2. Contenido
• ¿Qué es y qué no es seguridad de la información?
• Las características de la información relacionadas con
seguridad: Confidencialidad, Integridad, Disponibilidad,
Autenticación y Autorización, No repudio.
• Privacidad de datos personales.
• Gobierno de la seguridad de la información.
• Implementando la seguridad de información empresarial
mediante políticas y procedimientos de seguridad de la
información.
• Referencias
2
4. Objetivo del capítulo
• Garantizar que el alumno conozca
y comprenda los conceptos
fundamentales sobre seguridad
de información.
• Aplicar los conceptos básicos en
situaciones contextualizadas.
• Entender el papel de la Alta
Dirección en la Seguridad de la
Información empresarial.
4
5. Introducción
• Dinámica introductoria
• Imagen del escritorio de un DBA (administrador de base de datos)
de una importante empresa, que se ha ausentado de su estación
de trabajo.
• En la empresa existen políticas de seguridad.
• En la empresa, el DBA es percibido como un “todopoderoso” que
maneja “a su antojo” las bases de datos de los diferentes
sistemas de información.
• En la imagen hay varios problemas de seguridad.
• Identifíquelos
5
6. ¿Qué es y qué no es seguridad
de la información?
• Muchas veces se hace referencia a varios términos a la vez, al
hablar de “seguridad de la información”:
• Seguridad informática
• Seguridad computacional
• Seguridad técnica
• Seguridad tecnológica
• Ciberseguridad
• Seguridad cibernética
• Privacidad de datos
• ¿Son todas lo mismo? ¿Son sinónimos?
6
7. ¿Qué es y qué no es seguridad
de la información?
7
Aspectos
Seguridad
De la Información
Ciberseguridad
¿Son sinónimos? NO
¿De qué se ocupa?
Protege la información,
independientemente de su
formato (físico, digital,
propiedad intelectual, ideas)
Pretende proteger los
activos digitales (desde
las redes, el hardware que
que procesa, almacena o
transporta información, el
software que hace lo
mismo)
Objetivo
Proteger la Integridad,
disponibilidad y confidencialidad de
la información en cualquier formato
Proteger la Integridad,
disponibilidad y
confidencialidad de la
información digital
8. ¿Qué es y qué no es seguridad
de la información?
• En un contexto general:
• La ausencia de riesgos de cualquier
naturaleza en un escenario.
• La seguridad dentro de un contexto
empresarial:
• Capacidad que tiene la empresa para
minimizar los efectos negativos provocados
por los riesgos presentes en su entorno
[ISACA, 2018].
• Brindar cierto nivel de confianza a los
miembros de organización (accionistas,
interesados) sobre que se van a alcanzar los
objetivos de negocio trazados a pesar de los
riesgos y amenazas del entorno. 8
9. ¿Qué es y qué no es seguridad de la
información?
• Seguridad de la información
• Es el conjunto de procesos y
actividades que permite
mantener libre de peligros y
daños por accidente o ataque, a
los activos de información que
forman parte de una organización
[Tupia, 2013].
• Preservation of confidentiality,
integrity and availability of
information; in addition, other
properties such as authenticity,
accountability, non-repudiation
and reliability can also be
involved [ISO, 2013]
9
10. Activo de información
• Todo elemento, en formato
impreso o digital que contenga
información relevante.
• Incluye:
• Sistemas de información
• Hardware
• Software
• Documentación
• La Información misma
• No es relevante su registro
contable. 10
11. Las característicasde la información
relacionadasconseguridad
• Confidencialidad
• Accesible solo a quienes
corresponda
• Integridad
• Completitud
• Disponibilidad
• Dispuesta en el tiempo
• Auditabilidad
• Accountability
• Capacidad de rastrear
modificaciones (¿quién hizo
qué? con la información)
• No repudio
11
12. Las características de la información
relacionadas con seguridad
• Autenticación
• Identificar
inequívocamente al usuario
que pretende acceder a
algún activo de
información.
• “Lo que tengo”
• “Lo que sé”
• “Lo que soy”
• Autorización
• Otorgamiento de derechos
a un usuario sobre un
activo de información,
luego de su
correspondiente
autenticación.
12
13. Privacidad de datos
• Existe un tipo particular de datos: los
datos personales.
• Aquellos que identifican
inequívocamente a una persona.
• La regulación de cada país determina:
• ¿Qué datos son considerados
personales?
• ¿Qué acciones de control debe
establecerse para protegerlos?
• ¿Qué sanciones hay para quienes
están obligados a protegerlos y no lo
hacen?
• La privacidad de datos exclusivamente
se encarga de su protección.
13
15. Introducción
• Preguntas guía
• ¿Es pertinente/importante ocuparse de la seguridad de la
información en la empresa, sea la empresa de cualquier rubro y
sea su información de cualquier naturaleza?
• En base a la respuesta a la pregunta anterior, ¿cree Ud. que las
empresas se están ocupando de la seguridad de la información o
están prefiriendo seguir “modas” como el big data, la analítica de
datos, entre otras?
• En base a la respuesta anterior, ¿por qué ocurre/no ocurre?
• ¿La regulación/ley tiene un papel preponderante en lograr que
las empresas se “preocupen” por la seguridad de la información?
15
16. La seguridad de la información
en la empresa
• Activo más importante de la empresa → Información
• Necesidad de proteger la información
• ¿Contra qué?
• ¿Solo la información o también “las otras cosas” que están
relacionadas a ella, tienen que ser protegidas?
• Responsabilidad dentro de la empresa:
• ¿Técnica?: Sí, No → justificar
• ¿Gerencial?: Sí, No → justificar
• ¿Transversal?: Sí, No → justificar
16
17. Gobierno de la seguridad de
información
• Es el conjunto de las
responsabilidades y prácticas
ejercidas por la alta dirección para
guiar y dirigir de forma eficiente y
responsable todos los aspectos
relacionados con la seguridad de
los activos de información,
garantizando la consecución de los
objetivos de negocio [ITGI06].
17
18. Gobierno de la seguridad de
información - Resultados esperados
1. Alineación estratégica: alinear la seguridad de información
y sus objetivos a los objetivos organizacionales.
2. Gestión de riesgos: identificarlos, tratarlos y reducir el
impacto que presentarían sobre los procesos y sus
correspondientes activos de información.
3. Entrega de valor: optimizar las inversiones de seguridad.
4. Gestión de recursos: el uso racional de los recursos para
fines de seguridad.
5. Medición del desempeño: monitorear los procesos de
seguridad, evaluando su idoneidad con métricas
pertinentes.
6. Integración: determinando que las funciones de
aseguramiento se integren a las estructuras
organizacionales y que esta integración sea transparente
18
19. Gobierno de la seguridad de
información - Roles y responsabilidades
19
21. Introducción
• ¿Cómo proteger los activos de información de la empresa?
1. Identificar los activos de información, clasificarlos y priorizarlos
2. Analizar el contexto de la organización
3. …. ¿y qué más?
21
22. Políticas y procedimientos de
seguridad
• Documentos oficiales que crean
un marco operacional en dos
dimensiones:
• ¿Qué hay que hacer y por
qué? (Política)
• ¿Cómo hay que hacerlo?
(Procedimiento)
• Factores críticos de éxito
• Seguir un proceso definido,
probado y aprobado para
definir políticas (reglas para
“definir reglas”)
• Auspicio de la Alta Dirección.
• Equipo de trabajo
multidisciplinario.
• Recursos y capacidades
adecuadas.
22
23. Políticas y procedimientos de
seguridad
23
Directorio
Gerencia de TI
Sub. Desasrrollo SW
Oficia de Seguridad
25. Redacción de la política de
seguridad de información
• Los objetivos deben estar claramente definidos
• La política debe referenciar a asuntos prácticos y específicos y no
debe entrar en conflicto con otra(s) política(s) corporativa.
• Debe referenciar a situaciones recurrentes y claramente indicar las
condiciones, a quien y a qué se aplica y con qué alcance.
• Debe especificar quién es responsable de aplicar la política
• Escrita en lenguaje simple y directo para facilitar la implementación
y una diseminación mas efectiva.
• Evite lo mas posible acrónimos, palabras en otros idiomas,
referencias innecesarias, etc.
• Durante el desarrollo y redacción de la política, discuta el texto con
quienes serán afectados para identificar mejoras
• Si la política es en relación a un mandato legal, debe incluir las
referencias pertinentes
25
26. Estructura y formato de la política
de seguridad de información
• A1.Número de Política: es el identificador universal de la política y la clave en la
base de datos.
• A2.Versión: las cuales son numeradas consecutivamente, 1.0, 2.0, etc.
• Cuando una versión se revisa y re-edita, esto se indica como 1.1 (versión 1,
revisión 1), etc.
• A3.Título: Indicar de forma clara y concisa el título en no más de un número
limitado de caracteres
• El título debe dar una idea general del tema de la política
• A4.Propósito: debe dar una idea del tema que la política va a dictar
• A5.Objetivo
• A6.Área de Impacto: Indicar (listar) las áreas afectadas por esta política
• A7.Política aprobada por: indicar nombre y título de quienes la han aprobado,
señalando la fecha de aprobación en formato standard
• A8.Fecha de implementación: fecha en que la política entrará en vigencia, en
formato standard
• A9.Fecha de primera revisión: fecha en que el CGPP ha programado la primera
revisión de la política, en formato standard
• A10. Excepciones: Indicar qué o quienes están exentos de seguir esta política 26
27. Bibliografía
[ITGI, 2006] Instituto de Gobierno de TI. Information Security
Governance Guiadance for Boards of Directors and Executive
management. ITGI publishing, USA (2003)
[ISACA, 2012] ISACA Internacional. CRISC Review Manual (Certified in
Risk and Information System Control). ISACA Publishing, USA (2012)
[ISACA, 2018] ISACA Internacional. CISM Review Manual (Certified
Information Security Manager). ISACA Publishing, USA (2013)
[ISACA, 2013b] ISACA. COBIT® 5 Procesos Catalizadores. ISACA
International Publishin, USA (2013)
[ISACA, 2013c] ISACA Internacional. CISA Review Manual (Certified
Information System Auditor). ISACA Publishing, USA (2013)
[ISO, 2013] International Standards Organization. ISO 27001:2013
Information technology - Security techniques - Information security
management systems – Requirements, USA (2013)
[Piattini, Hervata; 2007] M. Piattini; F. Hervata. Gobierno de las
Tecnologías y los Sistemas de Información. RA-MA, España (2001)
[Tupia, 2013] M. Tupia. Administración de la seguridad de información,
2da. edición. Tupia Consultores y Auditores S.A.C., Perú (2013)
27
27