Presentacion 2
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Presentacion 2

on

  • 905 views

 

Statistics

Views

Total Views
905
Views on SlideShare
735
Embed Views
170

Actions

Likes
0
Downloads
24
Comments
0

1 Embed 170

http://www.especializacionseguridad.info 170

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Presentacion 2 Presentation Transcript

  • 1. EJERCITO NACIONAL CENTRO DE EDUCACIÓN MILITAR ESCUELA DE COMUNICACIONES MILITARES ESPECIALIZACIÓN EN SEGURIDAD FÍSICA Y DE LA INFORMÁTICA Módulo físico Módulo de seguridad electrónica Módulo de Seminario de seguridad profundización informáticaIng. Raúl Iván Bustos Ladino
  • 2. Módulo físico CRITERIOS DE DE TRABAJO CALIFICACIÓN Evaluaciones y trabajos en clase 30% Tareas 30% Parcial final 40%Ing. Raúl Iván Bustos Ladino
  • 3. Módulo físico INTRODUCCIÓN A LA SEGURIDAD Construir en consenso los conceptos básicos y generales relacionados con seguridad, de tal forma que sean utilizados apropiadamente durante todo el proceso de formaciónIng. Raúl Iván Bustos Ladino
  • 4. Módulo físico INTRODUCCIÓN A LA SEGURIDAD NUCLEOS TEMÁTICOS 1. Definición y elementos de la Seguridad 2. Conceptos de seguridad 3. Seguridad física y sus elementos 4. Seguridad en una Empresa Análisis de riesgos Políticas de seguridad 5. NormatividadIng. Raúl Iván Bustos Ladino
  • 5. Módulo físico QUÉ ES SEGURIDAD Cómo se garantiza un sistema seguroIng. Raúl Iván Bustos Ladino
  • 6. Módulo físico QUÉ ES SEGURIDAD Del latín securus Es una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierto modo, infalible. Fiabilidad (probabilidad de que un sistema se comporte tal y como se espera de él)Ing. Raúl Iván Bustos Ladino
  • 7. Módulo físico Cómo se mantiene un sistema fiable (seguro) Confidencialidad Integralidad DisponibilidadIng. Raúl Iván Bustos Ladino
  • 8. Módulo físico Ejemplos de prioridad En un sistema militar se antepondrá la confidencialidad de los datos almacenados o transmitidos sobre su disponibilidad: seguramente, es preferible que alguien borre información confidencial, a que ese mismo atacante pueda leerlaEn un entorno bancario, la faceta que más preocupa a losresponsables del sistema es la integridad de los datos,frente a su disponibilidad o su confidencialidad: esmenos grave que un usuario consiga leer el saldo de otroque el hecho de que ese usuario pueda modificarlo. En un sistema comercial, un departamento premiará la disponibilidad frente a la confidencialidad: importa poco que un atacante lea una unidad, pero que esa misma unidad no sea leída por usuarios autorizados va a suponer una pérdida de tiempo yIng. Raúl Iván Bustos Ladino dinero.
  • 9. Módulo físico Servicios triple A AUTORIZACIÓN AUTENTICACIÓN AUDITORÍAIng. Raúl Iván Bustos Ladino
  • 10. Módulo físico Servicios triple A AUTORIZACIÓN Propiedad AUTENTICACIÓN Conocimiento Uno - Dos Innatos AUDITORÍAIng. Raúl Iván Bustos Ladino
  • 11. Módulo físico “Para proteger algo primero debo conocerlo” “La desconfianza ¿Atacante es la madre de la o seguridad” Intruso? Aristófanes Los principales ataques vienen de los “amigos” porque son los que me conocenIng. Raúl Iván Bustos Ladino
  • 12. Módulo físico Seguridad Integral ¿Qué quiero proteger?Ing. Raúl Iván Bustos Ladino
  • 13. Módulo físico Que quiere proteger Perímetro de trabajo Políticas de capacitación (capacitación por rol de manera independiente)Ing. Raúl Iván Bustos Ladino
  • 14. Módulo físico Contexto •Seguridad social: Ley 100 de 1991. •Política de defensa y seguridad democrática •Programa de seguridad ciudadana •Departamento Administrativo de Seguridad •Consejo Colombiano de seguridad •Ministerio de Defensa Nacional •Policía Nacional y Ejercito NacionalIng. Raúl Iván Bustos Ladino
  • 15. Módulo físico Algunos conceptos de Seguridad Física Sistema de información. Defensa. Amenaza. Impacto. Vulnerabilidad. Incidente de seguridad. Riesgo.Ing. Raúl Iván Bustos Ladino
  • 16. Módulo físico Algunos conceptos de Seguridad Física Sistema de información. Son los Recursos Informáticos (Físicos y Lógicos) y Activos de Información de que dispone la empresa u organización para su correcto funcionamiento y la consecución de los objetivos propuestos por su Dirección.Ing. Raúl Iván Bustos Ladino
  • 17. Módulo físico Algunos conceptos de Seguridad Física Amenaza. Cualquier evento que pueda provocar daño en los Sistemas de información, produciendo a la empresa pérdidas materiales, financieras o de otro tipo. Las amenazas son múltiples desde una inundación, un fallo eléctrico o una organización criminal o terrorista.Ing. Raúl Iván Bustos Ladino
  • 18. Módulo físico Algunos conceptos de Seguridad Física Vulnerabilidad. Cualquier debilidad en los Sistemas de Información que pueda permitir a las amenazas causarles daños y producir pérdidas. Generalmente se producen por fallos en los sistemas lógicos, aunque también corresponden a defectos de ubicación e instalación.Ing. Raúl Iván Bustos Ladino
  • 19. Módulo físico Algunos conceptos de Seguridad Física Riesgo. Es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del Sistema de información, causando un impacto en la empresa. Evidentemente el riesgo es característico para cada amenaza y cada sistema, pudiéndose disminuir tomando las medidas adecuadas.Ing. Raúl Iván Bustos Ladino
  • 20. Módulo físico Algunos conceptos de Seguridad Física Incidente de seguridad.Cualquier evento que tenga, o pueda tener, comoresultado la interrupción de los serviciossuministrados por un Sistema de Información y/opérdidas físicas, de activos o financieras. En otraspalabras la materialización de una amenaza, puescomo no existe el riesgo cero siempre es posibleque una amenaza deje de ser tal para convertirseen una realidad.Ing. Raúl Iván Bustos Ladino
  • 21. Módulo físico Algunos conceptos de Seguridad Física Impacto. Es la medición y valoración del daño que podría producir a la organización un incidente de seguridad. La valoración global se obtendrá sumando el coste de reposición de los daños tangibles y la estimación, siempre subjetiva, de los daños intangibles tales como la calidad del servicio y la imagen de la organización.Ing. Raúl Iván Bustos Ladino
  • 22. Módulo físico Algunos conceptos de Seguridad Física Defensa. Cualquier medio, físico o lógico, empleado para eliminar o reducir un riesgo. Debe realizarse una valoración cuantitativa de su coste. Muchas veces se la conoce como medida de seguridad o prevención. Su objetivo es reducir el riesgo o el impacto.Ing. Raúl Iván Bustos Ladino
  • 23. Módulo físico Algunos conceptos de Seguridad Física Sistema de Amenaza. información. Expuesto Aprovecha Riesgo. Se convierte Incidente de en seguridad. Vulnerabilidad. Genera un Impacto.Ing. Raúl Iván Bustos Ladino
  • 24. Módulo físico Seguridad Física NO ¿Es suficiente?Ing. Raúl Iván Bustos Ladino
  • 25. Módulo físico Seguridad Física Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial“ Ingeniería de seguridadIng. Raúl Iván Bustos Ladino
  • 26. Módulo físico Seguridad Física Costo del activo a proteger Impacto que se protege Análisis del riesgo Rubro destinado para tal fin (coherencia con el entrono)Ing. Raúl Iván Bustos Ladino
  • 27. Módulo físico Seguridad FísicaLa seguridad física describe las medidas que previenen o detienen aintrusos antes de que accedan a un recurso o información almacenadaen medios físicos. Elementos de riesgo Físico Humano Información LógicoIng. Raúl Iván Bustos Ladino
  • 28. Módulo físico Seguridad Física Obstáculos Elementos Ingeniería Detección de seguridad Respuesta para repeler, capt urar o frustrarIng. Raúl Iván Bustos Ladino
  • 29. Módulo físico Seguridad Física Depende de las máquinas (principalmente) Conocimiento del enemigo Seguridad de área Seguridad de equipos (físico y lógico) Seguridad de usuario CapacitaciónIng. Raúl Iván Bustos Ladino
  • 30. Módulo físico Seguridad Física Seguridad de área Definir perímetro de seguridad física (CONTROLES DE ACCESO) Robustecer las fuentes de suministro Definir verdaderas necesidades Definir perfiles de usuario Acciones de respuesta a ataquesIng. Raúl Iván Bustos Ladino
  • 31. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. Animales Guardias Protección Sistemas electrónica biométricos Detectores de metalesIng. Raúl Iván Bustos Ladino
  • 32. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio (incluyendo vehículos). Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal. Las personas se identifican por algo que poseen (credencial) o que saben Credenciales: NORMAL TEMPORAL CONTRATISTA VISITA Ventajas VS desventajasIng. Raúl Iván Bustos Ladino
  • 33. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO Ventajas VS desventajasIng. Raúl Iván Bustos Ladino
  • 34. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO 200 millones de receptores olfativos Olfato 10.000 veces mas sensible que el gusto Ventajas VS desventajasIng. Raúl Iván Bustos Ladino
  • 35. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO Seguridad electrónica: Se llama así a la detección de robo, intrusión, asalto e incendios mediante la utilización de sensores conectados a centrales de alarmas. Barreras Infrarrojas y de Micro-Ondas Hasta 150 metros InmunidadIng. Raúl Iván Bustos Ladino
  • 36. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO Seguridad electrónica Detectores Pasivos Detector Sin Alimentación Ultrasónico (40 m2)Ing. Raúl Iván Bustos Ladino
  • 37. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO Seguridad electrónica Circuitos Cerrados de Televisión Edificios InteligentesIng. Raúl Iván Bustos Ladino
  • 38. Módulo físico Seguridad Física Seguridad de área “CONTROLES DE ACCESO” Seguridad electrónica Sonorización y Detección y extinción Dispositivos Luminosos de incendiosIng. Raúl Iván Bustos Ladino
  • 39. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO Seguridad electrónica VENTAJAS Y DESVENTAJAS Definir perímetro y Definir seguridadIng. Raúl Iván Bustos Ladino
  • 40. Módulo físico Seguridad Física Seguridad de área CONTROLES DE ACCESO Biometría: es la parte de la biología que estudia en forma cuantitativa la variabilidad individual de los seres vivos utilizando métodos estadísticos". La Biometría es una tecnología que realiza mediciones en forma electrónica, guarda y compara características únicas para la identificación de personas. Ventajas VS desventajasIng. Raúl Iván Bustos Ladino
  • 41. Módulo físico Seguridad Física Seguridad de equipos (físico y lógico) Contra robo Contra fuego Los incendios son causados por el uso inadecuado de combustibles, fallas de instalaciones eléctricas defectuosas y el inadecuado almacenamiento y Temperatura traslado de sustancias peligrosas. (Recomendaciones y Humedad detección extinción y locativas) Contra inundaciones La temperatura no debe sobrepasar los 18º C y el limite de humedad no debe superar el Se las define como la invasión de agua por exceso de 65% para evitar el deterioro. escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. (Recomendaciones locativas)Ing. Raúl Iván Bustos Ladino
  • 42. Módulo físico Seguridad Física Seguridad de equipos (físico y lógico) Alimentos y bebidas Instalaciones eléctricas (recomendaciones)Ing. Raúl Iván Bustos Ladino
  • 43. Módulo físico Seguridad Física Seguridad de equipos (físico y lógico) Técnicas salamiIng. Raúl Iván Bustos Ladino
  • 44. Módulo físico Seguridad Física Seguridad de usuario Ergometría Integridad Es una disciplina que se ocupa de estudiar la forma en que física interactúa el cuerpo humano con los artefactos y elementos que lo rodean, buscando que esa interacción sea lo menos agresiva y traumática posible BienestarIng. Raúl Iván Bustos Ladino
  • 45. Módulo físico Seguridad Física ¿DE QUÉ NOS QUEREMOS PROTEGER? Desastres Geofísicos Naturales Hidrológicos MeteorológicosIng. Raúl Iván Bustos Ladino
  • 46. Módulo físico Seguridad Física ¿DE QUÉ NOS QUEREMOS PROTEGER? PERSONAS (Interno y externo) Interno Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Se combate con ingeniería social y capacitaciónIng. Raúl Iván Bustos Ladino
  • 47. Módulo físico Seguridad Física ¿DE QUÉ NOS QUEREMOS PROTEGER? PERSONAS (Interno y externo) Externo Ladrones Ex-empleados Delincuentes informáticos TerroristasIng. Raúl Iván Bustos Ladino
  • 48. Módulo físico Seguridad Física Ataques a la seguridad Fuente Destino Fuente Destino Fuente Destino Flujo Normal Interrupción Intruso Intercepción Fuente Destino Fuente Destino Intruso Intruso Modificación FabricaciónIng. Raúl Iván Bustos Ladino
  • 49. Módulo físico Seguridad al interior de la organización ¿Quien administra la seguridad?Ing. Raúl Iván Bustos Ladino
  • 50. Módulo físico Seguridad al interior de la Empresa Una organización se concibe como un sistema diseñado para lograr metas y objetivos por medio de los recursos físicos y humanos. Jerárquica TIPOS DE Funcional ORGANIZACIÓN MixtaIng. Raúl Iván Bustos Ladino
  • 51. Módulo físico Seguridad al interior de la Empresa Organización jerárquica Es una forma de organización basada en la autoridad de tal manera que cada miembro de la organización sabe quiénes están por debajo de él y quiénes por encima. Ventajas Desventajas Mayor facilidad en la toma de Es rígida e inflexible. decisiones y en la ejecución de las mismas. La organización depende de hombres clave, lo que origina trastornos. No hay conflictos de autoridad ni fugas de responsabilidad. No fomenta la especialización. Es claro y sencillo. Los ejecutivos están saturados de trabajo, lo que ocasiona que no se La disciplina es fácil de dediquen a sus labores directivas, sino, mantener. simplemente de operación.Ing. Raúl Iván Bustos Ladino
  • 52. Módulo físico Seguridad al interior de la Empresa Organización jerárquicaIng. Raúl Iván Bustos Ladino
  • 53. Módulo físico Seguridad al interior de la Empresa Organización funcionalSe basa en la especialización, de tal forma que una persona desarrolla una sola función en lacual es especialista y puede recibir órdenes de otros especialistas a los cuales estásubordinada. Estos jefes sólo darán órdenes relacionadas con su especialidad. Ventajas Mayor especialización. Se obtiene la más alta eficiencia de la persona. La división del trabajo es planeada y no incidental. El trabajo manual se separa del trabajo intelectual. Disminuye la presión sobre un sólo jefe por el número de especialistas con que cuenta la organización.Ing. Raúl Iván Bustos Ladino
  • 54. Módulo físico Seguridad al interior de la Empresa Organización funcional Desventajas: Dificultad de localizar y fijar la responsabilidad, lo que afecta seriamente la disciplina y moral de los trabajadores por contradicción aparente o real de las ordenes. Se viola el principio de la unida de mando, lo que origina confusión y conflictos. La no clara definición de la autoridad da lugar a rozamientos entre jefes.Ing. Raúl Iván Bustos Ladino
  • 55. Módulo físico Seguridad al interior de la Empresa Organización mixtaEste modelo intenta aprovechar las ventajas de los dos modelos anteriores y eliminar susinconvenientes. Mantiene una estructura central jerárquica, pero aplicando una mayorespecialización. Se crean unos niveles consultivos “staff”. A estos niveles consultivos o “staff”se utilizan para asesorar a los distintos niveles jerárquicos. Los componentes de los nivelesconsultivos no tienen autoridad jerárquica. Desventajas Ventajas Las decisiones son más lentas. Permite el uso de especialistas que asesoran diversos departamentos. El personal de “staff” puede entrometerse en cuestiones de control Se mantienen la unidad de administrativo, introduciendo un factor de mando, puesto que casi nunca una confusión. persona depende de más de una. El uso de “staff” especializados incrementan los costes de administración de la empresa.Ing. Raúl Iván Bustos Ladino
  • 56. Módulo físico Seguridad al interior de la Empresa Empresa Es una organización económica básica encargada de satisfacer las necesidades de un mercado mediante la utilización de recursos materiales y humanos. Según la actividad Según la forma económica jurídica Según la Según el destino de dimensión Clasificación los beneficios Según la titularidad Según el ámbito de del capital la actividadIng. Raúl Iván Bustos Ladino
  • 57. Módulo físico Seguridad al interior de la Empresa Empresa Según la actividad económica Sector primario Sector secundario Sector terciario (extractivo) (transformación materia prima) (servicios)Ing. Raúl Iván Bustos Ladino
  • 58. Módulo físico Seguridad al interior de la Empresa Empresa Según la forma jurídica Individuales Societarias Generalmente constituidas por varias personas. Dentro de esta clasificación están: La sociedad anónima (SA), la sociedad limitada (SL), la colectiva, la sociedad comendataria y las sociedades de economía social (cooperativa y sociedad laboral).Ing. Raúl Iván Bustos Ladino
  • 59. Módulo físico Seguridad al interior de la Empresa Empresa Según la Según el destino de dimensión los beneficiosMicroempresa: si posee menos de 10trabajadores Con ánimo de lucroPequeña: si tiene menos de 50Mediana: si tiene un número entre 50 y 250 Sin ánimo de lucroGrande: si poseen más de 250. Según el ámbito de Según la titularidad la actividad del capital Locales Regionales Púbicas Privadas Mixtas Nacionales MultinacionalesIng. Raúl Iván Bustos Ladino
  • 60. Módulo físico Seguridad al interior de la Empresa Organigrama Es la representación gráfica de la estructura organizativa de una empresa, permite obtener una idea uniforme acerca de una organización. El organigrama tiene doble finalidad: desempeña un papel informativo y es un instrumento para el análisis de las particularidades esenciales de la empresa representada.Ing. Raúl Iván Bustos Ladino
  • 61. Módulo físico Seguridad al interior de la Empresa OrganigramaIng. Raúl Iván Bustos Ladino
  • 62. Módulo físico Seguridad al interior de la Empresa Departamentos de una empresa Son centros de trabajo que se encargan de una actividad concreta dentro de la empresa. Dirección y recursos humanos Comercial Finanzas y administración Sistemas de información Producción y logísticaIng. Raúl Iván Bustos Ladino
  • 63. Módulo físico Seguridad al interior de la Empresa Departamento de seguridad Su finalidad es establecer una estructura Garantiza la protección de integral por niveles y políticas de las personas, de los seguridad, análisis de riesgos, administración bienes y propender por el de recursos, garantizar la protección de las normal funcionamiento personas, de los bienes y normal de los servicios. funcionamiento de los servicios. Equipo interdisciplinario Tiene multitud de “elementos” repartidos por toda la empresa y tiene personal de seguridad.Ing. Raúl Iván Bustos Ladino
  • 64. Módulo físico Seguridad al interior de la Empresa Departamento de seguridad Objeto de protección Personal propio, usuarios y clientes, activos materiales propios, activos inmateriales propios, tecnología, imagen y finanzas. (A LA MEDIDA)Ing. Raúl Iván Bustos Ladino
  • 65. Módulo físico Seguridad al interior de la Empresa Departamento de seguridad Las tareas encomendadas son •servicios de vigilancia •servicios de protección personal •protección física •protección electrónica •Capacitación •Diseño de planes operativos •Ordenes de puesto •Cuadrantes de servicio •Inspecciones de material de extinción de incendios y salidas de emergencia. •Inspecciones de aparatos de seguridad contra intrusión.Ing. Raúl Iván Bustos Ladino
  • 66. Módulo físico Seguridad al interior de la Empresa Departamento de seguridad Las tareas encomendadas son •Medios (vehículos, radios, linternas, etc.). •Actualización de normativa referente a seguridad. •Gestión de alarmas. •Establecer niveles de acceso. •Emisión de credenciales y autorizaciones. •Gestión de visitas •Normativa interna. •Previsión de gastos. •Recomendaciones sobre mejoras del servicio. •Asesoría en materia de seguridad. •Información y colaboración con las Fuerzas y Cuerpos de Seguridad del estado. •Informes internos.Ing. Raúl Iván Bustos Ladino
  • 67. Módulo físico Seguridad al interior de la Empresa Dirección de seguridad Creada para la consecución de los objetivos en el orden y en los tiempos requeridos, determinará los recursos humanos y presupuestarios existentes así como las necesidades, tanto organizativas como de medios. Director de seguridad Ingeniero “EL CEREBRO”Ing. Raúl Iván Bustos Ladino
  • 68. Módulo físico Seguridad al interior de la Empresa Director de seguridad Fases estructurales Establecer prioridades y plazos Evaluación Política de de riesgos seguridad Delegar Actuación responsabilidades y sobre los recursos riesgos Autoridad mía, responsabilidad compartidaIng. Raúl Iván Bustos Ladino
  • 69. Módulo físico Seguridad al interior de la Empresa Funciones director de seguridadEs el máximo responsable de la Seguridad y Protección de las personas y los bienes.Le corresponde el análisis de situaciones de riesgo y la planificación y programaciónde las actuaciones precisas para la implantación y realización de los servicios deseguridad.La organización, dirección e inspección del personal y servicios de seguridad propia yconcertada con empresa privada.La propuesta de los sistemas de seguridad que resulten pertinentes, así como lasupervisión de su utilización, funcionamiento y conservación.La coordinación de los distintos servicios de seguridad que de ellos dependan conactuaciones propias de protección civil, en situaciones de emergencia, catástrofe ocalamidad pública.Ing. Raúl Iván Bustos Ladino
  • 70. Módulo físico Seguridad al interior de la Empresa Funciones director de seguridad Asegurar la colaboración de los servicios de seguridad con los de las correspondientes dependencias de las Fuerzas y Cuerpos de Seguridad. En general, velar por la observancia de la regulación de seguridad aplicable. Adoptar las medidas necesarias referentes a la elaboración de un protocolo para la colaboración con los servicios de extinción de incendios de cada uno de los municipios en donde haya un Centro. Elaborar los procedimientos operativos y las órdenes de puesto. Canalizar hacia las dependencias de las fuerzas y cuerpos de Seguridad las comunicaciones. Comparecer a las reuniones informativas o de coordinación a que fueren citados por las autoridades policiales competentes.Ing. Raúl Iván Bustos Ladino
  • 71. Módulo físico Seguridad al interior de la Empresa Funciones director de seguridadElaborará los documentos pertinentes a servicios extraordinarios, festivos, jornadasnocturnas, turnicidad y/o jornadas especiales.Firmará, previa su comprobación, las comisiones de servicio que motivenindemnizaciones por locomoción y dietas, cumplimentadas por los Jefes de Unidad,tramitándolas con posterioridad al departamento o servicio económico.Adoptará las medidas necesarias para que los temas de intendencia y logísticapropuestos por los Jefes de Unidad encuentren respuesta.Elaborará propuestas de sustituciones de personal de Vigilancia en periodo estival,permisos, licencias, bajas, y firmará los documentos correspondientes a suincorporación al servicioIng. Raúl Iván Bustos Ladino
  • 72. Módulo físico Seguridad al interior de la Empresa Central de control de seguridadIng. Raúl Iván Bustos Ladino
  • 73. Módulo físico Seguridad al interior de la Empresa (A LA MEDIDA) Análisis de riesgosIng. Raúl Iván Bustos Ladino
  • 74. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos Es el proceso de identificar, analizar, valorar y mitigar o transferir el riesgo Responderlas siguientes preguntas ¿Que podría ocurrir? (amenaza) ¿Sí ocurre, cuánto daño podría causar? (impacto) ¿Qué tan a menudo podría ocurrir? ¿Qué tan ciertas son las respuestas a las anteriores preguntas?Ing. Raúl Iván Bustos Ladino
  • 75. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos El Análisis de Riesgo realiza una predicción del futuro, basándose en el pasado histórico y un análisis cuidadoso de los eventos. Contribuyen al Análisis de Riesgo, áreas relacionadas con Epidemiología, Estadística, Clínica y Patología, Economía, Teoría de Decisiones, Administración, Estudios Ambientales y Legales, entre otras.Ing. Raúl Iván Bustos Ladino
  • 76. Módulo físico Seguridad al interior de la Empresa Análisis de riesgosEl Análisis de Riesgo no reemplaza la experiencia empírica, por elcontrario, con frecuencia gran cantidad de información se obtiene apartir de juicios de expertos.Los valores asignados a las probabilidades pueden ser, en algúngrado subjetivos si se obtienen de juicios de expertos o masobjetivos si existen datos o registros cuantitativos(informes, encuestas)Hay que tener cuidado porque las predicciones nunca darán lacerteza absoluta.Ing. Raúl Iván Bustos Ladino
  • 77. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos Los modelos predictivos empleados para el Análisis de Riesgo son perfectibles, de acuerdo con mejores antecedentes. Por eso, nunca pensemos que hemos llegado al último. El cálculo de los valores puede proveer de antecedentes poco seguros, pero al menos entrega datos que se pueden evaluar, discutir e intercambiar con las contrapartes, tratando de llegar al consenso.Ing. Raúl Iván Bustos Ladino
  • 78. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPAS PLANEACIÓN IDENTIFICACIÓN DE RECURSOS IDENTIFICACIÓN DE AMENAZAS Y TRATAMIENTO VULNERABILIDADES VALORACIÓNIng. Raúl Iván Bustos Ladino
  • 79. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 1: PLANEACIÓN Descripción del sistema: requerimientos (o misión) del sistema, concepto de operación, e identificación de la naturaleza de los recursos del sistema. Está descripción provee las bases para posteriores análisis y es prerrequisito para iniciar la valoración de riesgos. El alcance: se determina el alcance del análisis. Cuales recursos del sistema requiere o no el análisis de riesgos. Cuales agentes de amenazas no serán considerados, etc.Ing. Raúl Iván Bustos Ladino
  • 80. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 2: IDENTIFICACIÓN DE RECURSOS Personas Hardware Software InformaciónIng. Raúl Iván Bustos Ladino
  • 81. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 3: IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES Listado de Amenazas RIESGOS NATURALES HUMANOS FÍSICO LÓGICOIng. Raúl Iván Bustos Ladino
  • 82. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 3: IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES Algunas debilidades observadas en el sistema, dan píe a una serie de recomendaciones de seguridad iniciales que se pueden poner en práctica de inmediato, por lo general implican bajos costos, como respaldo a estos controles se implanta las correspondientes políticas de seguridad.Ing. Raúl Iván Bustos Ladino
  • 83. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Cualitativo CuantitativoIng. Raúl Iván Bustos Ladino
  • 84. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Cualitativo Los analistas se apoyan en su juicio, experiencia e intuición para la toma de decisiones. Se pueden utilizar cuando los datos numéricos son inadecuados o no se cuentan con personal experimentado en el área. Se utilizan clasificaciones de palabra como alto, medio o bajo, o descripciones más detalladas de la probabilidad y la consecuencia.Ing. Raúl Iván Bustos Ladino
  • 85. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Cualitativo Las clasificaciones se determinan en relación con una escala apropiada para calcular el nivel de riesgo. Se debe poner atención en la escala utilizada a fin de evitar malos entendidos o malas interpretaciones de los resultados. Matricial Análisis de modo de Análisis preliminar falla y efecto FMEA de riesgos PHA What if? Listas de chequeosIng. Raúl Iván Bustos Ladino
  • 86. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Análisis preliminar de riesgos PHA Para realizar un PHA deben cubrirse las siguientes etapas: Recopilación de la información necesaria. Realización del PHA propiamente dicho. Informe de resultados.Ing. Raúl Iván Bustos Ladino
  • 87. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Análisis preliminar de riesgos PHA Recopilación de la información necesaria. Son informaciones básicas las de la propia empresa o proceso, así como las referentes a los equipos principales, y las del entorno en el que se realizan las operaciones. Es también fundamental la información relacionada con procesos similares y empresas semejantes.Ing. Raúl Iván Bustos Ladino
  • 88. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Análisis preliminar de riesgos PHA Realización del PHA propiamente dicho. El objetivo principal del PHA es identificar las amenazas y vulnerabilidades que provoquen consecuencias indeseables. Pueden identificarse, asimismo, criterios de diseño o alternativas que contribuyan a eliminar o reducir estos riesgos.Ing. Raúl Iván Bustos Ladino
  • 89. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Análisis preliminar de riesgos PHA Informe de resultados. MADIDAS PREVENTIVAS O AMENAZA VULNERABILIDAD IMPACTO CORRECTIVAS Fuga tóxica Manejo inadecuado del Peligro de muerte a) Colocar sistemas de detección cilindro de si la fuga es y alerta almacenamiento importante b) Capacitación del personal c) Desarrollar un procedimiento de manipulación de los cilindrosIng. Raúl Iván Bustos Ladino
  • 90. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN LISTAS DE CHEQUEO Son listas de fácil aplicación y pueden ser utilizadas en cualquier fase de un proyecto o modificación de una planta. Es una manera adecuada de evaluar el nivel mínimo aceptable de riesgo de un determinado proyecto. Muchas organizaciones utilizan las listas de inspección estandarizadas para seguimiento y control de las diferentes fases de un proyecto. Inflamabilidad Vertidos Explosividad Almacenamientos SUSTANCIAS (EJEMPLO) Toxicidad Electricidad estática Corrosividad ReactividadIng. Raúl Iván Bustos Ladino
  • 91. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Análisis de modo de falla y efecto FMEA (Failure Mode and Effects Analysis) Este método consiste en la tabulación de los equipos y sistemas de una empresa, estableciendo las diferentes posibilidades de fallo y las diversas influencias (efectos) de cada uno de ellos en el conjunto del sistema o de la planta. Para garantizar la efectividad del método, debe disponerse de: Lista de equipos y sistemas. Conocimiento de las funciones de los equipos. Conocimiento de las funciones de los sistemas y empresa. Item Identificación Designación Modo de fallo EfectosIng. Raúl Iván Bustos Ladino
  • 92. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN What if?Ing. Raúl Iván Bustos Ladino
  • 93. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN MatricialIng. Raúl Iván Bustos Ladino
  • 94. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN MatricialIng. Raúl Iván Bustos Ladino
  • 95. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN MatricialIng. Raúl Iván Bustos Ladino
  • 96. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Cuantitativo Se consideran métodos cuantitativos a aquellos que permiten asignar valores de ocurrencia a las diferentes amenazas identificadas, es decir, calcular matemáticamente el nivel de riesgo. (a veces son llamados semi-cuantitativos) Análisis funcional de Método de árbol operatividad (AFO) de fallas Índice Dow para Matricial fuegos y explosionesIng. Raúl Iván Bustos Ladino
  • 97. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Cuantitativo MatricialIng. Raúl Iván Bustos Ladino
  • 98. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 4: VALORACIÓN Cuantitativo MatricialIng. Raúl Iván Bustos Ladino
  • 99. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 5: TRATAMIENTO Luego del análisis de riesgos se procede a determinar el tipo de acción a tomar para cada riesgo. Se estudian las amenazas que presentan los recursos del sistema y se determina si es posible la implantación de mecanismos que reduzcan o eliminen el riesgo, en caso contrario las acciones a tomar serían la aceptación o transferencia del riesgo.Ing. Raúl Iván Bustos Ladino
  • 100. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 5: TRATAMIENTO Estrategias de respuesta Proteger y procesar Se suele aplicar cuando la organización es muy vulnerable o el nivel de los atacantes es elevado; la filosofía es proteger de manera inmediata y restaurar su estado normal, de forma que los usuarios puedan seguir trabajando normalmente. La principal desventaja de esta estrategia es que el atacante se da cuenta rápidamente de que ha sido descubierto y puede emprender acciones para NO ser identificado o se limita a abandonar su ataque y dedicarse a probar suerte con otros sistemas menos protegidos en otras organizaciones.Ing. Raúl Iván Bustos Ladino
  • 101. Módulo físico Seguridad al interior de la Empresa Análisis de riesgos ETAPA 5: TRATAMIENTO Estrategias de respuestaPerseguir y procesarAdopta la filosofía de permitir al atacante proseguir sus actividades, pero de formacontrolada y observada por los administradores, de la forma más discreta posible.Con esto, se intentan guardar pruebas para ser utilizadas en la segunda parte de laestrategia, la de acusación y procesamiento del atacante (ya sea ante la justicia oante los responsables de la organización, si se trata de usuarios internos).Evidentemente se corre el peligro de que el intruso descubra su monitorización ydestruya completamente el sistemaIng. Raúl Iván Bustos Ladino
  • 102. Módulo físico Seguridad al interior de la Empresa (A LA MEDIDA) Análisis de riesgosIng. Raúl Iván Bustos Ladino
  • 103. Módulo físico Seguridad al interior de la Empresa Política de seguridad No es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello, pues cada política de seguridad es una invitación a cada uno de los miembros a reconocer sus principales activos.Ing. Raúl Iván Bustos Ladino
  • 104. Módulo físico Seguridad al interior de la Empresa Política de seguridad ¿Para qué?Ing. Raúl Iván Bustos Ladino
  • 105. Módulo físico Seguridad al interior de la Empresa Política de seguridad ¿Qué es una política?Ing. Raúl Iván Bustos Ladino
  • 106. Módulo físico Seguridad al interior de la Empresa Elementos de una política de seguridad Alcance y ámbito de la Política de Seguridad: En este punto se debe detallar si la política es global, para toda la empresa, o si está delimitada para determinados departamentos o personas. Objetivos general y específicos: CONTINUIDAD DEL NEGOCIO Responsabilidades y Organización de la Seguridad de la Información: Se establecerá una estructura de responsables para la toma de decisiones respecto a inversiones, seguimiento y aseguramiento del cumplimiento de lo recogido en las políticas. Así mismo, puede establecerse la composición de un Comité para la toma de decisiones conjuntas en materia de seguridad.Ing. Raúl Iván Bustos Ladino
  • 107. Módulo físico Seguridad al interior de la Empresa Elementos de una política de seguridad Control de la información: Se indicarán las pautas para asegurar el buen uso de la información. Una buena práctica puede ser establecer una guía de clasificación de la información en función de su contenido y/o grado de confidencialidad. A cada nivel (por ejemplo: información de uso interno, confidencial, reservada), se le dotarán de diferentes medidas de seguridad en cada una de sus fases de tratamiento (creación, distribución, eliminación…)Ing. Raúl Iván Bustos Ladino
  • 108. Módulo físico Seguridad al interior de la Empresa Elementos de una política de seguridad Seguridad del personal: Se especificarán las medidas de seguridad a tomar en relación al personal de la organización desde su incorporación en la que deberían firmarse acuerdos y clausulas de confidencialidad, uso de los sistemas, etc, pasando por su permanencia en la empresa, en la que deberá establecerse un programa de formación y concienciación en Seguridad de la Información hasta la finalización de la relación laboral donde se detallarán las medidas para asegurar la devolución del equipamiento (móviles, portátiles, etc…) que hayan sido cedidos al empleado para su desarrollo de actividades en la empresa y la eliminación de autorizaciones de acceso.Ing. Raúl Iván Bustos Ladino
  • 109. Módulo físico Seguridad al interior de la Empresa Elementos de una política de seguridad Seguridad Seguridad de equipos de área (físico y lógico) Definición de violaciones y sanciones Seguridad por no cumplir con las de usuario políticasIng. Raúl Iván Bustos Ladino
  • 110. Módulo físico Seguridad al interior de la Empresa Política de seguridad La política de seguridad es una “declaración de principios” y, por lo tanto, es la guía sobre la que se cimentarán los principios para asegurar la Seguridad de la Información de nuestras organizaciones. A partir de esta política, deberán desarrollarse otras guías o procedimientos más específicos que detallen más ampliamente lo establecido en nuestra política.Ing. Raúl Iván Bustos Ladino
  • 111. Módulo físico Seguridad al interior de la Empresa Política de seguridad Ejemplo: En la política se indicará que los usuarios deberán tomar medidas para proteger sus cuentas de usuarios, pero será necesario desarrollar más profundamente un procedimiento que detalle los usos permitidos y no permitidos de los recursos informáticos en los que se les den, por ejemplo, buenas prácticas para la composición de contraseñas, qué uso deben hacer del correo electrónico o cómo debe ser utilizado Internet.Ing. Raúl Iván Bustos Ladino
  • 112. Módulo físico Seguridad al interior de la Empresa Etapas en el desarrollo de una política de seguridadIng. Raúl Iván Bustos Ladino
  • 113. Módulo físico Seguridad al interior de la EmpresaSugerencias para tener en cuenta al momento de formular una política de seguridad Realizar un análisis de riesgos Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad.Ing. Raúl Iván Bustos Ladino
  • 114. Módulo físico Seguridad al interior de la EmpresaSugerencias para tener en cuenta al momento de formular una política de seguridadIdentificar quién tiene la autoridad para tomar decisiones en cadadepartamento, pues son ellos los interesados en salvaguardar losactivos críticos su área.Monitorear periódicamente los procedimientos y operaciones de laempresa, de forma tal, que ante cambios las políticas puedanactualizarse oportunamente.Detallar explícita y concretamente el alcance de las políticas con elpropósito de evitar situaciones de tensión al momento de establecerlos mecanismos de seguridad que respondan a las políticas trazadas.Ing. Raúl Iván Bustos Ladino