Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
Contenido
► Objetivo
► Importancia
► Alcance
► LA SEGURIDAD DE LA INFORMACIÓN EN LAS ORGANIZACIONES
► GOBIERNO DE LA SEGURIDAD DE LA INFORMACIÓN
► PROGRAMAS, PROCESOS Y POLÍTICAS DE SEGURIDAD DE LA
INFORMACIÓN
► EL PROFESIONAL DE LA SEGURIDAD DE LA INFORMACIÓN
► SISTEMA DE GESTIÓN DE CONTINUIDAD DEL NEGOCIO
► Consideraciones
2
Generalidades del curso
4
Importancia
MAYOR MAYOR
MAYOR
DEPENDENCIA RIESGO
AUTOMATIZACIÓN
5
Importancia
En The Global Risks Report, Para 2022 presenta el Puntaje de
reportó en el 2020 con Mayor “Desigualdad Digital” y “Fracaso de
posicionamiento la Ciberseguridad” en EOS 2021
ciberseguridad en el versus PIB per cápita en 2020.
panorama de riesgos global.
Los fallos en Ciberseguridad representan el
• Desastres Naturales (Clima
12.4 % de los riesgos que más empeoraron
extremo) 2do Riesgo a Nivel
desde el inicio de la crisis del COVID-19,
Global 2020 (Probabilidad)
inmediatamente debajo de Crisis de Deuda en
• Robo o fraude de Datos 6º Riesgo
un 13.8%
a Nivel Global 2020 (Probabilidad)
• Ciberataques 7º Riesgo a Nivel
Global 2020 (Probabilidad)
6
Importancia
Situación actual (Global)
Importancia
Fuente: Https://www.condusef.gob.mx
8
Importancia
Situación actual (Nacional)
Importancia
► Veamos algunas estadísticas con Ustedes.
10
Importancia
11
Alcance
12
Alcance
►Tema 3. PROGRAMAS, PROCESOS Y POLÍTICAS
DE SEGURIDAD DE LA INFORMACIÓN
Planificación, operación, evaluación de riesgos, estrategias, planes y
procedimientos, pruebas, mejora, evaluación del desempeño
13
Prácticas
► Merkow, M. S. y Breithaupt, J. (2014). Information Security: Principles and Practices. Indiana, USA: Pearson IT Certification. Recuperado
de:http://ptgmedia.pearsoncmg.com/images/9780789753250/samplepages/0789753251.pdf
► Tipton, H. F. y Micki K. (2016). Information Security Management Handbook (sixth edition). Nueva York: CRC Press.
► Brotby, K. (2009). Information Security Governance: A Practical Development and Implementation Approach. John Wiley & Sons.
► Calder. A, Watkins, S. (2015). IT Governance: An International Guide to Data Security and ISO27001/ISO27002. Kogan Page Publishers.
► Davies, J. (2016). ITIL Foundation All-in-One Exam Guide. McGraw Hill Professional
► Giordano, A. D. (2014). Performing Information Governance: A Step-by-step Guide to Making Information Governance Work. IBM Press.
► Gómez-Fernández, L. y Fernández-Rivero, P. P. (2015). Cómo implantar un SGSI según UNE-ISO-IEC 27001-2014 y su aplicación en el
ENS. AENOR Internacional.
► Humphreys, E. (2016). Implementing the ISO/IEC 27001:2013 ISMS Standard. Artech House.
► Tipton, H. F. y Micki, K. (2016). Information Security Management Handbook (sixth edition). CRC Press.
► ISO/TS 22317, Societal security. Business continuity management systems. Guidelines for business impact analysis (BIA).
► ISO/IEC 27031, Information technology. Security techniques. Guidelines for information and communication technology readiness for
business continuity.
15
Sistemas de Gestión de la Seguridad de la Información
Francisco Javier Alvarez Solis
Proceso de
Planeación
17
La seguridad de la información en las Organizaciones
► La seguridad de la información (information security) hace referencia
a la confidencialidad, integridad y disponibilidad de la información,
independientemente del medio en que se almacenen los datos, así
mismo implica la implementación de estrategias que cubran los
procesos de la organización en los cuales la información es el activo
primordial.
18
La seguridad de la información en las Organizaciones
► La seguridad de la información implica determinar: Qué hay que
proteger y por qué, de que se debe de proteger y cómo protegerlo.
19
La seguridad de la información en las Organizaciones
► La seguridad es un proceso continuo de mejora y no un estado de un
sistema, por lo que las políticas y controles establecidos para la
protección de la información deberán revisarse, probarse y
adecuarse, de ser necesario, ante los nuevos riesgos que se
identifiquen.
20
La seguridad de la información en las Organizaciones
21
La seguridad de la información en las Organizaciones
La seguridad de la información se suele conceptualizar en torno a tres
principios principales ya mencionados: confidencialidad, integridad y
disponibilidad
22
La seguridad de la información en las Organizaciones
La comprobación de la contraseña
La evaluación de la evidencia de la identidad
Autenticación introducida con la almacenada en el
de un usuario
sistema
23
La seguridad de la información en las Organizaciones
► Dado que la seguridad cuesta dinero, el problema fundamental es
buscar un equilibrio entre el coste de la seguridad y el impacto
económico de los riesgos probables.
24
La seguridad de la información en las Organizaciones
Marco que permite estimar el retorno de la inversión en seguridad de la
información, denominado ROSI, desarrollado por Adrian Mizzi
25
La seguridad de la información en las Organizaciones
Del lado de la organización, los dos costos básicos son:
26
La seguridad de la información en las Organizaciones
La seguridad no es un producto, algo que se pueda conseguir y una
vez terminado se tiene. Por el contrario, la seguridad son actividades
continuas y realizadas dentro de un plan sistemático que debe
evaluarse continuamente. Es decir, la seguridad de la información es un
proceso. Los elementos fundamentales de ese proceso son los activos
de información, por eso la base de todo el proceso es su identificación,
para después aplicar una serie de herramientas de gestión.
27
La seguridad de la información en las Organizaciones
28
La seguridad de la información en las Organizaciones
La seguridad no es un producto, algo que se pueda conseguir y una
vez terminado se tiene. Por el contrario, la seguridad son actividades
continuas y realizadas dentro de un plan sistemático que debe
evaluarse continuamente. Es decir, la seguridad de la información es un
proceso. Los elementos fundamentales de ese proceso son los activos
de información, por eso la base de todo el proceso es su identificación,
para después aplicar una serie de herramientas de gestión.
29
La seguridad de la información en las Organizaciones
No toda la información en la organización es igualmente valiosa. Por
ejemplo, los secretos industriales como la fórmula de fabricación de un
producto afectan a la propia ventaja competitiva y razón de ser de
muchas empresas. Su revelación a terceros simplemente puede
terminar con la organización. Algo parecido ocurre con la información
sobre la estrategia de nuevos productos de una empresa. Esa
información es el objeto más preciado del espionaje industrial.
30
La seguridad de la información en las Organizaciones
Tipo Definición
31
La seguridad de la información en las Organizaciones
Las actividades de clasificación pueden resumirse en las siguientes:
•Identificar los roles mencionados.
32
La seguridad de la información en las Organizaciones
Las actividades de clasificación pueden resumirse en las siguientes:
•Identificar los roles mencionados.
33
La seguridad de la información en las Organizaciones
Para poder medir con una cierta fiabilidad el impacto y la posibilidad de
que un evento no deseado suceda hay primero que analizar los
elementos que componen el riesgo y sus relaciones. Una vez que un
riesgo ha sido analizado y evaluado, hay varias opciones: se puede
aceptar tal cual, tratar de tomar alguna medida para mitigarlo en su
impacto o en su probabilidad de ocurrencia, o bien si fuera posible
evitarlo o eliminarlo completamente.
Hay una cuarta vía para la gestión del riesgo que realmente no actúa
sobre el riesgo en sí. Esta es la opción de transferir el riesgo, es decir,
de recurrir a algún tipo de seguro para que, en caso de ocurrencia del
evento no deseado, haya una compensación económica.
34
La seguridad de la información en las Organizaciones
Toda la gestión de la seguridad de la información gira en torno de la
identificación de amenazas potenciales, es decir, de riesgos. Se trata
de establecer mecanismos para reducir su probabilidad de ocurrencia
(en el sentido de posibilidad) o bien para disminuir su impacto en caso
de que finalmente la amenaza se materialice
35
La seguridad de la información en las Organizaciones
Seguridad Física y Lógica. Un desastre natural es un ejemplo de una
amenaza física. Las medidas son también de una variedad muy
diversa, como los circuitos cerrados de televigilancia.
Los controles de seguridad física son tan diversos como las amenazas,
deben integrarse:
Controles administrativos
36
La seguridad de la información en las Organizaciones
Controles del entorno y de la habitabilidad
37
La seguridad de la información en las Organizaciones
Una percepción falsa relativamente extendida es la de que el
mantenimiento de los sistemas en cuanto al sistema operativo, software
de red y aplicaciones, junto a sistemas defensivos y políticas de
seguridad escritas proporcionan un nivel adecuado de seguridad. La
realidad es que el elemento más débil del sistema de seguridad es en
muchos casos el factor humano.
38
www.unir.net