2. Profesor Hugo Zumaeta 2
La información le sirve al negocio para:
• Tomar decisiones
• Obtener una ventaja competitiva
Por lo tanto la información
se convierte en un activo,
denominado Activo de
Información y que es aquel
activo que tiene algún valor
para la organización y por
tanto debe protegerse
3. Profesor Hugo Zumaeta 3
¿Qué es la información?
Cualquier forma de registro electrónico, óptico, magnético o en
otros medios similares, susceptible de ser procesada, distribuida y
almacenada
Confidencialidad: La información
debe ser accesible sólo a aquellos
que se encuentren debidamente
autorizados.
Integridad: La información debe ser
completa, exacta y válida.
Disponibilidad: La información debe
estar disponible en forma
organizada para los usuarios
autorizados cuando sea
requerida.
Integridad
Confidencialidad Disponibilidad
4. Profesor Hugo Zumaeta 4
Que es lo más importante que custodia la
Dirección de TI para el negocio?
La información, que le permita una toma de
decisiones entre otras y así tener una
ventaja competitiva
5. La información es
lo mas valioso de
la Organización y
que TI debe
protegerla…..,
porque?
6. Curso: Seguridad de
Informática
Ingº Hugo Zumaeta 6
¿Conciencia de la existencia de riesgos, amenazas,
debilidades entre otras?
La seguridad informática
será un motivo de
preocupación.
... y las empresas, organismos y particulares comienzan a
tener verdadera conciencia de su importancia.
Internas o Externas
amenazas
9. 9
¿QUÉ ES UNA VULNERABILIDAD?
Ejemplo:
Vulnerabilidad.- (Inglés: Vulnerability). Debilidad en la
seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo.
Según [ISO/IEC 13335-1:2004]: debilidad de un activo o
conjunto de activos que puede ser explotado por una
amenaza.
Activo Vulnerabilidad
Cod. Act. Descripción Cod. Vul. Descripción
ACT-006 Servidor Dominio Principal VUL-015 Obsolescencia de hardware
VUL-045 Inadecuada condiciones ambientales
VUL-072 Inadecuado soporte de mantenimiento
VUL-125 Actualizaciones no certificadas
Ing. Hugo Zumaeta
Seguridad de la Información
10. 10
¿QUÉ ES UNA AMENAZA?
Amenaza.- es un evento o acción no deseable que puede
afectar negativamente a la organización para el logro de sus
objetivos, metas, etc.
Amenaza.- (Inglés: Threat). Según [ISO/IEC 13335-1:2004]:
causa potencial de un incidente no deseado, el cual puede
causar el daño a un sistema o la organización.
Ejemplo:
Activo Vulnerabilidad Amenaza
Cod. Act. Descripción Cod. Vul. Descripción Cod.Ame. Descripción
ACT-006 Servidor Dominio
Principal
VUL-015 Obsolescencia de hardware AME-012 Interrupción del servicio que
presta el servidor de dominio
principal
VUL-045 Inadecuada condiciones
ambientales
VUL-072 Inadecuado soporte de
mantenimiento
VUL-125 Actualizaciones no certificadas
Ing. Hugo Zumaeta
Seguridad de la Información
11. Ing. Hugo Zumaeta 11
¿QUÉ ES UN IMPACTO?
Impacto: Es el conjunto, medida o grado
del daño sobre un activo(s) producto de
la materialización de una amenaza
Ejemplo:
Seguridad de la Información
Activo Vulnerabilidad Amenaza Impacto
Cod. Act. Descripción Cod.
Vul.
Descripción Cod.Ame. Descripción
ACT-006 Servidor
Dominio
Principal
VUL-015 Obsolescencia de
hardware
AME-012 Interrupción del
servicio que presta
el servidor de
dominio principal
Muy Alto (si no existe
servidores DNS
secundarios)
Muy Bajo (Si existe
servidores DNS
secundarios operativos
y en línea)
VUL-045 Inadecuada condiciones
ambientales
VUL-072 Inadecuado soporte de
mantenimiento
VUL-125 Actualizaciones no
certificadas
12. 12
¿QUÉ ES UN RIESGO?
Riesgo.- es una
amenaza o acción
que puede afectar
positivo o
negativamente a
la organización en
el cumplimiento
de sus objetivos,
metas,
indicadores, etc.
Riesgo.- (Inglés: Risk). Posibilidad de que una amenaza concreta
pueda explotar una vulnerabilidad para causar una pérdida o
daño en un activo de información. Según [ISO Guía 73:2002]:
combinación de la probabilidad de un evento y sus consecuencias
Ing. Hugo Zumaeta
Seguridad de la Información
14. Curso: Seguridad de
Informática
Hugo Zumaeta Marín 14
Resultado de la Evaluación de Riesgo
Implantar
controles sobre
los riesgos:
R15,R9,R8,R16,R1
0,R6,R14,R4
R11, R2, R20, R7 Y
R17
15. 15
¿QUÉ ES UN CONTROL?
Son las políticas, estándares, implementación de soluciones, procedimientos, procesos, aplicación de
buenas prácticas, estructuras organizativas, etc. para mantener los riesgos de seguridad de la
información por debajo del nivel de riesgo asumible (Nota: Control es también utilizado como
sinónimo de salvaguarda o contramedida).
Por lo tanto: La seguridad de la
información se logra implementando
un conjunto adecuado de controles,
políticas, procesos, procedimientos,
estructuras organizacionales, y otras
acciones que hagan que la
información pueda ser accedida sólo
por aquellas personas que están
debidamente autorizadas para
hacerlo.
Ing. Hugo Zumaeta
Seguridad de la Información
16. Profesor Hugo Zumaeta 16
Puntos de partida de la seguridad de la información
• Debido a la cantidad de amenazas y vulnerabilidades a las que esta expuesta.
• Los perjuicios que ocasionan los incidentes de seguridad a través de los riesgos.
Ejemplo: como: paradas de producción, pérdidas de clientes, pérdida de
reputación, perdidas económicas, etc.
• Cumplimiento de controles implementados
• Cumplimiento de la normatividad vigente.
• Identificación de riesgos
18. Administración.- es la ciencia social, técnica y arte que se ocupa de la
planificación, organización, dirección y control de los recursos de la organización,
con el fin de obtener el máximo beneficio posible. La administración se base en 4
principios:
Conceptos Generales
19. • Sistemas Informáticos.- Como todo sistema, es el conjunto de partes
interrelacionadas, hardware, software y de Recurso Humano (humanware)
con un fin.
El significado de "sistema informático" viene mediante la interconexión. esto
es, unirse para convertirse un sistema mayor. La interconexión de sistemas
informáticos puede tornarse difícil debido a incompatibilidades.
• Los sistemas informáticos deben realizar las siguientes tres tareas básicas:
– Entrada: captación de la información.
– Proceso: tratamiento de la información.
– Salida: transmisión de resultados.
• Ejemplo: Una computadora más sencilla se clasifica como un
sistema informático
Que son los Sistemas Informáticos?
20. • Front-end.- Es la parte del software que interactúa con el o los usuarios. Es el
responsable de recolectar los datos de entrada del usuario, que pueden ser
de muchas y variadas formas, y procesarlas de una manera conforme a la
especificación que el back-end pueda usar.
• Back-end.- es la parte que procesa la entrada desde el front-end
• El middleware es un software de conectividad que ofrece un conjunto de
servicios que hacen posible el funcionamiento de aplicaciones distribuidas
sobre plataformas heterogéneas.
• Plataformas informáticas heterogéneas, lo que se denomina como
arquitectura orientada a servicios. Estas posibilitan que los sistemas de
gestión empresariales puedan estar segmentados por módulos, cada uno de
ellos con una funciones específicas y programados con los lenguajes más
adecuados para su trabajo.
Conceptos Generales
22. Profesor Hugo Zumaeta 22
Organigrama de una empresa modelo
CEO - El Chief
Executive Officer.
Gerente General o
Director Ejecutivo.
CIO - El Chief Information Officer. conocido
como Director General de Información
23. Profesor: Hugo Zumaeta Marín 23
Estructura Orgánica de la Dirección de Tecnologías de
Información de la Organización
Dirección de TI
Subdirección de
Desarrollo
y Soluciones de TI
Jefatura de
Aplicaciones
de Negocio
Jefatura de
Aplicaciones
Administrativas
Subdirección de
Aseguramiento
de la Calidad
Jefatura de
Calidad
Jefatura de
Certificación
Subdirección de
Operaciones
Jefatura de
Data Center
Jefatura de
Help Desk
Jefatura de
Telecomunicaciones
Jefatura de
la PMO
Jefatura de
Seguridad
de la Información
Funciones dadas
en el:
- ROF
- MOF
- MOP o
equivalentes
24. Profesor: Hugo Zumaeta Marín 24
Certificaciones y Especializaciones que puede
tener el personal del Área de TI
• Seguridad: CISO, CISM, CISSP, ITIL.
• Redes: CCNA, LPIC, MCSE, CNA, CCNP.
• DBA.: MCDBA, OCA-DBA, .
• Proyectos: PMP, MCSE, CAPM,
• Help Desk: MHD (Manager Help Desk), AHD (Analista Help Desk)
• Desarrollo: MCAD, MCSD, SCJP, SCJD, SCWCD, OCP AppDev, etc.
• MCTS (Microsoft Certifed Technology Specialist); MCAD (Microsoft Certified Application
Developer); MCPD (Microsoft Certified Professional Developer)
• Certificación / Testing / Pruebas
• Auditoria: CISA, IRCA,…….
25. Profesor Hugo Zumaeta 25
Lo que se debe conocer hoy para
una Gobernar y Controlar las TI
26. Ingº Hugo Zumaeta 26
Conclusiones
• La Organización debe tomar conocimiento de la importancia de
la seguridad de la información.
• Toda empresa debe velar por la seguridad de la información del
negocio.
• La seguridad de la información se logra implementando y
gestionando controles
• El Área de TI, debe estar siempre alerta monitoreando e
implementado normas y buenas practicas
• La importancia de los sistemas informáticos en el tratamiento
de información
• El conocimiento para la administración de sistemas
informáticos en tecnologías heterogenias.