Gestión de la seguridad

Ignacio de Prado

Presentación e introducción

1
Profesor de la asignatura

Ignacio de Prado

Gestión de la seguridad – Ignacio de Prado 2

INTRODUCCIÓN

3
Índice de la asignatura
Tema 1
La Seguridad de la Información en las organizaciones.

Tema 2
Gobierno de la seguridad de la información.

Tema 3
Programas, procesos y políticas de seguridad de la información.

Tema 4
El profesional de la seguridad de la información.

Gestión de la seguridad – Ignacio de Prado 4

 Calendario impartición de materia
Presentación y
Semana 1 Tema 1
Test 1
Semana 2 Tema 2 Test 1
Tema 2

Semana 3 Tema 2
Trabajo
individual
Semana 4 Tema 2

Semana 5 Tema 2
Test 2 Test 2

Semana 6 Tema 3

Semana 7 Tema 3 Test 3

Semana 8 Tema 4
Tema 4 Trabajo
grupal
Semana 9 Tema 4

Tema 4 Test 4
Semana 10

Gestión de la seguridad – Ignacio de Prado 5

Calendario
➢ Primera clase
• Presentación y tema 1 (1h 30min)
➢ Clases sucesivas hasta completar los temas 2, 3 y 4
• Repaso, dudas y trabajo colaborativo (45min cada grupo cada tres semanas).
• Impartición de materia (45min semanales por grupo).
• Durante la segunda semana NO habrá sesión de repaso.
➢ Una vez terminado el temario
• Dos sesiones para consultar dudas que se planificaran previamente al
examen (45min).
➢ Los exámenes comienzan el 10 de julio

Gestión de la seguridad – Ignacio de Prado 6

Objetivos de la asignatura

1
Comprender el concepto de Seguridad de la Información (SI) como
un proceso relacionado con la gestión del riesgo.
2 Entender el contexto económico de la SI.
3 Conocer las principales normas y aspectos profesionales de la SI.

4
Conocer y saber aplicar herramientas de gestión de la SI,
partiendo del concepto de política.

Gestión de la seguridad – Ignacio de Prado 7

Estructura de las unidades

UNIDADES

ACTIVIDAD TEMARIO

▪ Lectura inicial ▪ Lectura previa a la

clase
▪ Trabajo individual ▪ Revisión
o en grupo
▪ Tests

Gestión de la seguridad – Ignacio de Prado 8

Forma de estudiar

Clases presenciales
virtuales

Unidad didáctica Actividades

Material de apoyo y de
refuerzo

Clases Documentación Documentación

Presentaciones
magistrales complementaria temas

Gestión de la seguridad – Ignacio de Prado 9

Tipología de examen

Preguntas de
desarrollo
✓ 6 puntos

Preguntas tipo
test
✓
4 puntos

Gestión de la seguridad – Ignacio de Prado 10

Valoración asignatura

Exámen 10 60%

Nota
Actividades 12.5
final
Tests 4 x 0.5 40% (*)

Asistencia 2 x 0,25
(*) La nota máxima es la evaluación continua es de un 10.
Si se supera esta calificación, la nota se truncara a diez.
Solo se tendrán en cuenta aquellas calificaciones iguales
o superiores a 5

11
TEMA 1
Información

ACTIVO ESTRATÉGICO
 Aporta valor a la organización (en casos extremos, es la razón de ser de la misma).
 Requiere la aplicación de medidas de protección y supervisión sobre los elementos
que hacen uso de ella.

Gestión de la seguridad – Ignacio de Prado 13

Ciclo de vida de la información

Creación Tratamiento Envío Destrucción

Obtención Manipulación Transmisión Eliminación

Elaboración Almacenamiento Presentación Destrucción
Procesamiento

Gestión de la seguridad – Ignacio de Prado 14

Objetivo

¿Seguridad
informática? ¿Seguridad de
la información?

Gestión de la seguridad – Ignacio de Prado 15

¿Qué es la seguridad de la información?

<< Preservación de la confidencialidad, la integridad y la

disponibilidad de la información, pudiendo, además,
abarcar otras propiedades como la autenticidad,
responsabilidad, fiabilidad o el no repudio >>
ISO 27001

Gestión de la seguridad – Ignacio de Prado 16

Seguridad de la información

ACTIVOS

Personas Instalaciones Actividades Información

Se encuentra en…

Personas Instalaciones Documentos Sistemas Empresas

PROTECCIÓN

Gestión de la seguridad – Ignacio de Prado 17

Seguridad de la información

SEGURIDAD DE LA
INFORMACIÓN

Personas Soportes

Sistemas
Transmisión

Instalaciones Terceros

Gestión de la seguridad – Ignacio de Prado 18

Dimensiones de la seguridad

Confidencialidad Integridad

INFORMACIÓN

Disponibilidad Trazabilidad

Autenticidad

Gestión de la seguridad – Ignacio de Prado 19

Dimensiones de la seguridad

Confidencialidad Integridad

INFORMACIÓN

Disponibilidad Trazabilidad

Confidencialidad

Requisito básico de seguridad que garantiza que sólo las

personas, entidades o procesos autorizados pueden
acceder a la información.

Gestión de la seguridad – Ignacio de Prado 20

Dimensiones de la seguridad

Confidencialidad Integridad

INFORMACIÓN

Disponibilidad Trazabilidad
Integridad

Requisito básico de seguridad que garantiza que la

información no pueda ser o no ha sido modificada o alterada
por personas, entidades o procesos no autorizados.

Gestión de la seguridad – Ignacio de Prado 21

Dimensiones de la seguridad
Disponibilidad
Requisito básico de seguridad que garantiza que se puede
acceder a la información y a los recursos o servicios que la
manejan, conforme a las especificaciones de losIntegridad
mismos.

INFORMACIÓN

Disponibilidad Trazabilidad

Autenticidad

Gestión de la seguridad – Ignacio de Prado 22

Dimensiones de la seguridad
Trazabilidad
Capacidad de poder asociar cualquier acción de modo
inequívoco a un individuo o entidad.
Integridad

INFORMACIÓN

Disponibilidad Trazabilidad

Autenticidad

Gestión de la seguridad – Ignacio de Prado 23

Dimensiones de la seguridad

Autenticidad

Propiedad que permite verificar que una entidad o

individuo es realmente quien dice o afirma ser.

INFORMACIÓN

Disponibilidad Trazabilidad

Autenticidad

Gestión de la seguridad – Ignacio de Prado 24

Seguridad de la información

SEGURIDAD
DE LA
INFORMACION

NORMATIVA ORGANIZACIÓN MEDIDAS

TÉCNICAS

Gestión de la seguridad – Ignacio de Prado 25

Seguridad de la información
Equilibrio

MEDIDAS
ORGANI TÉCNICAS
POLÍTICAS
ZACIÓN

Gestión de la seguridad – Ignacio de Prado 26

Gestionando la seguridad
“La seguridad es un proceso no un producto”
Bruce Schneier

Identificar
riesgos

Estrategia
Gestión
de la
seguridad
Gestión
Implementar
Evaluar controles

Operativa

Gestión de la seguridad – Ignacio de Prado 27

Economía de la seguridad

Gestión de la seguridad – Ignacio de Prado 28

Clasificación de la información

❖ La información posee grados variables de

sensibilidad y criticidad.
❖ No toda la información exige el mismo grado de
protección.
❖ Algunos elementos de información pueden requerir un
nivel adicional de protección o una utilización especial.
❖ La información se clasifica definiendo un conjunto de
niveles de protección adecuados.

Gestión de la seguridad – Ignacio de Prado 29

Clasificación de la información
En la Administración

Grados de clasificación de la información

SECRETO
+

RESERVADO

CONFIDENCIAL

DIFUSIÓN
Grado de gravedad del acceso
LIMITADA
no autorizado
SIN CLASIFICAR
Nivel de protección requerido

-
Fuente: Centro Criptológico Nacional

Gestión de la seguridad – Ignacio de Prado 30

Clasificación de la información
En la empresa

¿Quién? ¿Por qué? ¿Cómo?

Gestión de la seguridad – Ignacio de Prado 31

Clasificación de la información
Roles Elaborador

Elaboración

Propietario

Custodia Propiedad

Custodios
Uso
Usuarios

Gestión de la seguridad – Ignacio de Prado 32

Controles de seguridad - Amenazas
• Una amenaza es cualquier circunstancia potencial que puede
afectar a la seguridad de los activos de información.
• Si una amenaza llega a materializarse se produce un incidente,
el cual puede acarrear algunos de los efectos siguientes:
– Revelación de información
– Alteración de información
– Pérdida de información
• Los incidentes se producen con una frecuencia variable o, lo que
es lo mismo, tienen una probabilidad de ocurrencia.
• El incidente tendrá asimismo un impacto variable sobre los
activos de información.

Gestión de la seguridad – Ignacio de Prado 33

Gestión de riesgos
• Ejemplos
– Los virus constituyen una amenaza.
– Supongamos que un ordenador se infecta dos veces por
semana y cada vez el virus borra el disco duro.
– ¿Cómo disminuir la frecuencia?
• Instalando un antivirus.
– ¿Cómo disminuir el impacto?
• Haciendo copias de seguridad de la información.
– Estos dos controles o medidas de seguridad disminuyen el
riesgo drásticamente, aunque nunca lo eliminen por
completo.

Gestión de la seguridad – Ignacio de Prado 34

Seguridad integral
Amenazas convergentes…

requieren respuestas convergentes.

Gestión de la seguridad – Ignacio de Prado 35

Seguridad en las personas

Negligencias
Ingeniería Social

APT
Desconocimiento
Las personas son el eslabón más débil en la seguridad

Gestión de la seguridad – Ignacio de Prado 36

Seguridad en las personas
Necesidad de conocer:

Determinación positiva por la que se confirma que un posible destinatario

requiere el acceso a una determinada información para desempeñar
servicios, tareas o cometidos oficiales.

Principio del mínimo privilegio:

Todo usuario debe tener asignados los mínimos privilegios necesarios de

manera que pueda seguir realizando su función.

Gestión de la seguridad – Ignacio de Prado 37

Seguridad en las personas
Concienciando

SENSIBILIZACIÓN
FORMACIÓN

CONCIENCIACIÓN

AUTORIDADES

MANDOS INTERMEDIOS

USUARIO FINAL

Gestión de la seguridad – Ignacio de Prado 38

 Seguridad en las personas
Estrategia de un plan de formación

QUÉ Y CÓMO

DÓNDE

QUIÉN

CUÁNDO

Gestión de la seguridad – Ignacio de Prado

 Para los alumnos que cursen la
asignatura a través de FUNDAE, el
código de desbloqueo es Seguridad

Gestión de la seguridad – Ignacio de Prado

www.unir.net
41