Tratamiento de Riesgode Seguridad<br />Equipo Nº 11<br />UNFV – FIIS -2011<br />Universidad Nacional Federico Villarreal<b...
Introducción<br />La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, ...
Tratamiento del Riesgo<br />«Proceso de selección e implementación de medidas para modificar el riesgo.»<br />ISO/IEC Guid...
Caso<br />Universidad Nacional de Colombia<br />
GESTIÓN DE CONTINUIDAD Y RECUPERACIÓN<br />Objetivo<br /> Asegurar el oportuno reestablecimientoy<br />la disponibilidad d...
Administración del Sistema de Información Personal<br />Objetivo<br />Garantizar la infraestructura adecuada para el proce...
Administración del Sistema <br />de Información Personal<br />
Caso:Consultora CMS<br />
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS<br />
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS<br />
IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS<br />
RIESGOS LOGICOS<br />
RIESGOS FISICOS<br />
Otros Aspectos<br />
IMPLEMENTACIÓN DE LOS CONTROLESSELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS<br />Política de Seguridad de la Informaci...
	Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada admin...
CASO<br />
Oficina de <br />Control<br />Interno<br />Comisión Central <br />Seguridad Informática<br />RESP. <br />EJECUTIVA<br />RE...
Esquema<br />Organización para la seguridad<br />SSI  SUNAT<br />Relación de Procedimientos de Seguridad Informática<br />...
Relación de Procedimientos más Importantes - SUNAT<br />
CIRCULAR N° 039-2005<br />Materia:<br />Incidentes y vulnerabilidades de seguridad informática que deben ser reportados pa...
Base Legal<br />Resolución de Superintendencia Adjunta Nº 059-2002/SUNAT - "Aprueban Políticas de Seguridad Informática".<...
Responsabilidades<br />Oficina de<br />Seguridad Informática<br />Recibir, evaluar y dar respuesta a los incidentes y/o vu...
División de Atención a Usuarios<br />
Lineamientos generales<br />Guardar Reserva y confidencialidad<br />No debe ser Intencional<br />Durante el proceso de ver...
CASOS DE INCIDENTES Y VULNERABILIDADES QUE DEBEN REPORTARSE<br />
INCIDENTES<br />Personal General<br />Acciones o respuestas no programadas en los sistemas informáticos.<br />
INCIDENTES<br />Personal General<br />Instalaciones no autorizadas tanto de hardware como de software.<br />Accesos no Aut...
VULNERABILIDADES<br />Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de ...
VULNERABILIDADES<br />Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de ...
PROCEDIMIENTO PARA REPORTAR LOS INCIDENTES Y VULNERABILIDADES<br />
El reporte se enviará directamente a la Oficina de Seguridad Informática a través del Sistema electrónico de gestión docum...
TIVOLI<br />Tivoli Storage Manager<br />
¿Qué es y para que sirve?<br />Este software de cumplimiento de seguridad de Tivoli ofrece monitoreo automatizado de la ac...
Conclusiones<br />El tratamiento de riesgos deriva de la evaluación de riesgos.<br />La evaluación de riesgos identifica, ...
Recomendaciones<br />Antes  de considerar el tratamiento de riesgos, la organización debe decidir el criterio para determi...
Fin de la presentación<br />
Upcoming SlideShare
Loading in …5
×

Tratamiento de riesgo cf

1,699 views
1,541 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,699
On SlideShare
0
From Embeds
0
Number of Embeds
40
Actions
Shares
0
Downloads
61
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Tratamiento de riesgo cf

  1. 1. Tratamiento de Riesgode Seguridad<br />Equipo Nº 11<br />UNFV – FIIS -2011<br />Universidad Nacional Federico Villarreal<br />
  2. 2. Introducción<br />La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.<br />
  3. 3. Tratamiento del Riesgo<br />«Proceso de selección e implementación de medidas para modificar el riesgo.»<br />ISO/IEC Guide 73:2002<br />
  4. 4. Caso<br />Universidad Nacional de Colombia<br />
  5. 5.
  6. 6.
  7. 7. GESTIÓN DE CONTINUIDAD Y RECUPERACIÓN<br />Objetivo<br /> Asegurar el oportuno reestablecimientoy<br />la disponibilidad de los servicios informáticos en la Universidad.<br />
  8. 8.
  9. 9.
  10. 10.
  11. 11.
  12. 12.
  13. 13. Administración del Sistema de Información Personal<br />Objetivo<br />Garantizar la infraestructura adecuada para el procesamiento, almacenamiento y presentación de la información de los procesos de administración de los RRHH, así como la implementación de estrategias para garantizar la calidad de la información.<br />
  14. 14.
  15. 15. Administración del Sistema <br />de Información Personal<br />
  16. 16.
  17. 17. Caso:Consultora CMS<br />
  18. 18. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS<br />
  19. 19. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS<br />
  20. 20. IMPLEMENTACIÓN DEL PLAN DE TRATAMIENTO DE RIESGOS<br />
  21. 21.
  22. 22.
  23. 23. RIESGOS LOGICOS<br />
  24. 24. RIESGOS FISICOS<br />
  25. 25. Otros Aspectos<br />
  26. 26. IMPLEMENTACIÓN DE LOS CONTROLESSELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS<br />Política de Seguridad de la Información<br />
  27. 27. Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos:<br />La evaluación de los riesgos inherentes a los procesos informáticos.<br />La evaluación de las amenazas ó causas de los riesgos.<br />Los controles utilizados para minimizar las amenazas a riesgos.<br />La asignación de responsables a los procesos informáticos.<br />La evaluación de los elementos del análisis de riesgos.<br />
  28. 28.
  29. 29.
  30. 30. CASO<br />
  31. 31. Oficina de <br />Control<br />Interno<br />Comisión Central <br />Seguridad Informática<br />RESP. <br />EJECUTIVA<br />RESP.<br />CONTROL<br />Comité de<br />Informática<br />RESP.<br />TÉCNICA<br />Oficina de<br />Seguridad Informática<br />Equipos <br />Interfuncionales<br />Especialistas<br />De Informática<br />RESP.<br />CUMPLIMIENTO<br />Personal en General<br />
  32. 32. Esquema<br />Organización para la seguridad<br />SSI SUNAT<br />Relación de Procedimientos de Seguridad Informática<br />Reportes de incidentes de seguridad<br />Metodología de análisis de riesgos<br />Circular Nº 039-2005<br />
  33. 33. Relación de Procedimientos más Importantes - SUNAT<br />
  34. 34. CIRCULAR N° 039-2005<br />Materia:<br />Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques.<br />Finalidad:<br />Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática.<br />Alcance:<br />A todo el personal de la Superintendencia Nacional de Administración Tributaría.<br />
  35. 35. Base Legal<br />Resolución de Superintendencia Adjunta Nº 059-2002/SUNAT - "Aprueban Políticas de Seguridad Informática".<br />Reglamento Interno de Trabajo de la SUNAT, aprobado mediante Resolución de Superintendencia 235-2003/SUNAT<br />Circular 036-2004 - "Atención de solicitudes de servicios informáticos-SIGESA"<br />NTP ISO/IEC 17799:2004 EDI. "Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información"<br />
  36. 36. Responsabilidades<br />Oficina de<br />Seguridad Informática<br />Recibir, evaluar y dar respuesta a los incidentes y/o vulnerabilidades de seguridad informática reportados por la División de Atención a Usuarios.<br />Implantar mecanismos para el monitoreo, registro y verificación de incidentes y vulnerabilidades de seguridad informática.<br />
  37. 37. División de Atención a Usuarios<br />
  38. 38. Lineamientos generales<br />Guardar Reserva y confidencialidad<br />No debe ser Intencional<br />Durante el proceso de verificación del incidente y/o vulnerabilidad reportada, el acceso del/los usuario(s) al servicio ó sistema informático involucrado podrá ser suspendido en forma preventiva de acuerdo a su criticidad.<br />
  39. 39. CASOS DE INCIDENTES Y VULNERABILIDADES QUE DEBEN REPORTARSE<br />
  40. 40. INCIDENTES<br />Personal General<br />Acciones o respuestas no programadas en los sistemas informáticos.<br />
  41. 41. INCIDENTES<br />Personal General<br />Instalaciones no autorizadas tanto de hardware como de software.<br />Accesos no Autorizados<br />
  42. 42. VULNERABILIDADES<br />Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático.<br />Servicios o puertos de acceso disponibles en equipos informáticos, sin autorización<br />Equipos servidores y equipos de telecomunicaciones sin clave de acceso ó con clave por defecto ó clave simple<br />
  43. 43. VULNERABILIDADES<br />Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático.<br />Conexiones con otras entidades sin la protección del muro de seguridad(firewall).<br />Modem instalados sin autorización en servidores o computadoras de la SUNAT<br />
  44. 44. PROCEDIMIENTO PARA REPORTAR LOS INCIDENTES Y VULNERABILIDADES<br />
  45. 45. El reporte se enviará directamente a la Oficina de Seguridad Informática a través del Sistema electrónico de gestión documentaria (SIGED) en la opción de registro/otros documentos/reportes de incidentes y/o vulnerabilidades.<br />Si el servicio del SIGED no estuviera disponible, se reportará a través del correo electrónico Institucional, al usuario Seguridad Informática.<br />
  46. 46. TIVOLI<br />Tivoli Storage Manager<br />
  47. 47. ¿Qué es y para que sirve?<br />Este software de cumplimiento de seguridad de Tivoli ofrece monitoreo automatizado de la actividad del usuario con el panel de control y presentación de informes para ayudar a controlar su cumplimiento de la seguridad.<br />
  48. 48.
  49. 49.
  50. 50.
  51. 51.
  52. 52.
  53. 53.
  54. 54.
  55. 55.
  56. 56.
  57. 57. Conclusiones<br />El tratamiento de riesgos deriva de la evaluación de riesgos.<br />La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios.<br />La seguridad de información se consigue implantando un conjunto adecuado de controles.<br />Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización.<br />Es imposible introducir cambios, si no aseguramos que ellos se producirán. Ello ocurre conformando una relación entre los procesos y las personas. No hay respuesta cuando las personas no tienen interés en participar y tampoco hay resultados, cuando los procesos aseguran que los problemas subsistan.<br />
  58. 58. Recomendaciones<br />Antes de considerar el tratamiento de riesgos, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no.<br />Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo.<br />Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados.<br />La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.<br />
  59. 59. Fin de la presentación<br />

×