Your SlideShare is downloading. ×
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Seguridad informacion
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Seguridad informacion

480

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
480
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
22
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. UPT Derecho Informático Seguridad de la Información Ivonne Gonzales Nina 11/10/2013 .
  • 2. Seguridad de Información UPT 1 Ivonne Gonzales Nina INTRODUCCION Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema está libre de todo peligro, daño o riesgo." (Villalón) Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger. La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información. Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado. “La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”
  • 3. Seguridad de Información UPT 2 Ivonne Gonzales Nina DESARROLLO 1. SEGURIDAD DE LA INFORMACION La seguridad informática es el área de la informática que se encarga de la protección de la infraestructura computacional incluyendo la información contenida. Maneja la protección de aspectos tales como: confidencialidad, integridad, autenticidad y disponibilidad. La seguridad informática protege software, bases de datos, archivos, datos, etc. de que caiga en manos de personas inescrupulosas o no autorizadas. En las empresas existe un componente fundamental en el proceso del negocio: La información, uno de los mayores retos de las organizaciones y en especial de los departamentos de sistemas e informática es garantizar la seguridad de la información y de los recursos informáticos. Los objetivos de la seguridad informática son: Proteger la información contenida, es uno de los elementos más importantes dentro de una organización; son todos los datos ingresados por el usuario (ya sea un administrador, supervisor u otra persona que le esté permitido anexar o modificar dicha información) para que no le sean permitidos ver a personas ajenas a el acceso de la información. Proteger al usuario: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y gestiona la información .el usuario es el mayor afectado si la información es hurtada, ya que es el responsable de ella. 2. ¿CÓMO ESTABLECER LOS REQUISITOS DE SEGURIDAD? Es esencial que la organización identifique sus requisitos de seguridad. Existen tres fuentes principales. 1. La primera fuente procede de la valoración de los riesgos de la organización, tomando en cuenta los objetivos y estrategias generales del negocio. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto.
  • 4. Seguridad de Información UPT 3 Ivonne Gonzales Nina 2. La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones y contratos que debería satisfacer la organización, sus socios comerciales, los contratistas y los proveedores de servicios. 3. La tercera fuente está formada por los principios, objetivos y requisitos que forman parte del tratamiento de la información que la organización ha desarrollado para apoyar sus operaciones. 3. OBJETIVO DE LA SEGURIDAD INFORMÁTICA El objetivo de la seguridad informática es proteger los recursos informáticos valiosos de la organización, tales como la información, el hardware o el software. A través de la adopción de las medidas adecuadas, la seguridad informática ayuda a la organización cumplir sus objetivos, protegiendo sus recursos financieros, sus sistemas, su reputación, su situación legal, y otros bienes tanto tangibles como inmateriales. Desafortunadamente, en ocasiones se ve a la seguridad informática como algo que dificulta la consecución de los propios objetivos de la organización, imponiendo normas y procedimientos rígidos a los usuarios, a los sistemas y a los gestores. Sin embargo debe verse a la seguridad informática, no como un objetivo en sí mismo, sino como un medio de apoyo a la consecución de los objetivos de la organización. En general el principal objetivo de las empresas, es obtener beneficios y el de las organizaciones públicas, ofrecer un servicio eficiente y de calidad a los usuarios. En las empresas privadas, la seguridad informática debería apoyar la consecución de beneficios. Para ello se deben proteger los sistemas para evitar las potenciales pérdidas que podrían ocasionar la degradación de su funcionalidad o el acceso a los sistemas por parte de personas no autorizadas. De igual forma, las organizaciones públicas deben proteger sus sistemas para garantizar la oferta de sus servicios de forma eficiente y correcta.
  • 5. Seguridad de Información UPT 4 Ivonne Gonzales Nina 4. ROLES SOBRE LA SEGURIDAD ¿Quién es el responsable por la seguridad de la información? Directorio: Revisar y aprobar la política de seguridad de la información asegurando que sea adecuada para la institución. Evaluar y aprobar las iniciativas principales para mejorar la seguridad de la información. Evaluar el rendimiento de la gestión de seguridad de la información. Gerencia General: Difundir de una manera adecuada la Política de Seguridad de la Información. Asegurar el correcto entendimiento de la Política de Seguridad de la Información y que todo el personal de la institución se comprometa al cumplimiento de la misma. Oficial de Seguridad de la Información:
  • 6. Seguridad de Información UPT 5 Ivonne Gonzales Nina Direccionar, recomendar y aconsejar a todos los usuarios de los sistemas de información en cuanto a la seguridad de la información. Realizar investigaciones de incidentes y ayudar a resolver problemas de seguridad de la información. Desarrollar métodos y técnicas para monitorear efectivamente los sistemas de seguridad de la información y reportar periódicamente su efectividad al Comité de Gestión de SI. Evaluar, recomendar y desarrollar especificaciones técnicas para la seguridad de los sistemas de información. Coordinar el desarrollo, mantenimiento y prueba del plan de Contingencia Informático Gerentes y Jefes: Difundir de una manera adecuada la Política de Seguridad de la Información asegurando su correcto entendimiento. Controlar los términos de seguridad de la información en contratos con terceros y en la relación con los clientes externos. Propietarios de Información: Aceptar la responsabilidad por toda la información que está bajo su control. Analizar el valor e impacto de la información a su cargo Clasificar la información de acuerdo a los estándares establecidos. Autorizar accesos sobre la información Determinar tiempos de retención y métodos de destrucción de la información. Comunicar requerimientos de control y protección de la información al Oficial de Seguridad. Establecer los niveles mínimos de servicio cuando se requiere recuperar información en casos de desastres. Custodios:
  • 7. Seguridad de Información UPT 6 Ivonne Gonzales Nina Cumplir con los requerimientos de protección de la Información Utilizar herramientas y mecanismos de seguridad físicos y de procedimientos automatizados para proteger la información del acceso, divulgación, modificación o destrucción no autorizados, ya sea accidental o intencionalmente. Preparar respaldos de información y guardarlos en localizaciones seguras. Participar en la evaluación de riesgos junto con los propietarios de la información y el Oficial de Seguridad. Preparar planes de recuperación de la información. En caso de contingencias, notificar a los usuarios propietarios de la información la incapacidad de cumplir con los niveles de servicio establecidos. Usuarios: Usar solamente la información para los propósitos autorizados por la organización. Cumplir con los requerimientos de seguridad establecidos Informar a los propietarios de la información y/o el Oficial de Seguridad cualquier exposición de la seguridad ya sea real o potencial. Controlar los términos de seguridad de la información en contratos con terceros y en la relación con nuestros clientes. 5. MECANISMOS DE SEGURIDAD Medidas de Protección Los controles deben asegurar que los riesgos son reducidos a un nivel de riesgo aceptable tomando en cuenta: Requerimientos y limitaciones de la legislación y regulación nacional e internacional Objetivos organizacionales
  • 8. Seguridad de Información UPT 7 Ivonne Gonzales Nina Requerimientos y limitaciones operativas Costo de implementación y operación Balance entre la inversión y el daño probable en caso de fallas Clasificación de la Información: La información debería clasificarse para indicar la necesidad, prioridades y grado de protección Privado Confidencial Uso interno Público Seguridad en la zona de trabajo Guardar los documentos y medios de almacenamiento de información cuando estos no se estén utilizando. Guardar información confidencial o privada en lugar seguro y bajo llave. Bloquear su computador en caso de ausencia temporal en la oficina. Apagar su computadora al final de su jornada de trabajo Seguridad de equipos dentro y fuera de la Organización Utilizar los equipo sólo para la ejecución de funciones asignadas Vigilar condiciones eléctricas y ambientales Evitar fumar, beber y comer Equipos fuera de los locales Solicitar autorización para retirar equipo No dejarlos desatendidos en sitios públicos
  • 9. Seguridad de Información UPT 8 Ivonne Gonzales Nina No desactivar mecanismos de protección Acceso a las computadoras Está prohibido utilizar una identidad distinta a la propia Los dispositivos de almacenamiento removibles (grabadoras de CD/DVD, memoria USB) están restringidos. Está prohibido el compartir carpetas sin asignar contraseñas o permisos de acceso. Sólo el personal de Soporte Técnico podrá ingresar remotamente a las computadoras, con la autorización del usuario o por orden de la Gerencia General. Acceso a la Red de Datos y Sistemas de Información Todo acceso debe estar autorizado por el Gerente o Jefe. El acceso a los sistemas de información debe ser autorizado los correspondientes propietarios. Las cuentas y contraseñas de acceso a red, correo, sistemas y otros servicios son confidenciales, personales e intransferibles Las contraseñas deben ser difíciles de adivinar, tener al menos 6 dígitos, cambiarse por lo menos cada 90 días y bloquearse al tercer intento fallido. Protección contra software malicioso No introducir virus o software malicioso en los equipos de cómputo. No deshabilitar o desinstalar los programas antivirus, sin autorización No instalar software adicional.
  • 10. Seguridad de Información UPT 9 Ivonne Gonzales Nina Comunicar inmediatamente al área de Soporte Técnico la detección de virus o software malicioso. Uso de Correo Electrónico Interno El correo electrónico institucional es personal y de uso exclusivo para las funciones encomendadas. Está prohibido transmitir contenido invasor a la intimidad, que contravenga disposiciones legales u ofensivas. Está prohibido enviar mensajes spams, con fines lucrativos o cadenas. Eliminar correos electrónicos externos no solicitados y/o recibidos de fuentes desconocidas. No ejecutar archivos adjuntos de programas, scripts o extensiones desconocidas (Ejemplo: exe, com, vbs, bat) No transmitir información confidencial sin autorización del jefe inmediato superior. Uso de Internet El acceso a Internet es para uso exclusivo de las funciones encomendadas Está prohibido: Ingresar a páginas improductivas que no estén relacionadas a las funciones Descargar e instalar programas sin autorización Utilizar aplicaciones Peer-to-peer Utilizar mensajería instantánea sin autorización Todo acceso puede ser monitoreado
  • 11. Seguridad de Información UPT 10 Ivonne Gonzales Nina Seguridad de Equipos Ofimáticos Recoger inmediatamente los documentos que se impriman o fotocopien. Destruir copias de documentos confidenciales (Cuando ya no sean necesarias) Identificar y supervisar los equipos ofimáticos de su área Evitar fuga de información No enviar información confidencial por fax, sin autorización Otras formas de Comunicación de tipo confidencial No dejar grabados mensajes con información confidencial en máquinas contestadoras Evitar conversar sobre temas sensibles o confidenciales en presencia de terceros Evitar discutir temas sensibles o confidenciales por teléfonos inalámbricos o celulares
  • 12. Seguridad de Información UPT 11 Ivonne Gonzales Nina CONCLUSIONES La Seguridad de la Información es importante por la conservación de la integridad de la información y el equipo en sí, piensa en los virus como algo dañino que puede dañar tu sistema operativo y dejar tu pc sin posibilidades de uso, así como la perdida de la información almacenada. Se está tomando Énfasis al ISO 27002 porque proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información.
  • 13. Seguridad de Información UPT 12 Ivonne Gonzales Nina WEB GRAFÍA http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la- iso-27001-y-la-iso-27002 http://es.wikipedia.org/wiki/ISO/IEC_27002 http://seguridadit.blogspot.com/ http://es.wikipedia.org/wiki/Tecnolog%C3%ADas_de_la_informaci%C 3%B3n_y_la_comunicaci%C3%B3n http://es.wikipedia.org/wiki/Tic

×