Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Semana 01
Principios de seguridad
Modelo de madurez de seguridad de informacin
Semana 09
Arquitectura de seguridad de la informacin
Controles fsicos y ambientales
Semana 02
Gobierno de seguridad de informacin
Semana 10
Gestin de amenazas y vulnerabilidades
Semana 03
Sistema de Gestin de Seguridad de Informacin
(SGSI)
Semana 11
Gestin de identidades y accesos
Semana 04
Concientizacin de la seguridad
Semana 12
Seguridad de telecomunicaciones y redes
Semana 05
Gestin de riesgos de seguridad de informacin
Semana 13
Seguridad de software
Semana 06
Gestin y respuesta a incidentes
Semana 14
Proteccin y privacidad de la informacin
Semana 07
Gestin de continuidad del negocio
Semana 15
Examen final
Semana 08
Evaluacin parcial
Semana 16
Trabajo final
Luis Otake
Principios de Seguridad
Semana 01
Luis Otake
El perfil ms cotizado
Luis Otake
La sobrecarga de informacin
Luis Otake
Contenido
Principios de seguridad:
Luis Otake
La sociedad de la informacin
Luis Otake
La informacin
0 Las personas la necesitan.
0 Es esencial para resolver problemas y tomar de
decisiones.
0 No siempre es til.
0 Debe ser relevante, completa, precisa y actual.
0 Es la sangre de cualquier organizacin.
Luis Otake
informacin
0 Informacin
Luis Otake
Entrada
Datos
Proceso
Salida
Informacin
Caractersticas de la
informacin til
Relevante
Completa
Precisa
Luis Otake
Actual
Econmica
10
El valor de la informacin
Luis Otake
11
Luis Otake
12
Luis Otake
13
Seguridad de la Informacin
(Information Security)
0 Medidas adoptadas para evitar el uso no autorizado, el
0
0
0
0
14
http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-de-la.html
Luis Otake
15
Seguridad de la informacin
vs. Ciberseguridad
Luis Otake
16
El contexto de la seguridad de
informacin
(Gelbstein, 2012)
Luis Otake
17
Evolucin de la Seguridad de
Informacin
Luis Otake
18
Luis Otake
19
Consecuencias de la falta de
seguridad
Luis Otake
20
Consecuencias de la falta de
seguridad
0 Algunas cuestiones:
0 qu puede ir mal?
0 con qu frecuencia puede ocurrir?
0 cules seran sus consecuencias para la organizacin?
Luis Otake
21
Consecuencias de la falta de
seguridad
0 El objetivo es lograr que un ataque contra los
Luis Otake
22
Consecuencias de la falta de
seguridad
0 Horas de trabajo invertidas en reparaciones y
0
0
0
0
0
0
0
reconfiguracin.
Prdidas por indisponibilidad, costo de oportunidad por
no poder utilizar los recursos.
Robo de informacin confidencial.
Filtracin de datos personales (LPDP).
Impacto en la imagen de la empresa (credibilidad,
reputacin, confianza).
Retrasos en los procesos de negocio.
Daos a la salud, prdidas de vidas humanas.
Pago de indemnizaciones por daos y perjuicios a terceros.
Luis Otake
23
Principio de Defensa en
Profundidad
E
A. Encriptacin de
datos sensibles
B. Gestin de usuarios
C. Configuracin
robusta de equipos
D. Separacin de redes
(segmentacin de
LAN, creacin de
VLAN)
E. Seguridad
perimetral
D
C
B
A
Luis Otake
24
El mbito de la seguridad de
informacin
Aplica tambin para las pequeas y
medianas empresas?
Luis Otake
25
Modelo de Madurez de la
Seguridad de Informacin
0 EYs Cyber Program Management (CPM) Framework
0 Niveles de madurez
0 Dominios
Luis Otake
26
0
0
0
27
Luis Otake
28
Utilidad de CPM
0 Comprensin de la exposicin al riesgo de la organizacin.
29
Luis Otake
30
Niveles de madurez
Nivel Nombre
Descripcin
No existente
Inicial / Ad-hoc
Repetible
Definido
Administrado
Optimizado
Luis Otake
31
Dominios de la Gestin de la
Seguridad de Informacin
Estrategia
Gobierno y
organizacin
Polticas y
estndares
Arquitectura
Operaciones
Concientizacin
de la seguridad
Gestin de
identidades y
accesos
Amenazas y
vulnerabilidades
Gestin de
terceros
Monitoreo de la
seguridad
Gestin de
activos de TI
Seguridad de
software
Seguridad a
nivel de host
Respuesta a
incidentes
Seguridad de
redes
Proteccin de
datos
Infraestructura
de datos
Mtricas y
reportes
Luis Otake
32
Gobierno y
organizacin
Polticas y
estndares
Arquitectura
Operaciones
Concientizacin
de la seguridad
Luis Otake
33
Amenazas y
vulnerabilidades
Gestin de terceros
Monitoreo de la
seguridad
Gestin de activos
de TI
Seguridad de
software
Luis Otake
34
Cubre los mecanismos y controles de proteccin a nivel de host. Incluye anti-virus, encriptacin de disco,
proteccin de malware, control de acceso a HW, y gestin de parches.
Respuesta a
incidentes
Cubre la funcin formal para reportar y responder a incidentes que podran impactar negativamente a los
activos de la organizacin, recursos, operaciones, reputacin, posicin financiera, capital intelectual, o
informacin confidencial.
Seguridad de
redes
Captura las polticas, procesos, herramientas, y tecnologas utilizadas para mantener la seguridad a nivel
de red. Incluye gestin de accesos, gestin de vulnerabilidades, identificacin y notificacin de incidentes,
configuracin de dispositivos y gestin de parches, y arquitectura de redes.
Proteccin de
datos
Incluye la proteccin de la propiedad intelectual, datos de clientes, datos transaccionales, datos privados,
as como datos sensitivos.
Infraestructura
de datos
Abarca los repositorios de datos, warehouses, y sistemas que soportan una funcin clsica de BI dentro de
las operaciones de seguridad.
Mtricas y
reportes
Incluye el anlisis de las metas de seguridad de informacin, y define mtodos repetibles de medicin para
mostrar efectividad o progreso en el cumplimiento de las metas deseadas.
Luis Otake
35
Programa de Seguridad de la
Informacin
0 Define los objetivos de seguridad de la organizacin, as como los
0
0
0
0
0 Responsable:
0 Gerente de Seguridad de Informacin
Luis Otake
36
Actividades
0 Formacin de grupos de trabajo
0 Explicacin del proyecto final
0 Diagnstico
0 Propuesta de solucin
Luis Otake
37
Gobierno de Seguridad de la
Informacin
Semana 02
Luis Otake
38
Contenido
0
0
0
0
0
0
0
0
0
0
0
Visin general
Importancia
Propsito
Resultados bsicos
Responsables
Metas y objetivos de negocio
Componentes
Aspectos que dificultan el GSI
GRC
Modelo de negocios para la seguridad de la informacin (BMIS)
Conceptos de seguridad de la informacin
Luis Otake
39
Visin general
Parte integral y transparente del gobierno de la
empresa.
Debe complementar o incluir el marco de gobierno de
TI.
40
Importancia
0 Responsabilidad civil o legal por imprecisiones en la informacin o ausencia
0
0
0
0
0
0
0
0
0
Luis Otake
41
informacin para:
los propietarios
0 Reducir el riesgo de incumplimiento
0 Reducir el riesgo de litigios
0 Lograr confidencialidad, integridad y disponibilidad
(CIA) sostenible
(Gelbstein, 2012)
Luis Otake
42
Resultados bsicos de un
gobierno efectivo de seguridad
Alineacin
estratgica
Gestin de
riesgos
Entrega de
valor
Gestin de
recursos
Medicin de
desempeo
Integracin
Luis Otake
43
Direccin ejecutiva
Chief Executive
Officer
Luis Otake
44
Responsabilidades gerenciales
de la seguridad de informacin
Consejo de
Direccin
Direccin
Ejecutiva (CEO)
Comit
Directivo
CISO
Luis Otake
45
CISO
Chief Information Security Officer: Director de
Seguridad de Informacin
Puede ser asumido por:
46
Pesadillas de un CISO
Luis Otake
47
Informacin debe
apoyar las actividades
de negocio para que sea
de valor para la
organizacin.
0 El GSI es un subconjunto
del Gobierno
Corporativo.
Luis Otake
Gobierno
Corporativo
Gobierno de
Seguridad de
Informacin
48
Polticas de
gobierno de
seguridad
Estructura
organizacional de
seguridad
Luis Otake
Estndares
(procedimientos
y directrices)
para cada poltica
Mtricas y
proceso de
monitoreo
49
Luis Otake
50
Estrategia de Seguridad de
Informacin
0 Una estrategia de seguridad de la informacin
Luis Otake
51
Funciones de aseguramiento
0 Una estructura efectiva de GSI ayuda a integrar las
52
GRC
0 Una organizacin puede integrar sus procesos clave
53
Governance
0 Es responsabilidad de la alta direccin ejecutiva y se
Luis Otake
54
Risk Management
0 Proceso que sigue una organizacin para establecer
tolerancia a riesgos, identificar riesgos potenciales y
sus impactos asociados, y priorizar la mitigacin de
estos basndose en los objetivos de negocio y la
tolerancia a riesgos de la organizacin.
Luis Otake
55
Compliance
0 Proceso que registra y monitorea las polticas,
Luis Otake
56
(Gelbstein, 2012)
Luis Otake
57
Luis Otake
58
Modelo de negocio de
seguridad de informacin
Luis Otake
59
Caractersticas de BMIS
0 Enfoque orientado al negocio
0 Enfoque sistmico
0 Interconexiones dinmicas entre sus elementos
(COBIT)
Luis Otake
60
Elementos de BMIS
Diseo y
estrategia de
la
organizacin
Personas
Procesos
Tecnologa
Luis Otake
61
Diseo y estrategia de la
organizacin
0 Organizacin es una red de personas, activos y procesos
interactuando entre s.
0 Estrategia
bsica.
0 Se debe adaptar a los factores internos y externos.
0 Recursos
0 Sirven para disear la estrategia
0 Pueden ser: personas, equipos, conocimientos tcnicos
0 El diseo define la manera en que la organizacin implementa su
estrategia.
Luis Otake
62
Personas
0 Define quin implementa (siguiendo el diseo) cada parte
de la estrategia.
0 El CISO debe trabajar con los departamentos de RRHH y
legal:
0 Estrategias de reclutamiento (pe. acceso, verificaciones de
63
Procesos
0 Incluye mecanismos formales e informales para realizar
la poltica.
0 Considerar situaciones emergentes y adaptarse a
requerimientos cambiantes.
0 Estar documentados y ser comunicados de forma adecuada a
las personas apropiadas.
0 Ser revisados peridicamente.
Luis Otake
64
Tecnologa
0 Herramientas, aplicaciones e infraestructura que
Luis Otake
65
Interconexiones dinmicas
Gobierno
Cultura
Habilitacin
y soporte
Surgimiento
Factores
humanos
Arquitectura
Luis Otake
66
Gobierno
0 Da direccin a la empresa y exige liderazgo
estratgico.
0 Se encarga de:
responsabilidad
Luis Otake
67
Cultura
0 Un patrn de conductas, convicciones, supuestos, actitudes
0 Niveles:
0 Nacional (legislacin/regulaciones, poltica y tradiciones)
0 Organizacional (polticas, estilo jerrquico y expectativas)
0 Social (familia, etiqueta)
Luis Otake
68
Habilitacin y soporte
0 Conecta el elemento tecnologa al elemento proceso.
0 Hace que los procesos sean prcticos y fciles de usar.
Luis Otake
69
Surgimiento
0 Se refiere a los patrones que surgen en la vida de la
Luis Otake
70
Factores humanos
0 Si las personas no entienden cmo utilizar la tecnologa, no
0 Incluye:
0 Edad
0 Nivel de experiencia
0 Experiencias culturales
Luis Otake
71
Arquitectura
0 Encapsulacin completa y formal de personas,
72
Conceptos de seguridad de
informacin (I)
Control de acceso
Arquitectura
Ataques
Auditabilidad
Autenticacin
Autorizacin
73
Conceptos de seguridad de
informacin (II)
Disponibilidad
Anlisis de
dependencia del
negocio
Anlisis de
impacto al negocio
Confidencialidad
Controles
Contramedidas
74
Conceptos de seguridad de
informacin (III)
Criticidad
Clasificacin de
datos
Exposiciones
Anlisis
preferencial
Gobierno
Identificacin
Luis Otake
75
Conceptos de seguridad de
informacin (IV)
Impacto
Integridad
Seguridad en
capas
Gestin
No repudio
Polticas
76
Conceptos de seguridad de
informacin (V)
Riesgo residual
Riesgo
Mtricas de
seguridad
Sensibilidad
Estndares
Estrategia
77
Conceptos de seguridad de
informacin (VI)
Amenazas
Vulnerabilidades
Arquitectura
empresarial
Dominios de
seguridad
Modelos de
confianza
Luis Otake
78
Luis Otake
79
80
Referencias bibliogrficas
(III)
0 EY. 2016. Generando confianza en el mundo digital. Perspectivas
81