ADSI - DISTRIT

O CAPITAL
CENTRO DE DIS
EÑO Y METROLO
GIA

DISEÑO DE
MECANISMOS

DE SEGURIDAD Y
CONTROL FICHA 2252645
Ins. Julio Roberto Galvis Cardozo
Mila Juliana Jimenez Castillo - Karin Fernanda Pinzón Rodriguez
Maria Alejandra Sopó León - Jesus Gabriel Amaya Borbon
Camilo Andres Toloza Garcia - Andres Felipe Rozo Quevedo
Agenda
2.Controles de seguridad
2.1. Políticas de seguridad
2.2. Control de acceso
2.3. Seguridad del personal
2.4. Seguridad física y ambiental
2.5. Desarrollo y mantenimiento de sistemas
2.6. Gestión de comunicaciones y operaciones
2.7. Gestión del cambio
2.8. Administración de la continuidad de los negocios
2.9. Cumplimiento
 Controles de seguridad

Conjunto de normas o estándares que se han

convertido en el marco para gestionar,
mejorar e implantar un Sistema de Gestión de
la Seguridad de la información “SGS”.
Son las normas ISO/IEC 27001, desarrolladas
por la ISO (International Organization for
Standarization) e IEC (International
Electrotechnical Commission).
 POLITICAS DE SEGURIDAD

Son un conjunto de reglas,

normas y protocolos de
actuación establecidas para
mantener una organización
alejada de cualquiera ataque Se deben seguir para la protección
externo peligroso. de la seguridad del sistema y los

mecanismos para controlar su

funcionamiento.
 DEFINICION DE ASPECTOS
Estas políticas deben definir
cuáles son los aspectos de la
empresas más importantes que
deben estar bajo control. De
esta forma se detallan una
serie de procesos internos de la
empresa que se deben realizar
de forma periódica para no
mantenerlos vulnerables.
Clasificar los activos a proteger, desde lo más críticos
para el negocio de manera queestos sean los más
protegidos.
Sensibilizar al personal que administra el sistema de información de
los posibles ataques, riesgos, problemas relacionados con la
seguridad que pueden producirse.
Elaborar las reglas o acciones a ejecutar en caso de que se produzca
un ataque o se materialice un riesgo, así como las personas
involucradas.
Definir los procedimientos para los servicios críticos.
Una organización tiene
mecanismos de MECANISMOS DE SEGURIDAD
seguridad
conformados por 3
ambitos:

PREVENCIÓN

DETECCIÓN

ACTUACION este esquema permite mantener

la seguridad en una organizacion
 GESTION DE ACTIVOS E INFORMACION

representan los
bienes, derechos y
Todos los activos debieran ser
inventariados otros recursos
y contar con un propietario controlados
asignado. económicamente por
la empresa

la información se debería clasificar en función de su

criticidad, los requisitos legales, valor y susceptibilidad
a divulgación o a modificaciónno autorizada.
 Control de acceso

Se debe controlar el acceso a la información y

los procesos de negocio tomando como
referencia los requerimientos de la seguridad y
los negocios. Actualmente se tienen
disponibles recursos como los firewalls, los
VPN, las IPS y los dispositivos biométricos.
Ins i d e r s

Insiders:
personal
de una or interno
ganizació
amenaza n que
de cualqu
forma al s ier
istema de
la
misma.
Seguridad del personal

Hace mal uso

Tiene acceso de la información

Pone en peligro a la
compañia
Contextualización

Información

Seguridad física y ambiental

 Qué Son?

Las normas de seguridad

física y ambiental
física ya
establecen unas normas d m
a

b
d
para evitar los accesos

geS latnei
iru
no autorizados, daños e

ge
interferencias en el

Sl
sistema de información de

at
una organización.

nei

ru
Evitando perjuicios ma

b
a

di
causados por la acción y acisíf d
humana y de eventos
ambientales
perjudiciales.
Seguridad física y ambiental
 OBjetivo

ovloP
personal no Agua Fuego PRoblemas de Problemas
autorizado

temperatura elect
ricos

El objetivo principal de la
seguridad física es proteger el
sistema informático de los Seguridad física y ambiental
siguientes agentes en
concreto.
COnsejos

-Sea lo más inaccesible posible para los

1 usuarios no autorizados.
Data Centers -Reúna las condiciones geográficas más
2 favorables para poder soportar cualquier tipo de
catástrofe natural.

-Soporte unas condiciones ambientales que

3 garanticen su buen funcionamiento.

Seguridad física y ambiental

Gestion de
comunicaciones
y operaciones. Esta gestion busca el garantizar el funcionamiento
correcto y seguro de la instalaciones o de los centros
de datos
pa eso se debe establecer un procedimiento de
operaciones apropiado para poder reducir su riesgo en
caso de un mal uso de estas
instalaciones.
Estos procedimientos se deben documentar, mantener y
se pone a disposicion de los usuarios que lo necesiten
Un ejemplo de esta gestion seria la funcion de encender
y apagar los servidores o un equipo en especifico,
copias de seguridad,etc.

 DESARROLLO Y
MANTENIMIENTO

SISTEMAS
POLITICAS

one
Se debe asegurar que el sistema de información pueda funcionar
correctamente para lo que fue construido y evitando el acceso de
intrusos, para ello se deben incorporar medidas de seguridad en los
aplicativos. La seguridad en las aplicaciones comprende la Validación de
ingreso de datos, Autenticación de usuarios y perfiles de acceso,
Autenticación de mensajes, Validación de los datos de salida, Uso de
encriptación, firmas digitales, certificados digitales “SSL”, Servicios de
no repudio, entre otros.
Durante el análisis y diseño de las aplicaciones, se deben
identificar, documentar y aprobar los requerimientos de seguridad
a incorporar durante las etapas de desarrollo e implementación.
Adicionalmente, se deberán diseñar controles de validación de
datos de entrada, procesamiento interno y salida de datos



del cambio
Gestión

a d tie n e
s e g u r id
r ol e s de e n lo s
lo s c o n t m a c ió n
b i o en la in fo r ic o p ar a
d e l c a m ie n to d e iste m át
e st ió n c e s am c e so s ció n.
Una g je ti vo e l p r o
de cir, u n p r o
u na o r g an iz a
o o b s , e s s d e
com e ra c io n a le
e c n o lo g ía
m a s o p tiv o s y t
sis t e lo s o b je
sf o rm ar La documentación es un
tra n componente crítico de la gestión del
cambio. No es sólo para mantener
un seguimiento de auditoría en caso
de que sea necesaria una reversión.
También para garantizar el
cumplimiento de los controles
internos y externos.
 Gestión del cambio

Cuando se realizan los cambios, se debe de mantener un

registro de toda la información relevante:

• Identificación y registro de cambios significativos.

• Evaluación de los impactos de los cambios, incluyendo los impactos de
seguridad.
• Procedimiento de aprobación formal para los cambios propuestos.
• Comunicación de los detalles del cambio para todas las personas interesadas.
• Planeación y prueba de cambios.
• Procedimientos de emergencia y respaldo, incluyendo los procedimientos y
responsabilidades para recuperarse de cambios fallidos y eventos.
Administración de la continuidad de los La gestión de la
negocios continuidad del negocio
busca sostener niveles
previamente definidos y
aceptados, los
productos y servicios
críticos del negocio a
través de la
La interrupción causada por los desastres y fallos de estructuración de
1 seguridad (fallas de equipos o acciones deliberadas, procedimientos,
desastres naturales o accidentes) mediante una tecnología e
combinación de controles preventivos y de recuperación. información, los cuales

son desarrollados,
Reaccionar ante la interrupción de actividades del negocio y compilados y
2 mantenidos en
proteger sus procesos críticos frente a desastres o grandes fallos
de los sistemas de información. preparación para su uso

durante y después de
3 Hacer énfasis en la alta disponibilidad de los servicios informáticos. un desastre.
 MPLIMIENTO
CU
Verifica la compatibilidad del sistema de
gestión de seguridad de la información con
las leyes del derecho civil y penal actuales.
 Gestión de
incidentes
de
seguridad
busca minimizar el impacto causado por un
problema (riesgo de seguridad ya
materializado), es decir ocurrió una falla de
seguridad.
Para ello se deben definir procedimientos
claros que permitan realizar la investigación
e identificar el origen del riesgo, así como
las acciones para solucionarlo.