2. Se entiende por seguridad informática al
conjunto de normas, procedimientos y
herramientas que tienen como objetivo
garantizar las disponibilidad, integridad,
confidencialidad y buen uso de la
información que reside en un sistema de
información.
4. Es el método
permitido por las
empresas para proteger
el sistema informático.
Personas de alto
conocimiento en el sector
informático cuyo fin tiene
cumplir la información.
ETHICAL HACKING HACKER
6. GENERALIDADES
LA FAMILIA ISO
NORMAS ISO 9 000
NORMAS ISO 10 000
NORMAS ISO 14 000
NORMAS ISO 27 000
La información estándar ISO tiene sus siglas como significado
“Organización Internacional de Normalización”.
CERTIFICACIÓN DE
CALIDAD
Evalúa los productos que ofrece los
proveedores para su exportación a
nivel internacional
NORMAS ISO
7. Sistema de gestión de calidad, fundamentos,
vocabulario, requisitos, elementos del sistema de
calidad, directrices para la mejora del desempeño.
Guías para implementar sistemas de gestión de calidad,
reportes técnicos, planes de calidad, gestión de proyectos,
gestión de aspectos económicos.
ISO 10 000
ISO 9 000
8. Sistema de gestión ambiental de las organizaciones.
Principios ambientales, etiquetado ambiental, siclo de vida
del producto programas de revisión ambiental auditorias.
Es el conjunto de estándares desarrollados o en fase de desarrollo
por ISO e IEC , que proporciona un marco de la gestión de la
seguridad de la información utilizable por cualquier tipo de
organización pública o privada, grande o pequeña.
ISO 14 000
ISO 27 000
9. La Certificación de Producto es un proceso mediante el cual se
garantiza la calidad y/o las características de un producto final según
lo establecido en una norma específica u otros documentos
preestablecidos.
Este proceso comprende la realización de auditorías en las empresas
objeto de certificación, mediante la evaluación de los sistemas de
calidad y de producción de las empresas, mediante la evaluación de
ensayos de muestras tomadas en fábrica y de los productos finales.
PROCESO DE SERTIFICACIÓN
10. Oficina Nacional De Gobierno Electrónico E Informática .es el órgano técnico
especializado que depende del despacho de la PCM ”Presidencia Del Consejo
De Ministros”.
TIPOS DE AMENAZAS
oEscalamiento de privilegios.
oFraudes informáticos.
oPuertos vulnerables abiertos.
oViolación de la privacidad de los empleados.
oDenegación de servicio.
oÚltimos parches no instalados.
oDestrucción de equipamiento.
oDesactualización.
oInstalaciones default.
oPassword cracking.
oExploits.
ONGEI
11. ONGEI ENTIDAD
POLÍTICA DE SEG. INFORMÁTICA
DOCUMENTOS
DE POLÍTICA
DE S.I.
REVISIÓN
Y
EVALUACIÓN
CONTROL
GUíA DE IMPLEMENTACIÓN
CONTROL
GUÍA DE IMPLEMENTACIÓN
Revisión y planificación
con el fin de asegurar su
uso continuo.
Aprobar, publicar y
comunicar.
a) Definición general S.I.
objetivos globales.
b) El soporte de aspectos
generales.
c) Evaluación y riesgo.
d) Breve explicación de las
políticas.
e) Responsabilidades e
incidencias.
f) Referencia y sustentación.
a) Retroalimentación.
b) Resultados.
c) Acciones preventivas y correctivas.
d) Resultado de revisiones.
e) Desarrollo de proceso y cumplimiento.
f) Posibles cambios que puedan afectar el
alcance de la organización.
g) Tendencia relacionadas con amenazas y
vulnerabilidad.
h) Incidentes reportados de seguridad de
información.
i) Recomendaciones dadas por las
autoridades.
OBJETIVO: Definir
y dar soporte a la
S.I.
12. LA NORMA NTP Y SU ACTUALIZACIÓN
Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el
uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004
EDI. Tecnología de la Información: Código de Buenas Prácticas para la
Gestión de la Seguridad de la Información” en entidades del Sistema
Nacional de Informática.
Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana
“NTP – ISO/IEC 17799:2007 EDI.
14. Se necesita una política que
refleje las expectativas de
la organización en materia de
seguridad, a fin de suministrar
administración con dirección y
soporte. La política también se
puede utilizar como base para
el estudio y evaluación en
curso.
Sugiere diseñar una estructura
de administración dentro la
organización, que establezca la
responsabilidad de los grupos en
ciertas áreas de la seguridad y un
proceso para el manejo de
respuesta a incidentes.
15. Inventario de los recursos
de información de la
organización y con base en
este conocimiento, debe
asegurar que se brinde un
nivel adecuado de
protección.
Necesidad de educar e
informar a los empleados
actuales y potenciales sobre
lo que se espera de ellos
en materia de seguridad y
asuntos de confidencialidad.
Implementa un plan para
reportar los incidentes.
16. Responde a la necesidad
de proteger las áreas, el
equipo y los controles
generales.
objetivos de esta sección son:
• Asegurar el funcionamiento correcto y seguro
de las instalaciones de procesamiento de la
información.
• Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la
información.
• Conservar la integridad y disponibilidad del
procesamiento y la comunicación de la
información.
• Garantizar la protección de la información en
las redes y de la infraestructura de soporte.
• Evitar daños a los recursos de información e
interrupciones en las actividades de la
institución.
• Evitar la pérdida, modificación o uso indebido
de la información que intercambian las
organizaciones.
17. Establece la importancia de
monitorear y controlar el
acceso a la red y los recursos
de aplicación como protección
contra los abusos internos e
intrusos externos.
Recuerda que en toda labor de
la tecnología de la información,
se debe implementar y mantener
la seguridad mediante el uso de
controles de seguridad en todas
las etapas del proceso.
18. Asegurar que los eventos y
debilidades en la seguridad de la
información sean comunicados de
manera que permitan una acción
correctiva a tiempo.
Aconseja estar preparado para
contrarrestar las interrupciones
en las actividades de la
organización y para proteger
los procesos importantes de la
organización en caso de una
falla grave o desastre.
19. Evitar brechas de cualquier ley civil o
criminal, estatutos, obligaciones regulatorias
o contractuales y de cualquier requerimiento
de seguridad.
20. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDADA
1. Organización Interna
La organización interna tiene como objetivo gestionar la seguridad de la información dentro de
la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar
la implantación de la seguridad de la información dentro de la organización y/o empresa.
Comité de gestión de seguridad de la información
La gerencia debe apoyar activamente en la seguridad dentro de la organización a
través de direcciones claras demostrando compromiso, asignaciones explicitas y
reconocimiento de las responsabilidades de la seguridad de información.
Coordinación de la seguridad de la información
La información de las actividades de seguridad deben ser coordinadas por
representantes de diferentes partes de la organización con roles relevantes y
funciones de trabajo.
21. Asignación de responsabilidades sobre seguridad de la información
Deberían definirse claramente las responsabilidades.
Proceso de autorización de recursos para el tratamiento de la información
Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de
tratamiento de la información.
Acuerdos de confidencialidad
de confidencialidad o acuerdos de no divulgación para la protección de información
deben ser identificadas y revisadas regularmente.
Contacto con autoridades
Deben ser mantenidos contactos apropiados con autoridades relevantes.
Contacto con grupos de interés especial
Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en
foros de seguridad y asociaciones profesionales.
22. Revisión independiente de la seguridad de la información.
alcance de la organización para gestionar la seguridad de información y su
implementación deben ser revisados independientemente en intervalos
planificados cuando cambios significativos a la puesta en marcha de la seguridad
ocurran.
2. Seguridad en los accesos de terceras partes
La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad
de que los recursos de tratamiento de la información y de los activos de información de la
organización sean accesibles por terceros.
Identificación de riesgos por el acceso de terceros
Los riesgos a la información de la organización y a las instalaciones del procesamiento
de información desde los procesos del negocio que impliquen a terceros deben ser
identificados y se debe implementar controles apropiados antes de conceder el acceso
a los mismos.
Requisitos de seguridad cuando sea trata con clientes
Todos los requisitos identificados de seguridad deben ser anexados antes de dar a
los clientes acceso a la información o a los activos de la organización.
23. CLASIFICACIÓN Y CONTROL DE ACTIVOS
Respecto a las herramientas necesarias, se trata de elaborar unas bases de datos,
para lo cual debería bastarte con los programas informáticos más habituales.
Desde Internet es posible descargar modelos de hojas de inventario en Excel.
Según vayas haciendo el recuento de las existencias físicas reales (tal como se les
denomina en la jerga), producto a producto y referencia a referencia, y sepas el número
de unidades que tienes de cada cosa, es importante que introduzcas esa cifra en una
aplicación informática. Eso te permitirá comparar el dato con el que figura en tus archivos
de control. En caso de que haya diferencias en los números, estaremos ante una
desviación, ya sea negativa o positiva (que falten o sobren productos).
Si concluido este recuento resulta que tus existencias no coinciden finalmente con las
que esperabas, has de hacer una valoración de esa desviación o desajuste para
proceder a su regularización.
Dicho de forma más sencilla: debes ajustar las cifras de tus libros de acuerdo con la
realidad. Cuando realizas el recuento del inventario, estás obteniendo también los datos
para tu inventario contable, y la regularización es por tanto “una regularización contable,
que afecta al balance de la compañía”, explica Márquez de la Cuesta.
24. TUS MÁRGENES DE MANIOBRA
A modo de referencia, que sepas que siguiendo la llamada “clasificación ABC” las
empresas suelen considerar admisible una desviación distinta dependiendo del tipo
de producto. Para los artículos de clase A (los más valiosos para tu negocio), la
desviación debería ser de cero; en la clase B se toleraría una máxima del +/-1%,
mientras que en los productos de clase C se admite un margen máximo de hasta dos
puntos porcentuales.
Si los desajustes son graves, puedes plantearte hacer un análisis histórico de los
movimientos de entrada y salida, en busca de posibles fallos en los registros que te
aclaren los bailes de cifras y ayuden a evitar otros.
“En ese caso –aclara Márquez de la Cuesta–, en lugar de una regularización contable
lo que tendrías que hacer es la rectificación de un movimiento erróneo”.
25. LA SEGURIDAD DE LA INFORMACIÓN EN LOS RECURSOS HUMANOS
Se dedica a la gestión de Recursos Humanos
¿Qué es seguridad de la información?
consiste en proteger uno de los principales activos de cualquier empresa:
la información
Los tres fundamentos básicos de la seguridad en la información son:
Confidencialidad. La información debe ser accedida sólo por las personas
autorizadas a recibirla.
Integridad. La información debe ser correcta y completa.
Disponibilidad. La información debe estar disponible siempre que sea
necesario.
¿Qué tiene que ver la seguridad con los Recursos Humanos?
al igual que la mayoría de los ámbitos de la gestión empresarial, depende
principalmente de las personas que componen la Organización. deben gestionar
adecuadamente este importante recurso de la empresa.
26. ¿No debe ser el departamento de Seguridad quien se encargue de estos temas?
no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la
Organización. Cada área de Negocio juega su papel Pero sin duda, una de las áreas que
más importancia tiene en la seguridad de la información es el departamento encargado
de gestionar los Recursos Humanos.
Reclutamiento y salida de empleados
Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una
Organización: El inicio de su actividad profesional y la finalización de la misma.
Reclutamiento
Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a
cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir
su criterio propio.
Selección: En la selección de candidatos a puestos críticos se deben comprobar los
antecedentes penales y las referencias profesionales.
Contrato: El contrato laboral debe incluir los correspondientes acuerdos de
confidencialidad, propiedad intelectual y protección de datos.
27. Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado:
•Asista a unas sesiones de formación donde se le introduzca en la normativa interna y
de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de
seguridad tales como la protección de sus claves de acceso, uso adecuado del email e
internet, clasificación de la información, etc.
•Reciba el manual de normativa interna y firme el compromiso de cumplimiento del
mismo. Este trámite establece formalmente las normas internas y garantiza que el
empleado conoce la normativa existente.
Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados
siempre por el responsable directo del empleado al departamento de IT o HelpDesk.
Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso
de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión.
Salida de empleados
La salida de un empleado es un punto crítico de riesgo para la Organización. Recursos
Humanos se encarga de realizar los trámites legales de la baja, mientras que el
responsable del emplea IT se ocupa de dar de baja sus accesos Este escenario acaba
degenerando en problemas Para evitar todo esto, debe existir un procedimiento de bajas
que tenga en cuenta los siguientes aspectos
28. Clasificación de las bajas: El responsable del empleado junto con Recursos
Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo
de posibles categorías sería:
•Baja normal, si se produce en circunstancias normales y sin conflictos.
•Baja cautelar, si se produce en circunstancias normales, pero con la que hay
que tener una vigilancia especial en los accesos y documentación que obra en
poder del empleado: personal con acceso a información sensible,
administradores de sistemas, etc.
•Baja crítica si se produce en circunstancias especiales: despidos, problemas
con el empleado, etc.
Comunicación de las bajas: Tan pronto como se conozca la baja de un
empleado, Recursos Humanos debe comunicar las bajas de personal a
Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la
baja, su clasificación y cualquier medida o control especial que sea necesario
realizar.
Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el
plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe
realizarse de forma inmediata). Debe efectuarse la retirada de:
•accesos físicos (llaves, cajas fuertes, llaves electrónicas)
•accesos lógicos (email, acceso a la red y servidores, etc)
•material de la empresa (portátil, móvil, etc)
29. La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación
de la misma:
•realización de copias de seguridad de la información sensible
•supervisión de los accesos hasta el día de la baja
•cancelación preventiva de los accesos más críticos