1ra Jornadas de Actualización
        Tecnológica UNEFA




Estándares de Seguridad
      Informática


                  ...
Contenido

●   ESTADÍSTICAS
●   ESTÁNDARES, METODOLOGÍAS Y BUENAS PRÁCTICAS 
    PARA LA SEGURIDAD INFORMÁTICA
●   ISO/IEC...
¿Su base de datos está protegida
 de manos criminales?




            ¿Los activos de su empresa
             han sido in...
Estadísticas

La firma PriceWaterhouseCoopers entrevistó a más de
7.000 Ejecutivos CIO y CSO. Cuyos resultados se pre-
sen...
Estadísticas
        Plan de Continuidad




     Cumplimiento Políticas




   Cumplimiento Regulatorio


               ...
¿Quién está a cargo de seguridad de
         la información?
  En las grandes empresas el 44% informó que los
  CIO
  En l...
¿Cómo aprenden las organizaciones
    de incidentes de seguridad?
39 % Firewall o servidor de archivos y registros
37% Det...
Qué herramientas de seguridad de TI
    utilizan las organizaciones?
                    Tecnología                      2...
¡No es la ignorancia !
           Origen de Incidentes               2007      2008

  Empleados                          ...
Su organización como ve la seguridad de la
               información.

       ¿Cómo proceso o cómo producto?
Estándares, Metodologías y Buenas Prácticas para
            la Seguridad Informática

  IS0/IEC 27000
  X.805 de UIT-T
  ...
ISO/IEC 27001:2005
Joint Technical Committee 1
 ISO/IEC JTC
1/SC 27/WG 1                        ISO/IEC JTC 1




                        …  ...
ISO / IEC 17799 : 2005
   ISO 27001:2005-    Código de práctica de seguridad en la gestión de la
     SISTEMA DE        in...
ISO/IEC                ISO/IEC                  ISO/IEC
 FAMILIA DE         27000               27001:2005               2...
INFORMACIÓN   “La información es un activo, que tal como otros
              importantes activos del negocio, tiene valor ...
La información puede ser:
CICLO DE VIDA
    DE LA
INFORMACIÓN
                CREADA       ALMACENADA            ¿DESTRUID...
TIPOS DE               IMPRESA O ESCRITA
     INFORMACIÓN            ALMACENADA ELECTRÓNICAMENTE
                         ...
¿Qué es seguridad de la
    Información?
Seguridad de información es mucho más que establecer “firewalls”,
               aplicar parches para corregir nuevas vuln...
Existen tres fuentes para que una organización identifique
               sus requerimientos de seguridad:
ENFOQUE PARA
 E...
BS 7799-2:2002
ISO 27001:2005   ISO 27001:2005               BS 7799-2:2002


                    11 cláusulas            ...
NATURALEZA Y DINÁMICA DEL
      ISO 27001 : 2005

   SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
PLAN

                                                   ESTABLECER
                  PARTES                            EL...
ESTRUCTURA                                          Política,
    DE LA                                           alcance,...
POLÍTICAS
  EN EL
  SGSI      “Orientaciones o directrices que rigen la actuación de
             una persona o entidad en...
La seguridad de la información protege la información de
RESUMEN   una serie de amenazas para que así la empresa pueda
   ...
“Si tú tienes una manzana, yo tengo una manzana y las
intercambiamos: ...seguiremos teniendo una manzana cada uno.
      ....
http://mmujica.wordpress.com

CONTACTO:
email: manuel@ubuntu.org.ve
Huella GPG: AD68 F6CC 76D1 EDA0 7BA4 130A 7DAE CCC0 B2...
Upcoming SlideShare
Loading in...5
×

Estándares de seguridad informática

25,993

Published on

1ra Jornadas de actualización tecnológica UNEFA Lara

Published in: Education, Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
25,993
On Slideshare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
746
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Estándares de seguridad informática

  1. 1. 1ra Jornadas de Actualización Tecnológica UNEFA Estándares de Seguridad Informática Prof. Manuel Mujica 17 de Julio 2009
  2. 2. Contenido ● ESTADÍSTICAS ● ESTÁNDARES, METODOLOGÍAS Y BUENAS PRÁCTICAS  PARA LA SEGURIDAD INFORMÁTICA ● ISO/IEC 27001:2005 ●  NATURALEZA Y DINÁMICA DEL ISO/IEC 27001 : 2005
  3. 3. ¿Su base de datos está protegida de manos criminales? ¿Los activos de su empresa han sido inventariados y tasados?
  4. 4. Estadísticas La firma PriceWaterhouseCoopers entrevistó a más de 7.000 Ejecutivos CIO y CSO. Cuyos resultados se pre- sentan a continuación. 44% Planean aumentar los gastos de la seguridad en el próximo año. 59% Tienen una estrategia de seguridad de la informa- ción. Solo 24% clasifican el valor de los datos como parte de las políticas de seguridad. The Global State of Information Security – 2008 - http://www.pwc.com
  5. 5. Estadísticas Plan de Continuidad Cumplimiento Políticas Cumplimiento Regulatorio 0 0,1 0,2 0,3 0,4 0,5 0,6 Plan de Continuidad del Negocio y Cumplimiento de Políticas The Global State of Information Security – 2008 - http://www.pwc.com
  6. 6. ¿Quién está a cargo de seguridad de la información? En las grandes empresas el 44% informó que los CIO En las empresas medianas el 36% a mediados informó que los CIO. The Global State of Information Security – 2008 - http://www.pwc.com
  7. 7. ¿Cómo aprenden las organizaciones de incidentes de seguridad? 39 % Firewall o servidor de archivos y registros 37% Detección de intrusos / sistema de prevención. 36% a través de Colegas The Global State of Information Security – 2008 - http://www.pwc.com
  8. 8. Qué herramientas de seguridad de TI utilizan las organizaciones? Tecnología 2007 2008 Malicious­code detection tools     80% 84% Application­level firewalls  62% 67% Intrusion detection  59% 63% Intrusion prevention  52% 62% Encryption Database  45% 55% Encryption Laptop  40% 50% Encryption Backup tape  37% 47% Automated password reset  40% 45% Wireless handheld device security 33% 42% The Global State of Information Security – 2008 - http://www.pwc.com
  9. 9. ¡No es la ignorancia ! Origen de Incidentes 2007 2008 Empleados 48% 34% Hackers 41% 28% Antiguos Empleados 21% 16% Socios de Negocios 19% 15% Otros 20% 8% Clientes 9% 8% Terrorismo 6% 4% The Global State of Information Security – 2008 - http://www.pwc.com
  10. 10. Su organización como ve la seguridad de la información. ¿Cómo proceso o cómo producto?
  11. 11. Estándares, Metodologías y Buenas Prácticas para la Seguridad Informática IS0/IEC 27000 X.805 de UIT-T TCSEC (Orange Book) ITSEC (White Book) FIPS 140 (Federal Information Precessing Systems 140) CC (Common Criteria) COBIT (Control Objectives for Information and Related Technology) ITIL (Information Technology Infrastructure Library) OSSTMM (Open Source Security Testing Methodology Manual)
  12. 12. ISO/IEC 27001:2005
  13. 13. Joint Technical Committee 1 ISO/IEC JTC 1/SC 27/WG 1 ISO/IEC JTC 1 … SC27 … Sub Commite 27 WG1 WG2 WG3 Grupo de Trabajo 1 International Organization for Standardization ISO 17799:2005 ISO 27000 International Electrotechnical Commission
  14. 14. ISO / IEC 17799 : 2005 ISO 27001:2005- Código de práctica de seguridad en la gestión de la SISTEMA DE información – Basado en BS 7799 – 1 : 2000. GESTIÓN DE SEGURIDAD DE .Recomendaciones para buenas prácticas INFORMACIÓN No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación Al inicio del 2009 habían 5190 empresas certificadas en el mundo. Fuente: http://www.xisec.com http://www.iso27001certificates.com/
  15. 15. ISO/IEC ISO/IEC ISO/IEC FAMILIA DE 27000 27001:2005 27002:2007 ESTANDARES SGSI Requerimientos (ISO 17799:2005) ISO 27000 “Fundamentos y vocabulario” ISO/IEC ISO/IEC ISO/IEC 27003 27004 27005 “Lineamientos para Lineamiento SGSI la Implantación” “Métrica y Mediciones” Lineamiento “Gestión del Riesgo”
  16. 16. INFORMACIÓN “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005
  17. 17. La información puede ser: CICLO DE VIDA DE LA INFORMACIÓN CREADA ALMACENADA ¿DESTRUIDA? PROCESADA TRANSMITIDA UTILIZADA – Para propósitos apropiados o inapropiados PERDIDA CORROMPIDA
  18. 18. TIPOS DE IMPRESA O ESCRITA INFORMACIÓN ALMACENADA ELECTRÓNICAMENTE TRANSMITIDA POR MEDIOS ELECTRÓNICOS PRESENTADA EN VIDEOS CORPORATIVOS VERBAL – CONVERSADA FORMAL/INFORMALMENTE “……. Cualquier forma que tome la información, o los medios que se utilicen para compartirla o almacenarla, siempre debe estar apropiadamente protegida”. ISO 17799 : 2000
  19. 19. ¿Qué es seguridad de la Información?
  20. 20. Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los “backups”. ¿QUÉ ES SEGURIDAD DE INFORMACIÓN? Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran.
  21. 21. Existen tres fuentes para que una organización identifique sus requerimientos de seguridad: ENFOQUE PARA ESTABLECER La primera fuente deriva de la evaluación de los riesgos que afectan REQUERI- la organización. Aquí se determinan las amenazas de los activos, MIENTOS DE luego se ubican las vulnerabilidades y se evalúa su posibilidad de SEGURIDAD ocurrencia, y se estiman los potenciales impactos. ISO 17799:2005 La segunda fuente es el aspecto legal.| Aquí están los requerimientos contractuales que deben cumplirse. La tercera fuente es el conjunto particular de principios, objetivos y requerimientos para procesar información, que la empresa ha desarrollado para apoyar sus operaciones.
  22. 22. BS 7799-2:2002 ISO 27001:2005 ISO 27001:2005 BS 7799-2:2002 11 cláusulas 10 cláusulas 39 objetivos de control 36 objetivos de control 133 controles específicos 127 controles específicos
  23. 23. NATURALEZA Y DINÁMICA DEL ISO 27001 : 2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
  24. 24. PLAN ESTABLECER PARTES EL SGSI 4.2 INTERESA- PARTES MODELO PDCA DAS INTERESA- APLICADO A IMPLEMENTAR Desarrollar, MANTENER Y DAS REQUERIMIEN- mantener Y OPERAR EL MEJORAR LOS PROCESOS TOS EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 SEGURIDAD Y DEL SISTEMA EXPECTATIVAS el ciclo DE DO ACT INFORMACIÓN DE GESTIÓN DE DE LA MANEJADA SEGURIDAD SEGURIDAD DE DE INFORMA- MONITOREAR INFORMACIÓN CIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 7.0 Revisión gerencial 7.1 Auditorias internas 8.0 Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Acción correctiva 8.3 Acción preventiva
  25. 25. ESTRUCTURA Política, DE LA alcance, NIVEL I DOCUMEN- evaluación del Enfoque de la gerencia Manual de Seguridad riesgo TACIÓN enunciado de REQUERIDA aplicabilidad NIVEL II Descripción de procesos, Procedimientos quién hace qué y cuándo Describe cómo las tareas y actividades Instrucciones de NIVEL III trabajo específicas se realizan NIVEL IV Proveen evidencia objetiva de la conformidad con el SGSI Registros
  26. 26. POLÍTICAS EN EL SGSI “Orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado”. Real Academia Española. Aspectos a considerar al elaborar políticas Qué será protegido Cómo será gestionada Quién es responsable Cuándo toma efecto Dónde en la organización Por qué ha sido creada
  27. 27. La seguridad de la información protege la información de RESUMEN una serie de amenazas para que así la empresa pueda continuar operando, minimizar daños a la gestión comercial y maximizar el retorno a la inversión y oportunidades de negocios. Cada organización tendrá un conjunto de requerimientos diferentes de control y de niveles de confidencialidad, integridad y disponibilidad.
  28. 28. “Si tú tienes una manzana, yo tengo una manzana y las intercambiamos: ...seguiremos teniendo una manzana cada uno. ...Pero si tú tienes una idea, yo tengo una idea y las intercambiamos: cada uno de nosotros tendrá dos ideas”. —Bernard Shaw El conocimiento aumenta con su uso, se multiplica cuando se comparte Gracias por su Atención
  29. 29. http://mmujica.wordpress.com CONTACTO: email: manuel@ubuntu.org.ve Huella GPG: AD68 F6CC 76D1 EDA0 7BA4 130A 7DAE CCC0 B223 3B42 Ubuntu User #4728 Linux User #439689 Blog's: http://pide.wordpress.com http://mmujica.wordpress.com http://uclaredes.wordpress.com http://www.ubuntu-ve.org http://creativecommons.org/licenses/by/3.0/deed.es
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×