Gestion de Seguridad informatica

28,357 views
27,742 views

Published on

sistema des Gestion de Seguridad informatica

Published in: Technology, Business
2 Comments
6 Likes
Statistics
Notes
No Downloads
Views
Total views
28,357
On SlideShare
0
From Embeds
0
Number of Embeds
889
Actions
Shares
0
Downloads
1,646
Comments
2
Likes
6
Embeds 0
No embeds

No notes for slide

Gestion de Seguridad informatica

  1. 1. GESTION DE LA SEGURIDAD DE LA INFORMACION <ul><li>Carlos Mauro Cárdenas </li></ul><ul><li>Edith Santos Lorenzo </li></ul><ul><li>José Luis Huamán Flores </li></ul><ul><li>Ricardo Callupe </li></ul>Grupo -{: |-|4Ck3'5 :}-
  2. 2. Riesgos, Amenazas y Vulnerabilidades
  3. 3. ¿ Qué es la seguridad de la información ? <ul><li>La seguridad de la información protege la información de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el daño del negocio y maximizar el retorno de la inversión y las oportunidades de negocio. </li></ul>
  4. 4. ¿ Qué es la seguridad de la información ? Integridad Confidencialidad Disponibilidad Riesgo ¿ Qué es la seguridad de la información ? Administración Pacientes Empleados Atacantes Problemas Auditoria Interna El Publico
  5. 5. Análisis de Riesgos y Administración de la Plataforma Bienes Amenazas Vulnerabilidad Riesgo Medidas de Seguridad } } Análisis Administración
  6. 6. Pasos en un análisis de riesgos 1. Identificación costo posibles pérdidas (L) Identificar amenazas 2. Determinar susceptibilidad. La probabilidad de pérdida (P ) 3. Identificar posibles acciones (gasto) y sus implicaciones (B). Seleccionar acciones a implementar. ¿ B  P  L ? Se cierra el ciclo
  7. 7. Proceso de administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar
  8. 8. Riesgo Vulnerabilidades Amenazas Controles Requerimiento de Seguridad Bienes de Valor Bienes Proteción Exploit Reduce Increementa Indica Incrementa Exponen Tiene Disminuye Traen Impacto en Organizaciones Amenazas, Riesgos & Vulnerabilidades
  9. 9. Ciclo PDCA Política y Alcance del sistema Análisis de riesgos Selección de controles Acciones correctivas Acciones preventivas Modificación Plan Implantación del SGSI Implantación controles Implantación indicadores Auditoría interna No conformidades Grado de cumplimiento Plan Do Check Act
  10. 10. SEGURIDAD
  11. 11. Análisis. Ambitos
  12. 13. Ingeniería de Seguridad <ul><li>Modelo CERT </li></ul>
  13. 14. Ciclo del proceso de seguridad Análisis Operación Planificación Implementación
  14. 15. Seguridad Lógica Seguridad Física
  15. 16. Requisitos planteados a la seguridad Requisitos de seguridad Confiden- cialidad Integridad Disponibilidad Autentifi- cación Control de acceso Obligato- riedad Anonimato Concepto de seguridad contienen en determinada medida implementa
  16. 17. Seguridad correcta Seguridad El equilibrio correcto decide el éxito Gasto / costos Utilizabilidad Eficiencia Protección inversión Flexibilidad Funcionalidad Rentabilidad Disponibilidad
  17. 18. SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION SGSI
  18. 19. SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION Está basado en el Modelo utilizado por las NORMAS ISO en general: Sirve: &quot;Para establecer la política y los objetivos de seguridad de la información de la organización… y para lograr, a continuación estos objetivos&quot;. Planificar Hacer Actuar Verificar
  19. 20. DIAGNÓSTICO COTIZACIÓN CONSULTORÍA EVALUACIÓN CAPACITACIÓN y Certificación Metodología de implementación de la norma
  20. 21. DESCRIPCION GENERAL de CERTIFICACIONES <ul><li>Normas Empresas </li></ul><ul><li>ISO177799 </li></ul><ul><li>BS7799 </li></ul><ul><li>ISO9001 </li></ul><ul><li>COBIT AUDIT GUIDELINES </li></ul><ul><li>COSO </li></ul><ul><li>ITIL </li></ul><ul><li>SARBANES OXLEY ACT </li></ul><ul><li>Normas Personas </li></ul><ul><ul><li>CISSP </li></ul></ul><ul><ul><li>CISA </li></ul></ul><ul><ul><li>CISM </li></ul></ul><ul><ul><li>CIA </li></ul></ul><ul><ul><li>ISEC+ </li></ul></ul><ul><ul><li>COMPTia </li></ul></ul><ul><ul><li>ETHICAL HACKER OSSTMM </li></ul></ul>
  21. 22. Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Objetivos del Negocio Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditoría independiente 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad 1.Definición del nivel de servicio 2.Administración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Administración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones
  22. 23. Marco COBIT
  23. 24. ¿Qué es BS 7799 / ISO 17799? <ul><li>La norma es publicada en dos partes: </li></ul><ul><li>ISO/CEI 17799 Parte 1: Código de buenas prácticas relativo a la gestión de la seguridad de la información; </li></ul><ul><li>BS 7799 Parte 2: Especificaciones relativas a la gestión de la seguridad de la información. </li></ul>BS 7799 / ISO 17799 tiene por objetivo &quot; proporcionar una base común para la elaboración de las normas de seguridad de las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas &quot;.
  24. 25. ISO/CEI 17799
  25. 26. Actualización en BS 7799 & IS 17799 Information Security Management System Standards ISO 17799 BS 7799 IS 17799 ISO 27001 ISO 27002
  26. 28. PDCA Model Applied to ISMS
  27. 29. ISMS <ul><li>Illustration of protection classes </li></ul>
  28. 31. TENDENCIAS
  29. 32. ¿Pero cuales son las tendencias de futuro? <ul><li>Internet (Banda Ancha) </li></ul><ul><li>Comunicaciones móviles (3G) </li></ul><ul><li>Computación ubicua </li></ul><ul><ul><li>Informatización y conexión en red de todas las cosas </li></ul></ul><ul><ul><li>Disponer de capacidad de proceso de información en cualquier lugar y en cualquier momento </li></ul></ul><ul><ul><li>Equipos móviles, PDA, integración TV-PC, domótica </li></ul></ul><ul><li>Negocio electrónico (e-Business) </li></ul><ul><li>Aplicaciones y servicios (software) </li></ul><ul><li>Tecnologías asociadas a contenidos </li></ul>
  30. 33. Computación ubicua: La informática en todas partes <ul><li>Microelectrónica. </li></ul><ul><li>Dispositivos móviles. </li></ul><ul><li>Seguridad en dispositivos móviles. </li></ul><ul><li>Desarrollo de aplicaciones distribuidas </li></ul><ul><li>Diseño y evaluación de sistemas hipermedia </li></ul><ul><li>Seguridad en comercio electrónico </li></ul><ul><li>Servidores de información </li></ul><ul><li>Sistemas de tiempo real </li></ul><ul><li>Sistemas distribuidos </li></ul><ul><li>Seguridad en sistemas distribuidos </li></ul><ul><li>Enseñanza asistida por ordenador </li></ul><ul><li>Recuperación y acceso a la información </li></ul><ul><li>Programación avanzada </li></ul>
  31. 34. Computer Security Day <ul><li>30 de noviembre 2006 </li></ul><ul><li>Actividades de concientización en Seguridad </li></ul>
  32. 35. Bibliografía <ul><li>CERT http://www.cert.org/ </li></ul><ul><li>COBIT http://en.wikipedia.org/wiki/COBIT </li></ul><ul><li>ISO 27001- Sistemas de Gestión Seguridad de la Información </li></ul><ul><li>http://sgsi-iso27001.blogspot.com/ </li></ul><ul><li>ISO/IEC_17799 http://en.wikipedia.org/wiki/ISO/IEC_17799 </li></ul><ul><li>Análisis de la Norma ISO-27001 </li></ul><ul><li>http://www.rzw.com.ar/modules.php?name=News&file=article&sid=3681 </li></ul><ul><li>Oficina Nacional de Gobierno Electrónico e Informática </li></ul><ul><li>http://www.pcm.gob.pe/portal_ongei/ </li></ul>

×