SlideShare una empresa de Scribd logo

administracion

Descargar como PPT, PDF
4
4ui5fgggh

esta presentación es sobre la administración de la seguridad informatica

1 de 17
Administración de la Seguridad Informática Organización y Administración de Centros de Cómputos
Temas Presentación Conceptos básicos de Seguridad Informática Administración de la Seguridad Informática BS7799 Políticas de Seguridad Informática Administración de riesgos Estructura organizacional Roles y responsabilidades Organización y Administración de Centros de Cómputos
El mundo de la seguridad Informática: ConfidencialidadDisponibilidad Integridad Firewall Auditoría y administración de logs Administración de riesgos Seguridad física Administración de la continuidad del negocio Respuesta a incidentes y administración de crisis Monitoreo y detección de intrusos Prevención y detección de virus Administración de la infraestructura de seguridad Arquitectura de seguridad Seguridad del personal Registro y administración de certificados Autenticación y control de acceso Administración de passwords Encriptación y administración de llaves
La seguridad Informática preserva: Confidencialidad Integridad Disponibilidad Auditabilidad Rastreabilidad Conceptos básicos de Seguridad Informática A través de servicios: Control de acceso Encriptación Autenticación Políticas Procedimientos Conciencia Planeación Entrenamiento Que se traducen en: Certificados, Firmas digitales, algoritmos de encriptación, etc. Organización y Administración de Centros de Cómputos
Principales obstáculos de la seguridad informática: Falta de conciencia de los usuarios finales Presupuesto Falta de apoyo de la alta gerencia Falta de entrenamiento Responsabilidades no claras Falta de conciencia de la alta gerencia Falta de una autoridad centralizada Falta de herramientas Complejidad técnica Falta de estándares Falta de personal de seguridad competente Aspectos legales Conceptos básicos de Seguridad Informática Organización y Administración de Centros de Cómputos
Por qué es importante la seguridad informática: •La información es un recurso esencial para todas las organizaciones •La información puede ser la clave para el crecimiento de las organizaciones •Compartir información es una práctica común hoy y continua incrementándose •La información es uno de los principales activos de la organización •La disponibilidad, integridad y confidencialidad de la información •puede ser crítica para el éxito de la organización •Provee nuevas oportunidades de negocio •Asegura lealtad de los clientes Conceptos básicos de Seguridad Informática Organización y Administración de Centros de Cómputos
Es el conjunto de aspectos interrelacionados que incluye: Estructura Organizacional Análisis de riesgos Propiedad de los recursos ¿Qué es administración de la Seguridad ? Seguridad Informática para toda la organización Requieren responsabilidades a nivel organizacional Debe haber responsable de analizar necesidades, establecer el sistema, dar soporte, vigilar y mejorar Todos los sistemas deben ser asegurados según el nivel de riesgos que enfrentan El propósito del análisis de riesgos es cuantificarlos para que la dirección tome la decisión adecuada Análisis de riesgos se utiliza para convertir “miedos técnicos” en aspectos del negocio Todo sistema debe tener un dueño o responsable que toma las decisiones de negocio Organización y Administración de Centros de Cómputos
Politicas Guías, estándares Procedimientos Documentación más detallada de qué y como lograr el nivel de seguridad Se usan para ayudar a construir sistemas con características de seguridad requeridas Información detallada requerida para definir como las personas soportan el sistema Depende de la tecnología Deben ser lo más completos posibles para evitar subjetividad Las políticas definen la posición de la organización y documentan las decisiones de la administración en lo relacionado con la seguridad informática Así mismo, las políticas definen el nivel de seguridad a ser logrado en la organización, o el modelo deseado de seguridad
La tecnología es solo una parte de la solución. La gente, la organización que forman, y los procedimientos que ellos usan son igual o más importantes que la tecnología que los soporta Seguridad: tan fuerte como el eslabón más débil de la cadena Una administración apropiada de la Seguridad Informática puede ser olvidada y convertirse en el eslabón más débil de la cadena ¿Porqué la administración de la Seguridad ? Organización y Administración de Centros de Cómputos
Norma BS7799 Desarrollada originalmente por Shell, BT, Midland Bank, Marks & Spencer, Nationwide, Unilever & Prudential Estandar desarrollado por compañías para ser adoptado entre ellas y poder negociar Trata de Administración de la Seguridad Informática Contiene numerosas medidas de control para ayudar a reducir los incidentes de seguridad Puede dar ventaja competitiva Organización y Administración de Centros de Cómputos
Políticas de Seguridad Informática Las políticas proveen la dirección administrativa y el apoyo para la seguridad Informática en la organización Existen tres tipos de políticas  Política general o corporativa  Políticas sobre aspectos de seguridad Políticas sobre sistemas Son implementadas a través de: Procedimientos - Guías Estándares Alcance y propósito del programa de seguridad, asignación de responsabilidades en la organización. Decisión de la gerencia con respecto a la seguridad Tratan aspectos de seguridad informática para toda la organización documentando la posición respecto a: Uso del email, uso de internet, continuidad del negocio, virus, etc._ Tratan la seguridad del sistema específicos o grupos de sistemas Organización y Administración de Centros de Cómputos
Políticas de Seguridad Informática Política general o corporativa  Objetivos en términos de confidencialidad, integridad, disponibilidad, auditabilidad y rastreabilidad.  Alcance (hardware, software, información, personal)  Responsabilidades (programa de seguridad)  Cumplimiento (monitoreo, recompensas, sanciones) Organización y Administración de Centros de Cómputos
Políticas de Seguridad Informática Políticas sobre aspectos específicos:  Definición del aspecto explicando el riesgo  Posición de la organización (decisión)  Alcance y aplicabilidad (a qué elementos)  Roles y responsabilidades (roles específicos de la política)  Cumplimiento (monitoreo, recompensas, sanciones)  Información adicional Organización y Administración de Centros de Cómputos
Políticas de Seguridad Informática Políticas sobre aspectos específicos: Análisis de riesgos, continuidad del negocio, administración de incidentes, auditoría, monitoreo de la seguridad, clasificación de la información, confidencialidad, uso de software & copyright, uso de software licenciado, virus, uso de internet, email, material indebido, identificación de usuarios y autenticación, aseguramiento de la calidad Organización y Administración de Centros de Cómputos
Políticas de Seguridad Informática Políticas sobre sistemas Establecimiento de los objetivos de seguridad  Requerimientos detallados Definición de reglas  Que implementan los requerimientos de seguridad (Ej: Control de acceso) Contienen:  Control de acceso  Reglas para uso del sistema  Asignación de responsabilidades de seguridad  Aspectos de cumplimiento  Contingencia y recuperación  Manejo de incidentes  Monitoreo del cumplimiento Organización y Administración de Centros de Cómputos
Políticas de Seguridad Informática Pruebas  Individuales  Integración Pilotos Mantenimiento  Administración de la documentación  Modificación Monitoreo post implantación Organización y Administración de Centros de Cómputos
Roles y Responsabilidades Directivos  Formalizar y apoyar las políticas de seguridad Jefe de Seguridad Informática  Velar por el desarrollo, implementación y revisión periódica de las políticas, estandares y procedimientos  Conocer y difundir regulación Usuarios  Seguir los procedimientos y políticas Auditoría  Realizar una revisión externa e independiente de la efectividad de las políticas de seguridad Organización y Administración de Centros de Cómputos

Recomendados

Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosydaleuporsiempre_16
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaEcatel SRL
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Seguridad
Seguridad Seguridad
Seguridad Lisbey Urrea
 
Politicas de la seguridad informatica
Politicas de la seguridad informaticaPoliticas de la seguridad informatica
Politicas de la seguridad informaticafranciscoortiz123456
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 

Recomendados

Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosydaleuporsiempre_16
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaEcatel SRL
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Seguridad
Seguridad Seguridad
Seguridad Lisbey Urrea
 
Politicas de la seguridad informatica
Politicas de la seguridad informaticaPoliticas de la seguridad informatica
Politicas de la seguridad informaticafranciscoortiz123456
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Sgsi
SgsiSgsi
SgsiAlexander Velasque Rimac
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Presenta informe
Presenta informePresenta informe
Presenta informeAnyi Stefany
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)Instituto Tecnológico de Las Américas (ITLA)
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
RiesgosinformaticaFlorencio Lara
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformaticaElizabeth Sanchez
 
Word
WordWord
WordCindy Mendoza
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticalesly ojeda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Cesar mendoza carmen segu
Cesar mendoza carmen seguCesar mendoza carmen segu
Cesar mendoza carmen seguCesarMCDE
 
Hola
HolaHola
HolaVictor Manuel Ramirez Chacon
 
Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power pointbutterflysunx
 
Power point informatica
Power point informaticaPower point informatica
Power point informaticafabioescobar17
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Laseguridadinformtica ivan
Laseguridadinformtica ivanLaseguridadinformtica ivan
Laseguridadinformtica ivanIvanEuan
 
Power blogger
Power bloggerPower blogger
Power bloggerSergio Sanchez de Castro
 
Seg Inf Sem01
Seg Inf Sem01Seg Inf Sem01
Seg Inf Sem01lizardods
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISOguestf9a7e5
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 

Más contenido relacionado

La actualidad más candente

Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaLisbey Urrea
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticalesly ojeda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Cesar mendoza carmen segu
Cesar mendoza carmen seguCesar mendoza carmen segu
Cesar mendoza carmen seguCesarMCDE
 
Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power pointbutterflysunx
 
Power point informatica
Power point informaticaPower point informatica
Power point informaticafabioescobar17
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Laseguridadinformtica ivan
Laseguridadinformtica ivanLaseguridadinformtica ivan
Laseguridadinformtica ivanIvanEuan
 
Seg Inf Sem01
Seg Inf Sem01Seg Inf Sem01
Seg Inf Sem01lizardods
 

La actualidad más candente (19)

Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Presenta informe
Presenta informePresenta informe
Presenta informe
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)Politicas de seguridad informatica itla (generales)
Politicas de seguridad informatica itla (generales)
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
 
Word
WordWord
Word
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Cesar mendoza carmen segu
Cesar mendoza carmen seguCesar mendoza carmen segu
Cesar mendoza carmen segu
 
Hola
HolaHola
Hola
 
Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power point
 
Power point informatica
Power point informaticaPower point informatica
Power point informatica
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power point
 
Laseguridadinformtica ivan
Laseguridadinformtica ivanLaseguridadinformtica ivan
Laseguridadinformtica ivan
 
Power blogger
Power bloggerPower blogger
Power blogger
 
Seg Inf Sem01
Seg Inf Sem01Seg Inf Sem01
Seg Inf Sem01
 

Similar a administracion

Políticas generales de seguridad
Políticas generales de seguridadPolíticas generales de seguridad
Políticas generales de seguridadMaria Valderrama
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
politica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticospolitica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticosgalactico_87
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAerickaoblea1
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 

Similar a administracion (20)

Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Políticas generales de seguridad
Políticas generales de seguridadPolíticas generales de seguridad
Políticas generales de seguridad
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
politica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticospolitica de seguridad de sistemas informaticos
politica de seguridad de sistemas informaticos
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
 
expo Isoeic27000
expo Isoeic27000expo Isoeic27000
expo Isoeic27000
 
Seguridad
SeguridadSeguridad
Seguridad
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure Applications
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 

administracion

  • 1. Administración de la Seguridad Informática Organización y Administración de Centros de Cómputos
  • 2. Temas Presentación Conceptos básicos de Seguridad Informática Administración de la Seguridad Informática BS7799 Políticas de Seguridad Informática Administración de riesgos Estructura organizacional Roles y responsabilidades Organización y Administración de Centros de Cómputos
  • 3. El mundo de la seguridad Informática: ConfidencialidadDisponibilidad Integridad Firewall Auditoría y administración de logs Administración de riesgos Seguridad física Administración de la continuidad del negocio Respuesta a incidentes y administración de crisis Monitoreo y detección de intrusos Prevención y detección de virus Administración de la infraestructura de seguridad Arquitectura de seguridad Seguridad del personal Registro y administración de certificados Autenticación y control de acceso Administración de passwords Encriptación y administración de llaves
  • 4. La seguridad Informática preserva: Confidencialidad Integridad Disponibilidad Auditabilidad Rastreabilidad Conceptos básicos de Seguridad Informática A través de servicios: Control de acceso Encriptación Autenticación Políticas Procedimientos Conciencia Planeación Entrenamiento Que se traducen en: Certificados, Firmas digitales, algoritmos de encriptación, etc. Organización y Administración de Centros de Cómputos
  • 5. Principales obstáculos de la seguridad informática: Falta de conciencia de los usuarios finales Presupuesto Falta de apoyo de la alta gerencia Falta de entrenamiento Responsabilidades no claras Falta de conciencia de la alta gerencia Falta de una autoridad centralizada Falta de herramientas Complejidad técnica Falta de estándares Falta de personal de seguridad competente Aspectos legales Conceptos básicos de Seguridad Informática Organización y Administración de Centros de Cómputos
  • 6. Por qué es importante la seguridad informática: •La información es un recurso esencial para todas las organizaciones •La información puede ser la clave para el crecimiento de las organizaciones •Compartir información es una práctica común hoy y continua incrementándose •La información es uno de los principales activos de la organización •La disponibilidad, integridad y confidencialidad de la información •puede ser crítica para el éxito de la organización •Provee nuevas oportunidades de negocio •Asegura lealtad de los clientes Conceptos básicos de Seguridad Informática Organización y Administración de Centros de Cómputos
  • 7. Es el conjunto de aspectos interrelacionados que incluye: Estructura Organizacional Análisis de riesgos Propiedad de los recursos ¿Qué es administración de la Seguridad ? Seguridad Informática para toda la organización Requieren responsabilidades a nivel organizacional Debe haber responsable de analizar necesidades, establecer el sistema, dar soporte, vigilar y mejorar Todos los sistemas deben ser asegurados según el nivel de riesgos que enfrentan El propósito del análisis de riesgos es cuantificarlos para que la dirección tome la decisión adecuada Análisis de riesgos se utiliza para convertir “miedos técnicos” en aspectos del negocio Todo sistema debe tener un dueño o responsable que toma las decisiones de negocio Organización y Administración de Centros de Cómputos
  • 8. Politicas Guías, estándares Procedimientos Documentación más detallada de qué y como lograr el nivel de seguridad Se usan para ayudar a construir sistemas con características de seguridad requeridas Información detallada requerida para definir como las personas soportan el sistema Depende de la tecnología Deben ser lo más completos posibles para evitar subjetividad Las políticas definen la posición de la organización y documentan las decisiones de la administración en lo relacionado con la seguridad informática Así mismo, las políticas definen el nivel de seguridad a ser logrado en la organización, o el modelo deseado de seguridad
  • 9. La tecnología es solo una parte de la solución. La gente, la organización que forman, y los procedimientos que ellos usan son igual o más importantes que la tecnología que los soporta Seguridad: tan fuerte como el eslabón más débil de la cadena Una administración apropiada de la Seguridad Informática puede ser olvidada y convertirse en el eslabón más débil de la cadena ¿Porqué la administración de la Seguridad ? Organización y Administración de Centros de Cómputos
  • 10. Norma BS7799 Desarrollada originalmente por Shell, BT, Midland Bank, Marks & Spencer, Nationwide, Unilever & Prudential Estandar desarrollado por compañías para ser adoptado entre ellas y poder negociar Trata de Administración de la Seguridad Informática Contiene numerosas medidas de control para ayudar a reducir los incidentes de seguridad Puede dar ventaja competitiva Organización y Administración de Centros de Cómputos
  • 11. Políticas de Seguridad Informática Las políticas proveen la dirección administrativa y el apoyo para la seguridad Informática en la organización Existen tres tipos de políticas  Política general o corporativa  Políticas sobre aspectos de seguridad Políticas sobre sistemas Son implementadas a través de: Procedimientos - Guías Estándares Alcance y propósito del programa de seguridad, asignación de responsabilidades en la organización. Decisión de la gerencia con respecto a la seguridad Tratan aspectos de seguridad informática para toda la organización documentando la posición respecto a: Uso del email, uso de internet, continuidad del negocio, virus, etc._ Tratan la seguridad del sistema específicos o grupos de sistemas Organización y Administración de Centros de Cómputos
  • 12. Políticas de Seguridad Informática Política general o corporativa  Objetivos en términos de confidencialidad, integridad, disponibilidad, auditabilidad y rastreabilidad.  Alcance (hardware, software, información, personal)  Responsabilidades (programa de seguridad)  Cumplimiento (monitoreo, recompensas, sanciones) Organización y Administración de Centros de Cómputos
  • 13. Políticas de Seguridad Informática Políticas sobre aspectos específicos:  Definición del aspecto explicando el riesgo  Posición de la organización (decisión)  Alcance y aplicabilidad (a qué elementos)  Roles y responsabilidades (roles específicos de la política)  Cumplimiento (monitoreo, recompensas, sanciones)  Información adicional Organización y Administración de Centros de Cómputos
  • 14. Políticas de Seguridad Informática Políticas sobre aspectos específicos: Análisis de riesgos, continuidad del negocio, administración de incidentes, auditoría, monitoreo de la seguridad, clasificación de la información, confidencialidad, uso de software & copyright, uso de software licenciado, virus, uso de internet, email, material indebido, identificación de usuarios y autenticación, aseguramiento de la calidad Organización y Administración de Centros de Cómputos
  • 15. Políticas de Seguridad Informática Políticas sobre sistemas Establecimiento de los objetivos de seguridad  Requerimientos detallados Definición de reglas  Que implementan los requerimientos de seguridad (Ej: Control de acceso) Contienen:  Control de acceso  Reglas para uso del sistema  Asignación de responsabilidades de seguridad  Aspectos de cumplimiento  Contingencia y recuperación  Manejo de incidentes  Monitoreo del cumplimiento Organización y Administración de Centros de Cómputos
  • 16. Políticas de Seguridad Informática Pruebas  Individuales  Integración Pilotos Mantenimiento  Administración de la documentación  Modificación Monitoreo post implantación Organización y Administración de Centros de Cómputos
  • 17. Roles y Responsabilidades Directivos  Formalizar y apoyar las políticas de seguridad Jefe de Seguridad Informática  Velar por el desarrollo, implementación y revisión periódica de las políticas, estandares y procedimientos  Conocer y difundir regulación Usuarios  Seguir los procedimientos y políticas Auditoría  Realizar una revisión externa e independiente de la efectividad de las políticas de seguridad Organización y Administración de Centros de Cómputos