Arquitectura de seguridad de la información (Tecnocom)

2,508 views

Published on

0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,508
On SlideShare
0
From Embeds
0
Number of Embeds
63
Actions
Shares
0
Downloads
0
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide

Arquitectura de seguridad de la información (Tecnocom)

  1. 1. fluidsignal group Arquitectura de Seguridad de la Información e ISO/ IEC 17799 Juan Rafael Álvarez Correa jalvarez@fluidsignal. com
  2. 2. Ag end i i i f" - Analogía fluidsrgna - Arquitectura de Seguridad gwi de la información e ISO/ IEQDidSeCUrIW 17799 ° Conclusiones - Preguntas I)’ Duración: 80 Minutos
  3. 3. Objetivo Comprender que la fl%¡)dS¡gna¡ seguridad informatica 9 “p no es un asunto "“‘d5°°“"W meramente técnico, si no un asunto que involucra a toda Ia organización.
  4. 4. ¿ Conocen 'Ï: 'i«*¿‘í', %9“a' los riesgos de seguridad de su CASA ?
  5. 5. fluidsig/ na . ..Y basta gnm conocerlos riesgos para que esté SEGURA? .
  6. 6. ¿ Tienen ggqjgáfii) ' CO I e S fluidsecurit} para mitigar los riesgos conocidos?
  7. 7. .. .Y basta f‘ gtádjsfignal) A te n e r fluidsecuri} co ntro I es para que esté SEGURA?
  8. 8. ¿, Existen fluidsignal group reglas claras , . fIuidSecurity sobre Io que se debe y NO se debe In a nm
  9. 9. basta fluidsignal group tener reglas claras para que este SEGURA?
  10. 10. ¿l LOS fluidsignal _ group habitantes de la casa conocenlas reglas?
  11. 11. .. .Y basta que ggrggspnaI las reglas sean conocidas para que este SEGURA?
  12. 12. ‘x i ¿ LOS ' habitantes de la casa practican las reglas?
  13. 13. . Arquitectura de _ Seguridad de la gfififiafigm - litlftáliúaaiérRiesgo fluidsecuriiittyx, - Infraestructura - Políticas, Estándares y Procedimientos - Capacitación ° Conformidad
  14. 14. _ c {gxgmupgnal ¿. ..Y qué es - información? fluIdÉI “—Ñ g“ . A A l’ “-: c_, ; «a ‘ y V . S‘; xk“ ‘
  15. 15. ¿. ..Y qué es Seguridad de la Información? fluidsi group fIuidSecurity gnal)
  16. 16. y ¿Comó Iograrla? gfiïggtta‘) A _ S _ | _ fluidsecuriflix‘, ¿Comó estandarizarla? ISO/ IEC 17799
  17. 17. A groupgnl) Análisis de S‘ Riesgo (i) fIuidSecurity
  18. 18. Riesgo A Todo lo que pueda fllfldsgfflgü = afectar el logro de 9'99” los objetivos del flutdsecurttï‘ negocio y la ejecución de sus estrategias
  19. 19. Análisis de Riesgo Objetivos É}H¿‘Í', %9”a' e Educar fIuidSecurity t Identificar e Fortalezas e Controles t Debmdades t Amenazas
  20. 20. Análisis del‘? r Riesgo 3‘.4¿il%9“aÜ A Periódicamente. .. f. u¡dse. ,., ,.¿, - Requerimientos y prioridades del negocio - Nuevas amenazas y vulnerabilidades - Verificar que los controles
  21. 21. Análisis de Riesgo Fases gtggglggnal fi fIuidSecurity e VSA e VSR tr VSS t VST
  22. 22. Análisis de Riesgo VSAN fluidsignal e Función de Seguridad QVOUP s Plan de Seguridad fluidsecurity e Políticas, Estándares y Procedimientos s BIA, BCP (11), DRP s Clasificación de Recursos (5) r Inventario de Recursos (5) r PIani. tdevti . capacidad
  23. 23. Análisis de Riesgo VSAN fluidsignal s Programa de Antivirus grwp e Seguridad en los PC fluidsecurity r Seguridad Fisica y Ambiental e Mantenimiento de los Recursos Computacionales e Gestion de Problemas r Moneitoreo»rt; r r »
  24. 24. ‘x Análisis de Riesgo , . VSA ‘¿lli¿%%9“a - Ambiente Operativo flu¡dsecuir; } - Desarrollo (10) - Mecanismos de Autenticación e Integridad - Bases de Datos i)‘
  25. 25. Análisis de Riesgo VSR ‘Í¿l%'¿‘i', %9“a' e Ambiente Operativo fltfldsecuflw e Administración t Control de Acceso (9) r Terceras partes s Respaldo y Recuperación
  26. 26. Análisis de Riesgo VSS ggtgglggnal s Configuración r Usuarios y Grupos fluidsecuflw t Control de Contraseñas e Acceso Remoto r Redes t Respaldo y Recuperación
  27. 27. Análisis de Riesgo fl 'd i l vsr gt<'>u%9“a d‘ Tecnologia fIuidSecurity r Administracion e Revision técnica
  28. 28. fIuidsig/ r; QTQUP ‘v fIuidSecurity i)‘ Organización e lnfraestructu ra
  29. 29. n n / OigalTIZíE-ECIOIW ble la Seguridad (4) gtrlgjïalgnal fIuidSecurity r Comité Ejecutivo de Segundad t Gerente de información t Gerente Financiero e Oficial de Seguridad «t Equipo de Seguridad r Terceras partes
  30. 30. Organización de“ e la Seguridad (4) fluidse/ nzrl) l _ _ 9700i? - Administradores de Red y ‘x. ’ . . fIuidSecurity Aplicaciones - Recursos Humanos - Consejeros Legales - Help Desk - Usuarios Finales
  31. 31. Organización la Seguridad (4) gmgsjgnat) - Matriz Propietario/ Recurfigsecufl¿v 4 - Metodologia de Clasificación (5) - Segregación de Responsabmdades
  32. 32. Infraestructura Firewall (Proactivo) fluidsignal group r Segmentación de Redes s Evita accesos no fluidsecurity autorizados
  33. 33. -‘s Infraestructura “x3, fl'd l“ Detector de Intrusos gltieisiigna) (I fluidsect} - HIDS - NIDS - Heunsficos - Pauones
  34. 34. Infraestructura ‘ fluidsi HoneyPot A group - Identificar Atacantes fluidsecurlw - Conocer sus técnicas y patrones de comportamiento Aggnal) u
  35. 35. Infraestructura VPN É, ‘r¿‘i, %9“a' e Redes Publicas fluidsecurity t Canales de comunicación seguros t? Red t Aplicación
  36. 36. Infraestructura PKI El4¿%%9“a' t Certificación fluidsecurity r Registro w Verificación
  37. 37. Infraestructura fluidsignal Seguridad Física (7) group r Vigilancia del perímetro e Controles de entrada r UPS s Cableado fIuidSecurity
  38. 38. , _ fligsfial) t Politicas, 9 '° I ï Estándares y fIuidSecurity Procedimientos
  39. 39. ¿É La seguridadque puede ser alcanzada , _ fluidsignal tecnicamente es 9'00!’ t limitada y debe serfluidsecurttvjjff‘ soportada con administración y procedimientos apropiados
  40. 40. Politicas (3) i e fl ‘d i) ' - ¿Que? glliljusfggna . ¿Éuienïï? fluidsecur} - ¿ orque. - Mecanismo de comunicación - Claras y Concisas - Bases para las acciones disciplinarias
  41. 41. Poflücas _ fluidsignal Los usuarios deben group cambiar sus fIuidSecurity contraseñas periódicamente
  42. 42. Procedimientos fluidsi nal e ¿Donde? groupg ü ¿Cuandg? fIuidSecurity t ¿Como? e Transferencia de Conocimiento r Mejores prácticas t No son revisados a nivel
  43. 43. Procedimientos , _ fluidsignal e ¿Como se cambian group las contraseñas? nuaosecurrw e ¿Cómo se asignan contraseñas para nuevos usuarios?
  44. 44. Estándares _ fluidsi nal r Convenciones acordadas groupg e Operar uniformemente fluidsecuflw e Definen unas expectativas mínimas r Administración eficiente r Mejores prácticas de la Industria
  45. 45. Estándares _ fluidsignal Los usuarios normales group deben cambiar las nuacsecurrw contraseñas cada 90 días y los usuarios administradores cada 30 días
  46. 46. Capacitación
  47. 47. , ¿_ tii Capacitación Objetivos fIuidsigr/ nál) l QVOUP . conocerlas fluidsecurltyï responsabmdades - Conocer el valor de la seguridad de la información - Conocer las posibles violaciones de seguridad y a guien contactar
  48. 48. Capacitación Quienes ggrgdsjgnal r Empleados _ _ _ _ fIuidSecurity r Ejecutivos e Administradores de Sistemas s Oficiales de Seguridad
  49. 49. // 7 l (A/ ¡fi r/ ri/ W/ / / / / a} rj/ i ¡Alt/ Á / /
  50. 50. "x Conformidad e o e ' Garantizar que lo es‘ definido este siendo fluidse°umy i ejecutado en la realidad
  51. 51. COITÏOiTlT ¡d (‘i 2) Verificar . y _ fluidsignal o Integridad de las cuentas group e Integridad del respaldo r Atributos de archivos s Rendimiento r Auditoría del sistema r Parámetros de Login r Test de penetración e Auditorigjgje código fuente fIuidSecurity
  52. 52. Factores Claves de EXHO fluidsignal group r Conocer el riesgo fIuidSecurity a Falta de recursos ri Sistemas heterogéneos Gr Operaciones independientes s Fomento de Ia confianza r Terceras partes r Cantpjo de tecnología
  53. 53. Factores Claves de Exito fluidsignal group fIuidSecurity ü Reflejar los objetivos del negocio rr Consistencia con Ia cultura organizacional i‘ Marketing efectivo de Ia segundad r Capacitación a todos
  54. 54. BS—7799-2:1999 Certification Body fluidsignal group r Det Norske Veritas _ fIuidSecurity s BSI Assesment Services Limited
  55. 55. ‘añ. éif“ i - a «xv. Pasos sitio fluidsignal) group fIuidSecurity - Revision de escritorio - Revision técnica - Auditoria Interna - Auditoria Externa
  56. 56. Conclusiones ü La seguridad no es un asuntgu¡ds¡gna¡ meramente técnico group «t Los ejecutivos deben commseeunty los riesgos ü Las implementaciones no deben realizarse arbitrariamente «r Existen estándares internacionales que apoyan el of . _;'n ll ; ;'ul. ;_l ¡‘uvfis/ (with, r‘; Lulu "l; '(‘n/ “'>l. l jar . « : ':= r‘l

×