FACULTAD DE INGENIERÍA

Escuela Profesional de Ingeniería de Sistemas y Computación

Asignatura: Seguridad de la Información

Dr. Henry George Maquera Quispe

E-mail: d.hmaquera@upla.edu.pe

HUANCAYO - 2020
UNIDAD I FUNDAMENTOS DE SEGURIDAD INFORMÁTICA

Leyes, reglamentos y cumplimiento

Objetivo Interpretar leyes, reglamentos y

cumplimiento aplicables a la
seguridad de la información para
garantizar la continuidad de los
servicios de TI en una organización
 Leyes, Regulaciones y Cumplimiento
Contiene prohibiciones
contra actos como
asesinato, asalto, robo sociedad ordenada y
e incendio provocado
Accionista s
Serie de leyes penales
sirven para proteger a la
sociedad contra los
Organización - Em presa delitos informáticos
Obj etivos d e l a O rganización Ataques
Plan estratégico
Derecho penal
Diseñados para Políticas,
proporcionar una procedimientos y
reglamentos que
gobernar asuntos rigen las operaciones
que no son delitos, diarias de la agencia
pero que requieren
un árbitro imparcial
para resolver entre
individuos y
organizaciones
Ley civil Ley administrativa

UN UN UN UN

Rama legislativa
US US US US US US
del gobierno
Investigadores
Infra estructura (Hardware / Softwa re / Facilitie s)
Profesionales de de delitos
Seguridad informáticos
Outsourcers Outsourcers Outsourcers

Crimen Propiedad
Licencias Privacidad
Informático Intelectual
Leyes, Regulaciones y Cumplimiento
Acceder a información clasificada o información
financiera en un sistema federal sin autorización o
en exceso de privilegios autorizados.
Acceder a una computadora utilizada
exclusivamente por el gobierno federal sin
autorización.
Usar una computadora federal para cometer un
fraude (a menos que el único objeto del fraude
fuera usar la computadora en sí)
Garantiza a los creadores de "obras
originales de autor"
protección contra la duplicación no
autorizada de su trabajo.
Derechos de autor
Marcas registradas
Protección para marcas
registradas: Palabras, Lemas y
Logotipos utilizados para identificar
una empresa y sus productos o
servicios.
Causar daños maliciosos a un sistema informático
federal que supere los $ 1,000.
Modificar registros médicos en una computadora
cuando esto perjudica o puede afectar el examen,
diagnóstico, tratamiento o atención médica de un
Crimen informático individuo.
Tráfico de contraseñas informáticas si el tráfico
Los primeros problemas de afecta el comercio interestatal o involucra un
seguridad informática abordados sistema informático federal
por los legisladores fueron los
relacionados con delitos
informáticos.
Protegen los derechos de
propiedad intelectual de los
inventores.
Patentes
Propiedad intelectual
Secretos comerciales
Propiedad intelectual que es
Leyes para proteger los
absolutamente crítica para su
derechos de sus
negocio y se produciría un daño
propietarios.
significativo si se divulgara a los
competidores o al público.
 Leyes, Regulaciones y Cumplimiento
Contrato escrito entre el proveedor de
software y el cliente, que describe las
responsabilidades de cada uno.
Comunes para paquetes de software
de alto precio y/o altamente
especializados.
Acuerdos de licencia
contractuales
Licencias
Acuerdos de licencia
retráctiles
Escritos en el exterior del paquete de
software. Por lo general, incluyen una
cláusula que establece que usted
reconoce el acuerdo con los términos
del contrato simplemente rompiendo el
sello retráctil del paquete.
Los términos del contrato están
escritos en la caja del software o
incluidos en la documentación del
software. Durante el proceso de
instalación, debe hacer clic en un
botón que indica que ha leído los
términos del acuerdo y acepta
cumplirlos.
Acuerdos de licencia de
clic
Acuerdos de licencia de
servicios
Llevan los acuerdos de clics al
extremo. La mayoría de los servicios
en la nube no requieren ningún tipo de
acuerdo por escrito y simplemente
muestran términos legales en la
pantalla para su revisión. En algunos
casos, pueden proporcionar enlaces a
términos legales y una casilla de
verificación para que los usuarios
confirmen que leen y aceptan los
términos.
 Leyes, Regulaciones y Cumplimiento
Criterios
 Consentimiento
 Contrato
 Obligación legal
 Interés vital del interesado.
 Equilibrio entre los intereses del titular
de los datos y los intereses del
interesado.
Ley de privacidad de Ley de privacidad de la
Privacidad Unión Europea
EE. UU
El derecho de las personas a estar seguros El Parlamento de la Unión Europea (UE)
en sus personas, casas, documentos y
aprobó una directiva general que describe
efectos, contra registros e incautaciones
las medidas de privacidad que deben
irrazonables, no se violará, y no se emitirán
implementarse para proteger los datos
órdenes de arresto, sino por causa
personales procesados ​por los sistemas de
probable, respaldado por juramento o información.
afirmación, y particularmente describiendo el
lugar donde se registrará y las personas o
cosas que se incautarán.
Derechos clave de las personas
 Consentimiento
 Contrato
 Obligación legal
 Interés vital del interesado.
 Equilibrio entre los intereses del titular
de los datos y los intereses del
interesado.
 Aviso. Deben informar a las personas
sobre qué información recopilan sobre
ellos y cómo se utilizará la información.
 Opción. Deben permitir que las
personas opten por no participar si la
información se utilizará para
cualquier otro propósito o si se
compartirá con un tercero. Para la
información considerada confidencial, se
debe utilizar una política de aceptación.
 Las organizaciones de transferencia en
Empresa adelante solo pueden compartir datos
Americana con otras organizaciones que cumplan
con los principios de puerto seguro.
 Acceso. Las personas deben tener
acceso a cualquier registro que
contenga su información personal .
 Seguridad. Deben existir mecanismos
adecuados para proteger los datos
contra pérdida, mal uso y divulgación no
autorizada.
 Integridad de los datos.
Las organizaciones deben tomar
medidas para garantizar la fiabilidad de
la información que mantienen.
 Las Organizaciones
de Aplicación deben poner a
disposición de los individuos un proceso
de resolución de disputas y proporcionar
certificaciones a las agencias
reguladoras de que cumplen con las
disposiciones de puerto seguro.
 Leyes, Regulaciones y Cumplimiento

• Conformidad
• Las organizaciones pueden estar sujetas a auditorías de cumplimiento, ya sea por sus auditores internos y
externos estándar o por los reguladores o sus agentes.
• Además de las auditorías formales, las organizaciones a menudo deben informar el cumplimiento
normativo a una serie de partes interesadas internas y externas.
 Leyes, Regulaciones y Cumplimiento

• Contrataciones y Adquisiciones
• Los profesionales de seguridad deben realizar revisiones de los controles de seguridad establecidos por los
proveedores, tanto durante el proceso inicial de selección y evaluación de proveedores, como como parte
de las revisiones continuas de gobernanza de proveedores.
• ¿Qué tipos de información confidencial almacena, procesa o transmite
el proveedor?
• ¿Qué controles existen para proteger la información de la organización? Revisiones y controles de
seguridad
• ¿Cómo se segrega la información de nuestra organización de la de
otros clientes?
• Si se utiliza el cifrado como control de seguridad, ¿qué algoritmos de
cifrado y longitudes de clave se utilizan? ¿Cómo se maneja la gestión Personal de Seguridad
de claves? Procesos de
• ¿Qué tipos de auditorías de seguridad realiza el proveedor y qué Contratación y
acceso tiene el cliente tiene que esas auditorías? Adquisición
• ¿El proveedor confía en otros terceros para almacenar, procesar o
transmitir datos? ¿Cómo se extienden las disposiciones del contrato
relacionadas con la seguridad a esos terceros?
Almacenar, procesar y
• ¿Dónde se llevará a cabo el almacenamiento, procesamiento y
transmitir información
transmisión de datos? Si está fuera del país de origen del cliente y / o confidencial
proveedor, ¿qué implicaciones tiene eso?
• ¿Cuál es el proceso de respuesta a incidentes del proveedor y cuándo
se notificará a los clientes sobre una posible violación de seguridad?
• ¿Qué disposiciones existen para garantizar la integridad continua y la
disponibilidad de los datos del cliente?