SlideShare uma empresa Scribd logo

Ai seguridad de_la_informacion

Transferir como PPTX, PDF
G
GeGuMe

Seguridad de Información, Politicas y otros

Educação
1 de 32
Políticas de seguridad SEGURIDAD DE LA INFORMACION Geraldine Gutiérrez M
PORQUÉ HABLAR DE LA SEGURIDAD DE LA INFORMACIÓN?  Porque el negocio se sustenta a partir de la información que maneja.....
Estrategia de negocio Funciones y procesos de negocio ACTIVIDADES DE LA EMPRESA Diseño y ejecución de acciones para conseguir objetivo Planificación de Objetivos Control (de resultados de acciones contra objetivos) Sistemas de Información Registro de transacciones Entorno Transacciones ORGANIZACION
Porque no sólo es un tema Tecnológico.  Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos. 
CULTURA de la seguridad , responsabilidad de TODOS ACTITUD proactiva, Investigación permanente
 Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome” ¿ Entonces, por donde partir?........
RECONOCER LOS ACTIVOS DE INFORMACIÓN IMPORTANTES PARA LA INSTITUCIÓN..      Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicit udes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos
RECONOCER LAS AMENAZAS A QUE ESTÁN EXPUESTOS...   Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. Ejemplos:      Desastres naturales (terremotos, inundaciones) Errores humanos Fallas de Hardware y/o Software Fallas de servicios (electricidad) Robo
RECONOCER LAS VULNERABILIDADES Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza”  Ejemplos:   Inexistencia de procedimientos de trabajo  Concentración de funciones en una sola persona  Infraestructura insuficiente
IDENTIFICACIÓN DE RIESGOS Riesgo: “ La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo”  Que debe analizarse?   El impacto (leve ,moderado,grave)  La probabilidad (baja, media, alta)
CONTEXTO GENERAL DE SEGURIDAD valoran Propietarios Quieren minimizar definen Salvaguardas Pueden tener conciencia de Amenazas Que pueden tener explotan RIESGO RECURSOS Reducen Vulnerabili dades Permiten o facilitan Daño
PRINCIPALES PROBLEMAS:     No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. No se puede medir la severidad y la probabilidad de los riesgos. Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.
ESTÁNDARES DE SEGURIDAD  Normas Internacionales de seguridad       Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: Ejemplos ISO/IEC 17799,COBIT,ISO 15408 Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico. Ley 19.233 sobre delitos informáticos. Ley 19.628 sobre protección de los datos personales. Ley 19.799 sobre firma electrónica
¿QUÉ ES UNA POLÍTICA?  Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. ¿Qué es una Política de Seguridad? Conjunto de directrices que permiten resguardar los activos de información .
¿CÓMO DEBE SER LA POLÍTICA DE SEGURIDAD?      Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. Rayar la cancha con respecto al uso de los recursos de información. Definir la base para la estructura de seguridad de la organización. Ser un documento de apoyo a la gestión de seguridad informática. Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.
      Ser general , sin comprometerse con tecnologías específicas. Debe abarcar toda la organización Debe ser clara y evitar confuciones No debe generar nuevos problemas Debe permitir clasificar la información en confidencial, uso interno o pública. Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información.
QUÉ DEBE CONTENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN? Políticas específicas  Procedimientos  Estándares o prácticas  Estructura organizacional 
POLÍTICAS ESPECÍFICAS   Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. Ejemplo:  Política de uso de Correo Electrónico:    Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”
PROCEDIMIENTO    Define los pasos para realizar una actividad Evita que se aplique criterio personal. Ejemplo:  Procedimiento de Alta de Usuarios:     1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.
ESTÁNDAR    En muchos casos depende de la tecnología Se debe actualizar periódicamente Ejemplo:  Estándar de Instalación de PC:  Tipo de máquina:     Registro:   Para plataforma de Caja debe utilizarse máquinas Lanix Para otras plataformas debe utilizarse máquinas Compaq o HP. Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo Condiciones electricas:  Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC
QUE SE DEBE TENER EN CUENTA         Objetivo: qué se desea lograr Alcance: qué es lo que protegerá y qué áreas serán afectadas Definiciones: aclarar terminos utilizados Responsabilidades: Qué debe y no debe hacer cada persona Revisión: cómo será monitoreado el cumplimiento Aplicabilidad: En qué casos será aplicable Referencias: documentos complementarios Sanciones e incentivos
CICLO DE VIDA DEL PROYECTO Creación  Colaboración  Publicación  Educación  Cumplimiento  Enfoque Metodológico
POLÍTICAS DE SEGURIDAD Y CONTROLES    Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas Si no se tienen políticas claras , no se sabrá qué controlar. Orientación de los controles:    PREVENIR la ocurrencia de una amenaza DETECTAR la ocurrencia de una amenaza RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.
EJEMPLO:MODELO SEGURIDAD INFORMÁTICA (MSI) A PARTIR DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN INSTITUCIONALES  Estructura del modelo adoptado:  Gestión IT (Tecnologías de Información)  Operaciones IT  Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.
GESTIÓN IT Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeación y desarrollo del plan informático.  Contiene:   Objetivo y estrategia institucional  Plan Informático y comité informática  Metodología de Desarrollo y Mantención
OPERACIONES IT   Objetivo: Contar conprocedimientos formales para asegurar la operación normal de los Sistemas de Información y uso de recursos tecnológicos que sustentan la operación del negocio. Contiene:  Seguridad Física sala servidores Control de acceso a la sala  Alarmas y extinción de incendios  Aire acondicionado y control de temperaturas  UPS  Piso y red electrica  Contratos de mantención  Contratos proveedores de servicios 
 Respaldos y recuperación de información:  Ficha de servidores  Política Respaldos: diarios,semanales,mensuales, históricos  Bases de datos, correo electrónico, datos de usuarios, softawre de aplicaciones, sistemas operativos.  Administración Cintoteca: Rotulación  Custodia  Requerimientos, rotación y caduciddad de cintas.   Administración programas de licencias de software y
 Seguridad de Networking: Características y topología de la Red  Estandarización de componentes de red  Seguridad física de sites de comunicaciones  Seguridad y respaldo de enlaces  Seguridad y control de accesos de equipos de comunicaciones  Plan de direcciones IP  Control de seguridad WEB   Control y políticas de adminsitración de Antivirus Configuración  Actualización  Reportes 
 Traspaso de aplicaciones al ambiente de explotación Definición de ambientes  Definición de datos de prueba  Adminsitración de versiones de sistema de aplicaciones  Programas fuentes  Programas ejecutables  Compilación de programas  Testing:     Responsables y encargados de pruebas Pruebas de funcionalidad Pruebas de integridad Instalación de aplicaciones  Asignación de responsabilidades de harware y software para usuarios 
 Creación y eliminación de usuarios :  Internet, Correo electrónico Administración de privilegios de acceso a sistemas  Administración y rotación de password:         Caducidad de password Definición de tipo y largo de password Password de red , sistemas Password protectores de pantalla, arranque PC Fechas y tiempos de caducidad de usuarios Controles de uso de espacio en disco en serviodres Adquisición y administración equipamiento usuarios: Política de adquisiciones  Catastro computacional  Contrato proveedores equipamiento 
CONCLUSIONES        La Información es uno de los activos mas valiosos de la organización Las Políticas de seguridad permiten disminuir los riesgos Las políticas de seguridad no abordan sólo aspectos tecnológicos El compromiso e involucramiento de todos es la premisa básica para que sea real. La seguridad es una inversión y no un gasto. No existe nada 100% seguro Exige evaluación permanente.
 La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

Recomendados

Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la informaciónFranklin Duarte
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionablopz
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAerickaoblea1
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
Nist
NistNist
NistYessica B. Leyva Avalos
 

Recomendados

Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la informaciónFranklin Duarte
 
Politicas de sistemas informaticos
Politicas de sistemas informaticosPoliticas de sistemas informaticos
Politicas de sistemas informaticosdianalloclla
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionablopz
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Politicas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAPoliticas de seguridad INFORMATICA
Politicas de seguridad INFORMATICAerickaoblea1
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSPOLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOS
POLITICAS DE SEGURIDAD DE SISTEMAS INFORMATICOSyulitza123
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosydaleuporsiempre_16
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpeigugarte
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
Webtrust y Systrust
Webtrust y SystrustWebtrust y Systrust
Webtrust y SystrustAngie Carolina Díaz Ramirez
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la informaciónFranklin Duarte
 
Estandares de seguridad normas de transito
Estandares de seguridad normas de transitoEstandares de seguridad normas de transito
Estandares de seguridad normas de transitomaria alejandra
 

Mais conteúdo relacionado

Mais procurados

Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosydaleuporsiempre_16
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpeigugarte
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADjesus
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 

Mais procurados (20)

Politica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticosPolitica de seguridad de sistemas informaticos
Politica de seguridad de sistemas informaticos
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
Webtrust y Systrust
Webtrust y SystrustWebtrust y Systrust
Webtrust y Systrust
 
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDADDIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
DIAPOSITIVAS SOBRE POLITICAS DE SEGURIDAD
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Norma nist
Norma nistNorma nist
Norma nist
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 

Destaque

Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la informaciónFranklin Duarte
 
Estandares de seguridad normas de transito
Estandares de seguridad normas de transitoEstandares de seguridad normas de transito
Estandares de seguridad normas de transitomaria alejandra
 
Seguridad de Información -ArCert
Seguridad de Información -ArCertSeguridad de Información -ArCert
Seguridad de Información -ArCertChristian Ballejo
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacionRomario Correa Aguirre
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionalesald32
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacionOrlando Verdugo
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacionBioga Dixital
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Normalización en Bases de datos
Normalización en Bases de datosNormalización en Bases de datos
Normalización en Bases de datoskamui002
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionDigetech.net
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONseguridad7p
 
Ejercicios áLgebra Relacional
Ejercicios áLgebra RelacionalEjercicios áLgebra Relacional
Ejercicios áLgebra Relacionalnegriz
 

Destaque (20)

Políticas de seguridad de la información
Políticas de seguridad de la informaciónPolíticas de seguridad de la información
Políticas de seguridad de la información
 
Estandares de seguridad normas de transito
Estandares de seguridad normas de transitoEstandares de seguridad normas de transito
Estandares de seguridad normas de transito
 
Seguridad de Información -ArCert
Seguridad de Información -ArCertSeguridad de Información -ArCert
Seguridad de Información -ArCert
 
Politicas de seguridad de la informacion
Politicas de seguridad de la informacionPoliticas de seguridad de la informacion
Politicas de seguridad de la informacion
 
Base datos normalización une
Base datos normalización uneBase datos normalización une
Base datos normalización une
 
Tema 7
Tema 7Tema 7
Tema 7
 
Tipos de dependencias funcionales
Tipos de dependencias funcionalesTipos de dependencias funcionales
Tipos de dependencias funcionales
 
Normalización de las bases de datos
Normalización de las bases de datosNormalización de las bases de datos
Normalización de las bases de datos
 
Unidad iii normalizacion
Unidad iii normalizacionUnidad iii normalizacion
Unidad iii normalizacion
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Normalización en Bases de datos
Normalización en Bases de datosNormalización en Bases de datos
Normalización en Bases de datos
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
 
Seguridad y salud césar sánchez
Seguridad y salud césar sánchezSeguridad y salud césar sánchez
Seguridad y salud césar sánchez
 
Portafolio de proyectos
Portafolio de proyectosPortafolio de proyectos
Portafolio de proyectos
 
Orden y limpieza
Orden y limpiezaOrden y limpieza
Orden y limpieza
 
Ejercicios áLgebra Relacional
Ejercicios áLgebra RelacionalEjercicios áLgebra Relacional
Ejercicios áLgebra Relacional
 

Semelhante a Ai seguridad de_la_informacion

10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)Karin Adaly
 

Semelhante a Ai seguridad de_la_informacion (20)

10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Conferencia
ConferenciaConferencia
Conferencia
 
Conferencia
ConferenciaConferencia
Conferencia
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)090476 seguridad desistemas -día01 (1) (1)
090476 seguridad desistemas -día01 (1) (1)
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 

Último

TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
Criterios ESG: fundamentos, aplicaciones y beneficios
Criterios ESG: fundamentos, aplicaciones y beneficiosCriterios ESG: fundamentos, aplicaciones y beneficios
Criterios ESG: fundamentos, aplicaciones y beneficiosJonathanCovena1
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfNancyLoaa
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIIsauraImbrondone
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICAÁngel Encinas
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMarjorie Burga
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxYadi Campos
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfPaolaRopero2
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñotapirjackluis
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 

Último (20)

TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
Criterios ESG: fundamentos, aplicaciones y beneficios
Criterios ESG: fundamentos, aplicaciones y beneficiosCriterios ESG: fundamentos, aplicaciones y beneficios
Criterios ESG: fundamentos, aplicaciones y beneficios
 
Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.Fe contra todo pronóstico. La fe es confianza.
Fe contra todo pronóstico. La fe es confianza.
 
Cuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdfCuaderno de trabajo Matemática 3 tercer grado.pdf
Cuaderno de trabajo Matemática 3 tercer grado.pdf
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
MAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grandeMAYO 1 PROYECTO día de la madre el amor más grande
MAYO 1 PROYECTO día de la madre el amor más grande
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 

Ai seguridad de_la_informacion

  • 1. Políticas de seguridad SEGURIDAD DE LA INFORMACION Geraldine Gutiérrez M
  • 2. PORQUÉ HABLAR DE LA SEGURIDAD DE LA INFORMACIÓN?  Porque el negocio se sustenta a partir de la información que maneja.....
  • 3. Estrategia de negocio Funciones y procesos de negocio ACTIVIDADES DE LA EMPRESA Diseño y ejecución de acciones para conseguir objetivo Planificación de Objetivos Control (de resultados de acciones contra objetivos) Sistemas de Información Registro de transacciones Entorno Transacciones ORGANIZACION
  • 4. Porque no sólo es un tema Tecnológico.  Porque la institución no cuenta con Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos. 
  • 5. CULTURA de la seguridad , responsabilidad de TODOS ACTITUD proactiva, Investigación permanente
  • 6.  Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “Ninguna medicina es útil a menos que el paciente la tome” ¿ Entonces, por donde partir?........
  • 7. RECONOCER LOS ACTIVOS DE INFORMACIÓN IMPORTANTES PARA LA INSTITUCIÓN..      Información propiamente tal : bases de datos, archivos, conocimiento de las personas Documentos: contratos, manuales, facturas, pagarés, solicit udes de créditos. Software: aplicaciones, sistemas operativos, utilitarios. Físicos: equipos, edificios, redes Recursos humanos: empleados internos y externos
  • 8. RECONOCER LAS AMENAZAS A QUE ESTÁN EXPUESTOS...   Amenaza:” evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Información”. Ejemplos:      Desastres naturales (terremotos, inundaciones) Errores humanos Fallas de Hardware y/o Software Fallas de servicios (electricidad) Robo
  • 9. RECONOCER LAS VULNERABILIDADES Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza”  Ejemplos:   Inexistencia de procedimientos de trabajo  Concentración de funciones en una sola persona  Infraestructura insuficiente
  • 10. IDENTIFICACIÓN DE RIESGOS Riesgo: “ La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte un activo”  Que debe analizarse?   El impacto (leve ,moderado,grave)  La probabilidad (baja, media, alta)
  • 11. CONTEXTO GENERAL DE SEGURIDAD valoran Propietarios Quieren minimizar definen Salvaguardas Pueden tener conciencia de Amenazas Que pueden tener explotan RIESGO RECURSOS Reducen Vulnerabili dades Permiten o facilitan Daño
  • 12. PRINCIPALES PROBLEMAS:     No se entienden o no se cuantifican las amenazas de seguridad y las vulnerabilidades. No se puede medir la severidad y la probabilidad de los riesgos. Se inicia el análisis con una noción preconcebida de que el costo de los controles será excesivo o que la seguridad tecnológica no existe. Se cree que la solución de seguridad interferirá con el rendimiento o apariencia del producto o servicio del negocio.
  • 13. ESTÁNDARES DE SEGURIDAD  Normas Internacionales de seguridad       Proporcionan un conjunto de buenas prácticas en gestión de seguridad de la información: Ejemplos ISO/IEC 17799,COBIT,ISO 15408 Se ha homologado a la realidad Chilena NCh2777 la ISO 17799 que tiene la bondad de ser transversal a las organizaciones , abarcando la seguridad como un problema integral y no meramente técnico. Ley 19.233 sobre delitos informáticos. Ley 19.628 sobre protección de los datos personales. Ley 19.799 sobre firma electrónica
  • 14. ¿QUÉ ES UNA POLÍTICA?  Conjunto de orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado. ¿Qué es una Política de Seguridad? Conjunto de directrices que permiten resguardar los activos de información .
  • 15. ¿CÓMO DEBE SER LA POLÍTICA DE SEGURIDAD?      Definir la postura del Directorio y de la gerencia con respecto a la necesidad de proteger la información corporativa. Rayar la cancha con respecto al uso de los recursos de información. Definir la base para la estructura de seguridad de la organización. Ser un documento de apoyo a la gestión de seguridad informática. Tener larga vigencia , manteniéndose sin grandes cambios en el tiempo.
  • 16.       Ser general , sin comprometerse con tecnologías específicas. Debe abarcar toda la organización Debe ser clara y evitar confuciones No debe generar nuevos problemas Debe permitir clasificar la información en confidencial, uso interno o pública. Debe identificar claramente funciones específicas de los empleados como : responsables, custodio o usuario , que permitan proteger la información.
  • 17. QUÉ DEBE CONTENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN? Políticas específicas  Procedimientos  Estándares o prácticas  Estructura organizacional 
  • 18. POLÍTICAS ESPECÍFICAS   Definen en detalle aspectos específicos que regulan el uso de los recursos de información y están más afectas a cambios en el tiempo que la política general. Ejemplo:  Política de uso de Correo Electrónico:    Definición del tipo de uso aceptado: “El servicio de correo electrónico se proporciona para que los empleados realicen funciones propias del negocio,cualquier uso personal deberá limitarse al mínimo posible” Prohibiciones expresas: “ Se prohíbe el envío de mensajes ofensivos”. “ Deberá evitarse el envío de archivos peligrosos” Declaración de intención de monitorear su uso: “La empresa podrá monitorear el uso de los correos en caso que se sospeche del mal uso”
  • 19. PROCEDIMIENTO    Define los pasos para realizar una actividad Evita que se aplique criterio personal. Ejemplo:  Procedimiento de Alta de Usuarios:     1.- Cada vez que se contrate a una persona , su jefe directo debe enviar al Adminsitrador de Privilegios una solicitud formal de creación de cuenta, identificando claramente los sistemas a los cuales tendrá accesos y tipos de privilegios. 2.-El Administrador de privilegios debe validar que la solicitud formal recibida indique: fecha de ingreso,perfil del usuario, nombre , rut, sección o unidad a la que pertenece. 3.- El Administrador de privilegios creará la cuenta del usuario a través del Sistema de Administración de privilegios y asignará una clave inicial para que el usuario acceda inicialmente. 4.- El Administrados de privilegios formalizará la creación de la cuenta al usuario e instruirá sobre su uso.
  • 20. ESTÁNDAR    En muchos casos depende de la tecnología Se debe actualizar periódicamente Ejemplo:  Estándar de Instalación de PC:  Tipo de máquina:     Registro:   Para plataforma de Caja debe utilizarse máquinas Lanix Para otras plataformas debe utilizarse máquinas Compaq o HP. Procesador Pentium IV , con disco duro de 40 GB y memoria Ram 253 MB Cada máquina instalada debe ser registrada en catastro computacional identificando los números de serie de componente y llenar formulario de traslado de activo fijo Condiciones electricas:  Todo equipo computacional debe conectarse a la red electrica computacional y estar provisto de enchufes MAGIC
  • 21. QUE SE DEBE TENER EN CUENTA         Objetivo: qué se desea lograr Alcance: qué es lo que protegerá y qué áreas serán afectadas Definiciones: aclarar terminos utilizados Responsabilidades: Qué debe y no debe hacer cada persona Revisión: cómo será monitoreado el cumplimiento Aplicabilidad: En qué casos será aplicable Referencias: documentos complementarios Sanciones e incentivos
  • 22. CICLO DE VIDA DEL PROYECTO Creación  Colaboración  Publicación  Educación  Cumplimiento  Enfoque Metodológico
  • 23. POLÍTICAS DE SEGURIDAD Y CONTROLES    Los controles son mecanismos que ayudan a cumplir con lo definido en las políticas Si no se tienen políticas claras , no se sabrá qué controlar. Orientación de los controles:    PREVENIR la ocurrencia de una amenaza DETECTAR la ocurrencia de una amenaza RECUPERAR las condiciones ideales de funcionamiento una vez que se ha producido un evento indeseado.
  • 24. EJEMPLO:MODELO SEGURIDAD INFORMÁTICA (MSI) A PARTIR DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN INSTITUCIONALES  Estructura del modelo adoptado:  Gestión IT (Tecnologías de Información)  Operaciones IT  Para cada estructura incorpora documentación asociada como políticas específicas, procedimientos y estándares.
  • 25. GESTIÓN IT Objetivo: contar con procedimientos formales que permitan realizar adecuadamente la planeación y desarrollo del plan informático.  Contiene:   Objetivo y estrategia institucional  Plan Informático y comité informática  Metodología de Desarrollo y Mantención
  • 26. OPERACIONES IT   Objetivo: Contar conprocedimientos formales para asegurar la operación normal de los Sistemas de Información y uso de recursos tecnológicos que sustentan la operación del negocio. Contiene:  Seguridad Física sala servidores Control de acceso a la sala  Alarmas y extinción de incendios  Aire acondicionado y control de temperaturas  UPS  Piso y red electrica  Contratos de mantención  Contratos proveedores de servicios 
  • 27.  Respaldos y recuperación de información:  Ficha de servidores  Política Respaldos: diarios,semanales,mensuales, históricos  Bases de datos, correo electrónico, datos de usuarios, softawre de aplicaciones, sistemas operativos.  Administración Cintoteca: Rotulación  Custodia  Requerimientos, rotación y caduciddad de cintas.   Administración programas de licencias de software y
  • 28.  Seguridad de Networking: Características y topología de la Red  Estandarización de componentes de red  Seguridad física de sites de comunicaciones  Seguridad y respaldo de enlaces  Seguridad y control de accesos de equipos de comunicaciones  Plan de direcciones IP  Control de seguridad WEB   Control y políticas de adminsitración de Antivirus Configuración  Actualización  Reportes 
  • 29.  Traspaso de aplicaciones al ambiente de explotación Definición de ambientes  Definición de datos de prueba  Adminsitración de versiones de sistema de aplicaciones  Programas fuentes  Programas ejecutables  Compilación de programas  Testing:     Responsables y encargados de pruebas Pruebas de funcionalidad Pruebas de integridad Instalación de aplicaciones  Asignación de responsabilidades de harware y software para usuarios 
  • 30.  Creación y eliminación de usuarios :  Internet, Correo electrónico Administración de privilegios de acceso a sistemas  Administración y rotación de password:         Caducidad de password Definición de tipo y largo de password Password de red , sistemas Password protectores de pantalla, arranque PC Fechas y tiempos de caducidad de usuarios Controles de uso de espacio en disco en serviodres Adquisición y administración equipamiento usuarios: Política de adquisiciones  Catastro computacional  Contrato proveedores equipamiento 
  • 31. CONCLUSIONES        La Información es uno de los activos mas valiosos de la organización Las Políticas de seguridad permiten disminuir los riesgos Las políticas de seguridad no abordan sólo aspectos tecnológicos El compromiso e involucramiento de todos es la premisa básica para que sea real. La seguridad es una inversión y no un gasto. No existe nada 100% seguro Exige evaluación permanente.
  • 32.  La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.