Escolar Documentos
Profissional Documentos
Cultura Documentos
Informacin
GERENCIA DE INFORMTICA Y TECNOLOGA ELECTORAL
Asistentes de Cmputo Descentralizado
Agosto de 2014
Contenido
Marco normativo
Definiciones previas
Seguridad de la informacin
Estructura para la seguridad de la informacin
Poltica y objetivos de seguridad de la informacin
Sistema de Gestin de Seguridad de la Informacin
Incidentes de seguridad de la informacin
Buenas prcticas en seguridad de la informacin
Saberes previos
Qu es informacin?
Seguridad de la informacin = a seguridad informtica?
Qu es un Sistema de Gestin de Seguridad de la Informacin?
Objetivos
Marco Normati
NTP-ISO/IEC
27001:2008
EDI
Tecnologa
de
Definiciones Previa
Qu es Informacin ?
Segn diccionario :
es un conjunto de datos que
lleva un mensaje
es un activo que, como otros
activos importantes del negocio,
tiene valor para la organizacin y
requiere en consecuencia una
proteccin adecuada
Blah!
Definiciones Previa
Activo
Algo que tiene valor para la organizacin .
Amenaza
Una causa potencial de un incidente no deseado, que puede resultar en
dao para un sistema u organizacin.
Definiciones Previa
Vulnerabilidad
Debilidades de seguridad asociadas con
los activos de informacin que pueden
ser aprovechados por una o ms
amenazas.
Control
Herramienta de la gestin de riesgo,
incluyendo polticas, procedimientos ,
directrices, prcticas o estructuras
organizacionales, las cuales pueden ser
de naturaleza administrativa, tcnica,
de gestin o legal
Definiciones Previa
Riesgo
La probabilidad que una amenaza pueda explotar
una vulnerabilidad particular
Impacto
Es la consecuencia de la materializacin
de una amenaza sobre un activo .
Definiciones Previa
ACTIVO
AMENAZA
VULNERABILIDAD
Local de la ODPE
Actos de vandalismo
Local de la ODPE
Incendio
Servidor Nacin
Falla de hardware
Ausencia de mantenimiento
Estacin de
digitacin
Acceso
autorizado
Software
Electoral
Software
Electoral
Cdigo
malicioso
(virus)
Abuso de privilegios
de acceso
Antivirus desactualizado
Digitador
Renuncia
Falta de incentivos
Digitador
Error humano
Falta de capacitacin
Acta electoral
Modificacin
Jefe de ODPE
Extorsin
Conflicto de intereses
no
Seguridad de la Informac
La propiedad por la que la informacin
no se pone a disposicin o se revela a
individuos, entidades o procesos no
autorizados.
E
AM
Confidencialidad
S
ZA
NA
Proteger con
CONTROLES
Informacin
VULNERABILIDADES
Activo
Disponibilidad
La propiedad de ser accesible y
utilizable
por
una
entidad
autorizada.
Preservar la CONFIDENCIALIDAD, INTEGRIDAD y
Integridad
La propiedad de
proteger
la
exactitud
y completitud de los
activos.
DISPONIBILIDAD de la informacin; adems,
responsabilidad, no repudio y
Amenazas
Ultimo parches no instalados
Spamming
Violacin de contraseas
Trafico de informacin
Conmocin Social
Actos Vandalismo
Acceso clandestino a redes
Indisponibilidad de los resultados
electorales
Error en el ingreso de datos
Alteracin de actas electorales
Robo de actas electorales
Amenazas
Vulnerabilidades
Controles
Clasificacin de Controles de Seguridad
Control
Tcnico
Control
Gerencial
Control
Adminis
trativo
Control
Legal
Oficial de Seguridad de la
Informacin (OSI)
Colaborador
rganos de la
ONPE
(Especialista en Seguridad)
Colaborador
(Especialista en Seguridad)
rganos
desconcentrados
(ORC)
rganos
Descentralizados
(ODPE)
Comit Operativo de
Seguridad de la
Informacin (COSI)
Cumplimiento de
los requisitos
legales u otros
documentos
normativos
La continuidad de
los servicios que
brindamos
Promocin de una
cultura en
Seguridad de la
Informacin
La proteccin de la
informacin
O
B
J
E
T
I
V
O
S
Personal de TI
La SI es
tarea de
todos
Personal en General
Auditores Internos,
OCI
PARTES INTERESADAS
Requerimientos y Expectativas
PARTES INTERESADAS
Seguridad de la Informacin
Administrada
SGSI
Mantener y
mejorar el
SGSI
Implementar el
SGSI
SGSI
Monitorear y revisar
el SGSI
Mapa de proces
Beneficios de un SGSI
Incidentes de seguridad
Qu es la gestin de incidente?
Proceso para detectar, comunicar, evaluar , responder hacer frente
y aprender de incidentes de seguridad de la informacin.
Que es un incidente de seguridad de la informacin?
Una serie de eventos no deseados que tiene una probabilidad
significativa de comprometer operaciones
del negocio y
amenazar la seguridad de la informacin.
Cmo reportar un incidente?
Llamando al centro de soporte
Informtico
Mediante un correo electrnico
Incidentes de seguridad
Incidente
Polticas Especificas
Basadas en el ISO 27002
Polticas generales de
seguridad de la informacin
Organizacin de la Seguridad
Clasificacin de activos
de informacin
Seguridad Fsica y Ambiental
Control de acceso
Adquisicin ,desarrollo y
Mantenimiento de sistemas
de informacin
Gestin de la
continuidad del negocio
Seguridad lgica
Seguridad fsica
Cumplimiento de la
normativa legal
Seguridad legal
Seguridad de la
Informacin
BUENAS PRACTICAS DE
SEGURIDAD DE LA
INFORMACIN
Correo
electrnico
Contraseas seguras
Antivirus
Protege tu informacin
Protege tu informacin
Protege tu informacin
Protege tu informacin
Preguntas finales