Professional Documents
Culture Documents
FUNDAMENTOS
INFORMATION
SECURITY
+N
Pf"lu^^lla^l S,fd'*
)P4ew*,h*a!dat@
cnsrtN
INFORMATION
SECURITY
lnformacin de Confidencialidad
PMConsultant S.L.
crF 8-81351363
Madrid, Espaa
2ALL
27042
oTM_PMC_0O36 | 2012
t ffil{trroN
:Pn*r***r.quo
SraltEf
r! *l(($rlpsEi
fu
rirf lt5{}
crsrl
ISO/IEC 27AA2
DE LA SEGURIDAD DE LA INFORMACII', BESAA EN LA
RESERVADOS
OTM_PMC-0036 I 2012
;FFr{:*,*-*htw*
5i jf
a, e,
* b
: i.1,i1).;i
Sd^o
I r'_'r.rril
jra
@llflsl{froN
HN
LA ISO/IL,C 27AA2
lnformation ecuritY
Foundation
based on lO/lEC 27002
P\br-u.f**la*o
,..:.
,1'., r;r:
About EXIN
Exll.l, the Examlnatlon nstltute for lnformatlon cience, le a
global, lnependent lT examlnatlon provlder offerlng
lualification programs for lOllEC 20000, lSOllEC !7000,
lTlL@, MOF, AgL, BiSL and TMaP@'
lfsEXlN-smissiontoprovidethebestindependent
ceftificatignandaccreditationininformation
professionals and
management worldwide, EXIH enables
organTzations to turn their skills into a reputation'
RESERVADOS
PMCONSULTA.NTSPAIN . TODOS LOS DERECHOS
;PM{ruu^A*!dd"o
cnsltn
r[BH++''|oN
rso/rnc z70oz
Normas de comportamiento
Olvidarse deltrabajo y de los asuntos personales durante
estos das
Limitar el nmero de e-mails al mnimo
No laptops, PDAs, cel u la res, localizadores,etc
oTM_PMC_0036 | 2012
-PHCopue* fl"h@
....'
,.
''.:i
ffi lflH+i''IoN
',
Fornrato de Examinacin
a
a
a
a
oTM_PMC_0036 | 2012
lQ{?.zr,'*r^ha*l
ll,r'r,:
i :Jii,''1r;cttr,
, li: .!ixi,tr,rf
f.dd.@
t@[Blr+f'|oN
i:i1lrili'fi
cEsrN
Formato de Examinacin
Contenido
2.5o/o -
?,5Yo -
c 15%-AmenazayRlesgo
o 15t/o- La relacinentreamenazas,
r l0%. Enfoquey Organizacin
2.5% - Politca de
deSegufldad
4AYo- Mtricas
r
:
10o/o
1A\/o
,,,,.-".10':.."tln_l::::::.::::::::.T,.._,
Course Structurc & Certificaon Exam
Material del
turso
|,Itt1 :"u'r
r.l
--
GESTTON DE
IA sEURIDAD
oTM_PMC_0036 | 2012
''PHWrrfr*@
ir,:r.
t@llflll+froN
crsrtN
Qu es lOllEC 270A2?
ISO: lnternational Organization for Standardization
IEC
'
2. Trminos y Definicrones
l2.Adquisicin de Sistemas de
3. Estructura de la Norma
4. Evaluacin del Riesgo
5. Poltica de la Seguridad
6. Organizacin de Seguridad de la
lnformacin, Mantenimiento y
Desarrollo
13. Gestin de lncidencias de Seguridad
de la lnformacin
lnformacin
Negocio
T Gestin de Aclivos
8. Seguridad de los Recursos Humanos
15. Conformidad
Infomstion End ecurity
6rsnoN
DE t A SEGURIDAD DE
tA INFORMACION, BASADA
EN ISO/IEC
27442
0TM_PMC_0036 | 2012
in*r."r,*rS,ke
@llBfiiiflroN
cgsrtN
zralz
Datos e lnformacin
ffi
il,:?fffi 1",*ili:tions
or
Microficha
Magnetico
e.g cintas)
ptica-e.g -CD's
lnfotmon and ecurity
fTlLeVeraionS
Quin, Qu]..
Crando,
hrd3)
I
I
Crynprehsin
lnformron rnd .curlty
oTM_PMC-O036 | 2012
l4eu,ar^Aea*
S.Jyper r,
f,rd.@
(@rEB*?{fl'oN
oluJfaruI
Datos e Inforrnacin
accordingto
}ffl
Ergt rii-+'y'6r5r6n i
. La informaein ea lia oomprenen de la relacin
datoe
La informacin responde 4 preguntas:
Quin?
Qu?
Cuando?
Donde?
lnfmndon
and Eecuri
Qu es la eguridad de la lnformacin?
th
1
', -'tl{i.l r
-.lr\\t
J
I t'.*.tr\r'ii)"-
L -''
27002'
oTM_PMC_0036 | 2012
)PHC*,a.h* ffd^@
,rr.rr
@gr[B[I+f'|oN
j ar,ri!ilr,\.;
i'.lrr.i(,ri
cEsrru
Qu es la eguridad de la lnformacin?
ffi
according to Foundations of
lnformation Security
La
GTA
lnformation and Secur
lnformalion
'
System
El procesamiento y transferencia de la
informacin ee d a kavs del Sistema de
lnformacin
'
,
.
lnformatiol Tgchnology
. lmplica el uso de la iecnologa para el
i
.
.
.
almacenamiento, comunicacin y
procsaminto de la informacin
Normalmente, la tecnologia incluye
c omputacioras telecomunic acones,
aplicaciones y otros software.
La inlormacin puede incluir datos
emprerariales. de vo. imgenes, videos,
etc.
La Tecnologa de la Informacin es usads
para apoyar los Procesos Empresariales a
travs d Servicios lT.
operativo
lnfomation and ccurity
GESTTON DE
SEGURIDAD DE
lA |NFORMACION, BASADA
EN tSO/lEC 27OOZ
orM_PMc_oo36 I 2012
?H0-"r,tt*l Fil@
crsrtru
@!rlB[i++'roN
Valor de la lnformacin
ffi
rffi:fiifl
or
:"=[:l?dations
.
,
.
l.r\ll t-,;.
,, I
L jr : -''-"-
.,
lntomlatisn nd $ccurity
la
lnformstio nd Security
orM_PMC-0035 I 2012
-?He"rur^fr*lW@
crslrN
@!T[B[l{+'roN
/*
Fiabilidad de la lnformacin
according to Foundaons of
lnformation Secur
lntegrity (lntegridad )
Availability ( Disponibilidad
ia I idad )
tA
lnformation nd S6curity
oTM_PMC_0035 | 2012
(} IIIB[i++'''N
-PHOna^h*Afiv,lg^
l .,
).,i1l.:lrlil
r;EsttN
accordng to Foundations of
lnformation Security
rh
lnformtion and ecurity
Mtricas de tonfidencialidacl
according lo Foundations of
lnformation Securily
La separaciur
procesamento
aceptacin delmismo..
DuranE Ia utlizaciil y procesambnto de datos se toman medidas necesarias que asguran h
privacklad del personal y la de Erceros. El ti,rea de Recursos l{umanos posee, por eiemplo, su
propia unidad de red a la que otros no tienen acceso.
El uso de los ordendores por parE de los usuarios finales est rodeads por medidas para que
a confidencialdad ale los cl6tos est garantizada. Un ejerflpb es una contrasea que permE el
accesoal ordenadory a la red.
lntomion and Srcurity
PMCONSUTTANTSPATN
oTM_PMC_0035 | 2012
P4**,ar^fr*t
INFORMAilON
f;*@
crs'ilw
SECURITY
zilL)z
lntegriclad
according to Foundations of
lnformation Securi
.
'
Gl A
lnformation and ecur
Metricas de lntegriclael
acccrding to Fcundations of
informatron Security
Los cambios en los sistemas y datos son autorizados. Por ejemplo, un miembro del
personal enfa a una nueva rea pam verilicar un articulo en el sitio web, y otro
verifica la exactitud deeste antes de su publicacin)
Siempre que sea posible, los mecanismos se basan en que la gente utlce el trmino
corecto. Por eJemplo. un cllenE siempre es llamado "cliente'. Sin embargo, este
trmino no se puecle introduciren la base de dato)
Las acciones de los usuarios son regisfadas {conectado} de modo que es posible
determi narEi realiuaron algn cambio en la nformasin
Las acciones principal$ trl Eistema, por ejempb, la instalaclin de un software nuevo
no pude levarse a cabo por una sola persona. Debido a qre la organizacin de
funciones, cargos y auhri{,ades, indica que al menos dos personas se encarguen de
dcho cambio y a6i obtener meior resultado
La integridad (b 16 datos se ptrede asgurar en g[an medida a Eav (E las tcnica
de cifrado, el cual proEge h informacin de cambos o accesos no autorzados. Por
olro lado, los prncipios de la aelminbtrac y poltca del ifra(b se puede denir en
un documento de politca separado
0TM_PMC_0036 | 2012
^PHUr^h.*l St^@
(@![[Bll+'roN
EN LA
rsoi
rEC
zTaaz
0isportibilidad
accordng to Foundaons of
lnformation Securitv
.
.
ersistema
GIA
lnformation and $ecurity
Mtricas de Disponibiliclad
accordrng to Foundatons of
lnformation Security
.
.
lnfamdio nd curity
tos
DERECHOS
RESERVADOS
orM
pH**ar^fu.a fdd"
:r,,-:rri!.,:.
Iir.. rrfr,rrirj:i:r I
rr: :r,i:1.i.il
@IlBfflflro*
I ::j.:ijtil
ceslr:trr
i:r LA SfiCURiD\D
Arquit**t*rm de la fnf*rmaci*n
according to Foundations of
lnfornration Securi
la
Argukectura de la lnformacin
La arquitectura de informacin es el proceso que 6 rtra en poner a
diepodcin la informacin dentro de una organizacin
La Seguridad de la lnformacin puede ayudar a garantizar el suminis*e de
informacin requerida realizada en la Aquitectura de lnformacin
La Arquhectura lnformtiqa s centra principalmente en la Organizacin de
,
.
.
.
lfofmtion nd Scurity
oTM_PMC_0036 I 2012
(@
crs'rtN
DE LA SEGURIDAD DE LA INFoRMACTru,
ftlBH++''!oN
i*formacin
E.g. Los precios de los productos
Anlisis de Ia informacin
accordrng to Foundations
lnformation Secur
of
manaja la informacin
misma. Por ejemplo:
.
.
oTM_PMC_0036 | 2012
]H9*ar^h,+ Sfr;@
@fu[flH+f'|oN
Gestin de la lnforrnacin
according to Foundations of
lnformation Security
lnformtica
accordrng to Foundatons of
lnformation Secur
i,i -t,.l!ir
"?'*'-*
'
,,, *?.d
/t
et{**'
ll
.4*
lnfomtion rd Security
oTM_PMC_0036 | 2012
]l't9uar,ea fu;^o
trr rrp. i rii J,i, ri,,.' t .!. ls'1,.,!:l.it:
r,1 t,rr
cEsnru
t@llBllfiIroN
j! !,r' i'
Confidentiality (Confidencialidad)
lntegrity (lntegridad)
Availability (Disponibilidad)
Para qu 6s mportante la Seguridad de la lnformacin
- Proceso Operativ
- Arquitectura de la lnformacin
- Gestin de la lnforrnacin
Asignacin
Cual es el valor de la informacin dentro de una
organizacin?
IF(ffiMACION; BAADA
PMCONSULTANT SPAIN -TODOS tOS DERECHOS RESERVADOS
Eft
lSo/lEC 2742
oTM_PMC_0036 I 2012
(grlflll{+''!oN
-P4fu^ba*l*,fr.@
crsnm
lso/tEc zr00z
Qu es una amenaua?
\.h{*
i&'I
tr
ofM_PMC_0035 | 2012
pfiA*cr,fr**fdr.@
8r{i$f,
if
@l[B[!{{roN
ol
Riesgos
according to Foundaone of
lnformation Secur
Rlesgo
.
.
consecuencias
- l\lIll
Ir,_
r.-,,,F
L - """
r.r:tgu]|"!. r
GESTiON DE
IA SEGURIDAD
DE
IA TNFORMACION, BASADA
EN ISO/IEC7(NZ
oTM_PMC_0036 | 2012
t&ffil{f'Io*
?H*,-**r,h**tlr.ir,.o
fj,:,ac!. :,iir1rriry:11't iilii:Jrii4 {l}ii':lilfl:r,r{{
or
ili::Hlfl
l"r:."#1,,'tions
--11
( '.'
I l\(tll
,r
L '*t,,r'13;t!!il
Threats nd Risk
Y Amnaua
according to
A*lisis
^P49*u^fr*lf.;*;grrji.r,, t .il4,.i!j!iri*t
ii 1,, lririrt
@rlBlr+froN
i ar.lriiiilrrai
GEST'IN DE LA SEGLJRIDAII DE LA
tNponunclN,
BASADA EN LA
tsoltEc 27002
.
.
-*-a1
t .".1 f
trl'r'
_1,,.rr,).t-,_ "r
.-
Desastres e lncidencias
according to Foundaona of
lnformation Securi
!ncidencia
Desastre
Sucede un gran lncidente gue atenta con la continuidad de la empresa
Ejemplo:
Un corte de energfa . causada por un helicptero que da algn cable de
alta tensin
tA INFORMACION, BASADA
EN tsO/tEC 27OO2
orM_PMc*0036 | 2012
in*r.^r^*rr;@
gt_r.:.r,r
i,
,J.,
r)f
rp
r.
{ri
jlo ,
tsr[Bll+f'!oN
lnformaiion Securi
ryryr-"
ffiW
-7
Hacia
la visin
Objetivos
,.
2,
3.
1.
ThrerE ed
GESfiONDE-TI SFGURIDAD
DE
lA INFORMACION, BASADA
Riikr
EN ISO/IEC 2740.2
orM_PMC_0036 | 2012
?H%ar,.fr,*l
fdd"@
t@ffill{froN
Anlisis de CostoslBeneficios
according to Foundations of
lnformation Securi
Anlisis de Costos/Beneficios
.
.
Pregunta:
Un servic.io cuesta $'t 00,000)
Las Mtricas de Seguridad para este servicio cuesta S150,00
Conclusin: Las Mtricas de Seguridad son realrnente caras
?
t
.
.
.
.
-
RESERVADOS
27042
OTM_PMC_0O36 | 2012
(@ffi[i+f'|oN
]}tHC*,ar.fre+t!..rd"@
!,ri,!'xi, i1,.)1c1ji{*f ir ?1,rr}iit I a.lrrii.':7a!'
-r
Gssrt
Threats nd Risk
Medidas Preventivas
Diseadas para prevenir lncidentes de la Seguridad
Lledidas Policiacas
Diseadas para detectar los lncidentes de la Seguridad
Medidas Represivas
Diseadas para detener las consecuencias provocadas por lncidentes
de
la
Seguridad
Medidas correctrvas
Diseadas para recuperarse de los daos causados por lncidentes de la
Seguridad
Compra de Seguro
Dirigido a comprar un seguro contra ciertos lncidentes de eguridad ya que el
costo de las Mtricas de Seguridad pueden llegar a ser muy cares.
Thrrir end Risk!
oTM_PMC-0O36 I 2012
rffitu[8H+froN
Gll.S'llON DI l.A 5t']{llililnAD
DI
lS0/lilc:7{10;
Tipos de Anrenara
Eil
a.:ororng ro Fcunoanons or
IlIEEl
nformatron Securilv
Amenazas Humanas
lntencionales
Arnenazas NO humanas
Tormentas
lncendios
lnundaciones
Huracanes
Tornados
Etc
Threrts d Risk
oTM_PM._0036 I 2012
l4*war^he+l!m;;gi,,ii),r'i
! r|r':,;1.:i
cesnN
@ r[BIH+''IoN
tso/trc
27002
Tipos de Dao
according to Foundations of
lnlormation Security
Dao Directo
Robo
Dao lndirecto
Una prdida en consecuencia a algo que ocurri.
E.g.: Si hay una inundacin en el centro de datos, esto evitar que el
Servicio de lT proporcione ayuda: ocasionando prdidas en el negocio,
puede ser el
resultado de un incidente en un ao
E.g.; Un promedio de 10 computadoras por"ttiles son robados cada aa
de alguna empresa.
Expectativa de Prdida Simple
El dao causado por un nico (one-off) lncidente
Threak nd Riks
ffi
according to Foundations of
lnformation Securi
Amortlglandoel Rlesgo
Algunos riesgos son aceptados
Mtricas de Seguridadmuy costosas
Mtricas de Seguridad superan los posibles daos
Mtricas de Seguridad que se toman son por naturaleza represvas
Riesgo Neutral
Los resultados de las Mtricas de Seguridad son aceptadas
La amenaa ya no re produce
El dao ee reduce al mnimo
Mtricas de Seguridad adoptadas aon una combinacin de Prevencin. Deteccon y
Represin
Evtando elFiesgo
LE Mtricas de Seguridad adoptadas son tales que Ia amenaza se neutraliza hasta el punto
en que eta que se convieda en un incidente.
Por ejemplo La instalacin de un nuevo software logra gue los errores en el software
ango dejen de ser una anren6a.
Thris fld
Rirkr
02
PMCONSUTTANTSPAIN . TODOS tOS DERECHOS RESERVADOS
oTM_PMC_0036 | 2012
?H,m,,kt
[tH?+''|oN
a)
b)
c)
d)
e)
;,
- ''"tnrttll
I
l,lr-ttXlt_'l*
I
I
-r
Threats and RiskE
- - t a.tt t
lrr
,F
,,.- t
r
a _\r'1Jrl";'_,.
GESTION DE
oTM_PMC_0036 | 2012
'_P49*ar.tte+t
fdd.o
!:rr1,r;;t
1r,:.-,j:r./
cnsltw
@gxffiH++*oN
DE LA SEGURIDAD DE LA INF'oRMAClru,
Trminos
Amenazas
Riesgos
.
.
.
.
.
Mtricas de Seguridad
Anlisis del Riesgo
Evaluacin del Riesgo
Tipos de Anlisis del Riesgo
Los diferentes tipos de amenazas y cmo tratar con ellos
Diferentes tipos de dao
Las Estrategias de Riesgo con las gue contamos
Las Mtricas de la Seguridad que se pueden implementar
lnformatio ad !curity
Misin
i
Cules son
ffi]DAD
orM_PMC_0036 | 2012
?H(br"h*lF,;*lo
l,:',.t
',\t:
'i;.-,.r,
@[B[i++'roN
cgsltN
DE
lA sEcLIRIDAD
Asignacin
.
i 1. Amenaza Humana
l
I
lntencional
Sin lntencin
,2. lngenierfa Social
I 3. Amenazas No-Humanas
tci
_i
r/trii ;fqa.
"tkto
i tfr,.
d
lnfrmaton and
ecur
oTM_PMC_0036 I 2012
-!H9"xar.he+lW@
@[BlilflroN
cr:sTrN DE LA SEGLIRIDAD DE LA tNF.oRMACttr, nASRDA EN LA iSo/lEC ?7002
r,1,-:i"F
de
la
-1,+rr1li;'- ,r
Approach and Organization
i: I ll t
:31
I
L ;r,1'['il',tl
-r
Approch and Organiztion
GESTION DE
lA SEGURIDAD
oTM_PMC_0036 | 2012
?ti&r4.,rr,hr*l *rid.@
8:rier, llfqnulem{at & &.tr$log}' {ol}rJld4{r-
l[BH++'roN
f)
tl
r- l\('l -.-.i,,
L jrEr["I"]-
,-
t;r'1rt''J"L
EnErDIi{EGt
PMCONSUTTANT
RIDAD DE
lA INFOMACION, BASADA
EN I5O/IEC 27oo2
orM_PMC_0O36 | 2012
!He*a.h*a*h@
ri,t ,i'.
, lii'
?rirrjlr,
1 1-,r!.r41,.,.r'
(@ [$il++'roN
: r:,:' )i:.;ri:.
Contenido:
Regulaciones
Directrices
Proporcionar orientacin:
Describir que aspectos deben ser examinados con los puntos de seguridad
correspondientes
Las directrices no son obligatorias. pero son de carcterconsultivo.
Normas
Por ejemplo: las normas establecidas en determinadas plataformas.
Approach d Organization
tA INFORMACION, BASADA
EN ISO/IEC 27OO2
orM_PMC_0036 | 2012
;P4%*,ar.fu*l Sfr*,@
..J ",.. i..it I irrr
ir.irii
',,
@lBfir+f'|oN
ts0/ttic
2701)7.
lTlLVersion 3
Approch ed OrEaizaon
oTM_PMC_0036 | 2012
;PH9*,ar^fu*ttrr^^o
t@gr[BH{flroN
lTlL@Version 3
.
.
.
.
.
de la compaa
En caso de ser necesario. el consejo de una fuente especializada en la Seguridad de
la lnformaein deber establecer algn tipo de disponibilidad dentro de la compaia
Contactos o grupos especializados en Seguridad extema , incluyendo las autoridades
pertinentes. Estas se debern mantener al da con las tendencias industriales,
supervisar las normas y mlodos de evaluacin. Tambin debern otorgar puntos de
I
I
oTM_PMC_0036 | 2012
P4?m**h**tfd"o
!5i j
jrp, !
:.ri::ar
rirr(p,,a
7ia
.r.ii1+
1 11,,. jrrif
cgsl
(@ffifii+f'|oN
.y,,
DE LA SEGURTDAD DE LA INFoRMACTI',
y acceder mediante
terceros.
Donde exista un negocio de trabajo con personas extemas cabe la posibilidad que
necesiten tener acceso a la informacin de la organizacin y las instalaciones de
procesamiento de informacin para obtener o proporcionar un producto y servicio
introducido por la parte externa. Por est razn. se realiza una evaluacin del riesgo. la
cual se lleva a cabo con la intencin de determinar los requerimientos de control e
implicacin para una mejor seguridad.
Las reglas debern ser definidas y agregadas en el acuerdo que se realice con terceros.
l\'rr!1..,,,,.
r--1-aF.l
-lt';'-J;-r
I
Approach and Organization
lnformacin
Todas las responsabilidades eferentes a la Seguridad de la lnfumacirn deben estar
clramente definidas.
'
1
- f-it t a.-.1',:
1l t,. "
I
,,,.,- r
L _-1,I":'- -
Approrch nd Orgrnization
oTM_PMC_O036 I 2012
-PHC*ue*X
fM,a+.@
@ul[B[?+]'roN
I l\tlr
;;l';";';"-
"
Approachandorganieation
ffi
according to Foundations of
lnlormation Security
Contenido:
. Una organizacin no puede sobrevivir sin una efectva Seguridad de la
.
.
.
.
.
lnformacin
el que muchas
personas
estn involucradas.
El proceso debe ser conlrolado eficazmente
Si no existe una gestin o responsabilidades, la Seguridad de la lnformacin
no ser efecliva dentro de la organizacion.
Approch d Orgaization
GESTON DE
RESERVADOS
fiv,le.
^PH{ba*fu,+l
tS
ia.):ritit
'.
11,,,-,it4r.
@t+lflH{flroN
cEstrN
ecuri
Contonido
"
.
. Un trabajador
independiente
hace
. En cambio. en
.
cuya
nica
lnfornation Secur
Contenldo:
Asimismo. los agentes de encargados de la Seguridad de la Informacin.
pueden ser el personal responsable de la implementacin de las medidas.
Normalmente son personas que trabajan en el rea de Recursos Humanos.
lnformacin. Finanzas. Contabilidad o departamentos de alojamiento
Approrch id Orgniz.ton
PMCONSUTTANT
SPAIN . TODOS
tos
DERECHOS RESERVADOS
oTM_PMC_0036 I 2012
_Pll0"r,u,h*l i"ao
t@l[BH+f'|oN
Cdigo de Conducta
Un cdigo de conducta puede ser utilizado para cubrir el nivel de responsabilidad
del empleado, contratista o tercero con respecto a la eonfidencialidad, proteccin
de
Los usuarios tanto el contratista como terceros debern estar asociados a una
organizacin exlerna, la cual a su vez pueda ser obligada a entrar en arreglos
contracluales en nombre del contrato individual
iL
1:1r
ll
n!rr,.
-l;,t'
1
I
',
iiii
Approach and Organization
Cdigo de Conducta
according to Foundations of
lnformation Security
Losregistrosde empleadospuedencontener
Est permitido usar eltelfono. al correo elactrnico e lntrnet para fines personales, siempre y
cuando no afecte el desanollo dei trabajo, la descarga de msica, pelculas y softvuare y visitar
sitios de orientacin sexual estn expresamenie prohibidas
Approoch and Organizato
orM-PMC_0036 | 2012
^P4?m**h*l
liilrrffi
d.r-o
ld :,raar.
'.1:,te?1.,i
@llBfii+flroN
I i-rrl'.1a,r, l
cEsrtt
DE LA SEGURIDAD DE LA INFoRMACtN,
Propietario
.
.
. El propietaro de los activos es el responsable de la proteccin,
la
. La implementacin de controles
propietario segn
la
-*-?1
t '".1t I
f il'rr
t.-'r1'rlli
:
.-
Propietari0
.
procesamiento
de
informacin deben
ser propiedad de un
grupo
Asegurar que
instalaciones
adecuadamente clasificados.
Definir
revisar peridicamente
las
restricciones
de acceso
l"
-"i,r
r* r ll (
," '
L -'r'.:'':''-'- '
GESTTON DE
lA
SEGURTDAD DE
tA INFORMAC|ON, BASADA
EN lsO/tEC Z7AO2
oTM_PMC_0036 I 2012
^Pl"lb*tfulSf&@
DI
c;rs'ruru
@fu[Blil+'roN
nnsnnA
HN
lA
ISo/1EC 270a2
Propietario
'
fil'r'l-*-T1
':'-. I
L *"-
- r
Approah nd Organization
Propietario
accordg to Foundations ol
lnformation Security
.
.
.
Clasificacin
Valor para el negocio
El propietario es el responeable del Proceso de un Negocio, sub-proceso o
actividad de la empresa. Asimismo, 6s oncarga de todo con respecto a la
Empreea de Activos, incluyendo la Gestin de activos de seguridad, la
produccin y el desarrollo
Approach snd Orgaization
RESERVADOS
Fl"t9"*ue*
ft,;olg^
crsrtru
@L[[Bfil+y'|oN
ISo/lEC 27002
Prapietario
according to Foundaons of
lnformation Securi
lndica
el
la
Prnpietario
according to Foundations of
lnformation Security
automticamente
el
oTM_PMC-0036 | 2012
^P4bqr"h*tSFb@
INFORMATION
SECURITY
Responsabilidades y Roles
.
.
inlerferencia
IL
:1
I
-turt*;i;'i!
Irr 1 !l
m
Roles
according to Foundations of
lnformation Security
la
oTM_PMC_0036 | 2012
- P4?aur^he+t fr,b@
crst'lril
INFORMATION
SECURITY
m
Roles
6ecordng to
lTlL@Version 3
El Gerente de Seguridad
El Gerente de Seguridad es el responsible de gue se cumpian los objetivos de Seguridad
de la lnformacin
La administracin se encarga:
Desarrollo y mantenimrento de Ia Poltica de Seguridad de la lnformacin
"
.
.
'
.
'
'
'
ccntrol requeridos.
AsesoramientoconAnlsis de lmpactodelNegocio
Realiacin de Anlisra de Riesgo de Seguridad y Gestin del Riesgo
Diseno de Controles de Segurdad y desanollo de planes de seguridad
Desanollo y documentacin de procedimientos operativos y mantenimienlo Ce
controles de seguridad
Monitoreo y gestonamiento de cualquier trpo de violacin de seguridad, asi como el
manejo de incidencias
Approach and Organizalion
Roles
ffm
aceording to
lTlL8Version
de
lcontinuacinl:
RESERVADOS
OTM-PMC-0036 | 2012
7?HCo*&ff,tu"o
@r[i[?{+'roN
cesuru
DE LA SEGURIDAD DE LA INFoRMACtru,
frar,ii 1-:" I
slyrtr!-il- r
Aproach and Orgtrizaton
.
.
'-tl'it-t"E
' jr5''I"L ,
Apprlch ind rgftlzdion
orM_PMc_0036 | 2012
iu*r,"ror*rro,.@
@ffiH{flroN
crs'rrN
zlooz
-t*'r'
i-rrll i
I
..r"u;1!'i; ,r
Approarh and Organization
of
lnformation Seeuri
GESMODrI-A SEGT'RDAD
DE
IA INFORMACION, BASADA
EN ISO/IEC
27042
oTM-PMC_0036 | 2012
(@ [fl[l{+'oN
]H9m+r.fuatSf&@
.
.
las
GESTTON DE
tA SEGURIDAD
DE
lA INFORMACION, BASADA
EN ISO/IEC 27OO2
oTM_PMC_0036 | 2012
INFORMATION
ECURITY
FMC"r"r^h*aW@
accialing 1c
lTrL,.F Ver,rcr 2
alC
,,.f#*.
',,{;ffi;+l
Fropiedad,
Monitoreo,
Flastreo
Comunicacin
Apoyo/lnformar
Escala Jerarquica
lrrr:i
,it&]:in+|!t
l: :ii.rr.:.::r: :,:
"}:
.itn'l:t
irtrl
FMCNSI,}ITANT
5PAlt TOS5
$TM PMe
03s I 20X2
,&
'*#
?Ptfu-.he* *rid-@
i; rs't'
iiit
l. 1,.'\ Hi.li
r*r:*s*
H"I
t-
N, ll ;\S A il ;1
11
hi L'ir
lS
{}
TNFoRMATIoN
sEcuRlrY
i li {i'j'7
1}
t}2
*** ***'t*:
according to Fcundations of
lnformation SecuritY
Reduccin
Prevencin
Deleccin
Represin
Correccin
Evaluacin =:==-:1*-
l.*t.*l
i,,:r
{{i.,#
e#P'#t"t{*rH{}*
;'
cccrding t Founciattons of
rnfornraiion SecuritY
. Los obietivos y el
.
.
'
contenido de
la Politica de Seguridad de
la
lnformacin
Seguridad de la
Los objetivos y eoltnidos de la Organizacin de la
lnformacin
con
y
El Cdigo de Conducta, Propiedad y Roles Responsabilidades
,"rpu*to a la eguridad de lnformacin
la lnformacin
La Gestin de las lncidencias de Seguridad de
RESERVADOS
OfM-PMC-0036 I 2012
-?Htuqr,fr**xlfrid"6
ldtlirsr, 5!{rrat!{}t'( &"'++{}
@ xffifiHfroN
i_rEi114ry{X
cEsuNDELASEGURIDADDELAINF0RMACIN,BAsADAENLAIS0/IEC27a02
tt,..
,,.,|,,,.|
,|,!.,,,1!!l.l!,!!!
!!|
l!!!|.!|!tt!
t!.,
!!t!!!,.!,|!|
! t..!t
!!!
,t!. !
!|!,.|!.!!!!.|.,
!|,!!!
Misin
_-I -_-_*-'-_-_----_
-
':sffi}
*iffi%**
r+,
=*r,
r:'
{,
lnfoilratiori nd Sccurity
PMCONSULTANTSPAIN
oTM_PMC-0036 | 2012
in*r.rr,*rsq,h@
5{trrr{r i, jirrdderr}?nl ri'alrfl
rr}
(@ti[flH+fl'oN
f-iirlif4rrrt
de Medidas de eguridad
according to Foundations of
lnformation Securi
Mtricas Preventivas
Oestinado a prevenir incidentes de seguridad
Mtricas de Polica
Destinado a detectar los incidentes de seguridad
Mtdcas Represivas
Destinado a detener las consecuencias de los incidentes de seguridad
Mtricas Correcvas
Destinado a recuperarse de los daos causados por incidentes de seguridad
Compra de un Seguro
Destinado
a la
compra
seguridad
llGaaures
orM_PMC_0036 | 2012
(}ll[8[i+froN
l49w*fu^tfi"h@
lii
rtin.r''.ir',
";r
l- a,,r.. rr,rr,
cEsuN
;:a,
zzlaz
Mtricas Preventivas
according to Foundations of
lnformation Security
Mtrieas Preventivas
Destinado a prevenr incidentes de seguridad
Eiemplos:
Meaaures
Mtricas Policiacas
according to Foundations of
lnformation Securi
Mtricas de Politica
Destinado a detectar los incidentes de seguridad
Ejemplos:
Video vigilancia con stickers en las ventanas que les informe a las personas
que estn siendo monitoreadas.
lnformar a la gente que el uso de lnternet se est supervisando, esto
disuadir
muchos empleados
de las
actividades inadecuadas de
navegacin en lnternet.
llcaurcs
oTM_PMC_0036 | 2012
?HW!u^o
(@
INFORMATION
SECURITY
Mtricas Represivas
according to Foundaticns
lnformation Securi
oi
Mtricas Represivas
Destinado a detener las eonsecuencias de los incidentes de seguridad
Elemplo:
Meagures
6tricss Carreetivas
according to Foundations of
lnformation Security
Mtricas Correctivas
Destinado a recuperarse de los daos causados por incidentes de seguridad
Ejernplos:
Mienlras se crea una nueva base de datos, una base de datos existente
ser sobrescrita. la edad de la copia de seguridad de esta base de datos
delerminar la cantidad de esfuerao de recuperacin necesitar realizarse.
Masures
GESTION DE LA SEGURDAD DE
oTM_PMC_0036 | 2012
l49nar^tlaal
St*@
INFORMATION
SECURTY
Compra de un Seguro
Destinado
comprar
determinados porque
la
un seguro contra
incidentes
de
seguridad
Meagures
Misian
Clasificacin de
ueir"i*
.Mtricas Preventivas
.Mtricas Policiacas
.Mtricas Represivas
'Mtricas Correctivas
.Compra de seguro
lnformatian nd Security
oTM_PMC_0036 | 2012
rFr
ry
-?Hh"mr,fu*l*tiv,lgc;rs'llx
INFORMATION
sEcuRtrY
tvttricas de
ftietgo y Seguridad
cording to Foundations of
lnformation Securi
ac
El proceso de
Para
Para
ffi
v
-7
Anlisis de Riesgo
Una herramienta para aclarar que amenazas son relevanles para los procesos
operativos y para identificar los riesgos asociados. Ei nivel de seguridaci apropiado.
junto con las medidas de seguridad conespondientes, se pueden determinar luego.
Meagures
Clasificacin de informacin
Objetivos:
Garantizar que la informacin reciba un nivel adecuado de proteccin
iL
r-,, !l
*-ir
."'.'1'*
-r
Maiur3
GFSTToN DE
oTM_PMC_0036 I 2012
?tq9*ar^A*
l-rij!r-.,.
11r,:,r,r-.t'::J,,'
tfl*,*lg^
(@l[Bsl++'roN
L1N
LA ISO/IEC Z7AO2
organizacin
*,I
IIl
''r't
- --..-1
' rr I
'
-''-'-'!'-
lleaure
clasificacin de
de
.
. Sin embargo, los
etiquetado electrnico
pantalla
1"""' ..
I--:-:I.t
L -"-"-:'-'-
J
Heasurs
GESTTON DE
tA SEGURIDAD
oTM_PMC_0036 | 2012
?H?wu^tt**t lfd*@
i;:..ilrril!
5ri)re1!'.iiiri1.rr,r'.i$
@ffiil+f'IoN
tl,,1rjil/,lri
tso/rnc zr0oZ
eguridad Fisica
reas Seguras
Para evitar el acceso sico no autorizado, dao e interferqncia a las
instalaciones de la organizacin e informacin, por ejemplo;
Permetro de seguridad fsica
Controles fisicos de enlrada
Controlar oficinas, habitaciones e instalaciones
El trabajo en las reas de seguridad
Acceso del pblico, entreEa y reas de carga
,-
rl,l,-'i'
:
| -r,+rrut!'!
Measurc
eguridad Fisica
Equipo de Seguridad
Para evitar !a prdida, dao, robo o compromiso de los activos y la
interrupcin de lae actidades de la organizaein, por ejemplo:
Equipo de emplazamento (es decir, ubicacin) y la proteccin
Servicios pblicos de apoyo (por ejemplo. suministro de energa)
Cableado de seguridad
Mantenimiento de equipos
Seguridad de los equipos fuera de las instalaciones
Eliminacn segura o la reutilizacin de los equipos
La eliminacin de la propiedad
l-.r r
ll t
-i1
.
L ;r';i'l-l'!;"!
Meacurc!
GESTION DE
EN lsO/lEC 27OO2
orM_PMC_0036 | 2012
)P4?ruar^he-A
fi*@
cr,sllltt
@lll8fiilfroN
.
.
Measures
cr
Ejemplos:
climatizacin
.La
supresin
de la
informacrn confidencial
en los medios de
trleaiurs
oTM_PMC_0035 | 2012
^P4?**u^tt*a
iiijtrii*,'!
lr:.rnrrr.n./':1
, L,if,frLt:4!
INFORMATION
*r;r"@
SECURITY
i i:.!1),fii1a.f
cesn
Mtricas de eguridad
F s
?7a02
ica
according to Foundations of
lnformation Security
Principales Categorias:
Anillos de Proteccin
Ei rea alrededordel edificio
Sp3.ces
Ei edificio
El espacio de trabajo
Los objetos
Alertas
Sensores
;ffi1
r*,strc
.. '*6h,
o4.(.hha
. *olt..r
!
I
I
I
lnfofmation
Llonitoreos
Alarmas contra lncendios
Planeamientos de Emergencia
Measurg
ol
Maiur
cEsTtoN
DE
lA
oTM_PMC_0035 | 2012
r)i,
tr
t.
I l+ ;:i 1,,,l,r r
(@ffiHf'IoN
f*i,.@
:PnUr*r"Ar*f
):
a-
ri,r,
ri
ll1
r/
cguridad Tcnica
Control de Acceso
L
HeaBJr
. Requisitos d Seguridad
Requisitos relativos
.
.
.
de
informacin
Criptografia
Un medio para manlener en secreto la informacin: el cifrado de dalos
faaurcs
oTM_PMC_00S6 I 2012
t@ffiH+froN
^pn*r"rr,O*"r,S.,ho
j:.,!
cEsrt
!r,
ifd' ;
Criptografa
according to Foundations of
lniormation Security
.
.
.
.
'
Heasurci
.
.
.
.
.
.
Las claves secretas y personales tienen que ser protegidos contra la divulgacin
no autorizada
El equrpo que Ee utiliza para generar. almacenar y archivar las claves deben ser
protegidos fsicamente
El registro de las elaves : Qu pares se han emitido a quin y cundo?
expira una clave?
"Cuando
hacer cuando una clave ha sido comprometida?
se
debe
Qu
Evite utilizar la misma elave en diferentes sistemas (por ejemplo, ordenadores
porttileEl
leesurGs
oTM_PMC_0036 I 2012
@ lrlflH++''|oN
i;t;s't'tritt: I)it t,A su[;LjRlt)AD
t)[
Hm
ff
r#Ifl
or
:'r1"".fl,i:tions
*E4-E-ry-E*
*l*6
ffm
il?flfl
or
l".L".Hdtions
Clave Pblica
del
Destinatano
Clave Privada
del
Destinatario
oTM_PMC-0036 | 2012
-P49*ar,fra*l$r;;e^
cEsrtN
@tulBll+froN
tso/lEc 270a2
Firmas tligitales
according to Foundaons of
lnformation Security
producido
si la informacin digital se
ha
los
la
informacin
MaaEurcg
Notas
tA INFORMACION, BASADA
EN ISO/IEC
27042
oTM_PMC_O036 I 2012
rFl TNFoRMAToN
ry sEcuRtrY
- Plafrr..ar^h*t fdl"o
t;tstti.t
la
Meagures
Fhish ir:g
according to Foundations of
Information Security
MeaEurs
oTM_PMC_0036 | 2012
l4?mar.freat
iiri:."
i !.
:li:rtii7
r,ri.;
|: r
fr"h@
i, 'lirarlirii i
1.,1 !
cesll
@[Blllf'!oN
irl.r:, J
27alz
parn
Gil
Ellgl
.
.
.
.
accorsrngro Founoar,onsoi
lnformation Securt,
Hay algunas cosas que los usuarios de computadoras pueden hacer para
combatir el spam. Algunos son:
Nunca contest un mensaje spam - incluso de "opt oul" o "cancelar" crea ms
spam oe lo que usted est confirmando para el spammer que tienen un trabajo
de e-mail para usted y su spam aumentar
No reenvie mensajes de spam y no distribuya direcciones de correo electrnico
(use la funein BCCi
Meaeurr
.
.
.
'
ol
Meaures
tI
RESERVADOS
OTM_PMC_0036 I 2012
!H9a^ar^A*
INFORMATION
Sfli,,b@
SECURITY
Malware: Virus
according to Foundations of
lnformation Security
Deflnlcln;
Un virus es un pequeo programa informtico que se replica a propsito, a
veces en una forma allerada.
Las versiones replicadas del virus original son, en virtud de esta definicin.
tambin los virus. A fin de que el virus se propague su funcionamiento
depende de los portadores que contienen cdigo ejecutable.
Meagues
Notas
Explicacin:
si un
. Los
transportistas tradicionalmente
los
ActiveX. En la gran mayora de los casos, los virus estn equipados con una
carga qu alberga todas las tareas distintas de las qu son necesarias parala
replicacin. Esta carga generalmente es util, pero no siempre es necesaria,
son de naturaleza destructiva.
Z7OOZ
oTM_PMC_0036 | 2012
?M%*4",fu'o.t ftu"o
@rlBlr+fl'oN
cEsrtru DE LA SEGLtRIDAD
DE LA TNFoRMACIN, BAsaA EN LA
rso/iEc zralz
Malware: Virus
according to Foundations of
lnformafior Security
Ejemploa:
.
"
Cerebro
Chernobyl
Mtricas:
. Asegrese de que haya un escner de virus en el servidor de correo y en los
equipos individuales en el lugar de trabajo
.
.
Asegrese
virus
se
ncluy
en una campaa
de
se
incluya
en la poltica de la
organizacin
Seguridad de la lnformacin.
Meaurec
Malware: Gusan$
HM
according to Foundations of
lnforrnation Sacurity
Definicin:
Explicacin:
Las difereneias entre los vrrus y gusanos son cada vez ms borrosas.
ilGasurGs
GESTTON DE
tA
SEGURTDAD DE
oTM_PMC_0036 | 2012
?l'th*r^t. fir*@
crsrtor
@lllflti+froN
Notas
.
'
lVlalwar; Gusano
ccording to Foundations of
lnformation Security
Eiemplos:
.
.
"
.
.
Melissa
I love you
Happy99
Blastar
Storm Worm
Mtricas:
Asegrese de que haya un escner (virus) en el servidor de correo y en los
equipos individuales en el lugar de trabajo.
Asegrese de que
de
orM-PMC_0036 I 2012
?H-Wlrr;,.o
c;p:s
@ lflH+''|oN
Notas
Asegrese de que este tema se incluya en la poltica de la
organizacin Seguridad de la lnformacin.
Asegrese de que haya maneras efectivas de comunicacin de
incidentes y que hay buenos procedimientos de seguimtento.
Malware: TroyanCI
according to Foundations of
lnformation Security
Definicin:
Explicacin:
Al igual gue con el caballo de Troya real, un troyano se presenta como algo
til, pero cuando es activado por el usuario, se lleva a cabo todo po de
activdadss no deeeadas en al fondo.
at
sistema infectado.
MaaEure!
oTM_PMC_0036 | 2012
l4CI*ar^ttar"t Sfr;^@
(@!ilBi1+'roN
Notas
Otra actividad frecuente de los troyanos es que se envia informacin
ser
Malware: Troyano
according to Foundations of
lnformalion Security
Eiemplo:
'
.
BackOrrifice
Netbus
Mtricas:
'
.
.
.
Asegrese
en la Poltica de Seguridad de
la
lnformacin de la organizacin.
Las consecuencias de los Troyanos (comunicacini tambin se pueden descubrir en
la red por los administradores de red. herramientas de monitorizacrn de red estn
disponibles para esta.
BlGaBurs
GESTTON DE
SEGURTDAD DE
rA TNFORMAC|ON, BASADA
EN tSO/tEC 27OO2
oTM_PMC_OO36 | 2012
l49*ar^fu+t
(@} fu[8H++'roN
$^t,{;"o
iltlsTIoN
Definicin:
.
.
Explicacin:
.
.
.
Esto es casi siernpre el propsito de una broma, pero una broma de vez en cuando
Measurec
Malware: "Hoax"
according to Foundations
lnformation Security
of
Ejemplos:
. Good tme3 (buenos tiempos)
Mtricas:
Asegrese de que haya un escner de virus en el lugar de trabajo y una solucin antispam para el servidor de correo. Un engao a menudo contiene textos que pueden
ser reconocidos por estos escneres.
.
.
Asegrese
de
concientizacin sobre la seguridad, el personal debe lener cuidado con las preguntas
extraas en los correos electrnicos. en particular los que tratan de eonvencer al
lector para llevar a cabo determinadas acciones. come enviar el engao a los dems.
lnformacin de la organizacin
Asegrese de que existan formas efectivas de notificacin de incidentes y que existan
procedimientos adecuados de seguimiento.
en la Poltica de Seguridad de
la
McaSures
cEsTloN
orM_PMC_0036 | 2012
llle*ar,h;l'afr,.,@
,,1,,,.
, il, rrilrii'?.i."!i
1n
cgsln
[Bll++''|oN
ISo/tEC 27002
according to Foundaons of
lnformation Security
Denicin:
un
sistema de software
condiciones.
de
gusano-
Mtricas:
Malware: pyware
ffi
according to Foundations of
lnformation Security
Definicin:
. El spyware
.
'
el
puede guitar.
Todo tipo de pop-ups aparecen sin preguntar o al abrlr las pginas web.
MeBurr
oTM_PMC_O036 I 2012
l4fnar^lt*tW@
t@l[8HI{roN
Malware: pyware
according to Foundations of
Information Security
Mtricas:
Existen escne;-es que escanean el registro de Wjndows para las claves de
registros sospechosos
.
.
analizan
el
software instaiado
en busca de
pyware.
red,
Measures
Notas
.
.
.
orM_PMC_0036 I 2012
)Hh*"u,h*t!v,;;g^
r!r'.r,,;1
f,
l.:i;
cr.sltN
r"a,;
@l[Bfii{fl'|oN
Explicacin:
de
ningn
Meaeurer
Notas
.
es gue
los
ffiIDAD
DE
27OO2
oTM_PMC_0036 I 2012
INFORMATION
lll?na*fu,*tf .,rr"@
SECURITY
Malware: Rootkit
according 1o Foundatrons ol
lnformation Securi
Explicacin:
Un rootkit es un conjunto de herramientas de software que se utilizan
y nivel
de
usuano.
Measures
Notas
Las estrategias de los rootkits del ncleo pueden hacer easi cualquier
orM-PMC_0036 | 2012
?Hb+r^ll*t
INFORMATION
f,v,.^
SECURITY
acaorCi to Fo.ndalions
i
c'
nfor:ratic Secrrit!
Caracteristica s:
. Las nieclidas tcnrcas estn eetiecharriente relacionadas con ls medicias
organizatir/es: estS cLtmpien o hacer cufilpirr medrcias organizati,,,as.
. El ciclo PDCA es una foma de implementar informac n de segurioaci en ia
.
.
.
.
organizac ron,
L'lea s ures
Fir n19
aril
tso,tEC 2700
Pi\,1L{:]NSUI.TANT SFAI
f\i,
TO
oTM.PMr-O36 I 2012
p4Axa"-fu+l
li;. r I,-'I 1
t,d.@
@grlBH+f'!oN
cr.srrru
DE LA SEGLJRTDAD DE LA TNFoRMACIw,
lnlormation Securi
Personas
Proyeccin y no divulgacion
Registros de los empleados
Concientizacin en segundad
Gestin de Acceso
Gestin de Conrinuidad
Planificacin de la continuidad
Planificacin de recuperacin de desastres
Comunicacin y gastin de los procesoa oparativos
Procedimientos de Operacin
Geetin del Cambro
Separacin de Funciones
ileasuras
Control de Acceso(1)
Objetivo
--1--:1
I lr'rllt
L jr':'':
f..,,'' r
Mcture3
orM_PMC-0036 | 2012
?H(m+r^he* Sfr;;g-
@ ltsr{+''IoN
Csntrol de Accesa(2!
Secciones
'
ti.,, i'
I
L -'! '' ;'-
Control de Acceso{3)
Secciones
'
-CS;
fri'l'1.i
t
I
MeaSures
GTSTIO DE tA SEGURIDAD DE
oTM_PMC_0036 I 2012
@llltlli+'roN
cEs'nru DE LA SEGLIRIDAD DE LA INFoRMACTrI, BASADA EN LA rso/rnc zro0z
Concesin de Acceso
according to Foundaons of
lnformation Security
1.
Autorizacin
Measue
Ejemplos de Autentificacin
according to Foundations of
lnformation Security
Para las salas especiales, como salas de cmputo. las medidas enrgicas de
autentificacin pueden utilizarse.
Adems de los pases de acceso, medidas de seguridad adicionales se toman.
Tales como:
Algo que usted sepa, por ejemplo, un cdigo PIN
Algo que usted tenga, por ejemplo un pase
Algo que sea parte de usted, por lo tanto. la biomtrica como huellas
dactilares o el escaneo del iris
Iteesurs
oTM_PMC_0036 | 2012
(@
?Heuar^h*lf4x,i,al.
5,r rn, ! .tj|i,rri,
r.,)t..! .irrir!t
r:
r.,]
.1ii,-..y,
llfll{+''|oN
Ejemplos de Autorizacin
according to Foundaons of
Information Secur
Dar acceso a un edificio a una persona "de guardia" durante el fin de semana.
Conceder
personales / directorios.
Dar acceso
a la
la
MeaEurac
eparacin de Funciones
according to Foundations of
lnformation Securi
E, acceso
intencionalmente
necesidad de eonocer.
Una vez que la funcin de acceso de personal y necesidades son determinadas.
las tareas pueden dividirse con el fin de reducir los riesgos para la organizaein.
Measures
GESTTON DE
EN ISO/IEC
27042
orM_PMC_0036 | 2012
-P4b*futy-@
lijrr.1,:! :ii:,jrt.pit,r..\,
irar.ri,{}
@r[Bfir++''oN
i,1r,in r.J
a.
de
entrada
temporales en el primer
log-on
f.
*;1
l','rtl:
I
, ,,r rI
j,
J'jL
Meaaurce
S.
h.
i.
Almacenar
forma encriptado
--1i-1,1
r-
lt.i I ll '
, il1! tll,,tl
I
I
-t;
Mrasurs
oTM_PMC_0036 | 2012
ll[tH++'roN
ffi
ii,l?#i:ii".'ndations
Misin
Glasifique las mtricas:
. Fisico
. Tcnico
. Organizativo
PMCONSUTTANT
p4e*.+r^h*l
(@!u[fl[i+]',oN
,d;^o
lnfomation Secur
.
.
.
.
MeaEures
Measure!
oTM_PMC_0036 | 2012
(@ [8*l++''|oN
lHC*a*h*tffid.@
.ii,r.
cEslu
DE LA sEGLJRIDAD DE LA INFoRMACtt,
geseoA
EN LA
rso/rEC 27002
Qu aprendimos?
EI
E[[llElI
acLurorlro ru ruuru..urs ur
nformation Sec uritv
I
oTM_PMC_o036 | 2012
!H9u^ar,e*f;u,lg-
@rxl8fir+f'|oN
Conformidad
Objetivo
ll
;- I-r-.,rrr".';l'rl
L
i
.r
Lagislaon and Regulationg
ecciones de tumplimiento
Cumplimiento do Requisitos Legales
ldentificacin de la legislacin aplicable
Derechos de propiedad intelectual
Proteccin de los registros de la organizacin
Proteccin de Datos y Privacidad de la lnformacin Personal
Prevencin del uso indebido de las instalaciones de procesamiento de informacin
Reglamento de los controles criptogrflcos
Cumplimiento con las norrnas y estndares de seguridad y cumplimiento
tcnico
Cumplimiento con las normas y estndares de seguridad
Comprobacin del cumplimiento tcnico
lnformacin de sistema de Consideraciones de auditoria
lnformacin de Control de Sistemas de Auditoria
Proteccin de las herramientas de auditora de sistemas de informacin
l- ri' *-'1"i
I
- I'."J1'.1"t;'-
Logillaton d R6gultior
PMCONSULTANTSPA.IN - TODOS
(@[Elr{fl'IoN
?HCa*a*fi*A *b@
of
lnformation Security
.
.
.
.
.
.
.
.
.
.
Ejemplos
'
.
.
.
GETtoN
orM_PMC_0036 | 2012
]l'tC"*,u,he+l
rA
Wa
cns'nN
sasDA
TNFoRMATIoN
sEcuRtrY
LIN LA rso/1HC
2702
Secciones
.
Legislacin destinada
computadoras.
'La
oTM_PMC_0036 I 2012
l*A*ar^fu+t
f;*@
cgsnN
[tH{+''|oN
Eiemplos
Reglamentos relacionados con privacidad, impuestos y Finanzas y el Reglamento
para los bancos y las empresas (por ejemplo, Sarbanes Oxley)
Reglamentos locales. estatales y nacionales
Poltica propia de una empresa respecto a los Reglamenlos internos
Reglamentos de una nacin extranjera cuando realizan negocios inlernacionales
Reglamentos que involucran''Privacidad"
Reglamento de proteccin de datos
Reglamentos relativos al uso correcto de las licencias
according to Foundations of
lnformation Security
Ejemploe
organizacin
Archivos encriptados
Habitacianes con temperatura controlada para el almacenamtento
de documentos
de registros
PMCONSUTTANT
oTM_PMC_0036 | 2012
iu*r*r,*r!H,to
Errrer
r 4tc16qp*pnJ
&
cnsrlN
@illifl'|oN
ecciones
Prevencin del uso indebido de lae instalaciones de procesamiento de
informacin
'
Examen de muestra
BUENA SUERTE!
a,'
B
Certicsn
oTM_PMC_0036 | 2012
.D4?wu^h*l ffd^@
9.rrrr,arlto,;e?ni i! ar:.{1rsq}
@rflH+f'oN
r:i}a!rrJf4ry!:a
crsnru
rso/tEc zr00z
Usted tiene 60 minutos en total. lo que le permite tener suficiente tiempo para
leer detenidamente todas las pregunlas 2 o 3 veces
Busca la mejor respuesta
Omita la pregunta si es muy diffcil y djala para luego; asegrese de omiiir
tambin el nmero de la pregunta en la hoja de rspuest
Siempre proporcione una respuesta
lgnore la informacin irrelevante
Aplique el proeeso de eliminacrn
Sintase libre de tomar nolas en la hoja del examen; si el examen es en papel
Crrticaon
GESflON DE
orM_PMC_0036 | 2012
)'
) )
))
l )
)\
)i
,})
))
) r)\)
t)
r)
;)
t,)
r)
.il
a la seg' de la informac'
.r, Asignacin de responsabilidades relativas
,f . Pro-ceso de autoriiacin de recursos para el iraiamiento de la
informacin.
6.1.5 Acuerdosde confidencialidad.
6.1.6 Contacto con las autoridades.
6.1.7 Contacto con grupos de especal inters de la informacin'
.i.S Revisin indep'en'diente deia seguridad
Terceros.
6"2
-"-0.,,l
ldentficacin de los riesgos derivados del acceso de terceros.
6,2.2 Tratamiento de la seguridad en la lelacin con los clenles'
6.2.3 Tratamiento de la seguridad en contratos con terceros'
7. GESfltl DE ACTIVOS.
7.1
infarmcin"
10.8.1 Polticas y procedimientos de intercambio de
10.8.2 Acuerdos de intercambio.
10.8.3 Soportes fisicos 6n trnsto.
10"S lntercambio da
71.1
7 ,1,2
7,1.3
7.2
10.2.2 Supervisin y revisin de los servicios prestados por terceros10.2.3 Gestin dei cambio en los servicios prestados por terceros.
lnventaro de activos.
ProPiedad de los activos.
Uso aceptable de lo activo.
Claificcin de la informacin.
7.2.1
7.2.2
Directricesdeclasificacin.
Etiquetado y manipulado de la informacin.
8, SEGURTDAD LIGADA A LOS RECURSOS HUMANOS'
8,1 Antes del emPleo'
8.'1.1 Funciones yresponsabilidades.
8,1.2 lnvestigacindeantecedenles.
8.'1.3 Trminos y condiciones de contratacin'
8.2 Durante l rnPIo'
8.2.1 Responsabilidades de Ia Direccin
.i,2 Contienciacin, forrnacin y capacitacin en seg de la informac'
8.2,3
ProcesodciPlnario.
8.3 Cese del empleo o cambio dc puosto do trabaio.
8,3.1 Responsabilidad del cese o oambio.
8.3.2 Devolucin de activos.
8.3.3 Retirada de lo dercho d acceso.
SEGURDAD FISICA Y DEL ENTORNO.
reas Egura.
9.1.1 Perimetro de seguridad fisica
5.1.2 Controles fisicos d entrda
S.1.3 Seguridad de oficinas, despacho e instalacones.
g,1.4 Proteccin contra las amenaza extornas y de origen ambental
9.1.5 Trabajo en reas seguras.
9,1.6 Areas de acceso pblico y de carga y descarga
9.
Ll
de equipos.
9.2.2 lnstalacionesdesumnistro.
9.2.3 Seguridad del cableado.
9.2.4 Mantenimiento de los equipos
9.2.5 Segu rdad de los equipos fura de las
9,2.6 Reutilizacin o retrada segura de
9.2.7 Retirada de materiales propiedad d- la
ds
10.2 Gestin
y operacin.
0"10
Supervlsin.
II.
CONTROLDE
,11.t
't1.1.1
11.2
't1.2
11.2.2
11,2.3
1.2.4
1
?
teletrabajo.
11.7 Ordenadores
y comunicaciones mviles.
11.7 .1
11.7.2 T
Y 'AI{TENIMIEI{TO DE ITEIIAS OE
12.1 Reqfffifto$ de sesuridae loa si$temas de informacln.
12,1#' Antiis v orlm*fficin de los requsitos de seguridad.
I de las aplicaciones.
12"2
1
1
2.
3 Controles
criotoqrficos,
4.1
4.2
informacin.
1
3.1
.1
de usuario,
los derechos de acceso de uuarro.
de usuario.
Usffde contraseas.
EquIpo de usuario desatendido
.4
la
segundad de l informacin,
Marco de referencia para la planificacin de la cont. del negocio.
Pruebas, mantenimiento y reevaluacin de planes de oontinuidad,
66cumenfo slo para uso didctico. La norma oficial debe adquirirse en entidades autorizada Dara u venta
Ver.4.0, 16-1-2011
CURSO DE INTRODUCCION Y
FUNDAMENTOS
INFORMATION
SECURITY
+N
Pf'l%u^^ll^l Sfi;"r^'