0
ESTANDARES DE SEGURIDADINFORMATICA – ACIS J unio - 2002 EL MODELO ES LA BASE Por: daniel perez pereyra.
Entendiendo un Modelo de Soluciones de            Seguridad en Informática       Estrategia            Política           ...
Voces de la Industria    “ Muchas compañías de tecnología de información han desarrolladotecnologías para manejar los reto...
El Modelo es la Aplicación de Estándares                            EstándaresPolíticas de Seguridad y                    ...
Riesgos y Controles de Procesos Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, deb...
Matriz de Evaluación de Riesgos        Probabilidad e Impacto del Riesgo (C)                                  Riesgo Reman...
El Estándar de Seguridad - ISO 17799El estándar de seguridad ISO 17799 fue preparado por la British StandardInstitution (c...
ESTANDAR ISO 17799 - Políticas                                       í                                     Polticas d e Se...
ESTANDAR ISO 17799 – Clasificación de Activos                                      Responsabilid ad por Activos           ...
ESTANDAR ISO 17799 - Personal                                    D efinición d e Roles y Perfiles                         ...
ESTANDAR ISO 17799 – Seguridad Física                                    Areas Seguras                                    ...
ESTANDAR ISO 17799 AdministraciónProced im ientos d e O peraciones•Proced im ientos d e operación d ocum entad os•C ontrol...
ESTANDAR ISO 17799 - AdministraciónM anipulación d e M ed ios y Segurid ad•Ad m inistración d e m ed ios rem ovibles•D esh...
ESTANDAR ISO 17799 - Control de AccesoRequerim ientos d e Negocios paraC ontrol d e Acceso    í•Polticas d e C ontrol d e ...
ESTANDAR ISO 17799 – Control de Acceso•C ontrol d e Acceso a Red     í•Polticas d e uso d e servicios d e red•Acceso refor...
ESTANDAR ISO 17799 – Control de Acceso•C ontrol d e Acceso d e Aplicaciones•Restricción d e Acceso a inform ación•Aisl ien...
ESTANDAR ISO 17799 – Desarrollo y Mantenimiento•Requerim ientos d e Segurid ad d eSistem as•Rquerim ientos, An ál y Especi...
ESTANDAR ISO 17799 – Desarrollo y Mantenimiento•Segurid ad d e Archivos•C ontrol d e Sistem as O perativos•Protección d e ...
ESTANDAR ISO 17799 - Contingencia•Ad m inistración d e la C ontingencia o“Business C ontinuity M anagem ent”•Procesos d e ...
ESTANDAR ISO 17799 - Cumplimiento•C uplim iento d e Aspectos Legales•Id entificación d e l l                     a egisl ó...
Estándares de Seguridad - BS7799 / ISO 17799OUTSOURCING :Objetivo: Mantener la seguridad de la información cuando larespon...
Estándares de Seguridad - BS7799 / ISO 17799SEGURIDAD EN CONEXIONES CON TERCEROS:Objetivo: Mantener la seguridad de la inf...
Estándares de Seguridad - BS7799 / ISO 17799POLITICA DE SEGURIDAD INFORMATICA:Objetivo: Proveer directrices a la administr...
Estándares de Seguridad BS7799 / ISO 17799POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UNESTANDAR DE SEGURIDAD?Cer...
Upcoming SlideShare
Loading in...5
×

Estandares 110522185810-phpapp01

184

Published on

estandares

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
184
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Estandares 110522185810-phpapp01"

  1. 1. ESTANDARES DE SEGURIDADINFORMATICA – ACIS J unio - 2002 EL MODELO ES LA BASE Por: daniel perez pereyra.
  2. 2. Entendiendo un Modelo de Soluciones de Seguridad en Informática Estrategia Política Arquitectura Diseño Implementación Cumplimiento Cumplimiento Mejorar Eficiencia Rendimiento Rendimiento Regulaciones Regulaciones de Procesos Importancia Técnica Importancia Reducir Riesgos Reducir Riesgos Reducir Costos Cumplimiento Técnica Reducir Costos Limitar Exposición Administrativos Estándares Cumplimiento Administrativos Legal Costo de Propiedad Herramientas Estándares Mejorar Eficiencia Cumplimiento Uso de las Integradas Herramientas de Procesos Personas Tecnologías Licenciamiento Integradas Asegurar Propiedad Observancia y Cumplimiento Uso de las Uso de las Intelectual Recurso Estándares Tecnologías Tecnologías Asegurar Reglas Claras Administración Proceso de Proceso de Información Consecuencias Integrada Actualización y Actualización y Cliente Claras Proceso de Soporte Soporte Defenderse Contra Línea Base Para Actualización y Facilidad de Uso Facilidad de Uso Dsiputas Legales Reglamento Soporte Escalabilidad Escalabilidad Retorno de la Retorno de la Flexibilidad Flexibilidad Inversión Inversión Soporte Multi- Costo Plataforma Licenciamiento Negocio Técnico2 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  3. 3. Voces de la Industria “ Muchas compañías de tecnología de información han desarrolladotecnologías para manejar los retos de los negocios. Sin embargo, muchasde esas tecnologías sólo atienden necesidades específicas dentro de todo el ambiente de seguridad de la información. Pocas compañías tienen desarrolladas tecnologías para integrar, fácilmente, con otras tecnologías…para ayudar a proveer un más uniforme, más controlado y, por tanto, más seguro ambiente operativo.” Especialista en Seguridad, PricewaterhouseCoopers 3 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  4. 4. El Modelo es la Aplicación de Estándares EstándaresPolíticas de Seguridad y Administración y Operación de Seguridad Comunicaciones Organizacional Control de AccesoClasificación de Activos y su Control Desarrollo y Mantenimiento de Personal de Seguridad Sistemas Contingencia “Business Continuity” Seguridad Física y Ambiental “Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría 4 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  5. 5. Riesgos y Controles de Procesos Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento) Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable. RIESGOS ACTIVIDAD CONTROLESPara identificar los Para identificar losriesgos se clasifican controles se clasifican en:en: •Informática•De negocio •Atribuciones•Financieros •Procedimientos•Operativos•De cumplimiento •Documentación•Fraude •Sistema de información gerencial5 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  6. 6. Matriz de Evaluación de Riesgos Probabilidad e Impacto del Riesgo (C) Riesgo Remanente (R) CALIFICACION DEL RIESGO P R 3 Alto 3 C D 9 O R E B I L A 2 Medio 2 T I 6 B R C I I L 1 Bajo 1 I D E S 3 I A G D 1 2 3 D O 1 2 3 A IMPACTO EN LA SITUACION ACTUAL- D ORGANIZACION CONTROL INTERNOPROBABILIDAD DE IMPACTO EN LA SITUACION ACTUAL (SA)OCURRENCIA (P.O) ORGANIZACIÓN (I) DEL CONTROL INTERNO1 Es poco probable que ocurra 1 Sería de bajo impacto 1 Cubre en gran parte el riesgo2 Es medianamente probable 2 Sería de mediano 2 Cubre medianamente el riesgo que ocurra impacto 3 No existe ningún tipo de medida3 Es altamente probable que 3 Sería de alto impacto ocurra 6 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  7. 7. El Estándar de Seguridad - ISO 17799El estándar de seguridad ISO 17799 fue preparado por la British StandardInstitution (con el nombre de BS 7799) y fue adoptado por el comité técnicode la ISO en Diciembre del año 2000.El estándar hace referencia a diez aspectos primordiales para la seguridadinformática.Estos aspectos son: Planes de Contingencia, Control de Acceso a lossistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física,Cumplimiento, Seguridad Personal, Seguridad de la Organización,Administración de Operaciones, Control y Clasificación de la Información yPolíticas de Seguridad. 7 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  8. 8. ESTANDAR ISO 17799 - Políticas í Polticas d e Segurid ad : í •D ocum ento d e la Poltica d e Segurid ad •Revisión y Evaluación Segurid ad O rganizacionalPolíticas de Seguridad y Seguridad •Infraestructura Organizacional •Ente col egiad o d e Segurid ad Inform ática •C oord inación d e Segurid ad Inform ática •N om bram iento d e Responsabl d e SI es •Proceso d e autorización para oficinas d e SI •Personal especial o en SI izad •C ooperación entre O rganizaciones •Revisión ind epend iente d e SI •Segurid ad d e Ingreso a Terceros •Id entificación d e riesgos por Ingreso d e 3ros •Requisitos en C ontratos con 3ros •O utsourcing •Requisitos en C ontratos d e O utsourcing 8 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  9. 9. ESTANDAR ISO 17799 – Clasificación de Activos Responsabilid ad por Activos •Inventario d e Activos C lasificación d e Inform ación •G u ías d e C lasificación. •M anipul ón y m arcación d e Inform ación aciClasificación de Activos y su Control 9 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  10. 10. ESTANDAR ISO 17799 - Personal D efinición d e Roles y Perfiles •Incl l Segurid ad en l responsabilid ad d e rol uir a a es í •Poltica d e perfil en funciones y cargos es •Acuerd os d e confid encial ad id •Térm inos y cond iciones d el contrato d e trabaj o Entrenam iento d e Usuarios •Entrenam iento y Ed ucación en SI Respuesta a Incid entes d e Segurid ad y “M al funcionam iento”Personal de Seguridad •Reportes d e Iincid entes d e Segurid ad •D ebil ad es d e reportes d e Segurid ad id •Reportes d e “Mal funcionam iento” d e software •Aprend iend o d e los incid entes •Proceso D iscipl inario 10 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  11. 11. ESTANDAR ISO 17799 – Seguridad Física Areas Seguras •Perm etro d e Segurid ad Física í í •C ontrol d e entrad a fsica es •O ficinas d e Segurid ad •Trabaj en áreas seguras o •Areas aisl as d e cargue y d escargue ad Equipos d e Segurid ad •Ubicación y proteción d e Equipos •Sum inistros d e potencia •C abl os d e segurid ad ead •M antenim iento d e equipos •Segurid ad d e equipos prem isas d e apagad o •Reuso o d esecho d e equipos Seguridad Física y C ontroles Generales Ambiental í •Poltica d e l pieza d e escritorios y pantall im as •M anipul ón d e Propied ad aci11 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  12. 12. ESTANDAR ISO 17799 AdministraciónProced im ientos d e O peraciones•Proced im ientos d e operación d ocum entad os•C ontrol d e cam bio d e operaciones•Proced im ientos d e ad m inistración d e incid entes•Segregación d e obl igaciones•Separación d e áreas d e d esarrol y operaciones lo•Ad m inistración d e instal aciones externas Administración de Operaciónes y ComunicacionesPlaneación d e Sistem as•“C apacity Planning” – Planeam iento d e capacid ad es•Aceptación d el sistem aProtección d e Software M al icioso•C ontrol d e software m al icioso“Housekeeping” – M antenim iento•Back – Ups d e Inform ación•Logs d e O peración•Falas d e Logging lAd m inistración d e Red•C ontrol d e red es 12 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  13. 13. ESTANDAR ISO 17799 - AdministraciónM anipulación d e M ed ios y Segurid ad•Ad m inistración d e m ed ios rem ovibles•D eshecho d e m ed ios•Proced im ientos d e ad m inistración d e inform ación•Segurid ad d e la d ocum entación d el sistem a• obligaciones•Separación d e áreas d e d esarrol y operaciones lo Administración de Operaciónes y•Ad m inistración d e instalaciones externas ComunicacionesIntercam bio d e Inform ación y d eSoftware•Acuerd os d e intercam bio d e software e inform ación•Segurid ad d e m ed ios en tránsito•Segurid ad d e C om ercio El ónico ectr•Segurid ad d e C orreo El ónico ectr•Segurid ad d e sistem as d e oficina electrónicos•D isponibilid ad p úbl d e sistem as ica•O tras form as d e intercam bio d e inform ación 13 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  14. 14. ESTANDAR ISO 17799 - Control de AccesoRequerim ientos d e Negocios paraC ontrol d e Acceso í•Polticas d e C ontrol d e Acceso•Ad m inistración d e Acceso d eUsuarios Control de Acceso•Registro d e Usuarios•Ad m inistrración d e privil egios•Ad m inistración d e C onstrase ñas•Revisión d e d erechos d e acceso d e usuarios•Responsabilid ad d e Usuarios•Util ón d e contrase ñas izaci•Equipo d e usuarios d esatend id os 14 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  15. 15. ESTANDAR ISO 17799 – Control de Acceso•C ontrol d e Acceso a Red í•Polticas d e uso d e servicios d e red•Acceso reforzad o•Autenticación d e usuarios en conexión externa•Autenticación d e nod os•D iagn óstico Rem oto d e Protección d e Puertos•Segregación en red es•C ontrol d e C onexión d e Red es•C ontrol d e Enrutam iento d e Red es•Segurid ad d e servicios d e red Control de AccesoC ontrol d e acceso a Sistem asO perativos•Id entificación autom ática d e term inal es•Proced im ientos d e Log-on a Term inales•Id entificación y autenticación d e usuarios•Sistem a d e ad m inistración d e contrase ñas•Uso d e utilid ad es d el sistem a•Al a para usuarios d e segurid ad arm•“Term inal Tim e-out” Lím ites d e tiem po a estaciones 15 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  16. 16. ESTANDAR ISO 17799 – Control de Acceso•C ontrol d e Acceso d e Aplicaciones•Restricción d e Acceso a inform ación•Aisl iento d e sistem as sensitivos amM onitoreo d e Uso y Acceso aSistem as•Loggin por eventos•Id entificación autom ática d e term inal es Control de Acceso•M onitoreo d e uso d el sistem a•Sincronización d e rel oj•C om putación M óvil y Tel etrabaj o•C om putación M óvil•Teletrabaj o 16 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  17. 17. ESTANDAR ISO 17799 – Desarrollo y Mantenimiento•Requerim ientos d e Segurid ad d eSistem as•Rquerim ientos, An ál y Especificaciones d e Segurid ad isisSegurid ad en Aplicaciones•Val ación d e ingreso d e d atos id•C ontrol d e procesam iento•Autenticación d e m ensaj es•Val ación d e salid a d e d atos id•C ontroles d e Encripción Desarrollo y Mantenimiento de•Poltica d e uso d e control d e encripción í es Sistemas•Encripción•Firm as d igitales•Servicios d e N o repud iación•Ad m inistración d e cl aves PKI 17 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  18. 18. ESTANDAR ISO 17799 – Desarrollo y Mantenimiento•Segurid ad d e Archivos•C ontrol d e Sistem as O perativos•Protección d e D atos•C ontrol d e acceso a l í ibrera d e program asSegurid ad en Procesos d e D esarroll oy Soporte Desarrollo y Mantenimiento de Sistemas•Procesos d e control d e cam bios•Revisión técnica al cam bio d e S.O .•Restricciones en cam bios d e paquetes d e software•C anales y cód igo “Trojan”•D esarroll d e software en “ousorcing” o 18 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  19. 19. ESTANDAR ISO 17799 - Contingencia•Ad m inistración d e la C ontingencia o“Business C ontinuity M anagem ent”•Procesos d e Ad m inistración d e C ontingencia•C ontingencia y An ál d e Im pacto isis•Escritura e Im plem entación d e Planes d e C ontingencia•M arco d e planeación d e l C ontingencia a•C hequeo, M antenim iento y Reasignación d e Planes d eC ontingencia Contingencia “Business Continuity” 19 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  20. 20. ESTANDAR ISO 17799 - Cumplimiento•C uplim iento d e Aspectos Legales•Id entificación d e l l a egisl ón aplicable aci•D erechos d e Propied ad Intel ectual•Sal vaguard a d e Registros O rganizacionales•Protección d e D atos y privacid ad d e inform ación personal•Prevención d e ingreso a Ed ificios d e procesos d e Inform ación•Regul ón d e control d e encripción aci es•O btención d e evid encias•Revisión d e la Poltica d e Segurid ad íy su C um plim iento Técnico•C um plim iento d e l poltica d e segurid ad a í•C hequeo d e cum pl iento técnico im í•C osid eraciones d e Aud itora í•C ontrol d e aud itora d e sistem as es•Protección d e l herram ientas d e aud itora as í “Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría 20 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  21. 21. Estándares de Seguridad - BS7799 / ISO 17799OUTSOURCING :Objetivo: Mantener la seguridad de la información cuando laresponsabilidad del procesamiento esta en manos de otra organización.Las negociaciones de outsourcing deben tener definidos claramente en loscontratos suscritos, los riesgos, los controles de seguridad y losprocedimientos para los sistemas de información que se encuentren dentrode los procesos que estarán en manos de la organización proveedora deloutsourcing. 21 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  22. 22. Estándares de Seguridad - BS7799 / ISO 17799SEGURIDAD EN CONEXIONES CON TERCEROS:Objetivo: Mantener la seguridad de la información de la organización que esaccesada por terceros.El acceso a la información de la organización por parte de terceros debe sercontrolado.Se debe hacer un análisis de riesgos para determinar las implicaciones enseguridad y los requerimientos de control. Los controles que se definandeben ser definidos en el contrato que se firme con el tercero. 22 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  23. 23. Estándares de Seguridad - BS7799 / ISO 17799POLITICA DE SEGURIDAD INFORMATICA:Objetivo: Proveer directrices a la administración y soporte para la seguridadde la información.La administración debe ser capaz de definir la dirección de las políticas deSeguridad de la información. Además debe establecer un claro y firmecompromiso con estas políticas y divulgarlas a través de toda laorganización. 23 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  24. 24. Estándares de Seguridad BS7799 / ISO 17799POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UNESTANDAR DE SEGURIDAD?Certificaciones ISO.Si la empresa está sometida a un proceso de compra/venta, alianzaestratégica o hace parte de una cadena de valor B2B.Renegociación de primas y reaseguros.PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA. 24 ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×