Jesenia Ocaña Escobar, profile picture
Subido porJesenia Ocaña Escobar
PPTX, PDF744 vistas

Seguridad informática

El documento habla sobre la seguridad informática. Define la seguridad informática como el conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información almacenada en un sistema de información. También menciona que la Norma Técnica Peruana establece 11 dominios relacionados a la seguridad informática como políticas de seguridad, gestión de activos, control de acceso, etc. Finalmente, señala que los Recursos Humanos juegan un papel

Incrustar presentación

Descargado 16 veces
Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar las disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.
INFORMÁTICA TV RADIO PC IMPRESORA FOTOCOPIADORA INTERNET
Es el método permitido por las empresas para proteger el sistema informático. Personas de alto conocimiento en el sector informático cuyo fin tiene cumplir la información. ETHICAL HACKING HACKER
DATOS CONTRATOS PLANTILLAS CUENTAS BANCARIAS WEB IMEI: Identificación del celular IP: Identificación del equipo en la red INFORMACIÓN
GENERALIDADES LA FAMILIA ISO NORMAS ISO 9 000 NORMAS ISO 10 000 NORMAS ISO 14 000 NORMAS ISO 27 000 La información estándar ISO tiene sus siglas como significado “Organización Internacional de Normalización”. CERTIFICACIÓN DE CALIDAD Evalúa los productos que ofrece los proveedores para su exportación a nivel internacional NORMAS ISO
Sistema de gestión de calidad, fundamentos, vocabulario, requisitos, elementos del sistema de calidad, directrices para la mejora del desempeño. Guías para implementar sistemas de gestión de calidad, reportes técnicos, planes de calidad, gestión de proyectos, gestión de aspectos económicos. ISO 10 000 ISO 9 000
Sistema de gestión ambiental de las organizaciones. Principios ambientales, etiquetado ambiental, siclo de vida del producto programas de revisión ambiental auditorias. Es el conjunto de estándares desarrollados o en fase de desarrollo por ISO e IEC , que proporciona un marco de la gestión de la seguridad de la información utilizable por cualquier tipo de organización pública o privada, grande o pequeña. ISO 14 000 ISO 27 000
La Certificación de Producto es un proceso mediante el cual se garantiza la calidad y/o las características de un producto final según lo establecido en una norma específica u otros documentos preestablecidos. Este proceso comprende la realización de auditorías en las empresas objeto de certificación, mediante la evaluación de los sistemas de calidad y de producción de las empresas, mediante la evaluación de ensayos de muestras tomadas en fábrica y de los productos finales. PROCESO DE SERTIFICACIÓN
Oficina Nacional De Gobierno Electrónico E Informática .es el órgano técnico especializado que depende del despacho de la PCM ”Presidencia Del Consejo De Ministros”. TIPOS DE AMENAZAS oEscalamiento de privilegios. oFraudes informáticos. oPuertos vulnerables abiertos. oViolación de la privacidad de los empleados. oDenegación de servicio. oÚltimos parches no instalados. oDestrucción de equipamiento. oDesactualización. oInstalaciones default. oPassword cracking. oExploits. ONGEI
ONGEI ENTIDAD POLÍTICA DE SEG. INFORMÁTICA DOCUMENTOS DE POLÍTICA DE S.I. REVISIÓN Y EVALUACIÓN CONTROL GUíA DE IMPLEMENTACIÓN CONTROL GUÍA DE IMPLEMENTACIÓN Revisión y planificación con el fin de asegurar su uso continuo. Aprobar, publicar y comunicar. a) Definición general S.I. objetivos globales. b) El soporte de aspectos generales. c) Evaluación y riesgo. d) Breve explicación de las políticas. e) Responsabilidades e incidencias. f) Referencia y sustentación. a) Retroalimentación. b) Resultados. c) Acciones preventivas y correctivas. d) Resultado de revisiones. e) Desarrollo de proceso y cumplimiento. f) Posibles cambios que puedan afectar el alcance de la organización. g) Tendencia relacionadas con amenazas y vulnerabilidad. h) Incidentes reportados de seguridad de información. i) Recomendaciones dadas por las autoridades. OBJETIVO: Definir y dar soporte a la S.I.
LA NORMA NTP Y SU ACTUALIZACIÓN  Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.  Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
LOS 11 DOMINIOS
Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.
Responde a la necesidad de proteger las áreas, el equipo y los controles generales. objetivos de esta sección son: • Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. • Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. • Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. • Garantizar la protección de la información en las redes y de la infraestructura de soporte. • Evitar daños a los recursos de información e interrupciones en las actividades de la institución. • Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.
Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDADA 1. Organización Interna La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa. Comité de gestión de seguridad de la información La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información. Coordinación de la seguridad de la información La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.
Asignación de responsabilidades sobre seguridad de la información Deberían definirse claramente las responsabilidades. Proceso de autorización de recursos para el tratamiento de la información Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información. Acuerdos de confidencialidad de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente. Contacto con autoridades Deben ser mantenidos contactos apropiados con autoridades relevantes. Contacto con grupos de interés especial Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales.
Revisión independiente de la seguridad de la información. alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran. 2. Seguridad en los accesos de terceras partes La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros. Identificación de riesgos por el acceso de terceros Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos. Requisitos de seguridad cuando sea trata con clientes Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.
CLASIFICACIÓN Y CONTROL DE ACTIVOS Respecto a las herramientas necesarias, se trata de elaborar unas bases de datos, para lo cual debería bastarte con los programas informáticos más habituales. Desde Internet es posible descargar modelos de hojas de inventario en Excel. Según vayas haciendo el recuento de las existencias físicas reales (tal como se les denomina en la jerga), producto a producto y referencia a referencia, y sepas el número de unidades que tienes de cada cosa, es importante que introduzcas esa cifra en una aplicación informática. Eso te permitirá comparar el dato con el que figura en tus archivos de control. En caso de que haya diferencias en los números, estaremos ante una desviación, ya sea negativa o positiva (que falten o sobren productos). Si concluido este recuento resulta que tus existencias no coinciden finalmente con las que esperabas, has de hacer una valoración de esa desviación o desajuste para proceder a su regularización. Dicho de forma más sencilla: debes ajustar las cifras de tus libros de acuerdo con la realidad. Cuando realizas el recuento del inventario, estás obteniendo también los datos para tu inventario contable, y la regularización es por tanto “una regularización contable, que afecta al balance de la compañía”, explica Márquez de la Cuesta.
TUS MÁRGENES DE MANIOBRA A modo de referencia, que sepas que siguiendo la llamada “clasificación ABC” las empresas suelen considerar admisible una desviación distinta dependiendo del tipo de producto. Para los artículos de clase A (los más valiosos para tu negocio), la desviación debería ser de cero; en la clase B se toleraría una máxima del +/-1%, mientras que en los productos de clase C se admite un margen máximo de hasta dos puntos porcentuales. Si los desajustes son graves, puedes plantearte hacer un análisis histórico de los movimientos de entrada y salida, en busca de posibles fallos en los registros que te aclaren los bailes de cifras y ayuden a evitar otros. “En ese caso –aclara Márquez de la Cuesta–, en lugar de una regularización contable lo que tendrías que hacer es la rectificación de un movimiento erróneo”.
LA SEGURIDAD DE LA INFORMACIÓN EN LOS RECURSOS HUMANOS Se dedica a la gestión de Recursos Humanos ¿Qué es seguridad de la información? consiste en proteger uno de los principales activos de cualquier empresa: la información Los tres fundamentos básicos de la seguridad en la información son: Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla. Integridad. La información debe ser correcta y completa. Disponibilidad. La información debe estar disponible siempre que sea necesario. ¿Qué tiene que ver la seguridad con los Recursos Humanos? al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. deben gestionar adecuadamente este importante recurso de la empresa.
¿No debe ser el departamento de Seguridad quien se encargue de estos temas? no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la Organización. Cada área de Negocio juega su papel Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos. Reclutamiento y salida de empleados Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma. Reclutamiento Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio. Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales. Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos.
Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado: •Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc. •Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente. Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión. Salida de empleados La salida de un empleado es un punto crítico de riesgo para la Organización. Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del emplea IT se ocupa de dar de baja sus accesos Este escenario acaba degenerando en problemas Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos
Clasificación de las bajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería: •Baja normal, si se produce en circunstancias normales y sin conflictos. •Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc. •Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc. Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar. Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de: •accesos físicos (llaves, cajas fuertes, llaves electrónicas) •accesos lógicos (email, acceso a la red y servidores, etc) •material de la empresa (portátil, móvil, etc)
La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma: •realización de copias de seguridad de la información sensible •supervisión de los accesos hasta el día de la baja •cancelación preventiva de los accesos más críticos

Más contenido relacionado

PPT
Seguridad informatica
porCastillo'S Legal Solutions
 
PDF
Politicas de Seguridad Informática
porJose Manuel Acosta
 
PDF
Manual de políticas de seguridad informática
porPaperComp
 
PPSX
ISO 27002 Grupo 2
porUpon Software SA
 
PPT
Seguridad
porVictorAcan
 
PPT
Seguridad
porVictorAcan
 
PPT
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 
PPTX
Generando Politicas
porjgalud
 
Seguridad informatica
porCastillo'S Legal Solutions
 
Politicas de Seguridad Informática
porJose Manuel Acosta
 
Manual de políticas de seguridad informática
porPaperComp
 
ISO 27002 Grupo 2
porUpon Software SA
 
Seguridad
porVictorAcan
 
Seguridad
porVictorAcan
 
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 
Generando Politicas
porjgalud
 

La actualidad más candente

PDF
0 Fd 27001 Directores Y Alta Gerencia
porFabián Descalzo
 
PDF
Seguridad de la información
porAl Cougar
 
PPTX
Seguridad Informatica
porebonhoure
 
PDF
Curso taller: Sistemas de Gestión de Seguridad de la Información
porHoracio Veramendi
 
PPT
Seguridad de la informacion
porGiovanita Caira
 
PDF
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
porDC FCP
 
PDF
Si semana11 iso_27001_v011
porJorge Pariasca
 
PDF
Políticas y normas de seguridad, auditoría informática, plan de contingencias
porCamilo Quintana
 
PDF
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
porFabián Descalzo
 
PPTX
Nist
porYessica B. Leyva Avalos
 
PPTX
politica de seguridad informatica
porlibra-0123
 
PDF
Ejemplo Politica de seguridad
porGuiro Lin
 
PPT
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
porManuel Mujica
 
PPT
Politicas de sistemas informaticos
pordianalloclla
 
PDF
ISO 27001 Guia de implantacion
porjralbornoz
 
PDF
Politicas de-seguridad
porBella Romero Aguillón
 
PDF
Pdictseguridadinformaticapoliticas
porRogger Cárdenas González
 
PDF
Normatecnica
porJhon Egoavil
 
PPT
Seguridad de la información
porRicardo Antequera
 
PPS
Norma ISO 17799
porLilia Quituisaca-Samaniego
 
0 Fd 27001 Directores Y Alta Gerencia
porFabián Descalzo
 
Seguridad de la información
porAl Cougar
 
Seguridad Informatica
porebonhoure
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
porHoracio Veramendi
 
Seguridad de la informacion
porGiovanita Caira
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
porDC FCP
 
Si semana11 iso_27001_v011
porJorge Pariasca
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
porCamilo Quintana
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
porFabián Descalzo
 
Nist
porYessica B. Leyva Avalos
 
politica de seguridad informatica
porlibra-0123
 
Ejemplo Politica de seguridad
porGuiro Lin
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
porManuel Mujica
 
Politicas de sistemas informaticos
pordianalloclla
 
ISO 27001 Guia de implantacion
porjralbornoz
 
Politicas de-seguridad
porBella Romero Aguillón
 
Pdictseguridadinformaticapoliticas
porRogger Cárdenas González
 
Normatecnica
porJhon Egoavil
 
Seguridad de la información
porRicardo Antequera
 
Norma ISO 17799
porLilia Quituisaca-Samaniego
 

Similar a Seguridad informática

PDF
NTP ISO-IEC 17799.pdf
porNoemiMaitheRomeroBau
 
PPTX
mecanismo de control y seguridad.pptx
porJeisonCapera1
 
PPT
Arquitectura de seguridad de redes
porJuan MmnVvr Aguila
 
PDF
PRIMERA SESION - SEGURIDAD INFORMATICA AUDITORIA DE SISTEMAS MAESTRÍA EN CIEN...
pormaycol309
 
PDF
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
porMiguel Cabrera
 
PPTX
Curso ntp iso iec 17799 27002 1
porMiguel Véliz
 
PPTX
Normas de Seguridad de la Información
porJherdy Sotelo Marticorena
 
PPTX
Seguridad-Informatica-vs-Seguridad-de-la-Informacion (1).pptx
porjquispem98
 
PPT
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 
PPT
Sistemas de seguridad capitulo 1
porRUBENP0RTILL0
 
PPT
Arquitectura de seguridad de redes
porJuan MmnVvr Aguila
 
PPTX
Seguridad informatica 1
porFlor Yaleni Rodas Lozano
 
PPSX
Presentacion 2
porAngela Gutierrez Vilca
 
PPT
Seg Inf Sem02
porlizardods
 
PDF
Isoiec17799
porFipy_exe
 
PPTX
Seguridad de sistemas de inf
porcoromoto16
 
PDF
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
porNAVIRAGISSELAANGULOM
 
DOCX
Qué es itil
porbeth2786
 
RTF
Seguridad informaticafinal
porNery Benjamín Fernández Asencios
 
PDF
Controles_de_la_Norma_ISO27002-2013(1).pdf
porssuser770a58
 
NTP ISO-IEC 17799.pdf
porNoemiMaitheRomeroBau
 
mecanismo de control y seguridad.pptx
porJeisonCapera1
 
Arquitectura de seguridad de redes
porJuan MmnVvr Aguila
 
PRIMERA SESION - SEGURIDAD INFORMATICA AUDITORIA DE SISTEMAS MAESTRÍA EN CIEN...
pormaycol309
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
porMiguel Cabrera
 
Curso ntp iso iec 17799 27002 1
porMiguel Véliz
 
Normas de Seguridad de la Información
porJherdy Sotelo Marticorena
 
Seguridad-Informatica-vs-Seguridad-de-la-Informacion (1).pptx
porjquispem98
 
Cesar seguridadinformatica
porDiana Elizabeth Cordova Lopez
 
Sistemas de seguridad capitulo 1
porRUBENP0RTILL0
 
Arquitectura de seguridad de redes
porJuan MmnVvr Aguila
 
Seguridad informatica 1
porFlor Yaleni Rodas Lozano
 
Presentacion 2
porAngela Gutierrez Vilca
 
Seg Inf Sem02
porlizardods
 
Isoiec17799
porFipy_exe
 
Seguridad de sistemas de inf
porcoromoto16
 
Paper - Gestiones de Seguridad de la Información en las Organizaciones.pdf
porNAVIRAGISSELAANGULOM
 
Qué es itil
porbeth2786
 
Seguridad informaticafinal
porNery Benjamín Fernández Asencios
 
Controles_de_la_Norma_ISO27002-2013(1).pdf
porssuser770a58
 

Más de Jesenia Ocaña Escobar

PPTX
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICO
porJesenia Ocaña Escobar
 
PPTX
Seguridad fìsica y del entorno
porJesenia Ocaña Escobar
 
DOCX
Actividades para mantenimiento preventivo
porJesenia Ocaña Escobar
 
PPTX
5to dominio
porJesenia Ocaña Escobar
 
DOCX
Mantenimiento preventivo (1)
porJesenia Ocaña Escobar
 
DOCX
Mantenimiento preventivo
porJesenia Ocaña Escobar
 
PPTX
Tcp ip
porJesenia Ocaña Escobar
 
PPTX
Jesenia
porJesenia Ocaña Escobar
 
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICO
porJesenia Ocaña Escobar
 
Seguridad fìsica y del entorno
porJesenia Ocaña Escobar
 
Actividades para mantenimiento preventivo
porJesenia Ocaña Escobar
 
5to dominio
porJesenia Ocaña Escobar
 
Mantenimiento preventivo (1)
porJesenia Ocaña Escobar
 
Mantenimiento preventivo
porJesenia Ocaña Escobar
 
Tcp ip
porJesenia Ocaña Escobar
 
Jesenia
porJesenia Ocaña Escobar
 

Seguridad informática

  • 2.
    Se entiende porseguridad informática al conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar las disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.
  • 3.
  • 4.
    Es el método permitidopor las empresas para proteger el sistema informático. Personas de alto conocimiento en el sector informático cuyo fin tiene cumplir la información. ETHICAL HACKING HACKER
  • 5.
    DATOS CONTRATOS PLANTILLAS CUENTAS BANCARIAS WEB IMEI: Identificación delcelular IP: Identificación del equipo en la red INFORMACIÓN
  • 6.
    GENERALIDADES LA FAMILIA ISO NORMASISO 9 000 NORMAS ISO 10 000 NORMAS ISO 14 000 NORMAS ISO 27 000 La información estándar ISO tiene sus siglas como significado “Organización Internacional de Normalización”. CERTIFICACIÓN DE CALIDAD Evalúa los productos que ofrece los proveedores para su exportación a nivel internacional NORMAS ISO
  • 7.
    Sistema de gestiónde calidad, fundamentos, vocabulario, requisitos, elementos del sistema de calidad, directrices para la mejora del desempeño. Guías para implementar sistemas de gestión de calidad, reportes técnicos, planes de calidad, gestión de proyectos, gestión de aspectos económicos. ISO 10 000 ISO 9 000
  • 8.
    Sistema de gestiónambiental de las organizaciones. Principios ambientales, etiquetado ambiental, siclo de vida del producto programas de revisión ambiental auditorias. Es el conjunto de estándares desarrollados o en fase de desarrollo por ISO e IEC , que proporciona un marco de la gestión de la seguridad de la información utilizable por cualquier tipo de organización pública o privada, grande o pequeña. ISO 14 000 ISO 27 000
  • 9.
    La Certificación deProducto es un proceso mediante el cual se garantiza la calidad y/o las características de un producto final según lo establecido en una norma específica u otros documentos preestablecidos. Este proceso comprende la realización de auditorías en las empresas objeto de certificación, mediante la evaluación de los sistemas de calidad y de producción de las empresas, mediante la evaluación de ensayos de muestras tomadas en fábrica y de los productos finales. PROCESO DE SERTIFICACIÓN
  • 10.
    Oficina Nacional DeGobierno Electrónico E Informática .es el órgano técnico especializado que depende del despacho de la PCM ”Presidencia Del Consejo De Ministros”. TIPOS DE AMENAZAS oEscalamiento de privilegios. oFraudes informáticos. oPuertos vulnerables abiertos. oViolación de la privacidad de los empleados. oDenegación de servicio. oÚltimos parches no instalados. oDestrucción de equipamiento. oDesactualización. oInstalaciones default. oPassword cracking. oExploits. ONGEI
  • 11.
    ONGEI ENTIDAD POLÍTICA DESEG. INFORMÁTICA DOCUMENTOS DE POLÍTICA DE S.I. REVISIÓN Y EVALUACIÓN CONTROL GUíA DE IMPLEMENTACIÓN CONTROL GUÍA DE IMPLEMENTACIÓN Revisión y planificación con el fin de asegurar su uso continuo. Aprobar, publicar y comunicar. a) Definición general S.I. objetivos globales. b) El soporte de aspectos generales. c) Evaluación y riesgo. d) Breve explicación de las políticas. e) Responsabilidades e incidencias. f) Referencia y sustentación. a) Retroalimentación. b) Resultados. c) Acciones preventivas y correctivas. d) Resultado de revisiones. e) Desarrollo de proceso y cumplimiento. f) Posibles cambios que puedan afectar el alcance de la organización. g) Tendencia relacionadas con amenazas y vulnerabilidad. h) Incidentes reportados de seguridad de información. i) Recomendaciones dadas por las autoridades. OBJETIVO: Definir y dar soporte a la S.I.
  • 12.
    LA NORMA NTPY SU ACTUALIZACIÓN  Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.  Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
  • 13.
  • 14.
    Se necesita unapolítica que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
  • 15.
    Inventario de losrecursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.
  • 16.
    Responde a lanecesidad de proteger las áreas, el equipo y los controles generales. objetivos de esta sección son: • Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. • Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. • Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. • Garantizar la protección de la información en las redes y de la infraestructura de soporte. • Evitar daños a los recursos de información e interrupciones en las actividades de la institución. • Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
  • 17.
    Establece la importanciade monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
  • 18.
    Asegurar que loseventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.
  • 19.
    Evitar brechas decualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
  • 20.
    ASPECTOS ORGANIZATIVOS PARALA SEGURIDADA 1. Organización Interna La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa. Comité de gestión de seguridad de la información La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información. Coordinación de la seguridad de la información La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.
  • 21.
    Asignación de responsabilidadessobre seguridad de la información Deberían definirse claramente las responsabilidades. Proceso de autorización de recursos para el tratamiento de la información Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información. Acuerdos de confidencialidad de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente. Contacto con autoridades Deben ser mantenidos contactos apropiados con autoridades relevantes. Contacto con grupos de interés especial Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales.
  • 22.
    Revisión independiente dela seguridad de la información. alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran. 2. Seguridad en los accesos de terceras partes La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros. Identificación de riesgos por el acceso de terceros Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos. Requisitos de seguridad cuando sea trata con clientes Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.
  • 23.
    CLASIFICACIÓN Y CONTROLDE ACTIVOS Respecto a las herramientas necesarias, se trata de elaborar unas bases de datos, para lo cual debería bastarte con los programas informáticos más habituales. Desde Internet es posible descargar modelos de hojas de inventario en Excel. Según vayas haciendo el recuento de las existencias físicas reales (tal como se les denomina en la jerga), producto a producto y referencia a referencia, y sepas el número de unidades que tienes de cada cosa, es importante que introduzcas esa cifra en una aplicación informática. Eso te permitirá comparar el dato con el que figura en tus archivos de control. En caso de que haya diferencias en los números, estaremos ante una desviación, ya sea negativa o positiva (que falten o sobren productos). Si concluido este recuento resulta que tus existencias no coinciden finalmente con las que esperabas, has de hacer una valoración de esa desviación o desajuste para proceder a su regularización. Dicho de forma más sencilla: debes ajustar las cifras de tus libros de acuerdo con la realidad. Cuando realizas el recuento del inventario, estás obteniendo también los datos para tu inventario contable, y la regularización es por tanto “una regularización contable, que afecta al balance de la compañía”, explica Márquez de la Cuesta.
  • 24.
    TUS MÁRGENES DEMANIOBRA A modo de referencia, que sepas que siguiendo la llamada “clasificación ABC” las empresas suelen considerar admisible una desviación distinta dependiendo del tipo de producto. Para los artículos de clase A (los más valiosos para tu negocio), la desviación debería ser de cero; en la clase B se toleraría una máxima del +/-1%, mientras que en los productos de clase C se admite un margen máximo de hasta dos puntos porcentuales. Si los desajustes son graves, puedes plantearte hacer un análisis histórico de los movimientos de entrada y salida, en busca de posibles fallos en los registros que te aclaren los bailes de cifras y ayuden a evitar otros. “En ese caso –aclara Márquez de la Cuesta–, en lugar de una regularización contable lo que tendrías que hacer es la rectificación de un movimiento erróneo”.
  • 25.
    LA SEGURIDAD DELA INFORMACIÓN EN LOS RECURSOS HUMANOS Se dedica a la gestión de Recursos Humanos ¿Qué es seguridad de la información? consiste en proteger uno de los principales activos de cualquier empresa: la información Los tres fundamentos básicos de la seguridad en la información son: Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla. Integridad. La información debe ser correcta y completa. Disponibilidad. La información debe estar disponible siempre que sea necesario. ¿Qué tiene que ver la seguridad con los Recursos Humanos? al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. deben gestionar adecuadamente este importante recurso de la empresa.
  • 26.
    ¿No debe serel departamento de Seguridad quien se encargue de estos temas? no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la Organización. Cada área de Negocio juega su papel Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos. Reclutamiento y salida de empleados Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma. Reclutamiento Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio. Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales. Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos.
  • 27.
    Comienzo: Durante losprimeros días de trabajo, es recomendable que el empleado: •Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc. •Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente. Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión. Salida de empleados La salida de un empleado es un punto crítico de riesgo para la Organización. Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del emplea IT se ocupa de dar de baja sus accesos Este escenario acaba degenerando en problemas Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos
  • 28.
    Clasificación de lasbajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería: •Baja normal, si se produce en circunstancias normales y sin conflictos. •Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc. •Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc. Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar. Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de: •accesos físicos (llaves, cajas fuertes, llaves electrónicas) •accesos lógicos (email, acceso a la red y servidores, etc) •material de la empresa (portátil, móvil, etc)
  • 29.
    La gestión dela baja también puede incluir otras medidas dependiendo de la clasificación de la misma: •realización de copias de seguridad de la información sensible •supervisión de los accesos hasta el día de la baja •cancelación preventiva de los accesos más críticos