Contenido
Semana 01
Principios de seguridad
Modelo de madurez de seguridad de informacin
Semana 09
Arquitectura de seguridad de la informacin
Controles fsicos y ambientales
Semana 02
Gobierno de seguridad de informacin
Semana 10
Gestin de amenazas y vulnerabilidades
Semana 03
Sistema de Gestin de Seguridad de Informacin
(SGSI)
Semana 11
Gestin de identidades y accesos
Semana 04
Concientizacin de la seguridad
Semana 12
Seguridad de telecomunicaciones y redes
Semana 05
Gestin de riesgos de seguridad de informacin
Semana 13
Seguridad de software
Semana 06
Gestin y respuesta a incidentes
Semana 14
Proteccin y privacidad de la informacin
Semana 07
Gestin de continuidad del negocio
Semana 15
Examen final
Semana 08
Evaluacin parcial
Semana 16
Trabajo final
Luis Otake
�Principios de Seguridad
Semana 01
Luis Otake
�El perfil ms cotizado
Luis Otake
�La sobrecarga de informacin
Luis Otake
�Contenido
Principios de seguridad:
La informacin. Caractersticas de la informacin til.
Seguridad informtica vs. seguridad de informacin
Evolucin de la seguridad de informacin
Consecuencias de la falta de seguridad
Principio de defensa en profundidad
El mbito de la seguridad de informacin
Modelo de madurez de la Seguridad de la Informacin
Cyber Program Management (CPM)
Niveles de madurez
Dominios
Luis Otake
�La sociedad de la informacin
Luis Otake
�La informacin
0 Las personas la necesitan.
0 Es esencial para resolver problemas y tomar de
decisiones.
0 No siempre es til.
0 Debe ser relevante, completa, precisa y actual.
0 Es la sangre de cualquier organizacin.
Luis Otake
�Datos vs. Informacin
0 Datos
0 Materia prima en la produccin de
informacin
0 Informacin
0 Hechos o conclusiones que tienen
un significado dentro de un
contexto.
0 Los datos se manipulan mediante
la formacin de tablas, suma, resta,
divisin o cualquier otra operacin
que permita comprender mejor
una situacin.
0 En ocasiones, los datos en un
contexto se consideran
informacin en otro contexto.
Luis Otake
Entrada
Datos
Proceso
Salida
Informacin
�Caractersticas de la
informacin til
Relevante
Completa
Precisa
Luis Otake
Actual
Econmica
10
�El valor de la informacin
Luis Otake
11
�Seguridad Informtica (IT
Security)
0 cualquier medida que impida la ejecucin de
operaciones no autorizadas sobre un sistema o red
informtica, cuyos efectos puedan conllevar daos
sobre la informacin, comprometer su
confidencialidad, autenticidad o integridad,
disminuir el rendimiento de los equipos o bloquear el
acceso de usuarios autorizados al sistema (Gmez
2011).
Luis Otake
12
�Seguridad Informtica (IT
Security)
0 Se enfoca en la tecnologa y la provisin de asegurar
los servicios de TI.
0 Conocida tambin como Cibersecurity.
0 Es generalmente llevada a cabo a nivel del CIO.
Luis Otake
13
�Seguridad de la Informacin
(Information Security)
0 Medidas adoptadas para evitar el uso no autorizado, el
0
0
0
0
mal uso, la modificacin o la denegacin del uso de
conocimiento, hechos, datos o capacidades.
Preservacin de la confidencialidad, integridad y
disponibilidad de la informacin.
(http://www.iso27000.es/glosario.html)
La seguridad de la informacin no garantiza la seguridad
de su organizacin, de su informacin o de sus sistemas de
cmputo. (Maiwald, 2003)
busca ofrecer una vista holstica de su relacin con
procesos, personas y tecnologas. (Cano, 2011)
La informacin puede encontrarse en diferentes medios o
formas, y no solo en medios informticos.
Luis Otake
14
�Information Security vs. IT
Security
http://www.seguridadparatodos.es/2011/10/seguridad-informatica-o-seguridad-de-la.html
Luis Otake
15
�Seguridad de la informacin
vs. Ciberseguridad
Luis Otake
16
�El contexto de la seguridad de
informacin
(Gelbstein, 2012)
Luis Otake
17
�Evolucin de la Seguridad de
Informacin
Luis Otake
18
�Cul es el eslabn ms dbil
de la seguridad?
Luis Otake
19
�Consecuencias de la falta de
seguridad
Luis Otake
20
�Consecuencias de la falta de
seguridad
0 Algunas cuestiones:
0 qu puede ir mal?
0 con qu frecuencia puede ocurrir?
0 cules seran sus consecuencias para la organizacin?
Luis Otake
21
�Consecuencias de la falta de
seguridad
0 El objetivo es lograr que un ataque contra los
recursos o la informacin protegida tenga un coste
superior para el atacante que el valor en el mercado
de estos bienes. (Gmez, 2011)
Luis Otake
22
�Consecuencias de la falta de
seguridad
0 Horas de trabajo invertidas en reparaciones y
0
0
0
0
0
0
0
reconfiguracin.
Prdidas por indisponibilidad, costo de oportunidad por
no poder utilizar los recursos.
Robo de informacin confidencial.
Filtracin de datos personales (LPDP).
Impacto en la imagen de la empresa (credibilidad,
reputacin, confianza).
Retrasos en los procesos de negocio.
Daos a la salud, prdidas de vidas humanas.
Pago de indemnizaciones por daos y perjuicios a terceros.
Luis Otake
23
�Principio de Defensa en
Profundidad
E
A. Encriptacin de
datos sensibles
B. Gestin de usuarios
C. Configuracin
robusta de equipos
D. Separacin de redes
(segmentacin de
LAN, creacin de
VLAN)
E. Seguridad
perimetral
D
C
B
A
Adaptado de Gomez (2011)
Luis Otake
24
�El mbito de la seguridad de
informacin
Aplica tambin para las pequeas y
medianas empresas?
Luis Otake
25
�Modelo de Madurez de la
Seguridad de Informacin
0 EYs Cyber Program Management (CPM) Framework
0 Niveles de madurez
0 Dominios
Luis Otake
26
�EYs Cyber Program
Management (CPM) Framework
0 Es un framework para los procesos, personas y tecnologa
0
0
0
que una organizacin utiliza para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar un programa
de seguridad dentro del contexto de los objetivos y
actividades de negocio de toda la organizacin.
Enfoque holstico.
Se basa en un anlisis significativo de cmo la seguridad de
informacin da forma y encaja dentro de una estructura de
gestin de riesgos a nivel de toda la organizacin.
Se enfoca en las prioridades estratgicas de la organizacin y en
los objetivos del negocio.
Evala objetivamente cualquier programa de seguridad de la
organizacin.
Luis Otake
27
�EYs Cyber Program
Management (CPM) Framework
Luis Otake
28
�Utilidad de CPM
0 Comprensin de la exposicin al riesgo de la organizacin.
0 Evaluacin de la madurez del programa de seguridad
ciberntica actual y la identificacin de reas de mejora.
0 Construccin de una hoja de ruta priorizada para las
inversiones en proyectos e iniciativas de cambio
organizacional.
0 Recopilacin de informacin para crear ndices de
referencia con otras organizaciones
0 Validacin de que las inversiones en seguridad han
mejorado su nivel de seguridad
Luis Otake
29
�CPM ayuda en el balance de
costo, riesgo y valor
Luis Otake
30
�Niveles de madurez
Nivel Nombre
Descripcin
No existente
Los procesos no existen.
Inicial / Ad-hoc
Los procesos son ad-hoc y desorganizados.
Repetible
Los procesos siguen un patrn regular.
Definido
Los procesos son consistentes, documentados y
comunicados.
Administrado
Los procesos son integrados, monitoreados y
medidos.
Optimizado
Los procesos son monitoreados, medidos y
automatizados.
Luis Otake
31
�Dominios de la Gestin de la
Seguridad de Informacin
Estrategia
Gobierno y
organizacin
Polticas y
estndares
Arquitectura
Operaciones
Concientizacin
de la seguridad
Gestin de
identidades y
accesos
Amenazas y
vulnerabilidades
Gestin de
terceros
Monitoreo de la
seguridad
Gestin de
activos de TI
Seguridad de
software
Seguridad a
nivel de host
Respuesta a
incidentes
Seguridad de
redes
Proteccin de
datos
Infraestructura
de datos
Mtricas y
reportes
Luis Otake
32
�Descripcin de los dominios
Estrategia
Establece la direccin general y el alcance de la funcin de seguridad, para su alineacin
con los objetivos de negocio, de manera que se cumplan las prioridades estratgicas.
Gobierno y
organizacin
Cubre la estructura del programa de seguridad de informacin.
Polticas y
estndares
Abarca el desarrollo formal, documentacin, revisin y aprobacin de las polticas,
estndares, y directrices, que define requerimientos, procesos y controles.
Arquitectura
Rene los requerimientos de negocio con las soluciones tecnolgicas, incluyendo la
seleccin de componentes e implementacin.
Operaciones
Incluye backups y recovery, servicios de recuperacin de desastres, gestin de
continuidad de negocio, seguridad fsica y del entorno.
Concientizacin
de la seguridad
Incluye a todo el personal de la organizacin (empleados, contratistas y proveedores),
dando especial atencin a los empleados con responsabilidades de seguridad
(desarrolladores, service desk, guardias de seguridad fsica, etc.)
Luis Otake
33
�Descripcin de los dominios
Gestin de
identidades y
accesos
Incluye procesos asociados con la gestin de ciclo de vida completo de identidades
digitales y perfiles para las personas, procesos y tecnologa.
Amenazas y
vulnerabilidades
Describe los enfoques programticos de una organizacin para predecir amenazas,
identificar y remediar vulnerabilidades, detectar y responder a ataques, y
estratgicamente desarrollar contramedidas.
Gestin de terceros
Incluye los procesos de gestin de terceros, y la transferencia e intercambio, o
almacenamiento de informacin por terceros.
Monitoreo de la
seguridad
Abarca las capacidades de captura y monitoreo exitoso de logs desde dispositivo de
redes, hosts, archivos, base de datos, y acceso de usuarios privilegiados.
Gestin de activos
de TI
Abarca la infraestructura y procesos necesarios para la gestin efectiva, control y
proteccin de los recursos de HW y SW.
Seguridad de
software
Se enfoca en el desarrollo de SW y los roles de seguridad de informacin en dicho
desarrollo. Incluye desarrollo interno y externo.
Luis Otake
34
�Descripcin de los dominios
Seguridad a
nivel de host
Cubre los mecanismos y controles de proteccin a nivel de host. Incluye anti-virus, encriptacin de disco,
proteccin de malware, control de acceso a HW, y gestin de parches.
Respuesta a
incidentes
Cubre la funcin formal para reportar y responder a incidentes que podran impactar negativamente a los
activos de la organizacin, recursos, operaciones, reputacin, posicin financiera, capital intelectual, o
informacin confidencial.
Seguridad de
redes
Captura las polticas, procesos, herramientas, y tecnologas utilizadas para mantener la seguridad a nivel
de red. Incluye gestin de accesos, gestin de vulnerabilidades, identificacin y notificacin de incidentes,
configuracin de dispositivos y gestin de parches, y arquitectura de redes.
Proteccin de
datos
Incluye la proteccin de la propiedad intelectual, datos de clientes, datos transaccionales, datos privados,
as como datos sensitivos.
Infraestructura
de datos
Abarca los repositorios de datos, warehouses, y sistemas que soportan una funcin clsica de BI dentro de
las operaciones de seguridad.
Mtricas y
reportes
Incluye el anlisis de las metas de seguridad de informacin, y define mtodos repetibles de medicin para
mostrar efectividad o progreso en el cumplimiento de las metas deseadas.
Luis Otake
35
�Programa de Seguridad de la
Informacin
0 Define los objetivos de seguridad de la organizacin, as como los
0
0
0
0
mtodos y actividades que la organizacin usar para cumplir esos
objetivos.
Consiste de mltiples proyectos y actividades para implementar
una estrategia de seguridad de informacin.
Consiste en disear e implementar controles de seguridad
adecuados, y administrar y gestionar esos controles a travs de toda
la organizacin.
Debe estar alineado y soportado por objetivos del negocio.
Importancia:
0 El uso incremental de los medios electrnicos hace la
informacin de la organizacin vulnerable a ataques.
0 Responsable:
0 Gerente de Seguridad de Informacin
Luis Otake
36
�Actividades
0 Formacin de grupos de trabajo
0 Explicacin del proyecto final
0 Diagnstico
0 Propuesta de solucin
Luis Otake
37
�Gobierno de Seguridad de la
Informacin
Semana 02
Luis Otake
38
�Contenido
0
0
0
0
0
0
0
0
0
0
0
Visin general
Importancia
Propsito
Resultados bsicos
Responsables
Metas y objetivos de negocio
Componentes
Aspectos que dificultan el GSI
GRC
Modelo de negocios para la seguridad de la informacin (BMIS)
Conceptos de seguridad de la informacin
Luis Otake
39
�Visin general
Parte integral y transparente del gobierno de la
empresa.
Debe complementar o incluir el marco de gobierno de
TI.
Es cada vez ms crtico a medida que crece la
dependencia de la informacin.
Protege los activos de informacin.
Luis Otake
40
�Importancia
0 Responsabilidad civil o legal por imprecisiones en la informacin o ausencia
0
0
0
0
0
0
0
0
0
del debido cuidado para protegerla.
Confianza en el cumplimiento de polticas.
Mayor previsibilidad y menor incertidumbre por reduccin de riesgos a
niveles definibles y aceptables.
Optimiza asignaciones de recursos de seguridad.
Decisiones crticas no se basan en informacin defectuosa.
Fundamento slido para gestin de riesgos y mejora de procesos y respuesta
a incidentes.
Mayor confianza con socios comerciales y clientes.
Protege reputacin de la organizacin.
Nuevas y mejores formas de procesamiento electrnico.
Establece responsabilidad para proteger la informacin durante actividades
crticas del negocio (fusiones, restauracin de procesos, regulaciones)
Luis Otake
41
�Propsito del Gobierno de
Seguridad de la Informacin
0 Evaluar, dirigir y monitorear la seguridad de la
informacin para:
0 Garantizar que se cumplan las necesidades del negocio
0 Fortalecer el aseguramiento de la informacin
0 Asegurar los riesgos de la informacin han identificado
los propietarios
0 Reducir el riesgo de incumplimiento
0 Reducir el riesgo de litigios
0 Lograr confidencialidad, integridad y disponibilidad
(CIA) sostenible
(Gelbstein, 2012)
Luis Otake
42
�Resultados bsicos de un
gobierno efectivo de seguridad
Alineacin
estratgica
Gestin de
riesgos
Entrega de
valor
Gestin de
recursos
Medicin de
desempeo
Integracin
Luis Otake
43
�Responsables del GSI
Consejo de
direccin
Executive Committee
Direccin ejecutiva
Chief Executive
Officer
Luis Otake
44
�Responsabilidades gerenciales
de la seguridad de informacin
Consejo de
Direccin
Direccin
Ejecutiva (CEO)
Debe estar activamente involucrado.
Debe implementar el GSI.
Comit
Directivo
Necesita asegurar el involucramiento de todos los
stakeholders influenciados por las consideraciones de
seguridad.
CISO
Debe disear y desarrollar la estrategia de seguridad
de informacin.
Luis Otake
45
�CISO
Chief Information Security Officer: Director de
Seguridad de Informacin
Puede ser asumido por:
Chief Information Officer (CIO)
Chief Security Officer (CSO)
Chief Financial Officer (CFO)
Chief Executive Officer (CEO)
Luis Otake
46
�Pesadillas de un CISO
Luis Otake
47
�Metas y objetivos del negocio
0 La Seguridad de
Informacin debe
apoyar las actividades
de negocio para que sea
de valor para la
organizacin.
0 El GSI es un subconjunto
del Gobierno
Corporativo.
Luis Otake
Gobierno
Corporativo
Gobierno de
Seguridad de
Informacin
48
�Componentes generales del
marco de trabajo de GSI
Estrategia
integral de
seguridad
Polticas de
gobierno de
seguridad
Estructura
organizacional de
seguridad
Luis Otake
Estndares
(procedimientos
y directrices)
para cada poltica
Mtricas y
proceso de
monitoreo
49
�Relacin de los componentes
de gobierno
Luis Otake
50
�Estrategia de Seguridad de
Informacin
0 Una estrategia de seguridad de la informacin
proporciona una solucin completa para cubrir la
organizacin, tales como sus procesos y tecnologa.
0 Dichas soluciones deben ser estandarizadas,
estructuradas, formalizadas, y fcilmente accesibles.
0 La seguridad de la informacin no es un evento, sino
un proceso que necesita mejoramiento constante.
Luis Otake
51
�Funciones de aseguramiento
0 Una estructura efectiva de GSI ayuda a integrar las
funciones de aseguramiento significativas para
asegurarse que los procesos de seguridad de
informacin trabajen segn lo esperado.
0 Ejemplos de funciones de aseguramiento:
0 Auditoras internas y externas
0 Aseguramiento de la calidad
0 Seguridad de TI
0 Departamento legal
Luis Otake
52
�GRC
0 Una organizacin puede integrar sus procesos clave
de negocio mediante el uso de GRC (Governance, Risk,
y Compliance).
0 El gobierno debe ser establecido antes de
implementar la gestin de riesgos y forzar el
cumplimiento para una efectiva seguridad de
informacin.
0 La seguridad de informacin hace uso de:
0 GRC
0 Teora de sistemas
Luis Otake
53
�Governance
0 Es responsabilidad de la alta direccin ejecutiva y se
concentra en crear los mecanismos que una
organizacin utiliza para garantizar que el personal
siga polticas y procesos establecidos.
Luis Otake
54
�Risk Management
0 Proceso que sigue una organizacin para establecer
tolerancia a riesgos, identificar riesgos potenciales y
sus impactos asociados, y priorizar la mitigacin de
estos basndose en los objetivos de negocio y la
tolerancia a riesgos de la organizacin.
0 Desarrolla e implementa controles internos para
gestionar y mitigar riesgos.
Luis Otake
55
�Compliance
0 Proceso que registra y monitorea las polticas,
procedimientos y controles necesarios para
garantizar que las polticas y los estndares se
adhieran a l.
Luis Otake
56
�Aspectos que dificultan el GSI
(Gelbstein, 2012)
Luis Otake
57
�Modelo de negocios para la
seguridad de informacin
Luis Otake
58
�Modelo de negocio de
seguridad de informacin
Luis Otake
59
�Caractersticas de BMIS
0 Enfoque orientado al negocio
0 Enfoque sistmico
0 Interconexiones dinmicas entre sus elementos
0 Proporciona el contexto para otros marcos de trabajo
(COBIT)
Luis Otake
60
�Elementos de BMIS
Diseo y
estrategia de
la
organizacin
Personas
Procesos
Tecnologa
Luis Otake
61
�Diseo y estrategia de la
organizacin
0 Organizacin es una red de personas, activos y procesos
interactuando entre s.
0 Estrategia
0 Especifica metas, objetivos, valores y misiones.
0 Frmula de la empresa para el xito y establece su direccin
bsica.
0 Se debe adaptar a los factores internos y externos.
0 Recursos
0 Sirven para disear la estrategia
0 Pueden ser: personas, equipos, conocimientos tcnicos
0 El diseo define la manera en que la organizacin implementa su
estrategia.
Luis Otake
62
�Personas
0 Define quin implementa (siguiendo el diseo) cada parte
de la estrategia.
0 El CISO debe trabajar con los departamentos de RRHH y
legal:
0 Estrategias de reclutamiento (pe. acceso, verificaciones de
antecedentes, entrevistas, roles y responsabilidades)
0 Aspectos relacionados con el empleo (pe. ubicacin de la
oficina, acceso a herramientas y datos, capacitacin y
concientizacin, movimiento dentro de la empresa)
0 Trmino de relaciones laborales (pe. razones de
desvinculacin, momento de la salida, roles y
responsabilidades, acceso a los sistemas)
0 Incluye clientes, proveedores, medios y partes interesadas.
Luis Otake
63
�Procesos
0 Incluye mecanismos formales e informales para realizar
tareas y proporciona un vnculo vital con todas las
interconexiones dinmicas.
0 Son resultado de la estrategia.
0 Implementan la parte operacional de la organizacin.
0 Deben:
0 Satisfacer los requerimientos de negocio y estar alineados con
la poltica.
0 Considerar situaciones emergentes y adaptarse a
requerimientos cambiantes.
0 Estar documentados y ser comunicados de forma adecuada a
las personas apropiadas.
0 Ser revisados peridicamente.
Luis Otake
64
�Tecnologa
0 Herramientas, aplicaciones e infraestructura que
incrementan la eficiencia de los procesos.
0 Si bien los controles tcnicos mitigan ciertos
riesgos, no debe verse como una solucin de
seguridad de informacin.
0 Muchas personas intentarn burlar los controles
tcnicos.
Luis Otake
65
�Interconexiones dinmicas
Gobierno
Cultura
Habilitacin
y soporte
Surgimiento
Factores
humanos
Arquitectura
Luis Otake
66
�Gobierno
0 Da direccin a la empresa y exige liderazgo
estratgico.
0 Se encarga de:
0 asegurar que se determinen y definan los objetivos
0 garantizar que los riesgos se gestionen adecuadamente
0 verificar que los recursos de la empresa se utilicen con
responsabilidad
Luis Otake
67
�Cultura
0 Un patrn de conductas, convicciones, supuestos, actitudes
y manera de hacer las cosas.
0 Importancia:
0 Determina en gran medida cul informacin se considera,
cmo se interpreta esa informacin y qu se har con ella.
0 Niveles:
0 Nacional (legislacin/regulaciones, poltica y tradiciones)
0 Organizacional (polticas, estilo jerrquico y expectativas)
0 Social (familia, etiqueta)
Luis Otake
68
�Habilitacin y soporte
0 Conecta el elemento tecnologa al elemento proceso.
0 Hace que los procesos sean prcticos y fciles de usar.
Luis Otake
69
�Surgimiento
0 Se refiere a los patrones que surgen en la vida de la
empresa que parecen no tener una causa obvia y
cuyos resultados parecen imposibles de predecir y
controlar.
0 Es un espacio para introducir posibles soluciones.
Luis Otake
70
�Factores humanos
0 Si las personas no entienden cmo utilizar la tecnologa, no
aceptan la tecnologa o no siguen las polticas pertinentes,
pueden surgir graves problemas de seguridad.
0 Asociado a amenazas internas:
0 Fuga de datos
0 Robo de datos
0 Uso indebido de datos
0 Incluye:
0 Edad
0 Nivel de experiencia
0 Experiencias culturales
Luis Otake
71
�Arquitectura
0 Encapsulacin completa y formal de personas,
procesos, polticas y tecnologa.
0 La empresa puede asegurar la defensa en
profundidad.
0 Describe cmo se posicionan los controles de
seguridad y cmo se relacionan con la arquitectura
general de TI.
0 Permite a las empresas ser proactivas con las
decisiones de inversin en seguridad.
Luis Otake
72
�Conceptos de seguridad de
informacin (I)
Control de acceso
Arquitectura
Ataques
Procesos, reglas y mecanismos de implementacin que
controlan el acceso a sistemas de informacin,
recursos y acceso fsico a las instalaciones.
Diseo de la estructura y las relaciones de sus
elementos.
Tipos y naturaleza de inestabilidades de seguridad.
Auditabilidad
Nivel en el cual se puede hacer seguimiento a
transacciones y auditarlas a travs de un sistema.
Autenticacin
Acto de verificar la identidad y elegibilidad de un
usuario para tener acceso a informacin
computarizada.
Autorizacin
Acceso permitido a recursos para realizar acciones
aprobadas.
Luis Otake
73
�Conceptos de seguridad de
informacin (II)
Disponibilidad
Capacidad de tener acceso a y de utilizar la
informacin cuando se requiera.
Anlisis de
dependencia del
negocio
Grado al cual el negocio depende de un recurso.
Anlisis de
impacto al negocio
Evaluar los resultados y las consecuencias de la
inestabilidad.
Confidencialidad
Controles
Contramedidas
La proteccin de informacin privada o sensible contra
divulgacin no autorizada.
Cualquier accin o proceso que se utiliza para mitigar
el riesgo.
Cualquier accin o proceso que reduce la
vulnerabilidad.
Luis Otake
74
�Conceptos de seguridad de
informacin (III)
Criticidad
Clasificacin de
datos
Exposiciones
Anlisis
preferencial
Gobierno
Identificacin
Importancia que tiene un recurso para el negocio.
El proceso de determinar la sensibilidad y
criticidad de la informacin.
reas que son vulnerables a impacto por parte de
una amenaza.
Diferencia entre la realidad y el objetivo.
Proporcionar control y direccin a las actividades.
Verificacin de una persona o cosa; reconocimiento.
Luis Otake
75
�Conceptos de seguridad de
informacin (IV)
Impacto
Integridad
Seguridad en
capas
Gestin
No repudio
Polticas
Resultados y consecuencias de que se materialice un
riesgo.
Exactitud y validez de la informacin.
Defensa en profundidad que contenga la inestabilidad.
Supervisar las actividades para garantizar que se
alcancen los objetivos.
Certeza de que una parte no podr negar
posteriormente los datos originados; se trata de dar
pruebas de la integridad y el origen de los datos y de
que puedan ser verificadas por un tercero.
Declaracin de alto nivel sobre la intencin y la
direccin de la gerencia.
Luis Otake
76
�Conceptos de seguridad de
informacin (V)
Riesgo residual
Riesgo
Riesgo que permanece despus de que se han
implementado contramedidas y controles.
Probabilidad de la explotacin de una
vulnerabilidad por parte de una amenaza.
Mtricas de
seguridad
Descripciones especficas de cmo se harn las
mediciones de una evaluacin cuantitativa y
peridica de desempeo de seguridad.
Sensibilidad
Nivel de impacto que tendra una divulgacin no
autorizada.
Estndares
Establecer los lmites permisibles de acciones y
procesos para cumplir con la poltica.
Estrategia
Pasos que se requieren para alcanzar un objetivo.
Luis Otake
77
�Conceptos de seguridad de
informacin (VI)
Amenazas
Vulnerabilidades
Cualquier accin o evento que puede ocasionar
consecuencias adversas.
Deficiencias que pueden ser explotadas por
amenazas.
Arquitectura
empresarial
La lgica organizativa para los procesos de negocio
y la infraestructura de TI.
Dominios de
seguridad
reas lgicas delimitadas por diferentes niveles de
seguridad.
Modelos de
confianza
Asignan los controles y las funciones de seguridad a
diferentes niveles de seguridad.
Luis Otake
78
�Referencias bibliogrficas (I)
0 Areitio, Javier. 2008. Seguridad de la Informacin.
Redes, informtica y sistemas de informacin.
Cengage Learning Paraninfo.
0 Gmez Vieites, lvaro. 2011. Enciclopedia de la
Seguridad Informtica. Segunda Edicin. Alfaomega.
0 ISACA. 2009. Manual de Preparacin al Examen CISM
2010.
Luis Otake
79
�Referencias bibliogrficas (II)
0 Cano, Jeimy. 2012. Negocio de la Seguridad de la Informacin:
Revelando la Potencialidad de un Concepto. ISACA Journal. Ao
2012. Vol. 4.
[http://www.isaca.org/Journal/archives/2012/Volume4/Pages/JOnline-El-Negocio-de-la-Seguridad-de-la-InformacionRevelando-la-Potencialidad-de-un-Concepto.aspx]
0 Cano, Jeimy. 2011. La Gerencia de la Seguridad de la Informacin:
Evolucin y Retos Emergentes. ISACA Journal. Ao 2011. Vol. 5.
[http://www.isaca.org/Journal/archives/2011/Volume5/Pages/JOnline-La-Gerencia-de-la-Seguridad-de-laInformacion-Evolucion-y-Retos-Emergentes.aspx]
0 https://pages.balabit.com/rs/855-UZV-853/images/Balabittop-10-hacks.pdf
0 https://www.gov.uk/government/uploads/system/uploads/atta
chment_data/file/60943/the-cost-of-cyber-crime-full-report.pdf
Luis Otake
80
�Referencias bibliogrficas
(III)
0 EY. 2016. Generando confianza en el mundo digital. Perspectivas
sobre Gobierno, Riesgo y Cumplimiento.
http://www.ey.com/Publication/vwLUAssets/Generando_confia
nza_en_el_mundo_digital/$FILE/EY-generando-confianzamundo-digital-GISS-2015.pdf
0 EY. 2015. Perspectivas sobre Gobierno, Riesgo y Cumplimiento.
Adelntese a los delitos cibernticos. Encuesta Global de
Seguridad de Informacin. Advisory Services.
http://www.ey.com/Publication/vwLUAssets/Encuesta_global_d
e_seguridad_de_informaci%C3%B3n_2014/$FILE/EY-encuestaglobal-de-seguridad-de-informacion-2014.pdf
0 Gelbstein, Ed. 2012. Strengthening Information Security
Governance. ISACA Journal. Ao 2012. Vol 2.
[http://www.isaca.org/Journal/archives/2012/Volume2/Pages/Strengthening-Information-Security-Governance.aspx]
Luis Otake
81
