GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.
-
Upload
felipe-quintero-jimenez -
Category
Documents
-
view
218 -
download
0
Transcript of GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.
![Page 1: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/1.jpg)
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN
SISTEMAS DE INFORMACION
L.I. Ivette Jiménez Martínez
![Page 2: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/2.jpg)
Introducción
Proceso de planificación del ciclo de vida de la seguridad de la información en una organización.
Conjunto de actividades que llevan a implantar, mantener y revisar ciertas medidas de seguridad.
![Page 3: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/3.jpg)
Introducción
![Page 4: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/4.jpg)
Plan de Seguridad
Se trata de un estudio estratégico que determina cuáles son los activos de información más valiosos y cómo protegerlos.
Este plan debe incluir toda la información, con independencia de su soporte.
![Page 5: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/5.jpg)
Etapas del Plan de Seguridad
Formulación de un política de seguridad. Establecimiento de una estructura de
gestión. Implantación de un programa de
seguridad.
![Page 6: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/6.jpg)
Política de Seguridad
Conjunto de principios y reglas generales que regulan la forma de proteger la información en todas las fases de su tratamiento.
![Page 7: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/7.jpg)
Política de Seguridad
Como paso previo a la determinación de la política de seguridad, deben estudiarse:
Grado de criticidad de los diversos servicios respecto de la información y del valor de ésta para aquellos.
Nivel de inversión en Tecnologías de la Información.
Amenazas que sufre la información.
Vulnerabilidades de los sistemas y productos TI existentes.
Medidas de seguridad ya implantadas.
![Page 8: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/8.jpg)
Política de Seguridad
Factores a considerar:
Ocasionalmente puede elaborarse sólo para algunas áreas.
Implicación de los máximos responsables de la organización. Mejor conocimiento del sistema. Las decisiones que se toman afectan a todo el Sistema
de Información.
Relaciones con otras políticas de seguridad de la organización.
Actores que intervienen en la creación de la política.
![Page 9: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/9.jpg)
Política de Seguridad
Aspectos a tratar: Organizativos
Responsables, tareas y líneas de dependencia
![Page 10: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/10.jpg)
Política de Seguridad
Aspectos a tratar: De Personal
Establecimiento de sanciones administrativas Formación de los empleados en seguridad
![Page 11: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/11.jpg)
Política de Seguridad
Aspectos a tratar: De Procedimiento
Referencia obligada para todo el ciclo de vida de los sistemas de información.
Metodologías de desarrollo, mantenimiento, adquisición.
Gestión de los procedimientos creados.
![Page 12: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/12.jpg)
Política de Seguridad
Debe tratarse: Clasificación de la información con respecto a su
sensibilidad e importancia para la organización o a las disposiciones legales al efecto.
Sensibilidad con respecto a la confidencialidad, integridad, disponibilidad o autenticidad.
Alto secreto, secreto, confidencial y no clasificado.
Confidencial, restringida, de uso interno y no clasificada.
![Page 13: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/13.jpg)
Política de Seguridad
Debe tratarse: Gestión de Incidentes
Aplicación optima de los recursos de seguridad.
Previsión de escenarios.
Histórico de incidentes.
![Page 14: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/14.jpg)
Política de Seguridad
Debe Incluir:
Plan de contingencia
Mantener el nivel adecuado de trabajo en la organización.
Auditoría
Extensión y periodicidad.
Responsables del análisis de los resultados.
![Page 15: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/15.jpg)
Estructura de Administración
Creación de un departamento específico Organigrama de la empresa
![Page 16: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/16.jpg)
Estructura de Administración
Tareas
Colaborar con otros niveles en la elaboración de la política de seguridad
Elaborar y mantener procedimientos de seguridad
Analizar y evaluar los riesgos
Evaluar y seleccionar productos
Concienciar y formar a los usuarios
Descubrir vulnerabilidades
Identificar futuras amenazas
![Page 17: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/17.jpg)
Estructura de Administración
Elección del Responsable del Departamento
Concientizar y formar a los usuarios.
Descubrir vulnerabilidades.
Identificar futuras amenazas.
Creación del Comité de seguridad.
Responsables de los departamentos afectados.
![Page 18: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/18.jpg)
Programa de Seguridad
Objetivos: Desarrollar, implementar y mantener la
Política de Seguridad.
![Page 19: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/19.jpg)
Programa de Seguridad
Sus principales acciones son: Identificar proyectos y productos. Establecer calendarios. Asignar prioridades y acordar recursos. Dictar procedimientos Administrativos,
Técnicos, Físicos. De Personal
Elaborar el Manual (de normas) de Seguridad
![Page 20: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/20.jpg)
Procedimientos Administrativos
Clasificación de la información.
Privilegios de acceso.
Gestión de la configuración.
Registro de incidencias y uso de programas externos.
Control y etiquetado de documentos.
![Page 21: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/21.jpg)
Procedimientos Administrativos
Almacenamiento y destrucción de soportes de información.
Gestión de cambios.
Mantenimiento de equipos y programas.
Metodología de análisis y evaluación de riesgos.
Plan de contingencia.
![Page 22: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/22.jpg)
Procedimientos Técnicos
Controles de acceso lógico
Autenticación de mensajes
Normas de desarrollo de programas propios
Tipos de técnicas criptográficas
![Page 23: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/23.jpg)
Procedimientos Físicos
Controles de acceso físico (personas y objetos)
Gestión de bienes
Protección de fuegos
Inundaciones y atentados
![Page 24: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/24.jpg)
Procedimientos de Personal
Contratación
Concientización, formación
Responsabilidades
Infracciones y sanciones
![Page 25: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/25.jpg)
Análisis y Gestión de Riesgos
El Análisis de Riesgos es el estudio de los activos informáticos, sus vulnerabilidades y las amenazas que los acechan, con objeto de evaluar el impacto que sufriría su propietario de materializarse una o varias de las citadas amenazas.
![Page 26: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/26.jpg)
Análisis y Gestión de Riesgos
Evaluación: Cuantitativa (monetaria, ... )
Cualitativa (escala de 1 a 10, de muy leve a muy grave, ... )
![Page 27: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/27.jpg)
Análisis y Gestión de Riesgos
La Gestión de Riesgos, parte de los resultados del Análisis de Riesgos para elegir, instrumentar y mantener las medidas de seguridad pertinentes que cancelen hasta cierto punto los riesgos calculados.
![Page 28: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/28.jpg)
Análisis y Gestión de Riesgos
El análisis de Riesgos es:
Una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización.
Una actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos.
![Page 29: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/29.jpg)
Análisis y Gestión de Riesgos
Además una actividad que tiene por resultado:
Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección.
Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación.
![Page 30: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/30.jpg)
Análisis y Gestión de Riesgos
Además una actividad que tiene por resultado:
Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas.
Determinar las recomendaciones para que las amenazas sean corregidas o reducidas.
![Page 31: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/31.jpg)
Análisis y Gestión de Riesgos
El análisis de riesgos puede ocurrir antes o después de la definición de una política de seguridad.
Según la norma internacional BS/ISO/IEC 17799, esta actividad puede ser hecha después de la definición de la política.
El propósito de tomar en cuenta una política de seguridad en el análisis se debe a varias razones:
![Page 32: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/32.jpg)
La política de seguridad delimita el alcance del análisis.
Permite ser selectivo en la verificación de activos que la política establece como vulnerables.
El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.
Análisis y Gestión de Riesgos
![Page 33: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/33.jpg)
El análisis de riesgos puede ser realizado en distintos ámbitos.
Por lo general, todos son considerados, puesto que la implementación de seguridad pretende corregir el entorno en que se encuentra la información, es decir en actividades relacionadas a:
Generación
Tránsito
Procesamiento
Almacenamiento
Análisis y Gestión de Riesgos
![Page 34: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/34.jpg)
Entornos de Análisis de Riesgos
Tecnológico:
Pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento.
![Page 35: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/35.jpg)
Entornos de Análisis de Riesgos
Aspectos por analizar:
Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de la información que es manipulados por ellos.
Los usuarios que los utilizan.
La infraestructura que les ofrece respaldo.
![Page 36: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/36.jpg)
Entornos de Análisis de Riesgos
Humano:
El análisis de riesgos también se destina a la comprensión de las formas en que las personas se relacionan con los activos.
Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización.
![Page 37: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/37.jpg)
Entornos de Análisis de Riesgos
Aspectos por analizar:
El nivel de acceso que las personas tienen en la red o en las aplicaciones.
Las restricciones y permisos que deben tener para realizar sus tareas con los activos.
El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.
![Page 38: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/38.jpg)
Entornos de Análisis de Riesgos
Procesos:
Análisis de los flujos de información de la organización y la manera en que la información viaja de un área a otra, cómo son administrados.
Los recursos en relación a la organización, de esta manera, es posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización.
![Page 39: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/39.jpg)
Entornos de Análisis de Riesgos
Aspectos por Analizar:
Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos.
Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas.
![Page 40: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/40.jpg)
Entornos de Análisis de Riesgos
Físicos:
El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos.
![Page 41: GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION L.I. Ivette Jiménez Martínez.](https://reader036.fdocumento.com/reader036/viewer/2022062410/5665b4ae1a28abb57c933111/html5/thumbnails/41.jpg)
Entornos de Análisis de Riesgos
Aspectos por Analizar:
Identificar posibles fallas en la localización física de los activos tecnológicos.
Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos tecnológicos.
Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.