Profesor del Módulo: Catherine Gómez V.

1
Contenido

5
1
Introducción - Riesgos
3
Conceptos
ISO27001
- SGSI
6
Auditoría

2 4

Familia ISO 27001 –

ISO27000 Anexo A

2
 Introducción - Panorama

Fuente: Pronósticos de ciberseguridad y seguridad de la información 2019 – 3

Fuente: https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/reporte-anual-cisco-2018-espan.pdf
Jeimy J. Cano M., Ph.D, Ed.D, CFE, CICA - Profesor Facultad de Derecho Universidad de los Andes
 Introducción - Panorama

Fuente: https://www.symantec.com/content/dam/symantec/mx/docs/reports/istr-23-executive-summary-mx.pdf
4
Fuente: https://www.symantec.com/security-center/publications/monthlythreatreport Fuente: https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/reporte-anual-cisco-2018-espan.pdf
 Introducción - Panorama

Fuente
5
Introducción - Panorama

Fuente: https://caivirtual.policia.gov.co/ciberincidentes/tiempo-real

55,98% de las denuncias penales recibidas por la @Fiscalia General de la Nación

en 2018 tienen como causa la comisión de delitos informáticos. La pregunta no es
si te van a hackear, la pregunta es cuándo – Andres Felipe Angel (Seguridad Legal)
6
Introducción - Panorama

Fuente: Pronósticos de ciberseguridad y seguridad de la información 2019 –

Jeimy J. Cano M., Ph.D, Ed.D, CFE, CICA - Profesor Facultad de Derecho Universidad de los Andes
7
Introducción - Conceptos

 Ausencia de peligro o riesgo

 Sensación de total confianza que se tiene en algo o alguien
https://www.youtube.com/watch?v=B3NrvfYsGto&list=RDCoEEvPPhxGY&index=1
Seguridad

SEGURIDAD DE LA INFORMACIÓN CIBERSEGURIDAD

Conjunto de medidas preventivas y reactivas que permiten Conjunto de herramientas que permiten proteger la información
proteger la información. almacenada en un medio digital físico o virtual

Objetivo: Proteger la información del acceso, uso, divulgación, Objetivo: Protección de activos digitales
interrupción o destrucción no autorizada.
Activos digitales:
Forma: • Hardware de cómputo y redes
• Documentos en papel • Software
• Propiedad intelectual • Información procesada y/o almacenada en la nube
• Comunicaciones verbales o visuales • Servidores
• Bases de datos
8
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
FACTORES TECNOLÓGICOS QUE FACTORES DEL NEGOCIO QUE IMPACTAN LA
IMPACTAN LA SEGURIDAD SEGURIDAD

• Nivel de complejidad de TI
• Naturaleza del negocio
• Conectividad con redes (internas, de
• Apetito y tolerancia al riesgo
terceros, públicas)
• Misión, visión y estrategia de seguridad
• Sistemas de control / instrumentación
• Alineamiento con la industria, tendencias en
• Plataformas, aplicaciones y herramientas en
seguridad
uso
• Cumplimiento con requisitos contractuales y
• Sistemas in-house, en la nube o híbridos
leyes
• Apoyo operacional para la seguridad
• Fusiones, adquisiciones y colaboración entre
• Comunidad de usuarios y sus capacidades
empresas
• Herramientas de seguridad nuevas o
• Outsourcing de servicios o proveedores
emergentes

9
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
Confidencialidad: Grado de restricción de acceso a la información, para
evitar que los datos sean revelados accidentalmente o deliberadamente a
un usuario no autorizado, garantizando que la información solamente puede
Confidencialidad ser leída por el usuario al cual está dirigida

Integridad (de la información): (I) Aspecto de la seguridad informática que

asegura la exactitud y completitud de la información almacenada en los
recursos informáticos de la compañía (II) Característica de seguridad que
garantiza que la información llega a su destinatario tal como se envió, es
decir, la información no fue modificada durante la transmisión desde su
origen

Disponibilidad: (I) Característica de seguridad que indica

Integridad Disponibilidad que la información debe estar en el momento y en el
formato que se requiera ahora y en el futuro, al igual que los
La información está protegida contra acceso o divulgación no recursos necesarios para su uso.los recursos informáticos
autorizados están disponibles a los usuarios autorizados cuando estos
los requieren. (II) Requisito para mantener y/o recuperar
Precisión y completitud de la información, de acuerdo con los valores información, volver a recuperar una operación y garantizar
y las expectativas del negocio la continuidad de las operaciones día a día
Acceso oportuno y confiable a información y recursos requeridos por
los procesos del negocio
10
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
 Introducción - Conceptos
Causas
• Acceso no Autorizado a la Información o a los
recursos de los Sistemas de información Algunos métodos de preservación
• Ciberataques • Controles de acceso
• Errores de Ejecución y administración de procesos • Permisos de archivo
• Falta de capacitación a los Colaboradores • Cifrado
• Falta de aplicación de los controles de seguridad
• Almacenamiento de información en correo
electrónico
• Uso de bases de datos temporales Pérdida de la
• Gestión inadecuada del archivo físico actual e Confidencialidad
histórico Consecuencias
• Pérdidas económicas
• Afectación reputacional
• Uso no previsto
• Pérdida de la información
• Revelación de información protegida por leyes de
privacidad
• Pérdida de la ventaja competitiva
• Acciones legales contra la empresa
• Interferencia con la seguridad nacional
• Pérdida del cumplimiento
11
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
Causas
• Acceso no Autorizado a la Información o a los Algunos métodos de preservación
recursos de los Sistemas de información
• Controles de acceso
• Ciberataques
• Firmas digitales
• Fallas en los Sistemas de Procesamiento
• Hashes criptográficos
• Errores de Ejecución y administración de procesos
• Procedimientos de calidad del dato
• Falta de capacitación a los Colaboradores
• Backups
• Falta de aplicación de los controles de seguridad
• Cifrado
• Almacenamiento de información en correo
electrónico
Pérdida de la
• Inexistencia de un procedimiento para la
Integridad
transferencia y/o transmisión de los datos Consecuencias
• Uso de bases de datos temporales
• Gestión inadecuada del archivo físico actual e • Pérdidas económicas
histórico • Decisiones erradas
• Pérdida de la ventaja competitiva
• Fraude
• Imprecisión en los datos entregados.
• Acciones legales contra la empresa
• Pérdida del cumplimiento

12
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos
Causas
• Acceso no Autorizado a la Información o a los
recursos de los Sistemas de información
• Ciberataques
• Fallas Tecnológicas en los Sistemas de
Procesamiento
• Errores de Ejecución y administración de procesos
• Falta de capacitación a los Colaboradores
• Falta de aplicación de los controles de seguridad
• Almacenamiento de información en correo
electrónico
• Gestión inadecuada del archivo físico actual e
histórico
Algunos métodos de preservación
• Redundancia
• Arquitectura de alta disponibilidad
• Replicación de datos
• Backup
• Control de acceso
• Plan de continuidad de negocio y/o
recuperación de desastres
Pérdida de la
Disponibilidad
Consecuencias
• Pérdida de funcionalidad y efectividad operacional
• Pérdidas económicas
• Pérdida de tiempo productivo
• Sanciones por entes reguladores / Demandas
• Interferencia con los objetivos de la empresa
• Pérdida de la ventaja competitiva
• Acciones legales contra la empresa
• Interferencia con la seguridad nacional
• Pérdida del cumplimiento
• Afectación reputacional
13
Fuente: Tomado del material de ISO 27001 - realizado por el docente: Juan Manuel Madrid - ICESI
Introducción - Conceptos

Autenticación:
Proceso que sigue una persona (usuario) para
acceder al sistema, red, servicio. El proceso No Repudio:
implica dos pasos: Es la irrenunciabilidad, es decir, permite probar la
participación de las diferentes partes en una
Identificación: Indicarle al sistema quién comunicación. Puede ser de dos tipos
está accediendo
1.No repudio en origen: El emisor no puede negar el envío porque el
Autenticación: Demostrar que la persona
destinatario tiene pruebas del mismo. El receptor recibe una prueba
es quien dice ser.
infalsificable del origen del envío.

2.No repudio en destino: El receptor

no puede negar que recibió el
mensaje porque el emisor tiene
pruebas de la recepción

La diferencia con la autenticación es que la

primera se produce entre las partes que • Asegurarse que un mensaje es genuino: Viene de la fuente indicada
establecen la comunicación y el servicio de no • Implementado mediante:
repudio se produce frente a un tercero – Firmas digitales
– Logs transaccionales
14
Introducción - Conceptos
Estratégico Gobierno Cumplimiento
• Proporciona orientación estratégica El acto de adherirse a, y la capacidad de
• Gobierno • Se asegura de que los objetivos se demostrar adhesión a requerimientos
• Cumplimiento cumplen obligatorios, definidos por leyes y
• Determina si el riesgo se está gestionando regulaciones, obligaciones contractuales y
apropiadamente políticas internas
• Verifica que los recursos de la organización
se utilizan en forma responsable Riesgo
• Ley 1273 de 2009 Proceso mediante el cual una organización
• Ley 1581 de 2012 gestiona su riesgo a niveles aceptables
• ISO 27001

Táctico Operacional

• ISO 27002
Procesos • ISO 27001 • ISO 27003
• ISO 27003 Seguridad Privacidad • ISO 27005

Personas
Tecnología
15
Introducción - Conceptos

¿Cuáles son los retos a los que se enfrente un director de seguridad de la información?

El escenario tecnológico se diversifica y complica

Más amenazas y más virulentas

Presupuestos aún ajustados

Escasez de personal especializado

Mayor conocimiento y alineación con el negocio

Hacer la seguridad invisible para el usuario

Fuente: https://www.pmg-ssi.com/2017/10/retos-director-seguridad-de-la-informacion/
16
Noticias de CiberSeguridad
• https://www.fayerwayer.com/2018/08/app-redes-sociales-encontrar-fotos/

• http://hackinginformatico.com/hackers-pueden-escuchar-y-editar-grabaciones-de-camaras-integradas-en-los-
uniformes-de-los-policias/

• https://larepublica.pe/amp/economia/1300121-asbanc-confirma-peru-blanco-ciberataque-mundial-bbva-
scotiabank-interbank?__twitter_impression=true

• https://m.xataka.com/seguridad/tener-pegatinas-tu-portatil-no-buena-idea-viajas-
avion/amp?utm_source=twitter&utm_medium=social&utm_campaign=botoneraweb&__twitter_impression=true

• https://blog.elhacker.net/2018/08/joven-de-16-anos-logro-hackear-90gb-datos-red-interna-Apple.html

• https://omicrono.elespanol.com/2018/08/cable-usb-con-malware/

17