Agenda. Seguridad y Control en las Organizaciones Electrónicas (e-business)



Documentos relacionados
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Evolución de la seguridad de la. la perspectiva de negocio. Wilmar Arturo Castellanos Morales

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

ISO/IEC Sistema de Gestión de Seguridad de la Información

Test de intrusión (Penetration Test) Introducción

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_ pptx 26 de Marzo de 2015

ISO 9001:2015 Cuestionario de autoevaluación

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

REPORTE DE CUMPLIMIENTO ISO 17799

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

Ciber-ataques en la Industria y sus Oportunidades

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Resumen de los protocolos de seguridad del Registro Telemático

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Security Health Check

1. Seguridad de la Información Servicios... 4

SEGURIDAD GESTIONADA

POLITICA DE SISTEMA DE CONTROL INTERNO

Gestión de Seguridad Informática

Manejo y Análisis de Incidentes de Seguridad Informática

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

Los riesgos de un ambiente de negocios en constante transformación

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Introducción a los Sistemas de Gestión

Seguridad de la Información & Norma ISO27001

DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Gestión de riesgo operacional

Proceso: AI2 Adquirir y mantener software aplicativo

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001


ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

Sistema de Administración del Riesgos Empresariales

SMART Mobile Services

Servicios de Seguridad de la Información

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

Política General de Control y Gestión de Riesgos

Clasificación y protección de la Información. Un caso práctico

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

Guía práctica para implementar un Sistema de Gestión en su empresa

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC Antonio Villalón Huerta Grupo S2

OUTSOURCING EXTERNALIZACIÓN - SUBCONTRATACIÓN

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

LICENCIA PLATAFORMA ERM

Autorización de compras

#233 Seguridad desde el punto de vista SOX y Gobernalidad

Plan de Continuidad de Operaciones

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Índice. Quiénes Somos? Nuestra Razón de Ser. Nuestros Valores. Nuestra visión. Catálogo de Servicios. Por qué elegirnos

Política de Privacidad

USO DE EXCEL Y ACCESS PARA EL DESARROLLO DE APLICACIONES ADMINISTRATIVAS EMPRESARIALES

I INTRODUCCIÓN. 1.1 Objetivos

Estándares de Seguridad

NORMA ISO/IEC 27001:2005

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

TALLER: ISO Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco

Un sistema adecuadamente refrigerado debe mantener una temperatura de grados.

SEGURIDAD DE LA INFORMACIÓN

Plan de Estudios. Diploma de Especialización en Seguridad Informática

GUÍA GESTIÓN DE RIESGOS DE FRAUDE GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Cómo organizar un proyecto de seguridad de la información en el. M. en C. Ulises Castillo. CISSP, CISM, CISA. Julio, 2009

ST. ELIZABETH MEDICAL CENTER. Educación sobre cumplimiento corporativo

IMPACTOS POSITIVOS DE LA GESTIÓN EN LA SEGURIDAD VIAL. Medellín, julio 22 de 2015

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

GABINETE DEL MINISTRO Pág.1 de 9 MANUAL DE ORGANIZACIÓN Y FUNCIONES

Antes de imprimir este documento piense en el medio ambiente!

Unidad 1. Fundamentos en Gestión de Riesgos

CyberEdge Seguro de Protección de Datos

Aula Antilavado (Multimedia E-Learning) Entrenamiento ALD para empresas del sector de los seguros

Estándares de Seguridad Informática

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

SIMAD CLOUD. La Gestión Documental ahora en la nube, más eficiente SISTEMA INTEGRADO DE ADMINISTRACIÓN DOCUMENTAL

Gestión del Servicio de Tecnología de la información

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

La seguridad como valor en los proyectos de TI

CAPITALES BLANQUEO DE. Soluciones addvante.com/es/legal/soluciones/blanqueodecapitales.pdf. AddVANTE

SEMINARIO - TALLER REGULACIONES SOBRE RIESGOS LABORALES CONFEDERACION PATRONAL DOMINICANA

Problemática Ambiental

ASOCIACIÓN INTERNACIONAL DE SUPERVISORES DE SEGUROS

El BYOD del Mañana: BYOD 2.0

Exsis Software & Soluciones S.A.S

Administración. de riesgos PARA PEQUEÑOS NEGOCIOS

Principios de Privacidad y Confidencialidad de la Información

Transcripción:

Seguridad y Control en las Organizaciones Electrónicas (e-business) IMAI- XX Encuentro Nacional de Auditores Internos Agosto 12, 2005 Ing. Director del Programa en Comercio Electrónico ITESM Campus Monterrey jose.luis.figueroa@itesm.mx http://www.ruv.itesm.mx/pce Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 1 1

Objetivo Repasar las amenazas que enfrentan los negocios electrónicos ante los progresivos ataques tecnológicos e identificar algunas estrategias de seguridad. 2 2

Hace dos años Antecedentes del comercio electrónico Qué es el comercio electrónico? Principales amenazas Usted es el principal protector de su privacía, vale la pena estar conscientes y defender sus derechos Algunas cifras recientes Los administradores de las empresas: 62% consideran que la seguridad de la información debe ser prioridad de los directores generales. 50% considera que el mayor obstáculo para un programa efectivo de seguridad es la falta de conciencia de los usuarios. 64% reconoce que su principal foco de atención son las amenazas internas. 98% cree que la seguridad de la información es importante o muy importante para alcanzar los objetivos de su negocio de su organización. Encuesta aplicada por Kio Networks a los asistentes del b:secure Conference 2005. 3 3

20% elabora reportes mensuales sobre seguridad para el consejo de administración. 41.5% considera que su departamento de seguridad de la información es efectivo para satisfacer las necesidades de su organización. 39% opina que la inversión de su empresa en seguridad es poco efectiva considerando sus objetivos de negocio y las amenazas que enfrentan. Encuesta aplicada por Kio Networks a los asistentes del b:secure Conference 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 4 4

Por qué invertir en seguridad? 1.- Para evitar o minimizar riesgos asociados con: Robo o pérdida de información. Transacciones fraudulentas. Mal uso de la información o los recursos informáticos. Alteración no-autorizada de la información. Incumplimiento de leyes y regulaciones nacionales y/o internacionales. 2.- Por congruencia con los esfuerzos de la organización (Ej. Modelo de Gobierno Corporativo). Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 5 5

Problemas con la seguridad 2003 2005 Código malicioso Hackeo y cyberbandalismo Fraude con las tarjetas de crédito Spoofing Sniffing Trabajos internos Pharming Adware Podcasting Phishing Engaño al usuario para que brinde datos confidenciales. Ingeniería Social Los casos de Kevin Mitnick y Frank Abagnale. Fuente: www.emarketer.com Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 6 6

Implementando la seguridad Redes Servidores Escritorios Productos para la seguridad 7 7

IPS (Intrusion Prevention System) Objetivos: Detectar de manera efectiva ataques conocidos y no conocidos. Evitar que esos ataques sean exitosos. IPS (IntrusionPrevention System) Se implementan: A la salida a Internet. Extranets - aliados, proveedores, clientes. A la entrada de la DMZ o de redes departamentales. Entre departamentos. Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. 8 8

Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones Recomendaciones Administrativas Mejores Prácticas Modelo de Gobierno de la Seguridad en la Información Auditorías Digitales Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, Junio 2005. Navarro Jorge, Derecho informático, http://www.netmedia.info/bsecure, Junio 2005. 9 9

Mejores Prácticas Son modelos probados de seguridad Informática que nos: Brindan una cobertura muy amplia. Evitan redescubrir el hilo negro. Permiten conocer en dónde estamos (análisis de brechas) y ser sujetos a un proceso de certificación (algunos de ellos). Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. Modelo Británico BS-7799 Parte I: ISO 17799. Define 10 rubros de seguridad y 128 controles. Parte II: Define como hacer la gestión de la seguridad (ISMS). 10 10

ISO-17799 Rubros del ISO 17799 Política de seguridad Organización de la seguridad. Clasificación y control de activos. Seguridad en el personal. Seguridad física. Comunicaciones y operaciones de IT. Control de accesos. Desarrollo y mantenimiento de sistemas. Continuidad del negocio. Cumplimiento de requerimientos legales (Compliance). Modelo de Gobierno de la Seguridad de Información Cómo lograr que los usuarios (a todos los niveles) colaboren con todos los planes y medidas de seguridad? Cómo deben interactuar los distintos responsables de seguridad de la organización?. Cuáles son sus tareas y niveles de autoridad?. Qué políticas deben existir y qué mecanismos hay que implementar para vigilar y reforzar su cumplimiento? Cómo saber si estamos realmente seguros? 11 11

Modelo de Gobierno de la Seguridad de la Información Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. Tabla comparativa entre el Modelo de un Gobierno Corporativo y el Modelo de Gobierno de Seguridad Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. 12 12

Auditoría Digital Está lista su empresa para salir a Internet? La auditoría digital son medidas de Seguridad y Control para garantizar la seguridad de las transacciones y la fiabilidad de la información obtenida a través de la Web. Es una de las medidas tecnológicas de mayor efectividad que utilizan los especialistas en seguridad informática(ej.certificados de ISACA). Navarro Jorge, Derecho informático, http://www.netmedia.info/bsecure/articulos.php?id_sec=53&id_art=5420, Junio 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 13 13

Nuevos Retos de los Negocios Electrónicos RFID (Identificación por Radiofrecuencia) VoIP (Voz sobre el protocolo de Internet) Venta Multicanal Publicidad en línea RSS (Sindicación de contenido) Banda Ancha Inalámbrica Daccach T. José Camilo, Tendencias en Negocios Electrónicos, http://www.hispasec.com/unaaldia/2473, Julio 2005. Agenda Antecedentes Importancia de la Seguridad Nuevos problemas Productos para la seguridad Recomendaciones administrativas Retos Futuros Estrategia de la Seguridad Conclusiones 14 14

Estrategia de la Seguridad Toda compañía debe estar consciente de que cada organización es dueña de su información. Un buen análisis de vulnerabilidades permitirá a las compañías reducir el riesgo de sufrir intrusiones. Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. 15 15

Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. 16 16

Estrategia de la Seguridad Bilbao Alfonso, La seguridad en la economía de las empresas, Securitas, Julio 2005. Elementos de Éxito Soporte de la alta dirección. La prioridad tiene que venir desde arriba. Entre más alto mejor. Si se puede ligar a un proyecto de Gobierno Corporativo tanto mejor. Si no, al menos definir un Comité de Seguridad. Manejo del cambio cultural. La oposición al cambio es alto natural en todos los grupos humanos. Hay que anticiparlo y determinar líneas de acción. Castillo Ulises, La seguridad informática en tiempos difíciles, Scitum, junio 2005. 17 17

Conclusiones La violación a la ley es una amenaza constante.losdelincuentes son innovadores. La seguridad no es para unos cuantos. Se debe prevenir antes que lamentar. Una empresa preparada incluye medidas de Seguridad y Control en todos sus procesos. La Seguridad debe de ser una meta más que se persiga para el éxito y salud de una empresa. Seguridad y Control en las Organizaciones Electrónicas (e-business) Muchas Gracias! Ing. Director Programa en Comercio Electrónico jose.luis.figueroa@itesm.mx http://www.ruv.itesm.mx/pce 18 18

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback