Este documento presenta el análisis de riesgos del área tecnológica de la empresa Distribuidora Boliviana de Bebidas. Identifica los sistemas de información, activos, amenazas, vulnerabilidades y riesgos tecnológicos. Propone una matriz de riesgos y métricas para medir el desempeño de los controles. Finalmente, recomienda implementar políticas de seguridad física y capacitación para reducir las vulnerabilidades identificadas.
Este documento presenta un sistema de gestión para la seguridad de la información para la FCICN. Actualmente no existen procesos definidos para el manejo de la información en la organización. El objetivo general es definir procesos de uso y salvaguarda de la información basados en normas internacionales. Se propone implementar la norma ISO 27001 mediante actividades como capacitación, actualización de equipos, detección de fallas y generación de informes. De implementarse correctamente, el sistema mejoraría el manejo seguro de la información en la FCICN
El documento habla sobre la seguridad informática. Define la seguridad informática como el conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información almacenada en un sistema de información. También menciona que la Norma Técnica Peruana establece 11 dominios relacionados a la seguridad informática como políticas de seguridad, gestión de activos, control de acceso, etc. Finalmente, señala que los Recursos Humanos juegan un papel
Este documento describe el análisis de riesgos y vulnerabilidades realizado en una universidad. Incluye una descripción de las funciones del director de informática, los requisitos para implementar seguridad como el análisis de riesgos y elaboración de políticas. También presenta los resultados del análisis de riesgos identificando varios riesgos y su valoración, y propone implementar un sistema de seguridad basado en el ciclo PHVA.
La Circular G-140-2009 establece las directrices para la gestión de la seguridad de la información que deben seguir bancos, financieras, AFP, cooperativas de ahorro y crédito, aseguradoras, capitalización y factoring en Perú. Entre otros aspectos, la circular requiere que estas entidades definan una política de seguridad de información, establezcan una estructura organizacional para implementarla, e implementen controles de seguridad como auditoría de accesos, detección de intrusiones y encriptación.
El documento describe los procesos y actividades relacionadas con la administración de sistemas de información. Incluye la identificación de soluciones automatizadas, la adquisición y mantenimiento de software y hardware, el desarrollo y mantenimiento de procesos, la seguridad y auditoría de datos, y la aceptación e implementación de sistemas. El objetivo general es proporcionar funciones automatizadas que soporten efectivamente el negocio a través de declaraciones específicas y garantizar la calidad, seguridad y disponibilidad de la información
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
Debido a las amenazas existentes, la ciberseguridad se ha convertido en
una prioridad para los entornos de control. Originariamente, los sistemas
de control de procesos fueron creados como sistemas independientes y
aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con
la estandarización de Internet y el uso de los protocolos IP, el diseño
ha cambiado hasta el punto de que, en muchos casos, la red de control
ha pasado a ser una extensión protegida de la red corporativa, siendo
potencialmente accesible desde Internet y vulnerable a los riesgos que
esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un
entorno seguro para reducir las amenazas existentes.
El documento habla sobre la adquisición e implementación de dominios. Explica procesos como la identificación de soluciones automatizadas, la adquisición y mantenimiento de software y la infraestructura tecnológica, el desarrollo y mantenimiento de procesos, la instalación y aceptación de sistemas, y la administración de cambios. También discute conceptos como pistas de auditoría y técnicas de seguridad para sistemas distribuidos.
Este documento presenta un sistema de gestión para la seguridad de la información para la FCICN. Actualmente no existen procesos definidos para el manejo de la información en la organización. El objetivo general es definir procesos de uso y salvaguarda de la información basados en normas internacionales. Se propone implementar la norma ISO 27001 mediante actividades como capacitación, actualización de equipos, detección de fallas y generación de informes. De implementarse correctamente, el sistema mejoraría el manejo seguro de la información en la FCICN
El documento habla sobre la seguridad informática. Define la seguridad informática como el conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información almacenada en un sistema de información. También menciona que la Norma Técnica Peruana establece 11 dominios relacionados a la seguridad informática como políticas de seguridad, gestión de activos, control de acceso, etc. Finalmente, señala que los Recursos Humanos juegan un papel
Este documento describe el análisis de riesgos y vulnerabilidades realizado en una universidad. Incluye una descripción de las funciones del director de informática, los requisitos para implementar seguridad como el análisis de riesgos y elaboración de políticas. También presenta los resultados del análisis de riesgos identificando varios riesgos y su valoración, y propone implementar un sistema de seguridad basado en el ciclo PHVA.
La Circular G-140-2009 establece las directrices para la gestión de la seguridad de la información que deben seguir bancos, financieras, AFP, cooperativas de ahorro y crédito, aseguradoras, capitalización y factoring en Perú. Entre otros aspectos, la circular requiere que estas entidades definan una política de seguridad de información, establezcan una estructura organizacional para implementarla, e implementen controles de seguridad como auditoría de accesos, detección de intrusiones y encriptación.
El documento describe los procesos y actividades relacionadas con la administración de sistemas de información. Incluye la identificación de soluciones automatizadas, la adquisición y mantenimiento de software y hardware, el desarrollo y mantenimiento de procesos, la seguridad y auditoría de datos, y la aceptación e implementación de sistemas. El objetivo general es proporcionar funciones automatizadas que soporten efectivamente el negocio a través de declaraciones específicas y garantizar la calidad, seguridad y disponibilidad de la información
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
Debido a las amenazas existentes, la ciberseguridad se ha convertido en
una prioridad para los entornos de control. Originariamente, los sistemas
de control de procesos fueron creados como sistemas independientes y
aislados, por lo tanto, la seguridad no tenía el peso que tiene hoy. Con
la estandarización de Internet y el uso de los protocolos IP, el diseño
ha cambiado hasta el punto de que, en muchos casos, la red de control
ha pasado a ser una extensión protegida de la red corporativa, siendo
potencialmente accesible desde Internet y vulnerable a los riesgos que
esto conlleva, obligando a adoptar una estrategia que nos ayude a crear un
entorno seguro para reducir las amenazas existentes.
El documento habla sobre la adquisición e implementación de dominios. Explica procesos como la identificación de soluciones automatizadas, la adquisición y mantenimiento de software y la infraestructura tecnológica, el desarrollo y mantenimiento de procesos, la instalación y aceptación de sistemas, y la administración de cambios. También discute conceptos como pistas de auditoría y técnicas de seguridad para sistemas distribuidos.
Este documento presenta una hoja de asignatura para el curso de Seguridad de la Información. La asignatura se imparte en el cuarto cuatrimestre y consta de 75 horas totales, divididas en 35 horas prácticas y 40 horas teóricas. El objetivo de la asignatura es que los estudiantes identifiquen las vulnerabilidades de los sistemas de información para establecer medidas de protección que aseguren la gestión eficaz de las operaciones. La asignatura se divide en seis unidades temáticas.
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
Este proyecto de fin de curso tiene como objetivo implementar un Sistema de Gestión de Seguridad de la Información (SGSI) para la intranet de la Clínica Ortega siguiendo los lineamientos de la Norma ISO 27001. En primer lugar, se analiza la situación actual de la red de la clínica e identifica los principales activos de información. Luego, se evalúan las vulnerabilidades existentes y los riesgos asociados a través de una matriz de riesgos. Finalmente, el proyecto describe la implementación del SGSI en la clínica
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Manuel Mujica
Trabajo de Grado de Maestría. Desarrollo de una Herramienta de Auditoría de Seguridad de la Información aplicada a la Gestión de Continuidad de Negocios
AUTOR: MARIA ELENA SIERRALTA
TUTOR: LCDO. MANUEL MUJICA
El documento habla sobre requerimientos de seguridad para sistemas de información. Aborda temas como validación de datos, autenticación, controles criptográficos, políticas de uso de claves, firma digital, administración de claves, protección de datos y control de acceso a sistemas y archivos. El objetivo general es asegurar que los sistemas incorporen medidas de seguridad para prevenir pérdida, modificación o uso inadecuado de la información.
El documento habla sobre varios temas relacionados con la seguridad de sistemas de información. Aborda conceptos como requerimientos de seguridad, seguridad en sistemas de aplicación, controles criptográficos, firma digital, administración de claves, protección de datos y control de software. También incluye lineamientos sobre normas y procedimientos para garantizar la seguridad en el desarrollo, implementación y mantenimiento de sistemas.
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
Este documento habla sobre la política de seguridad de sistemas y redes de información. Explica que la política de seguridad recoge los objetivos y directrices de una organización sobre la seguridad de la información y debe ser aprobada por la dirección. También describe los componentes clave de una política de seguridad como la identificación de riesgos, medidas de seguridad y planes de contingencia. Finalmente, resalta la importancia de auditar periódicamente los sistemas para verificar el cumplimiento de la política de seguridad.
El documento resume los resultados de un análisis de brechas (gap analysis) realizado para evaluar el grado de cumplimiento del Gobierno de la Provincia de Córdoba con respecto a la norma ISO 27001 para la gestión de seguridad de la información. Se identificaron varias áreas de mejora y se propuso un plan para implementar un sistema de gestión de seguridad de la información que incluye capacitación, definición de políticas, evaluación de riesgos y certificación.
Este documento describe las políticas de seguridad informática y sus elementos clave. Explica que una política de seguridad es una declaración de intenciones que establece las responsabilidades para proteger los sistemas informáticos. Detalla los elementos que debe incluir una política como su alcance, objetivos, responsabilidades de los usuarios y consecuencias por violaciones. Además, proporciona recomendaciones para establecer políticas de seguridad como realizar análisis de riesgos, involucrar a las áreas afectadas y comunicar los beneficios y
Auditoría Informática de Redes. Fase de Ejecucióng_quero
Este documento presenta el programa de auditoría de redes de la empresa LPA1. El programa describe las 4 fases de la auditoría: 1) etapa preliminar, 2) desarrollo de la auditoría, 3) revisión y elaboración del pre-informe, y 4) informe final. También incluye una matriz de análisis y un cronograma de 10 semanas con las actividades planificadas para cada fase.
Este documento presenta el trabajo de fin de grado de un estudiante de Ingeniería de Software sobre la aplicación del método MAGERIT para realizar un análisis de riesgos utilizando la herramienta GlobalSuite. El documento describe la identificación de activos, amenazas y salvaguardas del caso de estudio, la estimación del impacto y riesgo con ambas herramientas, y el tratamiento de los principales riesgos detectados. Finalmente, incluye un análisis comparativo de los resultados y algunos recursos formativos generados.
Manual de políticas de seguridad informáticaPaperComp
Este manual establece las políticas y normas de seguridad informática para el personal del Instituto de Altos Estudios Nacionales (IAEN). Incluye cinco secciones principales: seguridad personal, seguridad física y ambiental, seguridad y administración de operaciones de cómputo, control de acceso lógico y cumplimiento. El objetivo es proteger los equipos, aplicaciones y la información del IAEN mediante el establecimiento de estándares claros de comportamiento para el personal.
El documento presenta la norma ISO 27002, la cual proporciona recomendaciones de mejores prácticas en gestión de seguridad de la información. La norma contiene 14 secciones que cubren aspectos como políticas de seguridad, gestión de activos, control de accesos, seguridad física y operativa, gestión de incidentes, y cumplimiento. La norma puede ser utilizada por cualquier organización pública o privada para mejorar la protección de su información confidencial.
Este documento presenta una introducción a la auditoría de seguridad y describe varias áreas clave que una auditoría de seguridad puede cubrir, incluyendo seguridad física, lógica, de datos, comunicaciones y redes. También describe las fases típicas de una auditoría de seguridad e identifica aspectos específicos a considerar dentro de cada área.
Marco jurídico de la Seguridad de la Información en Uruguay. Se hace referencia al Decreto de Ciberseguridad del año 2014, a las normas de Protección de Datos Personales y a la ISO 27.001.
Este documento presenta el Manual de Políticas de Seguridad de Redes y Comunicaciones para el Instituto SISE. Describe los conceptos clave de seguridad informática y las políticas de seguridad. Establece cuatro niveles de seguridad (organizativo, físico, lógico y legal) y presenta políticas específicas sobre seguridad de redes, responsabilidad del personal, seguridad física y ambiental, y cumplimiento de aspectos legales. El objetivo general es establecer medidas para asegurar la integridad, privacidad
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Jack Daniel Cáceres Meza
El documento presenta una introducción a la gestión automatizada e integrada de controles de seguridad informática. Propone un modelo con seis elementos clave: 1) automatización, 2) integración, 3) síntesis, 4) medición objetiva, 5) mejora continua y 6) generalidad. Además, describe objetivos como el inventario de activos, gestión de usuarios y trazas, monitoreo de sistemas y protección contra malware. El modelo busca integrar diferentes herramientas de seguridad en un sistema central de gestión de eventos e información de segur
El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.
Este documento discute la importancia de la privacidad y seguridad en la era digital. Explica que las nuevas tecnologías han transformado los estilos de vida y la cultura. También destaca la necesidad de implementar políticas de seguridad para proteger la información de amenazas como robo, alteración o suplantación de identidad. Finalmente, recomienda que las políticas evalúen riesgos y aseguren el acceso, almacenamiento, transmisión, autenticación y monitoreo de la información.
La gestión de red implica planificar, organizar, supervisar y controlar los elementos de comunicaciones y recursos humanos para garantizar un nivel de servicio acordado a un coste razonable. La gestión de fallos es un proceso clave que incluye detectar, aislar y solucionar problemas para mantener dinámicamente el nivel de servicio. Esto se logra mediante gestión proactiva como pruebas preventivas y reactiva como el ciclo de vida de incidencias de detección, aislamiento, diagnóstico y resolución de fallos.
El documento proporciona información sobre una auditoría de sistemas de información y seguridad realizada a la Corporación Unificada Nacional. El objetivo era revisar los controles, sistemas y procedimientos de tecnología de la información, así como la utilización, eficiencia y seguridad de los equipos de cómputo. Se describen los objetivos específicos, el entorno operacional, las actividades de auditoría y el ciclo de seguridad evaluado. Finalmente, las conclusiones indican que los sistemas cumplen con las actividades asignadas
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaCarlos Escobar
Este documento resume los controles de sistemas a nivel de entidad y los controles para centros de datos y recuperación ante desastres. Explica que los controles a nivel de entidad incluyen integridad, estructura organizativa, recursos humanos, objetivos, riesgos y controles de TI. También describe los controles para centros de datos como acceso físico, controles ambientales, operaciones, energía ininterrumpida, respaldos y cumplimiento de estándares para garantizar la disponibilidad de los sistemas.
Este documento presenta una hoja de asignatura para el curso de Seguridad de la Información. La asignatura se imparte en el cuarto cuatrimestre y consta de 75 horas totales, divididas en 35 horas prácticas y 40 horas teóricas. El objetivo de la asignatura es que los estudiantes identifiquen las vulnerabilidades de los sistemas de información para establecer medidas de protección que aseguren la gestión eficaz de las operaciones. La asignatura se divide en seis unidades temáticas.
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
Este proyecto de fin de curso tiene como objetivo implementar un Sistema de Gestión de Seguridad de la Información (SGSI) para la intranet de la Clínica Ortega siguiendo los lineamientos de la Norma ISO 27001. En primer lugar, se analiza la situación actual de la red de la clínica e identifica los principales activos de información. Luego, se evalúan las vulnerabilidades existentes y los riesgos asociados a través de una matriz de riesgos. Finalmente, el proyecto describe la implementación del SGSI en la clínica
Desarrollo de una Herramienta de Auditoría de Seguridad de la Información apl...Manuel Mujica
Trabajo de Grado de Maestría. Desarrollo de una Herramienta de Auditoría de Seguridad de la Información aplicada a la Gestión de Continuidad de Negocios
AUTOR: MARIA ELENA SIERRALTA
TUTOR: LCDO. MANUEL MUJICA
El documento habla sobre requerimientos de seguridad para sistemas de información. Aborda temas como validación de datos, autenticación, controles criptográficos, políticas de uso de claves, firma digital, administración de claves, protección de datos y control de acceso a sistemas y archivos. El objetivo general es asegurar que los sistemas incorporen medidas de seguridad para prevenir pérdida, modificación o uso inadecuado de la información.
El documento habla sobre varios temas relacionados con la seguridad de sistemas de información. Aborda conceptos como requerimientos de seguridad, seguridad en sistemas de aplicación, controles criptográficos, firma digital, administración de claves, protección de datos y control de software. También incluye lineamientos sobre normas y procedimientos para garantizar la seguridad en el desarrollo, implementación y mantenimiento de sistemas.
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
Este documento habla sobre la política de seguridad de sistemas y redes de información. Explica que la política de seguridad recoge los objetivos y directrices de una organización sobre la seguridad de la información y debe ser aprobada por la dirección. También describe los componentes clave de una política de seguridad como la identificación de riesgos, medidas de seguridad y planes de contingencia. Finalmente, resalta la importancia de auditar periódicamente los sistemas para verificar el cumplimiento de la política de seguridad.
El documento resume los resultados de un análisis de brechas (gap analysis) realizado para evaluar el grado de cumplimiento del Gobierno de la Provincia de Córdoba con respecto a la norma ISO 27001 para la gestión de seguridad de la información. Se identificaron varias áreas de mejora y se propuso un plan para implementar un sistema de gestión de seguridad de la información que incluye capacitación, definición de políticas, evaluación de riesgos y certificación.
Este documento describe las políticas de seguridad informática y sus elementos clave. Explica que una política de seguridad es una declaración de intenciones que establece las responsabilidades para proteger los sistemas informáticos. Detalla los elementos que debe incluir una política como su alcance, objetivos, responsabilidades de los usuarios y consecuencias por violaciones. Además, proporciona recomendaciones para establecer políticas de seguridad como realizar análisis de riesgos, involucrar a las áreas afectadas y comunicar los beneficios y
Auditoría Informática de Redes. Fase de Ejecucióng_quero
Este documento presenta el programa de auditoría de redes de la empresa LPA1. El programa describe las 4 fases de la auditoría: 1) etapa preliminar, 2) desarrollo de la auditoría, 3) revisión y elaboración del pre-informe, y 4) informe final. También incluye una matriz de análisis y un cronograma de 10 semanas con las actividades planificadas para cada fase.
Este documento presenta el trabajo de fin de grado de un estudiante de Ingeniería de Software sobre la aplicación del método MAGERIT para realizar un análisis de riesgos utilizando la herramienta GlobalSuite. El documento describe la identificación de activos, amenazas y salvaguardas del caso de estudio, la estimación del impacto y riesgo con ambas herramientas, y el tratamiento de los principales riesgos detectados. Finalmente, incluye un análisis comparativo de los resultados y algunos recursos formativos generados.
Manual de políticas de seguridad informáticaPaperComp
Este manual establece las políticas y normas de seguridad informática para el personal del Instituto de Altos Estudios Nacionales (IAEN). Incluye cinco secciones principales: seguridad personal, seguridad física y ambiental, seguridad y administración de operaciones de cómputo, control de acceso lógico y cumplimiento. El objetivo es proteger los equipos, aplicaciones y la información del IAEN mediante el establecimiento de estándares claros de comportamiento para el personal.
El documento presenta la norma ISO 27002, la cual proporciona recomendaciones de mejores prácticas en gestión de seguridad de la información. La norma contiene 14 secciones que cubren aspectos como políticas de seguridad, gestión de activos, control de accesos, seguridad física y operativa, gestión de incidentes, y cumplimiento. La norma puede ser utilizada por cualquier organización pública o privada para mejorar la protección de su información confidencial.
Este documento presenta una introducción a la auditoría de seguridad y describe varias áreas clave que una auditoría de seguridad puede cubrir, incluyendo seguridad física, lógica, de datos, comunicaciones y redes. También describe las fases típicas de una auditoría de seguridad e identifica aspectos específicos a considerar dentro de cada área.
Marco jurídico de la Seguridad de la Información en Uruguay. Se hace referencia al Decreto de Ciberseguridad del año 2014, a las normas de Protección de Datos Personales y a la ISO 27.001.
Este documento presenta el Manual de Políticas de Seguridad de Redes y Comunicaciones para el Instituto SISE. Describe los conceptos clave de seguridad informática y las políticas de seguridad. Establece cuatro niveles de seguridad (organizativo, físico, lógico y legal) y presenta políticas específicas sobre seguridad de redes, responsabilidad del personal, seguridad física y ambiental, y cumplimiento de aspectos legales. El objetivo general es establecer medidas para asegurar la integridad, privacidad
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Jack Daniel Cáceres Meza
El documento presenta una introducción a la gestión automatizada e integrada de controles de seguridad informática. Propone un modelo con seis elementos clave: 1) automatización, 2) integración, 3) síntesis, 4) medición objetiva, 5) mejora continua y 6) generalidad. Además, describe objetivos como el inventario de activos, gestión de usuarios y trazas, monitoreo de sistemas y protección contra malware. El modelo busca integrar diferentes herramientas de seguridad en un sistema central de gestión de eventos e información de segur
El documento habla sobre la gestión de la seguridad de la información. Explica conceptos clave como riesgos, amenazas, vulnerabilidades y los pasos para realizar un análisis de riesgos. También describe normas y marcos comunes utilizados para la gestión de seguridad como ISO 27001, COBIT y BS 7799. Finalmente, menciona algunas tendencias futuras en tecnología y seguridad de la información.
Este documento discute la importancia de la privacidad y seguridad en la era digital. Explica que las nuevas tecnologías han transformado los estilos de vida y la cultura. También destaca la necesidad de implementar políticas de seguridad para proteger la información de amenazas como robo, alteración o suplantación de identidad. Finalmente, recomienda que las políticas evalúen riesgos y aseguren el acceso, almacenamiento, transmisión, autenticación y monitoreo de la información.
La gestión de red implica planificar, organizar, supervisar y controlar los elementos de comunicaciones y recursos humanos para garantizar un nivel de servicio acordado a un coste razonable. La gestión de fallos es un proceso clave que incluye detectar, aislar y solucionar problemas para mantener dinámicamente el nivel de servicio. Esto se logra mediante gestión proactiva como pruebas preventivas y reactiva como el ciclo de vida de incidencias de detección, aislamiento, diagnóstico y resolución de fallos.
El documento proporciona información sobre una auditoría de sistemas de información y seguridad realizada a la Corporación Unificada Nacional. El objetivo era revisar los controles, sistemas y procedimientos de tecnología de la información, así como la utilización, eficiencia y seguridad de los equipos de cómputo. Se describen los objetivos específicos, el entorno operacional, las actividades de auditoría y el ciclo de seguridad evaluado. Finalmente, las conclusiones indican que los sistemas cumplen con las actividades asignadas
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaCarlos Escobar
Este documento resume los controles de sistemas a nivel de entidad y los controles para centros de datos y recuperación ante desastres. Explica que los controles a nivel de entidad incluyen integridad, estructura organizativa, recursos humanos, objetivos, riesgos y controles de TI. También describe los controles para centros de datos como acceso físico, controles ambientales, operaciones, energía ininterrumpida, respaldos y cumplimiento de estándares para garantizar la disponibilidad de los sistemas.
El documento describe varios mecanismos de seguridad y control que se deben considerar al diseñar sistemas de información, incluyendo la autenticación de usuarios, control de acceso basado en roles, cifrado de datos, firmas digitales y controles de seguridad siguiendo la norma ISO27001. También resalta la importancia de proteger la confidencialidad, integridad y disponibilidad de la información.
Este documento trata sobre conceptos generales de seguridad de TI. Explica la importancia de la auditoría de seguridad y la evaluación de riesgos. También describe los problemas más comunes de seguridad, las fases de una auditoría de seguridad, y cómo auditar la seguridad física, lógica, de comunicaciones y continuidad de operaciones. Además, cubre temas como seguridad de sistemas operativos, bases de datos, datos, redes y formas de protección.
"Cumplimiento como base de la ciberseguridad". Ponencia de D. Pablo López
Segundo jefe del Departamento de Ciberseguridad del CCN. En el marco de: IV Jornadas de Ciberseguridad en Andalucía (junio 2017).
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
Este documento presenta una introducción a la gestión de riesgos y cumplimiento en ciberseguridad. Explica los retos actuales como la recolección de datos manual, evaluaciones subjetivas y operaciones en silos. Luego, propone soluciones como automatización, priorización basada en riesgos y mejorar la visibilidad entre áreas. Finalmente, introduce la suite Symantec Control Compliance para definir políticas, evaluar controles y automatizar el proceso de cumplimiento.
El documento describe los roles y responsabilidades de varias funciones en la implementación de controles internos para sistemas de información. Estas funciones incluyen Control Interno Informático, Auditoría Informática, Dirección de Informática, y Dirección de Negocio o Sistemas de Información. También describe varios tipos de controles que deben definirse e implementarse para garantizar la seguridad, integridad y disponibilidad de la información y los sistemas.
El documento trata sobre la auditoría de sistemas de información. Explica los objetivos, metodologías y áreas de revisión de una auditoría de SI. También describe conceptos clave como riesgo, control interno, segregación de funciones y el balance entre controles y costos.
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...Manuel Mujica
Este documento presenta la propuesta de diseñar el proceso para la sistematización de la gestión de riesgos de seguridad de la información en la red de la Universidad Centroccidental “Lisandro Alvarado”. El diseño del proceso se basa en las normas ISO 27001 e ISO 27005 y consta de 7 fases: determinar el contexto, identificar, analizar, evaluar, tratar, monitorear y revisar, y comunicar y consultar. El objetivo es definir el proceso de gestión de riesgos, describir sus fases y present
El documento proporciona una introducción a la auditoría informática. Explica que la auditoría informática evalúa que los sistemas de cómputo cumplan con los requisitos del usuario, sigan las normas de seguridad y se mantengan actualizados tecnológicamente. También revisa los controles establecidos para garantizar la seguridad, confiabilidad y exactitud de la información. Finalmente, describe los tipos de delitos informáticos de acuerdo con el Convenio sobre la Ciberdelincuencia.
Este documento proporciona una guía práctica para la informatización de procesos en entornos regulados. Explica la importancia de seguir un enfoque basado en riesgos y establecer un sistema de calidad IT sólido, incluyendo políticas y procedimientos clave como la gestión de sistemas informatizados, la integridad de datos y la evaluación de proveedores. También cubre temas como la definición de requerimientos de usuario, la selección de soluciones y la especificación del sistema, que son fundamentales para garant
Este documento presenta varios controles de seguridad de la información que deben considerarse para aplicaciones y sistemas, incluyendo la validación de datos de entrada y salida, integridad de mensajes, controles criptográficos, gestión de claves, controles de software en producción y uso de datos de prueba. El objetivo general es evitar pérdidas, modificaciones o mal uso de datos de usuarios en las aplicaciones a través de medidas de control diseñadas dentro de las aplicaciones.
Este documento presenta un caso de estudio sobre una fábrica de maquinaria industrial y su estrategia de seguridad de la información. Describe las políticas y estándares de seguridad de la empresa, así como algunos procedimientos de monitoreo y mantenimiento. También analiza algunos casos hipotéticos de soborno a empleados y fallas en los controles de seguridad, identificando posibles causas como falta de cultura de seguridad y controles inadecuados para proteger información crítica. Finalmente, sugiere que una auditoría técnica
El documento habla sobre los requerimientos de seguridad para el desarrollo y mantenimiento de sistemas. Detalla controles criptográficos, políticas de uso de claves, firma digital, administración de claves, servicios de no repudio y protección de datos en pruebas y producción. También cubre controles de acceso a código fuente, bibliotecas y actualizaciones de software.
El documento habla sobre los requerimientos de seguridad para el desarrollo y mantenimiento de sistemas. Describe la importancia de validar datos de entrada y salida, autenticar mensajes, y aplicar controles criptográficos. También discute la administración de claves, firma digital, servicios de no repudio, y normas para proteger software y datos operativos.
Este documento describe seis áreas de identificación e implementación de soluciones de TI (AI1-AI6). Cubre la identificación automatizada de soluciones, adquisición y mantenimiento de software y hardware, desarrollo y mantenimiento de procedimientos, e instalación y aceptación de sistemas. También cubre la administración de cambios a sistemas existentes.
Este documento describe los diferentes elementos de control interno informático, incluyendo controles sobre la organización del área de informática, el análisis y desarrollo de sistemas, las operaciones del sistema, los procedimientos de entrada de datos y la seguridad del área de sistemas. Cada elemento contiene subelementos específicos para garantizar la eficiencia, eficacia, confiabilidad y seguridad del procesamiento de información.
El documento describe los elementos del control interno informático, incluyendo controles sobre la organización del área de informática, el análisis y desarrollo de sistemas, las operaciones del sistema, los procedimientos de entrada de datos y la seguridad del área de sistemas. Se explican los subelementos de cada uno y su importancia para garantizar la eficiencia, eficacia, confiabilidad y seguridad de la información y los sistemas.
Este documento describe los diferentes elementos de control interno informático, incluyendo controles sobre la organización del área de informática, el análisis y desarrollo de sistemas, las operaciones del sistema, los procedimientos de entrada de datos y la seguridad del área de sistemas. Cada elemento contiene subelementos específicos para garantizar la eficiencia, eficacia, confiabilidad y seguridad del procesamiento de información.
Wazuh es una plataforma de código abierto para la detección de intrusiones y seguridad de la información. El taller cubre el contexto normativo de seguridad de la información en Chile, amenazas comunes, eventos de seguridad y cómo Wazuh puede usarse para recopilar y correlacionar eventos de dispositivos, sistemas y aplicaciones a fin de detectar anomalías y casos de seguridad. El taller también incluye la instalación de la interfaz de Wazuh.
Este documento presenta un diagnóstico basado en un análisis de riesgos cuantitativo del centro de cómputo de la empresa Distribuidora Boliviana de Bebidas. Incluye una descripción de la empresa y sus procesos tecnológicos, un marco teórico sobre análisis de riesgos, y el desarrollo del proyecto que identifica activos, amenazas, vulnerabilidades y controles. Finaliza con propuestas de políticas y un plan de implementación para mejorar la seguridad de la información.
Politicas de seguridad de la Información - Trabajo Grupaljose_calero
Este documento presenta la política de seguridad del datacenter de la organización. Establece lineamientos sobre el control de acceso, registro de actividades, sistemas de monitoreo, respaldos de datos, casos fortuitos y mejoramiento tecnológico. Designa responsabilidades a la máxima autoridad ejecutiva y a las TIC para verificar el cumplimiento de la política y realizar controles internos.
El documento describe un análisis de vulnerabilidad de una red local realizado por un grupo de estudiantes. Usando herramientas como Wireshark, Driftnet y Ettercap, el grupo analizó el tráfico de la red y fue capaz de capturar credenciales de acceso a Joomla y phpmyadmin, pero no a CPanel. El grupo concluyó que es necesario usar protocolos más seguros como HTTPS, SSH y SSDP para proteger mejor la información crítica transmitida a través de la red.
Este documento presenta 6 métricas de seguridad para una empresa. Cada métrica incluye una política, concepto, dimensión, métrica, frecuencia, fuente e indicadores. Las métricas miden el cumplimiento de políticas de seguridad, disponibilidad de datos respaldados, capacidad de red, accesos autorizados a la red, control de acceso a sitios web y efectividad de sistemas de seguridad ante amenazas.
2. Introducción
El presente trabajo nos permitirá apreciar el
análisis de riesgos del área tecnológica de la
empresa “Distribuidora Boliviana de Bebidas”
D.B.B. que ayuden a la empresa a mejorar el
manejo de sus activos, diagnosticando a la
empresa para poder realizar una apreciación tanto
crítica para que la empresa pueda preparar,
emplear, instrumentos y poderlos aplicar en el
presente y que se desarrolle en un futuro.
3. ANTECEDENTES
La empresa con el fin poseer ventajas
competitivas y resaltar en el mercado ha
implementado tecnología en sus procesos:
4. ANTECEDENTES
Sistemas de Información:
•Sistema de Ruteo (Roadshow)
•Sistema de Contabilidad
•Sistema de Facturación FIS
•El centro de cómputo básicamente cuenta
con un servidor de Base de Datos, que
almacena información de los sistemas
mencionados.
5. DELIMITACIÓN
Se contempla realizar un diagnóstico basado en un
análisis de Riesgos cuantitativo del Centro de
Cómputo con el que cuenta la empresa:
o Se elaborará una matriz de Riesgos
cuantitativa
o Se describirán las métricas para medir el
desempeño y cumplimiento de los controles.
o Se elaborará un cronograma de
implementación.
o Se propondrá algunas políticas en base a las
vulnerabilidades y controles.
7. DESARROLLO DEL PROYECTO
Valoración de activos
Activo Categoría Disponibilidad Integridad Confidencialidad Valor
Promedio
Sistema de Aplicaciones 80 80 90 83
Ruteo
Roadshow
Sistema de Aplicaciones 80 80 100 86
facturación
FIS
Sistema de Aplicaciones 80 80 90 83
Contabilidad
Servidor Tecnologías 80 70 90 80
PC’s Tecnologías 90 80 70 80
Cableado de Tecnologías 70 60 60 63
Red de
Datos
9. DESARROLLO DEL PROYECTO
Identificación y descripción de vulnerabilidades
•Falta de políticasde acceso físico al área de sistemas
de acceso al sistema
•Falta de control de seguridad de la información
•Falta de políticas de copias de respaldo
•Falta de políticas
•Falta de actualizacionesen su manipulación
•El sistema es complejo que conoce el Sistema
•Solo existe un encargadoSistema de Contabilidad y
•Falta de integración del
Facturación
10. DESARROLLO DEL PROYECTO
Identificación y descripción de vulnerabilidades
•Envío de contraseñas con encriptación débil
•Puertos no utilizados abiertos
•Falta de un sistema de ingreso de personal
•No existe cableado estructurado en la instalación de la red
de energía eléctrica.
•Políticas de seguridad deficientes e inexistentes para el
cuidado y conservación de hardware.
•La empresa no cuenta con una construcción antisísmica
•Políticas de seguridad en caso de desastres naturales
inexistente
•Instalaciones Inadecuadas, para protección del cableado
•No existe cableado estructurado en la red de datos.
11. DESARROLLO DEL PROYECTO
Matriz de análisis de riesgos
Activos Val Amenazas FE SLE Vulnerabilidade ARO ALE Controles
or s
Sistema 100 1. Personal 50% 5000 4. Falta de 25% 1250 1. Establecimiento
de 00 no politicas de de una politica de
Ruteo Autorizado acceso al control de accesos
Roadsh con acceso sistema
ow al Sistema
2. Uso de
criptografia para
proteger los datos
2. Robo de la 10% 1000 1. Falta de 25% 250 3. Restringir el
Información control de acceso ingreso de personas
fisico al area de no autorizadas
sistemas
12. DESARROLLO DEL PROYECTO
Selección de controles
•Establecimiento de una política de control de
accesos.
•Uso de criptografía para proteger los datos.
•Restringir el ingreso de personas no
autorizadas
•Restringir el uso de dispositivos de
almacenamiento
•Limitar el uso de correos no corporativos y
acceso a servidores FTP
•Definir una política de copias de seguridad
13. DESARROLLO DEL PROYECTO
Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente,
Indicadores y)
Ref. Política Seguridad Física
Concepto Se utilizarán perímetros de seguridad para proteger las áreas que
contienen instalaciones de procesamiento de información, de
suministro de energía eléctrica, de aire acondicionado, y cualquier
otra área considerada crítica para el correcto funcionamiento de
los sistemas de información.
Dimensión Fallas de equipos y de la capa física de la red del sistema.
Métrica Cantidad de mal funcionamiento de equipos.
Frecuencia Cada 90 días
Fuente Registro de servicio de técnico.
Indicadores % de fallas de los equipos.
justificación Falta de seguridad de funcionamiento óptimo de los equipos
14. DESARROLLO DEL PROYECTO
Métricas (Ref. Política, Concepto, Dimisión, Métrica, Frecuencia, Fuente,
Indicadores y)
Ref. Política Políticas de Formación y Capacitación en Materia de Seguridad
de la Información
Concepto Todos los empleados de la empresa y, cuando sea pertinente, los
usuarios externos y los terceros que desempeñen funciones en el
organismo, recibirán una adecuada capacitación , preparación y
actualización periódica en materia de la política, normas y
procedimientos de la empresa
Dimensión El personal tiene conocimiento de las políticas de seguridad
Métrica Personal capacitado
Frecuencia Cada 90 días
Fuente Test de capacitación
Indicadores % de personal que aprobaron el test
justificación Falta de políticas de acceso y restricción al sistema
15. DESARROLLO DEL PROYECTO
Plan de Implementación General
Es una guía para la implementación de los controles seleccionados
para corregir en su totalidad o parcialmente las vulnerabilidades
Objetivos
Análisis y descripción de amenazas
•Análisis y descripción de vulnerabilidades
•Selección de controles
•Implementación de controles
Presupuesto implementación de controles
El presupuesto provisional total asciende a un costo de $us.
66100,00.
16. DESARROLLO DEL PROYECTO
Cronograma
Id Controles Mes1 Mes2 Mes3 Mes4
1 Análisis y descripción de
Amenazas
2 Análisis y descripción de
Vulnerabilidades
3 Selección de Controles
4 Implementación de Controles
5 Establecimiento de una política de
control de accesos
17. DESARROLLO DEL PROYECTO
Conclusiones y recomendaciones
Conclusiones:
El análisis de riesgo realizado nos permitió detectar con éxito las
vulnerabilidades existentes en los procesos de la empresa y seleccionar
los controles adecuados.
La mayoría de las vulnerabilidades se deben a la actitud de los
empleados, los cuales necesitan institucionalizarse y comprometerse con
los objetivos de la empresa.
Las políticas de seguridad planteadas necesitan ser ejecutadas para dar
seguridad al centro de cómputo y a la información que es un activo vital
para la empresa.
Estas políticas se pueden observar en la sección de Anexos.
Recomendaciones:
Se necesita lograr el compromiso de los trabajadores de la empresa. La
actitud en el compromiso laboral es importante, ya que es la medida en
que una persona se identifica con la empresa y su entorno, queriendo
participar en las actividades de la misma, persiguiendo los mismos
objetivos y cuidando de los activos.
18. DESARROLLO DEL PROYECTO
Conclusiones y recomendaciones Académicas
Conclusiones:
Se logró comprender que el manejo adecuado de la información
constituye una clave de éxito frente a la competencia.
Se aplicó los conceptos de seguridad de información para poder
encontrar las vulnerabilidades tecnológicas y aplicar los controles
necesarios.
En base a las vulnerabilidades identificadas y los controles, se logró
desarrollado como propuesta de implementación políticas de seguridad,
con el fin de mantener la disponibilidad, integridad y confidencialidad de
la información y del equipamiento que conforma el centro de cómputo.
Recomendaciones:
Para poder tener una visión más amplia de la empresa en la cual se
realiza el análisis de riesgos, podría hacerse un análisis FODA y también
tener en cuenta la visión y misión.