 
CSX2021 - Modulo cybersecurity cloud fundamentals
CSX2021 - Modulo cybersecurity cloud fundamentalsCSX2021 - Modulo cybersecurity cloud fundamentals
CSX2021 - Modulo cybersecurity cloud fundamentals
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docx
 
Trabajo Unificado De Seg Inform
Trabajo Unificado De Seg InformTrabajo Unificado De Seg Inform
Trabajo Unificado De Seg Inform
 
SEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdfSEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdf
 
La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASSEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 
Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1Objetivos de la seguridad operacional Actividad1
Objetivos de la seguridad operacional Actividad1
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 

Último

Dialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdf
Dialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdfDialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdf
Dialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdf
fernanroq11702
 
Becas de UOC _ Caja Ingenieros 2024-25.pdf
Becas de UOC _ Caja Ingenieros 2024-25.pdfBecas de UOC _ Caja Ingenieros 2024-25.pdf
Becas de UOC _ Caja Ingenieros 2024-25.pdf
UOC Estudios de Informática, Multimedia y Telecomunicación
 
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
HaroldKewinCanaza1
 
Edafología - Presentacion Orden Histosoles
Edafología - Presentacion Orden HistosolesEdafología - Presentacion Orden Histosoles
Edafología - Presentacion Orden Histosoles
FacundoPortela1
 
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptxtema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
DianaSG6
 
CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024
CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024
CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024
JuanChaparro49
 
MATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptx
MATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptxMATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptx
MATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptx
Fernando Benavidez
 
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- ConstruccionA3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
manuelalejandro238
 
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuariaBOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
mesiassalazarpresent
 
Hidrostatica_e_Hidrodinamica.pdggggggggf
Hidrostatica_e_Hidrodinamica.pdggggggggfHidrostatica_e_Hidrodinamica.pdggggggggf
Hidrostatica_e_Hidrodinamica.pdggggggggf
JavierAlejosM
 
Flujograma de gestión de pedidos de usuarios.
Flujograma de gestión de pedidos de usuarios.Flujograma de gestión de pedidos de usuarios.
Flujograma de gestión de pedidos de usuarios.
thatycameron2004
 
Diagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdfDiagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdf
joseabachesoto
 
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...
FRANCISCOJUSTOSIERRA
 
Sistema de disposición sanitarias – UBS composteras 2 PARTE.pptx
Sistema de disposición sanitarias – UBS composteras 2 PARTE.pptxSistema de disposición sanitarias – UBS composteras 2 PARTE.pptx
Sistema de disposición sanitarias – UBS composteras 2 PARTE.pptx
RobertRamos84
 
Desbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptx
Desbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptxDesbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptx
Desbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptx
ValGS2
 
PLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdf
PLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdfPLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdf
PLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdf
MariaCortezRuiz
 
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPTCONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
LuisLobatoingaruca
 
FISICA_Hidrostatica_uyhHidrodinamica.pdf
FISICA_Hidrostatica_uyhHidrodinamica.pdfFISICA_Hidrostatica_uyhHidrodinamica.pdf
FISICA_Hidrostatica_uyhHidrodinamica.pdf
JavierAlejosM
 
Sesiones 3 y 4 Estructuras Ingenieria.pdf
Sesiones 3 y 4 Estructuras Ingenieria.pdfSesiones 3 y 4 Estructuras Ingenieria.pdf
Sesiones 3 y 4 Estructuras Ingenieria.pdf
DeyvisPalomino2
 
SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...
SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...
SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...
JhonatanOQuionesChoq
 

Último (20)

Dialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdf
Dialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdfDialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdf
Dialnet-EnsenanzaDeLaModelacionMedianteEcuacionesDiferenci-9304821.pdf
 
Becas de UOC _ Caja Ingenieros 2024-25.pdf
Becas de UOC _ Caja Ingenieros 2024-25.pdfBecas de UOC _ Caja Ingenieros 2024-25.pdf
Becas de UOC _ Caja Ingenieros 2024-25.pdf
 
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
UNIVERSIDAD NACIONAL ALTIPLANO PUNO - FACULTAD DE INGENIERIA MECANICA ELECTRICA.
 
Edafología - Presentacion Orden Histosoles
Edafología - Presentacion Orden HistosolesEdafología - Presentacion Orden Histosoles
Edafología - Presentacion Orden Histosoles
 
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptxtema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
tema-6.4-calculo-de-la-potencia-requerida-para-transporte-de-solidos-.pptx
 
CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024
CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024
CODIGO DE SEÑALES Y COLORES NTP399 - ANEXO 17 DS 024
 
MATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptx
MATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptxMATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptx
MATERIALES MAGNETICOS EN EL CAMPO SIDERURGICO.pptx
 
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- ConstruccionA3QUIROZ,MANUEL- Operaciones Basicas- Construccion
A3QUIROZ,MANUEL- Operaciones Basicas- Construccion
 
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuariaBOTAnica mesias orland role.pptx1 ciclo agropecuaria
BOTAnica mesias orland role.pptx1 ciclo agropecuaria
 
Hidrostatica_e_Hidrodinamica.pdggggggggf
Hidrostatica_e_Hidrodinamica.pdggggggggfHidrostatica_e_Hidrodinamica.pdggggggggf
Hidrostatica_e_Hidrodinamica.pdggggggggf
 
Flujograma de gestión de pedidos de usuarios.
Flujograma de gestión de pedidos de usuarios.Flujograma de gestión de pedidos de usuarios.
Flujograma de gestión de pedidos de usuarios.
 
Diagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdfDiagrama de flujo "Resolución de problemas".pdf
Diagrama de flujo "Resolución de problemas".pdf
 
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...
TR-514 (3) - BIS copia seguridad DOS COLUMNAS 2024 1.6.24 PREFERIDO.wbk.wbk S...
 
Sistema de disposición sanitarias – UBS composteras 2 PARTE.pptx
Sistema de disposición sanitarias – UBS composteras 2 PARTE.pptxSistema de disposición sanitarias – UBS composteras 2 PARTE.pptx
Sistema de disposición sanitarias – UBS composteras 2 PARTE.pptx
 
Desbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptx
Desbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptxDesbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptx
Desbalanceo Rotatorio cabeceo de flechas y elementos rotativos_GSV.pptx
 
PLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdf
PLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdfPLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdf
PLAN DE TRABAJO DE REFUERZO ESCOLAR 2024.pdf
 
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPTCONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
CONTROL DE MOTORES DE CORRIENTE ALTERNA PPT
 
FISICA_Hidrostatica_uyhHidrodinamica.pdf
FISICA_Hidrostatica_uyhHidrodinamica.pdfFISICA_Hidrostatica_uyhHidrodinamica.pdf
FISICA_Hidrostatica_uyhHidrodinamica.pdf
 
Sesiones 3 y 4 Estructuras Ingenieria.pdf
Sesiones 3 y 4 Estructuras Ingenieria.pdfSesiones 3 y 4 Estructuras Ingenieria.pdf
Sesiones 3 y 4 Estructuras Ingenieria.pdf
 
SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...
SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...
SESION 1 - SESION INTRODUCTORIA - INTRODUCCIÓN A LA PERFORACIÓN Y VOLADURA DE...
 

Normas de Seguridad de la Información

  • 1. Seguridad en Redes Ing. Jerdy Sotelo Marticorena NORMAS DE SEGURIDAD EN TI
  • 2. OBJETIVOS DEL CURSO • Desarrollar la terminología y los conceptos necesarios para realizar una adecuada Gestión de la Seguridad de la Información. • Desarrollar el conocimiento para diseñar, implementar, operar y mantener la seguridad de los diferentes componentes de una arquitectura TI. • Comprender los principales modelos, normas y estándares de Seguridad de la Información. • Conocer e implementar técnicas para gestionar los riesgos de Seguridad de la Información basados en normas y estándares internacionales.
  • 3. CONTENIDO DEL DOMINIO • D1: Gobierno de Seguridad de la Información y Gestión de Riesgos. • D2: Seguridad de Operaciones. • D3: Control de Accesos. • D4: Diseño y Arquitectura de Seguridad. • D5: Legislación, Regulación, Cumplimiento e Investigación. • D6: Seguridad Física. • D7: Seguridad de Aplicaciones. • D8: Seguridad de Red y Telecomunicaciones. • D9: Plan de Continuidad de Negocios y Recuperación de Desastres. • D10: Criptografía.
  • 4. PRESENTACIÓN DE LOS ALUMNOS • Nombres. • Nombre de la empresa (trabaja y/o práctica pre profesionales) • Puesto. • Experiencia en Seguridad de la Información. • Conocimiento de GNU/Linux. • Pasatiempos / Aficiones. • Expectativas del curso.
  • 5. INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN
  • 6. SEGURIDAD Y GESTIÓN DE RIESGOS GESTIÓN CENTRALIZADA Análisis de Riesgos y determinación de controles Evaluación y Monitoreo Implementación de Políticas y Controles Promover la Concientización
  • 7. CICLO DE VIDA DE LA INFORMACIÓN 1. CLASIFICACIÓN DESTRUCCIÓN DISPOSICIÓN 3. MIGRACIÓN 2. ALMACENAMIENTO Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación
  • 8. SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA Tecnología ProcesosPersonas LA SEGURIDAD INFORMÁTICA: Se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soportan nuestro negocio. SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.
  • 9. Que es la Seguridad de la Información (video)
  • 10. CIA / CID – PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN • Confidencialidad: Es la propiedad por la que la información, no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: Es la propiedad de salvaguardar la exactitud y completitud de los activos. • Disponibilidad: Es la propiedad de ser accesible y utilizable por una entidad autorizada.
  • 11. • Confidencialidad: • Mínimo privilegios. • Basado en la función del usuario • Se soporta en clasificación de información. • Cifrado de información. • Integridad: • Cambios no autorizados, intencionales o accidentales. • Información almacenada en diversos medios • Información modificada solo por el personal y controles autorizados. • Disponibilidad: • Disponible y accesible por personal autorizado y cuando lo necesiten. • Se ve afectada por ataques de DoS. • Pérdida o paralización de servicio por la presencia de incidente o desastre.
  • 12. OTROS ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
  • 13. Porqué es necesaria la Seguridad de la Información? La información y los procesos que la apoyan, los sistemas y las redes son activos importantes para la organización, por lo tanto, es esencial definir, realizar, mantener y mejorar la seguridad de la información para: • Mantener la competitividad de la empresa. • lograr el flujo de liquidez requerido. • Lograr el cumplimiento legal de la normatividad vigente a nivel nacional.
  • 14. Somos conscientes de nuestras debilidades? • Internas o Externas. OSSTM – MAPA DE SEGURIDAD NOTA:LOS ATAQUES INTERNOS REPRESENTAN UN 60% DE TOTAL DE ATAQUES RECIBIDOS
  • 15. AMENAZAS PARA LA SEGURIDAD
  • 16. DE QUIEN DEBEMOS PROTEGERNOS: EXTERNAS
  • 17. DE QUIEN DEBEMOS PROTEGERNOS: INTERNAS Categorización de usuarios
  • 19.
  • 20. TERMINOLOGÍA Y CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN
  • 21. Terminología en Seguridad de la Información • Activos de información • Amenaza • Vulnerabilidad • Riesgo • Exposición • Salvaguarda • Impacto
  • 22. • Activo: Recurso relacionado al sistema de información necesario para el funcionamiento correcto y para el cumplimiento de los objetivos de una organización. • Amenaza: Cualquier evento que ocasione incidencias , produciendo daños materiales o inmateriales sobre un activo de al organización. • Vulnerabilidad: Es una posibilidad de ocurrencia de la materialización de una amenaza hacia la seguridad de la organización. • Riesgo: Es la posibilidad de que se produzca un impacto determinado en la organización • Exposición: Es un caso de exponer la organización o parte de ella, a riesgos que causen daño posibles. • Salvaguarda: Es un proceso que elimina o minimiza los riesgos de seguridad, desde antes que se active una vulnerabilidad. • Impacto: Consecuencia de la materialización de una amenaza.
  • 23. Activos de Información • Documentos en papel: Contratos, guías, etc. • Software: aplicativos y software de sistemas. • Dispositivos físicos: computadoras, medios removibles (USB, DVD, etc). • Personas: clientes, personal, etc. • Imagen y reputación de la empresa: Marca, logotipo, razón social. • Servicios: Comunicaciones, internet, energía. ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible o intangible que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
  • 25. ACTIVOS DE SOFTWARE • Sistemas • Aplicaciones • Herramientas y programas
  • 26. ACTIVOS FÍSICOS • Procesamiento • Comunicación • Medios de almacenamiento • Otros
  • 27. SERVICIOS (Terceros) • Procesamiento y comunicaciones. • Servicios generales. • Otros proveedores.
  • 29. CLASIFICACIÓN DE LA INFORMACIÓN Restringida Confidencial Interna Pública
  • 30. Ubicación (Física o Lógica) • Lugares donde se almacena los Activos de información más importantes: • Oficinas. • Archivos. • Centro de cómputo. • Bóvedas. • Custodio de información (Proveedor).
  • 31. Propietario El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control. Ejemplo: • Activo de información: Sistema Contabilidad. • Propietario del activo: Gerente de Contabilidad y Finanzas. • Custodio de la Base de Datos: Gerencia de TI. • Derecho de propietario del activo: Empresa.
  • 32. Amenazas • Potencial para causar un incidente indeseado que puede resultar en daño al sistema, a la empresa o a sus activos. • Puede ser accidental o intencional • Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: Terremoto, incendio, etc. • Humanas: Errores de mantenimiento, huelgas, etc • Tecnológicas: Caída de Red, Sobretráfico, etc
  • 33.
  • 34. Ingeniería Social • Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente nos daría acceso a un sistema de información, aplicativo o recurso informático. «EL ARTE DE ENGAÑAR A LAS PERSONAS»
  • 35. Video de Ing. Social
  • 36. SGSI (Sistema de Gestión de la Seguridad de la Información)
  • 37. Sistema de Gestión de la Seguridad de la Información SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.
  • 38. ISO 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas.
  • 39.
  • 40. ISO 27001 • Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.
  • 41. ISO 27002 • La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI. • Se compone de 11 dominios, 39 objetivos de seguridad y 133 controles de seguridad. • Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado aspecto de la seguridad de la información.
  • 42. Distribución de los dominios de la Norma ISO 27002
  • 43. ISO 27002 (documentación) La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.
  • 45. Requerimientos del Negocio • Los modelos de seguridad deben adaptarse a las necesidades y objetivos de las organizaciones. • No es posible aplicar un mismo modelo de seguridad para organizaciones de diferentes rubros.
  • 46. Requerimientos del Negocio • En una organización privada los servicios de disponibilidad e integridad de la información, cobran mayor valor que la confidencialidad, ya que sus objetivos, apuntan hacía la competencia en marketing y ventas. • En una organización militar, el servicio de confidencialidad cobra mayor valor que la disponibilidad e integridad de la información, ya que administra información crítica que NO PUEDE NI DEBE tener accesos desautorizados.
  • 47. Introducción al Análisis de Riesgos • Es necesario recordar que: • No existe SEGURIDAD AL 100%. • No existe 0% de Riesgos. • Ningún control es infalible. • Cada organización tiene vulnerabilidades y riesgos diferentes. • Los riesgos no se puede eliminar pero si darle un tratamiento
  • 48. Análisis de Riesgos Métodos para analizar los riesgos: • Cuantitativo. • Cualitativo. Existen algunas metodologías para el análisis y gestión de riesgos:  Magerit  Octave  ISO 27005  RISK IT  ISO 31000  AS/NZS 4360
  • 49. Que persigue con el Análisis de Riesgos • Identificar y clasificar los activos críticos de la organización. • Determinar a que amenazas están expuestas. • Determinar que salvaguardas existen y cuan eficaces son frente al riesgo. • Estimar el impacto. • Estimar el riesgo.
  • 50. 1. Inventariar 2. Análisis 4. Tratamiento 3. Evaluación Basado en la Norma ISO 27005 Ciclo del Análisis y Evaluación de Riesgos
  • 52. Nivel de Riesgo Aceptable • Es el Riesgo que queda en la organización luego de implementar controles. • Cuando el nivel de Riesgo que queda se asume y acepta, entonces podemos decir que tenemos un Riesgo Residual. • Siempre existirán Riesgos Residual. • ¿Cuál es el nivel de Riesgo Residual aceptable en su organización? - La alta dirección debe decidir.
  • 53. OPCIONES PARA EL TRATAMIENTO DE LOS RIESGOS
  • 54. Tratando los Riesgos de Seguridad • Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no, los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización.
  • 55. Tratando los Riesgos de Seguridad Posibles opciones para el tratamiento del riesgo incluye: a) Aplicar controles apropiados para reducir el riesgo. b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización. c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran. d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.
  • 56. Dirección de Tratamiento del Riesgo Opciones: • ACEPTAR el riesgo efectivo. • TRANSFERIR el Riesgo. • REDUCIR el Riesgo a un nivel aceptado. • EVITAR Riesgos.
  • 57. Aceptando el Riesgo CONDICIONES: • La organización no encuentra controles para mitigar el riesgo efectivo. • La implementación de controles tiene un costo superior que las consecuencias del riesgo. • Cuando las organizaciones toman está decisión de aceptar el riesgo, se debe documentar y definir con precisión el criterio utilizado para la aceptación del riesgo.
  • 58. Transferir el Riesgo CONDICIONES: • Cuando para la organización es difícil reducir o controlar el riesgo a un nivel aceptable. • La alternativa de trasferir el riesgo a una tercera parte es más económica ante estas circunstancias. • Las transferencia del riesgo no elimina el riesgo residual.
  • 59. Reducir el Riesgo CONDICIONES: • Se debe reducir el riesgo al nivel que se haya definido como riesgo aceptable. • Los controles a implementar pueden reducir el riesgo estimado en dos maneras:  Reduciendo la probabilidad de ocurrencia de la amena.  Minimizando el impacto que podría causar si el riesgo logra ocurrir sobre el activo.
  • 60. Evitar el Riesgo GENERALIDADES: • Cualquier acción o control propuesto que permita cambiar el rumbo de las actividades, para así evitar la presencia del riesgo. • El riesgo se puede evitar por medio de: • No continuar desarrollando una actividad en particular. • Trasladar nuestros activos a otro lugar o área segura. • Decidir no procesar cierta información considerada muy sensitiva.
  • 61. Resultados del Análisis de Riesgos • Asignación de valores monetarios a los activos. • Lista de todos los posibles y potenciales amenazas. • Probabilidad de cantidad de ocurrencias por cada amenaza. • Potencial que la organización pueda aguantar en un lapso de 12 meses, frente a la amenaza. • Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.
  • 62. Inventario de Activos • Relación de todos los activos importantes. • Cada activo debe tener un propietario y custodio (responsabilidades definidas) • Los activos se identifican, no se inventan.
  • 63. Seguridad de Redes Ing. Jerdy Sotelo Marticorena

Notas del editor

  1. Conceptos de Seguridad Los conceptos confidencialidad, integridad o disponibilidad son muy comunes en el ámbito de la seguridad y aparecen como fundamentales en toda arquitectura de seguridad de la información, ya sea en el ámbito de la protección de datos, normativa vigente relacionada con la protección de datos de carácter personal, como de códigos de buenas prácticas o recomendaciones sobre gestión de la seguridad de la información y de prestigiosas certificaciones internacionales, éstas últimas, relacionadas con la auditoría de los sistemas de información. Suele referirse al grupo de estas características como CIDAN, nombre sacado de la inicial de cada característica. Por estos motivos es importante tener una idea clara de estos conceptos. Confidencialidad Se trata de la cualidad que debe poseer un documento o archivo para que este solo se entienda de manera comprensible o sea leído por la persona o sistema que este autorizado. De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y solo si puede ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el caso de un mensaje esto evita que exista una intercepción de este y que pueda ser leído por una persona no autorizada. Por ejemplo, si Andrea quiere enviar un mensaje a Bruno y que solo pueda leerlo Bruno, Andrea cifra el mensaje con una clave (simétrica o asimétrica), de tal modo que solo Bruno sepa la manera de descifrarlo, así ambos usuarios están seguros que solo ellos van a poder leer el mensaje. Integridad La integridad es la cualidad que posee un documento o archivo que no ha sido alterado y que además permite comprobar que no se ha producido manipulación alguna en el documento original. Aplicado a las bases de datos seria la correspondencia entre los datos y los hechos que refleja. Teniendo como muestra el ejemplo anterior. Finalmente Bruno compara ambas funciones resumen, que se trata de una función que produce un valor alfanumérico que identifica cualquier cambio que se produzca en el mensaje, y si éstas funciones son iguales, quiere decir que no ha existido manipulación del mensaje
  2. Autenticación La autenticación es la situación en la cual se puede verificar que un documento ha sido elaborado (o pertenece) a quien el documento dice. Aplicado a la verificación de la identidad de un usuario, la autenticación se produce cuando el usuario puede aportar algún modo de que se pueda verificar que dicha persona es quien dice ser, a partir de ese momento se considera un usuario autorizado. Otra manera de definirlo seria, la capacidad de determinar si una determinada lista de personas ha establecido su reconocimiento sobre el contenido de un mensaje. Disponibilidad Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran. No repudio El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación y que permite probar la participación de las partes en una comunicación. La diferencia esencial con la autenticación es que la primera se produce entre las partes que establecen la comunicación y el servicio de no repudio se produce frente a un tercero, de este modo, existirán dos posibilidades: No repudio en origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario No repudio en destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor. Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino).
  3. En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicamente, así si no existe el de mas abajo, no puede aplicarse el superior. De esta manera, la disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticación.
  4. SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001. Dado que la información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización. Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales – fuego, inundaciones, terremotos ... – , vandalismo, etc.) hay que sumarle los riesgos lógicos (virus, ataques de denegación de servicio, etc.). Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir. En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
  5. En el siguiente dibujo se muestra la distribución de dichos dominios y el aspecto de seguridad que cubren:
  6. Categorías principales de riesgos: Daños Físicos. Error Humano. Mal funcionamiento de los equipos. Ataques internos y externos. Mal uso de la información. Errores de aplicaciones.