Presentacin de la Asignatura

Objetivo
Conocer y analizar los elementos para implantar una administracin estratgica de seguridad de la informacin en su organizacin, identificando los riesgos del negocio ocasionados por el uso de las tecnologas de la informacin y de acuerdo con las mejores prcticas de la industria para la gestin de la seguridad informtica.

Presentacin del curso

Enfoque de la materia Temario por sesin de seminario

Sesin II: Fundamentos Tericos Sesin III: reas y alcances de la seguridad de la informacin Clasificacin de la informacin Sesin IV: Elementos de riesgos Sesin V: Roles y responsabilidades Sesin VI: Marcos normativos interno, externo, mejores prcticas Sesin VII: Gestin de Riesgos Sesin VIII: Gestin de Riesgos Sesin IX: Concientizacin Sesin X: COB & BCP Sesin XI: Modelos de Seguridad Sesin XII: Ataques; Ingeniera Social

Calificacin del curso

Criterios de evaluacin de la asignatura

Proyecto Examen 1 Examen 2 Participacin activa, continua, propositiva 50% de la calificacin final 20% (8a sesin) 20% (13va Sesin) 10%

Elaboracin de un proyecto para: Desarrollar un plan estratgico para implantar la funcin de la seguridad informtica en la organizacin del alumno

Proteccin de la empresa por el uso de las TICs

Procesos y procedimientos Gente Informacin impresa y NO tecnolgica Manejo de informacin en las operaciones Manejo de desechos tecnolgicos Aseguramiento de la plataforma tecnolgica

Seguridad informtica tradicional

El proyecto incluir:
1. Planteamiento del caso
Breve induccin a la organizacin Gobernanza.- Proyecto de seguridad alineado a los objetivos del negocio de la organizacin Identificacin de los procesos sustantivos del negocio Identificacin de la problemtica de seguridad de la informacin en alguno de los procesos sustantivos Descripcin del proyecto para solucionar el problema en el proceso sustantivo Objetivo del proyecto Alcances del proyecto.- Actividades que harn para lograr el objetivo (NO es la cobertura del mismo)

2. Marco normativo Que debe cumplir la organizacin en materia de proteccin de la informacin

Normatividad externa extranjera Normatividad externa nacional Por giro de industria y de mejores prcticas Marco normativo interno: (5) Polticas; (25) Estndares; y (15) Procedimientos {Ver instrucciones}

3. Quines participarn en la solucin del problema

Definicin del equipo de trabajo que participar en la ejecucin del proyecto Organigrama propuesto para ubicar la funcin de seguridad de la informacin en la empresa Roles y responsabilidades de los participantes en la seguridad de la informacin Asignacin de los roles propuestos a los puestos del organigrama

4. Lnea mnima de seguridad de la informacin

La seguridad fsica en los centros de cmputo En la ubicacin fsica del centro de cmputo Control de acceso fsico al centro (Bardas y proteccin perimetral; proteccin canina; registros de entrada; etc.) En el medio ambiente (Agua; humedad; iluminacin; suministro de energa elctrica) Vigilancia (CCTV; manejo de videos; etc.) Los controles de accesos a la plataforma tecnolgica Red de cmputo; S.O.; Bases de datos; aplicativos; a los archivos; bitcoras y gestin de las mismas) La seguridad en redes de cmputo y en las telecomunicaciones Redes de cmputo cableadas; redes inalmbricas; servidores; servidores virtuales; medios de almacenamiento masivos (NAS, SAN, Discos removibles RAID, etc.) La seguridad en las aplicaciones y en sus transacciones transacciones Seguridad en las operaciones del rea de TI Proteccin de documentacin impresa y su manejo apropiado Proteccin de la confidencialidad mediante tcnicas de encriptacin

5. Clasificacin de la informacin
Niveles de clasificacin Esquema de clasificacin confidencial y cumplimiento normativo Esquema de clasificacin de integridad y disponibilidad Criterios de clasificacin Procedimiento de clasificacin Responsables de la clasificacin

6. Anlisis de riesgos
Seleccin de dos procesos sustantivos o crticos para la organizacin Activos informticos y NO informticos de cada proceso Amenazas a los activos Vulnerabilidades de los activos Determinar los mecanismos y criterios de estimacin respectivos a la probabilidad e impacto Estimar la probabilidad de ocurrencia de los eventos de seguridad Estimar el impacto de cada uno de los eventos Calcular el nivel riesgo de cada proceso Elaborar el mapa de riesgos de cada proceso

7. Solucin propuesta a los riesgos

Definir controles y contramedidas a instrumentar basados en algn estndar de mejores prcticas CobiT 4.1, ISO 27001, etc. Analizar factibilidad tcnica/econmica de los controles propuestos Estructurar un reporte de anlisis de riesgos priorizados

8. Concientizacin
Propuesta de concientizacin, divulgacin, capacitacin y entrenamiento en seguridad de la informacin
Metodologa para la concientizacin Alcances del proceso de concientizacin

9. Programa de trabajo
Actividades principales (Milestones) Participantes Matriz Programa de trabajo calendarizado (factible, lgico y estructurado)

Definir polticas de S.I. sobre los siguientes temas

Nm.

Polticas internas a la organizacin

Definir una poltica de seguridad informtica en la organizacin, que incluya: Procesos; Gente; Aplicaciones; Sistemas; Hardware (Servidores, equipos de escritorio, y equipos mviles); y Telecomunicaciones (Redes de cmputo locales, amplias, Internet, inalmbricas, Satelital)
Definir una poltica de control de accesos que incluya: I. La seleccin del modelo de control de accesos ms adecuado para su entorno y sustentarlo; II. Procesos de identificacin, autentificacin y autorizacin Definir una poltica del uso inaceptable de los recursos tecnolgicos en la empresa Dos polticas adicionales de temas o tpicos que seleccione cada alumno

1.

2.

3. 4.

5.
6.

Definir cinco estndares para cada poltica (25 en total)

Definir tres procedimientos para para implementar tres (de los cinco) estndares de cada poltica (15 en total)

Premisas para el desarrollo del proyecto:

El proyecto se desarrollar en forma individual por cada uno de los participantes, incluso si hay alumnos de una misma Organizacin. El proyecto se llevar acabo conforme se avance en la ejecucin de cada uno de los temas de la asignatura. Habr revisiones de avance por parte del profesor en forma peridica durante la instruccin de la asignatura. Presentacin y discusin de proyectos. Los proyectos NO podrn basarse en proyectos reales de sus organizaciones implantados o en proceso de implementacin. Los proyectos NO podrn basarse en cut & paste de otros proyectos, ni de otras fuentes de informacin. Si se detecta esto en algn caso se bajar la calificacin final del proyecto en un punto automticamente.

Los proyectos son para que los alumnos adquieran la experiencia de la elaboracin de un plan estratgico de seguridad, no para practicar la edicin de texto que exista previamente

Premisas para la entrega del proyecto:

Entrega del proyecto que consistir en:

a) b) Entrega electrnica en la fecha establecida La entrega del reporte ser ANTES de que comience la sesin nmero 12 (doce). a) NO habr prrrogas b) NO hay casos de excepcin c) NO se acepta la entrega posterior al inicio de la sesin nmero 12 (doce), incluso con problemas de la plataforma, por lo que el estudiante deber tener esto en consideracin en todo momento d) La recepcin de proyectos se cerrar automticamente al iniciar la sesin doce

Presentacin del curso

Valor del proyecto en calificacin (50%): 50 puntos Valor de cada elemento del proyecto:
Nm. 1. 2. 3. 4. 5. 6. 7. 8. Proceso del Proyecto Resumen ejecutivo Planteamiento del proyecto Marco normativo Equipo de trabajo, roles y responsabilidades Definicin de una lnea mnima de seguridad Esquemas de clasificacin de la informacin Anlisis de riesgos Solucin propuesta a los riesgos Calificacin Indispensable 5 puntos 5 puntos 5 puntos 5 puntos 5 puntos 10 puntos 5 puntos

9.
10. 11.

Propuesta de concientizacin
Programa de trabajo con calendario Conclusiones

5 puntos
5 puntos Indispensable