Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Escuela de Post-Grado
Programa del Doctorado en Ingeniera
Industrial
Diplomado en Auditora de
Sistemas y Seguridad de la
Informacin
Agenda
Modulo I: Gestin de la Seguridad de la Informacin
1) Fundamentos de Seguridad de la
Informacin
2) Gobierno de Seguridad de la Informacin
3) Sistema de Gestin de la Seguridad de la
Informacin (SGSI)
4) Estndares y Normatividad de Seguridad de
la Informacin
5) La familia de estndares ISO 27000
6) Diseo de Polticas de Seguridad de la
Informacin
7) Amenazas de Seguridad de la Informacin
8) Gestin de Riesgos de Seguridad de la
Informacin.
Desarrollo de taller de evaluacin de
riesgos.
UNIVERSIDAD NACIONAL DE PIURA
Fundamentos de Seguridad de la
Informacin
Aunque el
robo/malversacin de
activos es el que mayor
incidencia tiene, el
fraude por abuso
de posicin de confianza
es el que tiene mayor
impacto financiero
debido principalmente a
la mayor autonoma
gerencial asociada
con estas posiciones.
UNIVERSIDAD NACIONAL DE PIURA
Entorno Actual
Falsificacin
Phishing
Malware
Virus
Fuga de Informacin
Continuidad del
Negocio
Informacin
Informacin
La informacin es un activo,
que
tal
como
otros
importantes
activos
del
negocio, tiene valor para la
compaa
y
consecuentemente requiere
ser
protegida
adecuadamente.
ISO/IEC 17799:2005 (ISO 27002)
Informacin
Activos de Informacin
UNIVERSIDAD NACIONAL DE PIURA
Problemtica?
De qu informacin importante soy responsable?
Cmo puedo contribuir a resguardar la informacin?
Qu tipo de informacin se maneja en la empresa?
Qu hago si encuentro una hueco de seguridad?
Quines son perjudicados si se hace un mal uso de
esta informacin?
Qu sancin merecen estos infractores?
Seguridad de la Informacin y
Seguridad de TI
Seguridad de la Informacin
Tiene como fin la proteccin de la informacin y de
los sistemas de la informacin del acceso, uso,
divulgacin, interrupcin o destruccin no
autorizada.
Busca proteger la Confidencialidad, Integridad y
Disponibilidad de la informacin y datos,
independientemente de la forma los datos pueden
tener: electrnicos, impresos, audio u otras formas.
Seguridad de TI
Busca proteger la informacin desde una
perspectiva tcnica.
Se centra en el uso de tecnologas de informacin.
UNIVERSIDAD NACIONAL DE PIURA
Violacin de e-mails.
Violacin de contraseas.
Virus.
Fraudes informticos.
Incumplimiento de leyes y
regulaciones.
Empleados deshonestos.
Robo de informacin.
Password hacking.
Acceso indebido a documentos.
Software ilegal.
Falsificacin de informacin para
terceros.
Indisponibilidad de informacin
clave.
Spam.
Violacin de la privacidad de los
empleados.
Intercepcin de comunicaciones.
Destruccin de equipamiento.
Escalamiento de privilegios.
Denegacin de servicio
Port scanning.
Seguridad de la Informacin
Servicios de Informacin
Confidencialidad
Integridad
Disponibilidad
Prdidas financieras
Denuncias de las autoridades y multas
Prdida de clientes y cuota de mercado
Dao a la imagen de la empresa
Interrupcin en las operaciones
Costo de recuperacin para volver a situacin inicial
Litigios civiles y laborales
Gobierno de Seguridad
Conjunto de responsabilidades,
actividades y prcticas, ejercidas
por la alta direccin, gerencia y
responsables de la Seguridad.
Con la finalidad de brindar una
direccin estratgica, garantizar
que se logren los objetivos,
monitorear el desempeo,
administrar los riesgos en forma
apropiada y verificar que los
recursos de la empresa se utilizan
con responsabilidad.
UNIVERSIDAD NACIONAL DE PIURA
1)
2)
3)
4)
5)
Normas
Normas para
para cada
cada poltica
poltica y
desarrollo de
de procedimientos
procedimientos
Polticas
Polticas de Seguridad
Seguridad que
que
aseguren
aseguren la
la estrategia
Alineacin Estratgica
Administracin de Riesgos
Entrega de Valor
Administracin de Recursos
Medicin del Desempeo
Seguridad de la Informacin
Los Gerentes, Oficiales o Responsables de Seguridad de la
Informacin abarca un mayor alcance en la organizacin,
implica participacin en los procesos del negocio y sobre la
estrategia general de la seguridad.
Esta involucrado en el cumplimiento regulatorio, la
administracin de riesgos y la gobernabilidad, dentro de sus
responsabilidades abarca tambin los aspectos tcnicos.
UNIVERSIDAD NACIONAL DE PIURA
Tcnico
Estrategia de seguridad
Identificacin de activos de informacin
Identificacin de riesgos y amenazas
Esquemas de seguridad fsica
Esquemas de seguridad lgica
Esquema de controles
Polticas, estndares y procedimientos
Herramientas de seguridad
Criterios de medicin y evaluacin
Planes de contingencia y continuidad
BOTTOM-UP
El personal de TI dirige el cambio mediante experiencias y
evaluaciones.
Aprenda: Qu comunicar?, y Cmo comunicarlo?
Entrenarse, capacitarse para: Comprender el negocio, Detectar
la amenaza, Reconocer el riesgo
S/ 10,000
S/ 100,000
S/ 1,000
GASTO
(-)
INVERSIN
(+)
UNIVERSIDAD NACIONAL DE PIURA
Anlisis Costo-Beneficio
Lo que Cuesta VS Lo que Genera
Entendiendo la Seguridad
E n t o n c e s m e d ic e s q u e p u e d o
e s ta r tr a n q u ilo , q u e y a tie n e s
c la r o lo q u e q u ie r o p a r a m is d a to s
C u e n ta c o n e llo , m i c o m p a a
tie n e e l s is te m a p e r fe c to y s e g u r o
p a r a c u b r ir t u s e x p e c ta tiv a s
UNIVERSIDAD NACIONAL DE PIURA
Ejemplos:
Reducir los tiempos de respuesta a los incidentes de
seguridad, en relacin al mes anterior.
Capacitar el 90% del personal sobre las buenas
prcticas de seguridad de informacin.
Minimizar la posibilidad de que los eventos se conviertan
en incidentes en relacin al mes anterior.
Reduccin del mantenimiento correctivo de las
infraestructuras tecnolgicas de las empresas por medio
del cumplimiento del programa de mantenimiento
preventivo.
Etc.
UNIVERSIDAD NACIONAL DE PIURA
Reducir Costos
Operativos
Aumentar
confianza de los
clientes
Aumentar
disponibilidad
de canales de
atencin
Mejorar tiempos
de respuesta en
canales de
atencin
Reducir tiempos de
interrupcin de
procesos del
negocio
Mejorar la efectividad de
los servicios de
informacin
Reducir riesgo
de prdidas
Mejorar
condiciones de
seguridad y
salud en el
trabajo
CMM
UNIVERSIDAD NACIONAL DE PIURA
COBIT
Objetivos de Control para la informacin y
Tecnologas relacionadas (COBIT, en ingls:
Control Objectives for Information and related
Technology)
Se enfoca en los controles de TI.
COBIT define los controles como polticas,
procedimientos,
practicas
y
estructuras
organizativas diseados para brindar confianza de
que se alcanzarn los objetivos de negocio y que
se evitaran o detectarn para luego corregir los
incidentes no deseados.
COBIT define el gobierno como una estructura de
relaciones y procesos para dirigir y controlar la
empresa a fin de alcanzar las metas, agregando
valor mientras se equilibra el riesgo en oposicin
al rdito sobre TI y sus procesos.
UNIVERSIDAD NACIONAL DE PIURA
ISO/IEC 27001
Seguridad de la Informacin
Procesos
Planeacin de seguridad
Prevencin
Deteccin
Reaccin
Tecnologa
Tecnologa de punta
Estandar, encripcin, proteccin
Funcionalides de producto
Herramientas de Seguridad y
productos
PLAN DE ACCIN
Personas
RH Dedicados
Entrenamiento
Seguridadpensamiento y
prioridad
Capacitacin a empleados
Beneficios de un SGSI
Gestin eficiente del Riesgo.
Establecimiento de metodologa de Gestin de la Seguridad
estructurada
Confianza de los clientes y socios de negocio.
Aseguramiento de la continuidad de las operaciones del negocio
Conformidad con las leyes y legislaciones vigentes.
Reduccin de costos y mejora en los procesos y servicios de la
organizacin
Mejora del clima laboral, aumentando la motivacin y satisfaccin
del personal
Imagen y reputacin de la organizacin, siendo un elemento
diferenciador del mercado
Se integra con otros sistemas de gestin como calidad, salud, etc.
Modelo PCDA:
Planificar (Plan): Establecer el SGSI.
Hacer (Do): Implementar y utilizar el SGSI.
Verificar (Check): Monitorizar y revisar el SGSI.
Actuar (Act): Mantener y mejorar el SGSI.
UNIVERSIDAD NACIONAL DE PIURA
Factores de xito
Compromiso de la Alta Direccin y
Gerencias
Definicin clara y precisa del Alcance
del SGSI
Educacin y Concienciacin de las
personas de la organizacin
Buena y efectiva Gestin de Riesgos
Provisin de los recursos necesarios.
Organizacin y Comunicacin
Marketing Efectivo de la Seguridad de
la Informacin.
Factores de Riesgo
EL SGSI No est alineada al negocio
Definicin imprecisa del Alcance del
SGSI
Exceso de tiempo en la
implementacin
Planes de formacin y concienciacin
inadecuados
Delegacin completa de la
responsabilidad a TI
Incumplimiento de planes
Falta de Comunicacin
Resistencia de las personas (temores)
UNIVERSIDAD NACIONAL DE PIURA
DOCUMENTACIN DE UN SGSI
Modelo de Seguridad
ISO/IEC
27001
Especifica los
requisitos necesarios
para establecer,
implantar, mantener y
mejorar un Sistema
de Gestin de la
Seguridad de la
Informacin (SGSI).
Information
technology - Security
techniques Information security
management systems
- Requirements.
Seguridad de la
Informacin
ISO/IEC
27002
Information technology
- Security techniques Code of practice for
information security
management (anterior
ISO/IEC 17799:2005)
Gua de buenas
prcticas que describe
los objetivos de control
y controles
recomendables en
cuanto a seguridad de
la informacin con 11
dominios, 39 objetivos
de control y 133
controles.
Confidencialidad
integridad
Disponibilidad
Text
ISO/IEC 27001
Personas
Procesos
Tecnologa
UNIVERSIDAD NACIONAL DE PIURA
ISO/IEC
27001:2005
Requerimientos
ISO/IEC
27002:2005
(ISO 17799:2005)
ISO/IEC
27003
Lineamientos para
la Implantacin
ISO/IEC
27004
Lineamiento Mtrica
y Mediciones
ISO/IEC
27005:2008
SGSI
Lineamiento
Gestin del Riesgo
ISO/IEC
27006
Requerimientos para
entes que proveen
auditora y
certificacin a un
SGSI
UNIVERSIDAD NACIONAL DE PIURA
Muchas Gracias!
Diplomado en Auditora de
Sistemas y Seguridad de la
Informacin