Este documento describe los aspectos fundamentales de las políticas de seguridad de la información. Explica la estructura piramidal típica de una política de seguridad, con tres niveles de documentos que van de lo más general a lo más específico. También cubre consideraciones clave como el contenido requerido, la participación de departamentos, el ciclo de vida de los documentos y la clasificación de activos.
Este documento presenta las políticas de seguridad informática propuestas por la Dirección de Telemática del CICESE. Estas políticas norman aspectos como la instalación, mantenimiento y actualización del equipo de cómputo, el control de accesos a áreas críticas, equipos y sistemas, así como el uso de la red y el software. El objetivo es proteger los recursos tecnológicos de la institución y garantizar la continuidad del servicio de manera segura.
El documento habla sobre la seguridad informática. Explica que la seguridad informática implica proteger la información de una organización de amenazas internas y externas a través de políticas, procedimientos y tecnologías. También describe los objetivos clave de la seguridad informática como la integridad, confidencialidad, disponibilidad, no repudio y autenticación de la información. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya la concienciación de los usuarios, seguridad lógica, de
El documento habla sobre la historia y conceptos fundamentales de la seguridad de la información. Explica que la seguridad de la información incluye medidas para proteger la confidencialidad, disponibilidad e integridad de la información. También describe los servicios clave de seguridad como la confidencialidad, autenticación, integridad y disponibilidad. Finalmente, discute las amenazas a la seguridad de la información y la importancia de implementar políticas de seguridad efectivas.
El documento habla sobre la seguridad informática. Explica que la seguridad informática busca proteger la información de una organización de amenazas externas e internas a través de medidas técnicas y de políticas de seguridad. También describe los objetivos principales de la seguridad informática como la integridad, confidencialidad, disponibilidad, no repudio y autenticación de la información. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya la seguridad lógica, de telecomunicaciones y fís
El documento describe los principales componentes de un modelo de seguridad de la información basado en el estándar ISO 17799. Este modelo incluye políticas de seguridad, clasificación y control de activos, seguridad del personal, seguridad física y ambiental, administración de operaciones y comunicaciones, control de acceso, desarrollo y mantenimiento de sistemas, planes de contingencia y cumplimiento. El estándar ISO 17799 define diez aspectos clave de la seguridad de la información que cualquier modelo efectivo debe abordar.
Este documento habla sobre la importancia de las políticas de seguridad en las empresas y describe los conceptos básicos involucrados en su creación e implementación. Explica que una política de seguridad establece directrices, normas y procedimientos para guiar las acciones relacionadas con la seguridad de la información. También identifica las áreas tecnológicas y humanas que deben cubrirse en una política de seguridad efectiva.
Este documento discute la importancia de analizar la cultura organizacional al implementar un sistema de gestión de seguridad de la información. Explica que la cultura existente puede presentar fortalezas o debilidades que deben considerarse para determinar la estrategia de seguridad más adecuada. También recomienda involucrar a los miembros de la organización como colaboradores activos debido a que el factor humano es crítico para la seguridad.
El documento habla sobre la política de seguridad informática. Explica que la seguridad informática se enfoca en proteger la infraestructura tecnológica y la información de una organización. Los objetivos principales de la seguridad informática son garantizar la integridad, confidencialidad, disponibilidad y autenticación de los datos e impedir el rechazo de operaciones. También describe los tipos de amenazas como internas y externas y cómo implementar una política de seguridad efectiva.
Este documento presenta las políticas de seguridad informática propuestas por la Dirección de Telemática del CICESE. Estas políticas norman aspectos como la instalación, mantenimiento y actualización del equipo de cómputo, el control de accesos a áreas críticas, equipos y sistemas, así como el uso de la red y el software. El objetivo es proteger los recursos tecnológicos de la institución y garantizar la continuidad del servicio de manera segura.
El documento habla sobre la seguridad informática. Explica que la seguridad informática implica proteger la información de una organización de amenazas internas y externas a través de políticas, procedimientos y tecnologías. También describe los objetivos clave de la seguridad informática como la integridad, confidencialidad, disponibilidad, no repudio y autenticación de la información. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya la concienciación de los usuarios, seguridad lógica, de
El documento habla sobre la historia y conceptos fundamentales de la seguridad de la información. Explica que la seguridad de la información incluye medidas para proteger la confidencialidad, disponibilidad e integridad de la información. También describe los servicios clave de seguridad como la confidencialidad, autenticación, integridad y disponibilidad. Finalmente, discute las amenazas a la seguridad de la información y la importancia de implementar políticas de seguridad efectivas.
El documento habla sobre la seguridad informática. Explica que la seguridad informática busca proteger la información de una organización de amenazas externas e internas a través de medidas técnicas y de políticas de seguridad. También describe los objetivos principales de la seguridad informática como la integridad, confidencialidad, disponibilidad, no repudio y autenticación de la información. Finalmente, enfatiza la necesidad de un enfoque global de seguridad que incluya la seguridad lógica, de telecomunicaciones y fís
El documento describe los principales componentes de un modelo de seguridad de la información basado en el estándar ISO 17799. Este modelo incluye políticas de seguridad, clasificación y control de activos, seguridad del personal, seguridad física y ambiental, administración de operaciones y comunicaciones, control de acceso, desarrollo y mantenimiento de sistemas, planes de contingencia y cumplimiento. El estándar ISO 17799 define diez aspectos clave de la seguridad de la información que cualquier modelo efectivo debe abordar.
Este documento habla sobre la importancia de las políticas de seguridad en las empresas y describe los conceptos básicos involucrados en su creación e implementación. Explica que una política de seguridad establece directrices, normas y procedimientos para guiar las acciones relacionadas con la seguridad de la información. También identifica las áreas tecnológicas y humanas que deben cubrirse en una política de seguridad efectiva.
Este documento discute la importancia de analizar la cultura organizacional al implementar un sistema de gestión de seguridad de la información. Explica que la cultura existente puede presentar fortalezas o debilidades que deben considerarse para determinar la estrategia de seguridad más adecuada. También recomienda involucrar a los miembros de la organización como colaboradores activos debido a que el factor humano es crítico para la seguridad.
El documento habla sobre la política de seguridad informática. Explica que la seguridad informática se enfoca en proteger la infraestructura tecnológica y la información de una organización. Los objetivos principales de la seguridad informática son garantizar la integridad, confidencialidad, disponibilidad y autenticación de los datos e impedir el rechazo de operaciones. También describe los tipos de amenazas como internas y externas y cómo implementar una política de seguridad efectiva.
Este documento trata sobre la seguridad de la información. Explica conceptos clave como confidencialidad, integridad y disponibilidad de la información. También describe diferentes sistemas de seguridad de la información como ISO, COBIT e ISACA. Finalmente, identifica varias amenazas emergentes a la seguridad de la información como el uso de agentes de control de acceso en la nube y la detección de amenazas en puntos finales a través de soluciones de respuesta.
El documento habla sobre la gestión de seguridad de redes. Explica que los hackers constantemente desarrollan nuevas técnicas para evadir sistemas de protección, por lo que es importante estar un paso adelante. Describe funciones de supervisión y control de redes, así como riesgos comunes como ataques de denegación de servicio, robo de paquetes y suplantación de IP. También recomienda herramientas como firewalls y sistemas de detección de intrusos para proteger redes, así como sugerencias como monit
Este documento describe los diferentes aspectos de la seguridad física y lógica en un centro de datos. Explica los mecanismos de seguridad básicos como sistemas biométricos, cámaras y sistemas de detección de incendios. También cubre temas como la importancia de la ubicación, los criterios de acceso al centro de datos, y los métodos para aumentar la confiabilidad combinando diferentes niveles de seguridad. Finalmente, analiza conceptos como la seguridad lógica, los controles de acceso
Este documento trata sobre tres tipos de seguridad informática: física, lógica y de la información. La seguridad física implica proteger los recursos a través de barreras y controles de acceso. La seguridad lógica se refiere a restringir el acceso a los datos y sistemas solo a usuarios autorizados. La seguridad de la información busca proteger la información contenida, la infraestructura y los usuarios.
Este documento trata sobre la seguridad de la información. Explica que la seguridad de la información incluye medidas para proteger la confidencialidad, disponibilidad e integridad de los datos a través de sistemas tecnológicos y organizacionales. También describe que la seguridad de la información ha crecido considerablemente desde la Segunda Guerra Mundial y ofrece muchas áreas de especialización. Finalmente, resume que la seguridad de la información busca asegurar que solo las personas autorizadas puedan acceder y modificar la información de una
Este documento describe las políticas de seguridad informática y sus elementos clave. Explica que una política de seguridad es una declaración de intenciones que establece las responsabilidades para proteger los sistemas informáticos. Detalla los elementos que debe incluir una política como su alcance, objetivos, responsabilidades de los usuarios y consecuencias por violaciones. Además, proporciona recomendaciones para establecer políticas de seguridad como realizar análisis de riesgos, involucrar a las áreas afectadas y comunicar los beneficios y
Este documento habla sobre la seguridad lógica y los controles de acceso para proteger la información en sistemas computarizados. Explica que la seguridad lógica consiste en aplicar barreras y procedimientos para restringir el acceso a los datos solo a personas autorizadas. También describe la importancia de la identificación y autenticación de usuarios, y los estándares para administrar los permisos de acceso de forma segura.
Este documento describe la importancia de las políticas de seguridad de la información para proteger los activos de una organización. Explica que las políticas deben definir la postura de la gerencia sobre la seguridad, establecer las responsabilidades de los empleados y regular el uso apropiado de los recursos. También debe contener políticas específicas, procedimientos, estándares y una estructura organizacional para implementar controles que prevengan, detecten y recuperen de amenazas a la seguridad.
Este documento presenta una introducción a los conceptos de seguridad en sistemas operativos. Explica qué es la seguridad informática, los sistemas operativos, el software libre y sus licencias principales. Luego define conceptos clave como amenazas, niveles de seguridad, respaldos, virus y métodos de protección. Finalmente, describe los principios de confidencialidad, integridad y disponibilidad, así como amenazas comunes y métodos de defensa como criptografía.
El documento habla sobre las políticas de seguridad informática de una institución educativa. Explica que la seguridad total es muy costosa, por lo que las empresas deben equilibrar la protección con mantener el negocio. También describe que la seguridad informática busca proteger la infraestructura tecnológica y la información mediante estándares y leyes, para prevenir el acceso y uso indebidos. Finalmente, resalta que la seguridad informática es crucial para el funcionamiento de una organización y el acceso oportuno a la información.
La seguridad lógica se refiere a proteger los datos y sistemas informáticos mediante el control del acceso de usuarios autorizados y no autorizados. Incluye identificar a cada usuario, controlar la información generada y salvaguardar la integridad, disponibilidad y confidencialidad de la información almacenada.
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
Este documento presenta información sobre políticas de seguridad. Explica que una política de seguridad es un conjunto de directrices que guía las acciones de seguridad de una organización. Detalla las 11 etapas del ciclo de vida de una política de seguridad y los pasos para elaborarla, como integrar un comité, definir el documento y hacerlo oficial. También describe los elementos clave de una política como las directrices, normas, procedimientos e instrucciones de trabajo.
La seguridad de la información incluye medidas para proteger la información mediante el mantenimiento de su confidencialidad, integridad y disponibilidad. Esto se logra mediante medidas técnicas como cortafuegos, cifrado y autenticación, así como mediante estándares, certificaciones y la gestión de riesgos.
Este documento describe la necesidad de seguridad en las redes de computadoras y las políticas y tecnologías de seguridad comunes. Explica que las empresas deben implementar políticas de seguridad basadas en una evaluación de riesgos para proteger la información. También describe firewalls, sistemas de autenticación y encriptación como tecnologías clave de seguridad que filtran el tráfico de datos y verifican la identidad de los usuarios y servidores.
El documento habla sobre las políticas de seguridad informática. Explica que las políticas establecen las expectativas de una organización con respecto a la seguridad de la información y los recursos tecnológicos. También describen los elementos clave que deben incluirse como el alcance, los objetivos, las responsabilidades y las consecuencias por violaciones. Finalmente, señala que es importante identificar los activos valiosos, las amenazas potenciales y los riesgos asociados para desarrollar una política de seguridad efectiva.
Este documento presenta información sobre seguridad de la información. Define conceptos clave como confidencialidad, integridad y disponibilidad. Explica los tipos de seguridad como física, técnica y de sistemas. También describe estándares y marcos como ISO, COBIT, ISACA. Finalmente, analiza tendencias tecnológicas emergentes y amenazas a la seguridad de la información.
Este documento trata sobre la seguridad física y lógica. Explica que la seguridad física implica proteger el equipo de amenazas externas como acceso no autorizado, desastres naturales o alteraciones ambientales. La seguridad lógica se refiere a la configuración del sistema para evitar el acceso no autorizado a recursos y datos. Luego, detalla medidas como control de acceso, copias de seguridad y cifrado para proteger la información a nivel físico y lógico.
Es un programa informático que realiza tareas de forma autónoma,
generalmente para asistir al usuario.
Auditoría: Es el examen metódico de los registros, actividades o entorno de una
persona o empresa con el fin de verificar el cumplimiento de normas y
procedimientos, la exactitud de los datos contenidos en los registros y la
eficacia del sistema de control interno.
Backup: Es la copia de seguridad de la información almacenada en un dispositivo
de almacenamiento, con el fin de poder recuperarla en caso de pérdida o
SGSI Tracking es una plataforma de gestión integral de la seguridad de la información que consta de cinco módulos principales: control de inventario, base de datos de configuración, monitorización, registro de seguridad y gestión de incidencias y alertas. La plataforma permite controlar y automatizar diversos aspectos clave de la seguridad de la información de una empresa de forma centralizada.
Disponible, Controlado, Protegido y Flexible (2006)Gabriel Marcos
El documento presenta las claves para gestionar un sistema de seguridad que sea disponible, controlado, protegido y flexible. Explica que la seguridad debe entenderse de forma amplia, abarcando todos los aspectos desde las redes hasta los procesos y usuarios. También debe ser dinámico para responder a cambios. Luego, detalla preguntas clave relacionadas a cada uno de estos atributos y por qué son importantes para lograr un sistema de seguridad efectivo.
La ISO 27001 es un estándar internacional para la implementación de un sistema de gestión de seguridad de la información que permite a una organización evaluar riesgos e implementar controles para proteger la confidencialidad, integridad y disponibilidad de la información. La certificación ISO 27001 cubre aspectos como política de seguridad, gestión de activos, seguridad física y del personal, gestión de incidentes y conformidad.
Este documento discute la importancia de analizar la cultura organizacional al implementar un sistema de gestión de seguridad de la información. Explica que la cultura existente puede presentar fortalezas o debilidades que deben considerarse para determinar la estrategia de seguridad más adecuada. También recomienda involucrar a los miembros de la organización como colaboradores activos debido a que el factor humano es crítico para la seguridad.
Este documento trata sobre la seguridad de la información. Explica conceptos clave como confidencialidad, integridad y disponibilidad de la información. También describe diferentes sistemas de seguridad de la información como ISO, COBIT e ISACA. Finalmente, identifica varias amenazas emergentes a la seguridad de la información como el uso de agentes de control de acceso en la nube y la detección de amenazas en puntos finales a través de soluciones de respuesta.
El documento habla sobre la gestión de seguridad de redes. Explica que los hackers constantemente desarrollan nuevas técnicas para evadir sistemas de protección, por lo que es importante estar un paso adelante. Describe funciones de supervisión y control de redes, así como riesgos comunes como ataques de denegación de servicio, robo de paquetes y suplantación de IP. También recomienda herramientas como firewalls y sistemas de detección de intrusos para proteger redes, así como sugerencias como monit
Este documento describe los diferentes aspectos de la seguridad física y lógica en un centro de datos. Explica los mecanismos de seguridad básicos como sistemas biométricos, cámaras y sistemas de detección de incendios. También cubre temas como la importancia de la ubicación, los criterios de acceso al centro de datos, y los métodos para aumentar la confiabilidad combinando diferentes niveles de seguridad. Finalmente, analiza conceptos como la seguridad lógica, los controles de acceso
Este documento trata sobre tres tipos de seguridad informática: física, lógica y de la información. La seguridad física implica proteger los recursos a través de barreras y controles de acceso. La seguridad lógica se refiere a restringir el acceso a los datos y sistemas solo a usuarios autorizados. La seguridad de la información busca proteger la información contenida, la infraestructura y los usuarios.
Este documento trata sobre la seguridad de la información. Explica que la seguridad de la información incluye medidas para proteger la confidencialidad, disponibilidad e integridad de los datos a través de sistemas tecnológicos y organizacionales. También describe que la seguridad de la información ha crecido considerablemente desde la Segunda Guerra Mundial y ofrece muchas áreas de especialización. Finalmente, resume que la seguridad de la información busca asegurar que solo las personas autorizadas puedan acceder y modificar la información de una
Este documento describe las políticas de seguridad informática y sus elementos clave. Explica que una política de seguridad es una declaración de intenciones que establece las responsabilidades para proteger los sistemas informáticos. Detalla los elementos que debe incluir una política como su alcance, objetivos, responsabilidades de los usuarios y consecuencias por violaciones. Además, proporciona recomendaciones para establecer políticas de seguridad como realizar análisis de riesgos, involucrar a las áreas afectadas y comunicar los beneficios y
Este documento habla sobre la seguridad lógica y los controles de acceso para proteger la información en sistemas computarizados. Explica que la seguridad lógica consiste en aplicar barreras y procedimientos para restringir el acceso a los datos solo a personas autorizadas. También describe la importancia de la identificación y autenticación de usuarios, y los estándares para administrar los permisos de acceso de forma segura.
Este documento describe la importancia de las políticas de seguridad de la información para proteger los activos de una organización. Explica que las políticas deben definir la postura de la gerencia sobre la seguridad, establecer las responsabilidades de los empleados y regular el uso apropiado de los recursos. También debe contener políticas específicas, procedimientos, estándares y una estructura organizacional para implementar controles que prevengan, detecten y recuperen de amenazas a la seguridad.
Este documento presenta una introducción a los conceptos de seguridad en sistemas operativos. Explica qué es la seguridad informática, los sistemas operativos, el software libre y sus licencias principales. Luego define conceptos clave como amenazas, niveles de seguridad, respaldos, virus y métodos de protección. Finalmente, describe los principios de confidencialidad, integridad y disponibilidad, así como amenazas comunes y métodos de defensa como criptografía.
El documento habla sobre las políticas de seguridad informática de una institución educativa. Explica que la seguridad total es muy costosa, por lo que las empresas deben equilibrar la protección con mantener el negocio. También describe que la seguridad informática busca proteger la infraestructura tecnológica y la información mediante estándares y leyes, para prevenir el acceso y uso indebidos. Finalmente, resalta que la seguridad informática es crucial para el funcionamiento de una organización y el acceso oportuno a la información.
La seguridad lógica se refiere a proteger los datos y sistemas informáticos mediante el control del acceso de usuarios autorizados y no autorizados. Incluye identificar a cada usuario, controlar la información generada y salvaguardar la integridad, disponibilidad y confidencialidad de la información almacenada.
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
Este documento presenta información sobre políticas de seguridad. Explica que una política de seguridad es un conjunto de directrices que guía las acciones de seguridad de una organización. Detalla las 11 etapas del ciclo de vida de una política de seguridad y los pasos para elaborarla, como integrar un comité, definir el documento y hacerlo oficial. También describe los elementos clave de una política como las directrices, normas, procedimientos e instrucciones de trabajo.
La seguridad de la información incluye medidas para proteger la información mediante el mantenimiento de su confidencialidad, integridad y disponibilidad. Esto se logra mediante medidas técnicas como cortafuegos, cifrado y autenticación, así como mediante estándares, certificaciones y la gestión de riesgos.
Este documento describe la necesidad de seguridad en las redes de computadoras y las políticas y tecnologías de seguridad comunes. Explica que las empresas deben implementar políticas de seguridad basadas en una evaluación de riesgos para proteger la información. También describe firewalls, sistemas de autenticación y encriptación como tecnologías clave de seguridad que filtran el tráfico de datos y verifican la identidad de los usuarios y servidores.
El documento habla sobre las políticas de seguridad informática. Explica que las políticas establecen las expectativas de una organización con respecto a la seguridad de la información y los recursos tecnológicos. También describen los elementos clave que deben incluirse como el alcance, los objetivos, las responsabilidades y las consecuencias por violaciones. Finalmente, señala que es importante identificar los activos valiosos, las amenazas potenciales y los riesgos asociados para desarrollar una política de seguridad efectiva.
Este documento presenta información sobre seguridad de la información. Define conceptos clave como confidencialidad, integridad y disponibilidad. Explica los tipos de seguridad como física, técnica y de sistemas. También describe estándares y marcos como ISO, COBIT, ISACA. Finalmente, analiza tendencias tecnológicas emergentes y amenazas a la seguridad de la información.
Este documento trata sobre la seguridad física y lógica. Explica que la seguridad física implica proteger el equipo de amenazas externas como acceso no autorizado, desastres naturales o alteraciones ambientales. La seguridad lógica se refiere a la configuración del sistema para evitar el acceso no autorizado a recursos y datos. Luego, detalla medidas como control de acceso, copias de seguridad y cifrado para proteger la información a nivel físico y lógico.
Es un programa informático que realiza tareas de forma autónoma,
generalmente para asistir al usuario.
Auditoría: Es el examen metódico de los registros, actividades o entorno de una
persona o empresa con el fin de verificar el cumplimiento de normas y
procedimientos, la exactitud de los datos contenidos en los registros y la
eficacia del sistema de control interno.
Backup: Es la copia de seguridad de la información almacenada en un dispositivo
de almacenamiento, con el fin de poder recuperarla en caso de pérdida o
SGSI Tracking es una plataforma de gestión integral de la seguridad de la información que consta de cinco módulos principales: control de inventario, base de datos de configuración, monitorización, registro de seguridad y gestión de incidencias y alertas. La plataforma permite controlar y automatizar diversos aspectos clave de la seguridad de la información de una empresa de forma centralizada.
Disponible, Controlado, Protegido y Flexible (2006)Gabriel Marcos
El documento presenta las claves para gestionar un sistema de seguridad que sea disponible, controlado, protegido y flexible. Explica que la seguridad debe entenderse de forma amplia, abarcando todos los aspectos desde las redes hasta los procesos y usuarios. También debe ser dinámico para responder a cambios. Luego, detalla preguntas clave relacionadas a cada uno de estos atributos y por qué son importantes para lograr un sistema de seguridad efectivo.
La ISO 27001 es un estándar internacional para la implementación de un sistema de gestión de seguridad de la información que permite a una organización evaluar riesgos e implementar controles para proteger la confidencialidad, integridad y disponibilidad de la información. La certificación ISO 27001 cubre aspectos como política de seguridad, gestión de activos, seguridad física y del personal, gestión de incidentes y conformidad.
Este documento discute la importancia de analizar la cultura organizacional al implementar un sistema de gestión de seguridad de la información. Explica que la cultura existente puede presentar fortalezas o debilidades que deben considerarse para determinar la estrategia de seguridad más adecuada. También recomienda involucrar a los miembros de la organización como colaboradores activos debido a que el factor humano es crítico para la seguridad.
El documento presenta una visión general de la seguridad de la información de IBM, incluyendo los retos actuales y una propuesta de soluciones integrales. Propone un marco de seguridad flexible que identifica los requerimientos del cliente y automatiza tareas como la gestión de usuarios y el monitoreo en tiempo real, cumpliendo con los requerimientos del cliente y las mejores prácticas de la industria.
El documento define varios conceptos clave relacionados con la seguridad de la información como planes de seguridad, buenas prácticas, modelos como ITIL y COBIT, y estándares como ISO 27000. También describe amenazas a la seguridad de la información y la política de acceso físico y lógico a equipos en el plantel CONALEP "Dr. Guillermo Figueroa Cárdenas".
Este documento introduce conceptos básicos de seguridad en redes informáticas, incluyendo la importancia de la seguridad de la información para las organizaciones, los componentes clave de una red segura como firewalls y antivirus, y los principales tipos de ataques a la información. También describe servicios de seguridad como la confidencialidad, autenticación e integridad, y técnicas criptográficas como el acuerdo de claves y la firma electrónica que ayudan a proteger la información.
Este documento trata sobre la seguridad informática. Explica brevemente qué es la seguridad informática, contra qué nos debemos proteger y algunos estándares y normas internacionales como la BS 7799, ISO 17799 e ISO/IEC 27001. También menciona la relación entre la auditoría informática y la seguridad informática, así como las certificaciones que puede obtenerse a través de ISACA.
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
Este documento presenta un curso introductorio de 4 sesiones sobre fundamentos de seguridad OT. Explica los contenidos y módulos del curso, incluyendo introducciones a ciberseguridad OT, arquitectura de seguridad ICS, estrategias de implementación y recuperación ante desastres. También describe los requisitos para aprobar el curso y obtener la certificación. El instructor, Alex Orellana Rivera, tiene más de 15 años de experiencia en diferentes roles de TI y seguridad de la información.
Este documento describe los conceptos fundamentales de la defensa en profundidad para la ciberseguridad. Explica que la defensa en profundidad implica identificar los activos, vulnerabilidades y amenazas de una red, y luego implementar múltiples capas de seguridad. También compara los enfoques de "cebolla" y "alcachofa" para la seguridad, y describe varias políticas y controles de seguridad como la autenticación, autorización y auditoría.
Este documento describe los roles y responsabilidades clave para la seguridad de la información en una organización. Explica que el líder de seguridad de la información supervisa la seguridad a nivel de empresa, mientras que los responsables de seguridad de la información se encargan de la seguridad a nivel de sector. También destaca la importancia de que los propietarios de la información la clasifiquen y los usuarios clave apliquen las medidas de seguridad correspondientes. Además, enfatiza que los objetivos de control de la norma ISO 27
Este documento describe los elementos clave de una política de seguridad para una organización. Explica que una política de seguridad es un conjunto de documentos que detallan los riesgos y medidas para protegerse, así como los pasos a seguir en caso de incidentes. También destaca la necesidad de una política de seguridad para proteger la confidencialidad, integridad y disponibilidad de la información de una organización. Además, enumera varias subpolíticas comunes como el uso de recursos, cuentas de usuario y protección de información.
Estas diapositivas han sido creadas para el módulo Seguridad y Alta Disponibilidad de 2º curso del Ciclo Formativo Administración de Sistemas Informáticos y Redes y tratan el primer tema de introducción a la seguridad informática.
Este documento presenta un informe sobre el sistema de información administrativa realizado por un grupo de estudiantes de la Universidad Austral de Chile para su curso de auditoría. Define la auditoría informática y explica lo que abarca. Detalla quiénes pueden realizar auditorías informáticas y menciona algunos softwares de auditoría. Explica los servicios de auditoría informática que ofrecen las cuatro grandes firmas de consultoría y define la seguridad informática y sus alcances. Finalmente, enumera los estándares internacionales para auditar sistemas de información.
El documento describe varios estándares ISO relacionados con sistemas informáticos y de calidad. Explica que la ISO es una organización internacional que establece normas para facilitar el comercio global. Luego describe varios estándares ISO clave como ISO 9000 para sistemas de gestión de calidad, ISO 9126 para atributos de calidad de software, ISO 17799 para seguridad de la información, e ISO 27000 para sistemas de gestión de seguridad de la información.
Este documento presenta un análisis técnico de seguridad. Explica que este análisis identifica vulnerabilidades evaluando cómo los activos de una empresa están configurados, estructurados en la red y administrados. Luego describe los pasos para analizar técnicamente diferentes tipos de activos como estaciones de trabajo, servidores, equipos de conectividad, conexiones, bases de datos y aplicaciones. Finalmente, proporciona ejemplos para ilustrar este proceso de análisis.
Este documento presenta una introducción a los estándares de seguridad informática y la norma ISO/IEC 27001. Explica brevemente las estadísticas sobre incidentes de seguridad, herramientas y responsabilidades comunes. Luego, describe los componentes clave de ISO/IEC 27001, incluida su estructura, enfoque basado en riesgos, requisitos de documentación y roles de la gerencia. El objetivo final es ayudar a las organizaciones a comprender mejor cómo implementar un sistema de gestión de seguridad de la información efectivo
Este documento describe los pasos para implementar el estándar ISO 27001:2005 para la gestión de la seguridad de la información. Explica la historia y los requisitos del estándar, así como una metodología detallada para su implantación que incluye definir el alcance, evaluar riesgos, desarrollar competencias, redactar políticas y procedimientos, y obtener la certificación. También incluye un caso práctico de su aplicación en una institución financiera.
Este documento presenta información sobre la seguridad en OpenSolaris. Cubre temas como la minimización y el bastionado del sistema, los controles de acceso a archivos, los perfiles y roles de privilegios, los filtros de red y firewalls, la virtualización con zonas y contenedores, y las herramientas de auditoría.
Este documento presenta una introducción a la seguridad en entornos web de código abierto. Explica conceptos clave como arquitecturas web bicapa y multicapa, autenticación básica mediante servicios de directorio LDAP, autenticación con control de acceso utilizando servicios SSO como Sibboleth y CAS, y autenticación fuerte a través de infraestructuras PKI implementadas con soluciones de código abierto como OpenCA y EJBCA. Además, proporciona detalles técnicos sobre estas soluciones de autentic
El documento presenta el Proyecto Honeynet Español. Explica brevemente qué son los honeynets, el Proyecto Honeynet original y sus objetivos. Luego describe el Proyecto Honeynet Español, incluyendo sus miembros, recursos y proyectos futuros como expandir el uso de honeynets para áreas como el spam y las redes Wi-Fi.
El documento resume los mecanismos de seguridad de Bluetooth como salto de frecuencias, emparejamiento, autenticación y autorización, y explica cómo estos pueden ser vulnerados mediante técnicas como sniffing, PIN cracking y BD_ADDR spoofing. También describe vectores de ataque como la vulnerabilidad de Directory Traversal en HTC que permite el acceso no autorizado a archivos.
The document discusses security risks in SAP systems and how cryptographic solutions can address them. It describes how technologies like secure single sign-on (SSO), encryption of data communications through Secure Network Communication (SNC), and digital signatures of documents through SAP's Secure Signature Framework (SSF) can authenticate users, encrypt data transmissions, and digitally sign files. The presentation provides examples of how these cryptographic methods have been implemented for SAP systems to facilitate secure access, communications, and document signing.
El documento discute las definiciones comunes de seguridad de la información y sus limitaciones. Explora cinco puntos de vista diferentes (militar, seguros, académico, tecnologías de la información y legislativo) y cuatro ámbitos (información abstracta, sistemas de información, redes e internet, y organizaciones). También analiza cuatro definiciones populares de seguridad y los desafíos en definirla debido a la complejidad de los sistemas de información.
The document announces the FIST Conference to be held in Madrid, Spain in February and March 2009. It provides the conference website and notes that the conference is supported by Creative Commons under an Attribution-NoDerivs license, which allows copying and sharing of the work while requiring attribution and prohibiting derivatives. The conference will feature speaker David Carrasco in late February or early March 2009.
Este documento describe los principios básicos de la informática forense, incluyendo la definición, ámbito de actuación, objetivos del proceso, principios, normas fundamentales, evidencias digitales y su validez jurídica. Explica que la informática forense se encarga de investigar sistemas informáticos para hechos con relevancia jurídica y desarrolla técnicas para ubicar, reproducir y analizar evidencias digitales con fines legales. También cubre temas como la importancia de preservar la evidencia original, establecer
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
Este documento resume la evolución y vulnerabilidades de la seguridad en redes Wi-Fi. Explica las vulnerabilidades iniciales en los estándares 802.11 y WEP, como los ataques de Fluhrer-Mantin-Shamir y Airbugh. También describe herramientas para realizar ataques prácticos como Airjack y BSD-Airtools. Finalmente, resume los sistemas posteriores como 802.1x, WPA y 802.11i que intentaron mejorar la seguridad.
Este documento resume una presentación sobre el Information Security Forum (ISF). El ISF es una asociación internacional de más de 300 organizaciones que se dedica a resolver problemas clave relacionados con la gestión de riesgos de la información. El ISF desarrolla herramientas y servicios prácticos orientados al negocio, como encuestas de situación, un estándar de mejores prácticas y una extranet segura para sus miembros. La presentación describe los productos y servicios del ISF, incluidos sus programas de trabajo, encuestas y está
El documento describe la criptografía cuántica y el protocolo BB84 para distribución cuántica de claves. Explica cómo los ordenadores cuánticos podrían romper los sistemas criptográficos actuales y cómo la distribución cuántica de claves utiliza los principios de la mecánica cuántica como la superposición y el enredo para generar claves criptográficas de forma segura.
Este documento trata sobre la seguridad en redes WiFi. Explica que el cifrado WEP y WPA son vulnerables a ataques, mientras que WPA2 es más seguro. Recomienda usar WPA2 o WPA con contraseñas largas y complejas, y también implementar autenticación 802.1X/EAP. Finalmente, proporciona consejos sobre defensa en profundidad y contramedidas para mejorar la seguridad de las redes WiFi.
El documento trata sobre la importancia de la concienciación en seguridad de la información. Explica que es necesario informar, formar y motivar a los empleados sobre buenas prácticas, cumplimiento de políticas y peligros. También destaca la necesidad de gestionar la responsabilidad, medir el comportamiento y aplicar el principio de necesidad de conocer, separación de funciones y supervisión.
This document provides a summary of a presentation on security management metrics. It discusses defining metrics that can be quantitatively measured and interpreted over time. Good metrics are specific, measurable, actionable, relevant, and timely. The presentation provides examples of different types of metrics like activity, scope, availability, and efficiency. It also discusses using metrics to assess security management capability levels from undefined to optimized. Metrics should be specified and can be represented visually over time. The goal of metrics is to support informed security management decisions.
The document summarizes Raúl Guerra Jiménez's presentation on PKI interoperability at the FIST Conference in September 2005 in Madrid. It discusses the basics of public key infrastructure (PKI) including concepts like digital certificates, certification authorities, cross-certification, and certificate revocation. It also provides examples of PKI applications in areas like internet security, remote access, virtual private networks, and securing intranets and applications.
WiFiSlax es una distribución Linux live CD orientada a la auditoría de seguridad inalámbrica. Incluye herramientas como Kismet, aircrack y aircrack-ng para auditoría WiFi, así como herramientas Bluetooth como BlueZ y aplicaciones para ataques como Bluebug y Bluesnarf. El objetivo es facilitar el uso de Linux para seguridad inalámbrica y concienciar sobre los riesgos de WEP y otras redes inseguras.
The document summarizes a presentation on network forensics and lessons learned from the July 2007 London attacks. The presentation covered early adoption of firewalls and DMZs, intrusion prevention systems, the use of fingerprints and DNA in forensics, the 2004 Madrid train bombings and 2005 London bombings. It discussed the police investigation into the London attacks including identifying suspects from CCTV footage and a practice run captured on video. The presentation proposed the use of network monitoring tools as a forensic technique and discussed challenges of detecting slow scan attacks and those using random ports or covert channels.
1) El documento habla sobre los riesgos y vulnerabilidades en el desarrollo web y ofrece soluciones en PHP. 2) Recomienda definir condiciones de ejecución seguras para las bases de datos, controlar el acceso al código y procesar los datos de entrada. 3) Explica formas de mejorar la seguridad del servidor web, lenguaje de programación y sistema gestor de bases de datos.
The document introduces the Security Maturity Model (SMM) which describes an organization's security maturity based on factors such as security responsibilities, organization, practices, policies, access control, audits, and security investment management. It outlines 5 levels of security maturity for organizations from initial/ad hoc (Level 1) to optimum/embedded (Level 5). Levels 3-5 involve defined, managed, and quantitative security practices and responsibilities. The SMM also describes a Security Norms Framework for developing flexible and domain-specific security policies, norms, standards and procedures.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo Buzones BTV Amado Salvador Distribuidor Oficial ValenciaAMADO SALVADOR
Descubra el catálogo completo de buzones BTV, una marca líder en la fabricación de buzones y cajas fuertes para los sectores de ferretería, bricolaje y seguridad. Como distribuidor oficial de BTV, Amado Salvador se enorgullece de presentar esta amplia selección de productos diseñados para satisfacer las necesidades de seguridad y funcionalidad en cualquier entorno.
Descubra una variedad de buzones residenciales, comerciales y corporativos, cada uno construido con los más altos estándares de calidad y durabilidad. Desde modelos clásicos hasta diseños modernos, los buzones BTV ofrecen una combinación perfecta de estilo y resistencia, garantizando la protección de su correspondencia en todo momento.
Amado Salvador, se compromete a ofrecer productos de primera clase respaldados por un servicio excepcional al cliente. Como distribuidor oficial de BTV, entendemos la importancia de la seguridad y la tranquilidad para nuestros clientes. Por eso, trabajamos en colaboración con BTV para brindarle acceso a los mejores productos del mercado.
Explore el catálogo de buzones ahora y encuentre la solución perfecta para sus necesidades de correo y seguridad. Confíe en Amado Salvador y BTV para proporcionarle buzones de calidad excepcional que cumplan y superen sus expectativas.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Gabinete, puertos y dispositivos que se conectan al case
Políticas de Seguridad
1. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Introdución
Estructura de la Política
Contenido de la Política
Consideraciones adicionales
Evaluación de cumplimiento
SANS Policy Project
Ejemplo
2. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Introducción
La complejidad de las organizaciones y la dificultad para gestionar la
infraestructura IT ha revelado la necesidad de establecer y uniformar
requerimientos mínimos para el gobierno de dicha infraestructura.
El cumplimiento de dichos requerimientos asegura la consecución de un
nivel de riesgo aceptable en la organización.
La Política de Seguridad de la organización especifica los requerimientos
que deben satisfacerse para proteger los activos de información.
La Política de Seguridad se traslada a una colección de documentos que
abordan diferentes temas con diferente nivel de detalle (estructura).
Los documentos se actualizan periódicamente, a medida que ocurren
cambios significativos en la organización.
3. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Introducción
Para entender por qué es necesaria una Política de Seguridad, se pueden
plantear las siguientes preguntas:
¿Qué medidas de seguridad existen actualmente en los servidores?
¿Es suficiente la configuración establecida para el antivirus?
¿Quién concede los accesos a los usuarios en los diferentes entornos?
¿Quién revoca dichos accesos cuando dejan de ser necesarios?
¿Cómo se protege la confidencialidad de la información en tránsito?
¿Cómo se gestionan los incidentes de seguridad?
¿Cómo se garantiza la seguridad de las relaciones con teceros?
¿Cómo se previene la fuga de información por parte de usuarios finales?
4. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Introducción
Las siguientes son situaciones clásicas en las organizaciones con una
dependencia tecnológica notable:
No se revocan los accesos de usuarios que ya no pertenecen a la
organización o que han cambiado de departamento.
Hay sistemas con contraseñas por defecto, en blanco o que no cumplen
los requerimientos mínimos de complejidad.
Los incidentes de seguridad se gestionan ad-hoc, involucrando a las
personas que se consideran más apropiadas en cada caso.
No se monitorizan los logs de los sistemas, por lo que muchos incidentes
de seguridad pasan completamente desapercibidos.
Las aplicaciones propietarias se desarrollan sin tener en cuenta la
seguridad, en ocasiones por parte de terceros.
5. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Estructura de la Política
La organización clásica es piramidal en tres niveles, cada uno de los
cuales presenta un formato y un nivel de detalle diferentes.
6. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Estructura de la Política
El primer nivel se compone de una declaración formal del compromiso de
la organización con la protección de los activos de información.
En este documento se señala el alcance y los objetivos de seguridad que
se pretenden lograr con la implantación de la política.
Es elaborado por la Alta Dirección y distribuida a todos los estratos de la
compañía, a través de comunicaciones oficiales.
No se incluye ningún detalle acerca de la forma de alcanzar los objetivos o
el planteamiento concreto de los controles de seguridad.
7. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Estructura de la Política
En el segundo nivel se incluyen documentos que describen
requerimientos generales en relación con cada una de las áreas o
componentes del IT de la organización.
Dichos requerimientos particularizan y articulan los objetivos indicados en
el nivel anterior.
Un caso particular de este nivel son los procedimientos, que especifican
secuencias de pasos o circuitos en una determinada función IT.
No deben confundirse con los manuales de instalación o administración
de los elementos de la infraestructura tecnológica (howtos).
8. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Estructura de la Política
El tercer nivel está formado por una colección de documentos con
requerimientos detallados o estándares.
Los requerimientos aplican a componentes, estructuras o procesos
individuales, que forman parte de los componentes, estructuras y
procesos a los que se refieren los documentos del nivel anterior.
Pueden especificar la configuración de un producto de seguridad, un
checklist de opciones del SO o el criterio de evaluación de proveedores.
9. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Ejemplos de documentos de cada nivel
Primer nivel:
Política Global de Seguridad.
Segundo nivel:
Elementos de Seguridad en Sistemas Servidor.
Estrategia de Protección frente a Software Malicioso.
Contratación de Servicios IT en Régimen de Outsourcing.
Administración de Perfiles, Usuarios y Privilegios.
Desarrollo Seguro de Software.
10. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Ejemplos de documentos de cada nivel
Procedimientos:
Alta o Baja de Usuarios en Entornos Críticos.
Requisitos de Seguridad en el Desarrollo de Sistemas.
Gestión de Peticiones de Seguridad.
Gestión de Incidentes de Seguridad.
Tercer nivel:
Acceso Remoto VPN/SSL.
Seguridad de Redes Wi-Fi.
Seguridad de Redes VoIP.
Seguridad de Terminales en Entorno Mainframe.
Configuración Segura de Servidores Windows 2000.
11. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Contenido de la Política
Debe cubrir, al menos las siguientes áreas:
Estaciones Pruebas
Código malicioso Servidores
de trabajo de intrusión
Uso aceptable de Outsourcing Usuarios y
Redes WI-FI
e-mail e Internet y terceros privilegios
Gestión de Formación y Gestión de
Seguridad VoIP
incidentes concienciación vulnerabilidades
Programación Dispositivos
Acceso remoto Entornos legacy
segura de interconexión
Análisis de Adquisición de Seguridad
Líneas analógicas
riesgos productos de CPDs
Estrategia Uso de Nomenclatura Prevención de
antispam portátiles de usuarios intrusiones
12. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Características de la organización
La estructura y el contenido de la política dependen fuértemente de las
características de la organización en el que se desarrolla.
Un factor clave: el grado de madurez de los procesos de gestión IT.
Las organizaciones con mayor madurez elaborarán un cuerpo normativo:
Más ambicioso.
Con requerimientos más específicos
Centrado en la formalización de procesos y controles ya implantados.
Las empresas con menor madurez en esta área comenzarán con:
Una política de seguridad sencilla
Fijando requisitos básicos.
Esfuerzo en la definición de quick wins.
13. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Características de la organización
Estructura de la organización
Líneas de negocio, presencia geográfica, estrategia IT, relevancia del
Departamento de Seguridad en la organización, etc.
Grado de dependencia de las Tecnologías de la Información.
Relación con terceros
Externalización de procesos o áreas (producción de software, gestión de
dispositivos de red, seguridad), de perfiles funcionales (administradores
de sistemas, consultores, auditores) o de servicios (tests de intrusión,
monitorización de seguridad, DRP).
Grado de conocimiento y concienciación de la Alta Dirección y de los
usuarios finales en el área de seguridad IT.
14. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Presentación del contenido
El contenido debe ser sintético y centrado en los requisitos mínimos, sin
descripciones superfluas que los justifiquen.
Es frecuente cometer el error de introducir información relevante:
Descripción del elemento, estructura o proceso al que aplica el
requerimiento (features del software antivirus).
Justificación del requerimiento (ventajas de la segregación de entornos en
el proceso de producción de software).
Propuesta para satisfacer el requerimiento (indicación de las fuentes de
actualizaciones o parches de sistemas operativos).
15. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Participación de otros departamentos
El contenido debe contrastarse con los departamentos afectados por cada
uno de los documentos.
Permite evaluar la dificultad de implantación de los requerimientos y
adaptarlos a las características particulares de la organización.
Como resultado de la interacción:
Incorporación de nuevos requerimientos no previstos originalmente.
Eliminación de requerimientos con un análisis coste-beneficio
desfavorable o no aplicables.
Simplificación del contenido.
Definición conjunta de un roadmap para la imlementación de procesos o
soluciones tecnológicas que satisfagan requerimientos críticos.
16. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Ciclo de vida de los documentos
Los documentos deben evolucionar para incrementar progresivamente el
nivel de seguridad global.
Si Política de Seguridad que permanece estática, no ha sido bien
diseñada.
Los documentos deben tener un carácter dinámico, con un incremento
gradual del nivel de seguridad considerado aceptable.
La frecuencia de cambio/revisión recomendados varía en función del tipo
de documento.
De esta manera se transforma progresivamente la organización, partiendo
de un baseline o nivel inicial basadon en quick wins, que evoluciona hacia
un modelo de seguridad cada vez más maduro.
17. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Frecuencia de cambio y revisión
Tercer nivel
Deberían revisarse y actualizarse al menos una vez al año, o bien cuando se
produzca un cambio significativo en los procesos o en la infraestructura
tecnológica.
Segundo nivel
Deberían revisarse anualmente, con una frecuencia de cambio inferior:
cambios en la estrategia de otros departamentos (Sistemas, Backup, Legal)
o en la estructura organizativa (adquisiciones, outsourcing, insourcing).
La declaración formal de la Alta Dirección sólo debería modificarse
excepcionalmente.
18. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Audiencia de los documentos
El contenido debe tener en cuenta la audiencia objetivo:
Personal técnico
Personal de gestión
Directores
Usuarios
Es un error escribir documentos con requisitos difíciles de asimilar,
ambiguos, demasiado técnicos o demasiado generales.
Para facilitar la comprensión del contenido, es recomendable incluir
definiciones de términos sujetos a múltiples interpretaciones.
19. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Política de excepcionamiento
El inventariado de situaciones de excepción es una herrramienta útil para
inventariar riesgos.
En determinados casos no es posible cumplir un requerimiento, por
limitaciones técnicas u otras causas justificadas.
La política de excepcionamiento permite inventariar, monitorizar y
gestionar estas situaciones a lo largo del tiempo.
Permite a las áreas afectadas conseguir un permiso por parte del
Departamento de Seguridad para incumplir el requerimiento.
Primero se debe determinar que el coste o la complejidad asociada al
cumplimiento es superior al beneficio obtenido, o bien requiere una
inversión que no se puede realizar en la actualidad.
20. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Política de excepcionamiento
Es fundamental analizar en detalle cada situación de excepción antes de
conceder un permiso para incumplir un requerimiento.
El inventario de excepciones debería utilizarse como entrada a otros
procesos, principalmente aquellos relacionados con el análisis de riesgos.
Las excepciones se deben revisar periódicamente, para asegurarse de que
la situación que originó la excepción se mantiene en la actualidad.
21. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Clasificación de activos
Los documentos debe tener en cuenta la clasificación de activos.
Incluye sistemas, servicios, aplicaciones, bases de datos,
documentos e instalaciones de la organización.
Permite establecer diferentes requerimientos de seguridad en función
de la criticidad del activo.
De esta forma se consigue un nivel de seguridad mínimo consistente
y uniforme a lo largo de la organización.
El establecimiento de un criterio de clasificación coherente depende
del conocimiento que la organización tiene acerca de sí misma.
22. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Categorías de clasificación
Se pueden emplear los siguientes criterios generales para la definición de
las categorías de clasificación:
Requerimientos de confidencialidad, integridad y disponibilidad de la
información soportada por o contenida en el activo.
Requerimientos legales y regulatorios (por ejemplo, SOX o LOPD).
Criticidad del proceso de negocio asociado.
Grado de exposición (entorno Internet, Intranet, Extranet, etc.).
23. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Evaluación de cumplimiento
La Política de Seguridad debe estar respaldado por un proceso de
auditoría periódico que verifica su cumplimiento.
Dicho proceso permite verificar el grado de cumplimiento del mismo en
las distintas áreas de la organización.
Para cada requerimiento específico se debe indicar un procedimiento para
verificar su cumplimiento y generar las correspondientes evidencias.
Las evidencias pueden ser capturas de pantalla, informes automáticos,
actas, autorizaciones firmadas o selladas, etc.
Los resultados obtenidos tras la evaluación de cumplimiento deberían
emplearse como entrada de otros procesos relacionados:
Gestión del Riesgo
CSA (Control Self-Assessment)
Planes Directores
24. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
SANS Policy Project
Este proyecto del Instituto SANS constituye un repositorio de políticas que
puede faciltar la labor de creación de una Política de Seguridad.
Se diferencian los tres niveles de documentos que se han indicado
anteriormente en esta presentación.
La directora del proyecto acumula años de experiencia en la definición e
implantación de Políticas de Seguridad en múltiples organizaciones.
18 de los estándares incluidos en el proyecto deben ser cumplidos por
organizaciones en el alcance de HIPPAA.
25. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
SANS Policy Project
Los estándares se organización en las siguientes categorías:
Medidas administrativas
Documented policies and procedures for day-to-day operations; managing
the conduct of employees with electronic protected health information;
and managing the selection, development, and use of security controls.
Medidas físicas
Security measures meant to protect an organization's electronic
information systems, as well as related buildings and equipment, from
natural hazards, environmental hazards, and unauthorized intrusion.
Medidas tecnológicas
Security measures that specify how to use technology to protect EPHI,
particularly controlling access to it.
26. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Ejemplo: Protección de Servidores
Es un documento de segundo nivel que especifica lós requerimientos
mínimos de seguridad aplicables a servidores.
En este nivel no es relevante el tipo de servidor (Microsoft, UNIX, legacy).
Dichos requerimientos se agrupan en las siguientes categorías:
Instalación
Gestión de usuarios
Servicios de red
Seguridad física
Generación de logs
Copias de respaldo
27. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Protección de Servidores: Instalación
Se debe prescindir de la conectividad durante la instalación. En caso de
llevar a cabo una instalación en red, se debe utilizar una red aislada.
Se deben seleccionar exclusivamente aquellos paquetes de software
necesarios para la prestación de los servicios que se han previsto.
Toda configuración por defecto establecida por aplicaciones software que
prestan servicios remotos debe ser adaptada al entorno del servidor.
Se debe instalar un paquete reciente y estable de actualizaciones de
seguridad recomendado por el fabricante del sistema operativo.
Debe establecerse una contraseña de administrador robusta.
28. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Protección de Servidores: Gestión de Usuarios
Se deben instalar medidas de seguridad que garanticen la adecuación de
las passwords de los usuarios a los criterios de complejidad obligatorios.
El mecanismo de autenticación de usuarios debe contemplar medidas
para bloquear intentos de acceso no autorizados y facilitar la detección de
estos incidentes, limitando su efectividad.
El conjunto de privilegios de que dispone un usuario en el sistema debe
ser el mínimo necesario para el ejercicio de sus funciones.
Cuando un usuario ya no necesite acceder al sistema para el ejercicio de
sus funciones, se debe revocar su cuenta inmediatamente.
La utilización de cuentas de usuarios reales (asociados a personas) para
la ejecución de tareas automáticas está estrictamente prohibida.
29. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Protección de Servidores: Servicios de red
Sólo deben habilitarse aquellos servicios de red que permiten al sistema
realizar las funciones para las que ha sido diseñado.
Los servicios que intercambien datos críticos, credenciales o información
confidencial deben comunicarse mediante protocolos seguros.
El protocolo empleado debe estar basado en estándares de cifrado
reconocidos por la industria.
30. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Protección de Servidores: Seguridad física
El sistema servidor debe alojarse en un emplazamiento apropiado.
Cuando el sistema se migre o incorpore a un entorno de producción,
preproducción o desarrollo, debe ubicarse en un CPD.
Como parte del diseño, debe contemplarse la posibilidad de que el
sistema sea reiniciado de manera accidental.
31. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Protección de Servidores: Generación de logs
El servidor debe disponer de un mecanismo de generación y
almacenamiento de logs.
Deben figurar los siguientes datos: fecha y hora, subsistema que genera el
evento, criticidad, usuario (si aplica).
Se deben registrar las siguientes categorías de eventos:
Autenticación de usuarios, tanto local como remota
Condiciones de error al arrancar servicios de red
Condiciones de error en los procesos del sistema
Condiciones de error en los sistemas de comunicaciones
Órdenes de reinicio del sistema o de servicios de red
Notificación de supresión de logs
Los registros de log deben ser almacenados de forma segura durante un
período de tiempo adecuado.
32. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
Protección de Servidores: Copias de respaldo
Se deben realizar de forma periódica copias de respaldo de los datos
relevantes almacenados en el servidor y del software propietario instalado,
así como de sus datos de configuración.
Las copias de respaldo deben almacenarse en un emplazamiento seguro y
suficientemente alejado de los sistemas a los que corresponden.
La frecuencia de realización de las copias está ligada a la frecuencia de
actualización de la información que se copia y a la criticidad de los datos.
33. FIST Conferences
Consejo Superior de Investigaciones Científicas
Febrero de 2007
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
¡Muchas gracias!
Más información:
http://www.rafaelsanmiguel.com
SANS Policy Project
http://www.sans.org