Seguridad de la Informacin

Ing. Daniel Sandoval

Suscerte
Seguridad de la Informacin

De Uso Pblico

Definicin de Seguridad de la
Informacin
El trmino de seguridad de informacin
(SI) surge por la necesidad de proteger
la informacin y a los sistemas que la
administran, bien sean fsicos o
informticos.

La seguridad de la informacin, es un conjunto de

reglas, planes y acciones que permiten asegurar la
informacin manteniendo las propiedades de
confidencialidad, integridad y disponibilidad.

Seguridad de la Informacin

De Uso Pblico

Principios Seguridad de Informacin

La confidencialidad: consiste en que la
informacin sea accesible slo para
aqullos que estn autorizados.
La integridad: radica en que la
informacin slo puede ser creada y
modificada por quien est autorizado a
hacerlo.
La disponibilidad: se fundamenta, en
que la informacin debe ser accesible
para su consulta o modificacin cuando
se requiera.

Seguridad de la Informacin

De Uso Pblico

Involucrados en la Seguridad de la
Informacin
En una organizacin quienes son los involucrados en
mantener la Seguridad de la Informacin?
Talento Humano (Actitud,
comportamiento, entre otros)

Aptitud,

Tecnologa (Diseo de una arquitectura

segura, aplicaciones actualizadas)
Procesos (Constante revisin y
mejoramiento continuo).

Laseguridadestanfuertecomoel
eslabnmsdbil.....eltalento
humano
Seguridad de la Informacin

De Uso Pblico

Manejo de la informacin en una

Organizacin

Seguridad de la Informacin

El principal activo de la organizacin es la informacin.

No hace falta poseer demasiados conocimientos.

El enemigo en muchas ocasiones est dentro.

Se puede causar mucho dao con poco esfuerzo.

Mucha informacin y fcil de localizar

Informacin duplicada; en papel y en digital

De Uso Pblico

Ubicando a la Organizacin

Modelos de Madurez
Es importante determinar en que
nivel se encuentra la organizacin,
para ello CMM muestra la madurez
de una organizacin basndose en
la capacidad de sus procesos

Seguridad de la Informacin

De Uso Pblico

Protegiendo la Informacin
Los Sistemas de Gestin de Seguridad de la Informacin,
integran

los

principales

mecanismos

para

brindar

confidencialidad, integridad y disponibilidad de la Informacin

Analizar en detalle y ordenar la estructura de

los sistemas de informacin

Definir procedimientos y normativas de trabajo

Disponer de controles

Revisar
y
cumplimiento

Seguridad de la Informacin

Evaluar

la

efectividad

De Uso Pblico

Visin de la SI segn ISO

Conceptos
La Informacin es un activo que, como
cualquier otro activo importante, es esencial
para los negocios de una organizacin y en
consecuencia necesita estar protegida
adecuadamente. Esto es especialmente
importante en el ambiente de los negocios,
cada vez ms interconectados. ISO/IEC
27002:2007

Cul es la mas Importante ?

Por cul comenzar?

Seguridad de la Informacin

De Uso Pblico

Visin de la SI ISO
Punto de partida
Controles para una organizacin desde un punto de vista legislativo aplicable:
Proteccin de Datos y privacidad de
la informacin personal.

Toma de conciencia, educacin y

formacin en seguridad de la
informacin al talento humano.

Proteccin de los registros de la

organizacin.

Procesamiento correcto
aplicaciones (software).

Derechos de propiedad intelectual,

siempre al menos que nos
encontremos frente a una licencia
abierta.
Gestin
tcnicas.

de

vulnerabilidades

Gestin de los incidentes.

Seguridad de la Informacin

Gestin de
negocio.

continuidad

de

las

de

Mejoramiento continuo en los

procesos que conllevan a la
seguridad de la informacin.
Documentacin de las Polticas de
Seguridad de la informacin.
Asignacin de responsabilidades
sobre seguridad de la informacin.
De Uso Pblico

Familia ISO 27000

Norma

Descripcin

ISO 27000

Vocabulario estndar para el SGSI. Se encuentra en desarrollo actualmente.

ISO 27001

Certificacin que deben obtener las organizaciones

ISO 27002

Cdigo de buenas prcticas para la gestin de seguridad de la informacin

ISO 27003

Directrices para la implementacin de un SGSI

ISO 27004

Mtricas para la gestin de seguridad de la informacin

ISO 27005

Gestin de riesgos en seguridad de la informacin

ISO 27006

Requisitos para la acreditacin de las organizaciones que proporcionan la certificacin de los

sistemas de gestin de la seguridad de la informacin

ISO 27007

Gua de auditora de un SGSI

ISO 27011

Gua de gestin de seguridad de la informacin especfica para telecomunicaciones.

Desarrollada en conjunto con IUT.

ISO 27031

Gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones.

ISO 27032

Gua relativa a la ciberseguridad

ISO 27033

Enfocada en Seguridad de Redes, se subdivide en 7 Partes

ISO 27034

Gua de seguridad en aplicaciones

ISO 27799

Es una gua para implementar ISO/IEC 27002 en la industria de la salud.

Seguridad de la Informacin

De Uso Pblico

Visin de la SI segn ISACA

Conceptos
Definicin
Asegura que slo los usuarios autorizados
(confidencialidad) tienen acceso a informacin
precisa y completa (integridad) cuando sea
necesario (disponibilidad).

Gobierno de la Seguridad de la Informacin

El conjunto de responsabilidades y prcticas
ejercidas por la junta y la gestin ejecutiva con el
objetivo de proporcionar direccin estratgica,
asegurar que se logran los objetivos, determinar
que los riesgos son manejados adecuadamente y
verificar que los recursos de la empresa son
utilizados de manera responsable.

Seguridad de la Informacin

De Uso Pblico

Visin de la Seguridad de la Informacin

segn COBIT

El Objetivo de la Seguridad de la Informacin es proteger los Intereses de

aquellos que confan en la informacin, y en los sistemas y
comunicaciones que la entregan, del dao resultante de fracasos de:

Disponibilidad
Confidencialidad
Integridad
Autenticidad
Dominios COBIT

CoBiT Security Baseline. Referencia de

Seguridad de la Informacin para COBIT
Seguridad de la Informacin

De Uso Pblico

Visin de la Seguridad de la Informacin en la

Repblica Bolivariana de Venezuela
Anlisis....
Nuestro pas fue vctima de la falta de visin
para la gerencia en cuanto a la seguridad de la
informacin en nuestras redes de
comunicacin, podemos mencionar por
ejemplo:
Dependencia del Estado, de la informacin
en sus redes y sistemas informticos.
Sistemas y redes del estado expuestos en su
mayora.
Experiencia del paro de PDVSA.

Seguridad de la Informacin

De Uso Pblico

Visin de la Seguridad de la Informacin en la

Repblica Bolivariana de Venezuela
Hacer....
Por estos motivos nuestras metas
primordiales son:
Desarrollo del Gobierno Electrnico
garantizando la Integridad,
Confidencialidad y Disponibilidad de la
Informacin.
La Seguridad de la Informacin como
elemento de la Defensa Integral de la
Nacin.

Seguridad de la Informacin

De Uso Pblico

Visin de la Seguridad de la Informacin en la

Repblica Bolivariana de Venezuela
Hacer...

Por las necesidades expuestas en la presentacin, surge SUSCERTE.

Servicio Autnomo creado mediante el Decreto-Ley N 1.204, sobre
Mensaje de Datos y Firmas Electrnicas.
10 de febrero de 2001.
Propsito:
Fortalecer los procesos de acreditacin, supervisin y control de los
Proveedores de Servicios de Certificacin (PSC).

Segn Gaceta Oficial N 38.567 Noviembre 2006

Promover la investigacin y el desarrollo tecnolgico en materia de
Certificacin Electrnica (CE) y Seguridad de la Informacin (SI).

Seguridad de la Informacin

De Uso Pblico

SUSCERTE - Proyectos Orientados a la

Seguridad de la Informacin

Prevencin con la
Gestin de Riesgos
Tecnolgicos

Ejemplo:
Recomendaciones
para sitio web seguro

Seguridad de la Informacin

Atencin y Solucin
de casos

En caso de incidente

Investigacin de
elementos probatorios

Se colectan las
evidencias y se
analizan

De Uso Pblico

SUSCERTE - Sistema Nacional de Gestin de

Incidentes Telemticos VENCERT
Verificar....
QU ES VenCERT?
Es el Sistema Nacional de Gestin de Incidentes Telemticos de la Repblica
Bolivariana de Venezuela. Su principal objetivo, como CERT gubernamental
es la prevencin, deteccin y gestin de los incidentes generados en los
sistemas de informacin de la Administracin Pblica Nacional y los Entes
Pblicos a cargo de la gestin de Infraestructuras Crticas de la Nacin.

Seguridad de la Informacin

De Uso Pblico

SUSCERTE - Centro Nacional Informtica

Forense CENIF
Verificar....
Centro Nacional de alto nivel para la coleccin, preservacin anlisis y
presentacin de evidencias relacionadas con la tecnologa de la
informacin que apoyar las investigaciones judiciales en esta materia,
que brinde confiabilidad, integridad, seguridad y estabilidad del
proceso de cmputo forense.
forense

Seguridad de la Informacin

De Uso Pblico

CENIF Cadena de Custodia

Proceso Forense
Coleccin

Preservacin

Anlisis

Presentacin

Cadena de Custodia

Seguridad de la Informacin

De Uso Pblico

Visin de la Seguridad de la Informacin en la

Repblica Bolivariana de Venezuela
Proveer mecanismos adecuados que GARANTICEN el uso seguro de las
Tecnologas de la Informacin y Comunicacin a los ciudadanos,
apalancando la automatizacin del Estado Venezolano

Entidad
Gubernamental

Ciudadano y Ciudadanas

Impulsando al Gobierno Electrnico

Seguridad de la Informacin

De Uso Pblico

Muchas Gracias.....!
Contactos

atencionciudadano@suscerte.gob.ve
E-mail

Telefono: 0800-VENCERT
http://www.suscerte.gob.ve
https://www.vencert.gob.ve

La Seguridad de la Informacin comienza por TI...

Seguridad de la Informacin

De Uso Pblico