SlideShare uma empresa Scribd logo

Seguridad

Transferir como PPTX, PDF
F
Fipy_exe
Tecnologia
1 de 36
SEGURIDAD INFORMÁTICA Administración de Centros de Información Ing. Carlos Alfredo Gil Narvaez
Seguridad  La necesidad de mantener la reserva y confidencialidad de la información relacionada a la organización como a sus usuarios o clientes es crítica; es por ello que se debe implantar un Sistema de Seguridad Informática, en el cual se incluyen un conjunto de políticas, procedimientos y estrategias que permitirá mantener y mejorar la confidencialidad, integridad y disponibilidad de los sistemas informáticos y de la información.
Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
¿Que es el Riesgo?  Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablemente el logro de los objetivos estratégicos, operacionales, de cumplimiento y/o reporte. Riesgo = P(posibilidad u ocurrencia) x I(impacto) Un evento es un acontecimiento procedente de factores internos (infraestructura, personal, procesos, tecnología) o externos (económicos, medioambientales, político, sociales, tecnológicos) que tiene un impacto negativo para la Compañía.
Principales Categorías de Riesgo  Riesgo Estratégico  Riesgo de Prestigio  Riesgo de Cumplimiento  Riesgo Operacional  Riesgo de Estrategia de Salida  Riesgo País  Riesgo Contractual  Riesgo de Acceso  Riesgo Sistémico y de Concentración
Gestión del Riesgo: Enfoque Metodológico
Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
Incidentes relevantes
Incidentes relevantes
Incidentes relevantes
Incidentes relevantes
Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
Seguridad de la Información  La seguridad de la información consiste en procesos y controles diseñados para proteger la información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de:  asegurar la continuidad del negocio;  minimizar posibles daños al negocio;  maximizar oportunidades de negocios.
Seguridad de la información (Cont…)  La seguridad de la información se caracteriza aquí como la preservación de:  su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;  Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos;  Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran
Alcance de la seguridad  Tecnologías.  Sistemas aplicativos  Base de Datos  Computadoras portables  Correo electrónico  Internet/Intranet  Cintas Magnéticas  CD  Telefonía  Transmisiones satelitales  Video Conferencias  DVD  Documentos Impresos  Planillas e informes de trabajo  Publicaciones internas  Publicaciones a terceros  Comprobantes Legales  Planos  Manuales y otros  Gente  Conocimiento propio de las personas  Documentación de la compañía fuera de la misma
Sistema de Gestión de la Seguridad  El Sistema de Gestión de Seguridad de la Información es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información.  El propósito de un sistema de gestión de la seguridad es garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías.  La definición de la información crítica de la información es un factor clave el diseño de un sistema de seguridad.
Análisis de la información
Ciclo del proceso.
Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
Amenazas  Información Privada compartida en la Red  Accesos no Autorizados a la Información de la empresa.  Interrupción de los Servicios Informáticos  Recepción de mails engañosos  Claves de usuarios compartidas
Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP-ISO/IEC 17799:2007
Requerimientos legales y/o regulatorios
NTP-ISO/IEC 17799: 2007  Esta norma contiene 11 cláusulas de control de seguridad y una cláusula introductoria conteniendo temas de evaluación y tratamiento del riesgo: a)Política de Seguridad b)Organizando la seguridad de la Información c)Gestión de activos d)Seguridad en Recursos Humanos e)Seguridad física y ambiental f)Gestión de comunicaciones y operaciones g)Control de acceso h)Adquisición, desarrollo y mantenimientos de sistemas de información i)Gestión de incidentes de los sistemas de información j)Gestión de la continuidad del negocio k)Cumplimiento  Esta norma incluye 39 categorías que se describen mediante: Un objetivo de control declarando lo que se debe alcanzar Uno o más controles que pueden ser aplicados para alcanzar el objetivo
Beneficios  Permite minimizar los riesgos.  Proteger la información crítica, a través de una gestión estructurada y permanente, sobre la base de un análisis y evaluación del riesgo.  Permite lograr prácticas efectivas en la gestión de seguridad, considerando controles de seguridad recomendados por las mejores prácticas de la industria.  Permite establecer un marco para la certificación ISO17799
SEGURIDAD DE LAS APLICACIONES Administración de Centros de Información Ing. Carlos Alfredo Gil Narvaez
Seguridad de las aplicaciones  La ingeniería del software proporciona metodologías, técnicas, modelos y herramientas para desarrollar sistemas de información de calidad que se ajusten a las necesidades del cliente. Los requisitos del sistema son el núcleo del proceso de desarrollo para poder ser debidamente integrados en los modelos de diseño y en la implementación final. Debemos ser capaces de crear una solución integrada y robusta que respete las necesidades del cliente.
Seguridad de las aplicaciones (cont…)  Por un lado los requisitos funcionales definen el comportamiento del sistema especificando funcionalidades que han de estar disponibles para satisfacer las necesidades del cliente, sin embargo estas funcionalidades pueden ser proporcionadas de varias formas, siendo los requisitos no funcionales los que indican como ha de construirse el software contemplando aspectos de rendimiento, restricciones de diseño, interfaces externas, calidad o seguridad.
Seguridad de las aplicaciones (cont…) • “Su acceso es 100% seguro porque usamos cifrado de 128 bits” • “¿Necesitamos seguridad? Usemos SSL.” • “¿Necesitamos autenticación fuerte? Lo resolveremos con PKI.” • “Usamos un cifrado secreto de grado militar.” • “Tenemos un excelente firewall.”  “Resolvamos las funcionalidades primero, y después agregaremos la seguridad.”
Seguridad en el Ciclo de Vida de un Proyecto
 Iniciación  Determinar genéricamente cuál será el valor que generará el producto.  Incluir en el equipo un miembro que será responsable por los aspectos de seguridad
• Elaboración • Recolección de requerimientos • Identificación de activos • Tangibles • Intangibles • Valuación de activos
 Construcción • Arquitectura detallada y patrones de diseño • Implementación • Pruebas • Seguridad, testing y aseguramiento de la calidad • Certificación
 Transición  Verificaciones sobre la documentación  Verificaciones sobre los procesos de manejo de bugs y manejo de incidentes  Verificaciones sobre las políticas de respaldo
Principios 1. Claridad 2. Calidad 3. Involucrar a todos los personajes clave 4. Usar tecnología probada 5. Operación a prueba de fallas 7. Privilegios apropiados 1. Mínimo privilegio 2. Privilegio necesario 8. Privilegios apropiados
Principios (cont…) 9. Interactuando con los Usuarios 1. Acerca de confiar en los usuarios 2. Ayude a los usuarios 3. Interfaces de usuario 10. Software de terceros 1. Código fuente 2. Verificación 11. Proteger o evitar la Manipulación de datos sensibles 12. ¡Ataque primero. En papel! 13. ¡Piense “fuera de la caja”! 14. ¡Sea humilde! 16. Las revisiones son su mejor aliado 1. Revisiones de diseño 2. Revisiones de código

Recomendados

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 

Recomendados

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799Lilia Quituisaca-Samaniego
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)Yadi De La Cruz
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadCore One Information Technology SA de CV
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 

Mais conteúdo relacionado

Mais procurados

DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

Mais procurados (19)

Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgos
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TI
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Semelhante a Seguridad

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Infraestructura de seguridad informática.pptx
Infraestructura de seguridad informática.pptxInfraestructura de seguridad informática.pptx
Infraestructura de seguridad informática.pptxAleexRetana
 
PRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfPRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfruddy78
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITViewnext
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 

Semelhante a Seguridad (20)

Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Infraestructura de seguridad informática.pptx
Infraestructura de seguridad informática.pptxInfraestructura de seguridad informática.pptx
Infraestructura de seguridad informática.pptx
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Infosecu
InfosecuInfosecu
Infosecu
 
PRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdfPRESENTACION DEL PROYECTO.pdf
PRESENTACION DEL PROYECTO.pdf
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Servicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad ITServicios Gestionados de Seguridad IT
Servicios Gestionados de Seguridad IT
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Seguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia DigitalSeguridad en la PYME. Tertulia Digital
Seguridad en la PYME. Tertulia Digital
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 

Último

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 

Último (20)

Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 

Seguridad

  • 1. SEGURIDAD INFORMÁTICA Administración de Centros de Información Ing. Carlos Alfredo Gil Narvaez
  • 2. Seguridad  La necesidad de mantener la reserva y confidencialidad de la información relacionada a la organización como a sus usuarios o clientes es crítica; es por ello que se debe implantar un Sistema de Seguridad Informática, en el cual se incluyen un conjunto de políticas, procedimientos y estrategias que permitirá mantener y mejorar la confidencialidad, integridad y disponibilidad de los sistemas informáticos y de la información.
  • 3. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  • 4. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  • 5. ¿Que es el Riesgo?  Riesgo es la posibilidad de que un evento ocurra y afecte desfavorablemente el logro de los objetivos estratégicos, operacionales, de cumplimiento y/o reporte. Riesgo = P(posibilidad u ocurrencia) x I(impacto) Un evento es un acontecimiento procedente de factores internos (infraestructura, personal, procesos, tecnología) o externos (económicos, medioambientales, político, sociales, tecnológicos) que tiene un impacto negativo para la Compañía.
  • 6. Principales Categorías de Riesgo  Riesgo Estratégico  Riesgo de Prestigio  Riesgo de Cumplimiento  Riesgo Operacional  Riesgo de Estrategia de Salida  Riesgo País  Riesgo Contractual  Riesgo de Acceso  Riesgo Sistémico y de Concentración
  • 7. Gestión del Riesgo: Enfoque Metodológico
  • 8. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  • 13. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  • 14. Seguridad de la Información  La seguridad de la información consiste en procesos y controles diseñados para proteger la información de su divulgación no autorizada, transferencia, modificación o destrucción, a los efectos de:  asegurar la continuidad del negocio;  minimizar posibles daños al negocio;  maximizar oportunidades de negocios.
  • 15. Seguridad de la información (Cont…)  La seguridad de la información se caracteriza aquí como la preservación de:  su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;  Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos;  Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran
  • 16. Alcance de la seguridad  Tecnologías.  Sistemas aplicativos  Base de Datos  Computadoras portables  Correo electrónico  Internet/Intranet  Cintas Magnéticas  CD  Telefonía  Transmisiones satelitales  Video Conferencias  DVD  Documentos Impresos  Planillas e informes de trabajo  Publicaciones internas  Publicaciones a terceros  Comprobantes Legales  Planos  Manuales y otros  Gente  Conocimiento propio de las personas  Documentación de la compañía fuera de la misma
  • 17. Sistema de Gestión de la Seguridad  El Sistema de Gestión de Seguridad de la Información es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información.  El propósito de un sistema de gestión de la seguridad es garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías.  La definición de la información crítica de la información es un factor clave el diseño de un sistema de seguridad.
  • 18. Análisis de la información
  • 20. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP- ISO/IEC 17799:2007
  • 21. Amenazas  Información Privada compartida en la Red  Accesos no Autorizados a la Información de la empresa.  Interrupción de los Servicios Informáticos  Recepción de mails engañosos  Claves de usuarios compartidas
  • 22. Agenda  Introducción al Riesgo Corporativo  Incidentes relevantes de Riesgos a nivel mundial, regional y local  Introducción a la Seguridad de la Información  Principales amenazas de seguridad  Beneficios del cumplimiento de la norma NTP-ISO/IEC 17799:2007
  • 24. NTP-ISO/IEC 17799: 2007  Esta norma contiene 11 cláusulas de control de seguridad y una cláusula introductoria conteniendo temas de evaluación y tratamiento del riesgo: a)Política de Seguridad b)Organizando la seguridad de la Información c)Gestión de activos d)Seguridad en Recursos Humanos e)Seguridad física y ambiental f)Gestión de comunicaciones y operaciones g)Control de acceso h)Adquisición, desarrollo y mantenimientos de sistemas de información i)Gestión de incidentes de los sistemas de información j)Gestión de la continuidad del negocio k)Cumplimiento  Esta norma incluye 39 categorías que se describen mediante: Un objetivo de control declarando lo que se debe alcanzar Uno o más controles que pueden ser aplicados para alcanzar el objetivo
  • 25. Beneficios  Permite minimizar los riesgos.  Proteger la información crítica, a través de una gestión estructurada y permanente, sobre la base de un análisis y evaluación del riesgo.  Permite lograr prácticas efectivas en la gestión de seguridad, considerando controles de seguridad recomendados por las mejores prácticas de la industria.  Permite establecer un marco para la certificación ISO17799
  • 26. SEGURIDAD DE LAS APLICACIONES Administración de Centros de Información Ing. Carlos Alfredo Gil Narvaez
  • 27. Seguridad de las aplicaciones  La ingeniería del software proporciona metodologías, técnicas, modelos y herramientas para desarrollar sistemas de información de calidad que se ajusten a las necesidades del cliente. Los requisitos del sistema son el núcleo del proceso de desarrollo para poder ser debidamente integrados en los modelos de diseño y en la implementación final. Debemos ser capaces de crear una solución integrada y robusta que respete las necesidades del cliente.
  • 28. Seguridad de las aplicaciones (cont…)  Por un lado los requisitos funcionales definen el comportamiento del sistema especificando funcionalidades que han de estar disponibles para satisfacer las necesidades del cliente, sin embargo estas funcionalidades pueden ser proporcionadas de varias formas, siendo los requisitos no funcionales los que indican como ha de construirse el software contemplando aspectos de rendimiento, restricciones de diseño, interfaces externas, calidad o seguridad.
  • 29. Seguridad de las aplicaciones (cont…) • “Su acceso es 100% seguro porque usamos cifrado de 128 bits” • “¿Necesitamos seguridad? Usemos SSL.” • “¿Necesitamos autenticación fuerte? Lo resolveremos con PKI.” • “Usamos un cifrado secreto de grado militar.” • “Tenemos un excelente firewall.”  “Resolvamos las funcionalidades primero, y después agregaremos la seguridad.”
  • 30. Seguridad en el Ciclo de Vida de un Proyecto
  • 31.  Iniciación  Determinar genéricamente cuál será el valor que generará el producto.  Incluir en el equipo un miembro que será responsable por los aspectos de seguridad
  • 32. • Elaboración • Recolección de requerimientos • Identificación de activos • Tangibles • Intangibles • Valuación de activos
  • 33.  Construcción • Arquitectura detallada y patrones de diseño • Implementación • Pruebas • Seguridad, testing y aseguramiento de la calidad • Certificación
  • 34.  Transición  Verificaciones sobre la documentación  Verificaciones sobre los procesos de manejo de bugs y manejo de incidentes  Verificaciones sobre las políticas de respaldo
  • 35. Principios 1. Claridad 2. Calidad 3. Involucrar a todos los personajes clave 4. Usar tecnología probada 5. Operación a prueba de fallas 7. Privilegios apropiados 1. Mínimo privilegio 2. Privilegio necesario 8. Privilegios apropiados
  • 36. Principios (cont…) 9. Interactuando con los Usuarios 1. Acerca de confiar en los usuarios 2. Ayude a los usuarios 3. Interfaces de usuario 10. Software de terceros 1. Código fuente 2. Verificación 11. Proteger o evitar la Manipulación de datos sensibles 12. ¡Ataque primero. En papel! 13. ¡Piense “fuera de la caja”! 14. ¡Sea humilde! 16. Las revisiones son su mejor aliado 1. Revisiones de diseño 2. Revisiones de código