Perdida de datos? ¿Qué fallo?
Edgar GómezCISSP, GSEC@edgarled
Seguridad de la Información
La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma que los datos pueden tener: electrónicos, impresos, audio u otras formas.
Robo de Laptop / PC / SmartPhone
• Ya reviso si aun tiene su Laptop?• Alguna vez perdió su celular?• Cuanto tiempo es necesario para copiar la
información de su laptop cuando la deja en un valet parking?
• Alguna vez ha “documentado” su laptop en el aeropuerto?
http://datalossdb.org/statistics
20 Controles Críticos
• The automation of these Top 20 Controls will radically lower the cost of security while improving its effectiveness. The US State Department, under CISO John Streufert, has already demonstrated more than 80% reduction in "measured" security risk through the rigorous automation and measurement of the Top 20 Controls.
• http://www.sans.org/critical-security-controls/
• 1. Inventario de los dispositivos autorizados y no autorizados
• 2. Inventario de Software autorizado y no autorizado• 3. Asegure las configuraciones de hardware y
software en equipos portátiles, estaciones de trabajo y los servidores
• 4. Asegure las configuraciones de los dispositivos de red tales como firewalls, routers y switches
• 5. Limites de defensa
Controles de seguridad (1-5)
• 6. Mantenimiento, Monitoreo y Análisis de logs de auditoría
• 7. Seguridad en Software de Aplicaciones• 8. El uso controlado de privilegios
administrativos• 9. Acceso controlado basado en qué es lo que
Necesita Saber.• 10. Evaluación constante de vulnerabilidades y
Remediación
Controles de seguridad (6-10)
• 11. Monitoreo y Control de cuentas• 12. Defensas de Malware• 13. Limitación y Control de Puertos de red,
protocolos y servicios• 14. Control de dispositivos Wireless• 15. Prevención de perdida de datos
Controles de Seguridad (11-15)
• 16. Ingeniería de red segura (diseño)• 17. Pruebas de penetración y ejercicios de
“equipos rojos”• 18. Capacidad de Respuesta a Incidentes• 19. Capacidad de recuperación de datos• 20. Evaluación de conocimientos de seguridad,
y entrenamiento general.
Controles de Seguridad (16-20)
Al final del día… que tenemos?
• Riesgos!!
•Evitarlo/Mitigarlo•Transferirlo•Aceptarlo
¿Sabes con quien trabajas?
Alt1040.com
Preguntas y respuestas.
Perdida de datos? ¿Qué fallo?
Edgar GómezCISSP, GSEC@edgarled
Recommended