SlideShare una empresa de Scribd logo

Seguridad Informatica

Descargar como PPT, PDF
M
Mariana Heredia Thorne

Esta es una breve diapositiva acerca de la seguridad informatica de tecnologías de la información esta es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Aqui algunas pautas...

Software
1 de 30
1 SISTEMA DE GESTION DESISTEMA DE GESTION DE LA SEGURIDAD DE LALA SEGURIDAD DE LA INFORMACIONINFORMACION
Información a Proteger  ¿Cual es la información más valiosa que manejamos?  La información asociado a nuestros clientes.  La información asociado a nuestras ventas.  La información asociada a nuestro personal.  La información asociada a nuestros productos.  La información asociada a nuestras operaciones. 2
¿Riesgos?  Pero si nunca paso nada!.  Esto no es real.  Lo que sucede es que hoy sabemos muy poco.  La empresa necesita contar con información sobre la cual tomar decisiones a los efectos de establecer controles necesarios y eficaces. 3
4 Amenazas Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Hacking de Centrales Telefónicas Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados Violación de la privacidad de los empleados Fraudes informáticos Destrucción de equipamiento
5 Más Amenazas!! Captura de PC desde el exterior Violación de contraseñas Interrupción de los servicios Intercepción y modificación y violación de e-mails Virus Mails anónimos con agresionesMails anónimos con agresiones Incumplimiento de leyes y regulaciones Robo o extravío de notebooks, palms empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones voz y wireless Programas “bomba, troyanos” Acceso indebido a documentos impresos Propiedad de la información Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Ingeniería social
6 Vulnerabilidades Comunes  Inadecuado compromiso de la dirección.  Personal inadecuadamente capacitado y concientizado.  Inadecuada asignación de responsabilidades.  Ausencia de políticas/ procedimientos.  Ausencia de controles  (físicos/lógicos)  (disuasivos/preventivos/detectivos/correctivos)  Ausencia de reportes de incidentes y vulnerabilidades.  Inadecuado seguimiento y monitoreo de los controles.
¿Seguridad de la Información ?  La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada.  La información puede estar:  Impresa o escrita en papel.  Almacenada electrónicamente.  Trasmitida por correo o medios electrónicos  Mostrada en filmes.  Hablada en conversación.  Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene. 7
¿Seguridad de la Información ?  La seguridad de la información se caracteriza aquí como la preservación de:  su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;  su integridad, asegurando que la información y sus métodos de proceso son exactos y completos.  su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. 8
Normas aplicables  Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes:  ISACA: COBIT  British Standards Institute: BSI  International Standards Organization: Normas ISO  Departamento de Defensa de USA: Orange Book / Common Criteria  ITSEC – Information Technology Security Evaluation Criteria: White Book  Sarbanes Oxley Act, HIPAA 9
¿Cómo establecer los requisitos?  Es esencial que la Organización identifique sus requisitos de seguridad.  Existen tres fuentes principales.  La primer fuente procede de la valoración de los riesgos de la Organización. Con ella: - Se identifican las amenazas a los activos, - Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia. - Se estima su posible impacto. 10
¿Cómo establecer los requisitos?  La segunda fuente es el conjunto de requisitos legales, estatutarios, regulatorios y contractuales que debe satisfacer: - la Organización, - sus socios comerciales, - los contratistas - los proveedores de servicios.  La tercera fuente está formada por los principios, objetivos y requisitos que la Organización ha desarrollado para apoyar sus operaciones. 11
Origen de la normativa  Grupo de trabajo – enero 1993  Emisión de código – Septiembre 1993  Publicación de BS 7799-1 Febrero 1995  Publicación de BS 7799-2 Febrero 1998  Publicación BS7799: 1999 1 y 2 Abril 1999  ISO 17799 (BS 7799-1) – Diciembre 2000  BS 7799-2 - Publicado en Septiembre 2002.  ISO 17799 - Publicado Julio 2005  ISO 27001 – Publicado Noviembre 2005. 12
ISO/IEC 17799:2000  10 Áreas de Control  Política de Seguridad  Aspectos organizativos para la seguridad  Clasificación y control de los activos  Seguridad ligada al personal  Seguridad física y del entorno  Gestión de comunicaciones y operaciones  Control de accesos  Desarrollo y mantenimiento de sistemas  Gestión de continuidad del negocio  Conformidad 13
ISO/IEC 17799:2005  11 Áreas de Control  Política de Seguridad  Organización de la Seguridad de la Información  Gestión de Activos  Seguridad en los Recursos Humanos  Seguridad física y del entorno  Gestión de comunicaciones y operaciones  Control de accesos  Adquisición, desarrollo y mantenimiento de sistemas de información  Gestión de incidentes de seguridad  Gestión de continuidad del negocio  Conformidad 14
SGSI  El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para:  establecer,  implementar,  operar,  monitorear,  mantener y mejorar la seguridad de la información.  Incluye.  Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recueros. 15
(Planificar /Hacer /Verificar /Actuar)  Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI. Implementar y operar el SGSI Monitorear el SGSI Mantener y Mejorar el SGSI Establecer el SGSI 16 Planificar VerificarHacer Actuar Partes Interesadas Partes Interesadas Requisitos y expectativas Seguridad Gestionada
Planificar /Hacer /Verificar /Actuar  El SGSI adopta el siguiente modelo: 17 PHVA Planificar Verificar Hacer Actuar Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles. Implantar indicadores. Revisiones del SGSI por parte de la Dirección. Realizar auditorías internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas
Establecer el SGSI (Plan)  Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización.  Definir el alcance del SGSI a la luz de la organización.  Definir la Política de Seguridad.  Aplicar un enfoque sistémico para evaluar el riesgo.  No se establece una metodología a seguir. 18
Establecer el SGSI (Plan)  Identificar y evaluar opciones para tratar el riesgo  Mitigar, eliminar, transferir, aceptar  Seleccionar objetivos de Control y controles a implementar (Mitigar).  A partir de los controles definidos por la ISO/IEC 17799  Establecer enunciado de aplicabilidad 19
Implementar y operar  Implementar y operar la política de seguridad, controles, procesos y procedimientos.  Implementar plan de tratamiento de riesgos.  Transferir, eliminar, aceptar  Implementar los controles seleccionados.  Mitigar  Aceptar riesgo residual.  Firma de la alta dirección para riesgos que superan el nivel definido. 20
Implementar y operar  Implementar medidas para evaluar la eficacia de los controles  Gestionar operaciones y recursos.  Implementar programas de Capacitación y concientización.  Implementar procedimientos y controles de detección y respuesta a incidentes. 21
Monitoreo y Revisión (Check)  Evaluar y medir la performance de los procesos contra la política de seguridad, los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión.  Revisar el nivel de riesgo residual aceptable, considerando:  Cambios en la organización.  Cambios en la tecnologías.  Cambios en los objetivos del negocio.  Cambios en las amenazas.  Cambios en las condiciones externas (ej. Regulaciones, leyes).  Realizar auditorias internas.  Realizar revisiones por parte de la dirección del SGSI. 22
Monitoreo y Revisión (Check)  Se debe establecer y ejecutar procedimientos de monitoreo para:  Detectar errores.  Identificar ataques a la seguridad fallidos y exitosos.  Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.  Determinar las acciones realizadas para resolver brechas a la seguridad.  Mantener registros de las acciones y eventos que pueden impactar al SGSI.  Realizar revisiones regulares a la eficiencia del SGSI. 23
Mantenimiento y mejora del SGSI (Act)  Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.  Medir el desempeño del SGSI.  Identificar mejoras en el SGSI a fin de implementarlas.  Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).  Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.  Revisar el SGSI donde sea necesario implementando las acciones seleccionadas. 24
25 Documentación del SGSI MANUAL DE SEGURIDAD Contenido de los documentos Describe el sistema de gestión de la seguridad PROCEDIMIENTOS DOCUMENTADOS EXIGIDOS POR LA NORMA Describe los procesos y las actividades REGISTROS Son evidencias objetivas de la ejecución de procesos, actividades o tareas OTROS DOCUMENTOS DEL SGSI (INSTRUCCIONES DE TRABAJO, FORMULARIOS, ESPECIFICACIONES Y OTROS) Describe tareas y requisitos
Requisitos de Certificación del SGSI  La norma establece requisitos para Establecer, Implementar y Documentar un SGSI.  Definir el alcance del SGSI (fronteras)  Definir una política de seguridad  Identificar activos  Realizar el análisis de riesgos de activos.  Identificar las áreas débiles de los activo  Tomar decisiones para manejar el riesgo  Seleccionar los controles apropiados  Implementar y manejar los controles seleccionados  Elaborar la declaración de aplicabilidad 26
Objetivos de auditoria  Para obtener la certificación.  Revisar conformidad con la norma  Revisar grado de puesta en práctica del sistema  Revisar la eficacia y adecuación en el cumplimiento de:  Política de seguridad  Objetivos de seguridad  Identificar las fallas y debilidades en la seguridad  Proporcionar una oportunidad para mejorar el SGSI  Cumplir requisitos contractuales.  Cumplir requisitos regulatorios. 27
Certificación del SGSI  La certificación no implica que la organización a obtenido determinado niveles de seguridad de la información para sus productos y/o servicios.  Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la información, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios.  Certificado con duración de 3 años. 28
Comencemos el proceso  Reporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad)  No divulgue información sensible.  Destruya adecuadamente la información sensible.  Siga los lineamientos, políticas y procedimientos que se le distribuirán.  Haga preguntas. 29
Comencemos el camino.  Mantenga su contraseña confidencial.  Sea conciente de los riesgos que están asociados a una acción o recurso.  Las medidas implementadas tienen un motivo.  Nuestra seguridad depende de usted.Nuestra seguridad depende de usted.  La obtención de la certificación también.La obtención de la certificación también. 30

Recomendados

Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
Jorge Pariasca
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
Kevin Quiroz Flores
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe
 

Recomendados

Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
Jorge Pariasca
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
Kevin Quiroz Flores
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)Yadi De La Cruz
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
MarcosPassarello2
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
Ramiro Cid
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
Cuidando mi Automovil
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
Upon Software SA
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Jack Daniel Cáceres Meza
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera
 

Más contenido relacionado

La actualidad más candente

Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
MarcosPassarello2
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
Ramiro Cid
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
Cuidando mi Automovil
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
Upon Software SA
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Jack Daniel Cáceres Meza
 

La actualidad más candente (20)

Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 

Similar a Seguridad Informatica

Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
lizardods
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
David Eliseo Martinez Castellanos
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.peponlondon
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
dcordova923
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
ferd3116
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
Angelica Lopera
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 

Similar a Seguridad Informatica (20)

Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 

Último

CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJECONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
SamuelGampley
 
PitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesPitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitales
juanorejuela499
 
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
cuentauniversidad34
 
Los desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMsLos desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMs
Federico Toledo
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipo
nicromante2000
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdf
juanjosebarreiro704
 
trabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docxtrabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docx
lasocharfuelan123
 
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORDFICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
RobertSotilLujn
 
Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La Salle
Ecaresoft Inc.
 
infografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de softwareinfografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de software
oscartorres960914
 

Último (10)

CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJECONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
CONCEPTOS DE PROGRAMACION CUALQUIER LENGUAJE
 
PitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitalesPitchCollabART uniendo talentos, creando maravillas digitales
PitchCollabART uniendo talentos, creando maravillas digitales
 
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
experiencia de aprendizaje sobre lectura y escritura como herramientas de ap...
 
Los desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMsLos desafíos de calidad de software que nos trae la IA y los LLMs
Los desafíos de calidad de software que nos trae la IA y los LLMs
 
Escaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipoEscaneo y eliminación de malware en el equipo
Escaneo y eliminación de malware en el equipo
 
Maquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdfMaquina de Dibujo y Escritura Automática.pdf
Maquina de Dibujo y Escritura Automática.pdf
 
trabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docxtrabajo integrador final sofi y vane.docx
trabajo integrador final sofi y vane.docx
 
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORDFICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
FICHA DE TRABAJO DE CREACION DE TABLAS EN WORD
 
Caso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La SalleCaso de exito Cirrus - Hospital La Salle
Caso de exito Cirrus - Hospital La Salle
 
infografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de softwareinfografia del sena para analisis y desarrollo de software
infografia del sena para analisis y desarrollo de software
 

Seguridad Informatica

  • 1. 1 SISTEMA DE GESTION DESISTEMA DE GESTION DE LA SEGURIDAD DE LALA SEGURIDAD DE LA INFORMACIONINFORMACION
  • 2. Información a Proteger  ¿Cual es la información más valiosa que manejamos?  La información asociado a nuestros clientes.  La información asociado a nuestras ventas.  La información asociada a nuestro personal.  La información asociada a nuestros productos.  La información asociada a nuestras operaciones. 2
  • 3. ¿Riesgos?  Pero si nunca paso nada!.  Esto no es real.  Lo que sucede es que hoy sabemos muy poco.  La empresa necesita contar con información sobre la cual tomar decisiones a los efectos de establecer controles necesarios y eficaces. 3
  • 4. 4 Amenazas Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Hacking de Centrales Telefónicas Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados Violación de la privacidad de los empleados Fraudes informáticos Destrucción de equipamiento
  • 5. 5 Más Amenazas!! Captura de PC desde el exterior Violación de contraseñas Interrupción de los servicios Intercepción y modificación y violación de e-mails Virus Mails anónimos con agresionesMails anónimos con agresiones Incumplimiento de leyes y regulaciones Robo o extravío de notebooks, palms empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones voz y wireless Programas “bomba, troyanos” Acceso indebido a documentos impresos Propiedad de la información Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Ingeniería social
  • 6. 6 Vulnerabilidades Comunes  Inadecuado compromiso de la dirección.  Personal inadecuadamente capacitado y concientizado.  Inadecuada asignación de responsabilidades.  Ausencia de políticas/ procedimientos.  Ausencia de controles  (físicos/lógicos)  (disuasivos/preventivos/detectivos/correctivos)  Ausencia de reportes de incidentes y vulnerabilidades.  Inadecuado seguimiento y monitoreo de los controles.
  • 7. ¿Seguridad de la Información ?  La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada.  La información puede estar:  Impresa o escrita en papel.  Almacenada electrónicamente.  Trasmitida por correo o medios electrónicos  Mostrada en filmes.  Hablada en conversación.  Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene. 7
  • 8. ¿Seguridad de la Información ?  La seguridad de la información se caracteriza aquí como la preservación de:  su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;  su integridad, asegurando que la información y sus métodos de proceso son exactos y completos.  su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. 8
  • 9. Normas aplicables  Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes:  ISACA: COBIT  British Standards Institute: BSI  International Standards Organization: Normas ISO  Departamento de Defensa de USA: Orange Book / Common Criteria  ITSEC – Information Technology Security Evaluation Criteria: White Book  Sarbanes Oxley Act, HIPAA 9
  • 10. ¿Cómo establecer los requisitos?  Es esencial que la Organización identifique sus requisitos de seguridad.  Existen tres fuentes principales.  La primer fuente procede de la valoración de los riesgos de la Organización. Con ella: - Se identifican las amenazas a los activos, - Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia. - Se estima su posible impacto. 10
  • 11. ¿Cómo establecer los requisitos?  La segunda fuente es el conjunto de requisitos legales, estatutarios, regulatorios y contractuales que debe satisfacer: - la Organización, - sus socios comerciales, - los contratistas - los proveedores de servicios.  La tercera fuente está formada por los principios, objetivos y requisitos que la Organización ha desarrollado para apoyar sus operaciones. 11
  • 12. Origen de la normativa  Grupo de trabajo – enero 1993  Emisión de código – Septiembre 1993  Publicación de BS 7799-1 Febrero 1995  Publicación de BS 7799-2 Febrero 1998  Publicación BS7799: 1999 1 y 2 Abril 1999  ISO 17799 (BS 7799-1) – Diciembre 2000  BS 7799-2 - Publicado en Septiembre 2002.  ISO 17799 - Publicado Julio 2005  ISO 27001 – Publicado Noviembre 2005. 12
  • 13. ISO/IEC 17799:2000  10 Áreas de Control  Política de Seguridad  Aspectos organizativos para la seguridad  Clasificación y control de los activos  Seguridad ligada al personal  Seguridad física y del entorno  Gestión de comunicaciones y operaciones  Control de accesos  Desarrollo y mantenimiento de sistemas  Gestión de continuidad del negocio  Conformidad 13
  • 14. ISO/IEC 17799:2005  11 Áreas de Control  Política de Seguridad  Organización de la Seguridad de la Información  Gestión de Activos  Seguridad en los Recursos Humanos  Seguridad física y del entorno  Gestión de comunicaciones y operaciones  Control de accesos  Adquisición, desarrollo y mantenimiento de sistemas de información  Gestión de incidentes de seguridad  Gestión de continuidad del negocio  Conformidad 14
  • 15. SGSI  El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para:  establecer,  implementar,  operar,  monitorear,  mantener y mejorar la seguridad de la información.  Incluye.  Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recueros. 15
  • 16. (Planificar /Hacer /Verificar /Actuar)  Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI. Implementar y operar el SGSI Monitorear el SGSI Mantener y Mejorar el SGSI Establecer el SGSI 16 Planificar VerificarHacer Actuar Partes Interesadas Partes Interesadas Requisitos y expectativas Seguridad Gestionada
  • 17. Planificar /Hacer /Verificar /Actuar  El SGSI adopta el siguiente modelo: 17 PHVA Planificar Verificar Hacer Actuar Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles. Implantar indicadores. Revisiones del SGSI por parte de la Dirección. Realizar auditorías internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas
  • 18. Establecer el SGSI (Plan)  Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización.  Definir el alcance del SGSI a la luz de la organización.  Definir la Política de Seguridad.  Aplicar un enfoque sistémico para evaluar el riesgo.  No se establece una metodología a seguir. 18
  • 19. Establecer el SGSI (Plan)  Identificar y evaluar opciones para tratar el riesgo  Mitigar, eliminar, transferir, aceptar  Seleccionar objetivos de Control y controles a implementar (Mitigar).  A partir de los controles definidos por la ISO/IEC 17799  Establecer enunciado de aplicabilidad 19
  • 20. Implementar y operar  Implementar y operar la política de seguridad, controles, procesos y procedimientos.  Implementar plan de tratamiento de riesgos.  Transferir, eliminar, aceptar  Implementar los controles seleccionados.  Mitigar  Aceptar riesgo residual.  Firma de la alta dirección para riesgos que superan el nivel definido. 20
  • 21. Implementar y operar  Implementar medidas para evaluar la eficacia de los controles  Gestionar operaciones y recursos.  Implementar programas de Capacitación y concientización.  Implementar procedimientos y controles de detección y respuesta a incidentes. 21
  • 22. Monitoreo y Revisión (Check)  Evaluar y medir la performance de los procesos contra la política de seguridad, los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión.  Revisar el nivel de riesgo residual aceptable, considerando:  Cambios en la organización.  Cambios en la tecnologías.  Cambios en los objetivos del negocio.  Cambios en las amenazas.  Cambios en las condiciones externas (ej. Regulaciones, leyes).  Realizar auditorias internas.  Realizar revisiones por parte de la dirección del SGSI. 22
  • 23. Monitoreo y Revisión (Check)  Se debe establecer y ejecutar procedimientos de monitoreo para:  Detectar errores.  Identificar ataques a la seguridad fallidos y exitosos.  Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.  Determinar las acciones realizadas para resolver brechas a la seguridad.  Mantener registros de las acciones y eventos que pueden impactar al SGSI.  Realizar revisiones regulares a la eficiencia del SGSI. 23
  • 24. Mantenimiento y mejora del SGSI (Act)  Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.  Medir el desempeño del SGSI.  Identificar mejoras en el SGSI a fin de implementarlas.  Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).  Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.  Revisar el SGSI donde sea necesario implementando las acciones seleccionadas. 24
  • 25. 25 Documentación del SGSI MANUAL DE SEGURIDAD Contenido de los documentos Describe el sistema de gestión de la seguridad PROCEDIMIENTOS DOCUMENTADOS EXIGIDOS POR LA NORMA Describe los procesos y las actividades REGISTROS Son evidencias objetivas de la ejecución de procesos, actividades o tareas OTROS DOCUMENTOS DEL SGSI (INSTRUCCIONES DE TRABAJO, FORMULARIOS, ESPECIFICACIONES Y OTROS) Describe tareas y requisitos
  • 26. Requisitos de Certificación del SGSI  La norma establece requisitos para Establecer, Implementar y Documentar un SGSI.  Definir el alcance del SGSI (fronteras)  Definir una política de seguridad  Identificar activos  Realizar el análisis de riesgos de activos.  Identificar las áreas débiles de los activo  Tomar decisiones para manejar el riesgo  Seleccionar los controles apropiados  Implementar y manejar los controles seleccionados  Elaborar la declaración de aplicabilidad 26
  • 27. Objetivos de auditoria  Para obtener la certificación.  Revisar conformidad con la norma  Revisar grado de puesta en práctica del sistema  Revisar la eficacia y adecuación en el cumplimiento de:  Política de seguridad  Objetivos de seguridad  Identificar las fallas y debilidades en la seguridad  Proporcionar una oportunidad para mejorar el SGSI  Cumplir requisitos contractuales.  Cumplir requisitos regulatorios. 27
  • 28. Certificación del SGSI  La certificación no implica que la organización a obtenido determinado niveles de seguridad de la información para sus productos y/o servicios.  Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la información, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios.  Certificado con duración de 3 años. 28
  • 29. Comencemos el proceso  Reporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad)  No divulgue información sensible.  Destruya adecuadamente la información sensible.  Siga los lineamientos, políticas y procedimientos que se le distribuirán.  Haga preguntas. 29
  • 30. Comencemos el camino.  Mantenga su contraseña confidencial.  Sea conciente de los riesgos que están asociados a una acción o recurso.  Las medidas implementadas tienen un motivo.  Nuestra seguridad depende de usted.Nuestra seguridad depende de usted.  La obtención de la certificación también.La obtención de la certificación también. 30