1
00:00:06,470 --> 00:00:13,370
En este video del curso trataremos la definición de seguridad de la información qué es seguridad de

2
00:00:13,370 --> 00:00:14,790
la información.

3
00:00:15,050 --> 00:00:21,660
La información como tal es un activo para la empresa ya hace muchos años quedó atrás el tema de por

4
00:00:21,670 --> 00:00:28,130
qué la información es un activo básicamente porque nos damos cuenta que hoy en día la información que

5
00:00:28,130 --> 00:00:35,210
manejan las empresas es algo estratégico importante que puede darle la diferencia con la competencia

6
00:00:35,840 --> 00:00:39,770
y eso lo vemos tanto a nivel de comercio como a nivel de gobierno.

7
00:00:40,610 --> 00:00:46,640
Hoy en día el tema de la información que busca un gobierno de otro así como empezó siendo a nivel de

8
00:00:46,640 --> 00:00:52,670
comercio cuando la competencia nuestra buscaba información nuestra para adelantarse en estrategias de

9
00:00:52,670 --> 00:00:59,360
negocios y demás pues hoy en día vemos que eso pasa hasta a nivel de gobierno también y vemos el caso

10
00:00:59,360 --> 00:01:06,380
Snowden y vemos el tema de WikiLeaks y vemos cómo la información como tal son activos importantísimos

11
00:01:06,850 --> 00:01:12,620
y lo podemos ver tanto a ese nivel macro de ciberseguridad como a un nivel personal.

12
00:01:12,680 --> 00:01:17,810
Nosotros también tenemos información y también tenemos información que manejamos cuando estamos con

13
00:01:17,810 --> 00:01:20,180
la familia con nuestros hijos.

14
00:01:20,180 --> 00:01:25,880
También podemos ser víctimas de ese tipo de ataques y también podemos darle un valor a nuestra información

15
00:01:26,270 --> 00:01:29,960
de acuerdo a cómo pueden llegar a impactar nuestras vidas.

16
00:01:29,960 --> 00:01:36,530
Entonces esa es la razón por la que la información es un activo y de por qué hay que protegerla.

17
00:01:37,710 --> 00:01:43,230
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones

18
00:01:43,260 --> 00:01:49,770
y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la

19
00:01:49,770 --> 00:01:55,970
confidencialidad la disponibilidad e integridad de datos y de la misma.

20
00:01:56,250 --> 00:02:02,520
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática ya

21
00:02:02,520 --> 00:02:09,390
que este último sólo se encarga de la seguridad en el medio informático pero la información puede encontrarse

22
00:02:09,450 --> 00:02:16,480
en diferentes medios o formas y no sólo en medios informáticos para el hombre como individuo.

23
00:02:16,480 --> 00:02:22,690
La seguridad de la información tiene un efecto significativo respecto a su privacidad la que puede cobrar

24
00:02:22,690 --> 00:02:30,180
distintas dimensiones dependiendo de la cultura del mismo el campo de la seguridad de la información

25
00:02:30,660 --> 00:02:37,170
ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial convirtiéndose en

26
00:02:37,170 --> 00:02:39,560
una carrera acreditada a nivel mundial.

27
00:02:40,430 --> 00:02:46,610
Este campo ofrece muchas áreas de especialización incluidos la auditoría de sistemas de información

28
00:02:47,210 --> 00:02:53,270
planificación de la continuidad del negocio ciencia forense digital y Administración de Sistemas de

29
00:02:53,270 --> 00:03:02,280
Gestión de Seguridad entre otros cómo vamos a proteger ese activo recordemos que todos esos canales

30
00:03:02,280 --> 00:03:09,090
de información que hemos visto a través del medio impreso electrónico a través de la transmisión almacenamiento

31
00:03:09,090 --> 00:03:16,680
o el procesamiento tienen ligado al factor humano siempre va a estar allí la interfaz humana siempre

32
00:03:16,680 --> 00:03:24,410
va a estar el factor humano en ese procesamiento en esa transmisión y en ese almacenamiento de la información.

33
00:03:24,810 --> 00:03:31,260
Nosotros podemos configurar las herramientas nosotros podemos parametrizar las aplicaciones podemos

34
00:03:31,260 --> 00:03:37,290
parametrizar las conclusiones en un sistema de información pero con las personas la única manera de

35
00:03:37,290 --> 00:03:43,770
hacer esa configuración y hacer esa parametrización es a través de las políticas y los procedimientos

36
00:03:44,490 --> 00:03:52,050
es la forma cómo podemos hacerlo para ese factor humano entonces un buen comienzo es iniciar por ahí

37
00:03:52,760 --> 00:03:58,650
y muchos sistemas de gestión de seguridad de la información en mi experiencia son hechos a través de

38
00:03:58,650 --> 00:04:05,340
las herramientas y las soluciones pero muy poco pensados a través de las políticas y los procedimientos

39
00:04:06,030 --> 00:04:12,750
entonces se encuentra uno políticas de seguridad en las que dice por ejemplo todos los funcionarios

40
00:04:12,750 --> 00:04:19,860
de una entidad deberán conectarse a una red WiFi segura imagínese traten ustedes de explicarles a un

41
00:04:19,860 --> 00:04:27,180
usuario final que es una red WiFi segura o con qué criterios ellos van a saber si una red wifi es segura

42
00:04:27,270 --> 00:04:36,480
o no. Entonces desde ese mismo diseño de la política ya estamos arrancando mal porque si tenemos una

43
00:04:36,480 --> 00:04:43,580
buena intención de que nuestros usuarios se conecten desde una red WiFi segura pero ni ellos saben identificarla.

44
00:04:43,890 --> 00:04:50,820
Les hemos dado una aplicación manual una documentación donde ellos puedan identificar cuándo una red

45
00:04:50,820 --> 00:04:59,160
wifi es segura cuándo no o de todas las que tienen disponibles son seguras y cuáles no. Entonces básicamente

46
00:04:59,280 --> 00:05:04,710
desde allí pueden llegar a partir muchos problemas en lo que tiene que ver con el Sistema de Gestión

47
00:05:04,710 --> 00:05:13,440
de Seguridad de la información desde las mínimas definiciones de las políticas hablemos de los procedimientos.

48
00:05:13,580 --> 00:05:20,590
Muchas veces nosotros tenemos cuando adoptamos a la persona que ejecuta el rol de administrador de firewall.

49
00:05:20,630 --> 00:05:26,210
Cuando editamos el administrador de la base de datos ellos nos pueden explicar claramente cómo hacen

50
00:05:26,210 --> 00:05:34,520
su trabajo pero esto es importantísimo que esté documentado en ese paso a paso que nos está explicando

51
00:05:34,910 --> 00:05:42,320
debe estar documentado tanto como si esa persona se va y tiene alguien que reemplazarla ya sea temporalmente

52
00:05:42,380 --> 00:05:49,850
o definitivamente como por poder establecer si ese paso a paso es la mejor manera de hacer las cosas

53
00:05:50,590 --> 00:05:53,030
o de pronto hay una mejor manera de hacerlo.

54
00:05:54,030 --> 00:06:01,650
Básicamente los procedimientos sirven para eso para detallar paso a paso y que se definan de la mejor

55
00:06:01,650 --> 00:06:06,510
manera y se vayan mejorando y se vayan enriqueciendo.

56
00:06:06,510 --> 00:06:13,380
Entonces esa es de las primeras cosas que se deben definir en un sistema de estudio de seguridad de

57
00:06:13,380 --> 00:06:19,740
la información para que de allí en adelante empiecen a partir los controles y saber si los controles

58
00:06:19,740 --> 00:06:26,850
los podemos apoyar en una herramienta o basta con un control manual dependiendo del tamaño de la organización

59
00:06:27,330 --> 00:06:31,660
y otros aspectos en el rol de auditor o implementadores.

60
00:06:32,200 --> 00:06:39,420
Hace mucha falta el procedimiento para poder saber si lo están haciendo bien o no piense en cómo podría

61
00:06:39,420 --> 00:06:45,900
auditar la gestión que puede estar haciendo el administrador de firewall si no hay documentación si

62
00:06:45,900 --> 00:06:50,830
no hay un procedimiento si no hay un paso a paso es muy difícil auditar.

63
00:06:50,830 --> 00:06:58,620
Entonces empecemos por ahí si no hay un proceso documentado si la forma en la que se hace no se rige

64
00:06:58,650 --> 00:07:04,710
a la política pues ya empezamos a tener cuestiones de incumplimiento no más en el proceder del control.

65
00:07:04,890 --> 00:07:11,610
Y más allá podemos comenzar a encontrar oportunidades de mejora o no conformidades que nos van a ayudar

66
00:07:11,610 --> 00:07:17,820
a saber si el control es efectivo o no dentro del rol de consultor o de implementación.

67
00:07:17,910 --> 00:07:25,140
Debemos apoyar en la creación de procedimientos políticas procesos e instrucciones de trabajo que soporten

68
00:07:25,230 --> 00:07:27,390
un sistema de seguridad de la información.