SlideShare une entreprise Scribd logo

Introducción a la Seguridad de la Información

J
Jonathan López Torres

Con el incremento del uso de las TIC y la revalorización de la información, la Seguridad de la Información se convierte en una necesidad para niños, adultos, empresas y autoridades. Necesitamos crear una cultura de seguridad de la información, ya que el mal uso que se le de a la información puede tener implicaciones en nuestra vida privada, patrimonio, etc.

Technologie
1  sur  25
Télécharger pour lire hors ligne
SEGURIDAD DE LA INFORMACIÓN Jonathan López Torres @JonathanLpezTor Derecho, TIC y Conocimiento Abierto http://jonathanlpeztor.blogspot.mx/
¿Qué es la seguridad de la información? “The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability.” NIST 2013. “La capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma.” Acuerdo EDN 2014.
¿Qué es la confidencialidad? “La característica o propiedad por la cual la información sólo es revelada a individuos o procesos autorizados.” MAAGTICSI 2014 NIST 2013:  Preserving authorized restrictions on information access and disclosure, including means for protecting personal privacy and proprietary information.  The property that sensitive information is not disclosed to unauthorized individuals, entities, or processes.  The property that information is not disclosed to system entities (users, processes, devices) unless they have been authorized to access the information.
¿Qué es la integridad? “La acción de mantener la exactitud y corrección de la información y sus métodos de proceso.” MAAGTICSI 2014 NIST 2013:  The property that data has not been altered in an unauthorized manner. Data integrity covers data in storage, during processing, and while in transit.  The property that data has not been changed, destroyed, or lost in an unauthorized or accidental manner.
¿Qué es la disponibilidad? “La característica de la información de permanecer accesible para su uso cuando así lo requieran individuos o procesos autorizados.” MAAGTICSI 2014. NIST 2013:  Ensuring timely and reliable access to and use of information.  The property of being accessible and useable upon demand by an authorized entity.
Principios modelo estándar… C: Confidencialidad I: Integridad D: Disponibilidad Autenticidad | Confiabilidad | Trazabilidad | No repudio de la misma C I INFORMACIÓN D
Principios modelo estándar… ¿suficiente? Rendición de cuentas Ética Posesión Legalidad Precisión Relevancia Utilidad Respuesta Coherencia Responsabilida d Autenticidad Integridad No repudio Titularidad Control
¿Cuál es el objetivo de la seguridad de la información? “Mitigar el riesgo” “Riesgo: La posibilidad de que una amenaza pueda explotar una vulnerabilidad y causar una pérdida o daño sobre los activos de TIC, las infraestructuras críticas o los activos de información…” MAAGTICSI 2014 (datos personales).
Cuestionamientos clave… 1. ¿Qué se trata de proteger? 2. ¿Por qué se trata de proteger? 3. ¿Cómo se protegerá?
¿Qué se trata de proteger? “Cualquier tipo de información” “datos personales”
¿Cómo se clasifica la información? 1. Personal: pertenece a los particulares. 2. Pública: disponible para el público en general . 3. Confidencial: uso por los empleados, contratistas y socios de negocios. 4. Propietaria: propiedad intelectual de la organización que sea manejada por las partes autorizadas. 5. Secreta: uso exclusivo por personas que tengan necesidad de conocerla.
¿Por qué se trata de proteger? A. Por iniciativa propia, intereses propios, compromiso con los titulares de la información, conocimiento del valor de la información, etc. B. Por obligación legal (cumplimiento de la normatividad).
¿Por qué se trata de proteger?  Importancia  Vulnerabilidad  Sensibilidad
¿Cómo se protegerá? Adoptando distintos tipos de medidas de seguridad:  Administrativas  Técnicas  Físicas
Documentación de seguridad ¿cómo se integra?  Políticas: declaración de alto nivel de exigencia, es la principal manera en que las expectativas de la administración de la seguridad se proporcionan a quienes operan los sistemas de seguridad y a los usuarios.  Estándares: especifican cómo configurar dispositivos, cómo instalar y configurar el software, y cómo utilizar los sistemas informáticos y otros activos de la organización, para cumplir con los objetivos de la política.  Procedimientos: especifican paso a paso las instrucciones para realizar diversas tareas de acuerdo con las políticas y normas.  Directrices: son consejos sobre cómo lograr los objetivos de la política de seguridad, pero son sugerencias, no reglas. Son una importante herramienta de comunicación para que la gente sepa cómo dar seguimiento a la política.
Estándares de seguridad de la información  Control Objectives for Information and related Technology (COBIT): Publicado por ISACA (Information Systems Audit and Control Association). 95.000 asociados en 160 países, ISACA (www.isaca.org) es un líder global proveedor de conocimiento, certificaciones, comunidad, promoción y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial y gestión de TI y riesgo relacionado con TI y cumplimiento. No es un estándar específico de seguridad de la información, peró sí es un estándar general de TI.  International Organization for Standardization (ISO): Familia de estándares ISMS (Information Security Management System)., provén un marco de referencia para el desarrollo de un programa de seguridad de la información (ISO/IEC 27 000, 01, 02…)  National Institute of Standards and Technology (NIST): Depende del Departamento de Comercio de EU, proporciona un conjunto de "Publicaciones Especiales" para ayudar a la industria, el gobierno y las organizaciones académicas. “800 series es un conjunto de publicaciones específicas de seguridad.
México y la seguridad de la información (público)  ACUERDO que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias. DOF 08/05/2014  Objeto: emitir políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias, contenido en su Anexo Único, que serán de observancia obligatoria en la APF y en la PGR. Acuerdo MAAGTICSI:
Marco jurídico del MAAGTICSI…  Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental  Lineamientos de Protección de Datos Personales. DOF 30/09/2005  Recomendaciones sobre medidas de seguridad aplicables a los Sistemas de Datos Personales DOF: 06/12/2006
Ley Federal de Transparencia…y Reglamento  INAI: atribución de establecer los lineamientos y políticas generales para el manejo, mantenimiento, seguridad y protección de los datos personales, que estén en posesión de las dependencias y entidades ( Ley art. 39 fracción IX).  Procedimientos para acceder a los datos personales que estén en posesión de las dependencias y entidades garantizarán la protección de los derechos de los individuos, en particular, a la vida privada y a la intimidad, así como al acceso y corrección de sus datos personales, de conformidad con los lineamientos que expida el Instituto y demás disposiciones aplicables para el manejo, mantenimiento, seguridad y protección de los datos personales (Reglamento art. 47).  Sistema de datos personales: el conjunto ordenado de datos personales que estén en posesión de un sujeto obligado
Lineamientos de Protección de Datos Personales Principio de seguridad  En el tratamiento de datos personales, las dependencias y entidades deberán observar los principios de licitud, calidad, acceso y corrección, de información, seguridad, custodia y consentimiento para su transmisión (lineamiento 5°).  Se deberán adoptar las medidas necesarias para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado (lineamiento 10°).  Los datos personales sólo podrán ser tratados en sistemas de datos personales que reúnan las condiciones de seguridad establecidas en los presentes lineamientos y en las demás disposiciones aplicables (lineamiento 16°).
Lineamientos de Protección de Datos Personales Otros aspectos…  Tratamiento de datos por terceros: estipularse en el contrato la implementación de medidas de seguridad y custodia, así como penas convencionales (L. 21°).  Medidas de seguridad y custodia en la transmisión de SDP (L. 26).  Designación de responsables, emisión de criterios de seguridad, difusión de la normatividad, capacitación en materia de seguridad (L. 27).  Documento de seguridad que contenga las medidas administrativas técnicas y físicas (L. 33).  Operaciones de acceso, actualización, respaldo y recuperación (L. 37°)
Recomendaciones sobre medidas de seguridad aplicables a los SDP Estructura del documento… Instructivo Niveles de seguridad Abreviaturas Definiciones Recomendaciones
Recomendaciones sobre medidas de seguridad aplicables a los SDP Estructura de las recomendaciones… MS para DP en soportes físicos y electrónicos MS para transmisión de DP MS para equipos de cómputo en zonas de acceso restringido MS para asegurar continuidad y enfrentar desastres Documentación de MS en procesos y políticas del SDP
Vulneraciones de datos personales… La pérdida o destrucción no autorizada El robo, extravío o copia no autorizada El uso, acceso o tratamiento no autorizado El daño, la alteración o modificación no autorizada
Gracias… Jonathan López Torres @JonathanLpezTor Derecho, TIC y Conocimiento Abierto http://jonathanlpeztor.blogspot.mx/

Recommandé

Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
Giovanita Caira
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ana anchundia
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Information security
Information securityInformation security
Information security
Lusungu Mkandawire CISA,CISM,CGEIT,CPF,PRINCE2
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
alexaloaiza
 

Recommandé

Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
Liliana Pérez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
Giovanita Caira
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ana anchundia
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Information security
Information securityInformation security
Information security
Lusungu Mkandawire CISA,CISM,CGEIT,CPF,PRINCE2
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
alexaloaiza
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
seguridad7p
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to Cybersecurity
Krutarth Vasavada
 
Legislación informática
Legislación informáticaLegislación informática
Legislación informática
ale-pruneda
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
Conrad Iriarte
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Universidad de Los Andes (ULA)
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Information security
Information securityInformation security
Information security
AlaaMahmoud108
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
Jesús Moreno León
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
Javier Tallón
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
Cuidando mi Automovil
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Al Cougar
 
Information security
Information securityInformation security
Information security
avinashbalakrishnan2
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Oscar Garces Torres
 
What is cyber security
What is cyber securityWhat is cyber security
What is cyber security
SAHANAHK
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
John Gilligan
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshare
b1cceliagonzalez
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
Bioga Dixital
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
Carolina Cols
 

Contenu connexe

Tendances

SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
seguridad7p
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshare
b1cceliagonzalez
 

Tendances (20)

SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
 
Introduction to Cybersecurity
Introduction to CybersecurityIntroduction to Cybersecurity
Introduction to Cybersecurity
 
Legislación informática
Legislación informáticaLegislación informática
Legislación informática
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevención
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Information security
Information securityInformation security
Information security
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas Concienciacion en ciberseguridad y buenas prácticas
Concienciacion en ciberseguridad y buenas prácticas
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Information security
Information securityInformation security
Information security
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
What is cyber security
What is cyber securityWhat is cyber security
What is cyber security
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshare
 

En vedette

Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
Bioga Dixital
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
Carolina Cols
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacion
Romario Correa Aguirre
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
erickaoblea1
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionales
ald32
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacion
Orlando Verdugo
 
Ejercicios áLgebra Relacional
Ejercicios áLgebra RelacionalEjercicios áLgebra Relacional
Ejercicios áLgebra Relacional
negriz
 

En vedette (20)

Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
UCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la InformacionUCV CEAP Seguridad de la Informacion
UCV CEAP Seguridad de la Informacion
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOSBASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
BASE DE DATOS SISTEMA MODELO DE GESTION DE DATOS
 
Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0
 
Seguridad foncodes
Seguridad foncodesSeguridad foncodes
Seguridad foncodes
 
Base datos normalización une
Base datos normalización uneBase datos normalización une
Base datos normalización une
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacion
 
Tema 7
Tema 7Tema 7
Tema 7
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICA
 
Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la información
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionales
 
Normalización de las bases de datos
Normalización de las bases de datosNormalización de las bases de datos
Normalización de las bases de datos
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacion
 
Normalización en Bases de datos
Normalización en Bases de datosNormalización en Bases de datos
Normalización en Bases de datos
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Ejercicios áLgebra Relacional
Ejercicios áLgebra RelacionalEjercicios áLgebra Relacional
Ejercicios áLgebra Relacional
 
Normalizacion de base de datos
Normalizacion de base de datosNormalizacion de base de datos
Normalizacion de base de datos
 

Similaire à Introducción a la Seguridad de la Información

Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
mCarmen32
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
Mao Sierra
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacion
G Hoyos A
 

Similaire à Introducción a la Seguridad de la Información (20)

Seguridad de Información -ArCert
Seguridad de Información -ArCertSeguridad de Información -ArCert
Seguridad de Información -ArCert
 
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptxPRESENTACION CIBERSEGURIDAD BASC SENA.pptx
PRESENTACION CIBERSEGURIDAD BASC SENA.pptx
 
Protección de datos - nuevas atribuciones del IFAI
Protección de datos - nuevas atribuciones del IFAIProtección de datos - nuevas atribuciones del IFAI
Protección de datos - nuevas atribuciones del IFAI
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
 
PRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBTPRACTICA DE TICS 1 2 CBT
PRACTICA DE TICS 1 2 CBT
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)Gestión del riesgo de los datos (Data Risk)
Gestión del riesgo de los datos (Data Risk)
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
 
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptx
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptxSEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptx
SEGURIDAD Y NORMAS PERUANAS - SEMANA10 (1).pptx
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
090930 Presentacion Impulsem
090930 Presentacion Impulsem090930 Presentacion Impulsem
090930 Presentacion Impulsem
 
información Segura
información Segurainformación Segura
información Segura
 
Foro primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridadForo primer bloque teoria de la seguridad
Foro primer bloque teoria de la seguridad
 
ley de proteccion de datos
ley de proteccion de datosley de proteccion de datos
ley de proteccion de datos
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacion
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 

Dernier

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Dernier (15)

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 

Introducción a la Seguridad de la Información

  • 1. SEGURIDAD DE LA INFORMACIÓN Jonathan López Torres @JonathanLpezTor Derecho, TIC y Conocimiento Abierto http://jonathanlpeztor.blogspot.mx/
  • 2. ¿Qué es la seguridad de la información? “The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability.” NIST 2013. “La capacidad de preservar la confidencialidad, integridad y disponibilidad de la información, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma.” Acuerdo EDN 2014.
  • 3. ¿Qué es la confidencialidad? “La característica o propiedad por la cual la información sólo es revelada a individuos o procesos autorizados.” MAAGTICSI 2014 NIST 2013:  Preserving authorized restrictions on information access and disclosure, including means for protecting personal privacy and proprietary information.  The property that sensitive information is not disclosed to unauthorized individuals, entities, or processes.  The property that information is not disclosed to system entities (users, processes, devices) unless they have been authorized to access the information.
  • 4. ¿Qué es la integridad? “La acción de mantener la exactitud y corrección de la información y sus métodos de proceso.” MAAGTICSI 2014 NIST 2013:  The property that data has not been altered in an unauthorized manner. Data integrity covers data in storage, during processing, and while in transit.  The property that data has not been changed, destroyed, or lost in an unauthorized or accidental manner.
  • 5. ¿Qué es la disponibilidad? “La característica de la información de permanecer accesible para su uso cuando así lo requieran individuos o procesos autorizados.” MAAGTICSI 2014. NIST 2013:  Ensuring timely and reliable access to and use of information.  The property of being accessible and useable upon demand by an authorized entity.
  • 6. Principios modelo estándar… C: Confidencialidad I: Integridad D: Disponibilidad Autenticidad | Confiabilidad | Trazabilidad | No repudio de la misma C I INFORMACIÓN D
  • 7. Principios modelo estándar… ¿suficiente? Rendición de cuentas Ética Posesión Legalidad Precisión Relevancia Utilidad Respuesta Coherencia Responsabilida d Autenticidad Integridad No repudio Titularidad Control
  • 8. ¿Cuál es el objetivo de la seguridad de la información? “Mitigar el riesgo” “Riesgo: La posibilidad de que una amenaza pueda explotar una vulnerabilidad y causar una pérdida o daño sobre los activos de TIC, las infraestructuras críticas o los activos de información…” MAAGTICSI 2014 (datos personales).
  • 9. Cuestionamientos clave… 1. ¿Qué se trata de proteger? 2. ¿Por qué se trata de proteger? 3. ¿Cómo se protegerá?
  • 10. ¿Qué se trata de proteger? “Cualquier tipo de información” “datos personales”
  • 11. ¿Cómo se clasifica la información? 1. Personal: pertenece a los particulares. 2. Pública: disponible para el público en general . 3. Confidencial: uso por los empleados, contratistas y socios de negocios. 4. Propietaria: propiedad intelectual de la organización que sea manejada por las partes autorizadas. 5. Secreta: uso exclusivo por personas que tengan necesidad de conocerla.
  • 12. ¿Por qué se trata de proteger? A. Por iniciativa propia, intereses propios, compromiso con los titulares de la información, conocimiento del valor de la información, etc. B. Por obligación legal (cumplimiento de la normatividad).
  • 13. ¿Por qué se trata de proteger?  Importancia  Vulnerabilidad  Sensibilidad
  • 14. ¿Cómo se protegerá? Adoptando distintos tipos de medidas de seguridad:  Administrativas  Técnicas  Físicas
  • 15. Documentación de seguridad ¿cómo se integra?  Políticas: declaración de alto nivel de exigencia, es la principal manera en que las expectativas de la administración de la seguridad se proporcionan a quienes operan los sistemas de seguridad y a los usuarios.  Estándares: especifican cómo configurar dispositivos, cómo instalar y configurar el software, y cómo utilizar los sistemas informáticos y otros activos de la organización, para cumplir con los objetivos de la política.  Procedimientos: especifican paso a paso las instrucciones para realizar diversas tareas de acuerdo con las políticas y normas.  Directrices: son consejos sobre cómo lograr los objetivos de la política de seguridad, pero son sugerencias, no reglas. Son una importante herramienta de comunicación para que la gente sepa cómo dar seguimiento a la política.
  • 16. Estándares de seguridad de la información  Control Objectives for Information and related Technology (COBIT): Publicado por ISACA (Information Systems Audit and Control Association). 95.000 asociados en 160 países, ISACA (www.isaca.org) es un líder global proveedor de conocimiento, certificaciones, comunidad, promoción y educación sobre aseguramiento y seguridad de sistemas de información, gobierno empresarial y gestión de TI y riesgo relacionado con TI y cumplimiento. No es un estándar específico de seguridad de la información, peró sí es un estándar general de TI.  International Organization for Standardization (ISO): Familia de estándares ISMS (Information Security Management System)., provén un marco de referencia para el desarrollo de un programa de seguridad de la información (ISO/IEC 27 000, 01, 02…)  National Institute of Standards and Technology (NIST): Depende del Departamento de Comercio de EU, proporciona un conjunto de "Publicaciones Especiales" para ayudar a la industria, el gobierno y las organizaciones académicas. “800 series es un conjunto de publicaciones específicas de seguridad.
  • 17. México y la seguridad de la información (público)  ACUERDO que tiene por objeto emitir las políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias. DOF 08/05/2014  Objeto: emitir políticas y disposiciones para la Estrategia Digital Nacional, en materia de tecnologías de la información y comunicaciones, y en la de seguridad de la información, así como establecer el Manual Administrativo de Aplicación General en dichas materias, contenido en su Anexo Único, que serán de observancia obligatoria en la APF y en la PGR. Acuerdo MAAGTICSI:
  • 18. Marco jurídico del MAAGTICSI…  Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental  Lineamientos de Protección de Datos Personales. DOF 30/09/2005  Recomendaciones sobre medidas de seguridad aplicables a los Sistemas de Datos Personales DOF: 06/12/2006
  • 19. Ley Federal de Transparencia…y Reglamento  INAI: atribución de establecer los lineamientos y políticas generales para el manejo, mantenimiento, seguridad y protección de los datos personales, que estén en posesión de las dependencias y entidades ( Ley art. 39 fracción IX).  Procedimientos para acceder a los datos personales que estén en posesión de las dependencias y entidades garantizarán la protección de los derechos de los individuos, en particular, a la vida privada y a la intimidad, así como al acceso y corrección de sus datos personales, de conformidad con los lineamientos que expida el Instituto y demás disposiciones aplicables para el manejo, mantenimiento, seguridad y protección de los datos personales (Reglamento art. 47).  Sistema de datos personales: el conjunto ordenado de datos personales que estén en posesión de un sujeto obligado
  • 20. Lineamientos de Protección de Datos Personales Principio de seguridad  En el tratamiento de datos personales, las dependencias y entidades deberán observar los principios de licitud, calidad, acceso y corrección, de información, seguridad, custodia y consentimiento para su transmisión (lineamiento 5°).  Se deberán adoptar las medidas necesarias para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado (lineamiento 10°).  Los datos personales sólo podrán ser tratados en sistemas de datos personales que reúnan las condiciones de seguridad establecidas en los presentes lineamientos y en las demás disposiciones aplicables (lineamiento 16°).
  • 21. Lineamientos de Protección de Datos Personales Otros aspectos…  Tratamiento de datos por terceros: estipularse en el contrato la implementación de medidas de seguridad y custodia, así como penas convencionales (L. 21°).  Medidas de seguridad y custodia en la transmisión de SDP (L. 26).  Designación de responsables, emisión de criterios de seguridad, difusión de la normatividad, capacitación en materia de seguridad (L. 27).  Documento de seguridad que contenga las medidas administrativas técnicas y físicas (L. 33).  Operaciones de acceso, actualización, respaldo y recuperación (L. 37°)
  • 22. Recomendaciones sobre medidas de seguridad aplicables a los SDP Estructura del documento… Instructivo Niveles de seguridad Abreviaturas Definiciones Recomendaciones
  • 23. Recomendaciones sobre medidas de seguridad aplicables a los SDP Estructura de las recomendaciones… MS para DP en soportes físicos y electrónicos MS para transmisión de DP MS para equipos de cómputo en zonas de acceso restringido MS para asegurar continuidad y enfrentar desastres Documentación de MS en procesos y políticas del SDP
  • 24. Vulneraciones de datos personales… La pérdida o destrucción no autorizada El robo, extravío o copia no autorizada El uso, acceso o tratamiento no autorizado El daño, la alteración o modificación no autorizada
  • 25. Gracias… Jonathan López Torres @JonathanLpezTor Derecho, TIC y Conocimiento Abierto http://jonathanlpeztor.blogspot.mx/