Documente Academic
Documente Profesional
Documente Cultură
Introducción a la
Seguridad Informática
AGENDA
◼ Sílabo del curso
◼ Historia de la seguridad de la información
◼ Conceptos y términos claves de la
seguridad de la información
◼ La seguridad en el ciclo de vida del
desarrollo de sistemas (SecSDLC)
◼ El rol de los profesionales de Seguridad de
la Información
◼ Ciberseguridad
SÍLABO
◼ CAP 1 Introducción a la seguridad de la información
◼ Sílabo y trabajos del curso
◼ Historia de la seguridad de la información
◼ Conceptos y términos claves de la seguridad de la información
◼ La seguridad en el ciclo de vida del desarrollo de sistemas
◼ El rol de los profesionales de Seguridad de la Información
◼ Ciberseguridad
◼ CAP 2 La necesidad de Seguridad de la información
(INVESTIGACION)
◼ Primero las necesidades del negocio, después las necesidades
de la tecnología
◼ Amenazas – encuestas CSI - FBI
◼ Categorías de amenazas a la seguridad de información
◼ Ataques
◼ Descripción de ataques
◼ TALLER DE GESTION DEL PROYECTO: 28/05/20
SÍLABO
◼ CAP 3: Gestión de Riesgos I (ANALISIS)
◼ Gestión de Riesgos
◼ Conociéndonos
◼ Conociendo al enemigo
◼ Identificación de amenazas
◼ Transferir
◼ Mitigar:
◼ Plan de Respuesta a Incidentes (IRP)
◼ Aceptar
◼ Estrategias de Mitigación
◼ Puntos de decisión para manejar riesgos
◼ Ciclos de Control de Riesgo
◼ Categorías de Controles
◼ Función de control (preventivo, detectivo)
◼ Capas arquitectónicas
◼ Estrategia por capas
◼ Principios o dimensiones de Seguridad de la Información
◼ Estudios de Factibilidad - :
◼ Análisis Costo Beneficio
◼ Benchmarking
◼ Linea de Base
◼ Factibilidad
SÍLABO
◼ SEMANA 6 Sustentación de Avance de Trabajos Finales
◼ SEMANA 7 EXAMEN PARCIAL
◼ SEMANA 8 Políticas de Seguridad (DISEÑO LOGICO)
◼ Políticas, estándares y prácticas (guías y procedimientos)
◼ Política de problema específico
◼ Política de sistema específico
◼ Políticas de control de accesos
◼ Gestión de políticas
◼ Clasificación de información
◼ Diseño del sistema
◼ Modelos de Seguridad de Información
◼ ISO 17799
◼ NIST
◼ VISA
◼ IETF
◼ Esfera de uso y protección
◼ Controles
◼ El esquema
◼ Educación, entrenamiento y conciencia en seguridad
◼ Arquitectura de seguridad
SÍLABO
◼ SEMANA 9 Recuperación de desastres y Continuidad de
Negocios (DISEÑO LOGICO)
◼ Plan de Contingencia
◼ Equipo de personas
◼ Plan de Respuesta a incidentes (IRP)
◼ Plan de Recuperación de desastres (DRP)
◼ Plan de Continuidad de Negocio (BCP)
◼ Análisis de Impacto en el negocio
◼ Identificación de ataques amenazas
◼ Análisis de Unidades de negocio
◼ Escenarios de Ataques exitosos
◼ Evaluación de daño potencial
◼ Clasificación de planes Subordinados
◼ Detección de Incidentes
◼ Plan de recuperación de Desastres
◼ Gestión de Crisis
◼ Plan de Continuidad
◼ Estrategias de Continuidad
◼ Modelo de IR, DR y BC
SÍLABO
◼ SEMANA 10 Diseño Físico: Tecnologías de
Seguridad
◼ Diseño Físico – Tecnologías de Seguridad
◼ FIREWALL
◼ Primera Generación: Filtro de paquetes
◼ Segunda Generación: Proxy de aplicaciones
◼ Tercera Generación: Inspección total
◼ Cuarta Generación: filtrado dinámico
◼ Quinta Generación: kernel Proxy (pila de protocolos)
◼ Ruteador de Filtrado de paquetes
◼ Detectores de intrusos
◼ Herramientas de análisis y escanning
◼ Encriptación
◼ Algoritmos
◼ Estándares
◼ Infraestructura de claves públicas
◼ Seguridad IP
◼ Biometría
SÍLABO
◼ SEMANA 11 Diseño Físico: Seguridad Física
◼ Roles de la comunidad
◼ Control de Acceso
◼ Gestión de las instalaciones:
◼ Controles
◼ Tarjetas y bandas de idetificación
◼ Cierres y Llaves
◼ Trampas para personas
◼ Monitoreo
◼ Alarmas
◼ Salas de cómputo
◼ Paredes
◼ Seguridad contra incendio
◼ Detección
◼ Respuesta
◼ Supresión
◼ Tipos de incendio
◼ Calentadores, Ventilación y aire acondicionado
◼ Gestión de Energía y acondicionamiento:
◼ UPS
◼ Influencia de la energía
◼ Interceptación de datos
◼ Computación remota
SÍLABO
◼ SEMANA 12.- Implementación: Implementando Seguridad
◼ Gestión del Proyecto
◼ Gerencia del proyecto
◼ Desarrollando el Plan
◼ Aspectos financieros
◼ Prioridades
◼ Tiempo y cronograma
◼ Personal
◼ Alcance
◼ Procura
◼ Factibilidad Organizacional
◼ Entrenamiento y adoctrinamiento
◼ Control de cambios y tecnología
◼ Supervisando Implementación
◼ Ejecutando el Plan
◼ Ciclo de retroalimentación
◼ Estrategias de conversión
◼ El modelo del “ojo del toro”
◼ Subcontratar o no
◼ Consideraciones al cambio
◼ Resistencia al cambio
SÍLABO
◼ SEMANA 13.- Seguridad y Personal
◼ La función de Seguridad de la Información dentro de las
organizaciones.
◼ Problemas y preocupaciones para cubrir las necesidades de
personal que cumpla las funciones de Seguridad de la
información
◼ Credenciales que pueden conseguir los profesionales en el
campo de la seguridad de la información
◼ SEMANA 14.- Sustentación de Trabajos Finales
◼ SEMANA 15.- EXAMEN FINAL
Trabajos 2020 I
◼ Lecturas
◼ Trabajos Grupales o individuales
◼ 1 Trabajo Final (PROYECTO GRUPAL)
◼ Prácticas calificadas y Exámenes
PROMEDIO PRACTICAS:
◼ 2 Prácticas calificadas (no se eliminan) 5ta
y 11va. semana
◼ TRABAJO 1 (Promedio de los trabajos (se
elimina 20%)
◼ TRABAJO 2: es la nota del Trabajo Final
Trabajo final (Proyecto Grupal)
◼ Grupos de 4 a 6. En empresa de cualquier tamaño que no tenga que ver con la UNI.
◼ El Proyecto es el desarrollo de un Plan para la Implementación de un Sistema de
Seguridad para una empresa o para uno o mas macroprocesos de la misma (sistemas o
áreas críticas con sistemas CORE del negocio).
◼ La fecha de inicio del Proyecto grupal será el Lunes 15 de junio y la fecha fin del
Proyecto será el jueves 10 de setiembre del presente. Sin embargo se sugiero iniciar
antes.
◼ Entregables obligatorios serán los mostrados en la EDT del Proyecto, de la siguiente
diapositiva:
1)Informe de necesidades de seguridad de la empresa visitada; 2) Identificación de amenazas
y valoración de activos; 3)Riesgos de seguridad y estrategias de mitigación propuesta; 4)
Compendio de políticas de seguridad; 5)Plan de contingencia; 6)Tecnologías de seguridad
recomendadas; 7)Controles de acceso recomendados; 8) 4 Procedimientos de seguridad y su
estrategia de implementación.
◼ El jueves 18/06/20 deberán presentar la EDT, el cronograma respectivo (línea base) y
el Acta de Constitución, los que forman en Entregable 01 .
◼ Se deberán de establecer en el cronograma, las actividades para elaborar los distintos
entregables por cada etapa del Proyecto (Investigación, Análisis, Diseño, etc), conforme a
la EDT estandarizada adjunta
◼ Deberán considerar Hitos de Control cada dos semanas siendo el primero en la
clase del 18/06/19 y los siguientes: 2/07/20 ; 16/07 y así sucesivamente
30/07; 13/08 y el 27/08 y 3/09/20(Envío de documento integrado de
Entregables)
◼ En cada hito de control deberá de tenerse por lo menos 1 entregable, todos los hitos de
control deben figurar en el cronograma del proyecto
Trabajo final
◼ EDT del Trabajo Final para todos los grupos
E Autenticídad de quien
C hace uso de datos o
D servicios
T
E-commerce Trazabilidad del uso de
servicios (quién, cuándo) o
a datos (quien y que hace)
Prevenir Información
Cambios no autorizados en (dimensiones) No repudio
Activos de Información (Compromisos)
Confiabilidad
(Inform.)
Prevenir
6
I +5 D 7x24x365 Destrucción no autorizada de
Activos de Información
=
C C
I I
D D
objetivos
Alm Proc Transm Almac Proces Transm
CEO
VP- VP-
CISO
Systems Networks
requerida
◼ Adicionales:
◼ Fuerte soporte de la alta dirección
◼ Un campeón dedicado
◼ Fondos dedicados
◼ Planeamiento claro
◼ Oportunidad de influenciar en cultura organizacional
Enfoque Top-down
Investigation
Analysis
Logica l Design
Physical Design
Implementation
Repea t Maintenance
and change
FIGURE 1-8 SDLC Waterfall Methodology
SDLC = Ciclo de vida del desarrollo de software
SDLC y la secuencia del SDLC
2) Procesos:
Los procesos son cruciales para definir cómo se utilizan las actividades, roles y
documentación de la organización para mitigar los riesgos para la información de la
organización. Las amenazas cibernéticas cambian rápidamente, por lo que los
procesos deben revisarse continuamente para poder adaptarse a ellos.
3) Tecnología:
Al identificar los riesgos cibernéticos a los que se enfrenta su organización, puede
comenzar a ver qué controles implementar y qué tecnologías necesitará para hacer
esto. La tecnología se puede implementar para prevenir o reducir el impacto de
los riesgos cibernéticos, según su evaluación de riesgos y lo que considere un nivel
de riesgo aceptable.
Ciberseguridad
Por qué es importante la seguridad cibernética?
1) Costos de las violaciones de datos están aumentando y ya hay
organismos que están implementando reglamentos de protección de
datos con multas por infracciones:
2) Hay costos no financieros que deben considerarse, como daños a la
reputación y pérdida de confianza del cliente.
3) Los ataques cibernéticos son cada vez más sofisticados, por la variedad
mayor de tácticas para explotar vulnerabilidades como Ingeniería Social,
Malware y Ransomware (Petya, WannaCry y NotPetya).
La seguridad cibernética es un tema crítico de los comités de dirección:
1) Nuevas regulaciones y los requisitos de informes hacen que la
supervisión de riesgos de seguridad cibernética sea un desafío.
2) Comités buscan garantías de la gerencia de que sus estrategias de
riesgo cibernético reducirán el riesgo de ataques y limitarán los impactos
financieros y operativos.
3) Es vital contar con las medidas de seguridad cibernética adecuadas
para proteger a su organización.
Qué es el convenio de BUDAPEST??