Este documento presenta un programa de capacitación en seguridad informática con una carga horaria total de 48 horas. Los objetivos generales son proveer al alumno el marco teórico-práctico para desarrollar actividades de seguridad de una empresa de acuerdo con la clasificación legal y tipo de actividad informática. El primer capítulo se enfoca en determinar el alcance de las herramientas disponibles y el rol del ingeniero de seguridad informática dentro de una empresa.
2. Programa
Carga Horaria total: 48 HS.
Objetivos Generales:
Proveer al alumno el marco
teórico-practico para
desarrollar las actividades y la
gestión de seguridad de una
empresa acorde con la
clasificación legal y el tipo de
actividad informática en que
desarrolla su actividad.
Objetivos del capitulo 1:
Determinar el alcance de las
herramientas que dispondrá al
terminar el curso y cuales serán
sus logros personales por
participar en su vida
profesional, en esta área.
Entender su rol como Ingeniero
de Seguridad Informática
dentro del organigrama de una
empresa, su responsabilidad y
el alcance de sus decisiones.
Conocer las herramientas de
Calidad Total y los Círculos de
Calidad.
3. Capítulo 1: Seguridad de la Información
La seguridad
informática o seguridad de
tecnologías de la
información es el área de
la informática que se enfoca en
la protección de la
infraestructura computacional
y todo lo relacionado con esta
y, especialmente, la
información contenida o
circulante. Para ello existen
una serie de estándares,
protocolos, métodos, reglas,
herramientas y leyes
concebidas para minimizar los
posibles riesgos a la
infraestructura o a la
información.
La seguridad informática
comprende software (bases de
datos, metadatos, archivos),hardware y
todo lo que la organización valore (activo)
y signifique un riesgo si esta información
confidencial llega a manos de otras
personas, convirtiéndose, por ejemplo, en
información privilegiada.
4. El concepto de seguridad de la
información no debe ser
confundido con el de «seguridad
informática», ya que este último
solo se encarga de la seguridad en
el medio informático, pero la
información puede encontrarse en
diferentes medios o formas, y no
solo en medios informáticos.
Capítulo 1: Seguridad de la Información
La seguridad informática está concebida para proteger los
activos informáticos, entre los que se encuentran:
5. Los usuarios: Son las personas que
utilizan la estructura tecnológica,
zona de comunicaciones y que
gestionan la información. Debe
protegerse el sistema en general
para que el uso por parte de ellos
no pueda poner en entredicho la
seguridad de la información y
tampoco que la información que
manejan o almacenan sea
vulnerable.
La información: es el principal
activo. Utiliza y reside en la
infraestructura computacional y es
utilizada por los usuarios.
La infraestructura
computacional: Es una parte
fundamental para el
almacenamiento y gestión de la
información, así como para el
funcionamiento mismo de la
organización. La función de la
seguridad informática en esta área
es velar que los equipos funcionen
adecuadamente y anticiparse en
caso de fallas, robos, incendios,
boicot, desastres naturales, fallas en
el suministro eléctrico y cualquier
otro factor que atente contra la
infraestructura informática.
Capítulo 1: Seguridad de la Información
6. Capítulo 1: Seguridad de la Información
La seguridad informática debe
establecer normas que minimicen
los riesgos a la información o
infraestructura informática. Estas
normas incluyen horarios de
funcionamiento, restricciones a
ciertos lugares, autorizaciones,
denegaciones, perfiles de usuario,
planes de emergencia, protocolos y
todo lo necesario que permita un
buen nivel de seguridad informática
minimizando el impacto en el
desempeño de los trabajadores y de
la organización en general.
Normas para el cumplimiento de la Seguridad Informática
7. Recomendaciones para el
cumplimiento de la Seg. Infor.
Asegurar que las actividades de
cumplimento sean administradas
de manera clara desde los niveles
superiores hacia los inferiores.
Definir un conjunto combinado de
metas de seguridad informática,
metas de cumplimiento normativo
y metas empresariales.
Definir los roles y las
responsabilidades para las
actividades de cumplimiento de
las auditorías en el nivel de los
responsables de los procesos.
Desarrollar indicadores ideales
teóricos que demuestren que las
metas de seguridad informática se
han cumplido.
Realizar un recorrido integral del
proceso empresarial para entender y
documentar:
• Los puntos de entrada, tránsito,
almacenamiento y salida de la
información confidencial en la
organización.
• Los riesgos específicos para las
metas organizacionales y el flujo de
información.
• Dónde se depende de la tecnología
para prevenir y detectar fallas de
control.
Capítulo 1: Seguridad de la Información
8. Capítulo 1: Seguridad de la Información
Asegurar que la evidencia que demuestra el logro de las metas de
cumplimiento pueda generarse de manera automatizada, a demanda
Realizar pruebas de efectividad de los controles con una frecuencia que
permita confiar en su eficacia, incluso si hay variaciones en el alcance y en el
momento de realización de las auditorías.
Dar seguimiento a la terminación del trabajo correctivo requerido, antes de
que comience la auditoría.
Saber si el flujo de información o el
entorno de control han cambiado
significativamente, exigiendo que se
repitan estos pasos (por ejemplo, si se
cambió una aplicación para permitir
que se descargaran datos de
consumidores a computadoras de
escritorio en lugar de visualizarse en
informes predeterminados de las
aplicaciones).