CURSO:

SISTEMAS DE
INFORMACIÓN
 INTEGRANTES

GUTIERREZ HUALLPA
VILLANUEVA TACO LLAMUCA
RUBEN ANGELES LUIS ANGEL
STIVEN
RANDY
VELÁZQUES TORRES
HUAMAN BENAVIDES
DIEGO JESÚS
ANDRÉS
 SGSI 27000,
27001 y 27032
 ISO
27000
Es un conjunto de estándares internacionales sobre la
Seguridad de la Información. La familia ISO
01
27000 contiene un conjunto de buenas prácticas para el
establecimiento, implementación, mantenimiento y
mejora de Sistemas de Gestión de la Seguridad de la
Información.
Dentro de una organización se
establecen y gestionan una
serie de tareas relacionadas
entre sí y que necesitan estar
coordinadas entre sí de forma
eficiente para conseguir el
propósito de la organización.
 ENFOQUE DE PROCESOS

Una tarea normalmente se

compone de varias
La aplicación de un sistema
actividades ejecutadas en
de procesos dentro de una
un orden determinado y
organización, junto con la
necesita de una serie de
identificación e
recursos (personal, equipos
interacciones de estos
e instalaciones).
procesos, y su gestión, se
Esto normalmente es lo
puede denominar como un
que denominamos un
"enfoque de proceso".
proceso en una
organización
POR QUE ES IMPORTANTE EL SGSI 27000

Hoy en día, los activos de información son vitales dentro de una organización para la consecución de
sus objetivos por lo que se deben abordar los riesgos para la seguridad de la información que afecten a
estos activos.

Para conseguir la seguridad

de la información se requiere Los riesgos de amenazas físicas y humanas
la gestionar los riesgos para
la seguridad de la
información, lo que incluye:
Riesgos relacionados con las tecnologías asociadas
con todas las formas de información utilizadas por
la organización.
 ESTABLECIMIENTO, SEGUIMIENTO,
MANTENIMIENTO Y MEJORA DE ISO
27000
 Una identificación y clasificación de los activos de información de la organización según sus requisitos para
la seguridad de la información que van asociados al activo o al tipo de información que manejan.

 Realizare una evaluación de riesgos para la seguridad de la información identificados para cada activo de
información.

 Implementar un plan de tratamiento de riesgos de forma ponderada teniendo en cuenta los resultados de la
evaluación de riesgos.

 implementar los controles seleccionados para minimizar los riesgos inaceptables.

 Medir los resultados de la implantación de los controles.
FACTORES CRITICOS DE EXITO

La norma ISO 27000 enumera una serie de factores críticos a la hora de

afrontar una implementación con garantía de éxito de un SGSI.
 FACTORES CRITICOS DE
EXITO

tener en cuenta objetivos y integrar la seguridad de la Obtener el apoyo y

políticas para la seguridad de información en la compromiso de todos
la información estén en cultura de la los niveles de gestión,
consonancia con los objetivos organización especialmente de la alta
de la organización dirección

Realizar una evaluación de La capacitación y Un proceso efectivo de

riesgos que garantice una concienciación sobre gestión de incidentes de
adecuada comprensión de la seguridad de la seguridad de la
los requisitos de protección información debe información
de activos de información involucrar a todos los
empleados
 BENEFICIOS DE LA FAMILIA DE
NORMAS 27000

 Contar con una herramienta sistemática para implantar un SGSI que responda a las necesidades de cualquier
organización o negocio.
 Permite integrar de forma coherente los objetivos de la seguridad de la información con los objetivos del
negocio, los procesos, la gestión de la organización, la capacitación y sensibilización de los empleados así la
implantación de una cultura de la seguridad de la información en una organización.
 Establecen un lenguaje común para la seguridad de la información y que además permite la certificación de
un SGSI por entidades de organismos acreditados.
 Promueve la confianza de las partes interesadas.
 Mejoras las expectativas de los resultados de la organización y ayuda a rentabilizar las inversiones en
seguridad de la información.
 Permite adoptar las mejores prácticas internacionalmente aceptadas para la seguridad de la información y
adaptarlas a las necesidades de cada organización.
 CONSEJOS BÁSICOS
Reservar la dedicación necesaria
Mantener la sencillez y diaria o semanal.
restringirse a un alcance
manejable y reducido.

La certificación como
objetivo.

Comprender en detalle el
proceso de implantación.
La autoridad y compromiso
decidido de la Dirección de la
empresa.
Registrar evidencias.
IMPLANTACION •
•
Definir alcance del SGSI.
Definir política de seguridad
• Metodología de evaluación de • Definir plan de tratamiento de
riesgos. riesgos.
• Inventario de activos. • Implantar plan de tratamiento
• Identificar amenazas y de riesgos.
vulnerabilidades. • Implementar los controles.
• Compromiso de la
• Identificar impactos. • Formación y concienciación.
Dirección.
• Análisis y evaluación de riesgos. • Operar el SGSI
• Planificación.
• Selección de controles y SOA
• Fechas.
• Responsables.
• Plan (planificar): establecer el SGSI.
• Do (hacer): implementar y utilizar el
AN DO SGSI.
PL • Check (verificar): monitorizar y revisar
el SGI.
Arranque del Proyecto • Act (actuar): mantener y mejorar el SGSI

• Implantar mejoras.
• Acciones correctivas.
• Acciones preventivas.
• Comprobar eficacia de las
acciones.
K
AC EC • Revisar el SGSI.
T CH
• Medir eficacia de los controles.
• Revisar riesgos residuales.
• Realizar auditorías internas del SGSI.
• Registrar acciones y eventos.
 ISO
27001
Norma internacional que permite el
aseguramiento, la confidencialidad e
02
integridad de los datos y de la
información, así como de los
sistemas que la procesan
TABLA DE CONTENIDOS

01 02
ASPECTO
03
FASES DE UN S CLAVES ANALISIS Y
SGSI DE UN EVALUACION DE
SGSI RIESGOS
ASPECTOS CLAVES DE UN SGSI
BASADO EN LA NORMA ISO
27001
PLANIFIC HACE
AR R
Definir la política de seguridad Implantar el plan de gestión de
Establecer al alcance del SGSI Realizar riesgos Implantar el SGSI
el análisis de riesgo Seleccionar los Implantar los controles
controles Definir competencias
Establecer un mapa de procesos Definir
autoridades y responsabilidades
CONTROL ACTU
AR AR
Revisar internamente el SGSI Adoptar acciones correctivas
Realizar auditorías internas Adoptar acciones de mejora
del SGSI
Poner en marcha indicadores y
métricas Hacer una revisión
por parte de la Dirección
FASES DE LA NORMA ISO
27001

Analisis y evaluacion de Partes interesadas

riesgos

Implementacion de Fijacion y medición de

controles objetos

Alcance de la gestion Proceso documental

Contexto de organizacion Auditorias internas y

externas
ANALISIS Y EVALUACION DE LOS
RIESGOS Y SUS CONSECUENCIAS
Identificación y
Recogida y estimación de las
preparacion de la vulnerabilidades
información
02 04

01 03
Identificación, y Identificación y
clasificación de las valoración de impactos
amenazas
CRITICIDAD DEL RIESGO
RIESGO
ACEPTABLE
No se trata de eliminar totalmente el riesgo, ya que muchas veces no es
posible ni tampoco resultaría rentable.  

RIESGO
RESIDUAL
Se trata del riesgo que permanece y subsiste después de
haber implementado los debidos controles.
COMPROMISO DEL
LIDERAZGO
La norma ISO 27001 otorga un peso cualitativo muy importante a la
Dirección, la cual debe ejercer el liderazgo del sistema de seguridad.
A partir de aquí, se debe establecer un plan de trabajo en el que quede
perfectamente definida la segregación de tareas.

LOS DUEÑOS DEL

RIESGO
La norma ISO 27001 establece la figura de Dueño del Riesgo,
asociándose cada amenaza potencial o real a un
responsable, que es la persona que se asegura que se
lleven a cabo las distintas actividades.
IMPLEMENTACIÓN DE LOS CONTROLES
● Con el objetivo de que cada riesgo identificado previamente quede cubierto
y pueda ser auditable, la norma ISO 27001 establece en su última
versión: ISO/IEC 27001:2013 hasta 113 puntos de control (en la versión
anterior del 2005 eran 133).

Los 113 controles están divididos por grandes objetivos:

Políticas de seguridad de la información

Controles operacionales
DEFINICION DE UN PLAN DE
TRATAMIENTO DE LOS RIESGOS O
ESQUEMA DE MEJORA

Una vez realizado el análisis, se debe definir un plan de tratamiento o esquema

de mejora, en el que se tengan en cuenta las distintas consecuencias potenciales
de esos riesgos, estableciendo una criticidad para cada uno de ellos y así poder
evaluar con objetividad las diferentes amenazas.
 FORMAS DE AFRONTAR EL
RIESGO
—Eliminar el
riesgo
Si el riesgo es muy crítico, hasta el punto
de que pueda poner en peligro la
propia continuidad de la
organización, ésta debe poner todos
los medios para tratar de eliminarlo,
de manera que haya un posibilidad
cero de que la amenaza se llegue
realmente a producir.
 
—Mitigarlo
En la gran mayoría de ocasiones no es
posible llegar a la eliminación total
del riesgo, ya sea porque es
imposible técnicamente o bien
porque la empresa decida que no es
un riesgo suficientemente crítico. En
estos casos la organización puede
aceptar el riego, ser consciente de
que la amenaza para la información
existe y dedicarse a monitorearlo con
el fin de controlarlo.
 
—Trasladarlo
Esta opción está relacionada con la
contratación de algún tipo de
seguro que compense las
consecuencias económicas de una
pérdida o deterioro de la
información.
 
Sea cual el plan de tratamiento elegido por
la empresa, la gestión de riesgos
debe garantizar a la organización la
tranquilidad de tener suficientemente
identificados los riesgos y los
controles pertinentes, lo cual le va a
permitir actuar con eficacia ante una
eventual materialización de los
mismos.
ESTABLECIMIENTO DE UN RANGO PARA
CADA CONTROL
Existe alguna medida de
No hay establecida ninguna
medida de seguridad.
—RANGO 1
seguridad pero no se ha
Existen una serie de medidas
establecido una pauta
establecidas, pero no se ha
concreta ni
determinado una evaluación de
periodicidad.
las mismas.
—RANGO 2 —RANGO 3

Los controles tienen Son actividades ligadas al propio negocio,

establecidos una es decir, se trata de un factor interno
periodicidad, de la empresa que lo gestiona y está
evaluación y segui- implementada dentro de la propia
miento. organización.
—RANGO 4 —RANGO 5
EL ALCANCE DE LA GESTIÓN

Normalmente la determinación del alcance de la gestión se realiza

bien por líneas de negocio o por macro procesos. por ejemplo, si
una empresa tiene dos líneas de negocio: una de asesoramiento
contable y otro fiscal, es posible que decida priorizar la primera
actividad, la contabilidad, por considerarla más vulnerable en
materia de seguridad de la información.
Pongamos un ejemplo concreto, la determinación de alcance y priorización de una empresa comercial
de tamaño mediano de compra y venta de artículos deportivos, que vende por Internet y de forma
presencial en sus diferentes sedes locales y nacionales, podría ser la siguiente:

Determinar que en primera instancia se deben cubrir áreas de contabilidad,

inventario y facturación por ser un tema sensible, donde se manejan datos claves
para la empresa.

En segundo lugar, se deberían considerar la logística y atención al cliente, ya

estas áreas que permiten un trato directo con los mismos pudiendo mejorar su
satisfacción.

El resto de áreas de la empresa, como el marketing, pueden no incluirse en

primera instancia en el SGSI, para irse introduciendo luego de manera
progresiva.
CONTEXTO DE ORGANIZACION

La organización debe preocuparse, y por tanto determinar, qué

cuestiones o aspectos internos y externos están involucrados en el
propósito de la misma y pueden afectar a la capacidad de alcanzar
los resultados previstos para su SGSI
 PARTE INTERESADAS
Fuerzas de seguridad de
cada estado y autoridades
Proveedores de servicios de jurídicas para tratar los
información y de aspectos legales. Participación en foros
equipamientos de
profesionales.
Tecnologías de la
Información (TICs).

Clientes, poniendo especial

cuidado en la gestión de
datos de protección La sociedad en general.
personal.
 FIJACION Y MEDICION DE OBJETIVOS

Es necesario fijar unos objetivos para
la gestión de riegos, los cuales deben
poder ser medibles, aunque no es
necesario que sean cuantificables.
Otro aspecto básico es que estos objetivos deben ser
eficientemente comunicados al conjunto de los
empleados de la empresa, puesto que todos los
profesionales deben ser conscientes de que
participan en un objetivo común

Por otro lado, cada objetivo definido

Además, todas las personas que trabajan en la
organización deben poseer las competencias
necesarias en materia de seguridad de la
información según su puesto o función en la
empresa.
tiene que estar asociado a unos
indicadores que permitan realizar un
seguimiento del cumplimiento de las
actividades.
 EL PROCESO DOCUMENTAL

La documentación puede ser presentada en La organización debe gestionar tanto los

diversos formatos: documentos en papel,
archivos de texto, hojas de cálculo, archivos
de vídeo o audio, etc. Pero en cualquier caso
constituye un marco de referencia
fundamental y debe estar lista en todo
momento para que pueda ser consultada.
documentos internos (políticas di- versas,
procedimientos, documentación del proyecto,
etc.), como lo externos (diferentes tipos de
correspondencia, documentación recibida con
equipamiento, etc.). Por este motivo, la gestión de
documentación es una tarea compleja e integral.

Con el objetivo de que las empresas gestionen eficazmente los documentos, la norma ISO 27001 exige la
aplicación de un método sistemático para su manejo, así como la redacción de un procedimiento para su
gestión.
AUDITORIAS INTERNAS Y REVISION
POR LA DIRECCION
PLAN DE
AUDITORIAS AUDITORIA REVISION POR
INTERNAS INTERNA LA DIRECCIÓN
Auditoria interna
Existen dos grandes tipos de auditorías internas:
- Gestión: Donde se supervisa el liderazgo, el contexto, etc.
- Controles: En este caso se auditan los 113 controles, normalmente se
realiza por personal más experto y puede realizarse en años distintos.

Plan de auditoria interna

En la planificación de la auditoría se debe contar con el nivel de importancia
de los procesos y de las áreas que van a ser auditadas y, además, hay
que tener en cuenta los resultados obtenidos de auditorías previas.
También es necesario definir los criterios utilizados durante la
auditoría, el alcance, la frecuencia y los métodos utilizados.

Revisión por la dirección

Es fundamental realizar revisiones periódicas del SGSI por
parte de la Alta Dirección con el objetivo de comprobar
el buen funcionamiento del sistema, si se están
cumpliendo los objetivos y también si se está
produciendo un Retorno de la Inversión (ROI).
COMO AUTOMATIZAR EL SISTEMA DE
GESTION DE SEGURIDAD DE LA
INFORMACION SEGÚN ISO 27001
Aspectos a tener en cuenta en este tipo de herramientas que facilitan la automatización de la gestión de
riesgos son:

Poner en marcha procesos de identificación automática de los riesgos a los que está expuesto cada
organización.

Alinear cada riesgo con propuestas de posibles controles para conseguir reducir los riesgos de las
compañías.

Poner en marcha un automático del seguimiento del tratamiento de riesgos.

Realizar proyecciones y simulaciones que permitan visualizar los resulta- dos que se podrían
obtener con la implantación de los controles definidos en el plan de tratamiento de riesgos.
SECTORES MAS INTERESADOS EN LA
IMPLEMENTACION DE ESTE SISTEMA
Aunque la norma ISO 27001 es perfectamente válida como guía o base para la implementación de un
SGSI en cualquier empresa u organización, con independencia de su tamaño o sector, resulta
especialmente interesante, y casi necesaria, en los siguientes sectores:

Salud

Sector publico

Sector financiero
 —SECTOR
SALUD
El sector público y la administración en
 La información que manejan es
especialmente crítica y confidencial.
 Los requisitos y medidas planteados
por la ISO 27001 garantizan la
confidencialidad y seguridad de la
información de los pacientes y
trabajado- res ante cualquier
amenaza.
 En todo momento se preserva la
confidencialidad, integridad y  
disponibilidad de la información. 
—SECTOR —SECTOR
PUBLICO FINANCIERO
Algunas ventajas de la certificación ISO
son:
general también son ámbitos muy
interesados en la esta norma ISO
 Lograr ventaja competitiva.
27001. El principal motivo es que
permiten poner en marcha sistemas y
 Garantizar la gestión de la calidad.
protocolos que garanticen la
confidencialidad y gestión adecuada
 Controlar y reducir los riesgos
de la gran cantidad de datos que
operativos y comerciales.
manejan, muchos de ellos personales
y con un alto nivel de criticidad.
 Cumplir con la legislación y
normativa de cada país y sector.
 Poner en marcha procesos de mejora
continua.
 ISO
27032
La Organización Internacional de Normalización (ISO por sus siglas en
inglés) ha anunciado la creación del estándar ISO/IEC 27032 para
la ciberseguridad. La organización ha explicado que pretende
03
garantizar la seguridad en los intercambios de información en la
Red con este nuevo estándar, que puede ayudar a combatir el
cibercrimen con cooperación y coordinación.
CIBERESPACIO
La seguridad en Internet
y en el ciberespacio nos
preocupa a todos (partes
interesadas). Cada vez
hay más presencia en el
Es un ambiente en donde ciberespacio, sitios web y
interactúan los seres otras aplicaciones tienden
humanos, el software y los a aprovechar este nuevo
servicios que en Internet mundo virtual (ISO
se ofrecen (ISO 27032). 27032).
—POR OTRA —ADEMÁS
PARTE
Hay aspectos relacionados con la
seguridad de la información que no
El ciberespacio es un ambiente
están cubiertos por las mejores
complejo resultante de la
prácticas existentes y una falta de
interacción de las personas, el
comunicación entre las
software y los servicios de
organizaciones y los proveedores en
Internet soportados estos por el
el ciberespacio. Esto ha creado una
hardware y las redes de
especie de fragmentación y
comunicaciones(ISO 27032).
convergencia de múltiples niveles de
seguridad en donde el menor de
estos es el que prevale.
El Ciberespacio es un ambiente
en donde interactúan los seres
humanos, el software y los
servicios que en Internet se
ofrecen (ISO 27032).
Relaciones de ISO 27032 con otras prácticas o
normas

ISO 27001:2013 ISO 31000:2018

ISO 27005:2018 ISO 22301:2012

ISO 27002:2013 ISO 27031:2009

Contexto de ISO 27032

La seguridad en Internet y en el
ciberespacio nos convoca a todos.
La presencia actual de las
organizaciones en este espacio crea
unos beneficios pero también unos
riesgos.
Involucrados en el ciberespacio
RIESG
OS
PERSONAS

ORGANIZACI
REDES
ONES

MUNDO VIRTUAL

HARDWARE
INTERNET
Y SOFTWARE
Riesgos

La exposición de
información en las
redes sociales conlleva
riesgos. (Pérdida de
privacidad)
Amenazas posibles en el ciberespacio

Ataques de ingeniería social

Malware

Spyware

Troyanos

APT (advancedpersistantthreat)
Riesgos HACKIN
G
La convergencia de las
tecnologías de
información y de las
comunicaciones han
propiciado diferentes
tipos de ataques cada PHISHIN SPYWAR
G E
vez más sofisticados:
Riesgos en las
transacciones
comerciales
de:
 ISO 27032
propone tres
estrategias para
mitigar estos
riesgos que son:
Además la
norma ISO

a ci r
ón
orm rti

Co uesta
inf mpa

res
ord
27032

p
Co

ina
proporciona

r
s
un marco
para: Gestionar
incidentes
OBJETO Y CAMBIO DE
APLICACION
La Ciberseguridad ISO 27032
comprende a la(s):
1.Objetivos de la Seguridad en la información
CONFIDENCIALIDA
D funcionamiento continuo de los
La confidencialidad se refiere a la
protección de los datos ante una
revelación no autorizada a terceras
partes. Una empresa es responsable
de proteger la privacidad de sus
datos, entre los que puede haber datos
de clientes y datos internos de la
empresa.
DISPONIBILIDAD
INTEGRIDAD
La disponibilidad se define como el
La Integridad se refiere a la certeza de
sistemas de información. Las que los datos no son destruidos o
aplicaciones requieren distintos alterados de una forma no autorizada.
niveles de disponibilidad, Por ejemplo, la integridad se consigue
dependiendo del impacto comercial cuando el mensaje enviado es
del tiempo de inactividad (no es lo idéntico al mensaje recibido. Deben
mismo que falle la intraweb que la tomarse medidas para garantizar la
aplicación de venta de entradas…). integridad de todos los datos,
Para que una aplicación esté independientemente de si los datos
disponible, todos los componentes son confidenciales.
deben proporcionar un servicio
continuo. Esos componentes pueden
ser servidores de aplicaciones o de
bases de datos, dispositivos de
almacenamiento y la red extremo a
extremo.
2.Seguridad en las Aplicaciones a nivel de:

RESULTAD
PROCESOS OS
COMPONEN
TES DATOS

SOFTWARE
3.Seguridad en la red en su:
DISEÑO
El diseño de una red informática es
determinar la estructura física la red.
Un buen diseño de la seguridad
informática. La red informática es
fundamental para evitar problemas de
pérdidas de datos, caídas continuas de
la red, problemas de lentitud en el
procesamiento de la información.
IMPLEMENTECIO
N
El desarrollo de un plan de seguridad
de red consiste en hacer las preguntas
correctas. Las respuestas a cada
pregunta impulsarán la
implementación. Al formular un plan
de seguridad de red razonable, haga
estas preguntas importantes.
OPERACION
Operaciones principales de un sistema
de administración de red:
● Administración de fallas
● Control de fallas.
● Administración de cambios.
● Administración del
comportamiento.
● Servicios de contabilidad.
● Seguridad.
● Llave privada.
 4.Seguridad en Internet a nivel de:
REDES

La seguridad de la red es la práctica de

SERVICIOS EN
INTERNET SEGUROS
La seguridad en internet son todas aquellas
precauciones que se toman para proteger
todos los elementos que hacen parte de la
red, como infraestructura e información,
que suele ser la más afectada por
delincuentes cibernéticos.
prevenir y proteger contra la intrusión no
autorizada en redes corporativas. Como
filosofía, complementa la seguridad del
punto final, que se centra en dispositivos
individuales; la seguridad de la red se
centra en cómo interactúan esos
dispositivos y en el tejido conectivo entre
ellos.
FIABILIDAD DE
SERVICIOS
Las oportunidades que nos brinda Internet
para facilitar muchas de las actividades y
contribuir al desarrollo personal de los
usuarios son indiscutibles, pero también
conlleva riesgos.

DISPONIBILIDAD DE SERVICIOS
Una vez que la información ha sido capturada en un sistema de cómputo, debe ser almacenada de
manera segura y estar disponible para los usuarios cuando la necesiten. La información también debe
ser mantenida y utilizada de tal forma que su integridad no se vea comprometida.
Hay dos componentes principales para asegurar la disponibilidad de la información y, por tanto, de
minimizar el riesgo de confiarle información valiosa a la tecnología. Estos son asegurar que los
sistemas operen para presentar la información cuando se requiera y contar con información de respaldo
para prevenir fallas del sistema o pérdida de información.
 5.Seguridad en la infraestructura:
SITIOS ALTERNOS
Se refiere a que debe existir una réplica de
DATACENTER los dispositivos o servidores que CONDICIONES AMBIENTALES
contienen la información tratada en la
organización, esto como un backup frente
Implica proteger la infraestructura crítica Referido al medio ambiente, se debe preveér
a alguna amenaza que pueda presentarse;
de amenazas externas o intrusiones que ante desastres que puedan presentarse y
ayudando a mitigar riesgos.
atenten contra las actividades de una pongan en riesgo nuestros equipos y la
empresa. Elementos de alto valor y información que se maneja; se debe
sumamente importantes, tales como establecer un plan ante desastres y la
servidores, switches y unidades de recuperación frente a ellos.
almacenamiento.
Este tipo de seguridad incluye video
vigilancia a través de cámaras, sistemas de
control de acceso y seguridad perimetral

Trata del entorno en el cuál se maneja y guarda

la información, al que se deben implementar
ACCESO FÍSICO medidas de seguridad física en los accesos
como restringir el paso a las personas no
autorizadas a estos lugares y limitar los
privilegios de las personas que están en ellas,
esto para evitar que extraigan y/o alteren
información que se almacena.
MODELO ISO 27032
PARTES INTERESADAS

Las partes interesadas se

El ciberespacio no dividen en: –
pertenece a nadie, todos
● Los consumidores,
podemos participar.
como personas y
organizaciones
● Los proveedores
deservicios
INVOLUCRADOS EN EL CIBERESPACIO

PROVEEDORES EN
CONSUMIDORES
EL CIBERESPACIO
CIBERSEGURIDAD ACTIVIDADES
REQUERIDAS

ACCIONES DE LAS ESTABLECER Y

PARTES MANTENER LA
INTERESADAS SEGURIDAD
AGENTES EN EL CIBERESPACIO.

ORGANIZACIONES PERSONAS RED

INTERNET DISPOSITIVOS

SEGURIDA
D
MODELO GENERAL DE CIBERSEGURIDAD
ISO 27032
Controlando los riesgos a través de:

MEJ
DO IA
RA
VA OG

OR
L

AS P
IN CNO
NO
TE

RAC
TIC
S A
EDUCACIÓN
 VISIÓN GENERAL DE LA NORMA ISO
27032
S
RE S
O
ID RE AS
O C
SUM EJ T I
N M AC
CO PR Prevenir, detectar y
reaccionar.

S
RE S N
DO NA IÓ
E
SO AC
VE R IC N
O PE N IÓ
PR M
U Y AC
IN
CO R D
O
NE CO
O
A CI
NIZ
A S
RG
O
EL CIBERESPACIO
ACTIVOS DEL CIBERESPACIO

LA
INFORMACIÓN EL SOFTWARE EL HARDWARE

SEGURIDA
D
ACTIVOS
LOS SERVICIOS LAS PERSONAS
INTANGIBLES
 METAS DE LA CIBERSEGURIDAD ISO
27032

PROTEGER EL GESTIÓN DE
CRISIS EDUCACIÓN
CIBERESPACI
O

ALERTAR COORDINACIÓ
SOBRE LAS N ENTRE
AMENAZAS ENTIDADES
 CONTROLES DE
CIBERSEGURIDAD
 CONTROLES DE:

USUARIO
APLICACIÓN
FINAL

SERVIDORES
INGENIERIA
SOCIAL
CONTROLES DE
APLICACIÓN
4. Revisar código.
1. Presentar políticas
empresariales.

2. Manejo de sesiones de
web.
5. Servicios autentificados y
seguros.

3. Evitar ataques de scripting.

PROTECCIÓN DE SERVIDORES

Usar estándares de Actualizaciones

configuración. periódicas.

Generar Uso de antivirus y

registros(logs) antispyware.

Revisiones periódicas
Análisis de
de malware.
vulnerabilidades.
CONTROLES DE USUARIO FINAL
BLOQUEADORES
INSTALAR
DE SCRIPS
ACTUALIZACIONE
S (OS)

BLOQUEAR
APLICACIONES
VENTANAS
UTILIZADAS
EMERGENTEES

USO DE ANTIVIRUS
FILTROS DE
Y ANTISPYWARE
PISHING
USO DE FIREWALL
PERSONAL
CONTROLES PARA LA INGENIERIA
SOCIAL

POLITICAS DE CLASIFICACIÓN
SEGURIDAD DE LA
INFORMACIÓN

CONTROLES
SENSIBILIZACION TECNICOS
ES APLICABLES
 El ciberespacio en un ambiente muy complejo que debe ser asegurado. Existen
diferentes niveles de seguridad en el ciberespacio lo que dificulta la estrategia de
seguridad en él. Existe una proliferación de malware y ataques persistentes avanzados.
Se debe mejorar la gestión de incidentes entre entidades. Optimizar la seguridad en los
proveedores de servicio es parte fundamental de la estrategia. Se debe proteger:
* La información
* Las aplicaciones
* Las redes
* La Internet
* Y la infraestructura crítica de información (CIIP)
GRACIAS