S01 - ENFOQUE INTEGRAL SEGURIDAD DE LA INFORMACION.pdf

Enfoque integral de Seguridad de la Información

Objetivo •

Proteger la información información de las organizaciones organizaciones de los lo s diferentes riesgos informáticos que puedan alterar o dañar los recursos informáticos, por medio de diversos mecanismos de seguridad siguiendo las técnicas de seguridad y las mejores prácticas de la industria relacionadas con seguridad de la información.

Objetivo •

Proteger la información información de las organizaciones organizaciones de los lo s diferentes riesgos informáticos que puedan alterar o dañar los recursos informáticos, por medio de diversos mecanismos de seguridad siguiendo las técnicas de seguridad y las mejores prácticas de la industria relacionadas con seguridad de la información.

Syllabus del curso 1. Seg. Seg. de la Inf Informa ormació ción n - Seg. Informá Informátic tica a 2. Gestión de riesgos 3. Gestión de Accesos 4. Ingeni Ingenieri eria a Social Social 5. Malware

6. Criptografia 7. Seg. de Infraestructura Infraestructura y Redes

Syllabus del curso 8. CyberSecurity 9. Seguridad Cloud Computing 10. Seguridad Móviles 11. Seguridad Aplicaciones / Bases de Datos 12. Tecnologías de Seguridad I

13. Tecnologías de Seguridad II 14. Marcos Normativos Seguridad

Evaluación Diagnóstica

Enfoque integral de la Seguridad de la Información

Objetivo

Asegurar el conocimiento de los conceptos esenciales de la Seguridad de la Información y Seguridad Informática.

Desafios •

Todo el tiempo aparecen vulnerabilidades

•

Contextos cambiantes

•

Presupuestos limitados

•

Riesgos desconocidos

•

Ataques sofisticados de hackers

•

•

Problemas para encontrar profesionales especializados Dificultad en implementar Normativas

La información es un activo estratégico de una empresa. Es intangible y tiene valor para una organización.

Valor de la Información

•

•

Mas importante que el valor de la tecnología, es el valor de la información del negocio. Por ejemplo: el valor de mercado de la información.

¿Qué es la Seguridad?

La situación ó estado de algo, que se adquiere al estar libre de riesgo o peligro.

Seg. de la Información vs. Seg. Informática Seg. de la Información

Seg. Informática

El alcance de la Seguridad I. Infrastructure

Networking, Servers, computers, mobility

II. Data

III. Applications

Databases, O365 email, Shared folders, local data

SAP, EBS, HANA, SalesForce, Interfaces

IV. People

Staff, production warehouse, vendors

Compliance Compliance with corporate policies, ISO 27001, privacy laws CyberSecurity Protect our information and operations against IT criminals and competitors

Principios de Seguridad Confidencialidad

Integridad

Disponibilidad

Confidencialidad La información es accedida sólo por las personas autorizadas.

https://www.youtube.com/watch?v=WNzEHZ_

Integridad Exactitud y totalidad de la información.

DISPONIBILIDAD  Acceso a la información cuando se necesita.

Funcionalidad vs. Protección

El nuevo enfoque de la Seguridad

Know No

Factores Críticos de éxito • • •

•

•

Compromiso de parte de la gerencia; Normatividad de seguridad; Una estrategia de implementación alineada a la cultura organizacional; Un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos; Comunicación eficaz a todos los gerentes y empleados;

Factores Críticos de éxito • • •

Instrucción y entrenamiento adecuados; Gestión efectiva de incidentes; Un sistema integral y equilibrado medición.

de

Potenciales enemigos •

Crackers

•

Usuarios del sistema

•

Competencia

•

Ex-empleados

•

Personal insatisfecho o desleal

•

Delincuentes

•

Millones de adolescentes

¿ Sistema Seguro? •

"El único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de concreto, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Aun así, yo no apostaría mi vida por él". Gene Spafford

¿Por qué tanta inseguridad ? •

Huecos de Seguridad Físicos

•

Huecos de Seguridad en el Software

•

Fallas de los equipos y servicios

•

Falta de Experiencia

•

Pobre administración de la infraestructura

•

Desconocimiento del valor de la información

•

Alta motivación e interés por atacar un sistema

•

Ausencia de un Esquema de Seguridad.

El nivel de efectividad •

•

El nivel de seguridad esta determinado por el punto mas débil. Si un activo es tratado de manera menos segura por una parte, esto implica la destrucción de la inversión en seguridad hecha por las otras partes

La realidad de la seguridad •

•

•

La definición y la practica de la seguridad de la información no es homogénea ni integral en las empresas e instituciones del país. Existen conocimientos técnico avanzado en controles técnicos. No existe personal entrenado en gestionar la seguridad de manera integral.

Seguridad en profundidad •

•

Múltiples capas de seguridad. Las capas tienen vulnerabilidades

•

•

•

•

•

•

•

•

•

COSO CobiT SOX PCI Basilea III(en el Perú: SBS Circular 140) ISO 31000 Familia ISO 27000 NTP ISO 17799 LPDP

El CISO Gartner indica que: •

•

•

El rol del CISO se esta convirtiendo en estratégico a medida que la seguridad madura y las funciones de seguridad se estandarizan y comoditizan. La mayoría de los CISO siguen reportando a TI, pero una minoría significativa ahora reportan en niveles "corporativos" más altos fuera de TI. Las competencias clave de un CISO son cada vez más la gestión, colaboración y comunicación, en lugar de competencias técnicas.