Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 388 vistas

    CIBERTEC - Semana 1 - 2 - 3 y 4

    Cargado por

    Jose Carlos Vargas Medina
    El documento presenta información sobre un curso de seguridad y auditoría de TI. Cubre temas como el gobierno de TI, la importancia de la seguridad de la información, los fundamentos de seguridad incluyendo activos, riesgos y controles, y los sistemas de gestión de seguridad de la información. El objetivo general es enseñar a los estudiantes conceptos y mejores prácticas clave relacionadas con la seguridad y auditoría de sistemas de información.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd

    CIBERTEC - Semana 1 - 2 - 3 y 4

    Cargado por

    Jose Carlos Vargas Medina
    388 vistas34 páginas
    El documento presenta información sobre un curso de seguridad y auditoría de TI. Cubre temas como el gobierno de TI, la importancia de la seguridad de la información, los fundamentos de seguridad incluyendo activos, riesgos y controles, y los sistemas de gestión de seguridad de la información. El objetivo general es enseñar a los estudiantes conceptos y mejores prácticas clave relacionadas con la seguridad y auditoría de sistemas de información.

    Título original

    CIBERTEC - Semana 1 - 2 - 3 y 4.pptx

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento presenta información sobre un curso de seguridad y auditoría de TI. Cubre temas como el gobierno de TI, la importancia de la seguridad de la información, los fundamentos de seguridad incluyendo activos, riesgos y controles, y los sistemas de gestión de seguridad de la información. El objetivo general es enseñar a los estudiantes conceptos y mejores prácticas clave relacionadas con la seguridad y auditoría de sistemas de información.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    388 vistas34 páginas

    CIBERTEC - Semana 1 - 2 - 3 y 4

    Cargado por

    Jose Carlos Vargas Medina
    El documento presenta información sobre un curso de seguridad y auditoría de TI. Cubre temas como el gobierno de TI, la importancia de la seguridad de la información, los fundamentos de seguridad incluyendo activos, riesgos y controles, y los sistemas de gestión de seguridad de la información. El objetivo general es enseñar a los estudiantes conceptos y mejores prácticas clave relacionadas con la seguridad y auditoría de sistemas de información.

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    de 34

    CURSO : SEGURIDAD Y AUDITORA DE TI

    Semana 1 y 2

    CIBERTEC
    1

    CIBERTEC

    2011

    RESPONDIENDO A LOS DESAFIOS DEL TI

    GOBIERNO DE TI

    CIBERTEC

    Manejando el TI como un negocio


    Integracin de TI a los procesos de negocio

    Objetivos especficos:

    CIBERTEC

    Manejando el TI como un negocio


    Vincular la estrategia de TI a la estrategia de la empresa

    Objetivos especficos:

    CIBERTEC

    Gobierno de TI
    LA CULPA LA TIENE EL GOBIERNO DE TI

    Objetivos especficos:

    CIBERTEC

    Gobierno de TI
    Cmo puede la empresa poner bajo control TI de tal manera que genere la informacin que la empresa necesita? Cmo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto?

    Objetivos especficos: Cmo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio?

    CIBERTEC

    Gobierno de TI

    especficos: El gobierno de TI es responsabilidadObjetivos de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.

    CIBERTEC

    Gobierno de TI
    El Gobierno de TI provee la estructura que une los procesos y recursos de TI, y la informacin con la estrategia y los objetivos de la empresa; adems, integra una serie de mejores prcticas relacionadas con el ciclo de vida de TI para asegurar que la informacin que la empresa requiere para alcanzar sus objetivos es entregada por dicha rea.

    Objetivos especficos: Para que TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implementar un sistema de control interno o un marco de trabajo que:
    Establezca un vnculo entre los requerimientos del negocio y TI Organice las actividades de TI en un modelo de procesos generalmente aceptado Identifique los principales recursos de TI a ser utilizados Defina los objetivos de control gerenciales a ser considerados

    CIBERTEC

    IMPORTANCIA DEL SGSI PARA LA ORGANIZACIN


    SEGURIDAD DE LA INFORMACIN

    CIBERTEC

    La informacin es importante?

    Objetivos especficos:

    http://www.youtube.com/watch?v=8-_W_v2d0Cc

    10

    CIBERTEC

    La informacin es importante?
    LA INFORMACIN (EN TODAS SUS MODALIDADES) ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y Objetivos especficos: DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR LOS OBJETIVOS DE NEGOCIO.

    11

    CIBERTEC

    Fundamentos - Activos
    ACTIVO:

    Cualquier componente (sea humano, tecnolgico, software, etc.) que sustenta uno o ms procesos de negocios de una unidad o rea de negocio. Otra buena definicin de Activo es todo aquello que tiene valor para su empresa Objetivos especficos:

    12

    CIBERTEC

    Fundamentos Principios de Seguridad de la Inf.


    Confidencialidad
    Garantizar que la Informacin es accesible solo a aquellas personas autorizadas. Prevenir Fugas y filtraciones de informacin

    Objetivos especficos:

    Informacin

    Integridad

    Seguridad de la Informacin

    Disponibilidad
    Asegurar que los usuarios autorizados tengan acceso a la informacin y bienes cuando lo requieran

    Salvaguardar la exactitud y totalidad de la informacin y los mtodos de procesamiento y transmisin. Validez y Precisin de informacin

    Acceso en tiempo correcto y confiable

    13

    CIBERTEC

    Los riesgos y las empresas son inseparables


    El desarrollo de las nuevas tecnologas ha dado un giro radical a la forma de hacer negocios, a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas amenazas. La mayor parte de la informacin reside en equipos informticos, soportes de almacenamiento y redes de datos, englobados dentro de lo que se conoce como sistemas de Objetivos especficos: informacin.

    14

    CIBERTEC

    Los riesgos y las empresas son inseparables


    Los sistemas de informacin estn sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organizacin o desde el exterior.

    Objetivos especficos:
    Existen riesgos lgicos relacionados con la propia tecnologa que aumentan da a da. Hackers, robos de identidad, spam, virus, robos de informacin y espionaje industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y nuestra imagen en el mercado.

    15

    CIBERTEC

    Existen riesgos fsicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar la disponibilidad de nuestra informacin y recursos, haciendo inviable la continuidad de nuestro negocio si no estamos preparados para afrontarlos.

    Fundamentos - Riesgos
    PROBABILIDA DE OCURRENCIA
    ALTO MEDIO BAJO BAJO MEDIO ALTO

    MAGNITUD DE IMPACTO

    16

    CIBERTEC

    RIESGO: SITUACIN ADVERSA O NEGATIVA QUE IMPIDE A LA EMPRESA A ALACANZAR SUS OBJETIVOS

    Para proteger a las organizaciones de estas amenazas es necesario conocerlas y afrontarlas de una manera adecuada. Para ello se deben establecer Objetivos especficos: procedimientos eficientes e implementar controles de seguridad basados en la evaluacin de los riesgos y en una medicin de su eficacia.

    17

    CIBERTEC

    Fundamentos Riesgos y Controles

    18

    CIBERTEC

    MINIMO RIESGO ACEPTABLE.

    Fundamentos
    ACTIVO: Define lo que se quiere alcanzar para mitigar los riesgos identificados en los activos.

    Objetivos especficos:
    AMENAZAS: Son un conjunto de actividades que pueden ser aplicados para alcanzar el objetivo de control.
    5.1.1 Documento de poltica de seguridad de la informacin CONTROL: La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. 5.1.2 Revisin y evaluacin CONTROL: La poltica de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad.

    19

    CIBERTEC

    Fundamentos Objetivos y Actividades de Control


    OBJETIVOS DE CONTROL: Define lo que se quiere alcanzar para mitigar los riesgos identificados en los activos.

    5.1 Poltica de seguridad de la informacin

    Objetivos especficos:

    OBJETIVO: Dirigir y dar soporte a la gestin de la seguridad de la informacin en concordancia con los requerimientos del negocio, las leyes y las regulaciones. La gerencia debera establecer de forma clara las lneas de la poltica de actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo una poltica de seguridad en toda la organizacin

    ACTIVIDADES DE CONTROL: Son un conjunto de actividades que pueden ser aplicados para alcanzar el objetivo de control.
    5.1.1 Documento de poltica de seguridad de la informacin CONTROL: La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. 5.1.2 Revisin y evaluacin CONTROL: La poltica de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad.
    CIBERTEC 20

    Fundamentos Actividades de Control


    SIGNIFICANCIA: clave / no clave NATURALEZA: autorizacin / reconciliacin / registro y revisin / salvaguarda / segregacin de funciones

    Objetivos especficos:
    PROPSITO: preventivo / detectivo AUTOMATIZACIN: automtico / semi automtico / manual FRECUENCIA: anual / mensual / semanal / diario

    21

    CIBERTEC

    SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN


    SGSI - PDCA

    22

    CIBERTEC

    SGSI
    Un Sistema de Gestin de Seguridad de la Informacin, es una herramienta o metodologa sencilla y de bajo coste que permite establecer polticas, procedimientos y controles con objeto de: disminuir los riesgos de su organizacin. asegurar la continuidad del negocio; Objetivos minimizar posibles daos al negocio; maximizar oportunidades de negocios

    especficos:

    El plan de seguridad de la informacin permite la implementacin de una SGSI en la organizacin.

    23

    CIBERTEC

    SGSI
    SEGURIDAD DE LA INFORMACIN VS SEGURIDAD INFORMTICA Seguridad informtica, se refiere a la proteccin de las infraestructuras de las tecnologas de la informacin y comunicacin que soportan nuestro negocio.

    Objetivos especficos:

    Seguridad de la informacin, se refiere a la proteccin de los activos de informacin fundamentales para el xito de cualquier organizacin.

    24

    CIBERTEC

    SGSI
    La implantacin y/o certificacin de estos sistemas supone la implicacin de toda la organizacin, empezando por la direccin sin cuyo compromiso es imposible su puesta en marcha. La direccin de la empresa debe liderar todo el proceso, ya que es la que conoce los riesgos del negocio y las obligaciones con sus clientes y accionistas mejor que nadie. Adems, es la nica Objetivos especficos: que puede introducir los cambios de mentalidad, de procedimientos y de tareas que requiere el sistema.

    25

    CIBERTEC

    SGSI MODELO PDCA

    26

    CIBERTEC

    IDENTIFIQUEMOS RIESGOS DE SI

    Objetivos especficos:

    27

    CIBERTEC

    28

    CIBERTEC

    Qu beneficios aporta a las empresas?


    1 Reduccin de Riesgos

    Ahorro de Costos

    La seguridad se considera un sistema y se convierte en una actividad de gestin. 3

    La organizacin se asegura del cumplimiento de la legislacin vigente y se evitan riesgos y costes innecesarios.
    Mejora la competitividad en el mercado.

    29

    CIBERTEC

    Qu beneficios aporta a las empresas?


    Reduccin de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Se reducen las amenazas hasta alcanzar un nivel asumible por nuestra organizacin. Si se produce una incidencia, los daos se minimizan y la continuidad del negocio est asegurada. Ahorro de costes derivado de una racionalizacin de los recursos. Se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos. La seguridad se considera un sistema y se convierte en una actividad de gestin. La seguridad deja de ser un conjunto de actividades ms o menos organizadas y pasa a transformarse en un ciclo de vida metdico y controlado, en el que participa toda la organizacin. La organizacin se asegura del cumplimiento de la legislacin vigente y se evitan riesgos y costes innecesarios. La organizacin se asegura del cumplimiento del marco legal que probablemente no se haban tenido en cuenta anteriormente.
    CIBERTEC 30

    Objetivos especficos:

    Mejora la competitividad en el mercado, diferenciando a las empresas que lo han conseguido una certificacin en SGSI y hacindolas ms fiables e incrementando su prestigio.

    NORMATIVAS REFERIDAS AL SGSI

    LOCALES INTERNACIONALES

    31

    CIBERTEC

    Necesidad
    El creciente uso de las nuevas tecnologas ha propiciado la creacin de un marco legal y jurdico que protege a todas las partes interesadas en el uso de estas tecnologas y el intercambio y tratamiento de la informacin a travs de ellas. Cumplir con las normativas vigentes es uno de los requisitos que debemos satisfacer para especficos: implantar y certificar un Sistema de Gestin de Objetivos Seguridad de la Informacin. Su cumplimento nos proteger de amenazas externas, nos permitir respetar los derechos de nuestros clientes y proveedores y evitar infracciones involuntarias con sus respectivos costes

    32

    CIBERTEC

    Familia 27000
    Normas elaboradas conjuntamente por ISO, que es la Organizacin Internacional de Normalizacin, y por IEC, que es la Comisin Electrotcnica Internacional. Aplicable a cualquier tipo de organizacin, independiente de su tamao y de su actividad

    Objetivos especficos:

    ISO EIC 27000 ISO EIC 27001 ISO EIC 27002

    La ISO/IEC 27000, recoge los trminos y definiciones empleados en el resto de normas dela serie. Con ello se evitan distintas interpretaciones sobre los conceptos que aparecen a lo largo de las mismas.

    La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin

    33

    CIBERTEC

    Gua de buenas prcticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de informacin de una organizacin. 11 dominios, 39 objetivos de control y 133 controles

    Normativa peruana vigente


    Normativa referida a la seguridad de la informacin aplicable al mbito gubernamental y financiero. Normativa referida Proteccin del derecho de autor

    NTP-ISO/IEC 17799 2007 Circular N G-140 / 139 -2009


    DL No 822 LEY N 284931

    Objetivos especficos:
    Norma Tcnica Peruana Cdigo de Buenas Prcticas para la gestin de la seguridad de la informacin (eqv ISO/IEC 17799:2005 Information Technology. Code of practice for information security managemet).

    Gestin de la seguridad de la informacin (SBS) Gestin de la continuidad del negocio (SBS)

    Ley sobre el Derecho de Autor

    34

    CIBERTEC

    Ley que regula el uso del correo electrnico comercial no solicitado

    También podría gustarte