Este documento introduce los controles de seguridad de la información y ciberseguridad. Explica el contexto normativo de los controles y define diferentes tipos de controles, incluyendo controles organizacionales, técnicos, físicos y de personas. También proporciona ejemplos de controles para equipos, infraestructura, desarrollo, amenazas y vulnerabilidades, y servicios. El objetivo es ayudar a las organizaciones a comprender y aplicar controles de seguridad efectivos.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
El documento presenta el nuevo Esquema Nacional de Seguridad aprobado por Real Decreto 311/2022. El Esquema actualiza los principios, requisitos y medidas de seguridad para alinearlos con el marco legal y estratégico actual y facilitar la seguridad de la administración digital. Se revisaron de forma pormenorizada los requisitos mínimos, principios y 73 medidas de seguridad para hacer el Esquema más eficaz y eficiente. El Esquema tiene como objetivo mejorar la ciberseguridad del sector público mediante la actualización
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
Debido a las amenazas existentes, la ciberseguridad se ha convertido en
una prioridad para los entornos de control. Originariamente, los sistemas
de control de procesos fueron creados como sistemas independientes y
aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con
la estandarización de Internet y el uso de los protocolos IP, el diseño
ha cambiado hasta el punto de que, en muchos casos, la red de control
ha pasado a ser una extensión protegida de la red corporativa, siendo
potencialmente accesible desde Internet y vulnerable a los riesgos que
esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un
entorno seguro para reducir las amenazas existentes.
Este documento describe los pasos para diseñar una arquitectura de seguridad, incluyendo realizar evaluaciones de seguridad, formular objetivos, construir políticas y procedimientos, implementar el diseño, e integrar prácticas de seguridad. También discute casos reales y requisitos como autenticación, autorización, auditoría, seguridad perimetral, conectividad segura y monitoreo.
El documento habla sobre la importancia de realizar auditorías de seguridad para proteger los sistemas y activos de una organización. Explica que una auditoría evalúa el cumplimiento de estándares y directrices de seguridad física, lógica, informática y la protección contra delitos informáticos. También destaca la necesidad de auditar periódicamente para mantener los sistemas seguros y detectar vulnerabilidades.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
IV Encuentro ENS - El nuevo Esquema Nacional de SeguridadMiguel A. Amutio
El documento presenta el nuevo Esquema Nacional de Seguridad aprobado por Real Decreto 311/2022. El Esquema actualiza los principios, requisitos y medidas de seguridad para alinearlos con el marco legal y estratégico actual y facilitar la seguridad de la administración digital. Se revisaron de forma pormenorizada los requisitos mínimos, principios y 73 medidas de seguridad para hacer el Esquema más eficaz y eficiente. El Esquema tiene como objetivo mejorar la ciberseguridad del sector público mediante la actualización
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
Debido a las amenazas existentes, la ciberseguridad se ha convertido en
una prioridad para los entornos de control. Originariamente, los sistemas
de control de procesos fueron creados como sistemas independientes y
aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con
la estandarización de Internet y el uso de los protocolos IP, el diseño
ha cambiado hasta el punto de que, en muchos casos, la red de control
ha pasado a ser una extensión protegida de la red corporativa, siendo
potencialmente accesible desde Internet y vulnerable a los riesgos que
esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un
entorno seguro para reducir las amenazas existentes.
Este documento describe los pasos para diseñar una arquitectura de seguridad, incluyendo realizar evaluaciones de seguridad, formular objetivos, construir políticas y procedimientos, implementar el diseño, e integrar prácticas de seguridad. También discute casos reales y requisitos como autenticación, autorización, auditoría, seguridad perimetral, conectividad segura y monitoreo.
El documento habla sobre la importancia de realizar auditorías de seguridad para proteger los sistemas y activos de una organización. Explica que una auditoría evalúa el cumplimiento de estándares y directrices de seguridad física, lógica, informática y la protección contra delitos informáticos. También destaca la necesidad de auditar periódicamente para mantener los sistemas seguros y detectar vulnerabilidades.
El documento presenta una sesión sobre la gestión de incidentes según la norma ISO 27.002. Explica el contexto y definiciones básicas de la gestión de incidentes, revisa los controles relevantes de la norma, y describe el proceso completo de gestión de incidentes, incluyendo la planificación, detección, evaluación, respuesta, lecciones aprendidas y el uso de herramientas para su implementación. También introduce una visión alternativa del modelo de procesos de la norma ISO 27.022.
La Comisión de Bolsa y Valores de EEUU (SEC) estableció una actualización de sus reglamentos sobre la gestión de la ciberseguridad y su relación con los riesgos en las compañías que puedan afectar a los accionistas, responsabilizando a la Dirección y al CISO frente a ciberataques.
Esta actualización hace que las compañías que cotizan en la Bolsa de NY, enfrenten la necesidad de adoptar un enfoque proactivo y estratégico para su gobernanza. La medida establecida subraya la importancia de los riesgos cibernéticos al mismo nivel que los riesgos financieros y patrimoniales.
En esta charla, compartimos nuestro entendimiento y enfoque sobre estos temas.
𝐒𝐎𝐁𝐑𝐄 𝐅𝐀𝐁𝐈𝐀́𝐍 𝐃𝐄𝐒𝐂𝐀𝐋𝐙𝐎
👔 LinkedIn: https://linkedin.com/in/fabiandescalzo
💡 Grupo Linkedin: https://www.linkedin.com/groups/12188431/
📷 https://www.instagram.com/fabiandescalzo/
📚 Slide Share: https://slideshare.net/fabiandescalzo
🌎 Blog: https://fabiandescalzo.wix.com/blogseguridadinfo
💬 Twitter: https://www.twitter.com/fabiandescalzo
📺 YouTube: https://www.youtube.com/fabdescalzo
📨 BDO Argentina: fdescalzo@bdoargentina.com
Seguinos en:
▶️ Web:
https://www.bdoargentina.com/es-ar/servicios/consultoria/ciberseguridad-gobierno-tecnologico
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina
El documento habla sobre seguridad informática y normas ISO. Explica conceptos como hacker, ético, IP, puertos y normas como ISO 9000, 14000 y 27000. Resalta beneficios como establecer metodologías claras de gestión de seguridad y revisar riesgos continuamente.
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
Charla ofrecida para profesionales de la salud gracias a la colaboración del PTS (Parque Tecnológico de la Salud). En el que se detallan los diferentes tipos de auditorías y certificaciones aptas para el ámbito de la e-health.
Este documento describe las herramientas disponibles para que las administraciones públicas españolas se adecuen al Esquema Nacional de Seguridad, incluyendo guías técnicas del Centro Criptológico Nacional, la normativa ISO/IEC 27001/27002, productos de seguridad certificados, formación y servicios de respuesta a incidentes. El documento también explica cómo la industria puede ayudar a las administraciones en el proceso de adecuación.
Este documento presenta el análisis de riesgos del área tecnológica de la empresa Distribuidora Boliviana de Bebidas. Identifica los sistemas de información, activos, amenazas, vulnerabilidades y riesgos tecnológicos. Propone una matriz de riesgos y métricas para medir el desempeño de los controles. Finalmente, recomienda implementar políticas de seguridad física y capacitación para reducir las vulnerabilidades identificadas.
El documento resume los resultados de un análisis de brechas (gap analysis) realizado para evaluar el grado de cumplimiento del Gobierno de la Provincia de Córdoba con respecto a la norma ISO 27001 para la gestión de seguridad de la información. Se identificaron varias áreas de mejora y se propuso un plan para implementar un sistema de gestión de seguridad de la información que incluye capacitación, definición de políticas, evaluación de riesgos y certificación.
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
Este documento resume las principales secciones de un documento sobre la guerra cibernética y cómo puede afectar las operaciones industriales a nivel mundial. La primera sección describe las operaciones y amenazas de la guerra cibernética, incluyendo antecedentes en Ucrania. La segunda sección analiza los riesgos potenciales para las industrias locales en Perú, como la falta de ciberseguridad en empresas. La tercera sección ofrece recomendaciones y mejores prácticas para prevenir ataques, como segmentar la red e implement
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
Este documento presenta un curso introductorio de 4 sesiones sobre fundamentos de seguridad OT. Explica los contenidos y módulos del curso, incluyendo introducciones a ciberseguridad OT, arquitectura de seguridad ICS, estrategias de implementación y recuperación ante desastres. También describe los requisitos para aprobar el curso y obtener la certificación. El instructor, Alex Orellana Rivera, tiene más de 15 años de experiencia en diferentes roles de TI y seguridad de la información.
Actualización del ENS. Presentación CCN-CERT / SGADMiguel A. Amutio
Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor
Este documento presenta los retos y tendencias de seguridad en el desarrollo de aplicaciones, incluyendo altas tasas de vulnerabilidades en aplicaciones web y los costos crecientes de remediación. También describe el enfoque de Secure SDLC para integrar la seguridad en cada fase del ciclo de vida del desarrollo de software, como modelado de amenazas, pruebas estáticas y dinámicas, y penetración. Abordar la seguridad temprano a través de este enfoque puede ofrecer un fuerte retorno de inversión en
Este documento presenta un plan para actualizar la seguridad de la información del sistema académico Siringuero de la Universidad Amazónica de Pando. Actualmente, el sistema carece de controles de seguridad adecuados y existe el riesgo de pérdida o modificación de información. El plan busca identificar riesgos, definir medidas de seguridad y promover una cultura de seguridad para proteger la disponibilidad, integridad y confidencialidad de la información del sistema.
Este documento presenta la Norma Técnica Peruana NTP-ISO/IEC 17799:2007, la cual es una adopción de la Norma ISO/IEC 17799:2005 sobre el código de buenas prácticas para la gestión de la seguridad de la información. La norma establece requisitos y proporciona lineamientos para la implementación de controles de seguridad que protejan la información. Incluye cláusulas sobre evaluación de riesgos, política de seguridad, aspectos organizativos, clasificación de activos, seguridad del
Este documento presenta la Norma Técnica Peruana NTP-ISO/IEC 17799:2007, la cual es una adopción de la Norma ISO/IEC 17799:2005 sobre el código de buenas prácticas para la gestión de la seguridad de la información. La norma establece requisitos y proporciona lineamientos para la implementación de controles de seguridad que protejan la información. Incluye cláusulas sobre evaluación de riesgos, política de seguridad, aspectos organizativos, clasificación de activos, seguridad del
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
Este documento trata sobre estándares de auditoría informática. Explica los conceptos básicos de auditoría informática y reconoce sus características. También describe los principales estándares de auditoría informática y analiza el panorama cambiante de las amenazas cibernéticas, incluyendo factores como la desaparición del perímetro, la inteligencia artificial y el internet de las cosas. Finalmente, discute elementos clave para una estrategia sólida de ciberseguridad como la gestión de riesgos, defensas técnicas y conciencia
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
El documento introduce el Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS), y explica que el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) ofrece un listado de productos con garantías de seguridad contrastadas por el CCN. También describe los procesos de certificación LINCE y Common Criteria para incluir productos en el catálogo, y los beneficios que esto conlleva para las organizaciones.
Este documento describe el análisis de riesgos y vulnerabilidades realizado en una universidad. Incluye una descripción de las funciones del director de informática, los requisitos para implementar seguridad como el análisis de riesgos y elaboración de políticas. También presenta los resultados del análisis de riesgos identificando varios riesgos y su valoración, y propone implementar un sistema de seguridad basado en el ciclo PHVA.
El documento presenta una sesión sobre la gestión de incidentes según la norma ISO 27.002. Explica el contexto y definiciones básicas de la gestión de incidentes, revisa los controles relevantes de la norma, y describe el proceso completo de gestión de incidentes, incluyendo la planificación, detección, evaluación, respuesta, lecciones aprendidas y el uso de herramientas para su implementación. También introduce una visión alternativa del modelo de procesos de la norma ISO 27.022.
La Comisión de Bolsa y Valores de EEUU (SEC) estableció una actualización de sus reglamentos sobre la gestión de la ciberseguridad y su relación con los riesgos en las compañías que puedan afectar a los accionistas, responsabilizando a la Dirección y al CISO frente a ciberataques.
Esta actualización hace que las compañías que cotizan en la Bolsa de NY, enfrenten la necesidad de adoptar un enfoque proactivo y estratégico para su gobernanza. La medida establecida subraya la importancia de los riesgos cibernéticos al mismo nivel que los riesgos financieros y patrimoniales.
En esta charla, compartimos nuestro entendimiento y enfoque sobre estos temas.
𝐒𝐎𝐁𝐑𝐄 𝐅𝐀𝐁𝐈𝐀́𝐍 𝐃𝐄𝐒𝐂𝐀𝐋𝐙𝐎
👔 LinkedIn: https://linkedin.com/in/fabiandescalzo
💡 Grupo Linkedin: https://www.linkedin.com/groups/12188431/
📷 https://www.instagram.com/fabiandescalzo/
📚 Slide Share: https://slideshare.net/fabiandescalzo
🌎 Blog: https://fabiandescalzo.wix.com/blogseguridadinfo
💬 Twitter: https://www.twitter.com/fabiandescalzo
📺 YouTube: https://www.youtube.com/fabdescalzo
📨 BDO Argentina: fdescalzo@bdoargentina.com
Seguinos en:
▶️ Web:
https://www.bdoargentina.com/es-ar/servicios/consultoria/ciberseguridad-gobierno-tecnologico
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina
El documento habla sobre seguridad informática y normas ISO. Explica conceptos como hacker, ético, IP, puertos y normas como ISO 9000, 14000 y 27000. Resalta beneficios como establecer metodologías claras de gestión de seguridad y revisar riesgos continuamente.
Demostrando la ciberseguridad de tus productos y sistemas mediante auditoría ...Javier Tallón
Charla ofrecida para profesionales de la salud gracias a la colaboración del PTS (Parque Tecnológico de la Salud). En el que se detallan los diferentes tipos de auditorías y certificaciones aptas para el ámbito de la e-health.
Este documento describe las herramientas disponibles para que las administraciones públicas españolas se adecuen al Esquema Nacional de Seguridad, incluyendo guías técnicas del Centro Criptológico Nacional, la normativa ISO/IEC 27001/27002, productos de seguridad certificados, formación y servicios de respuesta a incidentes. El documento también explica cómo la industria puede ayudar a las administraciones en el proceso de adecuación.
Este documento presenta el análisis de riesgos del área tecnológica de la empresa Distribuidora Boliviana de Bebidas. Identifica los sistemas de información, activos, amenazas, vulnerabilidades y riesgos tecnológicos. Propone una matriz de riesgos y métricas para medir el desempeño de los controles. Finalmente, recomienda implementar políticas de seguridad física y capacitación para reducir las vulnerabilidades identificadas.
El documento resume los resultados de un análisis de brechas (gap analysis) realizado para evaluar el grado de cumplimiento del Gobierno de la Provincia de Córdoba con respecto a la norma ISO 27001 para la gestión de seguridad de la información. Se identificaron varias áreas de mejora y se propuso un plan para implementar un sistema de gestión de seguridad de la información que incluye capacitación, definición de políticas, evaluación de riesgos y certificación.
La guerra cibernética y cómo puede afectar a las operaciones industriales en ...TGS
Este documento resume las principales secciones de un documento sobre la guerra cibernética y cómo puede afectar las operaciones industriales a nivel mundial. La primera sección describe las operaciones y amenazas de la guerra cibernética, incluyendo antecedentes en Ucrania. La segunda sección analiza los riesgos potenciales para las industrias locales en Perú, como la falta de ciberseguridad en empresas. La tercera sección ofrece recomendaciones y mejores prácticas para prevenir ataques, como segmentar la red e implement
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
Este documento presenta un curso introductorio de 4 sesiones sobre fundamentos de seguridad OT. Explica los contenidos y módulos del curso, incluyendo introducciones a ciberseguridad OT, arquitectura de seguridad ICS, estrategias de implementación y recuperación ante desastres. También describe los requisitos para aprobar el curso y obtener la certificación. El instructor, Alex Orellana Rivera, tiene más de 15 años de experiencia en diferentes roles de TI y seguridad de la información.
Actualización del ENS. Presentación CCN-CERT / SGADMiguel A. Amutio
Este documento presenta la actualización del Esquema Nacional de Seguridad (ENS) con tres objetivos principales: 1) mejorar y alinear el ENS con el marco legal actualizado, 2) dotar al ENS de mayor capacidad de ajuste de requisitos a través de perfiles de cumplimiento específicos, y 3) revisar los principios, requisitos y medidas del ENS a la luz de la experiencia y las amenazas emergentes. También se analiza el estado de la seguridad según el Informe INES 2020 e identifica medidas a refor
Este documento presenta los retos y tendencias de seguridad en el desarrollo de aplicaciones, incluyendo altas tasas de vulnerabilidades en aplicaciones web y los costos crecientes de remediación. También describe el enfoque de Secure SDLC para integrar la seguridad en cada fase del ciclo de vida del desarrollo de software, como modelado de amenazas, pruebas estáticas y dinámicas, y penetración. Abordar la seguridad temprano a través de este enfoque puede ofrecer un fuerte retorno de inversión en
Este documento presenta un plan para actualizar la seguridad de la información del sistema académico Siringuero de la Universidad Amazónica de Pando. Actualmente, el sistema carece de controles de seguridad adecuados y existe el riesgo de pérdida o modificación de información. El plan busca identificar riesgos, definir medidas de seguridad y promover una cultura de seguridad para proteger la disponibilidad, integridad y confidencialidad de la información del sistema.
Este documento presenta la Norma Técnica Peruana NTP-ISO/IEC 17799:2007, la cual es una adopción de la Norma ISO/IEC 17799:2005 sobre el código de buenas prácticas para la gestión de la seguridad de la información. La norma establece requisitos y proporciona lineamientos para la implementación de controles de seguridad que protejan la información. Incluye cláusulas sobre evaluación de riesgos, política de seguridad, aspectos organizativos, clasificación de activos, seguridad del
Este documento presenta la Norma Técnica Peruana NTP-ISO/IEC 17799:2007, la cual es una adopción de la Norma ISO/IEC 17799:2005 sobre el código de buenas prácticas para la gestión de la seguridad de la información. La norma establece requisitos y proporciona lineamientos para la implementación de controles de seguridad que protejan la información. Incluye cláusulas sobre evaluación de riesgos, política de seguridad, aspectos organizativos, clasificación de activos, seguridad del
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
Este documento trata sobre estándares de auditoría informática. Explica los conceptos básicos de auditoría informática y reconoce sus características. También describe los principales estándares de auditoría informática y analiza el panorama cambiante de las amenazas cibernéticas, incluyendo factores como la desaparición del perímetro, la inteligencia artificial y el internet de las cosas. Finalmente, discute elementos clave para una estrategia sólida de ciberseguridad como la gestión de riesgos, defensas técnicas y conciencia
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
El documento introduce el Centro Criptológico Nacional (CCN) y el Esquema Nacional de Seguridad (ENS), y explica que el CCN-STIC 105 Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación (CPSTIC) ofrece un listado de productos con garantías de seguridad contrastadas por el CCN. También describe los procesos de certificación LINCE y Common Criteria para incluir productos en el catálogo, y los beneficios que esto conlleva para las organizaciones.
Este documento describe el análisis de riesgos y vulnerabilidades realizado en una universidad. Incluye una descripción de las funciones del director de informática, los requisitos para implementar seguridad como el análisis de riesgos y elaboración de políticas. También presenta los resultados del análisis de riesgos identificando varios riesgos y su valoración, y propone implementar un sistema de seguridad basado en el ciclo PHVA.
Similar a Sesión N°1- Introducción a los controles.pdf (20)
En 1974 la Crónica de la Organización Mundial de la
Salud publicó un importante artículo llamando la atención
sobre la importancia de la deficiencia de yodo como problema
de la salud pública y la necesidad de su eliminación, escrito por
un grupo de académicos expertos en el tema, Prof. JB Stanbury
de la Universidad de Harvard, Prof. AM Ermans del Hospital
Saint Pierre, Bélgica, Prof. BS Hetzel de la Universidad de
Monash, Australia, Prof. EA Pretell de la Universidad Peruana
Cayetano Heredia, Perú, y Prof. A Querido del Hospital
algunos casos de tirotoxicosis y el temor a su extensión con
(18)
distribución amplia de yodo . Recién a partir de 1930 varios
(19)
investigadores, entre los que destaca Boussingault , volvieron
a insistir sobre este tema, aconsejando la yodación de la sal para
su uso terapéutico.
Desórdenes por deficiencia de yodo en el Perú
Universitario, Leiden, Holanda .
(15)
En el momento actual hay suficiente evidencia que
demuestra que el impacto social de los desórdenes por
deficiencia de yodo es muy grande y que su prevención resulta
en una mejor calidad de vida y de la productividad, así como
también de la capacidad de educación de los niños y adultos.
Prevención y tratamiento de los DDI
Los desórdenes por deficiencia de yodo pueden ser
exitosamente prevenidos mediante programas de suplementa-
ción de yodo. A través de la historia se han ensayado varios
medios para tal propósito, pero la estrategia más costo-efectiva
y sostenible es el consumo de sal yodada. Los experimentos de
Marine y col.
(16, 17)
entre 1907 a 1921 probaron que la deficiencia
y la suplementación de yodo eran factores dominantes en la
etiología y el control del bocio endémico. El uso experimental
de la sal yodada para la prevención del bocio endémico se llevó
a cabo en Akron, Ohio, con resultados espectaculares y fue
seguida por la distribución de sal yodada en Estados Unidos,
Suiza y otros lugares. El uso clínico de este método, sin
embargo, fue largamente postergado por la ocurrencia de
La presencia de bocio y cretinismo en el antiguo Perú
antecedió a la llegada de los españoles, según comentarios en
crónicas y relatos de la época de la Conquista y el Virreinato. En
(20)
una revisión publicada por JB Lastres se comenta que Cosme
Bueno (1769), refiriéndose a sus observaciones entre los
habitantes del altiplano, escribió “los más de los que allí habitan
son contrahechos, jibados, tartamudos, de ojos torcidos y con
unos deformes tumores en la garganta, que aquí llaman cotos y
otras semejantes deformidades en el cuerpo y sus corres-
pondientes en el ánimo”. Y es lógico aceptar como cierto este
hecho, dado que la deficiencia de yodo en la Cordillera de los
Andes es un fenómeno ambiental permanente desde sus
orígenes.
Luego de la Independencia hasta los años 1950s, la
persistencia del bocio y el cretinismo endémicos en la sierra y la
selva fue reportada por varios autores, cuyos importantes
(20)
1. Introducción a los controles
Controles del Seguridad de la Información y
Ciberseguridad
2. ▪ Contexto Normativo
▪ Definición de Controles
▪ Caracterización de Controles
▪ Ejemplos de controles
Agenda
3. Consultas
Carlos Lobos de Medina
https://www.linkedin.com/in/clobos/
carlos.lobos@usach.cl
Director del Programas de Diplomados de Ciberseguridad
www.diplomadociberseguridad.com
Cybersecurity Governance & Management Expert
Advisor | Academic |Global | 20 years experience
ISO 27001/22301/37301/27701 Implementer and Auditor
Certified COBIT 2019 | NIST | CISM | CISA | CCSA
5. Proyecto Ley Marco de Ciberseguridad e IC – Visión General
Disposiciones Legales
Definiciones
Principios
Obligaciones de ciberseguridad
Agencia Nacional de Ciberseguridad
Consejo Multisectorial sobre Ciberseguridad
CSIRT Defensa Nacional
Infracciones y Sanciones
Comité Interministerial de Ciberseguridad
6. A quien aplica esta Ley?
1. Servicios de Telecomunicaciones
2. Servicios de Infraestructura Digital
3. Servicios de Ciberseguridad
4. Servicios de generación, transmisión y distribución
eléctrica
5. Servicios de producción, transporte, almacenamiento y
distribución de combustibles
6. Servicios sanitarios y de agua potable
7. Servicios comerciales de transporte aéreos, ferroviarios
y marítimos
8. Servicios portuarios
9. Servicios aeroportuarios
10. Servicios bancarios y financieros
11. Servicios de AFP, fondos de cesantía y servicios de
salud previsional
12. Servicios de prestaciones de salud
7. Articulo 6 - Sobre las Obligaciones (1 de 2)
a) Implementar un SGSI
b) Mantener un registro de las acciones ejecutadas del SGSI
c) Desarrollar planes de continuidad operacional
d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas
informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad
e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un
incidente de ciberseguridad
f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento
8. Articulo 6 - Sobre las Obligaciones (2 de 2)
g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer
gravemente sus redes y sistemas informáticos.
h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores,
que incluyan campañas de ciberhigiene.
i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de
la máxima autoridad de la institución a la que pertenece.
15. ▪ Un entorno de control considerará:
▪ Controles funcionales (Organizacionales, Personas, Físicos, Tecnológicos)
▪ Controles de acuerdo a su naturaleza (Defensiva, Preventiva)
▪ Controles de acuerdo a su tipo (Preventivo, Correctivo, Detectivo)
▪ Controles de acuerdo al CID (Confidencialidad, Integridad, Disponibilidad)
▪ Controles de acuerdo a función (Identificar, Proteger, Detectar, Responder, Recuperar)
▪ La importancia de clasificar los controles radica en el establecimiento de
responsabilidades y determinar las reales capacidades del entorno de control
en términos de las diversas clasificaciones.
Consideraciones
17. Caracterización de controles
¿Que controles deberíamos tener implementados en las personas?
▪ Antes de la Contratación
▪ Durante la Contratación
▪ Termino de la Contratación
18. Caracterización de controles - Equipamiento
¿Que controles deberíamos tener implementados en equipamiento?
▪ Controles de Personas
▪ Controles Lógicos
▪ Controles Físicos
▪ Controles Organizacionales
19. Caracterización de controles – Infraestructura Física
¿Que controles deberíamos tener implementados en la infraestructura?
▪ Controles Preventivos
▪ Controles Detectivos
▪ Controles Correctivos
20. Caracterización de controles – Desarrollo
¿Que controles deberíamos tener implementados en el Desarrollo?
▪ Para la Confidencialidad
▪ Para la Integridad
▪ Para la Disponibilidad
21. Caracterización de controles – Amenazas/Vulnerabilidades
¿Que controles deberíamos tener implementados en A/V?
▪ De Gobierno
▪ De Detección
▪ De Protección
▪ De Respuesta
▪ De Recuperación
23. Aspectos Positivos:
▪ Buena visión de controles necesarios.
▪ Muchos controles implementados.
▪ Con adecuado nivel técnico.
Consideraciones
Aspectos Negativos:
▪ No hay recursos.
▪ No hay capacidades ni competencias.
▪ Poco conocimiento de categorías.
▪ Ni hay formalización.
▪ No hay alineamiento con buenas prácticas.
25. 8.1 Dispositivo de Usuario Final
▪ Nuevo Control de la ISO 27.002:2022.
▪ Proteger la información contra los riesgos derivados del uso de dispositivos de punto final de usuario.
▪ Son controles bastante generales y de alto grado de aceptación, los cuales se agrupan en 4 categorías:
▪ Generales
▪ Responsabilidad del usuario
▪ Uso de dispositivos personales
▪ Conexión a redes inalámbricas
▪ El control esta muy alineado con las necesidades actuales de teletrabajo.
26. 8.1 Dispositivo de Usuario Final - General
Clasificar de
acuerdo a la
información
Registro de
usuarios de
Endpoint
Requisitos de
seguridad física
Restricciones de
instalación de
software
Actualización
Automática de
software
Reglas para
conectarse a
redes
Control de
acceso
Discos cifrados
Protección
contra malware
Gestión de
Accesos remotos
Respaldos
Uso de servicios
web y
aplicaciones
Analítica de
comportamiento
Uso de
dispositivos
móviles
▪ Debería considerarse la realización de una política, la cual contenga:
27. 8.1 Dispositivo de Usuario Final - Otros
Terminar sesiones Proteger el activo
Uso en espacios
público
Protección física
Separar dispositivos
de negocio v/s
personales
Otorgar accesos solo
si los usuarios
reconocen sus
deberes
Procedimientos para
prevenir disputas de
Propiedad Intelectual
Accesos a equipos de
propiedad privada
Uso de Licencias en
dispositivos de
propiedad del usuario
Deshabilitación de
protocolos
vulnerables
Banda ancha acorde a
las necesidades de la
organización
Responsabilidad del usuario
Uso de dispositivos personales
Conexiones Inalámbricas