presentación seg info 2015-03-06
Post on 17-Jan-2016
215 Views
Preview:
DESCRIPTION
TRANSCRIPT
Introducción a la Seguridad de la Información
Marzo 2015
Información y seguridad
Implementación de la seguridad de la información
Ejemplos de aplicación
Acciones realizadas en el MEF
TEMARIO
INFORMACIÓN Y SEGURIDAD
LA INFORMACIÓN COMO ACTIVO A PROTEGER
“La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.”
NTP-ISO/IEC 17799:2007
Datos almacenados electrónicamente en computadoras. Datos almacenados en medios digitales: discos duros, discos
ópticos (CD , DVD), memorias USB. Registros, notas y documentos escritos o impresos en papel. Información transmitida por fax, correo postal o correo
electrónico. Datos personales como contraseñas, detalles de cuentas
bancarias, reportes tributarios, exámenes médicos, etc. Conversaciones habladas.
¿ DÓNDE ENCONTRAMOS INFORMACIÓN ?
“Preservación de la confidencialidad, integridad y disponibilidad de la información.”
ISO/IEC 27000:2009
“Es la protección a la información de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.”
ISO/IEC 17799:2005
Definición de Seguridad de la información
Conjunto de medidas que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
“Enciclopedia de la Seguridad Informática”, Gómez Vieites
Definición de Seguridad informática
PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN
La información NO DEBE ser revelada a sujetos o entidades no
autorizadas
La información DEBE estar accesible en el momento en que sea solicitada
por los sujetos o entidades autorizadas
La información NO DEBE ser
alterada
• Minimizar los riesgos y detectar posibles amenazas a la información.
• Limitar las pérdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad.
• Garantizar la adecuada utilización de recursos y sistemas que manejan información.
• Cumplir con el marco legal regulatorio.
OBJETIVOS GENERALES DE LA SEGURIDAD DE LA INFORMACIÓN
IMPLEMENTACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Amenaza: Acciones que pueden causar daño según la severidad y posibilidad de ocurrencia
Vulnerabilidad: puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.
Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza
Incidente: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
Definiciones (1)
Control: Mecanismo de manejo del riesgo, lo que incluye políticas, procedimientos, guías, prácticas o estructuras organizativas, que puede ser de naturaleza administrativa (gestión), operativa (realizado por personas) o técnica (ejecutado por sistemas informáticos).
También es sinónimo de salvaguarda o contramedida.
Tipos de controles:• Preventivos: eliminan la causa de un potencial incidente.• Correctivos: subsanan las condiciones que dieron lugar a
un incidente ocurrido.• De detección: solo alertan sobre la ocurrencia de un
incidente.
Definiciones (2)
Lo que implica proteger la información:
• Identificación de los activos de información.
• Análisis de los riesgos: proceso sistemático para identificar y estimar la magnitud del riesgo.
• Gestión de los riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados.
• Elaboración de planes de seguridad.
• Ejecución de proyectos de seguridad.
• Control de incidentes y monitorización.
• Auditoría de la seguridad.
La seguridad no es un producto, es un proceso.
Acciones de implementación
Etapas de un Análisis de Riesgos
Ámbitos de Seguridad en la NTP 17799
Es un conjunto de políticas (orientaciones de intención y dirección), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información, bajo un enfoque de gestión de riesgos de negocio.
Sistema de Gestión de Seguridad de la Información (SGSI)
EJEMPLOS DE APLICACIÓN
ACCIONES REALIZADAS EN EL MEF
Difusión
Normatividad
Ejecución
“LA SEGURIDAD ESTA EN LO QUE HACES,
NO EN LO QUE USAS”
top related