Jos letelier van der mer cisa cism mba jose letelier v@gmail com
This presentation is the property of its rightful owner.
Sponsored Links
1 / 33

Seguridad informática PowerPoint PPT Presentation


  • 137 Views
  • Uploaded on
  • Presentation posted in: General

José Letelier Van Der Mer CISA- CISM –MBA [email protected] Seguridad informática. Forma de Trabajar. 3 Unidades Seguridad de la Información BCP Auditoria Informática Metodología Clases , Trabajos en Clases, Exposiciones Laboratorios Exposiciones de Externos.

Download Presentation

Seguridad informática

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Jos letelier van der mer cisa cism mba jose letelier v@gmail com

José Letelier Van Der Mer

CISA- CISM –MBA

[email protected]

Seguridad informática


Forma de trabajar

Forma de Trabajar

  • 3 Unidades

    • Seguridad de la Información

    • BCP

    • Auditoria Informática

  • Metodología

    • Clases , Trabajos en Clases, Exposiciones

    • Laboratorios

    • Exposiciones de Externos


Forma de trabajar1

Forma de Trabajar

  • Mediciones

    • Pruebas

    • Medición de Laboratorios

    • Exposiciones y Quiz


Que es seguridad de la informaci n

Que es seguridad de la información

  • La seguridad informática consiste en asegurar que los activos de información de una organización sean utilizados de la manera confidencial, integra y con una disponibilidad adecuada.


Definiciones

Definiciones

  • Integridad

    • Características de la información según la cual sólo los entes autorizados pueden modificarla o eliminarla.

      • Contrario:Modificación

  • Confidencialidad

    • Características de la información según la cual sólo debe ser conocida por los entes autorizados para ello.

      • Contrario: Revelación

  • Disponibilidad

    • Características de la información según la cual los entes autorizados pueden tener acceso oportuno para ello.

      • Contrario: Destrucción


Definiciones1

Definiciones

  • Activo de Información

    • Esa la información o los elementos que la contiene o permiten su procesamiento.

      • Al igual que otro activo es importante y por tanto debe ser protegida de la amenazas que pueden afectar al negocio.


Activos de informaci n

Activos de Información


Trabajo en clases

Trabajo en Clases

  • Buscar Definiciones

    • Matriz de Riesgo

    • Análisis de Vulnerabilidades

    • ISMS o SGSI

    • BCP

    • COBIT

    • Malware

    • Spyware

    • Encriptación

    • Autentificación

    • Análisis Forense


Trabajo en clases1

Trabajo en Clases

  • Buscar Definiciones

    • Firewall

    • Puertos

    • DMZ

    • IPS o IDS

    • VPN

    • SSL

    • Keylogger

    • Rootkit

    • Honeypots


A donde queremos llegar

A donde queremos llegar

  • Plan de Seguridad

    • Proteger nuestra organización

    • Definir Objetivos

      • Qué vamos a proteger

      • De quién vamos a proteger

    • Definir Riesgos

    • Medidas y Acciones

    • Responsabilidades (Grupo de Trabajos)


Definiciones2

Definiciones

  • Riesgo

    • Riesgo es la contingencia de un daño. A su vez contingencia significa que el daño en cualquier momento puede materializarse o no hacerlo nunca

    • Afecta a la Integridad, Confidencialidad y Disponibilidad de la Información

    • Riesgo= F*I*(1-B*M)

      • F: Frecuencia de la Contingencia

      • I: Impacto de la Contingencia

      • M:Mitigación del Riesgo

      • B: Beta de Real mitigación


Normativas

Normativas

  • ISO 17799:2005 Seguridad de la Información

  • ISO 27002 Controles de SI

  • ISO 27003: Implementación de ISMS

  • ISO 27004: Metricas de Seguridad

  • ISO 27005: Administración de Riesgos

  • ISO 27031: BCP


Controles

Controles


Mejoramiento continui de iso 17799 2005

Mejoramiento Continui DE ISO 17799:2005


Objetivos de la seguridad

Objetivos de la seguridad

  • Identificar los controles necesarios para garantizar la seguridad de la información y las ventajas de adoptarlos.

  • Establecer la necesidad de tener en cuenta otros criterios para catalogar y establecer necesidades de protección de la información.


Iso 27001 11 dominios

ISO 27001 11 Dominios


Politicas de seguridad

Politicas de Seguridad


Politicas de seguridad1

Politicas de Seguridad


Pol tica de seguridad

Política de Seguridad

  • Uno de los objetivos del negocio es:

    • Resguardar los activos de información

      Política de Seguridad de la Información


Que es una pol tica

Que es una política?

  • Un conjunto de directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.


Como es una pol tica de seguridad

Como es una política de seguridad??

  • La politica debe ser:

    • Definir una postura gerencial con respecto a la necesidad de proteger información corporativa

    • Rayado de cancha con respecto al uso de los recursos de información.

    • Definir la base para la estrucutura de seguridad de la organización.

    • Ser un documento de apoyo a la gestión de seguridad

    • Tener larga vigencia , manteniéndose sin grandes cambios

    • Ser general, sin comprometerse con la tecnologías especificas


Otras documentos de apoyo

Otras documentos de apoyo

  • Políticas Especificas

  • Procedimientos

  • Estándares


Pol ticas especificas

Políticas Especificas

  • Definen en detalles aspectos específicos que regulan el uso de recursos de información

  • Están mas afectadas a cambios en el tiempo que la política General

  • Ejemplo

    • Política de Uso de Correo Electronico

    • Politica de Uso de Internet

    • Politica de eliminacón de Basura

    • Politica de uso de Notebook


Procedimientos

Procedimientos

  • Las principales caracteristicas de un procedimiento son:

    • Definen los pasos para realizar una actividad

    • Evita que se aplique el criterio personal

  • Ejemplos

    • Procedimientos de Alta y Bajas de Usuarios

    • Procedimiento de Respaldo de Información


Estandares

Estandares

  • Las principales caracteristicas de un estandar son:

    • Dependen de la tecnologia

    • Se deben actualizar periódicamente

  • Ejemplos

    • Estandares de Instalación de Servidores

    • Estandares de Configuración de Sistema Operativo.


Desarrollo de pol ticas de seguridad

Desarrollo de Políticas de Seguridad

  • En grupo de trabajo que desarrollan las políticas de seguridad, deben estar representados al menos las siguientes áreas:

    • Informática

    • RRHH

    • Comercial

    • Auditoría

    • Fiscalía


Factores cr ticos de exitos

Factores Críticos de Exitos

  • Es clave para el desarrollo de Políticas de Seguridad

    • El compromiso de los altos ejecutivos de la Organización.

    • Claridad respecto de la importancia de los recursos y la necesidad de seguridad

    • Adherencia a legislación, reglamentación y estándares

    • Alcance bien definidos

    • Formas de Información cubiertas por la politicas

    • Monitoreo del cumplimiento

    • Sanciones e incentivos


Contenido de politicas

Contenido de Politicas

  • Las politicas deben :

    • Ser claras

    • Evitar confusiones

    • No deben generar nuevos problemas


Contenido de politicas1

Contenido de Politicas

  • Cuando se escriban se debe tener en cuenta:

    • Objetivo: Que desea lograr

    • Alcance: Que se desea proteger y que areas serán afectadas.

    • Definiciones: Aclarar los términos utilizados

    • Responsabilidades: Que debe y no debe haceer cada persona

    • Revisión: Como será monitoreado el cumplimiento

    • Aplicabilidad: En que casos será aplicable

    • Referencia: Documentos Complementarios.


Aprobaci n e implementaci n de la pol tica

Aprobación e implementación de la política

  • La politica debe ser aprobada por la alta gerencia de la organización

  • Una vez que la politica ha sido aprobada y se han asignado roles y responsabilidades, se debe desarrollar una infraestructura de Seguridad

    • Estandares, Normativas y Procedimientos

  • Conjuntamente debe realizarse un proceso de educación y sensibilización del personal.


Ciclo de vida del proyecto

Ciclo de vida del Proyecto


Principales problemas

Principales Problemas

  • Las políticas no cuentan con el apoyo de la administración

  • Los usuarios no saben que existen o simplemente no las cumplen porque las encuentran exageradas

  • Las responsabilidades de aplicar los controles o generar los cambios no esta clara

  • Son muy estrictas o incumplibles y por lo tanto, no aplicables . Pasan a ser letra muerta.


  • Login