Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción a la
Seguridad Informática
AGENDA
■ Sílabo del curso
■ Historia de la seguridad de la información
■ Conceptos y términos claves de la
seguridad de la información
■ La seguridad en el ciclo de vida del
desarrollo de sistemas (SecSDLC)
■ El rol de los profesionales de Seguridad de
la Información
■ Ciberseguridad
SÍLABO
■ CAP 1 Introducción a la seguridad de la información
■ Sílabo y trabajos del curso
■ Historia de la seguridad de la información
■ Conceptos y términos claves de la seguridad de la información
■ La seguridad en el ciclo de vida del desarrollo de sistemas
■ El rol de los profesionales de Seguridad de la Información
■ Ciberseguridad
■ CAP 2 La necesidad de Seguridad de la información
(INVESTIGACION)
■ Primero las necesidades del negocio, después las necesidades
de la tecnología
■ Amenazas – encuestas CSI - FBI
■ Categorías de amenazas a la seguridad de información
■ Ataques
■ Descripción de ataques
■ TALLER DE GESTION DEL PROYECTO: Abr/23
SÍLABO
■ CAP 3: Gestión de Riesgos I (ANALISIS)
■ Gestión de Riesgos
■ Conociéndonos
■ Conociendo al enemigo
■ Responsabilidad para la Gestión de Riesgos
■ Proceso de Gestión de Riesgos
■ Identificación de amenazas
■ Identificación y valoración de activos
SÍLABO
■ SEMANA 5 CAP 4 Gestión de Riesgos II (RESPUESTA) -
■ - Estrategias de Control de Riesgos
■ Eludir o evitar
■ Transferir
■ Mitigar:
■ Plan de Respuesta a Incidentes (IRP)
■ Plan de Recuperación de Desatres (DRP)
■ Plan de Continuidad del negocio (BCP)
■ Aceptar
■ Estrategias de Mitigación
■ Puntos de decisión para manejar riesgos
■ Ciclos de Control de Riesgo
■ Categorías de Controles
■ Función de control (preventivo, detectivo)
■ Capas arquitectónicas
■ Estrategia por capas
■ Principios o dimensiones de Seguridad de la Información
■ Estudios de Factibilidad - :
■ Análisis Costo Beneficio
■ Benchmarking
■ Linea de Base
■ Factibilidad
SÍLABO
■ SEMANA 6 Sustentación de Avance de Trabajos Finales
■ SEMANA 7 EXAMEN PARCIAL
■ SEMANA 8 Políticas de Seguridad (DISEÑO LOGICO)
■ Políticas, estándares y prácticas (guías y procedimientos)
■ Política de problema específico
■ Política de sistema específico
■ Políticas de control de accesos
■ Gestión de políticas
■ Clasificación de información
■ Diseño del sistema
■ Modelos de Seguridad de Información
■ ISO 17799
■ NIST
■ VISA
■ IETF
■ Esfera de uso y protección
■ Controles
■ El esquema
■ Educación, entrenamiento y conciencia en seguridad
■ Arquitectura de seguridad
SÍLABO
■ SEMANA 9 Recuperación de desastres y Continuidad de
Negocios (DISEÑO LOGICO)
■ Plan de Contingencia
■ Equipo de personas
■ Plan de Respuesta a incidentes (IRP)
■ Plan de Recuperación de desastres (DRP)
■ Plan de Continuidad de Negocio (BCP)
■ Análisis de Impacto en el negocio
■ Identificación de ataques amenazas
■ Análisis de Unidades de negocio
■ Escenarios de Ataques exitosos
■ Evaluación de daño potencial
■ Clasificación de planes Subordinados
■ Detección de Incidentes
■ Plan de recuperación de Desastres
■ Gestión de Crisis
■ Plan de Continuidad
■ Estrategias de Continuidad
■ Modelo de IR, DR y BC
SÍLABO
■ SEMANA 10 Diseño Físico: Tecnologías de
Seguridad
■ Diseño Físico – Tecnologías de Seguridad
■ FIREWALL
■ Primera Generación: Filtro de paquetes
■ Segunda Generación: Proxy de aplicaciones
■ Tercera Generación: Inspección total
■ Cuarta Generación: filtrado dinámico
■ Quinta Generación: kernel Proxy (pila de protocolos)
■ Ruteador de Filtrado de paquetes
■ Detectores de intrusos
■ Herramientas de análisis y escanning
■ Encriptación
■ Algoritmos
■ Estándares
■ Infraestructura de claves públicas
■ Seguridad IP
■ Biometría
SÍLABO
■ SEMANA 11 Diseño Físico: Seguridad Física
■ Roles de la comunidad
■ Control de Acceso
■ Gestión de las instalaciones:
■ Controles
■ Tarjetas y bandas de idetificación
■ Cierres y Llaves
■ Trampas para personas
■ Monitoreo
■ Alarmas
■ Salas de cómputo
■ Paredes
■ Seguridad contra incendio
■ Detección
■ Respuesta
■ Supresión
■ Tipos de incendio
■ Calentadores, Ventilación y aire acondicionado
■ Gestión de Energía y acondicionamiento:
■ UPS
■ Influencia de la energía
■ Interceptación de datos
■ Computación remota
SÍLABO
■ SEMANA 12.- Implementación: Implementando Seguridad
■ Gestión del Proyecto
■ Gerencia del proyecto
■ Desarrollando el Plan
■ Aspectos financieros
■ Prioridades
■ Tiempo y cronograma
■ Personal
■ Alcance
■ Procura
■ Factibilidad Organizacional
■ Entrenamiento y adoctrinamiento
■ Control de cambios y tecnología
■ Supervisando Implementación
■ Ejecutando el Plan
■ Ciclo de retroalimentación
■ Estrategias de conversión
■ El modelo del “ojo del toro”
■ Subcontratar o no
■ Consideraciones al cambio
■ Resistencia al cambio
SÍLABO
■ SEMANA 13.- Seguridad y Personal
■ La función de Seguridad de la Información dentro de las
organizaciones.
■ Problemas y preocupaciones para cubrir las necesidades de
personal que cumpla las funciones de Seguridad de la
información
■ Credenciales que pueden conseguir los profesionales en el
campo de la seguridad de la información
■ SEMANA 14.- Sustentación de Trabajos Finales
■ SEMANA 15.- EXAMEN FINAL
Trabajos 2023
■ Lecturas
■ Trabajos Grupales o individuales
■ 1 Trabajo Final (PROYECTO GRUPAL)
■ Prácticas calificadas y Exámenes
PROMEDIO PRACTICAS:
■ 2 Prácticas calificadas (no se eliminan) 5ta y
11va. semana
■ MONOGRAFIA 1 (Promedio de los FOROS,
TAREAS y participación en clase (se elimina 20%)
■ MONOGRAFIA 2: es la nota del Trabajo Final
Trabajo final (Proyecto Grupal)
■ Grupos de 4 a 6. En empresa de cualquier tamaño que no tenga que ver con la UNI.
■ El Proyecto es el desarrollo de un Plan para la Implementación de un Sistema de
Seguridad para una empresa o para uno o más macroprocesos de la misma (sistemas o
áreas críticas con sistemas CORE del negocio).
■ La fecha de inicio del Proyecto grupal será el Lunes 13 de abril y la fecha fin del
Proyecto será el jueves 6 de julio del 2023. Sin embargo se sugiere iniciar antes.
■ Entregables obligatorios serán los mostrados en la EDT del Proyecto, de la siguiente
diapositiva:
1)Informe de necesidades de seguridad de la empresa visitada; 2) Identificación de amenazas
y valoración de activos; 3)Riesgos de seguridad y estrategias de mitigación propuesta; 4)
Compendio de políticas de seguridad; 5)Plan de contingencia; 6)Tecnologías de seguridad
recomendadas; 7)Controles de acceso recomendados; 8) 4 Procedimientos de seguridad y su
estrategia de implementación.
■ El jueves 11/05/23 deberán presentar la EDT, el cronograma respectivo (línea base) y
el Acta de Constitución, los que forman en Entregable 01 .
■ Se deberán de establecer en el cronograma, las actividades para elaborar los distintos
entregables por cada etapa del Proyecto (Investigación, Análisis, Diseño, etc), conforme a
la EDT estandarizada adjunta
■ Deberán considerar Hitos de Control cada dos semanas siendo el primero en la clase
del 20/04/23(Envío de documento integrado de Entregables)
■ En cada hito de control deberá de tenerse por lo menos 1 entregable, todos los hitos de
control deben figurar en el cronograma del proyecto
Trabajo final
■ EDT del Trabajo Final para todos los grupos
T
E-commerce Trazabilidad del uso de
servicios (quién, cuándo) o
a datos (quien y que hace)
Prevenir Información
Cambios no autorizados en No repudio
(dimensiones)
Activos de Información (Compromisos)
Confiabilidad (Inform.)
Prevenir
6
I +5 D 7x24x36 Destrucción no autorizada de
5 Activos de Información
=
gí a
a c i ó n y Tecnolo
E d uc
dimensiones Medidas para Po l i t i ca ,
implementar
a
gí
C
lo
C
cno
Te
y
ón
I
ci
I
ca
u
Ed
ca
íti
D
l
D
Po
objetivos
Alm Proc Transm Almac Proces Transm
CEO
VP-
CISO VP-Systems
Networks
2) Procesos:
Los procesos son cruciales para definir cómo se utilizan las actividades, roles y documentación
de la organización para mitigar los riesgos para la información de la organización. Las amenazas
cibernéticas cambian rápidamente, por lo que los procesos deben revisarse continuamente
para poder adaptarse a ellos.
3) Tecnología:
Al identificar los riesgos cibernéticos a los que se enfrenta su organización, puede comenzar a
ver qué controles implementar y qué tecnologías necesitará para hacer esto. La tecnología se
puede implementar para prevenir o reducir el impacto de los riesgos cibernéticos, según su
evaluación de riesgos y lo que considere un nivel de riesgo aceptable.
Ciberseguridad
¿Por qué es importante la seguridad cibernética?
1) Costos de las violaciones de datos están aumentando y ya hay organismos
que están implementando reglamentos de protección de datos con multas por
infracciones:
2) Hay costos no financieros que deben considerarse, como daños a la
reputación y pérdida de confianza del cliente .
3) Los ataques cibernéticos son cada vez más sofisticados, por la variedad mayor de
tácticas para explotar vulnerabilidades como Ingeniería Social, Malware y Ransomware
(Petya, WannaCry y NotPetya).
La seguridad cibernética es un tema crítico de los comités de dirección:
1) Nuevas regulaciones y los requisitos de informes hacen que la supervisión de
riesgos de seguridad cibernética sea un desafío.
2) Los Comités buscan garantías de la gerencia de que sus estrategias de riesgo
cibernético reducirán el riesgo de ataques y limitarán los impactos financieros y
operativos.
3) Es vital contar con las medidas de seguridad cibernética adecuadas para
proteger a su organización.
Qué es el convenio de BUDAPEST??