Gestión de la segurida segurid ad Ignacio de Prado
Presentación e introducción
Pro rofesores fesores de la asi sign gna atu tura ra Profesor titular
•
Ignacio de Prado
Profesor colaborador
•
Fidel Paniagua
INTRODUCCIÓN
Índice Índ ice de la asi asigna gnatu tura ra ema a1 Tem La Seguridad de la Información en las organizaciones.
ema a2 Tem Gobierno Gobi erno de de la segurida seguridad d de la info información rmación..
ema a3 Tem Programas, procesos y políticas políticas de seguridad seguridad de la información.
ema a4 Tem El profesiona profesionall de la segurida seguridad d de la info información rmación..
Calend Cal endari arioo impa imparti rtició ciónn de mat materi eriaa Sema mana na 1
Presentación y Tema 1 Test 1
Sema mana na 2
Tema 2
Test1
Tema2
Foro
Sema mana na 3 Sema mana na 4 Sema mana na 5 Sema mana na 6 Sema mana na 7 Sema mana na 8 Sema mana na 9 Semana Se mana 10
Tema 2 Trabajo Tr abajo 1
Tema 2
Tema 2
Test2
Test 2
Tema 3
Tema 3
Test 3
Tema 4
Tema4
Trabajo 2
Tema 4
Tema 4
Test 4 Fechas definitivas en Campus Virtual
Calendario ➢
Primera clase •
➢
➢
Presentación y tema 1. (1h 30min).
Clases sucesivas hasta completar los temas 2, 3 y 4 •
Repaso, dudas y trabajo colaborativo (45min cada grupo cada tres semanas).
•
Impartición de materia (45min semanales por grupo).
•
Durante la segunda semana NO habrá sesión de repaso.
Una vez terminado el temario •
Dos sesiones para consultar consultar dudas que se planificaran previamente al examen (45min).
➢
Todas las clases se impartirán en horario horari o a partir de las 18:00h
➢
Los exámenes comienzan el 15 de julio
Obj bje etitivos vos de la asi sign gna atu tura ra 1
Comprender Compr ender el concepto concepto de Segurid Seguridad ad de la Inform Información ación como un proceso relacionado con la gestión del riesgo.
2
Entend Ent ender er el context contextoo económico de la SI.
3
Conocer Conoc er las princ principale ipaless normas y aspectos profesionales de la SI.
4
Conocerr y saber aplic Conoce aplicar ar herramientas de gestión de la SI, partiendo del concepto de política.
Estructura de la lass unida unidade dess UNIDADES ACTIVIDAD
TEMARIO
▪
Lectur Lec tura a ini inici cial al
▪
▪
Reflexión sigui Reflexión siguiendo endo las pre pregun guntas tas
▪
Revisión
▪
Tests
Lectura Lectur a pre previa via a la clase
Forma de estudia studiar r Clase lasess prese presenciale ncialess virtuales
Unida nidad d didá didáctica ctica
Actt i v i d ad Ac ades es
Materi Ma terial al de apoyo y de refuerzo
Tipo ipologí logía a de exa xame men n Preguntas de desarrollo
Preguntas tipo test
✓
6 puntos
✓ 4 puntos
Valora loración ción asigna signatura tura Exámen
Actividades
Tests
Foro
Asistencia
Nota final
TEMA 1
Información
ACTIVO ACT IVO ESTR ESTRA ATÉG TÉGICO ICO
Aporta valor valor a la organización organización (en (en casos extremos, extremos, es la razón de ser de la misma).
Requiere la aplicación de medidas de protección y supervisión sobre los elementos que hacen uso de ella.
Cic iclo lo de vid ida a de la in info form rma aci ción ón
Cr eac i ó n
Tr at am i en t o
En vío
Des t r u c c i ó n
Obtención
Manipulación
Transmisión
Eliminación
Elaboración
Almacenamiento
Presentación
Destrucción
Procesamiento
Objetivo
¿Seguridad informática?
¿Seguridad de la información?
¿Qué es la l a se segur gurida idad d de la info informa rmación ción? ? << Preservación de la confidencialidad, la integridad y la disponibilidad de la información, inf ormación, pudiendo, además, abarcar otras propiedades como la autenticidad, responsabilid respon sabilidad, ad, fiabilid fiabilidad ad o el no repudio >> ISO IS O 27 2700 001 1
Segurida guridad d de la informa información ción ACTIVOS
Personas
Instalaciones
Actividades
Información Se encuentra en…
Personas
Instalaciones
Documentos
PROTECCIÓN
Sistemas
Empresas
Segurida guridad d de la informa información ción
SEGURIDAD DE LA INFORMACIÓN Personas
Soportes Sistemas Transmisión
Instalaciones
Terceros
Dime imensione nsioness de la se segurida guridad d Integridad
Confidencialidad
INFORMACIÓN Disponibilidad
Trazabilidad
Autt en Au entt i c i d ad
Dime imensione nsioness de la se segurida guridad d Integridad
Confidencialidad
INFORMACIÓN Disponibilidad
Trazabilidad Confidencialidad
Req equi uisi sitto bá bási sico co de se segu guri riddad qu que e ga gara rant ntiz iza a qu que e só sólo lo la lass personas, entidades o procesos autorizados pueden acce ac cedder a la in info form rmac ació ión. n.
Dime imensione nsioness de la se segurida guridad d Integridad
Confidencialidad
INFORMACIÓN Disponibilidad
Trazabilidad Integridad
Requisito básico de seguridad que garantiza que la infforma in macció iónn no pueda ser o no ha sido modific icaada o altlte erada porr pe po pers rson onas as,, en entitida dade dess o pr proc oces esoos no au auto tori rizzad ados os..
Dime imensione nsioness de la se segurida guridad d Disponibilidad
Requisito básico de seguridad que garantiza que se puede acceder a la información y a los recursos o servicios que la mane ma neja jann, co conf nfor orme me a la lass es espe peci ciffic icac aciion ones es de lo lossIntegridad mism mi smos os..
INFORMACIÓN Disponibilidad
Trazabilidad
Autt en Au entt i c i d ad
Dime imensione nsioness de la se segurida guridad d Trazabilidad
Capacidad de poder asociar cualquier acción de modo ineq in equí uívvoc ocoo a un in indi divvid iduuo o en enttid idad ad..
Integridad
INFORMACIÓN Disponibilidad
Trazabilidad
Autt en Au entt i c i d ad
Dime imensione nsioness de la se segurida guridad d Autt en Au entt i c i d ad
Propiedad que permite verificar que una entidad o indi in divvid iduo uo es rea ealm lmen ente te qu quie ienn di dice ce o af afir irma ma se serr.
INFORMACIÓN Disponibilidad
Trazabilidad
Autt en Au entt i c i d ad
Segurida guridad d de la informa información ción SEGURIDAD DE LA INFORMACION
NORMATIVA
ORGA NIZA CIÓN
MEDIDAS TÉCNICAS
Segurida guridad d de la informa información ción Equilibrio
POLÍTICAS
ORGANI ZACIÓN
MEDIDAS TÉCNICAS
Gesti stion ona and ndo o la Se Segu guri ridad dad “La seguridad es un pr proce oceso so no un producto”
Bruce Bru ce Sch Schnei neier er Identificar riesgos
Estrategia
Gestión de la seguridad Evaluar
Implementar controles
Gestión
Operativa
Econo conomí mía a de la se segur gurida idad d
Controles Preventivos Detectivos Reactivos
Cla lasifica sificación ción de la informa información ción ❖
La información posee grados variables de sensibilidad y criticidad.
❖
No toda la informació informaciónn exige exige el mismo mismo grado grado de protección.
❖
Algunos eleme Algunos elementos ntos de informac información ión puede puedenn requerir requerir un nivell adici nive adicional onal de protecci protección ón o una una utiliz utilización ación especi especial. al.
❖
La información se clasifica definiendo un conjunto de nive ni velles de pr prot otec ecci ción ón ad adec ecua uado dos. s.
Cla lasifica sificación ción de la informa información ción En la Administra Administración ción Grado Gr ados s de clasifi clasificac cació ión n de la inf infor orma mació ción n
SECRETO
+
RESERVADO CONFIDENCIAL DIFUSIÓN LIMITADA
Grado de grave Grado gr avedad dad del acceso acc eso no autoriz utoriza ado
SIN SI N CLA CLASIF SIFICA ICAR R
Nive ivell de protección re reque querido rido
Fuente:: Centro Criptológico Naciona Fuente Nacionall
Cla lasifica sificación ción de la informa información ción En la empre mpresa sa
¿Quién?
¿Por qué?
¿Cómo?
Cla lasifica sificación ción de la informa información ción Elaborador
Roles Elaboración
Propietario
Custodia
Propiedad
Custodios
Uso Usuarios
Cont ontrol role es de se segur gurida idad d - Ame mena nazzas Una amenaza es cualquie cualquierr circunstancia potencial qu quee pu pued edee afectar a la seguridad seguridad de los los activos de información. • Si una amenaza llega a materializarse se produce un incidente incidente,, el cual puede puede acarrear algunos algunos de los efectos siguientes: Revelaci lación ón de de info información rmación – Reve Alteració raciónn de infor información mación – Alte Pérdida ida de infor información mación – Pérd quee • Los incidentes se producen con una frecuencia variable o, lo qu es lo mismo, tienen una una probabilidad probabilidad de ocurrencia. asimism o un impacto varia variable ble sobre los • El incidente tendrá asimismo activos activ os de infor información. mación. •
Gestión de rie riesgos sgos •
Ejemplos – Los virus virus constituy constituyen en una amenaz amenaza. a. un ordenador ordenador se infecta dos veces por – Supongamos que un semana y cada cada vez el virus borra el disco duro. disminuir ir la frecue frecuencia ncia? ? – ¿Cómo disminu Instaland lando o un anti antiviru virus. s. • Insta disminuir uir el impacto impacto? ? – ¿Cómo dismin • Haciendo copias copias de seguridad de la información. controles o medidas medidas de seguridad seguridad disminuyen disminuyen el – Estos dos controles riesgo drásticamente, aunque nunca lo eliminen por completo.
Segu guri ridad dad int i nte egr gra al Amenazas convergentes… convergentes…
requieren respuestas convergentes.
Segur gurida idad d en en las las pe person rsona as Negligencias Ingenierí Inge niería a Social
APT
Desconocimiento Las personas personas son el eslabón eslabón más débil débil en la seguridad
Segur gurida idad d en en las las pe person rsona as Nece cesidad sidad de conocer: Determinación positiva positiva por la que q ue se confirma que un u n posible destinatario requiere el acceso a una determinada información para desempeñar servicios, serv icios, tareas tareas o cometidos cometidos oficial oficiales. es.
Principio del del mí mínimo nimo privile privilegio: gio: Todo usuario debe tener asignados los mínimos privilegios necesarios de manera que que pueda seguir seguir realizando realizando su su funció función. n.
Segur gurida idad d en en las las pe person rsona as Concienciando SENSIBILIZACIÓN FORMACIÓN CONCIENCIACIÓN AUTORIDADES MANDOS MAN DOS INT INTERM ERMEDIO EDIOS S USUARI USU ARIO O FIN FINAL AL
Segur gurida idad d en en las las pe person rsona as Estra strategia tegia de un plan plan de formación formación QUÉ QU É Y CÓ CÓMO MO
DÓNDE
QUIÉN
CUÁNDO
www.unir.net
