Download - Seguridad informatica semana11
![Page 1: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/1.jpg)
1
NORMAS Y ESTÁNDARES DE CALIDAD
Ing. Jorge Luis Pariasca León
Carrera Profesional de Computación e Informática
Unidad Didáctica: Seguridad Informática
Instituto Superior Tecnológico Público
INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO
“Víctor Raúl Haya de la Torre”
“VÍCTOR RAÚL HAYA DE LA TORRE”
Semana 08
![Page 2: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/2.jpg)
2
Objetivos Implementación de medidas de seguridad de
acuerdo con los requerimientos de la Norma ISO 17799 / ISO 27001: Identificación de los requerimientos específicos de
la norma en sus 11 dominios.
Comprender el proceso de adecuar la compañía para lograr la Certificación ISO 27001.
![Page 3: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/3.jpg)
3
¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?
![Page 4: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/4.jpg)
¿Por qué?
Reconocer los riesgos y su impacto en los negocios
![Page 5: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/5.jpg)
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
11:22 | EL GUSANO
Un nuevo virus se esconde en tarjetas navideñas
Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.
ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.
Algunos datos
![Page 6: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/6.jpg)
12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un virus
La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.
La pregunta secreta del caso "Paris Hilton" ------------------------------Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".
Algunos hechos
![Page 7: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/7.jpg)
Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
Diario judicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un mensaje
injurioso anónimo ingresado en un libro de visitas, de libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro
precedente para aquellos que contengan foros y libros de visitas abiertos al público.
Algunos hechos
![Page 8: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/8.jpg)
La seguridad de redes, una prioridad para las empresas
Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo con los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad es un tema "de extrema prioridad".
Algunos datos
![Page 9: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/9.jpg)
NEGOCIOS
Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información
Algunos datos
![Page 10: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/10.jpg)
No existe la “verdad absoluta” en Seguridad de la Información.
No es posible eliminar todos los riesgos.
La alta Gerencia está convencida que la Seguridad de la Información no hace al negocio de la compañía.
Cada vez los riesgos y el impacto en los negocios son mayores.
Algunas premisas
![Page 11: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/11.jpg)
En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el área.
... en la última auditoría de sistemas no hicieron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya arreglamos todo.
Algunas realidades
![Page 12: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/12.jpg)
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son efectuados por personal interno
Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis
(CAIDA) CERT SANS
Algunos datos
![Page 13: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/13.jpg)
Según una encuesta del Departamento de Defensa de USA:
Sobre aprox 9000 computadores atacados, 7,900 fueron dañados. 400 detectaron el ataque. Sólo 19 informaron el ataque.
Algunos datos
![Page 14: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/14.jpg)
• En formato electrónico / magnético / óptico.
• En formato impreso.
• En el conocimiento de las personas.
El capital más valioso en las organizaciones.
¿Qué Información proteger?
![Page 15: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/15.jpg)
Principales riesgos y su impacto en los negocios
![Page 16: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/16.jpg)
Captura de PC desde el exterior
Violación de e-mailsViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería socialPropiedad de la Información
Mails “anónimos” con información crítica o con agresiones
![Page 17: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/17.jpg)
Password cracking
Man in the middle Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attackKeylogging
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentesÚltimos parches no instalados
![Page 18: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/18.jpg)
Se puede estar preparado para que ocurran lo
menos posible:
Sin grandes inversiones en software
Sin mucha estructura de personal
Tan solo:
Ordenando la Gestión de Seguridad
Principales riesgos y el impacto en los negocios
![Page 19: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/19.jpg)
NORMAS APLICABLES
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables
![Page 20: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/20.jpg)
Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common
Criteria ITSEC – Information Technology Security Evaluation Criteria: White
Book Sans Institute, Security Focus, etc Sarbanes Oxley Act, Basilea II, HIPAA Act, Leyes NACIONALES OSSTMM, ISM3, ISO17799:2005, ISO27001 BS 25999 DRII
Normas y Metodologías aplicables
![Page 21: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/21.jpg)
Norma ISO 27001
Gestión de Seguridad
![Page 22: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/22.jpg)
ISO9001 – Calidad ISO14001 – Ambiental
ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)
ISO 27001 – CERTIFICACION de Seguridad de la Información
Normas de Gestión ISO
![Page 23: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/23.jpg)
Está organizada en capítulos (dominios) en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION (SGSI – ISMS)
Alcance
Recomendaciones para la gestión de la seguridad de la información
Base común para el desarrollo de estándares de seguridad
Norma ISO 17799 / 27001 Seguridad de la Información
![Page 24: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/24.jpg)
Qué cambió de la versión anterior
Norma ISO 17799: 2005 –
ISO 27001
![Page 25: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/25.jpg)
NUEVA SECCION
antes 10 ahora 11 Dominios
![Page 26: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/26.jpg)
ISO17799:2000 ISO17799:2005
1. Alcance 1. Alcance
2. Términos y definiciones 2. Términos y definiciones
3. Estructura del Estándar
4. Evaluación y Manejo de los Riesgos
3. Política de Seguridad 5. Política de Seguridad
4.Organización de la Seguridad de la Información
6. Organización de la Seguridad de la Información
5. Clasificación y Control de Activos
7. Administración de Activos
6. Seguridad del Personal 8. Seguridad de los Recursos Humanos
7. Seguridad Física y Ambiental 9. Physical & Environmental Security
8. Administración de las Comunicaciones y Operaciones
10. Administración de las Comunicaciones y Operaciones
9. Administración de Accesos 11. Administración de Accesos
10. Desarrollo y Mantenimiento de Sistemas
12. Adquisición , Desarrollo y Mantenimiento de Sistemas de Información
13. Administración de Incidentes de Seguridad de la Información
11. Administración de la Continuidad del Negocio
14. Administración de la Continuidad del Negocio
12. Cumplimiento 15. Cumplimiento
![Page 27: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/27.jpg)
3: Estructura del Estándar
Detalle para asistir al uso y aplicación más ameno y fácil del estándar.
4: Risk Assessment & Treatment
Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES.
La necesidad de una continua evaluación y administración de los RIESGOS
Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS
Hay dos SECCIONES GENERALES nuevas
![Page 28: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/28.jpg)
BS7799-2
Fue revisado y se ha convertido en la nueva
ISO 27001Octubre 15, 2005
De la misma forma se espera que la ISO 17799 se convierta en ISO 27002
![Page 29: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/29.jpg)
BS ISO/IEC 27000 – Fundamentos y Vocabulario
2008/2009
BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos
Publicado en Octubre 2005
BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información
Anteriormente ISO/IEC 17799:2005Cambio a 27002 en el 2007 (solo se fue un cambio de número)
BS ISO/IEC 27003 – Guía de Implementación
2008/2009
BS ISO/IEC 27004 – Métricas y Medidas 2007/2008
BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información
2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006
BS ISO/IEC 27006 – Versión Internacional de EA7/03
Se decidirá durante 2Q06 si este será el número
27007…...27011 Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)
NACE LA FAMILIA DE LAS NORMAS ISO 27000
![Page 30: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/30.jpg)
NACE LA FAMILIA DE LAS NORMAS ISO 27000 En junio de este año salio la ISO27005 que es la
versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la BS7799-3.
Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799-3, etc.
![Page 31: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/31.jpg)
Preservar la:
Confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso.
Integridad: exactitud y totalidad de la información y los métodos de
procesamiento.
Disponibilidad: acceso a la información y a los recursos relacionados con ella toda
vez que se requiera.
Norma ISO 17799 Seguridad de la Información
![Page 32: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/32.jpg)
¿Cómo es un Proceso de Certificación ISO 27001 de una Organización?
![Page 33: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/33.jpg)
El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.
¿QUÉ ES CERTIFICAR?
![Page 34: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/34.jpg)
Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN.
Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.
¿POR QUÉ CERTIFICAR?
![Page 35: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/35.jpg)
0
250
500
750
1000
1250
2002 2003 2004 2005
Empresas certificadas en el mundo
![Page 36: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/36.jpg)
Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, está en condiciones y habilitada para CERTIFICARSE.
¿QUÉ ORGANIZACIONES PUEDEN CERTIFICAR?
![Page 37: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/37.jpg)
Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado.
Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo.
Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.
¿QUIÉNES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION?
![Page 38: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/38.jpg)
El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior.
Luego se convoca al Tercero para efectuar la CERTIFICACIÓN.
¿CÓMO ES EL PROCESO DE CERTIFICACIÓN?
![Page 39: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/39.jpg)
Los principales PASOS son:
•Preparar la Documentación Soporte a Presentar
•Efectuar la PREAUDITORIA para conocer el GAP Analysis respecto al Estándar
•Identificar conjuntamente:
• las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar)
• las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación)
• las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar)
![Page 40: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/40.jpg)
•Implementar las MEJORAS y Generar los Soportes Documentales correspondientes
•Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización)
![Page 41: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/41.jpg)
PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION?
Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.
![Page 42: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/42.jpg)
Cómo se implementa un Programa de Gestión de
Seguridad de la Información (SGSI - ISMS)?
![Page 43: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/43.jpg)
Planificar
Hacer
Actuar
Verificar
SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Está basado en el Modelo utilizado por las NORMAS ISO en general:
![Page 44: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/44.jpg)
Principales PASOS a seguir en la IMPLEMENTACION del SGSI
Implementación del SGSI en 12 PASOS:
1) Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología
2) Definir una Política GENERAL del SGSI
![Page 45: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/45.jpg)
Qué es una Política?
• Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación.
• Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras.
• Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización.
• Son reglas de negocio de obligatorio cumplimiento debido a que son el equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente.
• Son diferentes a los controles.
• No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL
![Page 46: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/46.jpg)
3) Definir una METODOLOGIA para la CLASIFICACION de los RIESGOS
4) Identificar y Valorar los riesgos
5) Identificar y definir ALTERNATIVAS para el tratamiento de riesgos:
• Aplicar controles• Aceptar los riesgos• Evitar riesgos• Transferir los riesgos.
![Page 47: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/47.jpg)
High
Low
High
Frequencia
Imp
acto
12
3
4
5
6
11
7
8
9
12
13
10
15
14
19
20
21
22
16
2324
25
26
1018
17
Mapa de Riesgos Mapa de Riesgos
![Page 48: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/48.jpg)
6) Seleccionar objetivos de control y controles específicos a IMPLEMENTAR
EVIDENCIAS
![Page 49: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/49.jpg)
7)Preparar una DDA Declaración de Aplicabilidad (qué CONTROLES se van a IMPLEMENTAR)
8)Obtener la aprobación de la Dirección de:• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos
9) Formular un plan CONCRETO y DETALLADO para:• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento y
concientización.• Gestionar el SGSI• Procesos de detección y respuesta a los
incidentes de seguridad
![Page 50: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/50.jpg)
10) Implementar los CONTROLES• En los Procesos
11)Realizar Revisiones Periódicas
12)Implementar las mejoras identificadas en el SGSI
![Page 51: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/51.jpg)
Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI
MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación
![Page 52: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/52.jpg)
Cómo establecer los requerimientos de SeguridadEvaluar los riesgos:
• se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:
• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.
Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.
![Page 53: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/53.jpg)
Contexto Legal
Código Civil de 1887 Código de Comercio de 1971 Ley 23 de 1982 Articulo 15, 20 y 333 de la Constitución
Política Decisión 351 de 1993Decreto 1900 de 1990 Ley 527 de 1999
![Page 54: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/54.jpg)
Áreas de Contingencias Jurídica
• Protección de Datos Personales
• Contratación Informática
• Propiedad Intelectual
• Servicios de Comercio Electrónico
• Aspectos Laborales en entornos Informáticos
• Incidentes Informáticos
• Telecomunicaciones
![Page 55: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/55.jpg)
• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la gerencia;
• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;
• comunicación eficaz a todos los gerentes y empleados;
Factores críticos del éxito
![Page 56: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/56.jpg)
• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;
• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de
medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
Factores críticos del éxito
![Page 57: Seguridad informatica semana11](https://reader031.vdocumento.com/reader031/viewer/2022032117/55c847babb61ebf3708b4695/html5/thumbnails/57.jpg)