Seguridad de Sistemas y Redes
Universidad Centroamericana, Managua, Nicaragua
 Según la RAE:
12. f. Orientaciones o directrices que rigen la
actuación de una persona o entidad en un
asunto o campo de...
 Recoge las directrices u objetivos de una
organización con respecto a la seguridad de
la información.
 Forma parte de s...
 El objetivo principal de este documento es
concienciar al personal de una organización
(y en especial a los involucrados...
 No todas las políticas son iguales, dependen
siempre del giro de negocio de la
organización.
 Existen estándares por países y por áreas
(gobierno, medicina, militar, etc.).
 La ISO (International Organization for
...
 Contendrá los objetivos de la empresa en
materia de seguridad del sistema de
información.
 Estos objetivos se engloban ...
• Necesidades de seguridad.
• Riesgos que amenazan al sistema.
• Evaluar impactos ante un ataque.
Identificar
• Medidas de...
 La definición del plan de contingencias es uno
de los resultados y parte de la política de
seguridad.
 Esta norma define una política de
autorización genérica, la cual puede
formularse de la siguiente forma:
 “La informaci...
 Esta ISO constituye una base posible para
políticas mas detalladas. No cubre la
disponibilidad (Ejemplo, cuestiones de
D...
 Políticas basadas en identidad:
 Determinación del acceso y uso de los recursos en
base a las identidades de los usuari...
 Define cinco categorías principales de
servicios de seguridad:
 Autenticación, tanto de entidades como de
origen.
 Con...
 Es una análisis pormenorizado de un sistema
de información que permite descubrir,
identificar y corregir vulnerabilidade...
 Los encargados de realizar la auditoría
emiten un informe que contiene como
mínimo lo siguiente:
 Descripción y caracte...
 Los encargados de realizar la auditoría
emiten un informe que contiene como
mínimo lo siguiente:
 Verificación del cump...
 Para evaluar la seguridad de un sistema se
necesitan de herramientas de análisis tales
como:
 Manuales (activos, proces...
 La auditoría puede ser total, en todo el SI, o
parcial, sobre determinados activos o
procesos.
 La auditoría de un sist...
 Instrumento de gestión que contiene las
medidas (tecnológicas, humanas y de
organización) que garanticen la continuidad
...
 Consta de tres subplanes independientes:
 Plan de Respaldo: crear y conservar en un
lugar seguro copias de seguridad de...
 Consta de tres subplanes independientes:
 Plan de Recuperación: medidas que se
aplicaran cuando se ha producido un
desa...
 La elaboración de este plan no puede dejar
por fuera a los miembros de la organización,
el cual debe estar informado y e...
 Aguilera López, P. (s.f.). Seguridad
Informática. Madrid: Editex.
 Areitio Bertolín, J. (2008). Seguridad de la
Informa...
Gracias por su atención.
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Políticas y normas de seguridad, auditoría informática, plan de contingencias
Upcoming SlideShare
Loading in …5
×

Políticas y normas de seguridad, auditoría informática, plan de contingencias

1,751 views

Published on

Presentación para la clase de Seguridad de Sistemas y Redes.

Published in: Education
1 Comment
0 Likes
Statistics
Notes
  • Be the first to like this

No Downloads
Views
Total views
1,751
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
61
Comments
1
Likes
0
Embeds 0
No embeds

No notes for slide

Políticas y normas de seguridad, auditoría informática, plan de contingencias

  1. 1. Seguridad de Sistemas y Redes Universidad Centroamericana, Managua, Nicaragua
  2. 2.  Según la RAE: 12. f. Orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto o campo determinado.
  3. 3.  Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información.  Forma parte de su política general y, por tanto, ha de ser aprobada por la dirección. (Aguilera López)
  4. 4.  El objetivo principal de este documento es concienciar al personal de una organización (y en especial a los involucrados en el sistema de información) en la necesidad de conocer los principios de seguridad y las normas que ayudan a cumplir los objetivos de ésta.  Se redacta de forma clara y precisa para que sea entendida por todo el personal.
  5. 5.  No todas las políticas son iguales, dependen siempre del giro de negocio de la organización.
  6. 6.  Existen estándares por países y por áreas (gobierno, medicina, militar, etc.).  La ISO (International Organization for Standardization) define algunas normas de carácter internacional.  ISO 7498-2:1989 Information processing systems -- Open Systems Interconnection
  7. 7.  Contendrá los objetivos de la empresa en materia de seguridad del sistema de información.  Estos objetivos se engloban en cuatro grupos:
  8. 8. • Necesidades de seguridad. • Riesgos que amenazan al sistema. • Evaluar impactos ante un ataque. Identificar • Medidas de seguridad para afrontar riesgos de activos o grupo de activos.Relacionar • Perspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentos.Proporcionar • Vulnerabilidades del sistema de información. • Controlar los fallos producidos.Detectar
  9. 9.  La definición del plan de contingencias es uno de los resultados y parte de la política de seguridad.
  10. 10.  Esta norma define una política de autorización genérica, la cual puede formularse de la siguiente forma:  “La información no puede darse, ni puede permitirse el acceso a ella, ni se puede permitir que sea inferida, ni se puede utilizar ningún recurso por parte de personas o entidades que no están autorizadas de forma apropiada.”
  11. 11.  Esta ISO constituye una base posible para políticas mas detalladas. No cubre la disponibilidad (Ejemplo, cuestiones de DDOS)  Distingue dos tipos de políticas de seguridad:
  12. 12.  Políticas basadas en identidad:  Determinación del acceso y uso de los recursos en base a las identidades de los usuarios y recursos.  Políticas basadas en reglas:  El acceso a los recursos se controla a través de reglas globales impuestas a todos los usuarios, por ejemplo, utilizando etiquetas de seguridad.
  13. 13.  Define cinco categorías principales de servicios de seguridad:  Autenticación, tanto de entidades como de origen.  Control de acceso.  Confidencialidad de los datos.  Integridad de los datos.  No repudio
  14. 14.  Es una análisis pormenorizado de un sistema de información que permite descubrir, identificar y corregir vulnerabilidades.  Su objetivo es verificar que se cumpla la política de seguridad.  Proporciona una imagen real y actual del estado de seguridad del sistema de información.
  15. 15.  Los encargados de realizar la auditoría emiten un informe que contiene como mínimo lo siguiente:  Descripción y característica de los activos y procesos analizados.  Análisis de las relaciones y dependencias entre activos o en el proceso de la información.  Relación y evaluación de las vulnerabilidades detectadas en cada activo o subconjunto de activo y proceso.
  16. 16.  Los encargados de realizar la auditoría emiten un informe que contiene como mínimo lo siguiente:  Verificación del cumplimiento de la normativa en el ámbito de seguridad.  Propuesta de medidas preventivas y de corrección.
  17. 17.  Para evaluar la seguridad de un sistema se necesitan de herramientas de análisis tales como:  Manuales (activos, procesos, mediciones, entrevistas, cuestionarios, cálculos, pruebas).  Software Específico para Auditorías (Computer Assited AuditTechniques, CAAT).
  18. 18.  La auditoría puede ser total, en todo el SI, o parcial, sobre determinados activos o procesos.  La auditoría de un sistema de información puede realizarse:  Por personal capacitado perteneciente a la propia empresa.  Por una empresa externa.
  19. 19.  Instrumento de gestión que contiene las medidas (tecnológicas, humanas y de organización) que garanticen la continuidad del negocio protegiendo el sistema de información de los peligros que amenazan o recuperándolo tras un impacto.
  20. 20.  Consta de tres subplanes independientes:  Plan de Respaldo: crear y conservar en un lugar seguro copias de seguridad de la información.  Plan de Emergencia: qué medidas tomar cuando se está materializando una amenaza o cuando acaba de producirse.
  21. 21.  Consta de tres subplanes independientes:  Plan de Recuperación: medidas que se aplicaran cuando se ha producido un desastre. El objetivo es evaluar el impacto y regresar lo antes posible.
  22. 22.  La elaboración de este plan no puede dejar por fuera a los miembros de la organización, el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto.
  23. 23.  Aguilera López, P. (s.f.). Seguridad Informática. Madrid: Editex.  Areitio Bertolín, J. (2008). Seguridad de la Información. Madrid: Paraninfo.
  24. 24. Gracias por su atención.

×