1 “Lis de Veracruz: Arte, Ciencia, Luz” 2016

2 Desarrollar en la comunidad universitaria los conocimientos fundamentales sobre la seguridad de la información, buen uso de los activos, prevención de incidentes de seguridad y proteger la privacidad de la información Objetivo General

3 Tema 1: Introducción a la seguridad de la información Tema 2: Prácticas en el tratamiento de la información Tema 3: ¿Qué hace la UV para proteger tu información? Temario del curso

4

5 Reconocer el término de seguridad de la información, cuáles son sus elementos y dimensiones, los principales actores que ponen en riesgo o amenazan la información institucional e incluso personal y la importancia de salvaguardar los activos de información. Introducción a la Seguridad de la Información Objetivo

6 1.1¿Qué es seguridad de la información? 1.2 Importancia de la seguridad de la información 1.3 Elementos de seguridad Introducción a la Seguridad de la Información Temario

7 Es un proceso integrado por un conjunto de medidas preventivas y reactivas que se ponen en práctica en las instituciones para proteger la información y mantener la confidencialidad, disponibilidad e integridad de la misma. Introducción a la Seguridad de la Información ¿Qué es la seguridad de la información?

8 Todo aquel conjunto de datos en poder de una organización que representen un valor para la misma, independientemente de: Introducción a la Seguridad de la Información ¿Qué se entiende por información? Interior Exterior ORIGEN Escrita Correo Proyecta Impresa Oral Imagen ALMACENAMIENTO / TRANSMISIÓN

9 Todo conjunto organizado de archivos, registros, ficheros, bases de datos o bancos de datos personales de los entes públicos, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso. *1 Introducción a la Seguridad de la Información ¿Qué es un Sistema de Datos Personales? *1 Ley 848 de Transparencia y Acceso a la Información Pública para el Estado de Veracruz de Ignacio de la Llave, Titulo primero, Capítulo único, Disposiciones generales, Artículo 6 Sistema de datos personales

10 Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean. *2 Introducción a la Seguridad de la Información Medidas de seguridad *2 Ley 848 de Transparencia y Acceso a la Información Pública para el Estado de Veracruz de Ignacio de la Llave, Titulo primero, Capítulo único, Disposiciones generales, Capítulo VII Medidas de seguridad, Artículo 29

11 Nivel Alto. Ideología, religión, creencias, política, origen étnico, salud, biométricos, genéticos, vida sexual, policiales, de seguridad, prevención, investigación y persecución de delitos. Nivel Medio. Infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, evaluación de la personalidad del individuo. Nivel Básico. Identificativos, electrónicos, laborales, académicos, tránsito y migración. Medidas de Seguridad Documento de seguridadFunciones y obligaciones de quienes intervienen Registro de incidentesIdentificación y autentificación Control de accesoGestión de soportes Copias de respaldo y recuperación Medidas de Seguridad Responsable de seguridadAuditoría Pruebas con datos realesControl de acceso físico Medidas de Seguridad Distribución de soportesRegistro de acceso Telecomunicaciones Introducción a la Seguridad de la Información ¿Cuáles son los niveles de información respecto a la seguridad?

12 Evento que puede afectar a la seguridad personal o de la institución. Incidente que pone en poder de una persona ajena a la institución, información que sólo debería estar disponible para integrantes de la misma, este tipo de incidente puede ser interno o externo y a la vez intencional o no. Fuga de Información Introducción a la Seguridad de la Información Incidente de seguridad

13 Fuente: Análisis global de los costos por violación de datos 2014 del Instituto de Investigaciones Independiente Ponemon (Causas de violación de datos en las organizaciones de 10 países). Contribuye en gran medida a: violaciones de datos y a pérdidas costosas Introducción a la Seguridad de la Información Principales causas de incidentes de seguridad

14 Fuente: 2015 Cost of Cyber Crime Study: Global del Instituto de Investigaciones Independiente Ponemon (Causas de violación de datos en las organizaciones de 10 países). Introducción a la Seguridad de la Información Costo de CiberCrimen 2015

15 Fuente: 2015 Cost of Cyber Crime Study: Global del Instituto de Investigaciones Independiente Ponemon (Causas de violación de datos en las organizaciones de 10 países). Introducción a la Seguridad de la Información Costo de CiberCrimen por tipo en el 2015

16 Robo de números completos o parciales de la seguridad social y acceso ilegal a la información de cuentas; Multa de 25 millones de dólares a AT&T por parte de la Comisión Federal de Comunicaciones de Estados Unidos (FCC); Información personal de 51,422 clientes de AT&T usados para desbloquear 290,803 dispositivos desde el portal de AT&T. Fuente: Nota del periódico digital El Economista: México crea problemas a la protección de datos de AT&T, Abril 09, 2015. http://eleconomista.com.mx/tecnociencia/2015/04/09/mexico-crea-problemas-proteccion-datos-att Introducción a la Seguridad de la Información

17 Fuente: Diversos estudios evaluaciones del 2015. Reporte del 1er trimestre 2016 Lugar 10 de 15 países generadores de mayor cantidad de spam a nivel latinoamericano. 8avo. país con mayor robo de identidad a nivel mundial. $108 millones de pesos anuales por robo de identidad. 6º. lugar mundial en la lista de países receptores de estafas en redes sociales y es el número uno en América Latina, seguido de Brasil y Colombia. Introducción a la Seguridad de la Información

18 Elementos

19 Son todos aquellos elementos que tienen valor para la institución y son necesarios para mantener la continuidad de las operaciones. Pueden proceder de distintas fuentes de información y encontrarse en diferentes soportes, se clasifican en: Introducción a la Seguridad de la Información Activos de Información

20 Integridad No esté disponible a cualquiera Accesos controlados con uso de bitácoras Exacta No sea alterada Accesible Utilizable Introducción a la Seguridad de la Información Dimensiones de la seguridad de la información

21 Introducción a la Seguridad de la Información Otros conceptos de la seguridad Grado de exposición de un activo ante una amenaza que se materialice causando un impacto adverso. Indica lo que le podría pasar a los activos si no se protegen adecuadamente. Evento que puede desencadenar un incidente, produciendo daños en los activos. Riesgo Amenaza Debilidad de un activo o de un control que puede ser afectado por una o más amenazas. Vulnerabilidad Consecuencia de la materialización de la amenaza sobre un activo. Impacto

22 Introducción a la Seguridad de la Información Beneficios Inducir al compromiso con la protección de información; Cumplir con requerimientos legales; Disminuir incidencias en seguridad de la información y costos; Incrementar niveles de confianza respecto a la protección de información; Crear una cultura en seguridad de la información.

23

24 Identificar la problemática actual a la que se enfrenta la seguridad de la información tanto física como lógica ante amenazas internas y externas, tales como: desastres naturales, problemas sociales, delincuencia, ciberataques, robo de información e identidad digital, comercio electrónico fraudulento, entre otros. Prácticas en el tratamiento de la Información Objetivo

25 2.1 Seguridad Física 2.1.1 Instalaciones 2.1.2 Personas 2.1.3 Información impresa y/o escrita 2.2 Seguridad Lógica 2.2.1 Navegación segura 2.2.2 Equipos de cómputo y dispositivos móviles 2.2.3 Amenazas y ataques 2.2.4 Medios de comunicación 2.2.5 Medidas de seguridad Prácticas en el tratamiento de la Información Temario

26 Acceso no autorizado Desastres naturales Fluctuación Eléctrica Copias de seguridad RIESGOS Se refiere a los mecanismos destinados a proteger físicamente cualquier activo de información institucional, ya sean primarios o de soporte. Estos mecanismos de protección dependerán de varios factores tales como el entorno y nivel de importancia del activo de información a proteger. Prácticas en el tratamiento de la Información Seguridad Física

27 Asegurar que las puertas y ventanas estén bien cerradas y con protección externa; Contar con herramientas de seguridad: alarmas, extintores, etc; Controlar el acceso a las áreas restringidas; Identificar con señalética las salidas de emergencia y áreas restringidas. Prácticas en el tratamiento de la Información Seguridad Física - Instalaciones

28 Uno de los activos de información principales son las personas o bien el recurso humano de una organización. Abuso de autoridad; Acoso; Asalto; Balaceras; Bullying; Extorsión; Manifestaciones; Mobbing; Secuestro. Prácticas en el tratamiento de la Información Seguridad Física - Personas

29 Prácticas en el tratamiento de la Información Seguridad Física – Escritorios y monitores limpios El tratamiento de la informacion también esta en documentos impresos y escritos, por lo tanto para evitar cualquier fuga de información se recomienda realizar las siguientes prácticas:

30 Una violación de la seguridad lógica se presenta, generalmente, a través de ataques cibernéticos, que provocan que la información almacenada pueda ser susceptible a robo o bien sufrir alteraciones, siendo necesario implementar acciones, técnicas o herramientas que permitan mitigar los accesos no autorizados y daños a la misma. Prácticas en el tratamiento de la Información Seguridad Lógica

31 “Empresas, gobiernos y países enteros administran cantidades exorbitantes de información, por lo que actualmente controlar la integridad, disponibilidad y confidencialidad del Internet se vuelve un tema fundamental en lo económico y político de las naciones”. Enrique Galindo Ceballos, Comisionado General de la Policía Federal de México Fuente: Cifras 2014 de la Unión Internacional de Telecomunicaciones (UIT) y Centro Nacional de Respuesta a Incidentes Cibernéticos d el Policía Federal. El 53% de los incidentes fueron en contra de los tres órdenes de gobierno, 26% al ámbito académico y 21% al privado; Las principales afectaciones son: 68% suplantación y robo de identidad, 17% fraude cibernético, 15% ataques a sitios web; Se identificaron y desactivaron 5,549 sitios web apócrifos usurpadores de instancias financieras y de gobierno; Prevención de fraudes por más de $1,000 millones de pesos, mientras que por el virus que usurpaba instituciones policiales por más de $2,000 millones de pesos. Genera pérdidas de entre 375,000 a 575,000 millones de dólares anuales a nivel mundial; México se coordina con 316 equipos de respuesta a incidentes cibernéticos de 69 países; En México ascienden a 3,000 millones de dólares. En 2015, la ciberdelincuencia tuvo un costo de $101,400 millones de pesos, de acuerdo con Symantec, lo que representa 13 veces más de lo obtenido por fraudes bancarios el año previo; Prácticas en el tratamiento de la información Cibercrimen - Impacto Prácticas en el tratamiento de la Información Seguridad Lógica

32 Prácticas en el tratamiento de la Información Seguridad Lógica Navegación Segura Equipos de cómputo y dispositivos móviles Amenazas y ataques Medios de comunicación Medidas de seguridad

33 Prácticas en el tratamiento de la Información Seguridad Lógica – Navegación Segura Consiste en adquirir buenos hábitos que reduzcan el riesgo de ser víctimas de fraudes, aumentar el nivel de protección y lograr que los usuarios se expongan menos a las amenazas existentes en el uso cotidiano de Internet.

34 Prácticas en el tratamiento de la Información Seguridad Lógica – Navegación Segura – DeepWeb «Deep Web» de Rezonansowy - Trabajo propio F16 drawing.svg. Disponible bajo la licencia CC BY-SA 3.0

35 Prácticas en el tratamiento de la Información Seguridad Lógica – La Nube (Cloude) Servicio que se ofrece a través de internet y consiste en permitir almacenar archivos fuera del equipo de cómputo o dispositivo móvil de manera que estén accesibles en todo momento y lugar con conexión a internet.

36 Prácticas en el tratamiento de la Información Seguridad Lógica – Equipos de cómputo y dispositivos móviles Equipos de cómputo Existe una gran cantidad de dispositivos electrónicos que permiten mantener informados y comunicados a los usuarios en todo momento, así como realizar el tratamiento a la información. Adopción del buen uso de dispositivos móviles a fin de que el personal pueda acceder a los servicios de TI y otros recursos desde cualquier ubicación.

37 Prácticas en el tratamiento de la Información Seguridad Lógica – Amenazas y ataques Comprometer la seguridad de una red de computadoras o sistema de información utilizando varios métodos y con distintos objetivos. Mediante virus informáticos, SPAM, Suplantación de remitentes, envío de archivos ocultos. Uso de herramientas informáticas mediante Internet para su ejecución con el objetivo de obtener beneficios, financieros, sociales y políticos. Robo de identidad, Phishing, SPAM Son mensajes no solicitados, habitualmente de tipo publicitario, enviados en forma masiva. La vía más utilizada es el correo electrónico. Correo electrónico, Mensajería instantánea, Llamadas por telefonía IP, Mensajes escritos. Es un tipo de ataque de fuerza bruta en el que se usa toda la potencia de un sistema informático para adivinar una clave. Ciberataque o ataque cibernético Cibercrimen SPAM Ataque criptográfico

38 Prácticas en el tratamiento de la Información Seguridad Lógica – Amenazas y ataques Acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para cumplir metas específicas. Obtención de información para acceder a un sistema o la ejecución de una actividad más elaborada. Envío de correos electrónicos que en apariencia parecen provenir de fuentes fiables para intentar obtener datos confidenciales del usuario, que posteriormente son utilizados para la realización de algún tipo de fraude. Código malicioso que tiene por objeto alterar el funcionamiento normal del dispositivo sin el permiso del usuario mediante el reemplazo de archivos ejecutables, destruyendo o alterando los datos almacenados, entre otros. Ingeniería Social Phishing Virus

39 Prácticas en el tratamiento de la Información Seguridad Lógica ¿Cómo protegernos? Implementar herramientas tecnológicas de prevención (antivirus); Actualizar periódicamente los sistemas operativos y aplicaciones, especialmente los navegadores Web; Escribir la dirección en el navegador de Internet en lugar de hacer clic en el enlace proporcionado; Comprobar que la página web en la que ha entrado es una dirección segura (https:// y un candado cerrado); Al navegar o registrarse en sitios de baja confianza hacerlo con cuentas de correo destinadas para este fin;

40 Prácticas en el tratamiento de la Información Seguridad Lógica ¿Cómo protegernos? No enviar mensajes en cadena, si aún así deseara enviar mensajes a muchos destinatarios hacerlo siempre Con Copia Oculta (CCO); Recomendable usar diferentes cuentas de correo para fines: laborales, personales y contacto público; Utilizar diferentes contraseñas para diferentes cuentas, fuertes y seguras; Revisar periódicamente las cuentas para detectar transferencias o transacciones irregulares. Autenticación de dos pasos cuando sea posible.

41 Prácticas en el tratamiento de la Información Seguridad Lógica ¿Cómo protegernos? Bloquear equipos con contraseña; Realizar respaldos; Establecer en la organización una cultura de seguridad mediante formación del personal; Implementar un conjunto de políticas de seguridad en la organización que minimice las acciones de riesgo en favor de la integridad física e infraestructura; Implementar las mejores prácticas sobre seguridad y medidas preventivas;

42 Prácticas en el tratamiento de la Información Seguridad Lógica – Medios de comunicación Comercio electrónico Correo electrónico Redes Sociales Bluetooth Wifi

43 Recomendaciones Prácticas en el tratamiento de la Información Seguridad Lógica – Medios de comunicación Comercio electrónico Certificados digitales; Congruencia entre navegador y portal; Conexión segura entre navegador y servidor; Portales conocidos y autoridad de certificación; Terceros sin dar la contraseña; Tarjeta de crédito con límite de gasto. Redes Sociales Identidad Comentarios inadecuados; Perfil, lista de contactos; Alias; Geolocalización. Privacidad Datos personales; Fotos; Políticas; Bloqueo ante amenazas. Correo electrónico Remitentes conocidos; Uso laboral o escolar; Evitar sitios públicos; Utilizar copia oculta (CCO); Cerrar sesiones; No abrir archivos ni enlaces; Habilitar filtro anti-spam; Utilizar varias cuentas; Generar contraseñas fuertes.

44 Recomendaciones Prácticas en el tratamiento de la Información Seguridad Lógica – Medios de comunicación Bluetooth Activar sólo cuando se utilice; Asignar un nombre al dispositivo; Configurar como invisible; Revisar dispositivos de confianza registrados; Establecer claves de 5 caracteres para transferencia de datos; Evitar conexiones desconocidas; Actualizar el sistema operativo del dispositivo; Evitar guardar información sensible. Wifi Activar sólo cuando se utilice; Modificar contraseña por omisión; Utilizar contraseñas alfanumericas; Evitar compartir la contraseña con cualquier personal; Desactivar conexión automática a redes públicas; Desactivar opciones para compartir archivos; Evitar compras en línea y consulta de cuentas bancarias.

45 Prácticas en el tratamiento de la Información Seguridad Lógica – Medidas de seguridad ContraseñasActualizacionesCifrado

46 Prácticas en el tratamiento de la Información Seguridad Lógica – Medidas de seguridad Funciona como la primera barrera contra accesos no autorizados y mientras más segura mejor protegida está la información contra personas y programas malintencionados. Evitar incluir datos personales así como palabras de diccionario Utilizar 8 caracteres alfanuméricos como mínimo Evitar compartir cuentas Cambiar cada 3 meses Evitar su exposición Cuidarse de observadores al teclear Utilizar frases Habilitar las opciones de recuperación Contraseñas Ejemplo: Usando la frase "Lo esencial es invisible a los ojos" podemos generar la contraseña "Leeialo!" (el signo de exclamación colocado al final es solamente para añadir un símbolo a la contraseña). Recomendaciones: Usar claves con una longitud de al menos 8 caracteres que combine letras mayúsculas y minúsculas, números y símbolos; Caracteres permitidos para conformar una contraseña: # $ * _ % = ¡ ¿. +, [ ] { } - : Caracteres no permitidos para una contraseña: ( ) / “ ‘ @ & y espacios en blanco. En el caso de cuentas del SIIU, no utilizar: : $ @ “

47 Prácticas en el tratamiento de la Información Seguridad Lógica – Medidas de seguridad Son adiciones al software que pueden evitar o corregir problemas, aumentar la seguridad del equipo o bien mejorar el rendimiento de éste. Descargar de sitios oficiales, vigilar privilegios y estatus; Evitar sitios pirata, sistemas operativos o aplicaciones antiguas; Habilitar la opción de actualización automática Actualizaciones Cifrar es transformar información con el fin de protegerla de miradas ajenas o intrusos, un mensaje se altera hasta volverse irreconocible o incomprensible, pero la información no se pierde, sino que puede recuperarse a futuro. Se utiliza cuando: Se ingresa en cualquier página web; Se vota en las elecciones a través de Internet; Al pagar en Internet con una tarjeta de crédito; Cuando se recibe y envía correos electrónicos; Al momento de guardar documentos confidenciales; Cuando se comprueba la integridad de un archivo. Cifrado

48

49 Conocer la normatividad existente en el ámbito nacional y estatal en materia de protección de datos personales, información confidencial y reservada, así como la estrategia institucional en el cumplimiento de estas reglamentaciones con la implementación de un sistema de gestión de seguridad de la información, también reconocerá el actuar ante los incidentes de seguridad y lo que implica el plan de sensibilización del recurso humano. ¿Qué hace UV para proteger tu información? Objetivo

50 3.1 Normatividad; 3.2 Sistema de Gestión de Seguridad de la Información; 3.3 ¿Qué hacer en caso de tener un incidente de seguridad en UV?; 3.4 Plan de sensibilización. ¿Qué hace UV para proteger tu información? Temario

51 Constitución Política de los Estados Unidos Mexicanos; Código Penal Federal; Ley General de Transparencia y Acceso a la Información Pública; Ley 848 de Transparencia y Acceso a la Información Pública para el Estado de Veracruz de Ignacio de la Llave, con reforma; La Ley número 581 para la Tutela de los Datos Personales en el Estado de Veracruz de Ignacio de la Llave; Reglamento de Transparencia, Acceso a la Información y Protección de Datos Personales de la Universidad Veracruzana; Norma ISO/IEC 27001:2013 Tecnología de la información-Técnicas de seguridad- Sistemas de gestión de seguridad de la información-Requerimientos; Política de Seguridad de la Información UV; Reglamento para la Seguridad de la Información. (en proceso de revisión oficina Abogado General). ¿Qué hace UV para proteger tu información? Normatividad

52 ¿Qué hace UV para proteger tu información? Organismos nacionales e internacionales

53 Establece los controles para salvaguardar los activos de información con el fin de mitigar los riesgos y proteger los datos personales e institucionales para la preservación de la confidencialidad, integridad y disponibilidad de los datos, así como de los sistemas implicados en su tratamiento. ¿Qué hace UV para proteger la información? Sistema de Gestión de Seguridad de la Información (SGSI) * * Norma ISO/IEC 27001:2013 Tecnología de la información-Técnicas de seguridad-Sistemas de gestión de seguridad de la información-Requerimientos;

54 Este sistema permite asegurar la identificación, valoración y gestión de los activos de información y sus riesgos, en función del impacto que representan para la organización. ¿Qué hace UV para proteger tu información? Sistema de Gestión de Seguridad de la Información (SGSI) Alcance; Política de seguridad; Análisis y gestión del riesgo; Controles de seguridad; Programas de capacitación y sensibilización; Gestión de incidencias; Procedimientos y documentación.

55 Establecer una cultura de seguridad de la información para proteger los activos de información y mantener su confidencialidad, integridad y disponibilidad, así como hacer conciencia en los usuarios para que actúen de forma responsable en el manejo de la misma. ¿Qué hace UV para proteger tu información? Plan de sensibilización - Objetivo Estrategia institucional; Diagnóstico del nivel de cultura; Evaluaciones de eficacia; Programa de capacitación. Acciones principales

56 Concientizar a la comunidad universitaria respecto a la cultura de seguridad de la información mediante el establecimiento de medidas preventivas para el uso responsable en el tratamiento de la información personal e institucional. ¿Qué hace UV para proteger tu información? Plan de sensibilización – Objetivo de la campaña

57 La encuesta de sondeo es una herramienta permite identificar las áreas de oportunidad para establecer las estrategias de sensibilización más adecuadas acerca de la importancia de la seguridad de la información. ¿Qué hace UV para proteger tu información? Plan de sensibilización - Medición

58 Evaluación de las encuestas de sondeo; Reportes de incidentes de seguridad; Mesa de ayuda; Preferencias en redes sociales y en el portal UV de seguridad de la información: http://www.uv.mx/infosegurahttp://www.uv.mx/infosegura La elección de estos temas está supeditada a: ¿Qué hace UV para proteger tu información? Plan de sensibilización - Temáticas

59 MedioCanal Portal webPortal UV (www.uv.mx/infosegura)www.uv.mx/infosegura Spot de VideoMi UV, pantallas ubicadas en las instalaciones de las facultades, salas de videoconferencia, portal web, videoteca, redes sociales y iTunesU UV Spot de RadioRadio UV Anuncio en medios impresos Universo PendónEntidades y dependencias BannerPortales institucionales Redes socialesFacebook (seginfoUV) Twitter (@infosegurauv) ComunicadosCorreo electrónico institucional El plan de medios busca elegir las plataformas de difusión para promocionar las temáticas de seguridad de la información y establecer la mejor combinación de medios para lograr los objetivos planteados. ¿Qué hace UV para proteger tu información? Plan de sensibilización - Difusión

60 Otro recurso que se utiliza para reafirmar de manera fácil y dinámica la penetración de los conocimientos adquiridos acerca de la seguridad de la información en la comunidad universitaria, consiste en la aplicación de trivias semanales dentro del portal infosegura, apoyándose para su difusión en las redes sociales. ¿Qué hace UV para proteger tu información? Plan de sensibilización - Aplicaciones

61 Preguntas

62 En caso de requerir mayor información, comunicarse mediante: Mesa de ayuda: http://mesadeayuda.uv.mx/MADGTI/http://mesadeayuda.uv.mx/MADGTI/ Correos electrónicos: [email protected], [email protected], [email protected], [email protected];[email protected]@uv.mx [email protected]@uv.mx Portal información segura: http://www.uv.mx/infosegurahttp://www.uv.mx/infosegura Redes sociales: seginfoUV @infosegurauv Contactos

63 Dr. Octavio Ochoa Contreras Secretaría de la Rectoría M. en A. Elsa Ortega Rodríguez Dirección General de Tecnología de Información

64 ¿Qué hace UV para proteger tu información? Definición Alcance inicial

65 “La Universidad Veracruzana establece acciones para proteger los activos de información frente a riesgos y amenazas conforme a la metodología interna de evaluación y tratamiento de riesgos, con el fin de mantener la confidencialidad, integridad y disponibilidad de la información, contribuyendo a la continuidad de los procesos institucionales, en apego a la legislación universitaria y normatividad en la materia.” ¿Qué hace UV para proteger tu información? Enunciado de la Política de Seguridad de la Información

66 ¿Qué hace UV para proteger tu información? Análisis y Gestión de riesgos Identificar: Activos críticos Grado de impacto Amenazas Vulnerab ilidades Determinar si los riesgos se: AsumenMitiganTransfierenEvitan Aplicar controles conforme al impacto de forma: SistemáticaEstructuradaRepetibleEficiente

67 5. POLÍTICA DE SEGURIDAD 100% 5. POLÍTICA DE SEGURIDAD 100% 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 93.50% 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 93.50% 8. GESTIÓN DE ACTIVOS 75% 8. GESTIÓN DE ACTIVOS 75% 7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 50.64% 7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 50.64% 11. SEGURIDAD FÍSICA Y DEL ENTORNO 62.36 % 11. SEGURIDAD FÍSICA Y DEL ENTORNO 62.36 % 13. SEGURIDAD EN LAS TELECOMUNICACIONES 63.61% 13. SEGURIDAD EN LAS TELECOMUNICACIONES 63.61% 17. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 10.00% 17. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 10.00% 16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN 71.43% 16. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN 71.43% 14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN 43.98% 14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN 43.98% Estratégico Operativo 15. RELACIONES CON PROVEEDORES 15.56% 15. RELACIONES CON PROVEEDORES 15.56% 12. SEGURIDAD EN LAS OPERACIONES 41.83% 12. SEGURIDAD EN LAS OPERACIONES 41.83% 10. CIFRADO 30% 10. CIFRADO 30% 18. CUMPLIMIENTO 20% 18. CUMPLIMIENTO 20% 9. CONTROL DE ACCESO 82% 9. CONTROL DE ACCESO 82% Táctico ¿Qué hace UV para proteger la información? Controles de la Norma ISO/IEC 27001:2013

68 ¿Qué hace UV para proteger la información? Plan de sensibilización – Programas de capacitación Compromiso de la gestión de la seguridad de la información; Familiarizarse con el cumplimiento de obligaciones; Concientizar de la responsabilidad en el tratamiento de la información; Aplicación de procedimientos básicos de seguridad de la información; Educación continua y materiales de formación en seguridad de la información.

69 Mesa de Ayuda Vía Telefónica al (228) 842-17-00 Ext. 11502, 11506, 11529; Vïa correo electrónico a [email protected] ; [email protected] Desde la página web http://mesadeayuda.uv.mx/MADGTI/ http://mesadeayuda.uv.mx/MADGTI/ ¿Qué hace UV para proteger la información? ¿Qué hacer en caso de tener un incidente de seguridad en UV? Formulario http://www.uv.mx/infosegura/7474_denunc iaincidentesuv/

70 ¿Qué hace UV para proteger la información? Procedimientos y documentación