SlideShare ist ein Scribd-Unternehmen logo

PRESENTACION DEL PROYECTO.pdf

R
ruddy78

um m

Daten & Analysen
1 von 36
Downloaden Sie, um offline zu lesen
PLAN DE ACTUALIZACION DE LA SEGURIDAD DE LA INFORMACION DEL SISTEMA ACADEMICO SIRINGUERO Ing. Ruddy Chao
¿Por qué preocuparse por la seguridad? Problemas comunes: •Destrucción de la información o datos. •Modificación o distorsión de información. •Robo, eliminación o pérdida de información. •La revelación de información. •La interrupción de los servicios.
NATURALEZA DEL PROYECTO De acuerdo al instructivo Nro. 021/2020 Solicitud del Programa Operativo Anual Gestion 2021 de la dirección de Información Académica ACTUALIZACION DE LA SEGURIDAD DE LA INFORMACIÓN DEL SISTEMA ACADEMICO SIRINGUERO DE LA UAP COBIJA
CRONOGRAMA DEL PROYECTO MACRO
INTRODUCCIÓN  La D.I.A como toda institución y dirección que pertenece a la Universidad Amazónica de Pando se enfrenta a una serie de amenazas que ponen en riesgo de forma directa o indirecta los datos personales académicos de la información que se genera transmite y resguarda, así como los recursos tecnológicos con los que se desarrolla las actividades antes mencionadas.  Se considera al activo de información como un recurso de vital importancia,  Para el desarrollo del presente plan se consideró lineamientos de las la ISO/ICE 27000, 27001, 27002, así también se tomó en cuenta los Lineamientos para la elaboración e implementación Planes Institucionales de Seguridad de la Información Planes Institucionales de Seguridad de la Información de la AGETIC
OBJETIVOS
OBJETIVO GENERAL Elaborar un plan de proyecto sobre las medidas de seguridad de la información para la administración del Sistema Académico Siringuero dentro de la Dirección de Información Académica de la Universidad Amazónica de Pando.
OBJETIVOS ESPECIFICO Analizar el contexto ac tual de seguridad de la información para la ad ministración del sistem a siringuero. ///////////////// Identificar los riesgos a lo s cuales está expuesto el sistema siringuero y todo s los activos de informaci ón que se relacionan con él ///////////////// Definir las medidas y dir ectrices de seguridad de información dentro de la Dirección de Informació n Académica, relacionad os a sistema siringuero, para precautelar la dispo nibilidad, integridad y co nfidencialidad del sistem a. ///////////////// Promover LA CULTURA de seguridad dentro de l a Dirección de Informaci ón académica y los adm inistradores del Sistema Académico Siringuero. /////////////////
ALCANCES La seguridad de la información es un conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten reguardar y proteger la información Se basara en todo aquel activo de información que rodea el Sistema Académico Siringuero, con ello nos referimos, a políticas de seguridad, personas, dispositivos informáticos y el sistema de información Siringuero.
ALGUNAS DEFINICIONES SECURITY Documento en el cual el servidor público y/o terceros se comprometen a respetar la confidencialidad de la información y a usarla solo para el fin que se estipule. Acuerdo de confidencialidad Permite identificar las debilidades en cuanto a controles de seguridad inexistentes o ineficaces. Se sugiere que la evaluación se realice por tipo de activo agrupado por similares características. Analisis de riesgo La palabra seguridad procede del latín securĭtas ātis que significa ' o 'conocimiento claro y seguro de algo’ SEGURIDAD Conocimientos o datos que tienen valor para la organización. Activos de información.
Estructura básica de seguridad de información y seguridad informática
SEGURIDAD DE LA INFORMACIÓN Es la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de escenarios, de las buenas prácticas y los esquemas normativos, que nos exigen niveles de aseguramiento de procesos y de tecnología para elevar el nivel de confianza en la creación, utilización, almacenaje, transmisión, recuperación y disposición final de la información". (ISOTools Excellence, 2017) 35% You can simply impress your audience and add a unique zing and appeal to your Presentations. Your Text Here 20% You can simply impress your audience and add a unique zing and appeal to your Presentations. Your Text Here Despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, SEGURIDAD INFORMATICA "La seguridad informática protege el sistema informático, tratando de asegurar la integridad y la privacidad de la información que contiene. Por lo tanto, podríamos decir, que se trata de implementar medidas técnicas que preservarán las infraestructuras y de comunicación que soportan la operación de una empresa, es decir, el hardware y el software empleados por la empresa". (ISOTools Excellence, 2017
TRIADA DE LA SEGURIDAD DE LA INFORMACIÓN
Requisitos de seguridad Análisis de riesgos considera los objetivos y estrategias de negocio de la organización, lo que resulta en la identificación de las vulnerabilidades y las amenazas a los activos Leyes vigente, estatutos, reglamentos y las cláusulas contractuales que deben cumplirse para la organización, sus socios, subcontratistas y proveedores
Estado Inicial de la seguridad de la información En base a las buenas practicas de la ISO/IEC 27002 11 ITEMS
Estado Inicial de la seguridad de la información Datos código DÍAUSADAT002 /2019 Reglamento de uso del siringuero Procedimientos Políticas de seguridad Actualmente tanto la Dirección como la Unidad de Sistemas Académicos, no cuenta de ninguna clasificación de activos in situ y si bien tiene políticas sobre el manejo de los activos, no cuenta con controles sobre el uso y manejo adecuado del mismo. Clasificación y control de activos Identificar y establecer medidas de control físicas para proteger adecuadamente los activos de información para evitar incidentes que afecten a la integridad física de la información o interferencias no deseadas Seguridad física y del entorno Existe lineamientos dentro de las políticas, donde los funcionarios tienen bien especificados su roles dentro de la organización , sin embargo estas políticas hay que actualizarlas Aspecto Organizativo De La Seguridad De La Información Independientemente del contrato no cuenta con algún procedimiento de vinculación desvinculación del funcionario a la Dirección de Información Académica. Seguridad de los recursos humanos De la DIA, entorno a Sistema Académico Siringuero
Estado Inicial de la seguridad de la información Es necesario proteger los datos de información en el caso de que algún intruso pueda tener acceso físico a la información Criptografía Las comunicaciones de la Dirección se realizan a través de la Red la interna, a la misma se conectan la unidad de trámites, registros, archivo y cajas. Así también los clientes externos tienen acceso mediante servicio de internet. Seguridad de las Comunicaciones Actualmente no se cuenta con ningún tipo de contrato externo para el desarrollo de sistemas, módulos o aplicaciones Relación con proveedores Seguridad de operaciones Si bien hay procedimientos específicos de desarrollo, mantenimiento y prueba de los módulos de los sistemas, no se da un hincapié total a las pruebas de seguridad de los módulos realizado. Adquisición, Desarrollo Y Mantenimiento De Los Sistemas De Información Los procedimientos documentados de operación están escuetamente plasmados dentro de las políticas de seguridad de información, sin embargo hace falta formularios que contenga información precisa de cada una de las operaciones que se hacen para el manejo de la información. De la DIA, entorno a Sistema Académico Siringuero
Estado Inicial de la seguridad de la información Detectar, informar y evaluar incidentes de la Seguridad de la información Responder a incidentes Reportar vulnerabilidades Aprender de los incidentes de la Seguridad de la información. Gestión de incidentes de la seguridad de la información Example Text : Get a modern PowerPoint Presentation that is beautifully designed. Your Text CONTINUIDAD DE NEGOCIO Para reducir los niveles de interrupción de negocio causada por desastres y fallas en la seguridad, es importante para esta parte realizar un análisis de riesgos. De la DIA, entorno a Sistema Académico Siringuero
EVALUACIÓN ACTUAL EN BASE PLAN DE IMPLEMENTACIÓN DE SEGURIDAD DE LA INFORMACIÓN (PISI) DE LA AGETIC Consta de 11 items 4 CRITICAS Se basa en la no interrupción de los servicios que provee la dirección ya sea por cuestiones físicas o ambientales. Actualmente no cuenta con un plan de contingencia o algún procedimiento en caso de algún incidente. Plan de contingencias tecnológicas Seguridad física y ambiental Implementar controles de conexión, autenticación y cifrado para los servicios de red. Implementar controles de seguridad perimetral que protejan la red ante posibles intrusiones. Se deberán implementar reglas de control de salida y registro según corresponda. Seguridad de las comunicaciones ACTUALIZACION DE LOS PROCEDIMIENTOS ACTUALES DE REACCIÓN FRENTE A INCIDENTES DE SEGURIDAD. IMPLANTACIÓN DE UN SERVIDOR DE LOG Y FIREWALL. Gestión de incidentes de seguridad de la información Una de los controles mas críticos puesto que las copias de seguridad se lo hacen en formato normal y no se encriptan. Los datos que se transmiten por la red se las hace en texto plano. Criptografía
RESULTADO DE EVALUACIÓN DE CONTROLES CONTROLES ESPECÍFICOS Implementados Total de controles Seguridad en recursos humanos 1 18 Gestión de activos de información 5 37 Control de accesos 8 42 Criptografía 0 7 Seguridad física y ambiental 6 52 Seguridad de las operaciones 4 19 Seguridad de las comunicaciones 2 44 Desarrollo, mantenimiento y adquisición de sistemas 3 49 Gestión de incidentes de seguridad de la información 0 13 Plan de contingencias tecnológicas 0 11 Cumplimiento 0 15
RESULTADO DE EVALUACIÓN DE CONTROLES Dentro de la Dirección de información académica 1 5 8 0 6 4 2 3 0 0 0 18 37 42 7 52 19 44 49 13 11 15 0 10 20 30 40 50 60 Implementados Total de controles
En esta fase se evaluá todos los activos (Personas, Hardware, Software, Información digital, Información impresa, Servicios, etc.) Que se encuentran relacionados con la Unidad de sistemas académicos y demás unidades que están dentro de la dirección de información académica ANÁLISIS DE RIESGO  MAGERIT  Valoración de activos  Inventario de y valoración de los activos de información  Análisis de amenazas, vulnerabilidad riesgos y salvaguardas
CLASIFICACIÓN DE ACTIVOS Content Here VALORACIÓN DE ACTIVOS [P]Personas [L]Instalaciones [SW]Software Aplicaciones informáticas [HW]Equipamiento informático (hardware) [COM]Redes de comunicación [Media]Soportes de información [AUX]Equipamiento auxiliar [COM]Redes de comunicación [Media]Soportes de información [AUX]Equipamiento auxiliar [D]Datos/Información [S] Servicios Muy bajo 1 Bajo 2 Medio 3 Alto 4 Muy Alto 5
A C T I V O S D E INFORMACIÓN We Create Quality Professional PPT Presentation You can simply impress your audience and add a unique zing and appeal to your Presentations. Get a modern PowerPoint Presentation that is beautifully designed. Easy to change colors, photos and Text. I hope and I believe that this Template will your Time, Money and Reputation. Easy to change colors, photos and Text.
Análisis de amenazas, vulnerabilidad riesgos y salvaguardas Internet Desastres Naturales De origen industrial Clasificación de amenazas Errores y fallos no intencionados Ataques Intencionados DIA
Selección de 9 dominios relacionados a la seguridad de la información, La identificación de los controles a implementar para poder mitigar las vulnerabilidades dentro del Sistema Siringuero, los mismos que tiene por objeto resguardar la confidencialidad, integridad, y disponibilidad de la información. Selección mínimos de controles De seguridad de la información del Sistema Académico Siringuero SEGUN AGETIC
Selección de Controles mínimos de seguridad de la información Control de de accesos Criptografía Seguridad física y ambiental Seguridad de las operaciones Seguridad de las comunicaciones Desarrollo, mantenimiento y adquisición de sistemas Gestión de incidentes
Administración de accesos  Se deberán establecer los requisitos de autorización para la creación y asignación de roles y privilegios de una cuenta.  Se deberán actualizar los procesos/procedimientos que reflejen el flujo de actividades a seguir, responsables, tiempos, quién autoriza, quién es consultado, quién es informado, quién es responsable de la cuenta de acceso y la forma y medio de entrega de las credenciales. Se deberá tomar en cuenta el criterio de menor privilegio.  Se deberá establecer el flujo de actividades a seguir para la revisión y cancelación de accesos al momento de la desvinculación laboral.  Elaborar procesos/procedimientos especiales para el acceso a servicios privilegiados como bases de datos, sistemas operativos y aplicaciones de administración.  Implementar técnicas seguras Para fortalecer la información de autenticación. Control de accesos Criptografía Control de acceso a redes y servicios de red  Monitorear los accesos de la red inalámbrica.  Implementar controles de acceso a los servicios Controles criptográficos Elaborar e implementar un reglamento sobre el uso de criptografía para la protección de la información. Definir la fortaleza y la calidad del algoritmo de cifrado de acuerdo al tipo y criticidad de la información. Utilizar cifrado para proteger la información en medios de almacenamiento, transferencia de archivos, información transmitida por redes de comunicación y otros que se considere necesario. Utilizar firma digital para asegurar la autenticidad e integridad de la información. Elaborar o actualizar un proceso/procedimiento para la administración de claves, que considere: la generación, distribución, almacenamiento, cambio o actualización, recuperación, respaldo, destrucción y otras que se considere necesario. Controles mínimos de seguridad de la información 1 2
Seguridad física y ambiental Asegurar áreas e instalaciones donde se genere, procese o transmita o almacene información, con el objetivo de prevenir accesos no autorizados que comprometan la seguridad de la información. Controles Seguridad del equipamiento Proteger el equipamiento interno y externo de la entidad para prevenir el daño, perdida, o compromiso de los mismo. (compra de equipos informáticos). Implementar controles para minimizar el impacto ocasionado por condiciones ambientales, incendios, inundaciones, polvo, vibraciones, interferencias eléctricas y S.F en e. C.P.D Proceso formal para el acceso, mantenimiento, supervisión. Implementar dispositivos de enfriamiento y extracción de aire. Implementar cableado estructurado. Controles mínimos de seguridad de la información Supervisión de I/O Escritorio Limpio 3
Garantizar y asegurar que las actividades operacionales en instalaciones de procesamiento de información se realicen de forma correcta. Identificar los recursos críticos e indispensables para las operaciones. Se deberán revisar y eliminar los datos obsoletos almacenados. - Se deberá sacar de servicio a las aplicaciones, sistemas, bases de datos o entornos en desuso y/o obsoletos. GESTIÓN DE LA CAPACIDAD Seguridad de las operaciones Realizar registros que contenga al menos la información de:  Quien autoriza los cambios  Quien realiza los cambios  Fecha  Descripción de las tareas  Validación del cambio  Otros Información crítica y/o estratégica se deberán almacenar los respaldos en múltiples medios de acuerdo a requerimiento. La información confidencial, estas deben estar protegidas con el uso de técnicas criptográficas. RESPALDOS Controles mínimos de seguridad de la información Realizar actividades de formación y concienciación sobre los procedimientos sobre el tratamiento de la información y su cuidado o segurida 4
Seguridad de las comunicaciones 01 Elaborar y actualizar periódicamente los diagramas de red y documentar la arquitectura de la red. Restringir el ancho de banda para recursos de alto consumo acorde al puesto laboral 02 Implementar y documentar reglas de acceso y salida en los dispositivos de seguridad. Se deberá monitorear regularmente la actividad en las redes de datos. Implementar, cuando se vea necesario, parámetros técnicos de encriptación para conexiones seguras y reglas de seguridad. 03 Implementar redes redes locales virtuales (VLAN). Y una segmentación de la red . Seguridad en la red perimetral Segmentación de la red Asegurar la protección de la información en redes y la protección de la infraestructura de soporte Gestión de la red 5
6 Controles mínimos de seguridad de la información
01 02 03 04 Gestion de incidentes El documento de reporte de incidentes y vulnerabilidades deberá ser socializado a los servidores públicos para que los mismos conozcan los medios de reporte. Se deberá llevar una bitácora de eventos para el análisis posterior sobre los costos asociados al incidente y sobre los cuales se deben implementar soluciones a corto, mediano y largo plazo para reducir la probabilidad de ocurrencia futura Elaborar y/o actualizar procedimientos de gestión de incidentes de seguridad de la información, los mismos deben establecer roles, responsabilidades informar, evaluar y responder sobre eventos de seguridad.. El RSI (responsable de seguridad de información) deberá identificar el incidente para registrar el mismo, el tratamiento que se le dio y/o escalamiento 6 Controles mínimos de seguridad de la información
Procesos y/o documentos a implementar o actualizar Actualización de los procedimientos de asignación de contraseñas y dado de baja a los diferentes usuarios. Elaboración de acuerdo de confidencialidad del Usuario con la Dirección de Información Académica mediate la Unidad de Sistemas Académicos. Elaboración de un procedimiento y reglamentación de acceso al Centro de Procesamiento de Datos. Implementación de un formulario de monitoreo constante de los activos de información(licencia, soporte, y nuevas vulnerabilidades) Implementación de procedimiento de análisis de vulnerabilidades a los sistemas y servidores a través del Etickal Haking. Elaborar e implementar un reglamento sobre el uso de criptografía para la protección de la información Se deberá elaborar procesos y/o procedimientos de gestión de incidentes de seguridad de la información, los mismos deben establecer roles, responsabilidades informar, evaluar y responder sobre eventos de seguridad.. Get a modern PowerPoint Presentation that is beautifully designed. Contents Here
GRACIAS Si tu empresa gasta más en café que en seguridad TI, serás hackeado. Es más, merecerás ser hackeado. El único sistema completamente seguro es aquel que está apagado, encerrado en un bloque de cemento y sellado en una habitación rodeada de alambradas y guardias armados.

Empfohlen

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCastillo'S Legal Solutions
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASSEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASKevin Pacheco
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 

Empfohlen

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCastillo'S Legal Solutions
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaRodrigo Salazar Jimenez
 
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASSEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASKevin Pacheco
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformaticaDiana Elizabeth Cordova Lopez
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA76355710
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadgchv
 
Plan de contingencia manuel mata
Plan de contingencia manuel mataPlan de contingencia manuel mata
Plan de contingencia manuel mataManuelMataArocha1
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redesbatuvaps
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cfAlexander Velasque Rimac
 
Auditoria de segurida informatica
Auditoria de segurida informaticaAuditoria de segurida informatica
Auditoria de segurida informaticathais Cortesia
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Trabajo seguridad informatica
Trabajo seguridad informaticaTrabajo seguridad informatica
Trabajo seguridad informaticafrancisco javier sinisterra aragon
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectualplluncor
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
SEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdfSEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdfROOSVELTENRIQUEZGAME1
 
procedimiento paran la planificación en los centros educativos tipo v(multig...
procedimiento paran la planificación en los centros educativos tipo v(multig...procedimiento paran la planificación en los centros educativos tipo v(multig...
procedimiento paran la planificación en los centros educativos tipo v(multig...claudioluna1121
 
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptx
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptxP.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptx
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptxJafetColli
 

Weitere ähnliche Inhalte

Ähnlich wie PRESENTACION DEL PROYECTO.pdf

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA76355710
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadgchv
 
Plan de contingencia manuel mata
Plan de contingencia manuel mataPlan de contingencia manuel mata
Plan de contingencia manuel mataManuelMataArocha1
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redesbatuvaps
 
Auditoria de segurida informatica
Auditoria de segurida informaticaAuditoria de segurida informatica
Auditoria de segurida informaticathais Cortesia
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hechowpatricio
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectualplluncor
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.dsiticansilleria
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 

Ähnlich wie PRESENTACION DEL PROYECTO.pdf (20)

Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Manual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridadManual redes&comunicaciones politicas de seguridad
Manual redes&comunicaciones politicas de seguridad
 
Plan de contingencia manuel mata
Plan de contingencia manuel mataPlan de contingencia manuel mata
Plan de contingencia manuel mata
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
Auditoria de segurida informatica
Auditoria de segurida informaticaAuditoria de segurida informatica
Auditoria de segurida informatica
 
Instructivo seguridad hecho
Instructivo seguridad hechoInstructivo seguridad hecho
Instructivo seguridad hecho
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Trabajo seguridad informatica
Trabajo seguridad informaticaTrabajo seguridad informatica
Trabajo seguridad informatica
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
SEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdfSEPARATA SEMANA 7 SI.pdf
SEPARATA SEMANA 7 SI.pdf
 

Kürzlich hochgeladen

procedimiento paran la planificación en los centros educativos tipo v(multig...
procedimiento paran la planificación en los centros educativos tipo v(multig...procedimiento paran la planificación en los centros educativos tipo v(multig...
procedimiento paran la planificación en los centros educativos tipo v(multig...claudioluna1121
 
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptx
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptxP.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptx
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptxJafetColli
 
02 protocolo en caso de robo o asalto.pdf
02 protocolo en caso de robo o asalto.pdf02 protocolo en caso de robo o asalto.pdf
02 protocolo en caso de robo o asalto.pdfguillermobernalocamp1
 
Principales Retos Demográficos de Puerto Rico
Principales Retos Demográficos de Puerto RicoPrincipales Retos Demográficos de Puerto Rico
Principales Retos Demográficos de Puerto RicoRaúl Figueroa
 
6.3 Hidrologia Geomorfologia Cuenca.pptx
6.3 Hidrologia Geomorfologia Cuenca.pptx6.3 Hidrologia Geomorfologia Cuenca.pptx
6.3 Hidrologia Geomorfologia Cuenca.pptxBrallanDanielRamrezS
 
Investigacion cualitativa y cuantitativa....pdf
Investigacion cualitativa y cuantitativa....pdfInvestigacion cualitativa y cuantitativa....pdf
Investigacion cualitativa y cuantitativa....pdfalexanderleonyonange
 
Porcentaje de población blanca europea en Europa Occidental (1923-2024).pdf
Porcentaje de población blanca europea en Europa Occidental (1923-2024).pdfPorcentaje de población blanca europea en Europa Occidental (1923-2024).pdf
Porcentaje de población blanca europea en Europa Occidental (1923-2024).pdfJC Díaz Herrera
 
max-weber-principales-aportes de la sociologia (2).pptx
max-weber-principales-aportes de la sociologia (2).pptxmax-weber-principales-aportes de la sociologia (2).pptx
max-weber-principales-aportes de la sociologia (2).pptxMarioKing10
 
Análisis del Modo y Efecto de Fallas AMEF.ppt
Análisis del Modo y Efecto de Fallas AMEF.pptAnálisis del Modo y Efecto de Fallas AMEF.ppt
Análisis del Modo y Efecto de Fallas AMEF.pptProduvisaCursos
 
Sistema Nacional de Vigilancia en Salud Pública SIVIGILA
Sistema Nacional de Vigilancia en Salud Pública SIVIGILASistema Nacional de Vigilancia en Salud Pública SIVIGILA
Sistema Nacional de Vigilancia en Salud Pública SIVIGILAsofiagomez288291
 
CUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptx
CUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptxCUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptx
CUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptxfatimacamilainjantem
 
decreto 2090 de 2003.pdf actividades de alto riesgo en Colombia
decreto 2090 de 2003.pdf actividades de alto riesgo en Colombiadecreto 2090 de 2003.pdf actividades de alto riesgo en Colombia
decreto 2090 de 2003.pdf actividades de alto riesgo en Colombiaveronicayarpaz
 
variables-estadisticas. Presentación powerpoint
variables-estadisticas. Presentación powerpointvariables-estadisticas. Presentación powerpoint
variables-estadisticas. Presentación powerpointaria66611782972
 
Letra de cambio definición y características.ppt
Letra de cambio definición y características.pptLetra de cambio definición y características.ppt
Letra de cambio definición y características.pptssuserbdc329
 
data lista de ingresantes de la universidad de ucayali 2024.pdf
data lista de ingresantes de la universidad de ucayali 2024.pdfdata lista de ingresantes de la universidad de ucayali 2024.pdf
data lista de ingresantes de la universidad de ucayali 2024.pdfLizRamirez182254
 
diseño de una linea de produccion de jabon liquido.pptx
diseño de una linea de produccion de jabon liquido.pptxdiseño de una linea de produccion de jabon liquido.pptx
diseño de una linea de produccion de jabon liquido.pptxHhJhv
 
AMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docx
AMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docxAMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docx
AMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docxlm8322074
 
Perú en el ranking mundial, segun datos mineria
Perú en el ranking mundial, segun datos mineriaPerú en el ranking mundial, segun datos mineria
Perú en el ranking mundial, segun datos mineriaItalo838444
 
aine-2014.pdf/tipos de aines-clasificación
aine-2014.pdf/tipos de aines-clasificaciónaine-2014.pdf/tipos de aines-clasificación
aine-2014.pdf/tipos de aines-clasificaciónJhon Jimenez
 
MARCO TEORICO, SEMINARIO DE INVESTIGACION,
MARCO TEORICO, SEMINARIO DE INVESTIGACION,MARCO TEORICO, SEMINARIO DE INVESTIGACION,
MARCO TEORICO, SEMINARIO DE INVESTIGACION,EmmanuelDelJessGonza
 

Kürzlich hochgeladen (20)

procedimiento paran la planificación en los centros educativos tipo v(multig...
procedimiento paran la planificación en los centros educativos tipo v(multig...procedimiento paran la planificación en los centros educativos tipo v(multig...
procedimiento paran la planificación en los centros educativos tipo v(multig...
 
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptx
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptxP.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptx
P.P ANÁLISIS DE UN TEXTO BÍBLICO. TEMA 10.pptx
 
02 protocolo en caso de robo o asalto.pdf
02 protocolo en caso de robo o asalto.pdf02 protocolo en caso de robo o asalto.pdf
02 protocolo en caso de robo o asalto.pdf
 
Principales Retos Demográficos de Puerto Rico
Principales Retos Demográficos de Puerto RicoPrincipales Retos Demográficos de Puerto Rico
Principales Retos Demográficos de Puerto Rico
 
6.3 Hidrologia Geomorfologia Cuenca.pptx
6.3 Hidrologia Geomorfologia Cuenca.pptx6.3 Hidrologia Geomorfologia Cuenca.pptx
6.3 Hidrologia Geomorfologia Cuenca.pptx
 
Investigacion cualitativa y cuantitativa....pdf
Investigacion cualitativa y cuantitativa....pdfInvestigacion cualitativa y cuantitativa....pdf
Investigacion cualitativa y cuantitativa....pdf
 
Porcentaje de población blanca europea en Europa Occidental (1923-2024).pdf
Porcentaje de población blanca europea en Europa Occidental (1923-2024).pdfPorcentaje de población blanca europea en Europa Occidental (1923-2024).pdf
Porcentaje de población blanca europea en Europa Occidental (1923-2024).pdf
 
max-weber-principales-aportes de la sociologia (2).pptx
max-weber-principales-aportes de la sociologia (2).pptxmax-weber-principales-aportes de la sociologia (2).pptx
max-weber-principales-aportes de la sociologia (2).pptx
 
Análisis del Modo y Efecto de Fallas AMEF.ppt
Análisis del Modo y Efecto de Fallas AMEF.pptAnálisis del Modo y Efecto de Fallas AMEF.ppt
Análisis del Modo y Efecto de Fallas AMEF.ppt
 
Sistema Nacional de Vigilancia en Salud Pública SIVIGILA
Sistema Nacional de Vigilancia en Salud Pública SIVIGILASistema Nacional de Vigilancia en Salud Pública SIVIGILA
Sistema Nacional de Vigilancia en Salud Pública SIVIGILA
 
CUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptx
CUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptxCUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptx
CUADRO COMPARATIVO DE ARCHIVOS Y CARPETAS.pptx
 
decreto 2090 de 2003.pdf actividades de alto riesgo en Colombia
decreto 2090 de 2003.pdf actividades de alto riesgo en Colombiadecreto 2090 de 2003.pdf actividades de alto riesgo en Colombia
decreto 2090 de 2003.pdf actividades de alto riesgo en Colombia
 
variables-estadisticas. Presentación powerpoint
variables-estadisticas. Presentación powerpointvariables-estadisticas. Presentación powerpoint
variables-estadisticas. Presentación powerpoint
 
Letra de cambio definición y características.ppt
Letra de cambio definición y características.pptLetra de cambio definición y características.ppt
Letra de cambio definición y características.ppt
 
data lista de ingresantes de la universidad de ucayali 2024.pdf
data lista de ingresantes de la universidad de ucayali 2024.pdfdata lista de ingresantes de la universidad de ucayali 2024.pdf
data lista de ingresantes de la universidad de ucayali 2024.pdf
 
diseño de una linea de produccion de jabon liquido.pptx
diseño de una linea de produccion de jabon liquido.pptxdiseño de una linea de produccion de jabon liquido.pptx
diseño de una linea de produccion de jabon liquido.pptx
 
AMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docx
AMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docxAMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docx
AMNIOS Y CORDON UMBILICAL en el 3 embarazo (1).docx
 
Perú en el ranking mundial, segun datos mineria
Perú en el ranking mundial, segun datos mineriaPerú en el ranking mundial, segun datos mineria
Perú en el ranking mundial, segun datos mineria
 
aine-2014.pdf/tipos de aines-clasificación
aine-2014.pdf/tipos de aines-clasificaciónaine-2014.pdf/tipos de aines-clasificación
aine-2014.pdf/tipos de aines-clasificación
 
MARCO TEORICO, SEMINARIO DE INVESTIGACION,
MARCO TEORICO, SEMINARIO DE INVESTIGACION,MARCO TEORICO, SEMINARIO DE INVESTIGACION,
MARCO TEORICO, SEMINARIO DE INVESTIGACION,
 

PRESENTACION DEL PROYECTO.pdf

  • 1. PLAN DE ACTUALIZACION DE LA SEGURIDAD DE LA INFORMACION DEL SISTEMA ACADEMICO SIRINGUERO Ing. Ruddy Chao
  • 2. ¿Por qué preocuparse por la seguridad? Problemas comunes: •Destrucción de la información o datos. •Modificación o distorsión de información. •Robo, eliminación o pérdida de información. •La revelación de información. •La interrupción de los servicios.
  • 3. NATURALEZA DEL PROYECTO De acuerdo al instructivo Nro. 021/2020 Solicitud del Programa Operativo Anual Gestion 2021 de la dirección de Información Académica ACTUALIZACION DE LA SEGURIDAD DE LA INFORMACIÓN DEL SISTEMA ACADEMICO SIRINGUERO DE LA UAP COBIJA
  • 5. INTRODUCCIÓN  La D.I.A como toda institución y dirección que pertenece a la Universidad Amazónica de Pando se enfrenta a una serie de amenazas que ponen en riesgo de forma directa o indirecta los datos personales académicos de la información que se genera transmite y resguarda, así como los recursos tecnológicos con los que se desarrolla las actividades antes mencionadas.  Se considera al activo de información como un recurso de vital importancia,  Para el desarrollo del presente plan se consideró lineamientos de las la ISO/ICE 27000, 27001, 27002, así también se tomó en cuenta los Lineamientos para la elaboración e implementación Planes Institucionales de Seguridad de la Información Planes Institucionales de Seguridad de la Información de la AGETIC
  • 7. OBJETIVO GENERAL Elaborar un plan de proyecto sobre las medidas de seguridad de la información para la administración del Sistema Académico Siringuero dentro de la Dirección de Información Académica de la Universidad Amazónica de Pando.
  • 8. OBJETIVOS ESPECIFICO Analizar el contexto ac tual de seguridad de la información para la ad ministración del sistem a siringuero. ///////////////// Identificar los riesgos a lo s cuales está expuesto el sistema siringuero y todo s los activos de informaci ón que se relacionan con él ///////////////// Definir las medidas y dir ectrices de seguridad de información dentro de la Dirección de Informació n Académica, relacionad os a sistema siringuero, para precautelar la dispo nibilidad, integridad y co nfidencialidad del sistem a. ///////////////// Promover LA CULTURA de seguridad dentro de l a Dirección de Informaci ón académica y los adm inistradores del Sistema Académico Siringuero. /////////////////
  • 9. ALCANCES La seguridad de la información es un conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten reguardar y proteger la información Se basara en todo aquel activo de información que rodea el Sistema Académico Siringuero, con ello nos referimos, a políticas de seguridad, personas, dispositivos informáticos y el sistema de información Siringuero.
  • 10. ALGUNAS DEFINICIONES SECURITY Documento en el cual el servidor público y/o terceros se comprometen a respetar la confidencialidad de la información y a usarla solo para el fin que se estipule. Acuerdo de confidencialidad Permite identificar las debilidades en cuanto a controles de seguridad inexistentes o ineficaces. Se sugiere que la evaluación se realice por tipo de activo agrupado por similares características. Analisis de riesgo La palabra seguridad procede del latín securĭtas ātis que significa ' o 'conocimiento claro y seguro de algo’ SEGURIDAD Conocimientos o datos que tienen valor para la organización. Activos de información.
  • 11. Estructura básica de seguridad de información y seguridad informática
  • 12. SEGURIDAD DE LA INFORMACIÓN Es la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de escenarios, de las buenas prácticas y los esquemas normativos, que nos exigen niveles de aseguramiento de procesos y de tecnología para elevar el nivel de confianza en la creación, utilización, almacenaje, transmisión, recuperación y disposición final de la información". (ISOTools Excellence, 2017) 35% You can simply impress your audience and add a unique zing and appeal to your Presentations. Your Text Here 20% You can simply impress your audience and add a unique zing and appeal to your Presentations. Your Text Here Despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, SEGURIDAD INFORMATICA "La seguridad informática protege el sistema informático, tratando de asegurar la integridad y la privacidad de la información que contiene. Por lo tanto, podríamos decir, que se trata de implementar medidas técnicas que preservarán las infraestructuras y de comunicación que soportan la operación de una empresa, es decir, el hardware y el software empleados por la empresa". (ISOTools Excellence, 2017
  • 13. TRIADA DE LA SEGURIDAD DE LA INFORMACIÓN
  • 14. Requisitos de seguridad Análisis de riesgos considera los objetivos y estrategias de negocio de la organización, lo que resulta en la identificación de las vulnerabilidades y las amenazas a los activos Leyes vigente, estatutos, reglamentos y las cláusulas contractuales que deben cumplirse para la organización, sus socios, subcontratistas y proveedores
  • 15. Estado Inicial de la seguridad de la información En base a las buenas practicas de la ISO/IEC 27002 11 ITEMS
  • 16. Estado Inicial de la seguridad de la información Datos código DÍAUSADAT002 /2019 Reglamento de uso del siringuero Procedimientos Políticas de seguridad Actualmente tanto la Dirección como la Unidad de Sistemas Académicos, no cuenta de ninguna clasificación de activos in situ y si bien tiene políticas sobre el manejo de los activos, no cuenta con controles sobre el uso y manejo adecuado del mismo. Clasificación y control de activos Identificar y establecer medidas de control físicas para proteger adecuadamente los activos de información para evitar incidentes que afecten a la integridad física de la información o interferencias no deseadas Seguridad física y del entorno Existe lineamientos dentro de las políticas, donde los funcionarios tienen bien especificados su roles dentro de la organización , sin embargo estas políticas hay que actualizarlas Aspecto Organizativo De La Seguridad De La Información Independientemente del contrato no cuenta con algún procedimiento de vinculación desvinculación del funcionario a la Dirección de Información Académica. Seguridad de los recursos humanos De la DIA, entorno a Sistema Académico Siringuero
  • 17. Estado Inicial de la seguridad de la información Es necesario proteger los datos de información en el caso de que algún intruso pueda tener acceso físico a la información Criptografía Las comunicaciones de la Dirección se realizan a través de la Red la interna, a la misma se conectan la unidad de trámites, registros, archivo y cajas. Así también los clientes externos tienen acceso mediante servicio de internet. Seguridad de las Comunicaciones Actualmente no se cuenta con ningún tipo de contrato externo para el desarrollo de sistemas, módulos o aplicaciones Relación con proveedores Seguridad de operaciones Si bien hay procedimientos específicos de desarrollo, mantenimiento y prueba de los módulos de los sistemas, no se da un hincapié total a las pruebas de seguridad de los módulos realizado. Adquisición, Desarrollo Y Mantenimiento De Los Sistemas De Información Los procedimientos documentados de operación están escuetamente plasmados dentro de las políticas de seguridad de información, sin embargo hace falta formularios que contenga información precisa de cada una de las operaciones que se hacen para el manejo de la información. De la DIA, entorno a Sistema Académico Siringuero
  • 18. Estado Inicial de la seguridad de la información Detectar, informar y evaluar incidentes de la Seguridad de la información Responder a incidentes Reportar vulnerabilidades Aprender de los incidentes de la Seguridad de la información. Gestión de incidentes de la seguridad de la información Example Text : Get a modern PowerPoint Presentation that is beautifully designed. Your Text CONTINUIDAD DE NEGOCIO Para reducir los niveles de interrupción de negocio causada por desastres y fallas en la seguridad, es importante para esta parte realizar un análisis de riesgos. De la DIA, entorno a Sistema Académico Siringuero
  • 19. EVALUACIÓN ACTUAL EN BASE PLAN DE IMPLEMENTACIÓN DE SEGURIDAD DE LA INFORMACIÓN (PISI) DE LA AGETIC Consta de 11 items 4 CRITICAS Se basa en la no interrupción de los servicios que provee la dirección ya sea por cuestiones físicas o ambientales. Actualmente no cuenta con un plan de contingencia o algún procedimiento en caso de algún incidente. Plan de contingencias tecnológicas Seguridad física y ambiental Implementar controles de conexión, autenticación y cifrado para los servicios de red. Implementar controles de seguridad perimetral que protejan la red ante posibles intrusiones. Se deberán implementar reglas de control de salida y registro según corresponda. Seguridad de las comunicaciones ACTUALIZACION DE LOS PROCEDIMIENTOS ACTUALES DE REACCIÓN FRENTE A INCIDENTES DE SEGURIDAD. IMPLANTACIÓN DE UN SERVIDOR DE LOG Y FIREWALL. Gestión de incidentes de seguridad de la información Una de los controles mas críticos puesto que las copias de seguridad se lo hacen en formato normal y no se encriptan. Los datos que se transmiten por la red se las hace en texto plano. Criptografía
  • 20. RESULTADO DE EVALUACIÓN DE CONTROLES CONTROLES ESPECÍFICOS Implementados Total de controles Seguridad en recursos humanos 1 18 Gestión de activos de información 5 37 Control de accesos 8 42 Criptografía 0 7 Seguridad física y ambiental 6 52 Seguridad de las operaciones 4 19 Seguridad de las comunicaciones 2 44 Desarrollo, mantenimiento y adquisición de sistemas 3 49 Gestión de incidentes de seguridad de la información 0 13 Plan de contingencias tecnológicas 0 11 Cumplimiento 0 15
  • 21. RESULTADO DE EVALUACIÓN DE CONTROLES Dentro de la Dirección de información académica 1 5 8 0 6 4 2 3 0 0 0 18 37 42 7 52 19 44 49 13 11 15 0 10 20 30 40 50 60 Implementados Total de controles
  • 22. En esta fase se evaluá todos los activos (Personas, Hardware, Software, Información digital, Información impresa, Servicios, etc.) Que se encuentran relacionados con la Unidad de sistemas académicos y demás unidades que están dentro de la dirección de información académica ANÁLISIS DE RIESGO  MAGERIT  Valoración de activos  Inventario de y valoración de los activos de información  Análisis de amenazas, vulnerabilidad riesgos y salvaguardas
  • 23. CLASIFICACIÓN DE ACTIVOS Content Here VALORACIÓN DE ACTIVOS [P]Personas [L]Instalaciones [SW]Software Aplicaciones informáticas [HW]Equipamiento informático (hardware) [COM]Redes de comunicación [Media]Soportes de información [AUX]Equipamiento auxiliar [COM]Redes de comunicación [Media]Soportes de información [AUX]Equipamiento auxiliar [D]Datos/Información [S] Servicios Muy bajo 1 Bajo 2 Medio 3 Alto 4 Muy Alto 5
  • 24. A C T I V O S D E INFORMACIÓN We Create Quality Professional PPT Presentation You can simply impress your audience and add a unique zing and appeal to your Presentations. Get a modern PowerPoint Presentation that is beautifully designed. Easy to change colors, photos and Text. I hope and I believe that this Template will your Time, Money and Reputation. Easy to change colors, photos and Text.
  • 25. Análisis de amenazas, vulnerabilidad riesgos y salvaguardas Internet Desastres Naturales De origen industrial Clasificación de amenazas Errores y fallos no intencionados Ataques Intencionados DIA
  • 26.
  • 27. Selección de 9 dominios relacionados a la seguridad de la información, La identificación de los controles a implementar para poder mitigar las vulnerabilidades dentro del Sistema Siringuero, los mismos que tiene por objeto resguardar la confidencialidad, integridad, y disponibilidad de la información. Selección mínimos de controles De seguridad de la información del Sistema Académico Siringuero SEGUN AGETIC
  • 28. Selección de Controles mínimos de seguridad de la información Control de de accesos Criptografía Seguridad física y ambiental Seguridad de las operaciones Seguridad de las comunicaciones Desarrollo, mantenimiento y adquisición de sistemas Gestión de incidentes
  • 29. Administración de accesos  Se deberán establecer los requisitos de autorización para la creación y asignación de roles y privilegios de una cuenta.  Se deberán actualizar los procesos/procedimientos que reflejen el flujo de actividades a seguir, responsables, tiempos, quién autoriza, quién es consultado, quién es informado, quién es responsable de la cuenta de acceso y la forma y medio de entrega de las credenciales. Se deberá tomar en cuenta el criterio de menor privilegio.  Se deberá establecer el flujo de actividades a seguir para la revisión y cancelación de accesos al momento de la desvinculación laboral.  Elaborar procesos/procedimientos especiales para el acceso a servicios privilegiados como bases de datos, sistemas operativos y aplicaciones de administración.  Implementar técnicas seguras Para fortalecer la información de autenticación. Control de accesos Criptografía Control de acceso a redes y servicios de red  Monitorear los accesos de la red inalámbrica.  Implementar controles de acceso a los servicios Controles criptográficos Elaborar e implementar un reglamento sobre el uso de criptografía para la protección de la información. Definir la fortaleza y la calidad del algoritmo de cifrado de acuerdo al tipo y criticidad de la información. Utilizar cifrado para proteger la información en medios de almacenamiento, transferencia de archivos, información transmitida por redes de comunicación y otros que se considere necesario. Utilizar firma digital para asegurar la autenticidad e integridad de la información. Elaborar o actualizar un proceso/procedimiento para la administración de claves, que considere: la generación, distribución, almacenamiento, cambio o actualización, recuperación, respaldo, destrucción y otras que se considere necesario. Controles mínimos de seguridad de la información 1 2
  • 30. Seguridad física y ambiental Asegurar áreas e instalaciones donde se genere, procese o transmita o almacene información, con el objetivo de prevenir accesos no autorizados que comprometan la seguridad de la información. Controles Seguridad del equipamiento Proteger el equipamiento interno y externo de la entidad para prevenir el daño, perdida, o compromiso de los mismo. (compra de equipos informáticos). Implementar controles para minimizar el impacto ocasionado por condiciones ambientales, incendios, inundaciones, polvo, vibraciones, interferencias eléctricas y S.F en e. C.P.D Proceso formal para el acceso, mantenimiento, supervisión. Implementar dispositivos de enfriamiento y extracción de aire. Implementar cableado estructurado. Controles mínimos de seguridad de la información Supervisión de I/O Escritorio Limpio 3
  • 31. Garantizar y asegurar que las actividades operacionales en instalaciones de procesamiento de información se realicen de forma correcta. Identificar los recursos críticos e indispensables para las operaciones. Se deberán revisar y eliminar los datos obsoletos almacenados. - Se deberá sacar de servicio a las aplicaciones, sistemas, bases de datos o entornos en desuso y/o obsoletos. GESTIÓN DE LA CAPACIDAD Seguridad de las operaciones Realizar registros que contenga al menos la información de:  Quien autoriza los cambios  Quien realiza los cambios  Fecha  Descripción de las tareas  Validación del cambio  Otros Información crítica y/o estratégica se deberán almacenar los respaldos en múltiples medios de acuerdo a requerimiento. La información confidencial, estas deben estar protegidas con el uso de técnicas criptográficas. RESPALDOS Controles mínimos de seguridad de la información Realizar actividades de formación y concienciación sobre los procedimientos sobre el tratamiento de la información y su cuidado o segurida 4
  • 32. Seguridad de las comunicaciones 01 Elaborar y actualizar periódicamente los diagramas de red y documentar la arquitectura de la red. Restringir el ancho de banda para recursos de alto consumo acorde al puesto laboral 02 Implementar y documentar reglas de acceso y salida en los dispositivos de seguridad. Se deberá monitorear regularmente la actividad en las redes de datos. Implementar, cuando se vea necesario, parámetros técnicos de encriptación para conexiones seguras y reglas de seguridad. 03 Implementar redes redes locales virtuales (VLAN). Y una segmentación de la red . Seguridad en la red perimetral Segmentación de la red Asegurar la protección de la información en redes y la protección de la infraestructura de soporte Gestión de la red 5
  • 33. 6 Controles mínimos de seguridad de la información
  • 34. 01 02 03 04 Gestion de incidentes El documento de reporte de incidentes y vulnerabilidades deberá ser socializado a los servidores públicos para que los mismos conozcan los medios de reporte. Se deberá llevar una bitácora de eventos para el análisis posterior sobre los costos asociados al incidente y sobre los cuales se deben implementar soluciones a corto, mediano y largo plazo para reducir la probabilidad de ocurrencia futura Elaborar y/o actualizar procedimientos de gestión de incidentes de seguridad de la información, los mismos deben establecer roles, responsabilidades informar, evaluar y responder sobre eventos de seguridad.. El RSI (responsable de seguridad de información) deberá identificar el incidente para registrar el mismo, el tratamiento que se le dio y/o escalamiento 6 Controles mínimos de seguridad de la información
  • 35. Procesos y/o documentos a implementar o actualizar Actualización de los procedimientos de asignación de contraseñas y dado de baja a los diferentes usuarios. Elaboración de acuerdo de confidencialidad del Usuario con la Dirección de Información Académica mediate la Unidad de Sistemas Académicos. Elaboración de un procedimiento y reglamentación de acceso al Centro de Procesamiento de Datos. Implementación de un formulario de monitoreo constante de los activos de información(licencia, soporte, y nuevas vulnerabilidades) Implementación de procedimiento de análisis de vulnerabilidades a los sistemas y servidores a través del Etickal Haking. Elaborar e implementar un reglamento sobre el uso de criptografía para la protección de la información Se deberá elaborar procesos y/o procedimientos de gestión de incidentes de seguridad de la información, los mismos deben establecer roles, responsabilidades informar, evaluar y responder sobre eventos de seguridad.. Get a modern PowerPoint Presentation that is beautifully designed. Contents Here
  • 36. GRACIAS Si tu empresa gasta más en café que en seguridad TI, serás hackeado. Es más, merecerás ser hackeado. El único sistema completamente seguro es aquel que está apagado, encerrado en un bloque de cemento y sellado en una habitación rodeada de alambradas y guardias armados.