Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Mdulo 1: Sesin N1
Elaborado por: JC Pacheco
26/08/2011
AGENDA
1. La Seguridad, Conceptos y definiciones 2. Seguridad Informtica vs Seguridad de la Informacin 3. Riesgos: Conceptos y definiciones 4. Relacin entre seguridad y riesgo 5. Componentes del riesgo. 6. Qu es un modelo de gestin de la seguridad
jcpacheco@computer.org
26/08/2011
Segn el RAE
jcpacheco@computer.org
26/08/2011
Poltica de Seguridad
Depende de
Mecanismos de Seguridad
Refuerza la poltica Meta: Nunca en estado no permitido
Aseguramiento de Seguridad
jcpacheco@computer.org
26/08/2011
INSEGURO
Componente HUMANO:
SISTEMA
SEGURO
Sin personas que logren esto NO HABR SISTEMA SEGURO
Conocer y comprender principios de seguridad Cmo esos principios se aplican en una situacin dada Cmo definir requerimientos y su poltica adecuada Cmo utilizar la tecnologa para implementar la poltica
jcpacheco@computer.org
26/08/2011
Seguridad de la Informacin
Informacin documental y biolgica Procesos de Negocio Informacin en computadoras Procesos informticos
Polticas
Anlisis de Riesgos
Mecanismos y Procedimientos
Seguridad Informtica
jcpacheco@computer.org
26/08/2011
Riesgo
jcpacheco@computer.org
26/08/2011 9
26/08/2011
10
Amenaza Vs Riesgo
Riesgo es: Amenaza es: I. Efecto de la incertidumbre sobre los objetivos (ISO31000) I. Todo lo que tenga probabilidad de ocurrir, causando dao. (Wikipedia) II. El resultado de la posibilidad de una amenaza explotando la vulnerabilidad de un activo. II. Causa potencial de un incidente no deseado, (ISO27000) el que puede ocasionar un dao al sistema o a la organizacin (ISO27000) Sin la ocurrencia de amenazas el riesgo sera cero.
26/08/2011 11
RIESGO
Activos de la organizacin
jcpacheco@computer.org
26/08/2011
12
Alcance
Combina la severidad (cun serio es el problema?) Con su distribucin general (que proporcin del proceso o de la organizacin se afecta?)
Cuando ocurre
jcpacheco@computer.org
26/08/2011 13
Resumiendo.
La Amenaza La Vulnerabilidad Estrategia de Mitigacin
El Activo
jcpacheco@computer.org
26/08/2011
14
jcpacheco@computer.org
26/08/2011
15
2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar.
2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar.
Concrecin de acciones para el logro de un objetivo
Entonces, Modelo de Gestin de la Seguridad es el entorno o marco de referencia para la administracin de la SEGURIDAD en una organizacin
jcpacheco@computer.org
26/08/2011
16
.en el tiempo
jcpacheco@computer.org
26/08/2011
17
26/08/2011
18
Gua para la identificacin, recoleccin, y/o adquisicin y preservacin de evidencia ISO/IEC 27037 digital.
jcpacheco@computer.org
26/08/2011
19
jcpacheco@computer.org
26/08/2011
20
Plan
(plani ficar)
Do
(hacer)
Act
Realiza los cambios necesarios para llevar al SGSI a mximo rendimiento.
Check
(contro lar )
Revisa y evala el desempeo (eficiencia y eficacia) del SGSI.
(actuar )
jcpacheco@computer.org
26/08/2011
21
2008 2009
2008 2009
Fuente: www.iso.org
26/08/2011
22
SM
Gestin de Seguridad
UE
Ambiente de Usuario Final
alineado
con como
los ITIL,
principales CMM,
CB
Aplicaciones de Negocio Crticas
SD
Desarrollo de Sistemas
estndares ISO20000,
ISO9001,
ISO/IEC2700x,
INSTALACIONES DE TI
NW
Redes
CI
Ambiente de Cmputo
jcpacheco@computer.org
26/08/2011
23
SOGP como herramienta que apoya la certificacin ISO27001. Alineada a toda la familia ISO2700, incluyendo: la 27014 (gobernanza de seguridad) y 27036 (Terceros externos) Incluye tpicos como : Delitos Informticos (Cibercrime), Computacin en la Red (Cloud Computing) y Seguridad en dispositivos mviles. Proporciona informacin detallada y propone controles para Infraestructura Crtica y Acceso Inalmbrico. Es una herramienta para habilitar el cumplimiento de los estndares COBIT y PCI DSS.
jcpacheco@computer.org
ii.
iii.
iv.
26/08/2011
24
Asegura que los requerimientos de seguridad de la informacin sean las premisas para trabajar con terceros. Sirven como base para la comprensin y evaluacin del nivel de seguridad de la
ii.
est sujeta a un nivel de seguridad de la informacin que puede responder a los riesgos.
jcpacheco@computer.org
26/08/2011
25
La evaluacin de riesgos ayuda a reducir la frecuencia e impacto de los incidentes de seguridad, y mejora la seguridad de la informacin SOGP complementa a cualquier
ii.
26/08/2011
26
Puede ser adoptado como base de una poltica de seguridad de la informacin general.
ii.
26/08/2011
27
Contiene tpicos especficos que ayudarn al mejoramiento de la toma de conciencia en seguridad y soportarn actividades correspondientes dentro de la organizacin. Dirige cmo se podra aplicar la seguridad de la informacin en un ambiente local, lo que representa una actividad de concientizacin en seguridad. Lograr que la organizacin tome conciencia del rol de la seguridad de la informacin, de manera consistente a travs de la propia organizacin generar altos niveles de proteccin y evitar potenciales daos costosos para la reputacin de la organizacin.
ii.
iii.
jcpacheco@computer.org
26/08/2011
28
26/08/2011
29
SOGP se constituye en una completa herramienta de referencia para atender a nuevos requerimientos de seguridad de la informacin o a la mejora de los controles existentes.
ii.
26/08/2011
30
Ayuda a mejorar los sistemas ISM de la organizacin, resaltando diferencias entre el nivel actual y el nivel deseado de madurez
Evala cuantitativamente la madurez del SGSI de una organizacin y su ambiente de control de seguridad de la informacin
til como gua para priorizar inversiones. Comparando los objetivos de seguridad y los objetivos de madurez.
jcpacheco@computer.org
26/08/2011
31
Modelo Organizativo
Estratgico
Tctico
Operativo
Nivel de Madurez
ISM3-0: existe riesgo, inversin impredecible ISM3-1: Reduccin de riesgo, inversin mnima ISM3-2: Mayor reduccin de riesgo, inversin moderada ISM3-3: Alta reduccin de riesgo tcnico, inversin seria ISM3-4: Alta reduccin de riesgo tcnico e interno, inversin seria
jcpacheco@computer.org
26/08/2011
32
Polticas Procedimientos
Buenas Prcticas
Lecciones de Incidentes
OCTAVE Magerit
Segn Cliente
jcpacheco@computer.org
26/08/2011
33
Information Security Management Maturity Model ("ISM3") est construido con base en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de
26/08/2011
34
Controles Activos
Reduce
Enfrenta
Riesgo
Afecta
Vulnerabilida des
Explota
Genera
Agente de amenaza
Provoca
Amenazas
Desea apropiarse, abusar o daar
jcpacheco@computer.org
26/08/2011
35
jcpacheco@computer.org
26/08/2011
36
jcpacheco@computer.org
26/08/2011
37
Prdida de ventas por fuera de Sitio WEB fuera por un incidente de seguridad? Prdida de acceso a INTERNET? servicio Prdida de Datos Compromiso de Datos por divulgacin o modificacin Costos de reparacin Prdida de imagen
Restaurar datos de un backup puede ser muy costoso. Qu si se destruyen los backups? Planes estratgicos revelados, Informacin financiera sensible Se podra necesitar comprar un nuevo equipo Servicios de recuperacin de datos. Hacer noticia como vctimas de una brecha de seguridad. Fuga de clientes, etc
jcpacheco@computer.org
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011
38
http://bcpzonasegura.viabcperu.in/bcp/
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
jcpacheco@computer.org
26/08/2011
39
jcpacheco@computer.org
26/08/2011
40
Preguntas?
jcpacheco@computer.org