Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
Contenido
5
1
Introducción - Riesgos
3
Conceptos
ISO27001
- SGSI
6
Auditoría
2 4
2
Introducción - Panorama
Fuente: https://www.symantec.com/content/dam/symantec/mx/docs/reports/istr-23-executive-summary-mx.pdf
4
Fuente: https://www.symantec.com/security-center/publications/monthlythreatreport Fuente: https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/reporte-anual-cisco-2018-espan.pdf
Introducción - Panorama
Fuente
5
Introducción - Panorama
Fuente: https://caivirtual.policia.gov.co/ciberincidentes/tiempo-real
Conjunto de medidas preventivas y reactivas que permiten Conjunto de herramientas que permiten proteger la información
proteger la información. almacenada en un medio digital físico o virtual
Objetivo: Proteger la información del acceso, uso, divulgación, Objetivo: Protección de activos digitales
interrupción o destrucción no autorizada.
Activos digitales:
Forma: • Hardware de cómputo y redes
• Documentos en papel • Software
• Propiedad intelectual • Información procesada y/o almacenada en la nube
• Comunicaciones verbales o visuales • Servidores
• Bases de datos
8
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
FACTORES TECNOLÓGICOS QUE FACTORES DEL NEGOCIO QUE IMPACTAN LA
IMPACTAN LA SEGURIDAD SEGURIDAD
• Nivel de complejidad de TI
• Naturaleza del negocio
• Conectividad con redes (internas, de
• Apetito y tolerancia al riesgo
terceros, públicas)
• Misión, visión y estrategia de seguridad
• Sistemas de control / instrumentación
• Alineamiento con la industria, tendencias en
• Plataformas, aplicaciones y herramientas en
seguridad
uso
• Cumplimiento con requisitos contractuales y
• Sistemas in-house, en la nube o híbridos
leyes
• Apoyo operacional para la seguridad
• Fusiones, adquisiciones y colaboración entre
• Comunidad de usuarios y sus capacidades
empresas
• Herramientas de seguridad nuevas o
• Outsourcing de servicios o proveedores
emergentes
9
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
Confidencialidad: Grado de restricción de acceso a la información, para
evitar que los datos sean revelados accidentalmente o deliberadamente a
un usuario no autorizado, garantizando que la información solamente puede
Confidencialidad ser leída por el usuario al cual está dirigida
12
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
Causas
• Acceso no Autorizado a la Información o a los Algunos métodos de preservación
recursos de los Sistemas de información
• Redundancia
• Ciberataques
• Arquitectura de alta disponibilidad
• Fallas Tecnológicas en los Sistemas de
• Replicación de datos
Procesamiento
• Backup
• Errores de Ejecución y administración de procesos
• Control de acceso
• Falta de capacitación a los Colaboradores
• Plan de continuidad de negocio y/o
• Falta de aplicación de los controles de seguridad
recuperación de desastres
• Almacenamiento de información en correo Pérdida de la
electrónico Disponibilidad
• Gestión inadecuada del archivo físico actual e Consecuencias
histórico • Pérdida de funcionalidad y efectividad operacional
• Pérdidas económicas
• Pérdida de tiempo productivo
• Sanciones por entes reguladores / Demandas
• Interferencia con los objetivos de la empresa
• Pérdida de la ventaja competitiva
• Acciones legales contra la empresa
• Interferencia con la seguridad nacional
• Pérdida del cumplimiento
• Afectación reputacional
13
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
Autenticación:
Proceso que sigue una persona (usuario) para
acceder al sistema, red, servicio. El proceso No Repudio:
implica dos pasos: Es la irrenunciabilidad, es decir, permite probar la
participación de las diferentes partes en una
Identificación: Indicarle al sistema quién comunicación. Puede ser de dos tipos
está accediendo
1.No repudio en origen: El emisor no puede negar el envío porque el
Autenticación: Demostrar que la persona
destinatario tiene pruebas del mismo. El receptor recibe una prueba
es quien dice ser.
infalsificable del origen del envío.
Táctico Operacional
• ISO 27002
Procesos • ISO 27001 • ISO 27003
• ISO 27003 Seguridad Privacidad • ISO 27005
Personas
Tecnología
15
Introducción - Conceptos
¿Cuáles son los retos a los que se enfrente un director de seguridad de la información?
Fuente: https://www.pmg-ssi.com/2017/10/retos-director-seguridad-de-la-informacion/
16
Noticias de CiberSeguridad
• https://www.fayerwayer.com/2018/08/app-redes-sociales-encontrar-fotos/
• http://hackinginformatico.com/hackers-pueden-escuchar-y-editar-grabaciones-de-camaras-integradas-en-los-
uniformes-de-los-policias/
• https://larepublica.pe/amp/economia/1300121-asbanc-confirma-peru-blanco-ciberataque-mundial-bbva-
scotiabank-interbank?__twitter_impression=true
• https://m.xataka.com/seguridad/tener-pegatinas-tu-portatil-no-buena-idea-viajas-
avion/amp?utm_source=twitter&utm_medium=social&utm_campaign=botoneraweb&__twitter_impression=true
• https://blog.elhacker.net/2018/08/joven-de-16-anos-logro-hackear-90gb-datos-red-interna-Apple.html
• https://omicrono.elespanol.com/2018/08/cable-usb-con-malware/
17