Esta es una breve diapositiva acerca de la seguridad informatica de tecnologías de la información esta es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Aqui algunas pautas...
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de consultores de seguridad de la información.
Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).
Presentación de Norma ISO 17799, seguridad informática, como parte entrenamiento personal informático y no informático del Ministerior del Interior del Perú. Presentación elaborada durante el periodo en que brindé mis servicios como Consultor para el MINITER.
En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de consultores de seguridad de la información.
Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).
Presentación de Norma ISO 17799, seguridad informática, como parte entrenamiento personal informático y no informático del Ministerior del Interior del Perú. Presentación elaborada durante el periodo en que brindé mis servicios como Consultor para el MINITER.
En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Desarrollo de los talleres prácticos realizados en la asignatura de Gestión de la Seguridad Informática. La política de seguridad es basada en ISO 27001.
Los desafíos de calidad de software que nos trae la IA y los LLMsFederico Toledo
En esta charla, nos sumergiremos en los desafíos emergentes que la inteligencia artificial (IA) y los Large Language Models (LLMs) traen al mundo de la calidad del software y el testing. Exploraremos cómo la integración, uso o diseño de modelos de IA plantean nuevos retos, incluyendo la calidad de datos y detección de sesgos, sumando la complejidad de probar algo no determinístico. Revisaremos algunas propuestas que se están llevando adelante para ajustar nuestras tareas de testing al desarrollo de este tipo de sistemas, incluyendo enfoques de pruebas automatizadas y observabilidad.
Escaneo y eliminación de malware en el equiponicromante2000
El malware tiene muchas caras, y es que los programas maliciosos se reproducen en los ordenadores de diferentes formas. Ya se trate de virus, de programas espía o de troyanos, la presencia de software malicioso en los sistemas informáticos siempre debería evitarse. Aquí te muestro como trabaja un anti malware a la hora de analizar tu equipo
Si bien los hospitales conjuntan a profesionales de salud que atienden a la población, existe un equipo de organización, coordinación y administración que permite que los cuidados clínicos se otorguen de manera constante y sin obstáculos.
Mario García Baltazar, director del área de Tecnología (TI) del Hospital Victoria La Salle, relató la manera en la que el departamento que él lidera, apoyado en Cirrus y Estela, brinda servicio a los clientes internos de la institución e impulsa una experiencia positiva en el paciente.
Conoce el Hospital Victoria La Salle
Ubicado en Ciudad Victoria, Tamaulipas, México
Inició operaciones en el 2016
Forma parte del Consorcio Mexicanos de Hospitales
Hospital de segundo nivel
21 habitaciones para estancia
31 camas censables
13 camillas
2 quirófanos
+174 integrantes en su plantilla
+120 equipos médicos de alta tecnología
+900 pacientes atendidos
Servicios de +20 especialidades
Módulos utilizados de Cirrus
HIS
EHR
ERP
Estela - Business Intelligence
infografia del sena para analisis y desarrollo de software
Seguridad Informatica
1. 1
SISTEMA DE GESTION DESISTEMA DE GESTION DE
LA SEGURIDAD DE LALA SEGURIDAD DE LA
INFORMACIONINFORMACION
2. Información a Proteger
¿Cual es la información más valiosa que manejamos?
La información asociado a nuestros clientes.
La información asociado a nuestras ventas.
La información asociada a nuestro personal.
La información asociada a nuestros productos.
La información asociada a nuestras operaciones.
2
3. ¿Riesgos?
Pero si nunca paso nada!.
Esto no es real.
Lo que sucede es que hoy sabemos muy poco.
La empresa necesita contar con información sobre la
cual tomar decisiones a los efectos de establecer
controles necesarios y eficaces.
3
4. 4
Amenazas
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
5. 5
Más Amenazas!!
Captura de PC desde el exterior
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
Virus
Mails anónimos con agresionesMails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y
wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos
Propiedad de la información
Agujeros de seguridad de redes conectadas
Falsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
6. 6
Vulnerabilidades Comunes
Inadecuado compromiso de la dirección.
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignación de responsabilidades.
Ausencia de políticas/ procedimientos.
Ausencia de controles
(físicos/lógicos)
(disuasivos/preventivos/detectivos/correctivos)
Ausencia de reportes de incidentes y vulnerabilidades.
Inadecuado seguimiento y monitoreo de los controles.
7. ¿Seguridad de la Información ?
La información es un activo que como otros activos importantes
tiene valor y requiere en consecuencia una protección adecuada.
La información puede estar:
Impresa o escrita en papel.
Almacenada electrónicamente.
Trasmitida por correo o medios electrónicos
Mostrada en filmes.
Hablada en conversación.
Debe protegerse adecuadamente cualquiera que sea la forma
que tome o los medios por los que se comparte o almacene.
7
8. ¿Seguridad de la Información ?
La seguridad de la información se caracteriza aquí como la
preservación de:
su confidencialidad, asegurando que sólo quienes estén autorizados pueden
acceder a la información;
su integridad, asegurando que la información y sus métodos de proceso son
exactos y completos.
su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la
información y a sus activos asociados cuando lo requieran.
8
9. Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la
Información, podemos encontrar los siguientes:
ISACA: COBIT
British Standards Institute: BSI
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book /
Common Criteria
ITSEC – Information Technology Security Evaluation
Criteria: White Book
Sarbanes Oxley Act, HIPAA
9
10. ¿Cómo establecer los requisitos?
Es esencial que la Organización identifique sus
requisitos de seguridad.
Existen tres fuentes principales.
La primer fuente procede de la valoración de los
riesgos de la Organización. Con ella:
- Se identifican las amenazas a los activos,
- Se evalúa la vulnerabilidad y la probabilidad
de su ocurrencia.
- Se estima su posible impacto.
10
11. ¿Cómo establecer los requisitos?
La segunda fuente es el conjunto de requisitos legales,
estatutarios, regulatorios y contractuales que debe
satisfacer:
- la Organización,
- sus socios comerciales,
- los contratistas
- los proveedores de servicios.
La tercera fuente está formada por los principios,
objetivos y requisitos que la Organización ha
desarrollado para apoyar sus operaciones.
11
12. Origen de la normativa
Grupo de trabajo – enero 1993
Emisión de código – Septiembre 1993
Publicación de BS 7799-1 Febrero 1995
Publicación de BS 7799-2 Febrero 1998
Publicación BS7799: 1999 1 y 2 Abril 1999
ISO 17799 (BS 7799-1) – Diciembre 2000
BS 7799-2 - Publicado en Septiembre 2002.
ISO 17799 - Publicado Julio 2005
ISO 27001 – Publicado Noviembre 2005.
12
13. ISO/IEC 17799:2000
10 Áreas de Control
Política de Seguridad
Aspectos organizativos para la seguridad
Clasificación y control de los activos
Seguridad ligada al personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de continuidad del negocio
Conformidad
13
14. ISO/IEC 17799:2005
11 Áreas de Control
Política de Seguridad
Organización de la Seguridad de la Información
Gestión de Activos
Seguridad en los Recursos Humanos
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Adquisición, desarrollo y mantenimiento de sistemas de
información
Gestión de incidentes de seguridad
Gestión de continuidad del negocio
Conformidad
14
15. SGSI
El sistema de gestión de la seguridad de la información
(SGSI) es la parte del sistema de gestión de la empresa,
basado en un enfoque de riesgos del negocio, para:
establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la información.
Incluye.
Estructura, políticas, actividades, responsabilidades,
prácticas, procedimientos, procesos y recueros.
15
16. (Planificar /Hacer /Verificar /Actuar)
Modelo utilizado para establecer, implementar, monitorear y
mejorar el SGSI.
Implementar y
operar el SGSI
Monitorear
el SGSI
Mantener y
Mejorar el SGSI
Establecer
el SGSI
16
Planificar
VerificarHacer
Actuar
Partes
Interesadas
Partes
Interesadas
Requisitos y
expectativas
Seguridad
Gestionada
17. Planificar /Hacer /Verificar /Actuar
El SGSI adopta el siguiente modelo:
17
PHVA
Planificar
Verificar
Hacer
Actuar
Definir la política de seguridad
Establecer el alcance del SGSI
Realizar los análisis de riesgos
Seleccionar los controles
Implantar el plan de gestión de riesgos
Implantar el SGSI
Implantar los controles.
Implantar indicadores.
Revisiones del SGSI por parte de
la Dirección.
Realizar auditorías internas del SGSI
Adoptar acciones correctivas
Adoptar acciones preventivas
18. Establecer el SGSI (Plan)
Establecer la política de seguridad, objetivos, metas,
procesos y procedimientos relevantes para manejar
riesgos y mejorar la seguridad de la información para
generar resultados de acuerdo con una política y
objetivos marco de la organización.
Definir el alcance del SGSI a la luz de la
organización.
Definir la Política de Seguridad.
Aplicar un enfoque sistémico para evaluar el riesgo.
No se establece una metodología a seguir.
18
19. Establecer el SGSI (Plan)
Identificar y evaluar opciones para tratar el riesgo
Mitigar, eliminar, transferir, aceptar
Seleccionar objetivos de Control y controles a
implementar (Mitigar).
A partir de los controles definidos por la ISO/IEC 17799
Establecer enunciado de aplicabilidad
19
20. Implementar y operar
Implementar y operar la política de seguridad,
controles, procesos y procedimientos.
Implementar plan de tratamiento de riesgos.
Transferir, eliminar, aceptar
Implementar los controles seleccionados.
Mitigar
Aceptar riesgo residual.
Firma de la alta dirección para riesgos que superan el nivel
definido.
20
21. Implementar y operar
Implementar medidas para evaluar la eficacia de
los controles
Gestionar operaciones y recursos.
Implementar programas de Capacitación y
concientización.
Implementar procedimientos y controles de
detección y respuesta a incidentes.
21
22. Monitoreo y Revisión (Check)
Evaluar y medir la performance de los procesos contra la
política de seguridad, los objetivos y experiencia practica
y reportar los resultados a la dirección para su revisión.
Revisar el nivel de riesgo residual aceptable, considerando:
Cambios en la organización.
Cambios en la tecnologías.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej.
Regulaciones, leyes).
Realizar auditorias internas.
Realizar revisiones por parte de la dirección del SGSI.
22
23. Monitoreo y Revisión (Check)
Se debe establecer y ejecutar procedimientos de
monitoreo para:
Detectar errores.
Identificar ataques a la seguridad fallidos y
exitosos.
Brindar a la gerencia indicadores para determinar
la adecuación de los controles y el logro de los
objetivos de seguridad.
Determinar las acciones realizadas para resolver
brechas a la seguridad.
Mantener registros de las acciones y eventos que pueden
impactar al SGSI.
Realizar revisiones regulares a la eficiencia del SGSI.
23
24. Mantenimiento y mejora del SGSI (Act)
Tomar acciones correctivas y preventivas, basadas en
los resultados de la revisión de la dirección, para
lograr la mejora continua del SGSI.
Medir el desempeño del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las apropiadas acciones a implementar en el ciclo en
cuestión (preventivas y correctivas).
Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.
24
25. 25
Documentación del SGSI
MANUAL DE
SEGURIDAD
Contenido de los documentos
Describe el sistema de gestión de la seguridad
PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
Describe los procesos y las actividades
REGISTROS
Son evidencias objetivas de la ejecución
de procesos, actividades o tareas
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)
Describe tareas y requisitos
26. Requisitos de Certificación del SGSI
La norma establece requisitos para Establecer,
Implementar y Documentar un SGSI.
Definir el alcance del SGSI (fronteras)
Definir una política de seguridad
Identificar activos
Realizar el análisis de riesgos de activos.
Identificar las áreas débiles de los activo
Tomar decisiones para manejar el riesgo
Seleccionar los controles apropiados
Implementar y manejar los controles seleccionados
Elaborar la declaración de aplicabilidad
26
27. Objetivos de auditoria
Para obtener la certificación.
Revisar conformidad con la norma
Revisar grado de puesta en práctica del sistema
Revisar la eficacia y adecuación en el cumplimiento de:
Política de seguridad
Objetivos de seguridad
Identificar las fallas y debilidades en la seguridad
Proporcionar una oportunidad para mejorar el SGSI
Cumplir requisitos contractuales.
Cumplir requisitos regulatorios.
27
28. Certificación del SGSI
La certificación no implica que la organización a
obtenido determinado niveles de seguridad de la
información para sus productos y/o servicios.
Las organizaciones certificadas pueden tener
mayor confianza es su capacidad para gestionar la
seguridad de la información, y por ende ayudara a
asegurar a sus socios, clientes, y accionistas con
quien hacen negocios.
Certificado con duración de 3 años.
28
29. Comencemos el proceso
Reporte cualquier Incidente, evento, debilidad,
etc. que a su entender afecte a la seguridad
(disponibilidad, integridad, confidencialidad)
No divulgue información sensible.
Destruya adecuadamente la información sensible.
Siga los lineamientos, políticas y procedimientos
que se le distribuirán.
Haga preguntas.
29
30. Comencemos el camino.
Mantenga su contraseña confidencial.
Sea conciente de los riesgos que están asociados a
una acción o recurso.
Las medidas implementadas tienen un motivo.
Nuestra seguridad depende de usted.Nuestra seguridad depende de usted.
La obtención de la certificación también.La obtención de la certificación también.
30