Gestion de Seguridad informatica

Gestión de la Seguridad Informática

1

-{: |-|4Ck3'5 :}-

Universidad Nacional de Ingeniera

GESTION DE LA SEGURIDAD DE LA INFORMACION

●Carlos Mauro Cárdenas●Edith Santos Lorenzo

●José Luis Huamán Flores●Ricardo Callupe

Grupo -{: |-|4Ck3'5 :}-


2

-{: |-|4Ck3'5 :}-


Riesgos, Amenazas y Vulnerabilidades


3

-{: |-|4Ck3'5 :}-


¿ Qué es la seguridad de la información ?

La seguridad de la información protege la información de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el daño del negocio y maximizar el retorno de la inversión y las oportunidades de negocio.


-{: |-|4Ck3'5 :}-


Administración Pacientes

Empleados

Atacantes

Problemas

Auditoria Interna

El Publico

Integridad Confidencialidad

Disponibilidad

Riesgo

¿ Qué es la seguridad de la información ?¿ Qué es la seguridad de la información ?

¿ Qué es la seguridad de la ¿ Qué es la seguridad de la información ?información ?

-{: |-|4Ck3'5 :}-


Bienes Amenazas Vulnerabilidad

Riesgo

Medidas de Seguridad

}}AnálisisAnálisis

Administración

Análisis de Riesgos y Administración de la Plataforma


-{: |-|4Ck3'5 :}-


Pasos en un análisis de riesgos

1. Identificación costo posibles pérdidas (L)

Identificar amenazas

2. Determinar susceptibilidad.La probabilidad de pérdida (P)

3. Identificar posibles acciones (gasto) y sus implicaciones (B).Seleccionar acciones a implementar.

¿ B PL ?

Se cierra

el ciclo

-{: |-|4Ck3'5 :}-


Proceso de administración de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

3. Análisis de Riesgos

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

Monitorear y Revisar

Monitorear y Revisar


-{: |-|4Ck3'5 :}-


Riesgo

VulnerabilidadesAmenazas

Controles

Requerimiento de Seguridad

Bienes de Valor

Bienes

Proteción

Exploit

Reduce

Increementa

Indica

Increment

a Exponen

Tiene

DisminuyeTraen

Impacto en Organizaciones

Amenazas, Riesgos & Amenazas, Riesgos & VulnerabilidadesVulnerabilidades


-{: |-|4Ck3'5 :}-


Ciclo PDCA

Política y Alcance del sistemaAnálisis de riesgos

Selección de controles

Acciones correctivasAcciones preventivasModificación Plan

Implantación del SGSIImplantación controles

Implantación indicadores

Auditoría internaNo conformidades

Grado de cumplimiento

Plan

Do

Check

Act


10

-{: |-|4Ck3'5 :}-


SEGURIDAD


-{: |-|4Ck3'5 :}-


Análisis. Ambitos


-{: |-|4Ck3'5 :}-



-{: |-|4Ck3'5 :}-


Ingeniería de Seguridad

● Modelo CERT

14

Ciclo del proceso de seguridad

Análisis

Operación Planificación

Implementación


-{: |-|4Ck3'5 :}-


Seguridad Lógica

Seguridad Física

16

Requisitos planteados a la seguridad

Requisitos de seguridad

Confiden-cialidad

Integridad Disponibilidad

Autentifi-cación

Control deacceso

Obligato-riedad

Anonimato

Concepto de seguridad

contienen en determinada medida

implementa

17

Seguridad correcta

SeguridadSeguridad

El equilibrio correcto decide el éxitoEl equilibrio correcto decide el éxito

Gasto / costosGasto / costos UtilizabilidadUtilizabilidad

Efici

enci

a

Pro

tecc

ión in

vers

ión

Flexibilidad

Funcionalidad

RentabilidadDisponibilidad


18

-{: |-|4Ck3'5 :}-


SISTEMAS DE GESTION DE LA SEGURIDAD DE LA

INFORMACIONSGSI

-{: |-|4Ck3'5 :}-


Planificar

Hacer

Actuar

Verificar

Está basado en el Modelo utilizado por las NORMAS ISO en general:

Sirve:"Para establecer la política y los objetivos de seguridad de la información de la organización… y para lograr, a continuación estos objetivos".

SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION


20

-{: |-|4Ck3'5 :}-


DIAGNÓSTICO

COTIZACIÓN

CONSULTORÍA

EVALUACIÓN

CAPACITACIÓNy

Certificación

Metodología de Metodología de implementación de la normaimplementación de la norma


-{: |-|4Ck3'5 :}-


DESCRIPCION GENERAL de CERTIFICACIONES

Normas Empresas

•ISO177799

•BS7799

•ISO9001

•COBIT AUDIT GUIDELINES

•COSO

•ITIL

•SARBANES OXLEY ACT

Normas Personas

●CISSP●CISA●CISM●CIA●ISEC+●COMPTia●ETHICAL HACKER OSSTMM

-{: |-|4Ck3'5 :}-


Recursos de TIDatos, Aplicaciones

Tecnología, Instalaciones, Recurso Humano

Req. InformaciónEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad, Cumplimiento,

Confiabilidad

CobiT

Objetivos del Negocio

Planeación y Organización

Adquisición eImplementación

Seguimiento

Prestación de Servicio y Soporte

1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento independiente4. Proveer una auditoría independiente

1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Instalación y Acreditación de sistemas6. Administración de Cambios

IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos10. Administración de Proyectos11. Administración de Calidad

1.Definición del nivel de servicio 2.Administración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Administración de la configuración10.Administración de problemas e incidentes11.Administración de datos12.Administración de Instalaciones13.Administración de Operaciones


-{: |-|4Ck3'5 :}-


Marco COBIT


24

-{: |-|4Ck3'5 :}-


¿Qué es BS 7799 / ISO 17799?

La norma es publicada en dos partes: ISO/CEI 17799 Parte 1: Código de buenas

prácticas relativo a la gestión de la seguridad de la información;

BS 7799 Parte 2: Especificaciones relativas a la gestión de la seguridad de la información.

BS 7799 / ISO 17799 tiene por objetivo "proporcionar una base común para la elaboración de las normas de seguridad de las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas".


25

-{: |-|4Ck3'5 :}-


ISO/CEI 17799


-{: |-|4Ck3'5 :}-


Information Security Management Information Security Management System StandardsSystem Standards

ISO 17799ISO 17799BS 7799BS 7799

IS 17799IS 17799ISO 27001 ISO 27002

Actualización en BS 7799 & IS 17799


-{: |-|4Ck3'5 :}-


-{: |-|4Ck3'5 :}-


PDCA Model Applied to ISMS

-{: |-|4Ck3'5 :}-


ISMS● Illustration of protection classes

-{: |-|4Ck3'5 :}-



31

-{: |-|4Ck3'5 :}-


TENDENCIAS


32

-{: |-|4Ck3'5 :}-


¿Pero cuales son las tendencias de futuro?

1. Internet (Banda Ancha)

2. Comunicaciones móviles (3G)

3. Computación ubicua1. Informatización y conexión en red de todas

las cosas

2. Disponer de capacidad de proceso de información en cualquier lugar y en cualquier momento

3. Equipos móviles, PDA, integración TV-PC, domótica

4. Negocio electrónico (e-Business)

5. Aplicaciones y servicios (software)

6. Tecnologías asociadas a contenidos


33

-{: |-|4Ck3'5 :}-


Computación ubicua: La informática en todas partes

● Microelectrónica.● Dispositivos móviles.● Seguridad en dispositivos

móviles.

Desarrollo de aplicaciones distribuidas

● Diseño y evaluación de sistemas hipermedia

● Seguridad en comercio electrónico

● Servidores de información Sistemas de tiempo real Sistemas distribuidos Seguridad en sistemas

distribuidos● Enseñanza asistida por

ordenador● Recuperación y acceso a la

información Programación avanzada


-{: |-|4Ck3'5 :}-


Computer Security Day● 30 de

noviembre 2006

● Actividades de concientización en Seguridad


-{: |-|4Ck3'5 :}-


Bibliografía

●CERT http://www.cert.org/

●COBIT http://en.wikipedia.org/wiki/COBIT

●ISO 27001- Sistemas de Gestión Seguridad de la Información

●http://sgsi-iso27001.blogspot.com/

●ISO/IEC_17799 http://en.wikipedia.org/wiki/ISO/IEC_17799

●Análisis de la Norma ISO-27001

●http://www.rzw.com.ar/modules.php?name=News&file=article&sid=3681

●Oficina Nacional de Gobierno Electrónico e Informática

●http://www.pcm.gob.pe/portal_ongei/

Gestion de Seguridad informatica

Technology

Transcript of Gestion de Seguridad informatica