• Save

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Arquitectura de seguridad de la información (Tecnocom)

on

  • 3,711 views

 

Statistics

Views

Total Views
3,711
Views on SlideShare
3,688
Embed Views
23

Actions

Likes
4
Downloads
0
Comments
0

2 Embeds 23

http://www.fluidsignal.com 14
http://www.slideshare.net 9

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Arquitectura de seguridad de la información (Tecnocom) Arquitectura de seguridad de la información (Tecnocom) Presentation Transcript

  • Arquitectura de Seguridad de la Información e ISO/IEC 17799 Juan Rafael Álvarez Correa jalvarez@fluidsignal.com
  • Agenda Analogía ● ● Arquitectura de Seguridad de la Información e ISO/IEC 17799 ● Conclusiones ● Preguntas Duración: 80 Minutos
  • Objetivo Comprender que la seguridad informática no es un asunto meramente técnico, si no un asunto que involucra a toda la organización.
  • ¿ Conocen los riesgos de seguridad de su CASA ?
  • ...Y basta conocer los riesgos para que esté SEGURA?
  • ¿ Tienen controles para mitigar los riesgos conocidos?
  • ...Y basta tener controles para que esté SEGURA?
  • ¿ Existen reglas claras sobre lo que se debe y NO se debe
  • ...Y basta tener reglas claras para que esté SEGURA?
  • ¿Los habitantes de la casa conocen las reglas?
  • ...Y basta que las reglas sean conocidas para que esté SEGURA?
  • ¿ Los habitantes de la casa practican las reglas?
  • Arquitectura de Seguridad de la ● Información Análisis de Riesgo ● Infraestructura ● Políticas, Estándares y Procedimientos ● Capacitación ● Conformidad
  • ¿...Y qué es Información?
  • ¿...Y qué es Seguridad de la Información?
  • ¿Comó lograrla? A.S.I. ¿Comó estandarizarla? ISO/IEC 17799
  • Análisis de Riesgo (i)
  • Riesgo Todo lo que pueda afectar el logro de los objetivos del negocio y la ejecución de sus estrategias
  • Análisis de Riesgo Objetivos Educar ● ● Identificar ● Fortalezas ● Controles ● Debilidades ● Amenazas
  • Análisis de Riesgo Periódicamente... Requerimientos y ● prioridades del negocio ● Nuevas amenazas y vulnerabilidades ● Verificar que los controles
  • Análisis de Riesgo Fases VSAN ● VSA ● VSR ● VSS ● VST ●
  • Análisis de Riesgo VSAN Función de Seguridad ● ● Plan de Seguridad ● Políticas, Estándares y Procedimientos ● BIA, BCP (11), DRP ● Clasificación de Recursos (5) ● Inventario de Recursos (5) ● Plan de capacidad
  • Análisis de Riesgo VSAN Programa de Antivirus ● ● Seguridad en los PC ● Seguridad Física y Ambiental ● Mantenimiento de los Recursos Computacionales ● Gestion de Problemas ●
  • Análisis de Riesgo VSA Ambiente Operativo ● ● Desarrollo (10) ● Mecanismos de Autenticación e Integridad ● Bases de Datos
  • Análisis de Riesgo VSR Ambiente Operativo ● Administración ● Control de Acceso (9) ● Terceras partes ● Respaldo y Recuperación ●
  • Análisis de Riesgo VSS Configuración ● Usuarios y Grupos ● Control de Contraseñas ● Acceso Remoto ● Redes ● Respaldo y Recuperación ●
  • Análisis de Riesgo VST Tecnologia ● Administracion ● Revision técnica ●
  • Organización e Infraestructura
  • Organización de la Seguridad (4) Comité Ejecutivo de ● Seguridad ● Gerente de Información ● Gerente Financiero ● Oficial de Seguridad ● Equipo de Seguridad ● Terceras partes
  • Organización de la Seguridad (4) Administradores de Red y ● Aplicaciones ● Recursos Humanos ● Consejeros Legales ● Help Desk ● Usuarios Finales
  • Organización de la Seguridad (4) Matriz Propietario/Recurso ● ● Metodologia de Clasificación (5) ● Segregación de Responsabilidades
  • Infraestructura Firewall (Proactivo) Segmentación de Redes ● ● Evita accesos no autorizados
  • Infraestructura Detector de Intrusos (IDS) HIDS ● NIDS ● Heuristicos ● Patrones ●
  • Infraestructura HoneyPot Identificar Atacantes ● ● Conocer sus técnicas y patrones de comportamiento
  • Infraestructura VPN Redes Publicas ● ● Canales de comunicación seguros Red ● Aplicación ●
  • Infraestructura PKI Certificación ● Registro ● Verificación ●
  • Infraestructura Seguridad Física (7) Vigilancia del perímetro ● Controles de entrada ● UPS ● Cableado ●
  • Políticas, Estándares y Procedimientos
  • La seguridad que puede ser alcanzada técnicamente es limitada y debe ser soportada con administración y procedimientos apropiados
  • Politicas (3) ¿Que? ● ¿Quien? ● ¿Porque? ● Mecanismo de comunicación ● ● Claras y Concisas ● Bases para las acciones disciplinarias
  • Políticas Los usuarios deben cambiar sus contraseñas periódicamente
  • Procedimientos ¿Donde? ● ¿Cuando? ● ¿Como? ● Transferencia de ● Conocimiento ● Mejores prácticas ● No son revisados a nivel
  • Procedimientos ¿Cómo se cambian ● las contraseñas? ● ¿Cómo se asignan contraseñas para nuevos usuarios?
  • Estándares Convenciones acordadas ● ● Operar uniformemente ● Definen unas expectativas mínimas ● Administración eficiente ● Mejores prácticas de la Industria
  • Estándares Los usuarios normales deben cambiar las contraseñas cada 90 días y los usuarios administradores cada 30 días
  • Capacitación
  • Capacitación Objetivos Conocer las ● responsabilidades ● Conocer el valor de la seguridad de la información ● Conocer las posibles violaciones de seguridad y a quien contactar
  • Capacitación Quienes Empleados ● ● Ejecutivos ● Administradores de Sistemas ● Oficiales de Seguridad
  • Conformidad (12)
  • Conformidad (12) Garantizar que lo definido este siendo ejecutado en la realidad
  • Conformidad (12) Verificar Integridad de las cuentas ● Integridad del respaldo ● Atributos de archivos ● Rendimiento ● Auditoría del sistema ● Parámetros de Login ● Test de penetración ● Auditoría de código fuente ●
  • Factores Claves de Éxito Conocer el riesgo ● Falta de recursos ● Sistemas heterogéneos ● Operaciones independientes ● Fomento de la confianza ● Terceras partes ● Cambio de tecnología ●
  • Factores Claves de Éxito Reflejar los objetivos del ● negocio ● Consistencia con la cultura organizacional ● Marketing efectivo de la seguridad ● Capacitación a todos
  • BS-7799-2:1999 Certification Body Det Norske Veritas ● ● BSI Assesment Services Limited
  • BS-7799-2:1999 Pasos Revision de escritorio ● Revision técnica ● Auditoria Interna ● Auditoria Externa ●
  • Conclusiones La seguridad no es un asunto ● meramente técnico ● Los ejecutivos deben conocer los riesgos ● Las implementaciones no deben realizarse arbitrariamente ● Existen estándares internacionales que apoyan el proceso