Documentos de Académico
Documentos de Profesional
Documentos de Cultura
pe
Sesión 2:
Requisitos de la gestión de seguridad de la información. Primera parte. (1
hora) Introducción y conceptos.
Repaso Sesión 1:
Empresa
Organización que tienen un fin económico
Una organización con objetivos, misión y visión
Organización que gestiona recursos para su máxima utilidad
Organización de funciones para lograr un objetivo
Organización que se dedica a la producción o provisión de bienes para generar ingresos y obtener
beneficios económicos compuesta por un grupo de individuos que trabajan conjuntamente para alcanzar
metas comerciales
Organismo que promueven actividades para conseguir un fin
Sociedad. Compañía. Firma. Negocio. Comercio. Tarea. Trabajo. Acción. Ocupación. Intento, afán. Plan.
Tiene objetivos. Tiene tareas, hace algo.
Produce. Transforma insumos en productos.
Tiene una organización, un organigrama.
Repaso Sesión 1:
Riesgos para mi Empresa
www.inictel-uni.edu.pe
CONCEPTOS QUE DEBEMOS TENER CLAROS:
Gestión de Riesgos
Seguridad Física
Seguridad en las Operaciones
Control de Accesos
Desarrollo de aplicaciones y sistemas
Ingeniería Social
Criptografía / Infraestructura de Llaves Públicas
Recuperación ante desastres y Continuidad del Negocio
www.inictel-uni.edu.pe
GESTIÓN DEL RIESGO
www.inictel-uni.edu.pe
Riesgo:
Combinación de la probabilidad de un suceso y su consecuencia
www.inictel-uni.edu.pe
GESTIÓN DEL RIESGO
www.inictel-uni.edu.pe
• Riesgo: Es la posibilidad • Riesgo de ser destruida:
que se produzca un • ALTO
impacto en la organización.
• Contramedidas o
salvaguardas: Protecciones • Contramedidas :
u acciones que disminuyen – DEZPLAZAR LA CASA
el riesgo. – QUITAR LA ROCA Y LA PEÑA
– LEVANTAR UN MURO
GIGANTE 11
Gestión de Riesgos
Seguridad Física
Seguridad en las Operaciones
SEGURIDAD FÍSICA.
Control de Accesos
Desarrollo de aplicaciones y sistemas
Ingeniería Social
Controles
Criptografía / Infraestructura de Llaves Públicas
Recuperación ante desastres y Continuidad del
Negocio
Técnicos: Físicos:
Administrativos
Selección o construcción Controles de acceso Rejas
de locaciones Detección de intrusos Seguros
Gestión de locaciones Alarmas Iluminación
Controles de personal Monitorizado (CCTV) Materiales de construcción
Entrenamiento Calefacción, Ventilación,
Aire acondicionado (HVAC)
Respuesta y Energía
procedimientos ante
emergencias Detección y supresión de
incendios
Respaldos (backups)
www.inictel-uni.edu.pe
GESTIÓN DE OPERACIONES
Mesa de ayuda.
Soporte técnico.
Permanente tensión entre Negocios y IT: “IT debe darle valor al Negocio”
“La solución debe tener un buen ROI”
“IT debe darle valor al Negocio”
“Los proyectos requieren una justificación económica”
Cumplir objetivos de Negocios a través de la Tecnología:
“Entregar servicios al nivel correcto de contenido y calidad” Vs “Tener una infraestructura disponible, efectiva y eficiente en
costos”
SLA . ITIL - PROCESOS
www.inictel-uni.edu.pe
Control de accesos
Proceso:
www.inictel-uni.edu.pe
• #1: Si alguien puede persuadirlo para que ejecute su programa en su
computadora, ya no es su computadora
• #2: Si alguien puede alterar el sistema operativo de tu computadora, ya no es
tu computadora
• #3: Si alguien tiene acceso físico sin restricciones a su computadora, ya no
es su computadora
• #4: Si permite que alguien suba programas a su sitio web, ya no es su sitio
web
• #5: Las contraseñas débiles triunfan sobre la seguridad fuerte
• #6: Una computadora es tan segura como el administrador es confiable
• #7: Los datos cifrados son tan seguros como la clave de descifrado
• N.º 8: Un detector de virus desactualizado es solo marginalmente mejor que
ningún detector de virus
• #9: El anonimato absoluto no es práctico, en la vida real o en la Web
• #10: La tecnología no es una panacea.
www.inictel-uni.edu.pe
CONTINUIDAD DEL NEGOCIO
Programas de Respuesta
• Preservar la vida y la integridad física
• Contener el incidente para proteger las operaciones y facilitar la recuperación
Recuperación
• Recuperar procesos críticos de negocio
Restauración
• Recuperar operaciones normales
PROBAR Y MEDIR
www.inictel-uni.edu.pe
Gestión de Riesgos
Seguridad Física
Seguridad en las Operaciones
Control de Accesos
Desarrollo de aplicaciones y sistemas
Ingeniería Social
Criptografía / Infraestructura de Llaves Públicas
Recuperación ante desastres y Continuidad del Negocio
www.inictel-uni.edu.pe
ISO/IEC 27001
www.inictel-uni.edu.pe
¿Qué metodologías existen?
www.inictel-uni.edu.pe
“Lo importante es contar con un SGSI”
www.inictel-uni.edu.pe
Metodología ISO IEC 27001: Como hacerlo.
www.inictel-uni.edu.pe
PASOS PARA IMPLEMENTAR UN SGSI.
www.inictel-uni.edu.pe
www.inictel-uni.edu.pe
23
Programa de Seguridad
• Piezas necesarias para proteger a la institución y brindar la
estrategia de largo plazo.
• Debe incluir:
• Políticas de Seguridad
• Procedimientos
• Estándares
• Guías
• Baselines
• Entrenamiento
• Manejo de incidentes
• Programa de compliance
Política de Seguridad
Ejemplo
•
Procedimientos
•
Estándares
•
Guías
•
Baselines
•
Entrenamiento
•
Manejo de incidentes
Programa de compliance
www.inictel-uni.edu.pe
El Alcance
EL ALCANCE: ISO 27003…” El alcance define dónde y para qué se aplica
exactamente el SGSI y dónde y para qué no lo es….. el alcance es una
actividad clave que determina la base necesaria para todas las demás
actividades en la implementación del SGSI ….ejemplos: .. uno o más procesos
específicos…… una o más funciones específicas….uno o más servicios
específicos….uno o más de sus proveedores…etc”
Guia: … seguir un enfoque de varios pasos, el primero de los cuales es:
“Determinar el alcance preliminar: esta actividad debe ser realizada por un
grupo pequeño pero representativo de representantes de la gerencia”
www.inictel-uni.edu.pe
Ejemplo:
ALCANCE: PROTEGER LOS PROCESOS CRÍTICOS DEL NEGOCIO.
www.inictel-uni.edu.pe
CONTRATACIÓN Y PAGO DE DOCENTES.
CONTROL DE PARTICIPANTES (REGISTROS DE
MATRÍCULA,CERTIFICADOS)
MANTENIMIENTO DE EQUIPOS DE LABORATORIOS.
DIFUSIÓN DE LOS RESULTADOS DE LA INVESTIGACIÓN.
www.inictel-uni.edu.pe
TAREA 4:
Definir:
Misión de su empresa
Visión de su empresa
Alcance del SGSI para su empresa
Política: (de seguridad)
01 Estándar.
Procedimiento(s) del estándar.
Guías del procedimiento.
Fin de la segunda sesión
www.inictel-uni.edu.pe