Seg Inf Sem03
description
Transcript of Seg Inf Sem03
Seguridad Informática Ing. Álvaro Orihuela
Tercera Semana
Seguridad Informática Ing. Álvaro Orihuela
Control de accesos
Clasificación y
control de los activos
Política de seguridad Organización de
la Seguridad
Seguridad
del personal
Seguridad física y medioambiental Gestión de
comunicaciones
y operaciones
Desarrollo y
mantenimiento
Administración de
la continuidad
Cumplimiento
Información
Confidencialidad
disponibilidad
integridad
NTP - ISO/IEC 17799:2004
Seguridad Informática Ing. Álvaro Orihuela
SEGURIDAD DEL PERSONAL
Seguridad Informática Ing. Álvaro Orihuela
Seguridad ligada al personal
Seguridad en la definición del trabajo y la asignación de recursos
Formación de usuarios
Respuesta a incidentes y anomalías en la seguridad
Seguridad Informática Ing. Álvaro Orihuela
Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.
Seguridad en la definición del trabajo y la asignación de recursos
Inclusión dentro de las funciones y responsabilidades de los empleados el cumplimiento de la PSI.Selección del personal. Evaluación por etapas.Contratos y acuerdos de confidencialidadRelación laboral: responsabilidades legales e incumplimiento.
Seguridad Informática Ing. Álvaro Orihuela
Acuerdos de confidencialidad
Cualquier trabajador, tanto si es de la organización como si es externo, que tenga acceso a los sistemas de la información o a la información sensible, deberá comprometerse a proteger la confidencialidad de dicha información. Acuerdo de no divulgación.
Seguridad en la definición del trabajo y la asignación de recursos
Seguridad Informática Ing. Álvaro Orihuela
Garantizar que los usuarios son consientes de las amenazas y riesgos en materia de seguridad de la información, y que están preparados para mantener la PSI en el transcurso de sus tareas normales.
Formación de usuarios
Es necesario establecer programas que enseñen a los usuarios las políticas y procedimientos de seguridad y uso de la información.Sensibilizar a los usuarios en la importancia y necesidad de la seguridad informática.
Seguridad Informática Ing. Álvaro Orihuela
Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.
Respuesta a incidentes y anomalías en la seguridad
Una respuesta a incidentes es una reacción rápida ante un incidente de seguridad. La respuesta depende de cómo el equipo de seguridad reaccione, qué acciones toman para reducir los daños y cuándo se reestablecen los recursos, buscando ante todo se conserve la integridad de los datos
Seguridad Informática Ing. Álvaro Orihuela
Incidente de seguridad
Un incidente de seguridad es cualquier evento adverso, confirmado o bajo sospecha, relacionado a la seguridad de los sistemas de información. Es el acto de violar una política de seguridad explícita o implícita. Cada organización debe definir que es incidente de seguridad Ejemplos:
Tentativas de ganar acceso no autorizado a un sistema.
Ataques de negación de servicio. Uso o acceso no autorizado a un sistema.
Respuesta a incidentes y anomalías en la seguridad
Seguridad Informática Ing. Álvaro Orihuela
¿Qué acciones se han tomado?
Respuesta a incidentes y anomalías en la seguridad
Incidente de seguridad:Un hacker ha penetrado el firewall y está actualmente husmeando el tráfico de la red.
¿Cómo reacciona el equipo de seguridad de la organización?
Seguridad Informática Ing. Álvaro Orihuela
Respuesta a incidentes y anomalías en la seguridad
Comunicar los incidentes de seguridad por los canales establecidos y los más rápido posible. Incidente y su procedimiento de respuesta.
Utilizar la información recogida a partir del incidente de seguridad para retroalimentar al SGSI.
Comunicar las debilidades en la seguridad de un sistema e información, así como fallos en los aplicativos.
Establecer un proceso disciplinario para los involucrados en una violación de las PSI.
Seguridad Informática Ing. Álvaro Orihuela
SEGURIDAD FÍSICA Y
AMBIENTAL
Seguridad Informática Ing. Álvaro Orihuela
SEGURIDAD FÍSICA Y AMBIENTAL
Áreas seguras
Seguridad de equipos
Controles generales de seguridad física
Seguridad Informática Ing. Álvaro Orihuela
Impedir accesos no autorizados, daños e interferencia contra las sedes y la información de la empresa.
Áreas seguras
Los sistemas que procesan información de negocio sensible o crítica deberían estar ubicados en áreas seguras, con barreras adecuadas para su protección y controles de entrada. Deberá existir una protección física contra el acceso no autorizado, interferencias y otro tipo de daños
Seguridad Informática Ing. Álvaro Orihuela
Identificar y establecer un perímetro físico de seguridad. Una barrera. Características:
Solidez física en los muros externos Puertas exteriores protegidas
Áreas seguras
Implementar controles físicos que aseguren el acceso sólo al personal autorizado.
Control de ingreso a las áreas seguras. Acceso restringido sólo a personal
autorizado.
Seguridad Informática Ing. Álvaro Orihuela
Impedir pérdidas, daños o exposiciones al riesgo de los activos e interrupción de las actividades de la empresa.
Seguridad de equipos
El equipo debería situarse y protegerse para reducir el riesgo de amenazas del entorno, así como las oportunidades de accesos no autorizados, minimizando el riesgo de robo, incendio, explosivos, humo, inundación, polvo, vibraciones, agentes químicos, interferencias en el suministro eléctrico, radiaciones electromagnéticas.
Seguridad Informática Ing. Álvaro Orihuela
Seguridad de equipos
Implementar controles físicos que aseguren el acceso sólo al personal autorizado.
Suministros de energía Seguridad del cableado Mantenimiento de equipos Seguridad del equipamiento fuera del
ámbito de la organizaciónBaja segura o reutilización de
equipamiento.
Seguridad Informática Ing. Álvaro Orihuela
Impedir la exposición al riesgo o robo de la información o de las instalaciones de procesamiento de la misma.
Controles generales de seguridad física
Políticas de escritorios y pantallas limpias: Escritorios libre de papeles y medios de almacenamiento removibles. Bloqueo de pantallas
Retiro de bienes: La salida de los equipos, la información o el software de la información debe ser autorizada, manteniendo un registro de la salida y su retorno
Seguridad Informática Ing. Álvaro Orihuela
?