Subido porVictorAcan
PPT, PDF718 vistas

Seguridad

Este documento presenta una agenda para una discusión sobre seguridad informática. La agenda incluye una introducción al tema de la seguridad de la información y una descripción de los obstáculos, la administración, el ciclo de vida y conclusiones sobre la seguridad informática. También propone establecer estándares y mejores prácticas de seguridad para los miembros de una organización.

Incrustar presentación

Descargado 17 veces
VICTOR ACAN PAUL MENDEZ
Agenda O Introducción. O Obstáculos para implementar Seguridad Informática O Administración de la Seguridad Informática O Ciclo de vida de la Seguridad Informática O Conclusiones O Propuesta para los miembros del IIMV
Introducción O La Información es un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita “Protección Adecuada”.
Introducción O Tipos de Información O Impresos o escritos en papel. O Almacenada electrónicamente. O Transmite por correo o en forma electrónica. O La que se muestra en videos corporativos. O Lo que se habla en conversaciones. O Estructura corporativa de información.
Introducción O La implementación de esquemas de Administración de la Seguridad Informática en la institución debe seguir estándares y mejores prácticas del mercado. O Es una necesidad del negocio ante las circunstancias actuales.
Introducción
Obstáculos
Obstáculos O Falta de conciencia de usuarios finales. O Presupuesto. O Falta de apoyo de la alta gerencia. O Falta de Entrenamiento. O Pobre definición de responsabilidades. O Falta de herramientas. O Aspectos legales.
Administración de la Seguridad Informática
O Conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administración de la Seguridad Informática. O Son 127 controles estructurados en diez grandes áreas. O Genera confianza entre las instituciones que se relacionan.
O Porqué está siendo utilizado? O Único SASI que es aceptado globalmente. O Ayuda a reducir las primas de seguros. O Para mejorar la Seguridad de la Información. O Eleva la confianza de clientes y aliados en nuestra organización.
 Donde está siendo utilizado como un estándar nacional?  Australia/New Zealand  Brazil  Czech Republic  Finland  Iceland  Ireland  Netherlands  Norway  Sweden
O Las 10 áreas que cubre son: O Políticas de Seguridad, O Seguridad Organizacional, O Clasificación y Control de Activos, O Seguridad del Personal, O Seguridad Física y ambiental, O Administraciones de las Operaciones y Comunicaciones,
 Las 10 áreas que cubre son:  Control de accesos,  Desarrollo y mantenimiento de Sistemas,  Administración de la Continuidad del negocio,  Cumplimiento de aspectos legales.
Áreas que cubre el Estándar
1. Políticas de Seguridad O Objetivo: O Proveer dirección y soporte administrativo para la seguridad de Información. O La administración superior debe definir una política clara y apoyar la Seguridad de la Información a través de la creación y mantenimiento de una política de seguridad de la información a lo largo de la organización.
1. Políticas de Seguridad O Documento de Políticas de Seguridad. O Debe ser aprobado por la administración, publicado y comunicado a todos los empleados. O Revisión y Evaluación. O La política debe ser administrada por una persona quién es responsable de su mantenimiento y revisión de acuerdo a un proceso definido.
2. Seguridad Organizacional O Infraestructura de la Seguridad de la Información: O Objetivo: O Administrar la seguridad de la Información dentro de la organización. O Consejo directivo o un grupo designado por este debería de asumir la responsabilidad de la seguridad de información.
2. Seguridad Organizacional O Infraestructura de la Seguridad de la Información: O Deben ser claramente definidas las responsabilidades para la protección de activos de información ó físicos y procesos de seguridad. O Se deben establecer procesos de autorización para nuevas facilidades de procesamiento de la información. O Es recomendable disponer de la asesoría de un especialista de seguridad (para propósitos de evaluación o de investigación de incidentes).
2. Seguridad Organizacional O Seguridad en el acceso de terceros: O Objetivo: O Mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al que acceden terceras partes. O Revisar los tipos de acceso (físicos y lógicos). O Contratos deben incluir controles.
3. Clasificación y Control de activos  Accountability para los activos:  Objetivo:  Mantener protecciones apropiadas para los activos organizacionales.  Inventario de Activos  Ayudan a asegurar que hay una efectiva protección de activos.  Cada activo deberá ser claramente identificado y se debe documentar la propiedad y clasificación de seguridad, además de su ubicación actual.
3. Clasificación y Control de activos  Clasificación de la Información:  Objetivo:  Asegurar que los activos de información reciben un apropiado nivel de protección.  Controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información.  La responsabilidad de definir la clasificación de un ítem de información debe permanecer con la persona nombrada como dueña de la información.
4. Seguridad del Personal  Seguridad en la definición de trabajos:  Objetivo:  Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales.  Todos los empleados y usuarios externos de los servicios de procesamiento de la información deberían firmar un acuerdo de confidencialidad.  El acuerdo de confidencialidad debe hacer notar que la información es confidencial o secreta.
4. Seguridad del Personal  Entrenamiento de usuarios:  Objetivo:  Asegurarse que los usuarios conocen de las amenazas y preocupaciones de la Seguridad de la Información.  Todos los empleados de la organización deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales.  La regularidad dependerá de la actualización o los cambios que se den en la organización.
4. Seguridad del Personal  Respuestas a eventos de seguridad:  Objetivo:  Minimizar el daño del mal funcionamiento de software o de un incidente de seguridad y monitorear y aprender de tales incidentes.  Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes.  Usuarios deberán reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios.
5. Seguridad Física y ambiental  Respuestas a eventos de seguridad:  Objetivo:  Prevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio.  Los elementos que forman parte del procesamiento de información sensitiva o crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad definido con controles apropiados de entrada.  Los equipos deben ser protegidos de caídas de electricidad y otras anomalías eléctricas.
6. Administración de Comunicaciones y Operaciones  Responsabilidades y procedimientos operacionales:  Objetivo:  Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.  Los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados constantemente.  Los cambios en los sistemas y elementos de procesamiento de información deben ser controlados.
6. Administración de Comunicaciones y Operaciones  Responsabilidades y procedimientos operacionales:  Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, como:  Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.  Procedimientos para Planes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas de auditoría, Reporte a las autoridades, etc.
6. Administración de Comunicaciones y Operaciones  Responsabilidades y procedimientos operacionales:  Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas, (las acciones de emergencias deben ser documentadas en detalle).  La segregación de tareas es un método de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas.  Áreas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Producción.
6. Administración de Comunicaciones y Operaciones  Planeamiento y Aceptación de Sistemas:  Objetivo:  Minimizar los riesgos de fallas en los sistemas.  Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.  Deben establecerse criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptación.
6. Administración de Comunicaciones y Operaciones  Protección contra Software Malicioso:  Objetivo:  Proteger la integridad del Software y la Información.  Controles contra Software Malicioso:  Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.  Política para proteger contra los riesgos asociados al obtener archivos o software de redes externas.  Instalación y actualización regular de Antivirus y software scaneador de computadoras cono una medida preventiva.
6. Administración de Comunicaciones y Operaciones O Controles contra Software Malicioso: O Revisar regularmente del software y contenido de datos de los sistemas que soportan los sistemas críticos del negocio. O Revisar cualquier archivo electrónico contra virus. O Revisar los documentos adjuntos en correos electrónicos así como cualquier archivo que se baje de Internet contra código malicioso. O Procedimientos y responsabilidades administrativas para lidiar con la protección de virus en los sistemas, entrenamiento y reporte y recuperación de ataques. O Planes de Continuidad del Negocio para recuperarse ante ataques de virus. O Procedimientos para verificar todas la información en relación con software malicioso y verificar que los boletines de advertencia son verdaderos.
6. Administración de Comunicaciones y Operaciones O Soporte Continuo. O Objetivo: O Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación.. O Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes controles: O Documentación de los Backups, copias adicionales y almacenadas en una localidad remota. O Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente.
6. Administración de Comunicaciones y Operaciones  Administración de Redes.  Objetivo:  Asegurar la protección de la información en las redes así como de su infraestructura.  Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.  También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas.
6. Administración de Comunicaciones y Operaciones  Seguridad y Manejo de los medios.  Objetivo:  Prevenir el daño a activos e interrupciones a actividades del negocio.  Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.  Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.  La documentación de sistemas puede contener información sensitiva por lo que debe ser almacenada con seguridad.
6. Administración de Comunicaciones y Operaciones  Intercambio de información y software.  Objetivo:  Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.  El correo electrónico presenta los siguientes riesgos:  Vulnerabilidad de los mensajes ó acceso no autorizado.  Vulnerabilidad a errores (direcciones incorrectas).  Cambio en los esquemas de comunicación (más personal).  Consideraciones legales (prueba de origen).  Controles para el acceso remoto al correo.
7. Controles de Acceso  Requerimientos del Negocio para el control de accesos:  Objetivo:  Controlar el acceso a la información.  Las reglas y derechos para el control de acceso de usuarios o grupos de usuarios deben estar bien claras en un documento de políticas de acceso.  Administración del Acceso a Usuarios  Objetivo:  Prevenir el acceso no autorizado a Sistemas de Información.  Deben existir procedimientos formales para el registro y eliminación de usuarios.
7. Controles de Acceso  Deben existir procesos formales para el control de los password.  Usuarios deben seguir buenas prácticas de seguridad en la selección y uso de passwords.  Control de Acceso a la red  Objetivo:  Protección de los servicios de la red.  Se debe controlar el acceso a servicios internos y externos de la red.  Control de acceso al Sistema operativo  Objetivo:  Prevenir el acceso no autorizado a la computadora.  Restringir el acceso a recursos de la computadora.
7. Controles de Acceso  Control de Acceso a Aplicaciones.  Objetivo:  Prevenir el acceso no autorizado a información mantenida en los Sistemas de Información.  Monitorear el uso y acceso a los sistemas  Los sistemas deben ser monitoreados para detectar desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad.  Computación Móvil.  Objetivo:  Asegurar la seguridad de la información cuando se utilizan dispositivos móviles.
8. Desarrollo y Mantenimiento de Sistemas  Requerimientos de Seguridad en los Sistemas.  Objetivo:  Asegurar que la seguridad es incluida en los Sistemas de Información.  Seguridad en las Aplicaciones  Prevenir la pérdida, modificación, o mal uso de los datos en las aplicaciones.  Seguridad en los archivos del Sistema.  Objetivo:  Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura.
9. Administración de la Continuidad del Negocio  Objetivo:  Actuar ante interrupciones de las actividades del Negocio y proteger procesos críticos del negocio de los efectos de fallas o desastres considerables..  Marco de trabajo para el planeamiento de las actividades del negocio.  Un solo marco de trabajo de los planes de continuidad del negocio deben ser mantenidos para asegurarse que todos son desarrollados en forma consistentes , pruebas y mantenimiento.  Se deben probar con frecuencia los Planes de Continuidad.
10. Cumplimiento  Objetivo:  Evitar brechas o violaciones a cualquier ley criminal o civil, regulatoria o contractual.  Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual.

Más contenido relacionado

PPT
Seguridad informatica
porCastillo'S Legal Solutions
 
PPTX
Seguridad informática
porJesenia Ocaña Escobar
 
PDF
Si semana11 iso_27001_v011
porJorge Pariasca
 
PDF
Introduccion iso 17799
porIsaias Rubina Miranda
 
PDF
Seguridad de la información
porAl Cougar
 
PDF
ISO 27001 Guia de implantacion
porjralbornoz
 
PPT
Seguridad
porVictorAcan
 
PPT
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 
Seguridad informatica
porCastillo'S Legal Solutions
 
Seguridad informática
porJesenia Ocaña Escobar
 
Si semana11 iso_27001_v011
porJorge Pariasca
 
Introduccion iso 17799
porIsaias Rubina Miranda
 
Seguridad de la información
porAl Cougar
 
ISO 27001 Guia de implantacion
porjralbornoz
 
Seguridad
porVictorAcan
 
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 

La actualidad más candente

PDF
0 Fd 27001 Directores Y Alta Gerencia
porFabián Descalzo
 
PDF
Curso taller: Sistemas de Gestión de Seguridad de la Información
porHoracio Veramendi
 
PPTX
Norma iso 17799
porFreddy Fernando Cajamarca Sarmiento
 
PPTX
Normas de Seguridad de la Información
porJherdy Sotelo Marticorena
 
PPSX
Seguridad De La información
porLiliana Pérez
 
PDF
Politicas de Seguridad Informática
porJose Manuel Acosta
 
PPTX
politica de seguridad informatica
porlibra-0123
 
PPT
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
porManuel Mujica
 
PDF
Estándares de seguridad informática
porManuel Mujica
 
PDF
Introducción a la Seguridad de la Información
porJonathan López Torres
 
PDF
norma iso 17799
porLaura Miranda Dominguez
 
PDF
Políticas y normas de seguridad, auditoría informática, plan de contingencias
porCamilo Quintana
 
PDF
Politicas de-seguridad
porBella Romero Aguillón
 
PDF
Ejemplo Politica de seguridad
porGuiro Lin
 
PPSX
ISO 27002 Grupo 2
porUpon Software SA
 
PPT
Fundamentos Seguridad Informatica Clase 1
porMarco Antonio
 
PDF
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
porJack Daniel Cáceres Meza
 
PDF
Pdictseguridadinformaticapoliticas
porRogger Cárdenas González
 
PPS
Norma ISO 17799
porLilia Quituisaca-Samaniego
 
0 Fd 27001 Directores Y Alta Gerencia
porFabián Descalzo
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
porHoracio Veramendi
 
Norma iso 17799
porFreddy Fernando Cajamarca Sarmiento
 
Normas de Seguridad de la Información
porJherdy Sotelo Marticorena
 
Seguridad De La información
porLiliana Pérez
 
Politicas de Seguridad Informática
porJose Manuel Acosta
 
politica de seguridad informatica
porlibra-0123
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
porManuel Mujica
 
Estándares de seguridad informática
porManuel Mujica
 
Introducción a la Seguridad de la Información
porJonathan López Torres
 
norma iso 17799
porLaura Miranda Dominguez
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
porCamilo Quintana
 
Politicas de-seguridad
porBella Romero Aguillón
 
Ejemplo Politica de seguridad
porGuiro Lin
 
ISO 27002 Grupo 2
porUpon Software SA
 
Fundamentos Seguridad Informatica Clase 1
porMarco Antonio
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
porJack Daniel Cáceres Meza
 
Pdictseguridadinformaticapoliticas
porRogger Cárdenas González
 
Norma ISO 17799
porLilia Quituisaca-Samaniego
 

Similar a Seguridad

PPTX
Seguridad Informatica
porebonhoure
 
PDF
SEMANA 16 utp gestion de riegos teoria se
pormassimomorta
 
PPT
Iram iso17799 controles
porMarcosPassarello2
 
PPT
Seguridad Informatica
porMariana Heredia Thorne
 
PPT
Seguridad de la informacion
porablopz
 
PPTX
mecanismo de control y seguridad.pptx
porJeisonCapera1
 
PDF
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
porMiguel Cabrera
 
PPT
Seguridad de la informacion
porGiovanita Caira
 
PDF
control interno informatico
porManuel Medina
 
PDF
Guia seguridad pymes
porCarlos Hernandez Araujo
 
PPT
Politicas de sistemas informaticos
pordianalloclla
 
PDF
Resumen controles 27003 2013
porUnidad Educativa San Juan Evangelista
 
PPT
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 
PPT
información Segura
porCesar Delgado
 
PPT
Seg Inf Sem02
porlizardods
 
PPTX
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
porLuis Fernando Aguas Bucheli
 
PPT
Seguridaddela informacion
porhvillas
 
PPT
I3.ppt ñada más información sobre el archivo subido
porricardosusa5
 
PDF
Guia seguridad pymes
poryvillagra
 
PDF
Controles_de_la_Norma_ISO27002-2013(1).pdf
porssuser770a58
 
Seguridad Informatica
porebonhoure
 
SEMANA 16 utp gestion de riegos teoria se
pormassimomorta
 
Iram iso17799 controles
porMarcosPassarello2
 
Seguridad Informatica
porMariana Heredia Thorne
 
Seguridad de la informacion
porablopz
 
mecanismo de control y seguridad.pptx
porJeisonCapera1
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
porMiguel Cabrera
 
Seguridad de la informacion
porGiovanita Caira
 
control interno informatico
porManuel Medina
 
Guia seguridad pymes
porCarlos Hernandez Araujo
 
Politicas de sistemas informaticos
pordianalloclla
 
Resumen controles 27003 2013
porUnidad Educativa San Juan Evangelista
 
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 
información Segura
porCesar Delgado
 
Seg Inf Sem02
porlizardods
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
porLuis Fernando Aguas Bucheli
 
Seguridaddela informacion
porhvillas
 
I3.ppt ñada más información sobre el archivo subido
porricardosusa5
 
Guia seguridad pymes
poryvillagra
 
Controles_de_la_Norma_ISO27002-2013(1).pdf
porssuser770a58
 

Último

PDF
Bajo este sol tremendo de Carlos Busqued
porYanina Gallardo
 
PDF
LOS UNOS A LOS OTROS Por Jonathan Bravo
porJonathan Bravo
 
PDF
Los Habitos Secretos de los Genios Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
La inteligencia artificial en educación - Educación Secundaria - ¡Presentació...
porProfesorProductivo
 
PPTX
RAZONES PARA AGRADECER Y ORAR - leccion de escuela sabatica
porAndreyAguirre3
 
PPTX
Presentación sobre la Baja Edad Media.pptx
porprofeRafa7
 
PDF
QUE TU APROVECHAMIENTO SEA MANIFIESTO A TODOS
porJonathan Bravo
 
PDF
Introducción al Cálculo de Probabilidades - UNALM Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
Las 48 Leyes del Poder - Robert Greene Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PPTX
LA GRECIA CLÁSICA. guerrasmédicas y del peloponeso.pptx
porprofeRafa7
 
PDF
Taller-intensivo-para-personal-docente-–-enero-2026_presentacion.pdf
porLuzDelCarmenAlvizuri
 
PDF
Los animales vertebrados - Educación Secundaria - ¡Presentación creada con C...
porProfesorProductivo
 
PDF
Serie Inteligencia Emocional - Buenos Hábitos HBR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PDF
DEL DISCURSO PROGRAMÁTICO A LA EXIGIBILIDAD JURÍDICA.pdf
porIDEA Investigación, Desarrollo Educativo y Asesoría
 
PDF
El sistema respiratorio humano - Educación Secundaria - ¡Presentación creada ...
porProfesorProductivo
 
PDF
DIAPOSITIVAS DE NUTRICIÓN INFANTIL CLASE 10/01/2026
porAngieSalagata
 
PDF
Calculo Diferencial - Regla de la Cadena Ccesa007.pdf
porDemetrio Ccesa Rayme
 
PPTX
Renacer Urbano en la Plena Edad Media.pptx
porprofeRafa7
 
PPTX
2 ANEXOS TALLER LA FABRICA DE RECICLAJE DE LOS REYES MAGOS.pptx
porSaraMarquezChavez
 
DOCX
ANEXO 1- CONTRATO 2026-TANDAZO.docx ESTE ES EL FORMATO 2026
porEduardo Ayala Tandazo
 
Bajo este sol tremendo de Carlos Busqued
porYanina Gallardo
 
LOS UNOS A LOS OTROS Por Jonathan Bravo
porJonathan Bravo
 
Los Habitos Secretos de los Genios Ccesa007.pdf
porDemetrio Ccesa Rayme
 
La inteligencia artificial en educación - Educación Secundaria - ¡Presentació...
porProfesorProductivo
 
RAZONES PARA AGRADECER Y ORAR - leccion de escuela sabatica
porAndreyAguirre3
 
Presentación sobre la Baja Edad Media.pptx
porprofeRafa7
 
QUE TU APROVECHAMIENTO SEA MANIFIESTO A TODOS
porJonathan Bravo
 
Introducción al Cálculo de Probabilidades - UNALM Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Las 48 Leyes del Poder - Robert Greene Ccesa007.pdf
porDemetrio Ccesa Rayme
 
LA GRECIA CLÁSICA. guerrasmédicas y del peloponeso.pptx
porprofeRafa7
 
Taller-intensivo-para-personal-docente-–-enero-2026_presentacion.pdf
porLuzDelCarmenAlvizuri
 
Los animales vertebrados - Educación Secundaria - ¡Presentación creada con C...
porProfesorProductivo
 
Serie Inteligencia Emocional - Buenos Hábitos HBR Ccesa007.pdf
porDemetrio Ccesa Rayme
 
DEL DISCURSO PROGRAMÁTICO A LA EXIGIBILIDAD JURÍDICA.pdf
porIDEA Investigación, Desarrollo Educativo y Asesoría
 
El sistema respiratorio humano - Educación Secundaria - ¡Presentación creada ...
porProfesorProductivo
 
DIAPOSITIVAS DE NUTRICIÓN INFANTIL CLASE 10/01/2026
porAngieSalagata
 
Calculo Diferencial - Regla de la Cadena Ccesa007.pdf
porDemetrio Ccesa Rayme
 
Renacer Urbano en la Plena Edad Media.pptx
porprofeRafa7
 
2 ANEXOS TALLER LA FABRICA DE RECICLAJE DE LOS REYES MAGOS.pptx
porSaraMarquezChavez
 
ANEXO 1- CONTRATO 2026-TANDAZO.docx ESTE ES EL FORMATO 2026
porEduardo Ayala Tandazo
 

Seguridad

  • 1.
  • 2.
    Agenda O Introducción. O Obstáculospara implementar Seguridad Informática O Administración de la Seguridad Informática O Ciclo de vida de la Seguridad Informática O Conclusiones O Propuesta para los miembros del IIMV
  • 3.
    Introducción O La Informaciónes un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita “Protección Adecuada”.
  • 4.
    Introducción O Tipos deInformación O Impresos o escritos en papel. O Almacenada electrónicamente. O Transmite por correo o en forma electrónica. O La que se muestra en videos corporativos. O Lo que se habla en conversaciones. O Estructura corporativa de información.
  • 5.
    Introducción O La implementaciónde esquemas de Administración de la Seguridad Informática en la institución debe seguir estándares y mejores prácticas del mercado. O Es una necesidad del negocio ante las circunstancias actuales.
  • 6.
  • 7.
  • 8.
    Obstáculos O Falta deconciencia de usuarios finales. O Presupuesto. O Falta de apoyo de la alta gerencia. O Falta de Entrenamiento. O Pobre definición de responsabilidades. O Falta de herramientas. O Aspectos legales.
  • 9.
    Administración de laSeguridad Informática
  • 10.
    O Conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administración de la Seguridad Informática. O Son 127 controles estructurados en diez grandes áreas. O Genera confianza entre las instituciones que se relacionan.
  • 11.
    O Porqué estásiendo utilizado? O Único SASI que es aceptado globalmente. O Ayuda a reducir las primas de seguros. O Para mejorar la Seguridad de la Información. O Eleva la confianza de clientes y aliados en nuestra organización.
  • 12.
    Donde está siendo utilizado como un estándar nacional?  Australia/New Zealand  Brazil  Czech Republic  Finland  Iceland  Ireland  Netherlands  Norway  Sweden
  • 13.
    O Las 10áreas que cubre son: O Políticas de Seguridad, O Seguridad Organizacional, O Clasificación y Control de Activos, O Seguridad del Personal, O Seguridad Física y ambiental, O Administraciones de las Operaciones y Comunicaciones,
  • 14.
    Las 10 áreas que cubre son:  Control de accesos,  Desarrollo y mantenimiento de Sistemas,  Administración de la Continuidad del negocio,  Cumplimiento de aspectos legales.
  • 15.
    Áreas que cubreel Estándar
  • 16.
    1. Políticas deSeguridad O Objetivo: O Proveer dirección y soporte administrativo para la seguridad de Información. O La administración superior debe definir una política clara y apoyar la Seguridad de la Información a través de la creación y mantenimiento de una política de seguridad de la información a lo largo de la organización.
  • 17.
    1. Políticas deSeguridad O Documento de Políticas de Seguridad. O Debe ser aprobado por la administración, publicado y comunicado a todos los empleados. O Revisión y Evaluación. O La política debe ser administrada por una persona quién es responsable de su mantenimiento y revisión de acuerdo a un proceso definido.
  • 18.
    2. Seguridad Organizacional OInfraestructura de la Seguridad de la Información: O Objetivo: O Administrar la seguridad de la Información dentro de la organización. O Consejo directivo o un grupo designado por este debería de asumir la responsabilidad de la seguridad de información.
  • 19.
    2. Seguridad Organizacional OInfraestructura de la Seguridad de la Información: O Deben ser claramente definidas las responsabilidades para la protección de activos de información ó físicos y procesos de seguridad. O Se deben establecer procesos de autorización para nuevas facilidades de procesamiento de la información. O Es recomendable disponer de la asesoría de un especialista de seguridad (para propósitos de evaluación o de investigación de incidentes).
  • 20.
    2. Seguridad Organizacional OSeguridad en el acceso de terceros: O Objetivo: O Mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al que acceden terceras partes. O Revisar los tipos de acceso (físicos y lógicos). O Contratos deben incluir controles.
  • 21.
    3. Clasificación yControl de activos  Accountability para los activos:  Objetivo:  Mantener protecciones apropiadas para los activos organizacionales.  Inventario de Activos  Ayudan a asegurar que hay una efectiva protección de activos.  Cada activo deberá ser claramente identificado y se debe documentar la propiedad y clasificación de seguridad, además de su ubicación actual.
  • 22.
    3. Clasificación yControl de activos  Clasificación de la Información:  Objetivo:  Asegurar que los activos de información reciben un apropiado nivel de protección.  Controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información.  La responsabilidad de definir la clasificación de un ítem de información debe permanecer con la persona nombrada como dueña de la información.
  • 23.
    4. Seguridad delPersonal  Seguridad en la definición de trabajos:  Objetivo:  Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales.  Todos los empleados y usuarios externos de los servicios de procesamiento de la información deberían firmar un acuerdo de confidencialidad.  El acuerdo de confidencialidad debe hacer notar que la información es confidencial o secreta.
  • 24.
    4. Seguridad delPersonal  Entrenamiento de usuarios:  Objetivo:  Asegurarse que los usuarios conocen de las amenazas y preocupaciones de la Seguridad de la Información.  Todos los empleados de la organización deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales.  La regularidad dependerá de la actualización o los cambios que se den en la organización.
  • 25.
    4. Seguridad delPersonal  Respuestas a eventos de seguridad:  Objetivo:  Minimizar el daño del mal funcionamiento de software o de un incidente de seguridad y monitorear y aprender de tales incidentes.  Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes.  Usuarios deberán reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios.
  • 26.
    5. Seguridad Físicay ambiental  Respuestas a eventos de seguridad:  Objetivo:  Prevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio.  Los elementos que forman parte del procesamiento de información sensitiva o crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad definido con controles apropiados de entrada.  Los equipos deben ser protegidos de caídas de electricidad y otras anomalías eléctricas.
  • 27.
    6. Administración de Comunicacionesy Operaciones  Responsabilidades y procedimientos operacionales:  Objetivo:  Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.  Los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados constantemente.  Los cambios en los sistemas y elementos de procesamiento de información deben ser controlados.
  • 28.
    6. Administración de Comunicacionesy Operaciones  Responsabilidades y procedimientos operacionales:  Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, como:  Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.  Procedimientos para Planes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas de auditoría, Reporte a las autoridades, etc.
  • 29.
    6. Administración de Comunicacionesy Operaciones  Responsabilidades y procedimientos operacionales:  Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas, (las acciones de emergencias deben ser documentadas en detalle).  La segregación de tareas es un método de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas.  Áreas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Producción.
  • 30.
    6. Administración de Comunicacionesy Operaciones  Planeamiento y Aceptación de Sistemas:  Objetivo:  Minimizar los riesgos de fallas en los sistemas.  Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.  Deben establecerse criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptación.
  • 31.
    6. Administración de Comunicacionesy Operaciones  Protección contra Software Malicioso:  Objetivo:  Proteger la integridad del Software y la Información.  Controles contra Software Malicioso:  Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.  Política para proteger contra los riesgos asociados al obtener archivos o software de redes externas.  Instalación y actualización regular de Antivirus y software scaneador de computadoras cono una medida preventiva.
  • 32.
    6. Administración de Comunicacionesy Operaciones O Controles contra Software Malicioso: O Revisar regularmente del software y contenido de datos de los sistemas que soportan los sistemas críticos del negocio. O Revisar cualquier archivo electrónico contra virus. O Revisar los documentos adjuntos en correos electrónicos así como cualquier archivo que se baje de Internet contra código malicioso. O Procedimientos y responsabilidades administrativas para lidiar con la protección de virus en los sistemas, entrenamiento y reporte y recuperación de ataques. O Planes de Continuidad del Negocio para recuperarse ante ataques de virus. O Procedimientos para verificar todas la información en relación con software malicioso y verificar que los boletines de advertencia son verdaderos.
  • 33.
    6. Administración de Comunicacionesy Operaciones O Soporte Continuo. O Objetivo: O Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación.. O Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes controles: O Documentación de los Backups, copias adicionales y almacenadas en una localidad remota. O Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente.
  • 34.
    6. Administración de Comunicacionesy Operaciones  Administración de Redes.  Objetivo:  Asegurar la protección de la información en las redes así como de su infraestructura.  Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.  También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas.
  • 35.
    6. Administración de Comunicacionesy Operaciones  Seguridad y Manejo de los medios.  Objetivo:  Prevenir el daño a activos e interrupciones a actividades del negocio.  Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.  Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.  La documentación de sistemas puede contener información sensitiva por lo que debe ser almacenada con seguridad.
  • 36.
    6. Administración de Comunicacionesy Operaciones  Intercambio de información y software.  Objetivo:  Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.  El correo electrónico presenta los siguientes riesgos:  Vulnerabilidad de los mensajes ó acceso no autorizado.  Vulnerabilidad a errores (direcciones incorrectas).  Cambio en los esquemas de comunicación (más personal).  Consideraciones legales (prueba de origen).  Controles para el acceso remoto al correo.
  • 37.
    7. Controles deAcceso  Requerimientos del Negocio para el control de accesos:  Objetivo:  Controlar el acceso a la información.  Las reglas y derechos para el control de acceso de usuarios o grupos de usuarios deben estar bien claras en un documento de políticas de acceso.  Administración del Acceso a Usuarios  Objetivo:  Prevenir el acceso no autorizado a Sistemas de Información.  Deben existir procedimientos formales para el registro y eliminación de usuarios.
  • 38.
    7. Controles deAcceso  Deben existir procesos formales para el control de los password.  Usuarios deben seguir buenas prácticas de seguridad en la selección y uso de passwords.  Control de Acceso a la red  Objetivo:  Protección de los servicios de la red.  Se debe controlar el acceso a servicios internos y externos de la red.  Control de acceso al Sistema operativo  Objetivo:  Prevenir el acceso no autorizado a la computadora.  Restringir el acceso a recursos de la computadora.
  • 39.
    7. Controles deAcceso  Control de Acceso a Aplicaciones.  Objetivo:  Prevenir el acceso no autorizado a información mantenida en los Sistemas de Información.  Monitorear el uso y acceso a los sistemas  Los sistemas deben ser monitoreados para detectar desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad.  Computación Móvil.  Objetivo:  Asegurar la seguridad de la información cuando se utilizan dispositivos móviles.
  • 40.
    8. Desarrollo yMantenimiento de Sistemas  Requerimientos de Seguridad en los Sistemas.  Objetivo:  Asegurar que la seguridad es incluida en los Sistemas de Información.  Seguridad en las Aplicaciones  Prevenir la pérdida, modificación, o mal uso de los datos en las aplicaciones.  Seguridad en los archivos del Sistema.  Objetivo:  Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura.
  • 41.
    9. Administración dela Continuidad del Negocio  Objetivo:  Actuar ante interrupciones de las actividades del Negocio y proteger procesos críticos del negocio de los efectos de fallas o desastres considerables..  Marco de trabajo para el planeamiento de las actividades del negocio.  Un solo marco de trabajo de los planes de continuidad del negocio deben ser mantenidos para asegurarse que todos son desarrollados en forma consistentes , pruebas y mantenimiento.  Se deben probar con frecuencia los Planes de Continuidad.
  • 42.
    10. Cumplimiento  Objetivo:  Evitar brechas o violaciones a cualquier ley criminal o civil, regulatoria o contractual.  Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual.