Upload
carlos-cardenas
View
24.384
Download
2
Embed Size (px)
DESCRIPTION
sistema des Gestion de Seguridad informatica
Citation preview
Gestión de la Seguridad Informática
1
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
GESTION DE LA SEGURIDAD DE LA INFORMACION
●Carlos Mauro Cárdenas●Edith Santos Lorenzo
●José Luis Huamán Flores●Ricardo Callupe
Grupo -{: |-|4Ck3'5 :}-
Gestión de la Seguridad Informática
2
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Riesgos, Amenazas y Vulnerabilidades
Gestión de la Seguridad Informática
3
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
¿ Qué es la seguridad de la información ?
La seguridad de la información protege la información de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el daño del negocio y maximizar el retorno de la inversión y las oportunidades de negocio.
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Administración Pacientes
Empleados
Atacantes
Problemas
Auditoria Interna
El Publico
Integridad Confidencialidad
Disponibilidad
Riesgo
¿ Qué es la seguridad de la información ?¿ Qué es la seguridad de la información ?
¿ Qué es la seguridad de la ¿ Qué es la seguridad de la información ?información ?
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Bienes Amenazas Vulnerabilidad
Riesgo
Medidas de Seguridad
}}AnálisisAnálisis
Administración
Análisis de Riesgos y Administración de la Plataforma
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Pasos en un análisis de riesgos
1. Identificación costo posibles pérdidas (L)
Identificar amenazas
2. Determinar susceptibilidad.La probabilidad de pérdida (P)
3. Identificar posibles acciones (gasto) y sus implicaciones (B).Seleccionar acciones a implementar.
¿ B PL ?
Se cierra
el ciclo
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Proceso de administración de Riesgos
1. Establecer Marco General
2. Identificar Riesgos
3. Análisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear y Revisar
Monitorear y Revisar
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Riesgo
VulnerabilidadesAmenazas
Controles
Requerimiento de Seguridad
Bienes de Valor
Bienes
Proteción
Exploit
Reduce
Increementa
Indica
Increment
a Exponen
Tiene
DisminuyeTraen
Impacto en Organizaciones
Amenazas, Riesgos & Amenazas, Riesgos & VulnerabilidadesVulnerabilidades
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Ciclo PDCA
Política y Alcance del sistemaAnálisis de riesgos
Selección de controles
Acciones correctivasAcciones preventivasModificación Plan
Implantación del SGSIImplantación controles
Implantación indicadores
Auditoría internaNo conformidades
Grado de cumplimiento
Plan
Do
Check
Act
Gestión de la Seguridad Informática
10
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
SEGURIDAD
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Análisis. Ambitos
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Ingeniería de Seguridad
● Modelo CERT
14
Ciclo del proceso de seguridad
Análisis
Operación Planificación
Implementación
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Seguridad Lógica
Seguridad Física
16
Requisitos planteados a la seguridad
Requisitos de seguridad
Confiden-cialidad
Integridad Disponibilidad
Autentifi-cación
Control deacceso
Obligato-riedad
Anonimato
Concepto de seguridad
contienen en determinada medida
implementa
17
Seguridad correcta
SeguridadSeguridad
El equilibrio correcto decide el éxitoEl equilibrio correcto decide el éxito
Gasto / costosGasto / costos UtilizabilidadUtilizabilidad
Efici
enci
a
Pro
tecc
ión in
vers
ión
Flexibilidad
Funcionalidad
RentabilidadDisponibilidad
Gestión de la Seguridad Informática
18
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
SISTEMAS DE GESTION DE LA SEGURIDAD DE LA
INFORMACIONSGSI
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Planificar
Hacer
Actuar
Verificar
Está basado en el Modelo utilizado por las NORMAS ISO en general:
Sirve:"Para establecer la política y los objetivos de seguridad de la información de la organización… y para lograr, a continuación estos objetivos".
SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Gestión de la Seguridad Informática
20
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
DIAGNÓSTICO
COTIZACIÓN
CONSULTORÍA
EVALUACIÓN
CAPACITACIÓNy
Certificación
Metodología de Metodología de implementación de la normaimplementación de la norma
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
DESCRIPCION GENERAL de CERTIFICACIONES
Normas Empresas
•ISO177799
•BS7799
•ISO9001
•COBIT AUDIT GUIDELINES
•COSO
•ITIL
•SARBANES OXLEY ACT
Normas Personas
●CISSP●CISA●CISM●CIA●ISEC+●COMPTia●ETHICAL HACKER OSSTMM
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Recursos de TIDatos, Aplicaciones
Tecnología, Instalaciones, Recurso Humano
Req. InformaciónEfectividad, Eficiencia,
Confidencialidad, Integridad, Disponibilidad, Cumplimiento,
Confiabilidad
CobiT
Objetivos del Negocio
Planeación y Organización
Adquisición eImplementación
Seguimiento
Prestación de Servicio y Soporte
1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento independiente4. Proveer una auditoría independiente
1. Identificación de soluciones2. Adquisición y mantenimiento de SW aplicativo3. Adquisición y mantenimiento de arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Instalación y Acreditación de sistemas6. Administración de Cambios
IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos10. Administración de Proyectos11. Administración de Calidad
1.Definición del nivel de servicio 2.Administración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Administración de la configuración10.Administración de problemas e incidentes11.Administración de datos12.Administración de Instalaciones13.Administración de Operaciones
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Marco COBIT
Gestión de la Seguridad Informática
24
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
¿Qué es BS 7799 / ISO 17799?
La norma es publicada en dos partes: ISO/CEI 17799 Parte 1: Código de buenas
prácticas relativo a la gestión de la seguridad de la información;
BS 7799 Parte 2: Especificaciones relativas a la gestión de la seguridad de la información.
BS 7799 / ISO 17799 tiene por objetivo "proporcionar una base común para la elaboración de las normas de seguridad de las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas".
Gestión de la Seguridad Informática
25
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
ISO/CEI 17799
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Information Security Management Information Security Management System StandardsSystem Standards
ISO 17799ISO 17799BS 7799BS 7799
IS 17799IS 17799ISO 27001 ISO 27002
Actualización en BS 7799 & IS 17799
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
PDCA Model Applied to ISMS
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
ISMS● Illustration of protection classes
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Gestión de la Seguridad Informática
31
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
TENDENCIAS
Gestión de la Seguridad Informática
32
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
¿Pero cuales son las tendencias de futuro?
1. Internet (Banda Ancha)
2. Comunicaciones móviles (3G)
3. Computación ubicua1. Informatización y conexión en red de todas
las cosas
2. Disponer de capacidad de proceso de información en cualquier lugar y en cualquier momento
3. Equipos móviles, PDA, integración TV-PC, domótica
4. Negocio electrónico (e-Business)
5. Aplicaciones y servicios (software)
6. Tecnologías asociadas a contenidos
Gestión de la Seguridad Informática
33
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Computación ubicua: La informática en todas partes
● Microelectrónica.● Dispositivos móviles.● Seguridad en dispositivos
móviles.
Desarrollo de aplicaciones distribuidas
● Diseño y evaluación de sistemas hipermedia
● Seguridad en comercio electrónico
● Servidores de información Sistemas de tiempo real Sistemas distribuidos Seguridad en sistemas
distribuidos● Enseñanza asistida por
ordenador● Recuperación y acceso a la
información Programación avanzada
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Computer Security Day● 30 de
noviembre 2006
● Actividades de concientización en Seguridad
Gestión de la Seguridad Informática
-{: |-|4Ck3'5 :}-
Universidad Nacional de Ingeniera
Bibliografía
●CERT http://www.cert.org/
●COBIT http://en.wikipedia.org/wiki/COBIT
●ISO 27001- Sistemas de Gestión Seguridad de la Información
●http://sgsi-iso27001.blogspot.com/
●ISO/IEC_17799 http://en.wikipedia.org/wiki/ISO/IEC_17799
●Análisis de la Norma ISO-27001
●http://www.rzw.com.ar/modules.php?name=News&file=article&sid=3681
●Oficina Nacional de Gobierno Electrónico e Informática
●http://www.pcm.gob.pe/portal_ongei/