SlideShare une entreprise Scribd logo

Seguridad informática

Télécharger en tant que PPTX, PDF
Jesenia Ocaña Escobar
Jesenia Ocaña Escobar
1  sur  29
Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar las disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.
INFORMÁTICA TV RADIO PC IMPRESORA FOTOCOPIADORA INTERNET
Es el método permitido por las empresas para proteger el sistema informático. Personas de alto conocimiento en el sector informático cuyo fin tiene cumplir la información. ETHICAL HACKING HACKER
DATOS CONTRATOS PLANTILLAS CUENTAS BANCARIAS WEB IMEI: Identificación del celular IP: Identificación del equipo en la red INFORMACIÓN
GENERALIDADES LA FAMILIA ISO NORMAS ISO 9 000 NORMAS ISO 10 000 NORMAS ISO 14 000 NORMAS ISO 27 000 La información estándar ISO tiene sus siglas como significado “Organización Internacional de Normalización”. CERTIFICACIÓN DE CALIDAD Evalúa los productos que ofrece los proveedores para su exportación a nivel internacional NORMAS ISO
Sistema de gestión de calidad, fundamentos, vocabulario, requisitos, elementos del sistema de calidad, directrices para la mejora del desempeño. Guías para implementar sistemas de gestión de calidad, reportes técnicos, planes de calidad, gestión de proyectos, gestión de aspectos económicos. ISO 10 000 ISO 9 000
Sistema de gestión ambiental de las organizaciones. Principios ambientales, etiquetado ambiental, siclo de vida del producto programas de revisión ambiental auditorias. Es el conjunto de estándares desarrollados o en fase de desarrollo por ISO e IEC , que proporciona un marco de la gestión de la seguridad de la información utilizable por cualquier tipo de organización pública o privada, grande o pequeña. ISO 14 000 ISO 27 000
La Certificación de Producto es un proceso mediante el cual se garantiza la calidad y/o las características de un producto final según lo establecido en una norma específica u otros documentos preestablecidos. Este proceso comprende la realización de auditorías en las empresas objeto de certificación, mediante la evaluación de los sistemas de calidad y de producción de las empresas, mediante la evaluación de ensayos de muestras tomadas en fábrica y de los productos finales. PROCESO DE SERTIFICACIÓN
Oficina Nacional De Gobierno Electrónico E Informática .es el órgano técnico especializado que depende del despacho de la PCM ”Presidencia Del Consejo De Ministros”. TIPOS DE AMENAZAS oEscalamiento de privilegios. oFraudes informáticos. oPuertos vulnerables abiertos. oViolación de la privacidad de los empleados. oDenegación de servicio. oÚltimos parches no instalados. oDestrucción de equipamiento. oDesactualización. oInstalaciones default. oPassword cracking. oExploits. ONGEI
ONGEI ENTIDAD POLÍTICA DE SEG. INFORMÁTICA DOCUMENTOS DE POLÍTICA DE S.I. REVISIÓN Y EVALUACIÓN CONTROL GUíA DE IMPLEMENTACIÓN CONTROL GUÍA DE IMPLEMENTACIÓN Revisión y planificación con el fin de asegurar su uso continuo. Aprobar, publicar y comunicar. a) Definición general S.I. objetivos globales. b) El soporte de aspectos generales. c) Evaluación y riesgo. d) Breve explicación de las políticas. e) Responsabilidades e incidencias. f) Referencia y sustentación. a) Retroalimentación. b) Resultados. c) Acciones preventivas y correctivas. d) Resultado de revisiones. e) Desarrollo de proceso y cumplimiento. f) Posibles cambios que puedan afectar el alcance de la organización. g) Tendencia relacionadas con amenazas y vulnerabilidad. h) Incidentes reportados de seguridad de información. i) Recomendaciones dadas por las autoridades. OBJETIVO: Definir y dar soporte a la S.I.
LA NORMA NTP Y SU ACTUALIZACIÓN  Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.  Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
LOS 11 DOMINIOS
Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.
Responde a la necesidad de proteger las áreas, el equipo y los controles generales. objetivos de esta sección son: • Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. • Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. • Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. • Garantizar la protección de la información en las redes y de la infraestructura de soporte. • Evitar daños a los recursos de información e interrupciones en las actividades de la institución. • Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.
Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
ASPECTOS ORGANIZATIVOS PARA LA SEGURIDADA 1. Organización Interna La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa. Comité de gestión de seguridad de la información La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información. Coordinación de la seguridad de la información La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.
Asignación de responsabilidades sobre seguridad de la información Deberían definirse claramente las responsabilidades. Proceso de autorización de recursos para el tratamiento de la información Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información. Acuerdos de confidencialidad de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente. Contacto con autoridades Deben ser mantenidos contactos apropiados con autoridades relevantes. Contacto con grupos de interés especial Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales.
Revisión independiente de la seguridad de la información. alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran. 2. Seguridad en los accesos de terceras partes La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros. Identificación de riesgos por el acceso de terceros Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos. Requisitos de seguridad cuando sea trata con clientes Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.
CLASIFICACIÓN Y CONTROL DE ACTIVOS Respecto a las herramientas necesarias, se trata de elaborar unas bases de datos, para lo cual debería bastarte con los programas informáticos más habituales. Desde Internet es posible descargar modelos de hojas de inventario en Excel. Según vayas haciendo el recuento de las existencias físicas reales (tal como se les denomina en la jerga), producto a producto y referencia a referencia, y sepas el número de unidades que tienes de cada cosa, es importante que introduzcas esa cifra en una aplicación informática. Eso te permitirá comparar el dato con el que figura en tus archivos de control. En caso de que haya diferencias en los números, estaremos ante una desviación, ya sea negativa o positiva (que falten o sobren productos). Si concluido este recuento resulta que tus existencias no coinciden finalmente con las que esperabas, has de hacer una valoración de esa desviación o desajuste para proceder a su regularización. Dicho de forma más sencilla: debes ajustar las cifras de tus libros de acuerdo con la realidad. Cuando realizas el recuento del inventario, estás obteniendo también los datos para tu inventario contable, y la regularización es por tanto “una regularización contable, que afecta al balance de la compañía”, explica Márquez de la Cuesta.
TUS MÁRGENES DE MANIOBRA A modo de referencia, que sepas que siguiendo la llamada “clasificación ABC” las empresas suelen considerar admisible una desviación distinta dependiendo del tipo de producto. Para los artículos de clase A (los más valiosos para tu negocio), la desviación debería ser de cero; en la clase B se toleraría una máxima del +/-1%, mientras que en los productos de clase C se admite un margen máximo de hasta dos puntos porcentuales. Si los desajustes son graves, puedes plantearte hacer un análisis histórico de los movimientos de entrada y salida, en busca de posibles fallos en los registros que te aclaren los bailes de cifras y ayuden a evitar otros. “En ese caso –aclara Márquez de la Cuesta–, en lugar de una regularización contable lo que tendrías que hacer es la rectificación de un movimiento erróneo”.
LA SEGURIDAD DE LA INFORMACIÓN EN LOS RECURSOS HUMANOS Se dedica a la gestión de Recursos Humanos ¿Qué es seguridad de la información? consiste en proteger uno de los principales activos de cualquier empresa: la información Los tres fundamentos básicos de la seguridad en la información son: Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla. Integridad. La información debe ser correcta y completa. Disponibilidad. La información debe estar disponible siempre que sea necesario. ¿Qué tiene que ver la seguridad con los Recursos Humanos? al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. deben gestionar adecuadamente este importante recurso de la empresa.
¿No debe ser el departamento de Seguridad quien se encargue de estos temas? no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la Organización. Cada área de Negocio juega su papel Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos. Reclutamiento y salida de empleados Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma. Reclutamiento Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio. Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales. Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos.
Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado: •Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc. •Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente. Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión. Salida de empleados La salida de un empleado es un punto crítico de riesgo para la Organización. Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del emplea IT se ocupa de dar de baja sus accesos Este escenario acaba degenerando en problemas Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos
Clasificación de las bajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería: •Baja normal, si se produce en circunstancias normales y sin conflictos. •Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc. •Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc. Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar. Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de: •accesos físicos (llaves, cajas fuertes, llaves electrónicas) •accesos lógicos (email, acceso a la red y servidores, etc) •material de la empresa (portátil, móvil, etc)
La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma: •realización de copias de seguridad de la información sensible •supervisión de los accesos hasta el día de la baja •cancelación preventiva de los accesos más críticos

Recommandé

Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCastillo'S Legal Solutions
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 

Recommandé

Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCastillo'S Legal Solutions
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasRogger Cárdenas González
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridadBella Romero Aguillón
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónRicardo Antequera
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799Lilia Quituisaca-Samaniego
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Normatecnica
NormatecnicaNormatecnica
NormatecnicaJhon Egoavil
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
PRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfPRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfruddy78
 

Contenu connexe

Tendances

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informaticaDC FCP
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónRicardo Antequera
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 

Tendances (20)

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Pdictseguridadinformaticapoliticas
PdictseguridadinformaticapoliticasPdictseguridadinformaticapoliticas
Pdictseguridadinformaticapoliticas
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingenciasPolíticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
 
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica2023909 manual-de-politicas-y-normas-de-seguridad-informatica
2023909 manual-de-politicas-y-normas-de-seguridad-informatica
 
Nist
NistNist
Nist
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticos
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Normatecnica
NormatecnicaNormatecnica
Normatecnica
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 

Similaire à Seguridad informática

PRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfPRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfruddy78
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redesmaryluz54
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoriajoseaunefa
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 

Similaire à Seguridad informática (20)

Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
PRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfPRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdf
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Modulo
ModuloModulo
Modulo
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redes
 
Taller 3
Taller 3Taller 3
Taller 3
 
Taller 3
Taller 3Taller 3
Taller 3
 
Si semana08 riesgos
Si semana08 riesgosSi semana08 riesgos
Si semana08 riesgos
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
 
Proceso de auditoria
Proceso de auditoriaProceso de auditoria
Proceso de auditoria
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 

Plus de Jesenia Ocaña Escobar

Actividades para mantenimiento preventivo
Actividades para mantenimiento preventivoActividades para mantenimiento preventivo
Actividades para mantenimiento preventivoJesenia Ocaña Escobar
 
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICO
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICOORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICO
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICOJesenia Ocaña Escobar
 

Plus de Jesenia Ocaña Escobar (8)

Tcp ip
Tcp ipTcp ip
Tcp ip
 
Jesenia
JeseniaJesenia
Jesenia
 
Actividades para mantenimiento preventivo
Actividades para mantenimiento preventivoActividades para mantenimiento preventivo
Actividades para mantenimiento preventivo
 
Mantenimiento preventivo (1)
Mantenimiento preventivo (1)Mantenimiento preventivo (1)
Mantenimiento preventivo (1)
 
Mantenimiento preventivo
Mantenimiento preventivoMantenimiento preventivo
Mantenimiento preventivo
 
5to dominio
5to dominio5to dominio
5to dominio
 
Seguridad fìsica y del entorno
Seguridad fìsica y del entornoSeguridad fìsica y del entorno
Seguridad fìsica y del entorno
 
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICO
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICOORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICO
ORGANIZACIÓN Y ADMINISTRACIÓN DE SOPORTE TÉCNICO
 

Seguridad informática

  • 1.
  • 2. Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas que tienen como objetivo garantizar las disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.
  • 4. Es el método permitido por las empresas para proteger el sistema informático. Personas de alto conocimiento en el sector informático cuyo fin tiene cumplir la información. ETHICAL HACKING HACKER
  • 5. DATOS CONTRATOS PLANTILLAS CUENTAS BANCARIAS WEB IMEI: Identificación del celular IP: Identificación del equipo en la red INFORMACIÓN
  • 6. GENERALIDADES LA FAMILIA ISO NORMAS ISO 9 000 NORMAS ISO 10 000 NORMAS ISO 14 000 NORMAS ISO 27 000 La información estándar ISO tiene sus siglas como significado “Organización Internacional de Normalización”. CERTIFICACIÓN DE CALIDAD Evalúa los productos que ofrece los proveedores para su exportación a nivel internacional NORMAS ISO
  • 7. Sistema de gestión de calidad, fundamentos, vocabulario, requisitos, elementos del sistema de calidad, directrices para la mejora del desempeño. Guías para implementar sistemas de gestión de calidad, reportes técnicos, planes de calidad, gestión de proyectos, gestión de aspectos económicos. ISO 10 000 ISO 9 000
  • 8. Sistema de gestión ambiental de las organizaciones. Principios ambientales, etiquetado ambiental, siclo de vida del producto programas de revisión ambiental auditorias. Es el conjunto de estándares desarrollados o en fase de desarrollo por ISO e IEC , que proporciona un marco de la gestión de la seguridad de la información utilizable por cualquier tipo de organización pública o privada, grande o pequeña. ISO 14 000 ISO 27 000
  • 9. La Certificación de Producto es un proceso mediante el cual se garantiza la calidad y/o las características de un producto final según lo establecido en una norma específica u otros documentos preestablecidos. Este proceso comprende la realización de auditorías en las empresas objeto de certificación, mediante la evaluación de los sistemas de calidad y de producción de las empresas, mediante la evaluación de ensayos de muestras tomadas en fábrica y de los productos finales. PROCESO DE SERTIFICACIÓN
  • 10. Oficina Nacional De Gobierno Electrónico E Informática .es el órgano técnico especializado que depende del despacho de la PCM ”Presidencia Del Consejo De Ministros”. TIPOS DE AMENAZAS oEscalamiento de privilegios. oFraudes informáticos. oPuertos vulnerables abiertos. oViolación de la privacidad de los empleados. oDenegación de servicio. oÚltimos parches no instalados. oDestrucción de equipamiento. oDesactualización. oInstalaciones default. oPassword cracking. oExploits. ONGEI
  • 11. ONGEI ENTIDAD POLÍTICA DE SEG. INFORMÁTICA DOCUMENTOS DE POLÍTICA DE S.I. REVISIÓN Y EVALUACIÓN CONTROL GUíA DE IMPLEMENTACIÓN CONTROL GUÍA DE IMPLEMENTACIÓN Revisión y planificación con el fin de asegurar su uso continuo. Aprobar, publicar y comunicar. a) Definición general S.I. objetivos globales. b) El soporte de aspectos generales. c) Evaluación y riesgo. d) Breve explicación de las políticas. e) Responsabilidades e incidencias. f) Referencia y sustentación. a) Retroalimentación. b) Resultados. c) Acciones preventivas y correctivas. d) Resultado de revisiones. e) Desarrollo de proceso y cumplimiento. f) Posibles cambios que puedan afectar el alcance de la organización. g) Tendencia relacionadas con amenazas y vulnerabilidad. h) Incidentes reportados de seguridad de información. i) Recomendaciones dadas por las autoridades. OBJETIVO: Definir y dar soporte a la S.I.
  • 12. LA NORMA NTP Y SU ACTUALIZACIÓN  Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana “NTP – ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información” en entidades del Sistema Nacional de Informática.  Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana “NTP – ISO/IEC 17799:2007 EDI.
  • 14. Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
  • 15. Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.
  • 16. Responde a la necesidad de proteger las áreas, el equipo y los controles generales. objetivos de esta sección son: • Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. • Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. • Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. • Garantizar la protección de la información en las redes y de la infraestructura de soporte. • Evitar daños a los recursos de información e interrupciones en las actividades de la institución. • Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
  • 17. Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
  • 18. Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre.
  • 19. Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
  • 20. ASPECTOS ORGANIZATIVOS PARA LA SEGURIDADA 1. Organización Interna La organización interna tiene como objetivo gestionar la seguridad de la información dentro de la organización para lo cual debe establecerse una estructura de gestión para iniciar y controlar la implantación de la seguridad de la información dentro de la organización y/o empresa. Comité de gestión de seguridad de la información La gerencia debe apoyar activamente en la seguridad dentro de la organización a través de direcciones claras demostrando compromiso, asignaciones explicitas y reconocimiento de las responsabilidades de la seguridad de información. Coordinación de la seguridad de la información La información de las actividades de seguridad deben ser coordinadas por representantes de diferentes partes de la organización con roles relevantes y funciones de trabajo.
  • 21. Asignación de responsabilidades sobre seguridad de la información Deberían definirse claramente las responsabilidades. Proceso de autorización de recursos para el tratamiento de la información Debería establecerse un proceso de autorización para la gestión de cada nuevo recurso de tratamiento de la información. Acuerdos de confidencialidad de confidencialidad o acuerdos de no divulgación para la protección de información deben ser identificadas y revisadas regularmente. Contacto con autoridades Deben ser mantenidos contactos apropiados con autoridades relevantes. Contacto con grupos de interés especial Deben mantenerse contactos apropiados con grupos de interés especial u otros especialistas en foros de seguridad y asociaciones profesionales.
  • 22. Revisión independiente de la seguridad de la información. alcance de la organización para gestionar la seguridad de información y su implementación deben ser revisados independientemente en intervalos planificados cuando cambios significativos a la puesta en marcha de la seguridad ocurran. 2. Seguridad en los accesos de terceras partes La seguridad en los accesos de terceras partes tiene como objetivo mantener la seguridad de que los recursos de tratamiento de la información y de los activos de información de la organización sean accesibles por terceros. Identificación de riesgos por el acceso de terceros Los riesgos a la información de la organización y a las instalaciones del procesamiento de información desde los procesos del negocio que impliquen a terceros deben ser identificados y se debe implementar controles apropiados antes de conceder el acceso a los mismos. Requisitos de seguridad cuando sea trata con clientes Todos los requisitos identificados de seguridad deben ser anexados antes de dar a los clientes acceso a la información o a los activos de la organización.
  • 23. CLASIFICACIÓN Y CONTROL DE ACTIVOS Respecto a las herramientas necesarias, se trata de elaborar unas bases de datos, para lo cual debería bastarte con los programas informáticos más habituales. Desde Internet es posible descargar modelos de hojas de inventario en Excel. Según vayas haciendo el recuento de las existencias físicas reales (tal como se les denomina en la jerga), producto a producto y referencia a referencia, y sepas el número de unidades que tienes de cada cosa, es importante que introduzcas esa cifra en una aplicación informática. Eso te permitirá comparar el dato con el que figura en tus archivos de control. En caso de que haya diferencias en los números, estaremos ante una desviación, ya sea negativa o positiva (que falten o sobren productos). Si concluido este recuento resulta que tus existencias no coinciden finalmente con las que esperabas, has de hacer una valoración de esa desviación o desajuste para proceder a su regularización. Dicho de forma más sencilla: debes ajustar las cifras de tus libros de acuerdo con la realidad. Cuando realizas el recuento del inventario, estás obteniendo también los datos para tu inventario contable, y la regularización es por tanto “una regularización contable, que afecta al balance de la compañía”, explica Márquez de la Cuesta.
  • 24. TUS MÁRGENES DE MANIOBRA A modo de referencia, que sepas que siguiendo la llamada “clasificación ABC” las empresas suelen considerar admisible una desviación distinta dependiendo del tipo de producto. Para los artículos de clase A (los más valiosos para tu negocio), la desviación debería ser de cero; en la clase B se toleraría una máxima del +/-1%, mientras que en los productos de clase C se admite un margen máximo de hasta dos puntos porcentuales. Si los desajustes son graves, puedes plantearte hacer un análisis histórico de los movimientos de entrada y salida, en busca de posibles fallos en los registros que te aclaren los bailes de cifras y ayuden a evitar otros. “En ese caso –aclara Márquez de la Cuesta–, en lugar de una regularización contable lo que tendrías que hacer es la rectificación de un movimiento erróneo”.
  • 25. LA SEGURIDAD DE LA INFORMACIÓN EN LOS RECURSOS HUMANOS Se dedica a la gestión de Recursos Humanos ¿Qué es seguridad de la información? consiste en proteger uno de los principales activos de cualquier empresa: la información Los tres fundamentos básicos de la seguridad en la información son: Confidencialidad. La información debe ser accedida sólo por las personas autorizadas a recibirla. Integridad. La información debe ser correcta y completa. Disponibilidad. La información debe estar disponible siempre que sea necesario. ¿Qué tiene que ver la seguridad con los Recursos Humanos? al igual que la mayoría de los ámbitos de la gestión empresarial, depende principalmente de las personas que componen la Organización. deben gestionar adecuadamente este importante recurso de la empresa.
  • 26. ¿No debe ser el departamento de Seguridad quien se encargue de estos temas? no sólo debe implicar al Director de Seguridad, sino que debe ser compartida por toda la Organización. Cada área de Negocio juega su papel Pero sin duda, una de las áreas que más importancia tiene en la seguridad de la información es el departamento encargado de gestionar los Recursos Humanos. Reclutamiento y salida de empleados Existen dos puntos fundamentales en el ciclo de vida de todo empleado en una Organización: El inicio de su actividad profesional y la finalización de la misma. Reclutamiento Definición del puesto: Para cada nueva vacante se debe definir la criticidad del puesto a cubrir según su responsabilidad y la información que maneja. Cada empresa debe definir su criterio propio. Selección: En la selección de candidatos a puestos críticos se deben comprobar los antecedentes penales y las referencias profesionales. Contrato: El contrato laboral debe incluir los correspondientes acuerdos de confidencialidad, propiedad intelectual y protección de datos.
  • 27. Comienzo: Durante los primeros días de trabajo, es recomendable que el empleado: •Asista a unas sesiones de formación donde se le introduzca en la normativa interna y de seguridad de la empresa. De este modo todo empleado conoce sus obligaciones de seguridad tales como la protección de sus claves de acceso, uso adecuado del email e internet, clasificación de la información, etc. •Reciba el manual de normativa interna y firme el compromiso de cumplimiento del mismo. Este trámite establece formalmente las normas internas y garantiza que el empleado conoce la normativa existente. Accesos: Los accesos a la información y sistemas informáticos deben ser solicitados siempre por el responsable directo del empleado al departamento de IT o HelpDesk. Dichos accesos deben ser siempre justificables por la labor que se va a realizar, y en caso de ser privilegiados, el Departamento de Seguridad debe aprobar su concesión. Salida de empleados La salida de un empleado es un punto crítico de riesgo para la Organización. Recursos Humanos se encarga de realizar los trámites legales de la baja, mientras que el responsable del emplea IT se ocupa de dar de baja sus accesos Este escenario acaba degenerando en problemas Para evitar todo esto, debe existir un procedimiento de bajas que tenga en cuenta los siguientes aspectos
  • 28. Clasificación de las bajas: El responsable del empleado junto con Recursos Humanos deben clasificar la baja según las circunstancias que la rodean. Un ejemplo de posibles categorías sería: •Baja normal, si se produce en circunstancias normales y sin conflictos. •Baja cautelar, si se produce en circunstancias normales, pero con la que hay que tener una vigilancia especial en los accesos y documentación que obra en poder del empleado: personal con acceso a información sensible, administradores de sistemas, etc. •Baja crítica si se produce en circunstancias especiales: despidos, problemas con el empleado, etc. Comunicación de las bajas: Tan pronto como se conozca la baja de un empleado, Recursos Humanos debe comunicar las bajas de personal a Seguridad. En la comunicación se debe indicar el nombre, la fecha efectiva de la baja, su clasificación y cualquier medida o control especial que sea necesario realizar. Gestión de las bajas: Seguridad debe coordinar que la baja se produzca en el plazo adecuado dependiendo de la clasificación (por ejemplo, una baja crítica debe realizarse de forma inmediata). Debe efectuarse la retirada de: •accesos físicos (llaves, cajas fuertes, llaves electrónicas) •accesos lógicos (email, acceso a la red y servidores, etc) •material de la empresa (portátil, móvil, etc)
  • 29. La gestión de la baja también puede incluir otras medidas dependiendo de la clasificación de la misma: •realización de copias de seguridad de la información sensible •supervisión de los accesos hasta el día de la baja •cancelación preventiva de los accesos más críticos