Enfoque integral

de Seguridad de
la Informacin
 Objetivo

Proteger la informacin de las organizaciones de los

diferentes riesgos informticos que puedan alterar
o daar los recursos informticos, por medio de
diversos mecanismos de seguridad siguiendo las
tcnicas de seguridad y las mejores prcticas de la
industria relacionadas con seguridad de la
informacin.
 Syllabus del curso
1. Seg. de la Informacin - Seg. Informtica
2. Gestin de riesgos
3. Gestin de Accesos
4. Ingenieria Social
5. Malware
6. Criptografia

7. Seg. de Infraestructura y Redes

 Syllabus del curso
8. CyberSecurity

9. Seguridad Cloud Computing

10. Seguridad Mviles
11. Seguridad Aplicaciones / Bases de Datos
12. Tecnologas de Seguridad I
13. Tecnologas de Seguridad II
14. Marcos Normativos Seguridad
 Evaluacin
Diagnstica

Fuente: imagen 123RF

Enfoque integral de la
Seguridad de la
Informacin
 Objetivo

Asegurar el conocimiento de los conceptos

esenciales de la Seguridad de la
Informacin y Seguridad Informtica.

7
 Desafios

Todo el tiempo aparecen vulnerabilidades

Contextos cambiantes
Presupuestos limitados
Riesgos desconocidos
Ataques sofisticados de hackers
Problemas para encontrar profesionales
especializados
Dificultad en implementar Normativas
La informacin es un activo
estratgico de una empresa.
Es intangible y tiene valor para una
organizacin.
 Valor de la Informacin

Mas importante que el valor de la tecnologa,

es el valor de la informacin del negocio.

Por ejemplo: el valor de mercado de la

informacin.
 Qu es la Seguridad?

La situacin estado de algo,

que se adquiere al estar libre de
riesgo o peligro.
Seg. de la Informacin vs. Seg.
Informtica

Seg. de la
Informacin

Seg. Informtica
 El alcance de la Seguridad

I. II. III. IV.

Infrastructure Data Applications People

Networking, Databases, SAP, EBS, Staff,

Servers, O365 email, HANA, production
computers, Shared SalesForce, warehouse,
mobility folders, local Interfaces vendors
data

Compliance
Compliance with corporate policies, ISO 27001, privacy laws
CyberSecurity
Protect our information and operations against IT criminals and competitors
 Principios de Seguridad

Confidencialidad

Integridad Disponibilidad
 Confidencialidad

La informacin es accedida
slo por las personas
autorizadas.

https://www.youtube.com/watch?v=WNzEHZ_
wr_E
Integridad
Exactitud y totalidad de la informacin.
DISPONIBILIDAD
Acceso a la
informacin cuando se
necesita.
Funcionalidad vs. Proteccin
El nuevo enfoque de la Seguridad

Know

No
 Factores Crticos de xito

Compromiso de parte de la gerencia;

Normatividad de seguridad;
Una estrategia de implementacin alineada a
la cultura organizacional;
Un claro entendimiento de los
requerimientos de seguridad, la evaluacin
de riesgos y la administracin de los mismos;
Comunicacin eficaz a todos los gerentes y
empleados;
 Factores Crticos de xito

Instruccin y entrenamiento adecuados;

Gestin efectiva de incidentes;
Un sistema integral y equilibrado de
medicin.
 Potenciales enemigos
Crackers
Usuarios del sistema
Competencia
Ex-empleados
Personal insatisfecho o desleal
Delincuentes
Millones de adolescentes
 Sistema Seguro?
"El nico sistema seguro es aquel que est
apagado y desconectado, enterrado en un
refugio de concreto, rodeado por gas
venenoso y custodiado por guardianes bien
pagados y muy bien armados. Aun as, yo no
apostara mi vida por l".

Gene Spafford
 Por qu tanta inseguridad ?
Huecos de Seguridad Fsicos
Huecos de Seguridad en el Software
Fallas de los equipos y servicios
Falta de Experiencia
Pobre administracin de la infraestructura
Desconocimiento del valor de la informacin
Alta motivacin e inters por atacar un sistema
Ausencia de un Esquema de Seguridad.
 El nivel de efectividad
El nivel de seguridad esta determinado por el
punto mas dbil.

Si un activo es tratado de manera menos

segura por una parte, esto implica la
destruccin de la inversin en seguridad
hecha por las otras partes
 La realidad de la seguridad
La definicin y la practica de la seguridad de la
informacin no es homognea ni integral en las
empresas e instituciones del pas.

Existen conocimientos tcnico avanzado en

controles tcnicos.

No existe personal entrenado en gestionar la

seguridad de manera integral.
 Seguridad en
profundidad
Mltiples capas de
seguridad.
Las capas tienen
vulnerabilidades

Fuente:Miramax Films
 Marcos Internacionales
COSO
CobiT
SOX
PCI
Basilea III(en el Per: SBS Circular
140)
ISO 31000
Familia ISO 27000
NTP ISO 17799
LPDP
 El CISO

Gartner indica que:

El rol del CISO se esta convirtiendo en estratgico a

medida que la seguridad madura y las funciones de
seguridad se estandarizan y comoditizan.
La mayora de los CISO siguen reportando a TI, pero
una minora significativa ahora reportan en niveles
"corporativos" ms altos fuera de TI.
Las competencias clave de un CISO son cada vez ms la
gestin, colaboracin y comunicacin, en lugar de
competencias tcnicas.

Fuente: Gartner for IT Leaders Overview: The Chief Information Security Officer. Julio 2013
Certificaciones internacionales Seguridad
CISSP: Certified Information System Security Professional
CCISO: Certified Chief Information Security Officer
CISM: Certified Information Security Manager
CRISC: Certified in Risk and Information Systems Control
CEH: Certified Ethical Hacker
OSCP: Offensive Security Certified Professional
GSEC: GIAC Security Essentials Certificate
GCIH: GIAC Certified Incident Handler
GCIA: GIAC Certified Intrusion Analyst
GPEN: GIAC Penetration Tester
CompTIA Security +
CASP: CompTIA Advanced Security Practitioner
CISA Certified Information System Auditor
CGEIT: Certified Governance of Enterprise IT
CCNP Security : Cisco Certified Network Professional Security
CCIE Security: Cisco Certified Internetwork Expert Security