presentación seg info 2015-03-06
DESCRIPTION
PresentaciónTRANSCRIPT
![Page 1: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/1.jpg)
Introducción a la Seguridad de la Información
Marzo 2015
![Page 2: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/2.jpg)
Información y seguridad
Implementación de la seguridad de la información
Ejemplos de aplicación
Acciones realizadas en el MEF
TEMARIO
![Page 3: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/3.jpg)
INFORMACIÓN Y SEGURIDAD
![Page 4: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/4.jpg)
LA INFORMACIÓN COMO ACTIVO A PROTEGER
“La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.”
NTP-ISO/IEC 17799:2007
![Page 5: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/5.jpg)
Datos almacenados electrónicamente en computadoras. Datos almacenados en medios digitales: discos duros, discos
ópticos (CD , DVD), memorias USB. Registros, notas y documentos escritos o impresos en papel. Información transmitida por fax, correo postal o correo
electrónico. Datos personales como contraseñas, detalles de cuentas
bancarias, reportes tributarios, exámenes médicos, etc. Conversaciones habladas.
¿ DÓNDE ENCONTRAMOS INFORMACIÓN ?
![Page 6: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/6.jpg)
“Preservación de la confidencialidad, integridad y disponibilidad de la información.”
ISO/IEC 27000:2009
“Es la protección a la información de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.”
ISO/IEC 17799:2005
Definición de Seguridad de la información
![Page 7: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/7.jpg)
Conjunto de medidas que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
“Enciclopedia de la Seguridad Informática”, Gómez Vieites
Definición de Seguridad informática
![Page 8: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/8.jpg)
PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN
La información NO DEBE ser revelada a sujetos o entidades no
autorizadas
La información DEBE estar accesible en el momento en que sea solicitada
por los sujetos o entidades autorizadas
La información NO DEBE ser
alterada
![Page 9: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/9.jpg)
• Minimizar los riesgos y detectar posibles amenazas a la información.
• Limitar las pérdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad.
• Garantizar la adecuada utilización de recursos y sistemas que manejan información.
• Cumplir con el marco legal regulatorio.
OBJETIVOS GENERALES DE LA SEGURIDAD DE LA INFORMACIÓN
![Page 10: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/10.jpg)
IMPLEMENTACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
![Page 11: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/11.jpg)
Amenaza: Acciones que pueden causar daño según la severidad y posibilidad de ocurrencia
Vulnerabilidad: puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.
Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza
Incidente: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
Definiciones (1)
![Page 12: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/12.jpg)
Control: Mecanismo de manejo del riesgo, lo que incluye políticas, procedimientos, guías, prácticas o estructuras organizativas, que puede ser de naturaleza administrativa (gestión), operativa (realizado por personas) o técnica (ejecutado por sistemas informáticos).
También es sinónimo de salvaguarda o contramedida.
Tipos de controles:• Preventivos: eliminan la causa de un potencial incidente.• Correctivos: subsanan las condiciones que dieron lugar a
un incidente ocurrido.• De detección: solo alertan sobre la ocurrencia de un
incidente.
Definiciones (2)
![Page 13: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/13.jpg)
Lo que implica proteger la información:
• Identificación de los activos de información.
• Análisis de los riesgos: proceso sistemático para identificar y estimar la magnitud del riesgo.
• Gestión de los riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados.
• Elaboración de planes de seguridad.
• Ejecución de proyectos de seguridad.
• Control de incidentes y monitorización.
• Auditoría de la seguridad.
La seguridad no es un producto, es un proceso.
Acciones de implementación
![Page 14: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/14.jpg)
Etapas de un Análisis de Riesgos
![Page 15: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/15.jpg)
Ámbitos de Seguridad en la NTP 17799
![Page 16: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/16.jpg)
Es un conjunto de políticas (orientaciones de intención y dirección), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información, bajo un enfoque de gestión de riesgos de negocio.
Sistema de Gestión de Seguridad de la Información (SGSI)
![Page 17: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/17.jpg)
EJEMPLOS DE APLICACIÓN
![Page 18: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/18.jpg)
![Page 19: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/19.jpg)
![Page 20: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/20.jpg)
ACCIONES REALIZADAS EN EL MEF
![Page 21: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/21.jpg)
Difusión
Normatividad
Ejecución
![Page 22: Presentación Seg Info 2015-03-06](https://reader035.vdocumento.com/reader035/viewer/2022062423/55cf923f550346f57b94e3b1/html5/thumbnails/22.jpg)
“LA SEGURIDAD ESTA EN LO QUE HACES,
NO EN LO QUE USAS”