1

2

Oferta académicaIntroducción

3

Objetivos

Comprender el concepto de Seguridad de la Información como un proceso relacionado con la gestión del riesgo.

Entender el contexto económico de la SI Conocer las principales normas y aspectos profesionales

de la SI. Entender el control de accesos, sus elementos y saber

diferenciar las tecnologías de control de accesos. Conocer y saber aplicar herramientas de gestión de la SI,

partiendo del concepto de política.

4

Estructura de los contenidos

Cada unidad tiene un caso de estudio al comienzo, separado de los materiales. Lectura al principio. Reflexión durante el estudio, siguiendo las preguntas

guiadas. El objetivo no es exponer conocimientos técnicos per se,

sino conocimientos necesarios para la gestión.

5

Aspectos adicionales

Intervenciones del profesor Ricardo Cañizares. Tipología del examen…Esboza una política de seguridad de la información concreta para un aspecto concreto (por ejemplo, el uso de Internet por los empleados, la gestión de contraseñas del empleado, BYOD, etc.). El texto no debe superar media página.Indica además cómo se podría aplicar una "línea base" relacionada con la política esbozada Una vez esbozada, indica ejemplos de: Un procedimiento asociado a esa política definida. Una herramienta que podría utilizarse.

Describe qué es un mercado de vulnerabilidades y los motivos por los que se comercia con las vulnerabilidades. Razona las ventajas e inconvenientes de divulgar temprana o tardíamente los exploits que se descubren por primera vez.

Enumera las características que conozcas que puedan utilizarse para comparar las tecnologías de identificación biométrica para el control de accesos, además de la precisión. Explica la relación entre la medición del número de rechazos de usuarios legítimos y el número de aceptaciones de usuarios ilegítimos. Compara dos tecnologías de identificación biométrica en al menos tres de las características comparativas que hayas mencionado.

6

La información

Es uno de los activos más importantes de las organizaciones• Es almacenada, procesada y transmitida por los

Sistemas de Información y Comunicaciones Necesita protección es sus tres aspectos:• Integridad• Disponibilidad• Confidencialidad

Debe ser protegida cuando está• Almacenada• Siendo procesada• Siendo transmitida

77

8

Confianza

El mundo actual, tal como lo conocemos, no puede existir, sin Sistemas de Información.

Es necesario que exista una garantía del adecuado funcionamiento de los sistemas

Confianza en que su funcionamiento es correcto (Hay que demostrar, y convencer de su adecuado funcionamiento)

La única forma que existe de garantizar el correcto funcionamiento de los Sistemas de Información es la aplicación de normas y estándares

Si las normas y estándares se cumplen, podemos deducir (con menos margen de error) que su funcionamiento es el adecuado.

9

Confianza

¿Esta segura la información?¿Son confiables los sistemas?¿Son confiables las personas?

10

¿Qué seguridad queremos?

Analizar y decidir– ¿Qué queremos asegurar?– ¿Contra qué lo queremos asegurar?– ¿Cómo lo queremos asegurar?– ¿Cuándo y en que condiciones?

….excede del ámbito de TI

11

Seguridad y responsabilidad

Responsabilidad institucional indelegable de la Dirección• Decidir “La Política de Seguridad de la Información”• Respaldarla y asignar recursos• Conseguir conciencia colectiva de seguridad (la

seguridad es responsabilidad de todos)

12

La Gestión de la Seguridad

La seguridad es un proceso más de la organización

Hay que gestionarlo igual que el resto de procesos de la organización• Hay que hablar el lenguaje del negocio• Alinear la seguridad con el negocio• Generar valor• Retorno de la inversión (no gasto!)

13

Sistema de Gestión

Un sistema de gestión es un modelo y estructura,definido para la mejora continua y mayor rendimiento de los procesos de la organización

• El sistema de gestión, ayuda a las organizaciones a una mejora y planificación de sus actividades, creando una mayor rentabilidad y eficiencia de las mismas.

• Las organizaciones, deben de definir sus sistemas y procesos con el fin de que dichos sistemas y procesos, sean entendibles, administrados y mejorados.

14

Necesidades de un sistema de gestión

Necesidades de un Sistema de Gestión.– El capital humano.• Implicación por parte del personal de la organización.

– El componente documental.• Fuerte base documental y procedimental.

– El componente Operacional.• Capacidad para manejar situaciones normales y

extraordinarias de trabajo, rutinarias y no rutinarias, situaciones de emergencia.

15

El SGSI Mejora continua

Un Sistema de Gestión de la Seguridad de la Información (SGSI) nos permite aumentar la seguridad y la continuidad de los activos en un ciclo de retroalimentación

16

Política de seguridad

• Debe constituir el marco flexible que de cabida a las normas y planes que regulen los procesos de seguridad en toda la organización

• Debe mantenerse en un alto grado de abstracción que permita y no impidan poder aplicar la medida oportuna (normativa, procedimental o técnica) en cada momento y circunstancia.

• Independientemente del hardware y el software.

17

Política de seguridad

• Debe buscar el equilibrio del binomio “SEGURIDAD versus OPERATIVIDAD”

• Debe establecer los criterios de decisión sobre los siguientes compromisos: Servicios ofrecidos frente a seguridad proporcionada Facilidad de uso frente a seguridad Coste de la seguridad (económicos, rendimiento,

uso) frente al riesgo de perdidas (privacidad, información, servicio).

1818

ISO 27002 – cláusulas y niveles

19

Resumen

• La Seguridad de la Información es responsabilidad institucional de la alta dirección Implantar modelo organizativo de Seg. Inf. Definir y Difundir la “Política de Seguridad” Implantar un Sistema de Gestión de la Seguridad de

la Información Crear conciencia colectiva y disciplina individual

¿Somos gestores o técnicos?