Taller Semana 03

Seguridad y Auditoría de Sistemas

Sesión 03

AAD: Anthony Palomino

Correo: pcisapal@upc.edu.pe
Reglas

Ingresar indicando su nombre, apellido y sección.

Ejemplo: Anthony Palomino – C91B

Los horarios de las sesiones son los siguientes:

Sección AAD Horario

C91B Anthony Palomino Sábado de 10:00 – 11:00 pm
Cesar Talledo Martes de 7:00 – 10:00 pm
TEMARIO
• Repaso de las Sesiones de Clase
• Verificar próximos entregables
• Resolver dudas generales
Link Drive
Link Drive

Empresa: Financiera Empresa: PEX

Préstamos y Microcréditos Rubro: Cobro automático de peaje
vehículos

Empresa: ??
Empresa: No definida
¿CUÁL ES EL
OBJETIVO?
DEL CURSO
UNIDAD 1
Al finalizar el curso el estudiante diseña un plan de
seguridad para prevenir, reducir o controlar los
riesgos que soporta un sistema de información y el
entorno asociado con él; entendiendo por riesgo
la posibilidad de que suceda un daño o perjuicio
que tenga impacto en los objetivos del negocio.
Al finalizar la unidad el alumno desarrolla
competencias necesarias para dominar los elementos
que integran la gestión de riesgos en relación a los
activos relevantes para la seguridad de la información
usando la norma ISO 27005 e ISO 31000 como marco
de referencia. Basándose en ejercicios prácticos y
estudios de casos, los participantes adquieren los
conocimientos y habilidades necesarios para llevar a
cabo un análisis óptimo de los riesgos de la seguridad
de la información..
PROMEDIO

Informe + Evaluación
Desempeño c/integrante Clases + foro
EVALUACION
METODOLOGÍA DE LA CLASE
DINÁMICA DEL TALLER

Preparación
Repaso de
Preparación para el
las sesiones
para la PC Trabajo
de Clase
Grupal
¿CÓMO VAN LAS
SESIONES DE CLASE?
• Introducción al curso
• Asignación de grupos de trabajo
• Reglas del Juego (dinámica del curso)
• Revisión caso OSCE: EL Club del tarot
Sem 1 • Definición Del Riesgo de Seguridad de Información

• Revisión de Unidad 01 - Gestión de Riesgos de Información

• Revisión de Conceptos y definiciones relacionadas a la gestión de Riegos
• IS0 27005, proporciona las directrices para la gestión de la seguridad de la información
• Probabilidad (suceso) X Consecuencia (Impacto) = RIESGO
• Objetivo de Control: capacitaciones, auditorías, exámenes
• Criterios Básicos de Evaluación de Riesgo
• Confidencialidad: No se pone a Disposición
• Integridad: Proteger los activos
Sem 2 • Disponibilidad: accesibles y utilizables según demanda.
• Activos: cualquier cosa que tenga valor para la organización.
¿CÓMO VAN LAS
SESIONES DE CLASE?
• Repaso sesión anterior
• Técnicas para recolección de la información
• Encuestas mediante cuestionario, Entrevistas, Revisión de documentación, Herramientas de exploración
• Categorías de Activo: Activo Primario Asignación de grupos de trabajo
• Identificación de amenazas // Identificación de vulnerabilidades (debilidad de un activo)
• Relación entre Activo, Vulnerabilidad y Amenaza
Sem 3 • Hardware – Almacén sin supervisión, sensibilidad a la humedad – Robo de Equipo, deterioro
• Relación Amenaza, Vulnerabilidad y Consecuencia
• Robo de equipo – Almancén sin supervisión - Pérdidas

• Entrega de la TA1.

Sem 4
¿CÓMO VAN LAS
SESIONES DE CLASE?
Metodología de Gestión de Riegos
¿CÓMO VAN LAS
SESIONES DE CLASE?
PROCESO DE GESTIÓN DE
ISO 27001
Es el estándar internacional que proporciona la especificación para un sistema
de gestión de seguridad de la información (SGSI).

El Estándar está diseñado para ayudar a las organizaciones a administrar sus

procesos de seguridad de la información de acuerdo con las mejores prácticas
internacionales mientras optimizan los costos.

Es neutral en cuanto a tecnología y proveedor, y se aplica a todas las

organizaciones, independientemente de su tamaño, tipo o naturaleza

Se tienen que demostrar estos aspectos:

• Evidencia de gestión de Riesgos de seguridad de Información
• Acciones de riesgo tomadas
• Aplicación de los controles pertinentes
TRABAJO
 TRABAJO
Concepto Descripción
Nombre, Descripción, Rubro, Visión y Misión de la Organización Obtener la información de la organización seleccionada
Objetivos de la Organización Identificar y describir los objetivos estratégicos y acciones estratégicas (objetivos
generales, objetivos específicos) de la organización

Estructura Organizacional Estructura Organizativa (organigrama) y describir cada unidad que lo compone

Estructura de Procesos Mapa de procesos de la organización y con una descripción resumida de los
macroprocesos:
Procesos Estratégicos
Procesos Operativos
Procesos de Soporte

Análisis Externo Análisis PEST (Político, Económico, Social, Tecnológico)

FODA Después de analizar el contexto interno y externo, mediante el análisis FODA se
determinan los factores internos (fortalezas y debilidades) y externos
(oportunidades y amenazas) que pueden afectar la capacidad de la organización
para lograr los resultados previstos para su Sistema de Gestión de Seguridad de la
Información

Identificación de las partes interesadas (Stakeholders) Matriz con la identificación de las partes interesadas con su respectiva descripción

Requisitos de las partes interesadas Por cada stakeholder, identificar su necesidad principal respecto de la seguridad de
la información.
MAPA DE PROCESOS
ANALISIS PEST
ANALISIS FODA
Gracias