Escolar Documentos
Profissional Documentos
Cultura Documentos
SEGURIDAD DE LA INFORMACIN
Mdulo 1: Sesin N1
26/08/2011
AGENDA
1. La Seguridad, Conceptos y definiciones 2. Seguridad Informtica vs Seguridad de la Informacin 3. Riesgos: Conceptos y definiciones 4. Relacin entre seguridad y riesgo 5. Componentes del riesgo. 6. Qu es un modelo de gestin de la seguridad
jcpacheco@computer.org
26/08/2011
Segn el RAE
jcpacheco@computer.org
26/08/2011
Poltica de Seguridad
Depende de
Mecanismos de Seguridad
Refuerza la poltica Meta: Nunca en estado no permitido
Aseguramiento de Seguridad
jcpacheco@computer.org
26/08/2011
INSEGURO
Componente HUMANO:
SISTEMA
SEGURO
Sin personas que logren esto
NO HABR SISTEMA SEGURO
26/08/2011
Seguridad de la Informacin
Informacin documental y biolgica Procesos de Negocio Informacin en computadoras Procesos informticos
Polticas
Anlisis de Riesgos
Mecanismos y Procedimientos
Seguridad Informtica
jcpacheco@computer.org
26/08/2011
Dao potencial que puede surgir por un proceso presente o evento futuro. (Wikipedia)
Evento o situacin incierta, que de suceder, tiene un efecto en los objetivos del proyecto (PMBOK)
Riesgo
jcpacheco@computer.org
26/08/2011 9
organizacin (Magerit)
jcpacheco@computer.org
26/08/2011
10
Amenaza Vs Riesgo
Riesgo es: Amenaza es: I. Efecto de la incertidumbre sobre los objetivos (ISO31000) I. Todo lo que tenga probabilidad de ocurrir, causando dao. (Wikipedia) II. El resultado de la posibilidad de una amenaza explotando la vulnerabilidad de un activo. II. Causa potencial de un incidente no deseado, (ISO27000) el que puede ocasionar un dao al sistema o a la organizacin (ISO27000) Sin la ocurrencia de amenazas el riesgo sera cero.
26/08/2011 11
RIESGO
Activos de la organizacin
jcpacheco@computer.org
26/08/2011
12
Alcance
Combina la severidad (cun serio es el problema?) Con su distribucin general (que proporcin del proceso o de la organizacin se afecta?)
Cuando ocurre
jcpacheco@computer.org
26/08/2011 13
Resumiendo.
La Amenaza La Vulnerabilidad Estrategia de Mitigacin
El Activo
jcpacheco@computer.org
26/08/2011
14
jcpacheco@computer.org
26/08/2011
15
2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar.
Entonces, Modelo de Gestin de la Seguridad es el entorno o marco de referencia para la administracin de la SEGURIDAD en una organizacin
jcpacheco@computer.org
26/08/2011
16
.en el tiempo
jcpacheco@computer.org
26/08/2011
17
ISO/IEC 27002:2007
ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2008
ISO/IEC 27006:2007
ISO/IEC 27011:2008 ISO/IEC 27031:2011 ISO/IEC 27033-1:2009 ISO 27799:2008
26/08/2011
18
Gua para la identificacin, recoleccin, y/o adquisicin y preservacin de evidencia ISO/IEC 27037 digital.
jcpacheco@computer.org
26/08/2011
19
jcpacheco@computer.org
26/08/2011
20
Plan
(planificar)
Do
(hacer)
Act
(actuar)
Mejorar el SGSI Realiza los cambios necesarios para llevar al SGSI a mximo rendimiento.
Check
(controlar)
Monitorear SGSI Revisa y evala el desempeo (eficiencia y eficacia) del SGSI.
jcpacheco@computer.org
26/08/2011
21
12000
10000 8000 6000 4000 2000 0
9246
2008 2009
2008
2009
120
100 80 60 40 20 0 Fuente: www.iso.org jcpacheco@computer.org 2008 2009 82
2008
2009
26/08/2011
22
del Foro de Seguridad de Informacin (ISF) es una referencia prctica sobre seguridad de la informacin y temas
SM
Gestin de Seguridad
UE
Ambiente de Usuario Final
relacionados
con
los
riesgos
de
alineado
con como
los ITIL,
principales CMM,
CB
Aplicaciones de Negocio Crticas
SD
Desarrollo de Sistemas
estndares
ISO20000,
ISO9001,
ISO/IEC2700x,
INSTALACIONES DE TI
NW
Redes
CI
Ambiente de Cmputo
jcpacheco@computer.org
26/08/2011
23
SOGP como herramienta que apoya la certificacin ISO27001. Alineada a toda la familia ISO2700, incluyendo: la 27014 (gobernanza de seguridad) y 27036 (Terceros externos)
Incluye tpicos como : Delitos Informticos (Cibercrime), Computacin en la Red (Cloud Computing) y Seguridad en dispositivos mviles. Proporciona informacin detallada y propone controles para Infraestructura Crtica y Acceso Inalmbrico.
ii.
iii.
iv.
Es una herramienta para habilitar el cumplimiento de los estndares COBIT y PCI DSS.
jcpacheco@computer.org
26/08/2011
24
ii.
proveedores
iii. Asegura que la cadena de suministro
est sujeta a un nivel de seguridad de la informacin que puede responder a los riesgos.
jcpacheco@computer.org
26/08/2011
25
seguridad de la informacin
ii.
26/08/2011
26
ii.
26/08/2011
27
Contiene tpicos especficos que ayudarn al mejoramiento de la toma de conciencia en seguridad y soportarn actividades correspondientes dentro de la organizacin. Dirige cmo se podra aplicar la seguridad de la informacin en un ambiente local, lo que representa una actividad de concientizacin en seguridad. Lograr que la organizacin tome conciencia del rol de la seguridad de la informacin, de manera consistente a travs de la propia organizacin generar altos niveles de proteccin y evitar potenciales daos costosos para la reputacin de la organizacin.
ii.
iii.
jcpacheco@computer.org
26/08/2011
28
Ayuda a mejorar la gestin de los ejecutivos y la confianza de los interesados, por la capacidad de anlisis objetivos del nivel real de seguridad
jcpacheco@computer.org
26/08/2011
29
existentes.
ii.
26/08/2011
30
Ayuda a mejorar los sistemas ISM de la organizacin, resaltando diferencias entre el nivel actual y el nivel deseado de madurez
Evala cuantitativamente la madurez del SGSI de una organizacin y su ambiente de control de seguridad de la informacin
til como gua para priorizar inversiones. Comparando los objetivos de seguridad y los objetivos de madurez.
jcpacheco@computer.org
26/08/2011
31
Modelo Organizativo
Estratgico
Tctico
Operativo
Nivel de Madurez
ISM3-0: existe riesgo, inversin impredecible ISM3-1: Reduccin de riesgo, inversin mnima
jcpacheco@computer.org
26/08/2011
32
Polticas Procedimientos
Buenas Prcticas
Lecciones de Incidentes
OCTAVE Magerit
Segn Cliente
jcpacheco@computer.org
26/08/2011
33
Information Security Management Maturity Model ("ISM3") est construido con base en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de gobierno de la seguridad. Mientras que la ISO/IEC 27001 est basada en controles. ISM3 basado en procesos, incluye mtricas de proceso.
jcpacheco@computer.org
26/08/2011
34
Controles Activos
Reduce
Enfrenta
Riesgo
Afecta
Vulnerabilida des
Explota
Genera
Agente de amenaza
Provoca
Amenazas
Desea apropiarse, abusar o daar
jcpacheco@computer.org
26/08/2011
35
jcpacheco@computer.org
26/08/2011
36
Tomado de:
jcpacheco@computer.org
26/08/2011
37
Prdida de ventas por fuera de Sitio WEB fuera por un incidente de seguridad? Prdida de acceso a INTERNET? servicio Prdida de Datos Compromiso de Datos por divulgacin o modificacin Costos de reparacin Prdida de imagen
Restaurar datos de un backup puede ser muy costoso. Qu si se destruyen los backups? Planes estratgicos revelados, Informacin financiera sensible Se podra necesitar comprar un nuevo equipo Servicios de recuperacin de datos. Hacer noticia como vctimas de una brecha de seguridad. Fuga de clientes, etc
jcpacheco@computer.org
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011
38
http://bcpzonasegura.viabcperu.in/bcp/
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
jcpacheco@computer.org
26/08/2011
39
jcpacheco@computer.org
26/08/2011
40
Preguntas?
jcpacheco@computer.org