jos letelier van der mer cisa cism mba jose letelier v@gmail com
Download
Skip this Video
Download Presentation
Seguridad informática

Loading in 2 Seconds...

play fullscreen
1 / 33

Seguridad informática - PowerPoint PPT Presentation


  • 209 Views
  • Uploaded on

José Letelier Van Der Mer CISA- CISM –MBA [email protected] Seguridad informática. Forma de Trabajar. 3 Unidades Seguridad de la Información BCP Auditoria Informática Metodología Clases , Trabajos en Clases, Exposiciones Laboratorios Exposiciones de Externos.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Seguridad informática' - lydie


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
forma de trabajar
Forma de Trabajar
  • 3 Unidades
    • Seguridad de la Información
    • BCP
    • Auditoria Informática
  • Metodología
    • Clases , Trabajos en Clases, Exposiciones
    • Laboratorios
    • Exposiciones de Externos
forma de trabajar1
Forma de Trabajar
  • Mediciones
    • Pruebas
    • Medición de Laboratorios
    • Exposiciones y Quiz
que es seguridad de la informaci n
Que es seguridad de la información
  • La seguridad informática consiste en asegurar que los activos de información de una organización sean utilizados de la manera confidencial, integra y con una disponibilidad adecuada.
definiciones
Definiciones
  • Integridad
    • Características de la información según la cual sólo los entes autorizados pueden modificarla o eliminarla.
      • Contrario:Modificación
  • Confidencialidad
    • Características de la información según la cual sólo debe ser conocida por los entes autorizados para ello.
      • Contrario: Revelación
  • Disponibilidad
    • Características de la información según la cual los entes autorizados pueden tener acceso oportuno para ello.
      • Contrario: Destrucción
definiciones1
Definiciones
  • Activo de Información
    • Esa la información o los elementos que la contiene o permiten su procesamiento.
      • Al igual que otro activo es importante y por tanto debe ser protegida de la amenazas que pueden afectar al negocio.
trabajo en clases
Trabajo en Clases
  • Buscar Definiciones
    • Matriz de Riesgo
    • Análisis de Vulnerabilidades
    • ISMS o SGSI
    • BCP
    • COBIT
    • Malware
    • Spyware
    • Encriptación
    • Autentificación
    • Análisis Forense
trabajo en clases1
Trabajo en Clases
  • Buscar Definiciones
    • Firewall
    • Puertos
    • DMZ
    • IPS o IDS
    • VPN
    • SSL
    • Keylogger
    • Rootkit
    • Honeypots
a donde queremos llegar
A donde queremos llegar
  • Plan de Seguridad
    • Proteger nuestra organización
    • Definir Objetivos
      • Qué vamos a proteger
      • De quién vamos a proteger
    • Definir Riesgos
    • Medidas y Acciones
    • Responsabilidades (Grupo de Trabajos)
definiciones2
Definiciones
  • Riesgo
    • Riesgo es la contingencia de un daño. A su vez contingencia significa que el daño en cualquier momento puede materializarse o no hacerlo nunca
    • Afecta a la Integridad, Confidencialidad y Disponibilidad de la Información
    • Riesgo= F*I*(1-B*M)
      • F: Frecuencia de la Contingencia
      • I: Impacto de la Contingencia
      • M:Mitigación del Riesgo
      • B: Beta de Real mitigación
normativas
Normativas
  • ISO 17799:2005 Seguridad de la Información
  • ISO 27002 Controles de SI
  • ISO 27003: Implementación de ISMS
  • ISO 27004: Metricas de Seguridad
  • ISO 27005: Administración de Riesgos
  • ISO 27031: BCP
objetivos de la seguridad
Objetivos de la seguridad
  • Identificar los controles necesarios para garantizar la seguridad de la información y las ventajas de adoptarlos.
  • Establecer la necesidad de tener en cuenta otros criterios para catalogar y establecer necesidades de protección de la información.
pol tica de seguridad
Política de Seguridad
  • Uno de los objetivos del negocio es:
    • Resguardar los activos de información

Política de Seguridad de la Información

que es una pol tica
Que es una política?
  • Un conjunto de directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.
como es una pol tica de seguridad
Como es una política de seguridad??
  • La politica debe ser:
    • Definir una postura gerencial con respecto a la necesidad de proteger información corporativa
    • Rayado de cancha con respecto al uso de los recursos de información.
    • Definir la base para la estrucutura de seguridad de la organización.
    • Ser un documento de apoyo a la gestión de seguridad
    • Tener larga vigencia , manteniéndose sin grandes cambios
    • Ser general, sin comprometerse con la tecnologías especificas
otras documentos de apoyo
Otras documentos de apoyo
  • Políticas Especificas
  • Procedimientos
  • Estándares
pol ticas especificas
Políticas Especificas
  • Definen en detalles aspectos específicos que regulan el uso de recursos de información
  • Están mas afectadas a cambios en el tiempo que la política General
  • Ejemplo
    • Política de Uso de Correo Electronico
    • Politica de Uso de Internet
    • Politica de eliminacón de Basura
    • Politica de uso de Notebook
procedimientos
Procedimientos
  • Las principales caracteristicas de un procedimiento son:
    • Definen los pasos para realizar una actividad
    • Evita que se aplique el criterio personal
  • Ejemplos
    • Procedimientos de Alta y Bajas de Usuarios
    • Procedimiento de Respaldo de Información
estandares
Estandares
  • Las principales caracteristicas de un estandar son:
    • Dependen de la tecnologia
    • Se deben actualizar periódicamente
  • Ejemplos
    • Estandares de Instalación de Servidores
    • Estandares de Configuración de Sistema Operativo.
desarrollo de pol ticas de seguridad
Desarrollo de Políticas de Seguridad
  • En grupo de trabajo que desarrollan las políticas de seguridad, deben estar representados al menos las siguientes áreas:
    • Informática
    • RRHH
    • Comercial
    • Auditoría
    • Fiscalía
factores cr ticos de exitos
Factores Críticos de Exitos
  • Es clave para el desarrollo de Políticas de Seguridad
    • El compromiso de los altos ejecutivos de la Organización.
    • Claridad respecto de la importancia de los recursos y la necesidad de seguridad
    • Adherencia a legislación, reglamentación y estándares
    • Alcance bien definidos
    • Formas de Información cubiertas por la politicas
    • Monitoreo del cumplimiento
    • Sanciones e incentivos
contenido de politicas
Contenido de Politicas
  • Las politicas deben :
    • Ser claras
    • Evitar confusiones
    • No deben generar nuevos problemas
contenido de politicas1
Contenido de Politicas
  • Cuando se escriban se debe tener en cuenta:
    • Objetivo: Que desea lograr
    • Alcance: Que se desea proteger y que areas serán afectadas.
    • Definiciones: Aclarar los términos utilizados
    • Responsabilidades: Que debe y no debe haceer cada persona
    • Revisión: Como será monitoreado el cumplimiento
    • Aplicabilidad: En que casos será aplicable
    • Referencia: Documentos Complementarios.
aprobaci n e implementaci n de la pol tica
Aprobación e implementación de la política
  • La politica debe ser aprobada por la alta gerencia de la organización
  • Una vez que la politica ha sido aprobada y se han asignado roles y responsabilidades, se debe desarrollar una infraestructura de Seguridad
    • Estandares, Normativas y Procedimientos
  • Conjuntamente debe realizarse un proceso de educación y sensibilización del personal.
principales problemas
Principales Problemas
  • Las políticas no cuentan con el apoyo de la administración
  • Los usuarios no saben que existen o simplemente no las cumplen porque las encuentran exageradas
  • Las responsabilidades de aplicar los controles o generar los cambios no esta clara
  • Son muy estrictas o incumplibles y por lo tanto, no aplicables . Pasan a ser letra muerta.
ad