SlideShare a Scribd company logo

Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas. Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).

Technology
1 of 14
Seguridad de Redes e Internet Ingeniería de Sistemas y Seguridad Informática Mg. Ing. Jack Daniel Cáceres Meza, PMP Sesión 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas en la seguridad informática
2 Mg, Ing. Jack Daniel Cáceres Meza, PMP Consideraciones de seguridad  Aspectos legales  Regulaciones  Interoperabilidad  Integración  Compatibilidad  Confianza  Privacidad  Riesgos  Personalización  Licenciamiento  Continuidad  Soporte  Documentación  Sostenibilidad  Concurrencia . . .  Respaldos  Persistencia  Disponibilidad  Confidencialidad  Integridad  Protección  Localización  Comunicaciones  Mantenimiento  Capacitación  Actualizaciones  Procesos  Cumplimiento  Sustentabilidad  Carga . . . ¿modas pasajeras? ¿legacy? ¿otra ´solución´ web? ¿fusiones? ¿riesgos? ¡qué va! ¿TCO? ¿SLA? ¿movilidad? …
3 Mg, Ing. Jack Daniel Cáceres Meza, PMP Atención  Medidas de seguridad (persona, proceso, tecnología)  Defensa en profundidad  Línea de defensa  Riesgos  Equidad  Balance
4 Mg, Ing. Jack Daniel Cáceres Meza, PMP Patrón de nivel de riesgo adecuado  Básico  No existen datos confidenciales: información pública o no privada  Todos los niveles de arquitectura se pueden implementar en un servidor Ejemplo de situación: Una organización financiera que administra información administrativa rutinaria (no privada) determina que el impacto potencial de una pérdida de confidencialidad es bajo, el impacto potencial de una pérdida de integridad de los datos es bajo y el impacto potencial de una pérdida de disponibilidad es bajo.
5 Mg, Ing. Jack Daniel Cáceres Meza, PMP Patrón de nivel de riesgo adecuado  Estándar  Consecuencias moderadas de una pérdida de datos o de integridad  Los niveles de arquitectura se implementan en sistemas independientes  Necesidad potencial de servicios federados Ejemplo de situación: Una organización que administra información pública en su servidor Web determina que no existe un impacto potencial de una pérdida de confidencialidad (p. ej., no se aplican requisitos de confidencialidad), un impacto moderado de una pérdida de integridad de los datos y un impacto potencial moderado de una pérdida de disponibilidad.
6 Mg, Ing. Jack Daniel Cáceres Meza, PMP Patrón de nivel de riesgo adecuado  Avanzada  Datos confidenciales  Todos los componentes redundantes para una alta disponibilidad  Se utilizan componentes de seguridad empresarial de terceros Ejemplo de situación: Una organización de fuerzas del orden público que administra información de investigaciones de un alto nivel de confidencialidad determina que el impacto potencial de una pérdida de confidencialidad es alto, el impacto potencial de una pérdida de integridad es moderado y el impacto potencial de una pérdida de disponibilidad es moderado.
7 Mg, Ing. Jack Daniel Cáceres Meza, PMP Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de comunicaciones y operaciones Gestión de la continuidad del negocio Seguridad lógica Seguridad organizativa Seguridad ligada a los recursos humanos Gestión de incidentes en la seguridad de la información Gestión de activos Aspectos organizativos dela seguridad de la información Política de seguridad Seguridad física Seguridad física y del entorno Control de acceso Cumplimiento Seguridad legal 11 dominios 39 objetivos de control 133 controles Controles ISO27002:2005
8 Mg, Ing. Jack Daniel Cáceres Meza, PMP Línea base sobre la que empezaremos las auditorías internas y externas Mejora evidente resultante de sincerar el trabajo necesario para acortar la brecha (GAP análisis) inicial Primer nivel de madurez alcanzado Ámbito de la mejora continua (madurar cada vez más)
9 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gap análisis  Es un análisis que mide cómo una organización está llevando a cabo su desempeño con respecto a una serie de criterios establecidos en base a normas o procedimientos internos, controles seleccionados, las mejores prácticas de competencia –industria, etc.  El resultado de este análisis establece la diferencia entre el desempeño actual y el esperado, con un informe presentado con indicaciones sobre dónde están las deficiencias y “qué” falta para cumplir con cada requisito de la norma.  El Gap Analysis se lleva a cabo a través de una auditoría –constructiva- in situ. http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/Nuestros-servicios/Gap-Analysis/ http://www.lrqa.es/certificacion-formacion/gap-analisis/index.aspx Beneficios del Gap análisis • Identificación de riesgos en sus procesos • Descubrir las necesidades de su organización para alcanzar la certificación –espacio para mejorar • Establecer calendario –de implementación- y costo –para cerrar la brecha
10 Mg, Ing. Jack Daniel Cáceres Meza, PMP http://arcanus-group.com/index.php/component/content/article/11-contenidos/19-servicio-gap-norma-iso-27000 http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf http://sergio.molanphy.net/category/gap_analysis/ Gap análisis  Permite a la organización comparar sus procesos actuales contra procesos del mercado o estándares de la industria relacionados con Seguridad Informática.  Necesario para llevar a cabo la implantación de un SGSI (NTP ISO/IEC 27001:2008).  El proceso incluye la determinación, documentación y aprobación de variaciones entre los requisitos del negocio y las capacidades actuales.
11 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gap análisis  Pasos para llevar a cabo el análisis de brecha: 1. Decidir cuál es la situación actual que se desea analizar ("lo que es") y se quiere resolver. En este paso se responde a la pregunta: ¿Dónde estamos? 2. Delinear el objetivo o estado futuro deseado ("lo que debería ser"). Respondería la pregunta ¿En el año 2015 a dónde deberíamos llegar? 3. Identificar la brecha entre el estado actual y el objetivo. Responde a la pregunta ¿Cuán lejos estamos de donde queremos estar? 4. Determinar los planes y las acciones requeridas para alcanzar el estado deseado Responde a la pregunta de ¿Cómo llegamos al 2015 planteado? http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf http://sergio.molanphy.net/category/gap_analysis/
12 Mg, Ing. Jack Daniel Cáceres Meza, PMP Escala de valoración del nivel de madurez CobIT (Control Objectives for Information and related Technology) Escala % Descripción No Aplica N/A No aplica. Inexistente 0 Falta de un proceso reconocible. La Organización no ha reconocido que hay un problema a tratar. No se aplican controles. Inicial 20 Se evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo. Sin embargo, no hay procesos estandarizados. La implementación de un control depende de cada individuo y es muchas veces es reactiva. Repetible 40 Los procesos y los controles siguen un patrón regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. Pero no están formalizados, ni hay comunicación formal sobre los procedimientos desarrollados. Hay un alto grado de confianza en los conocimientos de cada persona. Definido 60 Los procesos y los controles se documentan y se comunican. No se han establecido mecanismos de monitoreo, para una detección de desviaciones efectiva. Gestionado 80 Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de acción donde los procesos no estén funcionando eficientemente. Optimizado 100 Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prácticas, basándose en los resultados de una mejora continua.
13 Mg, Ing. Jack Daniel Cáceres Meza, PMP Trabajo práctico  Una software factory local contrata su empresa de seguridad para que analice y evalúe el nivel de seguridad de la información que ha logrado implementar para sus entregables (Dominio: Adquisición, desarrollo y mantenimiento de sistemas de información)  ¿Cómo plantearía realizar esta consultoría?  ¿Qué nivel de madurez ha alcanzado?  Grupos de tres  45 minutos para desarrollo  15 minutos para exposición
Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Gracias por su atención ¿Preguntas? Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com

Recommended

ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
Upon Software SA
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
ITsencial
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
edu25
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Jack Daniel Cáceres Meza
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
ascêndia reingeniería + consultoría
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 

Recommended

ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
Upon Software SA
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
ITsencial
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
edu25
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Jack Daniel Cáceres Meza
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
ascêndia reingeniería + consultoría
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
Gabriela2409
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Jack Daniel Cáceres Meza
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
EXIN
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
jdrojassi
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informática
Ely Cordoba
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
Jhonny Willians Franco Delgado
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
BartOc3
 

More Related Content

What's hot

Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
jdrojassi
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informática
Ely Cordoba
 

What's hot (20)

Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Modelo y estándares de seguridad informática
Modelo y estándares de seguridad informáticaModelo y estándares de seguridad informática
Modelo y estándares de seguridad informática
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 

Viewers also liked

historia de la cirugía hasta el siglo XVIII
historia de la cirugía hasta el siglo XVIIIhistoria de la cirugía hasta el siglo XVIII
historia de la cirugía hasta el siglo XVIII
nerouchinha_num10
 
2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel
2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel
2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel
Jack Daniel Cáceres Meza
 

Viewers also liked (20)

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
Protección de Activos Críticos
Protección de Activos CríticosProtección de Activos Críticos
Protección de Activos Críticos
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
historia de la cirugía hasta el siglo XVIII
historia de la cirugía hasta el siglo XVIIIhistoria de la cirugía hasta el siglo XVIII
historia de la cirugía hasta el siglo XVIII
 
Curso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 IntroducciónCurso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 Introducción
 
2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel
2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel
2011 1 administración-de_proyectos_informáticos_tema-04_caceres_meza_jack_daniel
 
Rolman calderin malaver
Rolman calderin malaverRolman calderin malaver
Rolman calderin malaver
 
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
Curso: Control de acceso y seguridad: 01 Introducción a la seguridad de la in...
 
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicioCurso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
 
Curso: Redes y comunicaciones básicas: 01 Introducción
Curso: Redes y comunicaciones básicas: 01 IntroducciónCurso: Redes y comunicaciones básicas: 01 Introducción
Curso: Redes y comunicaciones básicas: 01 Introducción
 
Curso: Seguridad de redes e Internet 12: Mejores prácticas que se relacionan ...
Curso: Seguridad de redes e Internet 12: Mejores prácticas que se relacionan ...Curso: Seguridad de redes e Internet 12: Mejores prácticas que se relacionan ...
Curso: Seguridad de redes e Internet 12: Mejores prácticas que se relacionan ...
 
Curso: Administración de proyectos informáticos: 09 Análisis del riesgo
Curso: Administración de proyectos informáticos: 09 Análisis del riesgoCurso: Administración de proyectos informáticos: 09 Análisis del riesgo
Curso: Administración de proyectos informáticos: 09 Análisis del riesgo
 
Curso: Control de acceso y seguridad:11 Controles de monitoreo
Curso: Control de acceso y seguridad:11 Controles de monitoreoCurso: Control de acceso y seguridad:11 Controles de monitoreo
Curso: Control de acceso y seguridad:11 Controles de monitoreo
 
Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...
Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...
Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...
 
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datosCurso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
Curso: Redes y comunicaciones I: 01 pilares constitutivos de una red de datos
 
Curso: Administración de proyectos informáticos: 08 Métricas de proyectos
Curso: Administración de proyectos informáticos: 08 Métricas de proyectosCurso: Administración de proyectos informáticos: 08 Métricas de proyectos
Curso: Administración de proyectos informáticos: 08 Métricas de proyectos
 

Similar to Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas

Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
faau09
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
Edna Lasso
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
Gabriel Marcos
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
kicwua
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
Danny Israel Ligua Heras
 

Similar to Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas (20)

Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
Curso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 RiesgosCurso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 Riesgos
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)Disponible, Controlado, Protegido y Flexible (2006)
Disponible, Controlado, Protegido y Flexible (2006)
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajo
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
 
Sgsi
SgsiSgsi
Sgsi
 
Sgsi
SgsiSgsi
Sgsi
 
Ensayo unidad ii_as
Ensayo unidad ii_asEnsayo unidad ii_as
Ensayo unidad ii_as
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Generalidades de la auditoria de sistemas
Generalidades de la auditoria de sistemasGeneralidades de la auditoria de sistemas
Generalidades de la auditoria de sistemas
 

More from Jack Daniel Cáceres Meza

More from Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
 
Producto alcance política-v2
Producto alcance política-v2Producto alcance política-v2
Producto alcance política-v2
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 

Recently uploaded

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Recently uploaded (11)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas

  • 1. Seguridad de Redes e Internet Ingeniería de Sistemas y Seguridad Informática Mg. Ing. Jack Daniel Cáceres Meza, PMP Sesión 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas en la seguridad informática
  • 2. 2 Mg, Ing. Jack Daniel Cáceres Meza, PMP Consideraciones de seguridad  Aspectos legales  Regulaciones  Interoperabilidad  Integración  Compatibilidad  Confianza  Privacidad  Riesgos  Personalización  Licenciamiento  Continuidad  Soporte  Documentación  Sostenibilidad  Concurrencia . . .  Respaldos  Persistencia  Disponibilidad  Confidencialidad  Integridad  Protección  Localización  Comunicaciones  Mantenimiento  Capacitación  Actualizaciones  Procesos  Cumplimiento  Sustentabilidad  Carga . . . ¿modas pasajeras? ¿legacy? ¿otra ´solución´ web? ¿fusiones? ¿riesgos? ¡qué va! ¿TCO? ¿SLA? ¿movilidad? …
  • 3. 3 Mg, Ing. Jack Daniel Cáceres Meza, PMP Atención  Medidas de seguridad (persona, proceso, tecnología)  Defensa en profundidad  Línea de defensa  Riesgos  Equidad  Balance
  • 4. 4 Mg, Ing. Jack Daniel Cáceres Meza, PMP Patrón de nivel de riesgo adecuado  Básico  No existen datos confidenciales: información pública o no privada  Todos los niveles de arquitectura se pueden implementar en un servidor Ejemplo de situación: Una organización financiera que administra información administrativa rutinaria (no privada) determina que el impacto potencial de una pérdida de confidencialidad es bajo, el impacto potencial de una pérdida de integridad de los datos es bajo y el impacto potencial de una pérdida de disponibilidad es bajo.
  • 5. 5 Mg, Ing. Jack Daniel Cáceres Meza, PMP Patrón de nivel de riesgo adecuado  Estándar  Consecuencias moderadas de una pérdida de datos o de integridad  Los niveles de arquitectura se implementan en sistemas independientes  Necesidad potencial de servicios federados Ejemplo de situación: Una organización que administra información pública en su servidor Web determina que no existe un impacto potencial de una pérdida de confidencialidad (p. ej., no se aplican requisitos de confidencialidad), un impacto moderado de una pérdida de integridad de los datos y un impacto potencial moderado de una pérdida de disponibilidad.
  • 6. 6 Mg, Ing. Jack Daniel Cáceres Meza, PMP Patrón de nivel de riesgo adecuado  Avanzada  Datos confidenciales  Todos los componentes redundantes para una alta disponibilidad  Se utilizan componentes de seguridad empresarial de terceros Ejemplo de situación: Una organización de fuerzas del orden público que administra información de investigaciones de un alto nivel de confidencialidad determina que el impacto potencial de una pérdida de confidencialidad es alto, el impacto potencial de una pérdida de integridad es moderado y el impacto potencial de una pérdida de disponibilidad es moderado.
  • 7. 7 Mg, Ing. Jack Daniel Cáceres Meza, PMP Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de comunicaciones y operaciones Gestión de la continuidad del negocio Seguridad lógica Seguridad organizativa Seguridad ligada a los recursos humanos Gestión de incidentes en la seguridad de la información Gestión de activos Aspectos organizativos dela seguridad de la información Política de seguridad Seguridad física Seguridad física y del entorno Control de acceso Cumplimiento Seguridad legal 11 dominios 39 objetivos de control 133 controles Controles ISO27002:2005
  • 8. 8 Mg, Ing. Jack Daniel Cáceres Meza, PMP Línea base sobre la que empezaremos las auditorías internas y externas Mejora evidente resultante de sincerar el trabajo necesario para acortar la brecha (GAP análisis) inicial Primer nivel de madurez alcanzado Ámbito de la mejora continua (madurar cada vez más)
  • 9. 9 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gap análisis  Es un análisis que mide cómo una organización está llevando a cabo su desempeño con respecto a una serie de criterios establecidos en base a normas o procedimientos internos, controles seleccionados, las mejores prácticas de competencia –industria, etc.  El resultado de este análisis establece la diferencia entre el desempeño actual y el esperado, con un informe presentado con indicaciones sobre dónde están las deficiencias y “qué” falta para cumplir con cada requisito de la norma.  El Gap Analysis se lleva a cabo a través de una auditoría –constructiva- in situ. http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/Nuestros-servicios/Gap-Analysis/ http://www.lrqa.es/certificacion-formacion/gap-analisis/index.aspx Beneficios del Gap análisis • Identificación de riesgos en sus procesos • Descubrir las necesidades de su organización para alcanzar la certificación –espacio para mejorar • Establecer calendario –de implementación- y costo –para cerrar la brecha
  • 10. 10 Mg, Ing. Jack Daniel Cáceres Meza, PMP http://arcanus-group.com/index.php/component/content/article/11-contenidos/19-servicio-gap-norma-iso-27000 http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf http://sergio.molanphy.net/category/gap_analysis/ Gap análisis  Permite a la organización comparar sus procesos actuales contra procesos del mercado o estándares de la industria relacionados con Seguridad Informática.  Necesario para llevar a cabo la implantación de un SGSI (NTP ISO/IEC 27001:2008).  El proceso incluye la determinación, documentación y aprobación de variaciones entre los requisitos del negocio y las capacidades actuales.
  • 11. 11 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gap análisis  Pasos para llevar a cabo el análisis de brecha: 1. Decidir cuál es la situación actual que se desea analizar ("lo que es") y se quiere resolver. En este paso se responde a la pregunta: ¿Dónde estamos? 2. Delinear el objetivo o estado futuro deseado ("lo que debería ser"). Respondería la pregunta ¿En el año 2015 a dónde deberíamos llegar? 3. Identificar la brecha entre el estado actual y el objetivo. Responde a la pregunta ¿Cuán lejos estamos de donde queremos estar? 4. Determinar los planes y las acciones requeridas para alcanzar el estado deseado Responde a la pregunta de ¿Cómo llegamos al 2015 planteado? http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf http://sergio.molanphy.net/category/gap_analysis/
  • 12. 12 Mg, Ing. Jack Daniel Cáceres Meza, PMP Escala de valoración del nivel de madurez CobIT (Control Objectives for Information and related Technology) Escala % Descripción No Aplica N/A No aplica. Inexistente 0 Falta de un proceso reconocible. La Organización no ha reconocido que hay un problema a tratar. No se aplican controles. Inicial 20 Se evidencia de que la Organización ha reconocido que existe un problema y que hay que tratarlo. Sin embargo, no hay procesos estandarizados. La implementación de un control depende de cada individuo y es muchas veces es reactiva. Repetible 40 Los procesos y los controles siguen un patrón regular. Los procesos se han desarrollado hasta el punto en que diferentes procedimientos son seguidos por diferentes personas. Pero no están formalizados, ni hay comunicación formal sobre los procedimientos desarrollados. Hay un alto grado de confianza en los conocimientos de cada persona. Definido 60 Los procesos y los controles se documentan y se comunican. No se han establecido mecanismos de monitoreo, para una detección de desviaciones efectiva. Gestionado 80 Los controles se monitorean y se miden. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas de acción donde los procesos no estén funcionando eficientemente. Optimizado 100 Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos hasta el nivel de mejores prácticas, basándose en los resultados de una mejora continua.
  • 13. 13 Mg, Ing. Jack Daniel Cáceres Meza, PMP Trabajo práctico  Una software factory local contrata su empresa de seguridad para que analice y evalúe el nivel de seguridad de la información que ha logrado implementar para sus entregables (Dominio: Adquisición, desarrollo y mantenimiento de sistemas de información)  ¿Cómo plantearía realizar esta consultoría?  ¿Qué nivel de madurez ha alcanzado?  Grupos de tres  45 minutos para desarrollo  15 minutos para exposición
  • 14. Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Gracias por su atención ¿Preguntas? Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com