1 / 15

Marcos Sotelo B. Mg. Ciencias de la Computación Especialista Sénior en TI – BCRP

Implantando un Sistema de Gestión de Seguridad de la Información alineado al estándar ISO/IEC 27001:2005. Marcos Sotelo B. Mg. Ciencias de la Computación Especialista Sénior en TI – BCRP Prof. Asociado UNMSM - FISI. Módulo 2: Agenda. Método de análisis de riesgos.

lyndon
Download Presentation

Marcos Sotelo B. Mg. Ciencias de la Computación Especialista Sénior en TI – BCRP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Implantando un Sistema de Gestión de Seguridad de la Información alineado al estándar ISO/IEC 27001:2005 Marcos Sotelo B. Mg. Ciencias de la Computación Especialista Sénior en TI – BCRP Prof. Asociado UNMSM - FISI

  2. Módulo 2:Agenda • Método de análisis de riesgos • Identificación de riesgos Agenda • Análisis de riesgos • Evaluación de riesgos

  3. Determinación del Riesgo

  4. Si el riesgo es aceptable, finaliza el proceso. Caso contrario: Transferir (tomar un seguro), Evitar (retirar activo), o Mitigar el riesgo, a través de: Controles1 preventivos, o Correctivos. Transferir Evitar Probabilidad Aceptar Mitigar Impacto Evaluación de riesgos 4

  5. A5 - Política de S.I. Ejemplo: • Los sistemas de información son activos de vital importancia para el Banco, y sus debilidades de seguridad afectarían el normal desarrollo de las actividades y operaciones. •  La gestión del riesgo operativo y tecnológico forma parte de la gestión institucional (vía políticas y controles de sus sistemas de información). El Banco acata los requerimientos de seguridad de las entidades competentes nacionales e internacionales. • Los colaboradores asumen una responsabilidad individual respecto a la seguridad de los sistemas de información, así como del uso de información privilegiada en la Institución.

  6. Participación integral de los responsables del proceso. A6 - Organización de la S.I.

  7. BDs A7 - Gestión Activos de Información

  8. BDs Ej. Servidor de BD1 1] Los valores son de ejemplo.

  9. A8 - Seguridad de los RR.HH. Cuidados Antes Durante, y Después de la incorporación de talentos.  Normativa / Procedimientos, buenas prácticas.

  10. A9 - Seguridad física y medioambiental • Edificios con vigilancia y video vigilancia • Centro de datos principal (CDI) y alterno (CER) con: • Acceso restringido • Video vigilancia • Gabinetes de equipos • Control anti incendio • Aire acondicionado • Control de humedad • Control de energía eléctrica • Equipos con garantía o mantenimiento.

  11. A10 - G. de Operaciones y comunicaciones • Procedimientos y responsabilidades operacionales. • Procedimiento de control de cambios. • Protección frente a software malicioso y código móvil. • Antimalware en servidores, PCs y zona perimétrica. • Copias de respaldo (back-up) • Sistema de respaldo doble: • Robot / Library Storagetek • Software Netbackup Veritas

  12. A11 - Control de acceso • Identificación, autenticación, autorización • Red (Firewall) • Plataforma (Cuentas, Certificados digitales) • Aplicación (Cuentas)

  13. A13 - Gestión de incidentes Incidente Servicio TI Gestión de eventos adversos menores, que tienden a afectar la disponibilidad.

  14. A14 - G. de Continuidad Operativa Proceso orientado a que los procesos u operaciones críticas no se vean afectadas por desastres e incidentes, se minimicen los daños y se capitalicen las oportunidades. Comprende un PCO y una infraestructura operativa, el primero incluye un PRD, para la recuperación de los servicios TI. Business Continuity Planning BCP/ PCO Disaster Recovery Planning DRP / PRD Desastre Operaciones críticas Plan de Recuperación ante Desastres (PRD) Plan de Continuidad de Operaciones (PCO)

  15. Gracias

More Related