Professional Documents
Culture Documents
Unidad: IV Semana: 8
• Seguridad de la Información
• Seguridad Informática
• Seguridad Física y Lógica
• Proceso de Seguridad de los sistemas
informáticos.
• Normas internacionales ISO 27000
• Modelo de Gobierno TI
Seguridad de la Información
“La seguridad de la información, consiste en
gestionar el aseguramiento del recurso
información”.
La información es:
• Crítico, indispensable para operación/negocio
• Valioso, activo importante
• Sensible, confidencialidad
• Diferentes formas, como electrónico, impreso,
audio u otros
Seguridad Informática
“La seguridad informática, consiste en asegurar
(mediante controles de protección, métodos,
tecnologías, políticas, procedimientos, etc.) que los
recursos de los sistemas de información (Equipos
tecnológicos, software, datos, procesos) de una
organización sean utilizados de la manera que se
decidió, a fin de prevenir amenazas accidentales
y deliberadas que pudieran resultar en una
pérdida de confidencialidad, integridad y
disponibilidad.1
• Integridad.
Garantizar que los datos no puedan ser
alterados sin autorización.
• Disponibilidad.
Garantizar que la información esté disponible
en forma oportuna según lo convenido.
Necesidades de seguridad
• No-repudio.
Garantía de que ninguna de las partes
involucradas pueda negar en el futuro una
operación realizada.
• Control de acceso
Identificación y Autenticación: Asegurar que
sólo los individuos autorizados tengan acceso a
los recursos
• Consistencia
Asegurar que el sistema se comporte como se
supone que debe hacerlo ante los usuarios que
corresponda.
Planificación de las necesidades
de seguridad
No repudio
Control Autenticación
Consistencia Disponibilidad
Confidencialidad Integridad
Para un Banco
Confidencialidad
Autenticación
No repudio
Integridad
Para Universidades
Integridad
Disponibilidad
Para instituciones de
inteligencia
Confidencialidad
El proceso de implantación de
Seguridad abarca ….
1. Identificación de necesidades.
2. Análisis y estimación de riesgos.
3. Determinación de Controles.
Evaluación de Costo – Beneficio.
Definición de políticas.
Implementación de controles.
4. Evaluación: Auditoría.
La implantación de seguridad
de sistemas incluyen
Políticas
+
Procedimientos
+
Medidas técnicas
.. Y su aplicación correcta
permite:
Seguridad Inversión
Auditoria
Políticas recomendadas
Códigos de Ética.
Plan de Contingencia.
Incidencias de Seguridad
(2 Objetivo, 5 Controles)
Fuente: ISO 17799
Normas ISO 27002
Gráfico 6. Normas ISO 17799 Seguridad de la Información
COBIT
Seguridad de la Información ISO
17799
C Desarrollo Tecnologí
Explotació
M Aplicacion ay
n
es de Comuni-
M Negocios caciones
TI
ITI
I
Gestión de Servicios L
ISO
Sistemas de Calidad
900
x PM
Gestión de Proyectos
TI/ I
SI Planificación TI
Estándares, Regulaciones y mejores prácticas
• COSO (Committee of Sponsoring Organizations)
Es el Marco Integrado que proporciona criterios para evaluar
el Control Interno
• COBIT (Control Objectives for Information and related Technology)
Es un Marco de control de TI, que propone dominios de
acción, asociando los recursos de la empresa con
categorías de información
• ITIL (Information Technology Infrastructure Library)
Es un Marco de trabajo de las mejores prácticas para facilitar
la entrega de los servicios de TI
Estándares, Regulaciones y mejores prácticas
Risk Security
Response Management
Event Business
Identification Perspective
ITIL
Modelo ITIL v3.
Modelo ITIL v2.
Gestión de Aplicaciones