Comenzamos 20:05 hrs.

30-06-2022.
Gestión de la seguridad
Carlos Santiago Cruz

Sesión 4: Tema 3, Tema 4

¡Dinámica!
Para no perder continuidad…
- 20:30Lectura al chat
- 20:45 Lectura al chat

Pero…

Escriban sus preguntas en un block de notas y cuando se las

solicite, ah pegar en el chat…

Nota: Pedir la palabra para realizar la intervención

3
Contenido

► Tema 3 Seguridad de la información y gestión de riesgos

► Tema 4 Programas, procesos y políticas de seguridad de la
información

4
Tema 3

5
Seguridad de la información y gestión
de riesgos
La seguridad de la información

Información = Activo

¡Amenazas!

6
 ¡Seguridad en procesos!
Objetivo del negocio

. ¡Procesos! (Información)

Se debe contestar:

➢ ¿Qué?
➢ ¿Dónde?
➢ ¿Cómo?
➢ ¿Cuándo?

7
 ¡Seguridad en procesos!
Objetivo del negocio

¡Procesos! (Información)
Dimensiones de seguridad:
Se debe contestar:
• Confidencialidad [C].
➢ ¿Qué? • Integridad [I].
➢ ¿Dónde? • Disponibilidad [D].
➢ ¿Cómo? • Autenticidad [A].
➢ ¿Cuándo? • Trazabilidad [T].

Acceso

Garantizar acceso y conservación de la

información.

8
 ¡Seguridad en procesos!
Objetivo del negocio
Protección de medios
¡Procesos! (Información)

Se debe contestar:

➢ ¿Qué?
➢ ¿Dónde?
➢ ¿Cómo?
➢ ¿Cuándo?

Se involucran: personas, datos/información, procedimientos y

recursos técnicos, en el proceso y a la gestión de la información
de la organización.
Identificar procesos y vulnerabilidades

9
 ¡Seguridad en procesos!
Objetivo del negocio
¡Controles!
¡Procesos! (Información)
• Minimizar amenazas
Se debe contestar: • Disminuir impacto en caso de
• Procedimientos de
➢ ¿Qué? • Recuperación.
➢ ¿Dónde? • Mecanismos en base a experiencia
➢ ¿Cómo?
➢ ¿Cuándo?

10
 ¡Seguridad en procesos!
Objetivo del negocio
Todo el ciclo de vida
¡Procesos! (Información) Fases:

Se debe contestar: Almacenamiento

Proceso
➢ ¿Qué? Transmisión
➢ ¿Dónde? Utilización
➢ ¿Cómo?
➢ ¿Cuándo?

11
 ¡Análisis de riesgos!
Es necesario:

➢ Objetivo del negocio

➢ Entorno: Externo e Interno

• Información de riesgos internos y externos

Para:

• Conocer Amenazas

• Identificar peligros

• Magnitud y áreas.

12
¡Política de seguridad de la información!
Actividades de seguridad:

Directrices y principios de alto nivel

Objetivos y responsabilidades

Declaración de principios: Términos de negocio (características)

Directrices generales Objetivos

Principios de actuación Obligaciones contractuales y legales
Estrategia: Definición de objetivos
Alineada con la gestión de riesgos y establece criterios de
evaluación. Visto bueno por Alta dirección.

13
 ¡UNE-ISO 31000:2018!
Herramienta para gestionar el riesgo
UNE-ISO 31000
¡Riesgos! (Actividades)
Marco de referencia para integrar la
gestión de riesgos en:
➢ identificar
➢ analizar
➢ Procesos de gobierno, de estrategia y de
➢ evaluar
planificación;
➢ Gestión
➢ Elaboración de informes,
➢ Políticas
➢ Valores
➢ Cultura de toda la organización

14
15
16
17
18
19
Tema 4

20
 ¡Recordemos!
El objetivo de la gestión de la seguridad es:

Garantizar la confidencialidad, integridad

y disponibilidad de los recursos de información
de la organización.

21
22
Programas de gestión de la seguridad
Un riesgo es esencialmente la posibilidad de
ocurrencia de un evento no deseado.

4 Evitar riesgo

23
El análisis de riesgos estudia las amenazas, junto con su probabilidad e
impacto.

Mediante la aplicación de medidas de seguridad, estos riesgos pueden rebajarse

(mitigarse), pero no eliminarse.

24
Definiciones:

Un activo es cualquier elemento parte de un sistema de información (hardware,

software, personas).

Las amenazas son eventos que pueden desencadenar un incidente en la

organización.

Los tipos de amenazas pueden ser desde desastres naturales, de origen industrial,
errores y fallos no intencionados hasta ataques intencionados.

El conjunto de medidas que se aplica a los activos para reducir el riesgo se denomina
salvaguardas. Ejemplos: cortafuegos, copias de respaldo, sistemas de control de
acceso, establecer procedimientos de alta de usuarios y asignación de accesos,
protección de datos, etc.

25
Programas de gestión de la seguridad

» Amenaza (threat): peligro

potencial.
» Fuente/agente de la amenaza
(threat-source/agent): algo o
alguien con capacidad
potencial para la amenaza.
» Vulnerabilidad: una
debilidad o fallo.
» Exposición: ¿está expuesto?.
Preguntas de análisis:
• ¿Qué puede suceder?
• ¿Qué impacto tiene?
Evaluaci
• ¿Con qué frecuencia?
continua
• ¿Qué tan seguro
Después del análisis y
evaluación
• ¿Qué se puede hacer?
• ¿Qué costo tiene?
• ¿Es rentable?
» Mecanismos de
mitigación técnicos (por
ejemplo, un firewall) o no-
técnicos
(administrativos y físicos).»
Salvaguardas (safeguard):
controles preventivos y
proactivos.
Evaluaci » Contramedidas: controles
ón ón correctivos (reactivos).
Cualitativ
a

puede ser?

Implementación Evaluación
de controles Cuantitativa

26
 Programas de gestión de la seguridad
Análisis de riesgo cuantitativo

Valoración económica de los recursos.

27
 Programas de gestión de la seguridad
Análisis de riesgo cuantitativo

Valoración económica de los recursos.

» El coste inicial y continuo (para una organización) de la compra, concesión de
licencias, el desarrollo y el mantenimiento.

» El valor del recurso para el mantenimiento del modelo de negocio o la ventaja

competitiva, o el valor que aporta al negocio en su funcionamiento.

» El valor de mercado del recurso, si se puede evaluar. Por ejemplo, el valor por el que
se podría vender un secreto industrial.

28
Programas de gestión de la seguridad
Análisis de riesgo cuantitativo

29
Diseño de políticas de seguridad

El diseño de políticas es importante:

• Definen los objetivos de la seguridad.
• La participación de la dirección proporciona un mensaje claro sobre la implicación y
compromiso de la organización.
• Las políticas se aplican a la organización entera, por lo que facilitan tener unos
estándares de seguridad coherentes.
• Las políticas son útiles para gestionar los litigios.

30
Ejemplo:

Compartiré un pequeño ejemplo en el Foro

31
¡TOR!

32
¿Dudas?

33
www.unir.net