Presentación de PowerPoint - unam.edu.pe OSCO Met Seg_Exp_Unam... · Familia Estándares ISO 27000...
-
Upload
truongkhuong -
Category
Documents
-
view
219 -
download
0
Transcript of Presentación de PowerPoint - unam.edu.pe OSCO Met Seg_Exp_Unam... · Familia Estándares ISO 27000...
Metodologías de Seguridad de la
Información
Dr. Erbert Osco M.
¿Qué es la seguridad?
La situación ó estado de algo, que se adquiere al estar libre de riesgo
o peligro.
Se logra por que algo nos da o asegura nuestra protección
Un departamento o grupo de guardias
Medidas adoptadas por el gobierno para evitar un ataque externo
Medidas adoptadas por una empresa para prevenir el robo en sus
propiedades.
Medidas adoptadas para prevenir el escape de una prisión.
Un seguro.
Se puede definir la seguridad Informática como cualquier
medida que impida la ejecución de operaciones no
autorizadas sobre un sistema o red informática, cuyos efectos
puedan conllevar daños sobre la información, comprometer
su confiabilidad, autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el acceso de usuarios
autorizados al sistema.
Seguridad
de la
Información
Confidencialidad
Disponibilidad Integridad
Seguridad de la Información
Los objetivos de Seguridad que cumplen los requerimientos de negocio
incluyen:
• Preservar la Confidencialidad de la información sensible.
• Asegurar la Integridad de la informacionalmacenada en los
sistemas de información.
• Asegurar la Disponibilidad(Availability)continua de los sistemas de información.
• Asegurar la Conformidad de leyes, regulaciones y estandares.• Preservar la Confidencialidad de los datos sensitivos almacenados y en
transito.
INFORMACION VS SEGURIDAD
El riesgo permanente
Los recursos informáticos se encuentran de manera continua
sujeto a numerosos riesgos que, de materializarse, podrían
afectar la continuidad de las operaciones, el cumplimiento de
las metas y el patrimonio de las empresas. Por esta razón es
importante protegerlos.
¿Hay un sistema seguro?
"El único sistema seguro es aquel que está apagado y desconectado,
enterrado en un refugio de concreto, rodeado por gas venenoso y
custodiado por guardianes bien pagados y muy bien armados. Aun así, yo
no apostaría mi vida por él".
Gene Spafford
CISSP: Certified Information System Security ProfessionalCCNA: Cisco Certified Network AssociateCCSE: Check Point Certified Security ExpertMCSE: Microsoft Certified System EngineerGSEC: GIAC Security Essentials CertifiedRT-PKI-C: Rainbow Technologies PKI CertificationIBM Certified Professional Server ExpertTICSA TruSecure International Computer Security Association Trend Micro InterScan VirusWallCPP Certified Protection ProfessionalCIA Certified Internal AuditorCISA Certified Information System AuditorCISM: Certified Information Security ManagerCGEIT: Certified Governance OF Enterprise ITCRISC: Certified in Risk and Information Systems Control
CSX: Cybersegurity fundamentals Certificacate
Certificaciones en Seguridad TI
Seguridad de la información
Que es la seguridad de la información?
Es la protección de la confidencialidad, integridad y disponibilidad de los activos de
información según sea necesario para alcanzar los objetivos de negocio de la
organización.
NTP ISO/IEC 27001 – 2014. Tecnología de la Información, Técnicas de seguridad. Sistemas
de gestión de seguridad de la Información. Requisitos
Familia Estándares ISO
27000 Visión general y vocabulario seguridad información
27001 Gestión de Seguridad Información - Req. Certificable (Perú NTP SGSI -2014)
27002 Código de Practicas para controles de seguridad de Información
27003 Gestión Seguridad de Sistemas Información – Guía Implementación
27004 Gestión Seguridad de Información - Métricas
27005 Seguridad Información Gestión de riesgos
27006 Requisitos para acreditación de entidades de auditoria y certificación de SGSI
27007 Directrices para Auditoria de Sistemas de Información y Gestión de
Seguridad
27008 Directrices para Auditores en Controles de Seguridad de Información
27010 Gestión de seguridad de Información para comunicaciones de gestión
intersectorial y interinstitucional
27032 : Lead Manager Cybersecurity
ISO 27032 Lead manager Cybersecurity
La Gestión del Riesgo es el proceso de asegurar que elimpacto de las amenazas que pudieran explotar lasvulnerabilidades estén dentro de los limites aceptables y acostos aceptables. En este nivel, esto se logra mediante unequilibrio entre la exposición al riesgo y los costos demitigación, así como mediante la implementación deacciones preventivas y controles apropiados.
Riesgo es estimación de las probabilidades
de que una amenaza se materialice sobre
los activos de la organización, causando
efectos negativos o perdidas.
16
Relación Causa y Efecto
AmenazaVulnera-
bilidadRiesgo
Causa Probabilidad Efecto
Activos
Impacto
RIESGO POTENCIAL DE QUE UNA AMENAZA
EXPLOTE LAS VULNERABILIDADES DE
UN ACTIVO
AMENAZA (PELIGRO)
VULNERABILIDADIMPACTO
Evento que puede
desencadenar un
incidente en la
organización,
produciendo
perdidas
craker, virus
Posibilidad de
ocurrencia de
materialización de una
amenaza sobre un
activo.
Grado de destrucción
(magnitud), hueco,
debilidad, brecha
Medir las
consecuencias
al materializar
una amenaza
18
Panorama General
El riesgo puede ser categorizado en muchos tipos diferentes:
Riesgo de Procesos
Riesgo operativo
Riesgo ambiental
Riesgo Financiero
Riesgo de T.I.
Riesgo de Integridad
Riesgo comercial
etc.
TRATAMIENTO DEL RIESGO
4 OPCIONES
ESTRATEGICAS
Transferir
Eliminar
Reducir
Aceptar
Metodologías
MAGERIT CRAMM OCTAVE
Se utiliza mucho en España, sobre
todo en instituciones públicas, ya
que fue desarrollado por el
congreso superior de
administración electrónica. A nivel
internacional no es muy
conocida, aunque su utilización
puede ser interesante en
cualquier tipo de empresa.
Tuvo su origen en el Reino Unido,
ya que fue desarrollado por el
CCTA (Central Computer and
Telecomunications Agency), tiene
reconocimiento a nivel
internacional y su desarrollo es de
los más simples, identificación y
valoración de activos, valoración
de amenazas, vulnerabilidades y
selección de contramedidas.
Desarrollado por el SEI (Software
Engineering Institute) en los Estados
Unidos. Tiene un gran
reconocimiento internacional.
buena aceptación a nivel
mundial, aunque las fases que la
componen son un poco diferentes
de las metodologías habituales, lo
cual suele implicar mayor
dificultad en su utilización.
NIST 800-30 ISO 27005 ISO 31000
Fue desarrollado por el NIST
(National Institute of Standards
and Technology) en los EEUU y
aunque tiene reconocimiento
internacional, su uso se limita
sobre todo a EEUU
(administraciones públicas), se
compone de un mayor número
de fases que las anteriores
metodologías, es muy intuitiva,
sencilla de utilizar.
27005 Norma internacional, no
especifica ningún método de análisis
de riesgo concreto, sino que contiene
recomendaciones y directrices
generales para la gestión de riesgos,
por tanto, puede utilizarse como guía
para elaborar una metodología de
gestión de riesgos propia.
Contiene la Guía de Gestión del riesgo
de la seguridad de la información y la implantación de SGSI . Incluye partes de la ISO 13335
Al igual que la anterior es una ISO
internacional que contiene una
serie de buenas prácticas para
gestionar riesgos, aunque la
diferencia con respecto a la ISO
27005 es que esta no aplica
solamente a la Seguridad de la
Información sino que aplica a
cualquier tipo de riesgo.
NIST 800-30
Instituto Nacional de Normas y tecnología EEUU
Información para conocer activos, funciones
PASOS SEGÚN METODOLOGIA NIST 800-30 Instituto Nacional de Normas y tecnología EEUU
Ejemplo de vulnerabilidades y amenazas que podrían ser explotadas
MATRIZ DEL NIVEL DE RIESGO
METODOLOGIA MAGERIT V3 Metodología de análisis y gestión de riesgos
I. Detalle como se desarrolla
II. Complemento del I, ejemplos
III. Complemento del I, describe
técnicas que pueden usarse
para cada fase.
Metodología MAGERIT
CAPITULOS
I. INTRODUCCION Importancia del riesgo
II. VISION DE CONJUNTO Conceptos de gestión de riesgos
III. METODO DE ANALISIS DE RIESGOS Activos, vulnerabilidades, amenazas, salvaguardas. Estimar el riesgo
IV. PROCESO DE GESTION DE RIESGOS Evaluar niveles de impacto y riesgo residual, niveles aceptables de riesgo, C/B,
tratamiento del riesgo, documentación del proceso
V. PROYECTOS DE ANALISIS DE RIESGOS Cuando la organización desarrolla su primer proyecto, revisiones,
actualizaciones
VI. PLAN DE SEGURIDAD Una vez finalizada el análisis y gestión de riesgos, recomendaciones
VII. DESARROLLO DE S.I. Reducción de riesgos en los S.I.
VIII. CONSEJOS PRACTICOS Recomendaciones
MATRIZ DE RIESGOS
EJM.2
CONCLUSIONES
1. La seguridad de la información es un aspecto muy importante en cualquier organización
2. Es un tema que necesita ser abordado de manera responsable, procedimental y
orientada al cumplimiento de estándares mínimos requeridos para la tecnología
implementada en la Empresa.
3. Las metodologías, son estándares de seguridad de información en la organización tanto
privadas como publicas.
4. Estas guías y directrices son documentos muy elaborados y de reconocido prestigio,
cubren múltiples aspectos relacionados con seguridad de la información y sirven de
apoyo para desarrollar políticas, procedimientos y controles.
Referencias Bibliográficas
Chicano Tejada, Ester. Auditoría de seguridad informática (MF0487_3).
Madrid, ESPAÑA: IC Editorial, 2014. ProQuest ebrary. Web. 7 June 2017.
Copyright © 2014. IC Editorial. All rights reserved.
ISO NTP 27001 Sistema de gestión de seguridad de informacion
ISO 31000: 2009 Gestión de riesgos Principios y lineamientos
Instituto Nacional de Normas y Tecnología NIST 800-30
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
MAGERIT Metodología de análisis y gestión de riesgos
Guía de control interno. Resolución de contraloría 458-2008-CG
ISACA. www.isaca.Gob.pe