CIBERTEC - Semana 1 - 2 - 3 y 4.pptx
34
CIBERTEC 1 CIBERTEC CURSO : SEGURIDAD Y AUDITORÍA DE TI Semana 1 y 2 2011
-
Upload
jose-carlos-vargas-medina -
Category
Documents
-
view
151 -
download
8
Transcript of CIBERTEC - Semana 1 - 2 - 3 y 4.pptx
CIB
ER
TE
C
1
CIBERTEC
CURSO : SEGURIDAD Y AUDITORÍA DE TI
Semana 1 y 2
2011
CIB
ER
TE
C
2
RESPONDIENDO A LOS DESAFIOS DEL TI
GOBIERNO DE TI
CIB
ER
TE
C
3
Objetivos específicos:
Integración de TI a los procesos de negocio
Manejando el TI como un negocio
CIB
ER
TE
C
4
Objetivos específicos:
Vincular la estrategia de TI a la estrategia de la empresa
Manejando el TI como un negocio
CIB
ER
TE
C
5
Objetivos específicos:
• LA CULPA LA TIENE EL GOBIERNO… DE TI
Gobierno de TI
CIB
ER
TE
C
6
Objetivos específicos:
• ¿Cómo puede la empresa poner bajo control TI de tal manera que genere la información que la empresa necesita?
• ¿Cómo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto?
• ¿Cómo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio?
Gobierno de TI
CIB
ER
TE
C
7
Objetivos específicos:• El gobierno de TI es responsabilidad de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.
Gobierno de TI
CIB
ER
TE
C
8
Objetivos específicos:
• El Gobierno de TI provee la estructura que une los procesos y recursos de TI, y la información con la estrategia y los objetivos de la empresa; además, integra una serie de mejores prácticas relacionadas con el ciclo de vida de TI para asegurar que la información que la empresa requiere para alcanzar sus objetivos es entregada por dicha área.
• Para que TI tenga éxito en satisfacer los requerimientos del negocio, la dirección debe implementar un sistema de control interno o un marco de trabajo que:
Establezca un vínculo entre los requerimientos del negocio y TI Organice las actividades de TI en un modelo de procesos generalmente aceptado Identifique los principales recursos de TI a ser utilizados Defina los objetivos de control gerenciales a ser considerados
Gobierno de TI
CIB
ER
TE
C
9
IMPORTANCIA DEL SGSI PARA LA ORGANIZACIÓN
SEGURIDAD DE LA INFORMACIÓN
CIB
ER
TE
C
10
¿La información es importante?
Objetivos específicos:
http://www.youtube.com/watch?v=8-_W_v2d0Cc
CIB
ER
TE
C
11
¿La información es importante?
Objetivos específicos:
“LA INFORMACIÓN (EN TODAS SUS MODALIDADES) ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR LOS OBJETIVOS DE NEGOCIO.”
jvargasm
Cualquier componente (sea humano, tecnológico, software, etc.) que sustenta uno o más procesos de negocios de una unidad o área de negocio.Otra buena definición de Activo es todo aquello que tiene valor para su empresa
CIB
ER
TE
C
12
Fundamentos - Activos
Objetivos específicos:
ACTIVO:
• Cualquier componente (sea humano, tecnológico, software, etc.) que sustenta uno o más procesos de negocios de una unidad o área de negocio. Otra buena definición de Activo es todo aquello que tiene valor para su empresa
CIB
ER
TE
C
13
Objetivos específicos:
Seguridad de la Información
Información
Integridad
Confidencialidad
Disponibilidad
Garantizar que la Información es accesible solo a aquellas personas autorizadas.
Salvaguardar la exactitud y totalidad de la información y los métodos de procesamiento
y transmisión.
Validez y Precisión de información Acceso en tiempo correcto y confiable
Asegurar que los usuarios autorizados tengan acceso a la información y bienes
cuando lo requieran
Prevenir Fugas y filtraciones de información
Fundamentos – Principios de Seguridad de la Inf.
CIB
ER
TE
C
14
Objetivos específicos:
• El desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer negocios, a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas amenazas.
• La mayor parte de la información reside en equipos informáticos, soportes de almacenamiento y redes de datos, englobados dentro de lo que se conoce como sistemas de información.
Los riesgos y las empresas son inseparables
CIB
ER
TE
C
15
Objetivos específicos:
• Los sistemas de información están sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organización o desde el exterior.
• Existen riesgos lógicos relacionados con la propia tecnología que aumentan día a día. Hackers, robos de identidad, spam, virus, robos de información y espionaje industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y nuestra imagen en el mercado.
• Existen riesgos físicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar la disponibilidad de nuestra información y recursos, haciendo inviable la continuidad de nuestro negocio si no estamos preparados para afrontarlos.
Los riesgos y las empresas son inseparables
CIB
ER
TE
C
16
ALTO
MEDIO
BAJO
BAJO MEDIO ALTO
PRO
BABI
LID
A D
E O
CURR
ENCI
A
MAGNITUD DE IMPACTO
Fundamentos - Riesgos
• RIESGO: SITUACIÓN ADVERSA O NEGATIVA QUE IMPIDE A LA EMPRESA A ALACANZAR SUS OBJETIVOS
CIB
ER
TE
C
17
Objetivos específicos:
“Para proteger a las organizaciones de estas amenazas es necesario conocerlas y afrontarlas de una manera adecuada. Para ello se deben establecer procedimientos eficientes e implementar controles de seguridad basados en la evaluación de los riesgos y en una medición de su eficacia.”
CIB
ER
TE
C
18
MINIMO RIESGO ACEPTABLE.
Fundamentos – Riesgos y Controles
CIB
ER
TE
C
19
Objetivos específicos:
ACTIVO:
Define lo que se quiere alcanzar para mitigar los riesgos identificados en los activos.
AMENAZAS:
Son un conjunto de actividades que pueden ser aplicados para alcanzar el objetivo de control.
5.1.1 Documento de política de seguridad de la información
CONTROL: La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de política de seguridad de la información.
5.1.2 Revisión y evaluación
CONTROL: La política de seguridad debe ser revisada en intervalos planificados o si cambiossignificantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.
Fundamentos –
CIB
ER
TE
C
20
Objetivos específicos:
OBJETIVOS DE CONTROL:
Define lo que se quiere alcanzar para mitigar los riesgos identificados en los activos.
5.1 Política de seguridad de la información
OBJETIVO: Dirigir y dar soporte a la gestión de la seguridad de la información en concordancia con los requerimientos del negocio, las leyes y las regulaciones. La gerencia debería establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización
ACTIVIDADES DE CONTROL:
Son un conjunto de actividades que pueden ser aplicados para alcanzar el objetivo de control.
5.1.1 Documento de política de seguridad de la información
CONTROL: La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de política de seguridad de la información.
5.1.2 Revisión y evaluación
CONTROL: La política de seguridad debe ser revisada en intervalos planificados o si cambiossignificantes ocurren con el fin de asegurar su uso continuo, adecuación y efectividad.
Fundamentos – Objetivos y Actividades de Control
CIB
ER
TE
C
21
Objetivos específicos:
• SIGNIFICANCIA: clave / no clave
• NATURALEZA: autorización / reconciliación / registro y revisión / salvaguarda / segregación de funciones
• PROPÓSITO: preventivo / detectivo
• AUTOMATIZACIÓN: automático / semi automático / manual
• FRECUENCIA: anual / mensual / semanal / diario …
Fundamentos – Actividades de Control
CIB
ER
TE
C
22
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
SGSI - PDCA
CIB
ER
TE
C
23
Objetivos específicos:
• Un Sistema de Gestión de Seguridad de la Información, es una herramienta o metodología sencilla y de bajo coste que permite establecer políticas, procedimientos y controles con objeto de:
disminuir los riesgos de su organización. asegurar la continuidad del negocio; minimizar posibles daños al negocio; maximizar oportunidades de negocios
• El plan de seguridad de la información permite la implementación de una SGSI en la organización.
SGSI
CIB
ER
TE
C
24
Objetivos específicos:
SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA
• Seguridad informática, se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soportan nuestro negocio.
• Seguridad de la información, se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.
SGSI
CIB
ER
TE
C
25
Objetivos específicos:
• La implantación y/o certificación de estos sistemas supone la implicación de toda la organización, empezando por la dirección sin cuyo compromiso es imposible su puesta en marcha.
• La dirección de la empresa debe liderar todo el proceso, ya que es la que conoce los riesgos del negocio y las obligaciones con sus clientes y accionistas mejor que nadie. Además, es la única que puede introducir los cambios de mentalidad, de procedimientos y de tareas que requiere el sistema.
SGSI
CIB
ER
TE
C
26
SGSI – MODELO PDCA
CIB
ER
TE
C
27
Objetivos específicos:
IDENTIFIQUEMOS RIESGOS DE SI
CIB
ER
TE
C
28
CIB
ER
TE
C
29
1•Redu
cción de Riesgos
2•Ahor
ro de Costos
3
•La seguridad se considera un sistema y se convierte en una actividad de gestión.
4
•La organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios.
5
•Mejora la competitividad en el mercado.
¿Qué beneficios aporta a las empresas?
CIB
ER
TE
C
30
Objetivos específicos:
• Reducción de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Se reducen las amenazas hasta alcanzar un nivel asumible por nuestra organización. Si se produce una incidencia, los daños se minimizan y la continuidad del negocio está asegurada.
• Ahorro de costes derivado de una racionalización de los recursos. Se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos.
• La seguridad se considera un sistema y se convierte en una actividad de gestión. La seguridad deja de ser un conjunto de actividades más o menos organizadas y pasa a transformarse en un ciclo de vida metódico y controlado, en el que participa toda la organización.
• La organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios. La organización se asegura del cumplimiento del marco legal que probablemente no se habían tenido en cuenta anteriormente.
• Mejora la competitividad en el mercado, diferenciando a las empresas que lo han conseguido una certificación en SGSI y haciéndolas más fiables e incrementando su prestigio.
¿Qué beneficios aporta a las empresas?
CIB
ER
TE
C
31
NORMATIVAS REFERIDAS AL SGSI
LOCALES
INTERNACIONALES
CIB
ER
TE
C
32
Objetivos específicos:
• El creciente uso de las nuevas tecnologías ha propiciado la creación de un marco legal y jurídico que protege a todas las partes interesadas en el uso de estas tecnologías y el intercambio y tratamiento de la información a través de ellas.
• Cumplir con las normativas vigentes es uno de los requisitos que debemos satisfacer para implantar y certificar un Sistema de Gestión de Seguridad de la Información. Su cumplimento nos protegerá de amenazas externas, nos permitirá respetar los derechos de nuestros clientes y proveedores y evitará infracciones involuntarias con sus respectivos costes
Necesidad
CIB
ER
TE
C
33
Objetivos específicos:
• Normas elaboradas conjuntamente por ISO, que es la Organización Internacional de Normalización, y por IEC, que es la Comisión Electrotécnica Internacional.
• Aplicable a cualquier tipo de organización, independiente de su tamaño y de su actividad
•La ISO/IEC 27000, recoge los términos y definiciones empleados en el resto de normas dela serie. Con ello se evitan distintas interpretaciones sobre los conceptos que aparecen a lo largo de las mismas.
ISO EIC 27000
•La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información
ISO EIC 27001
•Guía de buenas prácticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de información de una organización. 11 dominios, 39 objetivos de control y 133 controles
ISO EIC 27002
Familia 27000
CIB
ER
TE
C
34
Objetivos específicos:
•Norma Técnica Peruana – Código de Buenas Prácticas para la gestión de la seguridad de la información (eqv ISO/IEC 17799:2005 Information Technology. Code of practice for information security managemet).
NTP-ISO/IEC 17799 – 2007
•Gestión de la seguridad de la información (SBS)
•Gestión de la continuidad del negocio (SBS)
Circular Nº G-140 / 139 -2009
•Ley sobre el Derecho de Autor
DL No 822
•Ley que regula el uso del correo electrónico comercial no solicitado
LEY Nº 284931
• Normativa referida a la seguridad de la información aplicable al ámbito gubernamental y financiero.
• Normativa referida Protección del derecho de autor
Normativa peruana vigente
![Semana de Jovenes 2015.Pptx [Autoguardado]](https://static.fdocuments.ec/doc/165x107/563db7a0550346aa9a8cce5f/semana-de-jovenes-2015pptx-autoguardado.jpg)
