Sesion1 para No Especialistas UNI

www.inictel-uni.edu.
pe
MODULO I: SEGURIDAD DE LA
INFORMACIÓN Y CIBERSEGURIDAD
SECCIÓN: SEGURIDAD DE LA INFORMACIÓN
ING. ALEJANDRO DE LA CRUZ RIVERA

Oficial de Seguridad Digital del INICTEL-UNI
PECB Certified ISO/IEC 27001 Lead Implementer
PECB Certified ISO 22301 Provisional Implementer
ITIL® Foundation Certificate in IT Service Management
www.inictel-uni.edu.pe
CONTENIDO
Sesión 1:
Seguridad de la información en su empresa. (1 hora)
Sesión 2:
Requisitos de la gestión de seguridad de la información. Primera parte. (1 hora)
Sesión 3:
Requisitos de la gestión de seguridad de la información. Segunda parte. (1 hora)
Sesión 4:
Controles de la ISO 27001 para la protección de sus datos, y la protección de su organización. (3 horas)
Sesión 5:
El oficial de seguridad de la información. (1 hora)
Sesión 6:
Taller práctico de implementación de la ISO 27001. (3 horas)
Sesión 1:
Seguridad de la información en su empresa. (1 hora)
EMPRESA
Ideas.
EMPRESA
Sociedad.
Compañía.
Firma. Negocio. Comercio.
Tarea. Trabajo. Acción. Ocupación.
Intento, afán.
Plan.
EMPRESA
Actores involucrados:
Organización.
Clientes
Insumos, proveedores.
Transformación/trabajo → Valor al Cliente
EMPRESA
Tiene objetivos. Tiene tareas, hace algo.

Produce. Transforma insumos en productos.
Tiene una organización, un organigrama.
ORGANIGRAMAS
Tarea 1: Idear una empresa (formar/tener)
¿De qué sería?

¿Qué transformaría?
¿Qué entregaría?
Tarea 1: Idear una empresa (formar/tener)
PEGARLO EN EL CHAT
¿De qué sería?
¿Qué transformaría?
¿Qué entregaría?
Tarea 2: Objetivo
¿Qué buscan con su empresa? ¿Cuál es su(s) objetivo(s)? ¿Qué esperan de la empresa?
Indicarlo en el chat.
Nombre
Facultad / Especialidad
¿Por qué sigue dicha especialidad?
¿Qué espera de este curso?
Tarea 3: Más preguntas…..
¿Qué hace crecer una empresa?

¿Qué hace sobrevivir a una empresa?
¿Qué riesgos hay para que mi empresa desaparezca o cierre?
¿QUÉ NECESITA SU EMPRESA PARA
OBTENER LO QUE USTEDES BUSCAN?
Ideas al chat.
EMPRESA
RECURSOS:
Dinero, capital.
Técnicas, conocimiento.
Talento.
INVERSIÓN = TIEMPO Y ESFUERZO
QUE PELIGROS EXISTEN PARA MI EMPRESA
INDICARLO EN EL CHAT
PERDER LA EMPRESA = PERDER EL TIEMPO Y ESFUERZO

INVERTIDO
QUE PELIGROS EXISTEN PARA MI EMPRESA
Incendio
Sismo anunciado
Inundación de Sedapal
Robo
Demanda laboral
Pérdida de clientes
Perder trabajadores
Crece la competencia, bajas ventas.
Factores políticos
DEBEMOS VALORAR EL RIESGO
Tiempo y esfuerzo
Riesgos existente
Inversión inteligente
Tiempo y esfuerzo
Cumplir metas y
objetivos de la
empresa.
DEBEMOS GESTIONAR EL RIESGO
Incendio
Sismo anunciado
Inundación de Sedapal
Robo
Demanda laboral
Pérdida de clientes
Perder trabajadores
Crece la competencia, bajas ventas.
Factores políticos
La gestión nos dirá qué, cómo, quién, cuando, etc… proteger.
No estamos para inventar la pólvora. Debemos
recurrir a las mejores prácticas y a los
estándares de Gestión del Riesgo.
http://quantumconsultora.com/gestion-de-riesgos/
¿Qué metodologías existen?
La definición del riesgo cubre toda una amplia gama de sucesos de diferentes naturalezas, por ello, se
han desarrollado diferentes modelos de gestión.
Algunos son propios por sector de actividad y otros se especializan en el tratamiento de algún tipo de
riesgo.
Veamos algunos de los estándares para tratar los riesgos de forma específica, sin importar el tamaño o
sector de la organización:
• ISO 27000 para los sistemas de seguridad de la información.

• ISO 22000 para el control de riesgos alimentarios.
• COBIT e ITIL para riesgos tecnológicos.
• PMBOK para gestión de riesgos en procesos.
• ISO 14000 para la gestión de riesgos de naturaleza ambiental.
• OSHAS 18001 para la gestión de la seguridad y salud ocupacional.
Otros Tipos de estandares
También existen estándares para gestionar todo tipo de riesgos, sin importar su naturaleza y la
organización en la que se produzcan:
• COSO Es la metodología más extendida e implementada a nivel internacional, dedicada a proveer
marcos y orientaciones sobre la gestión del riesgo empresarial, control interno y la disuasión del
fraude.
• IRM Son estándares de gerencia de riesgos que considera las consecuencias positivas y negativas
en todo tipo de organizaciones y actividades en el corto y largo plazo
• AS/NZ 4360: publicado por la organización de estandarización de Australia y Nueva Zelanda, acaba
de ser sustituido por el estándar AS/NZ ISO 31000:2009.
• NS 5814: Es un estándar noruego que propone unas líneas de actuación para el tratamiento de los
riesgos enfocado a la propuesta de mejoras y la consecución de las mismas.
• ISO 31000: “Gestión del riesgo. Principios y orientaciones”, que recoge y unifica todos los
estándares mencionados. Está diseñado para que cualquier tipo de organización pueda identificar y
evaluar todos sus riegos de una forma estructurada.
• ISO 31010: “Gestión del riesgo. Técnicas de evaluación de riesgos”, diseñadas para facilitar la
aplicación de la norma ISO 31000 en los procesos de identificación y evaluación del riesgo.
¿Qué metodología debería seleccionar?
Cada organización deberá ajustar sus necesidades, por esto que debes seleccionar una metodología
que le sea fácil de asimilar y de la que puedas sacar el máximo provecho.
De nada sirve tenerlo todo perfectamente desarrollado según alguna de la metodología si no te sirve de
nada y en el momento de la verdad, se te viene todo el sistema abajo.
Independientemente de la metodología que utilice, deberá tener en cuenta los siguientes pasos:
• Identificar los riesgos que le afectan
• Evaluar los riesgos
• Establecer las acciones necesarias e implementarlas
• Evaluar las acciones llevadas a cabo
• Mejorar, si fuera necesario
DEBEMOS VALORAR EL RIESGO
Tiempo y esfuerzo Riesgos existente
Tiempo y esfuerzo
Cumplir metas y
objetivos de la
empresa.
¿Qué es SEGURIDAD?
Confidencialidad
Disponibilidad
Integridad
Confidencialidad
• Mantener el nivel de confidencialidad adecuado en cada

“unión” del procesamiento de datos
• Ataques no convencionales (e.g. shoulder surfing)
• ¿Qué datos valen la pena cuidar?
Integridad
• Exactitud y confiabilidad de los datos y sistemas.

• Modificación no autorizada de los datos no es posible.
• Sistemas protegidos de interferencia y/o contaminación.
• Protegerse contra los atacantes y los errores.
Disponibilidad
• Tener capacidad adecuada para funcionar de manera

predecible con un nivel aceptable de desempeño.
• Poder recuperarse de disrupciones de manera segura y
rápida.
Componentes de una solución segura
Roles y Responsabilidades Herramientas de Seguridad
Auditoría Productos diseñados con la
seguridad en mente
Recuperación ante desastres
Fácil Administración
Documentación
de la seguridad
Personas
Conocimiento
Conciencia de los riesgos
Compromiso
Elección Seguro
fundamental
Escoja dos cualesquiera!
Utilizable Barato
Fin de la primera sesión

Sesion1 para No Especialistas UNI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sesion1 para No Especialistas UNI

Cargado por

Copyright:

Formatos disponibles

www.inictel-uni.edu.

ING. ALEJANDRO DE LA CRUZ RIVERA

Tiene objetivos. Tiene tareas, hace algo.

¿De qué sería?

¿Qué hace crecer una empresa?

INVERSIÓN = TIEMPO Y ESFUERZO

PERDER LA EMPRESA = PERDER EL TIEMPO Y ESFUERZO

La gestión nos dirá qué, cómo, quién, cuando, etc… proteger.

• ISO 27000 para los sistemas de seguridad de la información.

Tiempo y esfuerzo Riesgos existente

• Mantener el nivel de confidencialidad adecuado en cada

• Exactitud y confiabilidad de los datos y sistemas.

• Tener capacidad adecuada para funcionar de manera

Escoja dos cualesquiera!

También podría gustarte