27
SEGURIDAD EN COMPUTACION E SEGURIDAD EN COMPUTACION E INFORMATICA INFORMATICA INTEGRANTES: INTEGRANTES: AGÜERO ORTEGA JORGE ISAAC AGÜERO ORTEGA JORGE ISAAC ALZAMORA MAMANI PABLO ALZAMORA MAMANI PABLO CABEZUDO MARTINEZ WILLIAM CABEZUDO MARTINEZ WILLIAM PASACHE PAPA JESUS PASACHE PAPA JESUS CHURA HUASHUAYO JORGE CHURA HUASHUAYO JORGE

Sgsi

Embed Size (px)

Citation preview

Page 1: Sgsi

SEGURIDAD EN COMPUTACION E SEGURIDAD EN COMPUTACION E INFORMATICAINFORMATICA

INTEGRANTES:INTEGRANTES:

AGÜERO ORTEGA JORGE ISAACAGÜERO ORTEGA JORGE ISAAC ALZAMORA MAMANI PABLOALZAMORA MAMANI PABLO CABEZUDO MARTINEZ WILLIAMCABEZUDO MARTINEZ WILLIAM PASACHE PAPA JESUSPASACHE PAPA JESUS CHURA HUASHUAYO JORGECHURA HUASHUAYO JORGE

Page 2: Sgsi

¿Por qué se debe ¿Por qué se debe aplicar una estrategia aplicar una estrategia

de implementación de implementación de seguridad quede seguridad que

sea consecuente con sea consecuente con la cultura la cultura

organizacional?organizacional?

Page 3: Sgsi

Sistemas de Gestión de Sistemas de Gestión de SeguridadSeguridad

La implantación de sistemas de La implantación de sistemas de seguridad facilita a la empresa los seguridad facilita a la empresa los instrumentos mas necesarios y instrumentos mas necesarios y eficaces para asegurar la protección eficaces para asegurar la protección de la información susceptible de de la información susceptible de intercepciones no autorizadas y intercepciones no autorizadas y salvaguardar la integridad y salvaguardar la integridad y exactitud de sus activosexactitud de sus activos

Page 4: Sgsi

Que es un sistema de gestión Que es un sistema de gestión de seguridad de Información?de seguridad de Información?

Consiste en un conjunto de:Consiste en un conjunto de:– Estructura OrganizativaEstructura Organizativa– Activos físicosActivos físicos– ConocimientoConocimiento– ProcedimientosProcedimientos– Recursos humanosRecursos humanos

Page 5: Sgsi

ObjetivoObjetivo

- Garantizar la confidencialidad, Garantizar la confidencialidad, integridad y disponibilidad de la integridad y disponibilidad de la información a todos los nivelesinformación a todos los niveles

- Reducir los riesgos a niveles Reducir los riesgos a niveles aceptablesaceptables

- Cumplir con las leyes , normas y Cumplir con las leyes , normas y regulaciones vigentesregulaciones vigentes

Page 6: Sgsi

Objetivo de un proyecto de Objetivo de un proyecto de implantación de SGSIimplantación de SGSI

Definir e implantar un proyecto de SGSI Definir e implantar un proyecto de SGSI basado en los requisitos de la norma basado en los requisitos de la norma ISO 17799 y obtener la certificación por ISO 17799 y obtener la certificación por un organismo acreditadoun organismo acreditado

Implantar un método optimo de Implantar un método optimo de organizar la Seguridad de la organizar la Seguridad de la información en todos los ámbitos así información en todos los ámbitos así como el área de desarrollo y centro de como el área de desarrollo y centro de procesamiento de datosprocesamiento de datos

Page 7: Sgsi

Ventajas de la implementación Ventajas de la implementación de un SGSIde un SGSI

Mejorar la organización y asignación de responsabilidades en lo Mejorar la organización y asignación de responsabilidades en lo relativo a seguridad de la información de la empresarelativo a seguridad de la información de la empresa

Permite documentar y estandarizar las actividades referentes a la Permite documentar y estandarizar las actividades referentes a la gestión de la seguridad de la informacióngestión de la seguridad de la información

Disminuir el riesgo del posible uso de información confidencial por Disminuir el riesgo del posible uso de información confidencial por parte de personal ajenoparte de personal ajeno

Conseguir un sistema que aprenda de los errores y que evolucione Conseguir un sistema que aprenda de los errores y que evolucione constantementeconstantemente

Involucrar al personal como parte activa y creativa en el proyectoInvolucrar al personal como parte activa y creativa en el proyecto Aumentar la rentabilidad a mediano y corto plazo , al disminuir la Aumentar la rentabilidad a mediano y corto plazo , al disminuir la

probabilidad de perdida y fuga de información de la empresaprobabilidad de perdida y fuga de información de la empresa

Page 8: Sgsi

Ventajas de la implementación Ventajas de la implementación de un SGSIde un SGSI

Mayor estabilidad y posicionamiento en su Mayor estabilidad y posicionamiento en su mercado , debido a que se puede prever que la mercado , debido a que se puede prever que la certificación será casi una obligación para certificación será casi una obligación para cualquier empresa que desee competircualquier empresa que desee competir

Evitar la apertura de brechas de seguridad al Evitar la apertura de brechas de seguridad al interrelacionar sistemas de clientes, control de interrelacionar sistemas de clientes, control de stock, facturación, pedidos, productos, etc. entre stock, facturación, pedidos, productos, etc. entre diversas institucionesdiversas instituciones

Mejora de la imagen corporativaMejora de la imagen corporativa Establecer un lenguaje común entre clientes, Establecer un lenguaje común entre clientes,

proveedores y terceras partes.proveedores y terceras partes.

Page 9: Sgsi

Como implementar un SGSIComo implementar un SGSI FASE 1: Identificar y estudiar los objetivos y requerimientos FASE 1: Identificar y estudiar los objetivos y requerimientos

de seguridad del sistema de información de la organizaciónde seguridad del sistema de información de la organización FASE 2: Análisis de riesgos: identificar las vulnerabilidades FASE 2: Análisis de riesgos: identificar las vulnerabilidades

y amenazas de seguridad de información que recaen en los y amenazas de seguridad de información que recaen en los servicios, procesos y activos, así como la probabilidad de servicios, procesos y activos, así como la probabilidad de impacto de realización de dichas amenazasimpacto de realización de dichas amenazas

FASE 3: Selección de los controles necesarios para tratar los FASE 3: Selección de los controles necesarios para tratar los riesgos de la fase 2, y documentarlo en un plan de riesgos de la fase 2, y documentarlo en un plan de tratamiento de riesgos, que será luego complementado y tratamiento de riesgos, que será luego complementado y ampliadoampliado

FASE 4: Formalización del SGSI: Documentación de las FASE 4: Formalización del SGSI: Documentación de las políticas, programas y procedimientos del SGSI necesarios políticas, programas y procedimientos del SGSI necesarios para gestionar los riesgos de seguridad de información de para gestionar los riesgos de seguridad de información de la Organizaciónla Organización

Page 10: Sgsi

FASE 5: Plan de implementación de controles: Consiste en FASE 5: Plan de implementación de controles: Consiste en identificar el grado de desviación entre la situación deseada identificar el grado de desviación entre la situación deseada para los controles y procesos del SGSI y la situación actual para los controles y procesos del SGSI y la situación actual de madurez de la organización. Desarrollar el plan director de madurez de la organización. Desarrollar el plan director de Seguridad en la informaciónde Seguridad en la información

FASE 6: Ejecución de una auditoria interna del SGSI FASE 6: Ejecución de una auditoria interna del SGSI después de su implantación, los resultados de esta después de su implantación, los resultados de esta auditoria son exigidos como evidencia, además de ser una auditoria son exigidos como evidencia, además de ser una entrada fundamental para la revisión del SGSI por la entrada fundamental para la revisión del SGSI por la dirección.dirección.

FASE 7: Auditoria externa de Certificación: Certificación del FASE 7: Auditoria externa de Certificación: Certificación del SGSI por un organismo externo acreditado, así como la SGSI por un organismo externo acreditado, así como la resolución resolución de las posibles no conformidades detectadasde las posibles no conformidades detectadas

Page 11: Sgsi

TIPOS DE TIPOS DE ESTRATEGIAESTRATEGIA

Page 12: Sgsi

Mínimo privilegioMínimo privilegio

Este es uno de los principios más fundamentales de seguridad. La Este es uno de los principios más fundamentales de seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa, sistema, estrategia consiste en conceder a cada objeto (usuario, programa, sistema, etc.) solo aquellos permisos o privilegios que son necesarios para realizar etc.) solo aquellos permisos o privilegios que son necesarios para realizar las tareas que se programó para ellos. El tipo de objeto al cual se apliquen las tareas que se programó para ellos. El tipo de objeto al cual se apliquen los permisos determinará la granularidad de la seguridad obtenida.los permisos determinará la granularidad de la seguridad obtenida.

Esta estrategia permite limitar la exposición a ataques y limitar el daño Esta estrategia permite limitar la exposición a ataques y limitar el daño causado por ataques particulares. Está basada en el razonamiento de que causado por ataques particulares. Está basada en el razonamiento de que todos los servicios ofrecidos por una red están pensados para ser utilizados todos los servicios ofrecidos por una red están pensados para ser utilizados por algún perfil de usuario en particular, y no que todos los usuarios pueden por algún perfil de usuario en particular, y no que todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los utilizar todos los servicios de la red. De esta forma es posible reducir los privilegios requeridos para varias operaciones sin afectar al servicio privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios de la red.prestado a los usuarios de la red.

Page 13: Sgsi

Defensa en profundidadDefensa en profundidad

Esta estrategia se basa en la implementación de varios Esta estrategia se basa en la implementación de varios mecanismos de seguridad y que cada uno de ellos refuerce a los mecanismos de seguridad y que cada uno de ellos refuerce a los demás. De esta forma se evita que la falla de uno de los demás. De esta forma se evita que la falla de uno de los mecanismos deje vulnerable a la red completa.mecanismos deje vulnerable a la red completa.

La idea es hacerle más difícil y costoso a un atacante la tarea de La idea es hacerle más difícil y costoso a un atacante la tarea de violar la seguridad de la red. Esto se logra con la multiplicidad y violar la seguridad de la red. Esto se logra con la multiplicidad y redundancia de la protección, es decir, con cada mecanismo redundancia de la protección, es decir, con cada mecanismo respaldando a los demás mecanismos de seguridad y cubriendo respaldando a los demás mecanismos de seguridad y cubriendo aspectos solapados, de forma que si uno de esos mecanismos aspectos solapados, de forma que si uno de esos mecanismos falla, existen otras barreras más que vencer. falla, existen otras barreras más que vencer.

Page 14: Sgsi

Punto de Ahogo (acceso)Punto de Ahogo (acceso)

Esta estrategia consiste en depender de un único punto de acceso Esta estrategia consiste en depender de un único punto de acceso a la red privada para todas las comunicaciones entre ésta y la red a la red privada para todas las comunicaciones entre ésta y la red pública. Ya que no existe otro camino para el tráfico de entrada y pública. Ya que no existe otro camino para el tráfico de entrada y salida, los esfuerzos de control y mecanismos de seguridad se salida, los esfuerzos de control y mecanismos de seguridad se centran y simplifican en monitorear un solo sitio de la red.centran y simplifican en monitorear un solo sitio de la red.

Esta estrategia se considera como una solución “todo en uno”. Esta estrategia se considera como una solución “todo en uno”. Como consecuencia, uno de los problemas que presenta es que si Como consecuencia, uno de los problemas que presenta es que si un atacante es capaz de traspasar la seguridad de este único punto un atacante es capaz de traspasar la seguridad de este único punto del acceso tendrá acceso a todos los recursos de la red. Esta del acceso tendrá acceso a todos los recursos de la red. Esta situación puede ser tratada utilizando mecanismos de protección situación puede ser tratada utilizando mecanismos de protección redundantes y reforzar la seguridad de dicho punto.redundantes y reforzar la seguridad de dicho punto.

Page 15: Sgsi

El enlace más débilEl enlace más débil

Esta estrategia responde a un principio de seguridad que, aplicado Esta estrategia responde a un principio de seguridad que, aplicado a redes, establece que un sitio es tan seguro como lo es su enlace a redes, establece que un sitio es tan seguro como lo es su enlace más débil. Este enlace suele ser el objetivo de los ataques a la más débil. Este enlace suele ser el objetivo de los ataques a la privacidad de una red.privacidad de una red.

El objetivo de esta estrategia es identificar aquellos enlaces débiles El objetivo de esta estrategia es identificar aquellos enlaces débiles de acceso a la red privada y tratar de eliminarlos, reforzarlos y/o de acceso a la red privada y tratar de eliminarlos, reforzarlos y/o monitorearlos. Aunque no por esto debe restarse importancia a la monitorearlos. Aunque no por esto debe restarse importancia a la seguridad de otros aspectos de la red.seguridad de otros aspectos de la red.

Page 16: Sgsi

Estado a prueba de fallosEstado a prueba de fallos

Esta estrategia considera un importante factor en la Esta estrategia considera un importante factor en la seguridad de redes: ninguna solución de seguridad es seguridad de redes: ninguna solución de seguridad es 100% segura. Más o menos segura, una protección 100% segura. Más o menos segura, una protección puede fallar. La pregunta es ¿cómo responderá la red puede fallar. La pregunta es ¿cómo responderá la red a esta falla?. Obviamente se tratará de reestablecer la a esta falla?. Obviamente se tratará de reestablecer la barrera cuanto antes, pero, mientras tanto...barrera cuanto antes, pero, mientras tanto...

Uno de los principios fundamentales en la seguridad Uno de los principios fundamentales en la seguridad de redes es que si un mecanismo de seguridad fallara, de redes es que si un mecanismo de seguridad fallara, debería negarse el acceso a todo usuario, inclusive debería negarse el acceso a todo usuario, inclusive aquellos usuarios permitidos (no podemos determinar aquellos usuarios permitidos (no podemos determinar si lo son si la función de autenticación no está si lo son si la función de autenticación no está funcionando), es decir debe fallar en un estado seguro.funcionando), es decir debe fallar en un estado seguro.

Este principio debe ser considerado al diseñar firewalls Este principio debe ser considerado al diseñar firewalls de Internet. Los filtros de paquetes y gateways, deben de Internet. Los filtros de paquetes y gateways, deben fallar en tal forma que el trafico desde y hacia Internet fallar en tal forma que el trafico desde y hacia Internet sea detenido.sea detenido.

Page 17: Sgsi

SimplicidadSimplicidad

Se sabe que cuanto más grande y complejo es Se sabe que cuanto más grande y complejo es un sistema, más errores tendrá, será más un sistema, más errores tendrá, será más difícil y costoso de testear. Probablemente difícil y costoso de testear. Probablemente posea agujeros de seguridad no conocidos que posea agujeros de seguridad no conocidos que un atacante puede explotar, por más un atacante puede explotar, por más complejos que sean.complejos que sean.

La simplicidad de los sistemas de seguridad es La simplicidad de los sistemas de seguridad es un factor importante de una sólida defensa de un factor importante de una sólida defensa de red. Particularmente los sistemas de seguridad red. Particularmente los sistemas de seguridad de red a nivel de aplicación no deberían tener de red a nivel de aplicación no deberían tener funcionalidades desconocidas y deberían funcionalidades desconocidas y deberían mantenerse lo más simples posible.mantenerse lo más simples posible.

Page 18: Sgsi

Seguridad basada en la RedSeguridad basada en la Red

El modelo de seguridad de red se enfoca en controlar el acceso a la El modelo de seguridad de red se enfoca en controlar el acceso a la red, y no en asegurar los hosts en sí mismos. Este modelo esta red, y no en asegurar los hosts en sí mismos. Este modelo esta diseñado para tratar los problemas identificados en el ambiente de diseñado para tratar los problemas identificados en el ambiente de seguridad de hosts, aplicando los mecanismos de protección en un seguridad de hosts, aplicando los mecanismos de protección en un lugar en común por el cual circula todo el tráfico desde y hacia los lugar en común por el cual circula todo el tráfico desde y hacia los hosts: los puntos de acceso a la red.hosts: los puntos de acceso a la red.

Un enfoque de seguridad de red involucra la construcción de Un enfoque de seguridad de red involucra la construcción de firewalls para proteger redes confiadas de redes no confiables, firewalls para proteger redes confiadas de redes no confiables, utilizando sólidas técnicas de autenticación, y usando encriptación utilizando sólidas técnicas de autenticación, y usando encriptación para proteger la confidencialidad e integridad de los datos a medida para proteger la confidencialidad e integridad de los datos a medida que atraviesan la red.que atraviesan la red.

Page 19: Sgsi

DEFINICIÓN DE CULTURA DEFINICIÓN DE CULTURA ORGANIZACIONAL:ORGANIZACIONAL:

La cultura organizacional es el La cultura organizacional es el conjunto de normas, hábitos y conjunto de normas, hábitos y valores, que practican los individuos valores, que practican los individuos de una organización, y que hacen de de una organización, y que hacen de esta su forma de comportamiento. esta su forma de comportamiento.

Page 20: Sgsi

Analizando la Cultura Organizacional actual, podemos Analizando la Cultura Organizacional actual, podemos determinar las fortalezas y debilidades de la empresa en el determinar las fortalezas y debilidades de la empresa en el aspecto humano, debido que es el punto mas critico de la aspecto humano, debido que es el punto mas critico de la seguridad de la informaciónseguridad de la información

Estas fortalezas o debilidades ayudan a determinar el plan de Estas fortalezas o debilidades ayudan a determinar el plan de trabajo de un sistema de gestión de seguridadtrabajo de un sistema de gestión de seguridad

- Ejemplo: En cierta empresa se desea implementar un sistema de Ejemplo: En cierta empresa se desea implementar un sistema de gestión de seguridad, para lo cual primero debemos conocer las gestión de seguridad, para lo cual primero debemos conocer las normas que rigen la empresa, tales como horarios de trabajo, normas que rigen la empresa, tales como horarios de trabajo, posibilidad de acceso a infraestructura por parte del personal, posibilidad de acceso a infraestructura por parte del personal, horarios de acceso a paginas Web no restringidas, etc.horarios de acceso a paginas Web no restringidas, etc.

Es importante conocer además los antecedentes que tiene la Es importante conocer además los antecedentes que tiene la institución con respecto a seguridad informática, tales como institución con respecto a seguridad informática, tales como perdida de documentos físicos y lógicos , metodología actual de perdida de documentos físicos y lógicos , metodología actual de reciclaje de dispositivos de almacenamiento, cantidad de reciclaje de dispositivos de almacenamiento, cantidad de infecciones por virus promedio por área, robos de contraseñas infecciones por virus promedio por área, robos de contraseñas de acceso, etc.de acceso, etc.

Identificamos además los riesgos a los que se enfrenta la Identificamos además los riesgos a los que se enfrenta la compañía y sus posibles consecuenciascompañía y sus posibles consecuencias

Page 21: Sgsi

Una vez determinadas las normas y antecedentes, Una vez determinadas las normas y antecedentes, contrastamos las necesidades que tiene la organización, contrastamos las necesidades que tiene la organización, con las que tiene el personal, para calificar cuales son con las que tiene el personal, para calificar cuales son posibles de satisfacer, rechazar o mejorar.posibles de satisfacer, rechazar o mejorar.

A consecuencia de este análisis, podremos comenzar a A consecuencia de este análisis, podremos comenzar a realizar un plan de seguridad en información, ya que se realizar un plan de seguridad en información, ya que se contrasta con la información real y no supuesta, lo cual nos contrasta con la información real y no supuesta, lo cual nos da mayores oportunidades de éxito.da mayores oportunidades de éxito.

Proporcionamos una perspectiva general de las reglas y los Proporcionamos una perspectiva general de las reglas y los procedimientos que deben implementarse para afrontar los procedimientos que deben implementarse para afrontar los riesgos identificados en los diferentes departamentos de la riesgos identificados en los diferentes departamentos de la organización organización

Controlar y detectar las vulnerabilidades del sistema de Controlar y detectar las vulnerabilidades del sistema de información, y mantenerse informado acerca de las información, y mantenerse informado acerca de las falencias en las aplicaciones y en los materiales que se falencias en las aplicaciones y en los materiales que se usan usan

Definir las acciones a realizar y las personas a contactar en Definir las acciones a realizar y las personas a contactar en

caso de detectar una amenazacaso de detectar una amenaza

Page 22: Sgsi

La seguridad informática de una compañía La seguridad informática de una compañía depende de que los empleados (usuarios) depende de que los empleados (usuarios) aprendan las reglas a través de sesiones de aprendan las reglas a través de sesiones de capacitación y de concientización. Sin embargo, capacitación y de concientización. Sin embargo, la seguridad debe ir más allá del conocimiento de la seguridad debe ir más allá del conocimiento de los empleados y cubrir las siguientes áreas: los empleados y cubrir las siguientes áreas:

Un mecanismo de seguridad física y lógica que se Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía y al uso adapte a las necesidades de la compañía y al uso de los empleados de los empleados

Un procedimiento para administrar las Un procedimiento para administrar las actualizaciones actualizaciones

Una estrategia de realización de Una estrategia de realización de copias de seguridad (backup)copias de seguridad (backup) planificada planificada adecuadamente adecuadamente

Un plan de recuperación luego de un incidente Un plan de recuperación luego de un incidente Un sistema documentado actualizado Un sistema documentado actualizado

Page 23: Sgsi

Seguridad en la definición de puestos de Seguridad en la definición de puestos de trabajo y la asignación de recursos trabajo y la asignación de recursos

Objetivo: Reducir los riesgos de error humano, robo, fraude Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.o uso inadecuado de instalaciones.

Las responsabilidades en materia de seguridad deben ser Las responsabilidades en materia de seguridad deben ser explicitadas en la etapa de reclutamiento, incluidas en los explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeño del contratos y monitoreadas durante el desempeño del individuo como empleado. Todos los empleados y usuarios individuo como empleado. Todos los empleados y usuarios externos de las instalaciones de procesamiento de externos de las instalaciones de procesamiento de información deben firmar un acuerdo de confidencialidad información deben firmar un acuerdo de confidencialidad (no revelación).(no revelación).

Inclusión de la seguridad en las responsabilidades de los Inclusión de la seguridad en las responsabilidades de los puestos de trabajo.puestos de trabajo.

Selección y política de integridad: certificado de buena Selección y política de integridad: certificado de buena conducta, comprobación de CV.conducta, comprobación de CV.

Acuerdos de ConfidencialidadAcuerdos de Confidencialidad Términos y condiciones de empleoTérminos y condiciones de empleo

Page 24: Sgsi

Capacitación del usuarioCapacitación del usuario Objetivo : Garantizar que los usuarios están al corriente de las amenazas e Objetivo : Garantizar que los usuarios están al corriente de las amenazas e

incumbencias en materia de seguridad de la información, y están incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.transcurso de sus tareas normales.

Respuesta a incidentes y anomalías en materia de seguridad Respuesta a incidentes y anomalías en materia de seguridad Objetivo : Minimizar el daño producido por incidentes y anomalías en Objetivo : Minimizar el daño producido por incidentes y anomalías en

materia de seguridad, y monitorear dichos incidentes y aprender de los materia de seguridad, y monitorear dichos incidentes y aprender de los mismos. Los incidentes que afectan la seguridad deben ser comunicados mismos. Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales adecuados tan pronto como sea posible.mediante canales gerenciales adecuados tan pronto como sea posible.

Se debe concienciar a todos los empleados y contratistas acerca de los Se debe concienciar a todos los empleados y contratistas acerca de los procedimientos de comunicación de los diferentes tipos de incidentes procedimientos de comunicación de los diferentes tipos de incidentes (violaciones, amenazas, debilidades o anomalías en materia de seguridad) (violaciones, amenazas, debilidades o anomalías en materia de seguridad) que podrían producir un impacto en la seguridad de los activos de la que podrían producir un impacto en la seguridad de los activos de la organización. Se debe requerir que los mismos comuniquen cualquier organización. Se debe requerir que los mismos comuniquen cualquier incidente advertido o supuesto al punto de contacto designado tan pronto incidente advertido o supuesto al punto de contacto designado tan pronto como sea posible. La organización debe establecer un proceso como sea posible. La organización debe establecer un proceso disciplinario formal para ocuparse de los empleados que perpetren disciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad. Para lograr abordar debidamente los violaciones de la seguridad. Para lograr abordar debidamente los incidentes podría ser necesario recolectar evidencia tan pronto como sea incidentes podría ser necesario recolectar evidencia tan pronto como sea posible una vez ocurrido el hecho posible una vez ocurrido el hecho

Page 25: Sgsi

Responsabilidades del usuarioResponsabilidades del usuario

Objetivo: Impedir el acceso de usuarios no Objetivo: Impedir el acceso de usuarios no autorizadosautorizados

La cooperación de los usuarios autorizados en La cooperación de los usuarios autorizados en esencial para la eficacia de la seguridad.esencial para la eficacia de la seguridad.

Se debe concienciar a los usuarios acerca de sus Se debe concienciar a los usuarios acerca de sus responsabilidades por el mantenimiento de responsabilidades por el mantenimiento de controles de acceso eficaces, en particular controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas y aquellos relacionados con el uso de contraseñas y la seguridad del equipamiento.la seguridad del equipamiento.

Uso de contraseñasUso de contraseñas Equipos desatendidos en áreas de usuariosEquipos desatendidos en áreas de usuarios

Page 26: Sgsi

ConclusionesConclusiones 1.- La seguridad de la información es importante que se 1.- La seguridad de la información es importante que se

introduzca dentro de la cultura organizacional, ya que se introduzca dentro de la cultura organizacional, ya que se orienta a la protección de la información y así mismo se orienta a la protección de la información y así mismo se integra a la misión y visión de la empresa que forma parte integra a la misión y visión de la empresa que forma parte de la estrategia de la organización y se alinea con sus de la estrategia de la organización y se alinea con sus objetivos.objetivos.

2.- La cultura organizacional dificulta la implantación de 2.- La cultura organizacional dificulta la implantación de una estrategia de implementación de seguridad, debido a una estrategia de implementación de seguridad, debido a que la cultura tradicionalista es muy arraigada, impidiendo que la cultura tradicionalista es muy arraigada, impidiendo la efectividad de la misma.la efectividad de la misma.

3.- Es necesario que exista mas apoyo por parte de las 3.- Es necesario que exista mas apoyo por parte de las diversas áreas y de la gerencia para poder aplicar una diversas áreas y de la gerencia para poder aplicar una estrategia de implementación de la seguridad.estrategia de implementación de la seguridad.

4.- La información hoy en día es uno de los más 4.- La información hoy en día es uno de los más importantes activos para las empresas por este motivo importantes activos para las empresas por este motivo requiere ser asegurada y protegida en forma apropiada.requiere ser asegurada y protegida en forma apropiada.

Page 27: Sgsi

RecomendacionesRecomendaciones Tomar en cuenta que el análisis de la Tomar en cuenta que el análisis de la

cultura organizacional es fundamental como cultura organizacional es fundamental como base principal de la implementación de un base principal de la implementación de un sistema de gestión de seguridad de la sistema de gestión de seguridad de la información, debido a que es la fuente real información, debido a que es la fuente real y cuantificable de las debilidades y y cuantificable de las debilidades y fortalezas que tiene la organización.fortalezas que tiene la organización.

Los miembros de la organización deben ser Los miembros de la organización deben ser colaboradores activos dentro del plan de colaboradores activos dentro del plan de seguridad de la información, ya que el seguridad de la información, ya que el aspecto humano es el mas critico y donde aspecto humano es el mas critico y donde se requiere mayor énfasis en la mejora del se requiere mayor énfasis en la mejora del nivel de seguridad.nivel de seguridad.


Metodologias Para Implantacion Del SGSI

Metodologias Para Implantacion Del SGSI

Documents
consultoria implemetacion sgsi

consultoria implemetacion sgsi

Documents
CAPACITAÇÃO SGSI

CAPACITAÇÃO SGSI

Documents
Modulo sgsi 233003 ajustado

Modulo sgsi 233003 ajustado

Education
Presentación sgsi janethpiscoya

Presentación sgsi janethpiscoya

Technology
Slide de sgsi

Slide de sgsi

Data & Analytics
Iso27001 sgsi

Iso27001 sgsi

Technology
CLASE2 Fundamentos SGSI

CLASE2 Fundamentos SGSI

Documents
SGSI Para Pymes (1)

SGSI Para Pymes (1)

Documents
Sgsi Data Center

Sgsi Data Center

Documents
13. Formacion Sgsi 2010

13. Formacion Sgsi 2010

Documents
Introduccion ISO 27001 SGSI

Introduccion ISO 27001 SGSI

Education
SGSI Tesis

SGSI Tesis

Documents
Un Modelo Electrónico y una Metodología de un SGSI para PYMES (e-SGSI)

Un Modelo Electrónico y una Metodología de un SGSI para PYMES (e-SGSI)

Documents
Implementación del SGSI - Alta Dirección

Implementación del SGSI - Alta Dirección

Documents
Auditoría del SGSI

Auditoría del SGSI

Technology
02 Metodología SGSI

02 Metodología SGSI

Documents
Guia metodologica SGSI

Guia metodologica SGSI

Documents
Tesis SGSI

Tesis SGSI

Documents
5. ISO 27003 (SGSI)- Ayuda y Guia Oara Implementar en SGSI

5. ISO 27003 (SGSI)- Ayuda y Guia Oara Implementar en SGSI

Documents
Proyecto Final Sgsi

Proyecto Final Sgsi

Documents
ACTIVIDAD 13 - SGSI

ACTIVIDAD 13 - SGSI

Documents
SGSI 27001

SGSI 27001

Documents
SGSI - rediris.es · ISO 27005. Gestión de riesgos ISO 27006. Acreditación de certificadores de SGSI

SGSI - rediris.es · ISO 27005. Gestión de riesgos ISO 27006. Acreditación de certificadores de SGSI

Documents
Modulo SGSI 233003 Listo

Modulo SGSI 233003 Listo

Documents
SGSI SESION 02

SGSI SESION 02

Documents
Iso27001 Norma E Implantacion Sgsi

Iso27001 Norma E Implantacion Sgsi

Technology
SGSI -modelo to implmentacion

SGSI -modelo to implmentacion

Documents
Nuevo Sgsi 2013

Nuevo Sgsi 2013

Documents
IMPLEMENTACIÓN DE UN SGSI

IMPLEMENTACIÓN DE UN SGSI

Documents