1 / 33

Seguridad informática

José Letelier Van Der Mer CISA- CISM –MBA Jose.letelier.v@gmail.com. Seguridad informática. Forma de Trabajar. 3 Unidades Seguridad de la Información BCP Auditoria Informática Metodología Clases , Trabajos en Clases, Exposiciones Laboratorios Exposiciones de Externos.

lydie
Download Presentation

Seguridad informática

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. José Letelier Van Der Mer CISA- CISM –MBA Jose.letelier.v@gmail.com Seguridad informática

  2. Forma de Trabajar • 3 Unidades • Seguridad de la Información • BCP • Auditoria Informática • Metodología • Clases , Trabajos en Clases, Exposiciones • Laboratorios • Exposiciones de Externos

  3. Forma de Trabajar • Mediciones • Pruebas • Medición de Laboratorios • Exposiciones y Quiz

  4. Que es seguridad de la información • La seguridad informática consiste en asegurar que los activos de información de una organización sean utilizados de la manera confidencial, integra y con una disponibilidad adecuada.

  5. Definiciones • Integridad • Características de la información según la cual sólo los entes autorizados pueden modificarla o eliminarla. • Contrario:Modificación • Confidencialidad • Características de la información según la cual sólo debe ser conocida por los entes autorizados para ello. • Contrario: Revelación • Disponibilidad • Características de la información según la cual los entes autorizados pueden tener acceso oportuno para ello. • Contrario: Destrucción

  6. Definiciones • Activo de Información • Esa la información o los elementos que la contiene o permiten su procesamiento. • Al igual que otro activo es importante y por tanto debe ser protegida de la amenazas que pueden afectar al negocio.

  7. Activos de Información

  8. Trabajo en Clases • Buscar Definiciones • Matriz de Riesgo • Análisis de Vulnerabilidades • ISMS o SGSI • BCP • COBIT • Malware • Spyware • Encriptación • Autentificación • Análisis Forense

  9. Trabajo en Clases • Buscar Definiciones • Firewall • Puertos • DMZ • IPS o IDS • VPN • SSL • Keylogger • Rootkit • Honeypots

  10. A donde queremos llegar • Plan de Seguridad • Proteger nuestra organización • Definir Objetivos • Qué vamos a proteger • De quién vamos a proteger • Definir Riesgos • Medidas y Acciones • Responsabilidades (Grupo de Trabajos)

  11. Definiciones • Riesgo • Riesgo es la contingencia de un daño. A su vez contingencia significa que el daño en cualquier momento puede materializarse o no hacerlo nunca • Afecta a la Integridad, Confidencialidad y Disponibilidad de la Información • Riesgo= F*I*(1-B*M) • F: Frecuencia de la Contingencia • I: Impacto de la Contingencia • M:Mitigación del Riesgo • B: Beta de Real mitigación

  12. Normativas • ISO 17799:2005 Seguridad de la Información • ISO 27002 Controles de SI • ISO 27003: Implementación de ISMS • ISO 27004: Metricas de Seguridad • ISO 27005: Administración de Riesgos • ISO 27031: BCP

  13. Controles

  14. Mejoramiento Continui DE ISO 17799:2005

  15. Objetivos de la seguridad • Identificar los controles necesarios para garantizar la seguridad de la información y las ventajas de adoptarlos. • Establecer la necesidad de tener en cuenta otros criterios para catalogar y establecer necesidades de protección de la información.

  16. ISO 27001 11 Dominios

  17. Politicas de Seguridad

  18. Politicas de Seguridad

  19. Política de Seguridad • Uno de los objetivos del negocio es: • Resguardar los activos de información Política de Seguridad de la Información

  20. Que es una política? • Un conjunto de directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.

  21. Como es una política de seguridad?? • La politica debe ser: • Definir una postura gerencial con respecto a la necesidad de proteger información corporativa • Rayado de cancha con respecto al uso de los recursos de información. • Definir la base para la estrucutura de seguridad de la organización. • Ser un documento de apoyo a la gestión de seguridad • Tener larga vigencia , manteniéndose sin grandes cambios • Ser general, sin comprometerse con la tecnologías especificas

  22. Otras documentos de apoyo • Políticas Especificas • Procedimientos • Estándares

  23. Políticas Especificas • Definen en detalles aspectos específicos que regulan el uso de recursos de información • Están mas afectadas a cambios en el tiempo que la política General • Ejemplo • Política de Uso de Correo Electronico • Politica de Uso de Internet • Politica de eliminacón de Basura • Politica de uso de Notebook

  24. Procedimientos • Las principales caracteristicas de un procedimiento son: • Definen los pasos para realizar una actividad • Evita que se aplique el criterio personal • Ejemplos • Procedimientos de Alta y Bajas de Usuarios • Procedimiento de Respaldo de Información

  25. Estandares • Las principales caracteristicas de un estandar son: • Dependen de la tecnologia • Se deben actualizar periódicamente • Ejemplos • Estandares de Instalación de Servidores • Estandares de Configuración de Sistema Operativo.

  26. Desarrollo de Políticas de Seguridad • En grupo de trabajo que desarrollan las políticas de seguridad, deben estar representados al menos las siguientes áreas: • Informática • RRHH • Comercial • Auditoría • Fiscalía

  27. Factores Críticos de Exitos • Es clave para el desarrollo de Políticas de Seguridad • El compromiso de los altos ejecutivos de la Organización. • Claridad respecto de la importancia de los recursos y la necesidad de seguridad • Adherencia a legislación, reglamentación y estándares • Alcance bien definidos • Formas de Información cubiertas por la politicas • Monitoreo del cumplimiento • Sanciones e incentivos

  28. Contenido de Politicas • Las politicas deben : • Ser claras • Evitar confusiones • No deben generar nuevos problemas

  29. Contenido de Politicas • Cuando se escriban se debe tener en cuenta: • Objetivo: Que desea lograr • Alcance: Que se desea proteger y que areas serán afectadas. • Definiciones: Aclarar los términos utilizados • Responsabilidades: Que debe y no debe haceer cada persona • Revisión: Como será monitoreado el cumplimiento • Aplicabilidad: En que casos será aplicable • Referencia: Documentos Complementarios.

  30. Aprobación e implementación de la política • La politica debe ser aprobada por la alta gerencia de la organización • Una vez que la politica ha sido aprobada y se han asignado roles y responsabilidades, se debe desarrollar una infraestructura de Seguridad • Estandares, Normativas y Procedimientos • Conjuntamente debe realizarse un proceso de educación y sensibilización del personal.

  31. Ciclo de vida del Proyecto

  32. Principales Problemas • Las políticas no cuentan con el apoyo de la administración • Los usuarios no saben que existen o simplemente no las cumplen porque las encuentran exageradas • Las responsabilidades de aplicar los controles o generar los cambios no esta clara • Son muy estrictas o incumplibles y por lo tanto, no aplicables . Pasan a ser letra muerta.

More Related