Professional Documents
Culture Documents
1.1
OBJETIVO
1.2
Bruce Schneier
1.3
QU SE DEBE ASEGURAR?
La informacin es un activo
que, como otros activos
importantes del negocio, es
esencial para las actividades
de la organizacin y, en
consecuencia, necesita una
proteccin adecuada.
(NTC-ISO/IEC 17799)
1.4
1.5
QU SE DEBE GARANTIZAR?
1.6
1.7
1.8
1.9
1.10
QU ES SEGURIDAD DE LA INFORMACIN?
La seguridad de la Informacin
protege a los activos de
informacin contra una amplia
gama de amenazas, para
preservar as la continuidad del
negocio y reducir a un nivel
aceptable los riesgos.
ISO 27001:2005
1.11
1.12
1.13
DEFINICIONES DE SEGURIDAD
Definicin dinmica
Evaluar expectativas y amenazas en un contexto
1.14
1.15
1.16
1.17
1.18
1.19
1.20
1.21
BASE DE LA SEGURIDAD
Tecnologa
Herramientas criptogrficas, protocolos
de comunicaciones seguras,
almacenamiento seguro de
informacin, dispositivos de red,
copias de respaldo, etc.
Procesos
Polticas y procedimientos,
organizacin, etc.
Personas
Concienciacin, formacin y educacin
en materia de seguridad, etc.
Seguridad Informtica Introduccin
1.22
OBJETIVOS DE SEGURIDAD
DE LA INFORMACIN
GESTIN DE LA SEGURIDAD Y ALINEAMIENTO CON
CONTROL ESTRATGICO DE LA ORGANIZACIN
Sols (2005)
El objetivo de seguridad de la informacin definido por el
Instituto de Gobierno de Tecnologa de la Informacin:
Proteger los intereses de todos aquellos que dependen de la
informacin y de los sistemas y comunicaciones que la habilitan
contra daos que afecten a su disponibilidad, confidencialidad
e integridad
La necesidad de proteccin de los activos de valor en las
organizaciones implica una nueva responsabilidad de la alta
direccin: garantizar un ambiente de seguridad slido y
consistente, identificando y capitalizando los beneficios.
Seguridad Informtica Introduccin
1.23
SEGURIDAD DE INFORMACIN
EN LA ORGANIZACIN
GOBIERNO
CORPORATIVO
GOBIERNO DE TI
GOBIERNO
DE SEGURIDAD
DE TI
1.24
PROCESO DE GOBIERNO
DE SEGURIDAD EN TI
Determinacin de directrices
Alineamiento estratgico
Generacin de valor
Gestin de riesgos
Medicin de desempeo
1.25
MARCO ORGANIZATIVO
Tourio (2003)
1.26
1.27
ALINEAMIENTO ESTRATGICO
expectativas de los stakeholders
objetivos y metas institucionales
factores crticos de xito
procesos de negocio
aplicaciones
recursos
procesos de TI
Seguridad Informtica Introduccin
1.28
CUADRO DE MANDO DE
LA SEGURIDAD EN TI
CONTRIBUCIN
CORPORATIVA
Cmo ve la organizacin el
valor creado por la
seguridad en TI
ORIENTACIN
AL USUARIO
Cmo ven los usuarios a la
seguridad en la TI
EXCELENCIA
OPERACIONAL
Cun eficientes y eficaces
son los procesos de gestin
de la seguridad en TI
ORIENTACIN
FUTURA
Cun eficiente y eficaz es la
gestin de la seguridad en TI
para adaptarse a los
cambios del entorno
1.29
VULNERABILIDADES EN LA
ORGANIZACIN
Arbat (2003)
Asociadas al entorno e infraestructura
Asociadas a la organizacin
Asociadas a la informacin
1.30
Defensa en profundidad
1.31
METODOLOGA DE IMPLANTACIN
Planificacin de los procedimientos de control
relativos a la seguridad de las TI: estructura
empresarial, polticas, evaluacin de riesgos y costes
Diseo: encaje en el sistema global de control
interno, definicin de procedimientos de control,
prioridades, evidencias, responsabilidades
Implantacin: progresiva, con orden lgico, flexible,
dinmica.
1.32
LIMITACIONES NO TCNICAS
Ausencia de cultura empresarial de control interno
la
1.33
GRACIAS!
1.34
CASO PRCTICO
Seleccionar una entidad, que emplee equipos de
cmputo en sus procesos administrativos y
determinar el nivel de seguridad; para ello podr
utilizar el cuestionario de Inseguridad Informtica
que se presenta en la siguiente diapositiva.
B = Proteccin Estructurada
A = Proteccin Verificada
2
Seguridad Informtica Introduccin
1.35
INSEGURIDAD INFORMTICA
1. La informacin y su proteccin son crticas para la organizacin? Se ha
definido as?
2. Se tiene en la organizacin una poltica de seguridad? Se actualiza
constantemente?
3. La funcin de seguridad.. si existe, Tiene el apoyo, los medios y la capacidad
para administrar la seguridad? Existe un comit de seguridad de la
informacin?
4. Se tienen identificados los principales activos de la informacin de la
organizacin? Y sus riesgos asociados?
5. Es consiente la organizacin de las debilidades o vulnerabilidades de la
infraestructura informtica?
6. Puedo asegurar la continuidad de las operaciones en caso de prdida de la
informacin?
7. Hay conformidad con las leyes y regulaciones de la informacin y estas han
sido fundamentadas desde la alta direccin?
8. Existe una gestin y administracin de riesgos?
9. Hace la organizacin a nivel interno o externo, auditorias a la seguridad de la
informacin?
Seguridad Informtica Introduccin
1.36