Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porEurico Febles Modificado hace 10 años
1
INFORMATION SECURITY Programa Integral de Formación Profesional en
Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información Etapa 2: IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD ISO17799 / BS7799 / COBIT – Parte 1 Todos los derechos reservados 2005
2
Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales para: La formación PROFESIONAL del individuo La IMPLEMENTACION PRACTICA en las organizaciones
3
A QUIEN ESTA DIRIGIDO Orientado Responsables de áreas de Seguridad Informática, TI, Profesionales de Areas de Sistemas, Consultores de Tecnología, Auditores Internos y Externos de Sistemas, Profesionales y Administradores de distintas Tecnologías.
4
DESCRIPCION GENERAL Este Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información está alineado con Normas Internacionales de aplicación en la materia y de acuerdo con Certificaciones Internacionales en Seguridad de la Información: Normas Internacionales ISO177799 BS7799 ISO9001 COBIT AUDIT GUIDELINES COSO ITIL SARBANES OXLEY ACT
5
DESCRIPCION GENERAL Alineado con Certificaciones Internacionales CISSP
CISA CISM CIA ISEC+ COMPTia ETHICAL HACKER OSSTMM A su vez sus contenidos están alineados con los Diplomados Internacionales distintas Universidades en Latinoamérica brindan (Argentina, Ecuador, Bolivia, Perú, Chile, entre otros).
6
Instructor Martín Vila
Business Director I -Sec Information Security ( ) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Microsoft, Ernst & Young / IT College, I-Sec). Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.
7
12 Módulos Funcionales como Metodología Práctica de Implementación
relacionados con 10 Dominios de la ISO TEORICOS Temario detallado
8
Etapa 2 IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD – Parte 1 Se desarrollará la primera parte de una Metodología Práctica de Implementación de los criterios de seguridad, y están directamente relacionados con los 10 Dominios de la ISO TEORICOS con el detalle de los respectivos controles. Esta Metodología Práctica se divide en 12 Módulos Funcionales de aplicación, y en esta primera parte se verán los primeros 6. Temario detallado
9
La Seguridad Informática actual
Módulo Funcional 01 La Seguridad Informática actual Riesgos e impacto en los negocios Normas, Metodologías y Legislaciones Enfoque ISO 17799
10
Por que? Paso 1: Reconocer los riesgos y su impacto en los negocios
CONSEGUIR EL APOYO DE LA DIRECCION
11
en formato electrónico / magnético / óptico
en formato impreso en el conocimiento de las personas Qué Información proteger
12
Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web
13
Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables
14
Normas, Metodologías, Legislaciones aplicables
Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: METODOLOGIA COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC – Information Technology Security Evaluation Criteria: White Book Sans Institute Sarbanes Oxley Act, HIPAA Act Normas, Metodologías, Legislaciones aplicables
15
Gestión de Seguridad Norma ISO 17799
16
Normas de Gestión ISO International Standards Organization: Normas ISO
ISO 9001 – Calidad ISO – Ambiental ISO – Seguridad de la Información
17
Norma ISO 17799 Seguridad de la Información
Dos partes: 17799 – 1 . NORMALIZACION (Mejores Prácticas) 17799 – 2 . CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS 7799. Ya está disponible la versión ISO17799:2005. Norma ISO Seguridad de la Información
18
GESTION DE SEGURIDAD DE LA INFORMACION
Norma ISO Seguridad de la Información Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestión de la seguridad de la información Base común para el desarrollo de estándares de seguridad
19
Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO Seguridad de la Información
20
Políticas de Seguridad
Módulo Funcional 02 Políticas de Seguridad Desarrollo de los temas a considerar Técnicas de implementación de Normas, Procedimientos y Estándares. Mecanismos de medición y mejora continua.
21
Paso 1: qué dicen las normas? Requerimiento de
Normativas Internacionales ISO Seguridad de la Información
22
Marco Normativo ISO 17799 1. Política de Seguridad
2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799
23
Paso 2: cómo lo llevo a la práctica? Etapas Generales
en el Desarrollo e Implementación de un Manual de Gestión de Seguridad de la Información
24
Identificar el equipo responsable
Definir el Equipo de Redacción y de Aprobación Analizar la integración con otras políticas Definir los temas de seguridad a incluir en normativa Definir la estructura Definir el esquema de cada documento Desarrollar la Política General Desarrollar las Normas Desarrollar los Procedimientos Desarrollar los Estándares técnicos Aprobar en contenido en sus distintos niveles Definir el método de difusión y mantenimiento permanente Definir el método de “premios y castigos” Implementar la normativa Ejecutar los mecanismos de actualización Identificar el equipo responsable
25
Estructura Organizacional
Módulo Funcional 03 Estructura Organizacional Identificación de los requerimientos de ISO 17799 Definición de Roles y Responsabilidades en la Compañía Asignación de Perfiles del personal para cada rol Responsabilidades con Terceros y Contratados
26
Paso 1: qué dicen las normas? Requerimiento de
Normativas Internacionales ISO Seguridad de la Información
27
Marco Normativo ISO 17799 1. Política de Seguridad
2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799
28
Paso 2: cómo lo llevo a la práctica?
Definición de Roles y Responsabilidades en la Compañía
29
Roles y Responsabilidades en la Compañía
Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales / RRHH / AUD Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Roles y Responsabilidades en la Compañía
30
MF 04: Clasificación de Información
Marco Normativo ISO 17799 Metodología Práctica de Clasificación
31
Paso 1: qué dicen las normas? Requerimiento de
Normativas Internacionales ISO Seguridad de la Información
32
Marco Normativo ISO 17799 1. Política de Seguridad
2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799
33
Paso 2: cómo lo llevo a la práctica?
Metodología Práctica de Clasificación de Información
34
Metodología Práctica de Clasificación de Información
Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales / RRHH / AUD Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Identificar los Responsables de la Clasificación
35
Metodología Práctica de Clasificación de Información
Etapas 1. Identificación de la información 2. Identificación de los principales riesgos 3. Clasificación de la información teniendo en cuenta los riesgos identificados 4. Difusión a los USUARIOS 5. Mantenimiento y Mejora Continua Metodología Práctica de Clasificación de Información
36
MF 05: Aspectos humanos de la seguridad
Marco Normativo ISO 17799 Metodología Práctica
37
Paso 1: qué dicen las normas? Requerimiento de
Normativas Internacionales ISO Seguridad de la Información
38
Marco Normativo ISO 17799 1. Política de Seguridad
2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799
39
Paso 2: cómo lo llevo a la práctica?
Principales procesos reelacionados con los Aspectos humanos de la seguridad Administración del Personal Manejo de Incidentes Proceso Disciplinario Concientización
40
MF 06: Seguridad en los Procesos Internos del área de Sistemas
MF 06: Seguridad en los Procesos Internos del área de Sistemas. Seguridad Física y Ambiental.
41
Paso 1: qué dicen las normas? Requerimiento de
Normativas y Metodologías Internacionales
42
ISO 17799 Seguridad de la Información COBIT Audit Guidelines
Para los CONTROLES en los PROCESOS de TI se utilizan ambas fuentes de información: ISO Seguridad de la Información COBIT Audit Guidelines
43
Marco Normativo ISO 17799 1. Política de Seguridad
2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799
44
ISACA Information Systems and Audit Control Association
COBIT Control Objectives for Information and Related Technology
45
Metodologías aplicables
COBIT AUDIT GUIDELINES: Son metodologías internacionalmente aceptados para la práctica de seguridad informática. Comprenden una serie de Objetivos de Control a cumplir en los distintos aspectos del “gobierno” de IT, dentro de los cuales se encuentran los temas específicos de Seguridad y Control: Planeamiento y organización Adquisición e implementación Entrega de servicios y soporte Monitoreo
46
Paso 2: cómo lo llevo a la práctica?
Principales procesos Identificación de Funciones y Responsabilidades Identificación de los Principales Procesos del área Definición de controles para cada proceso – ISO – COBIT - Normativa Interna Implementación, Plan de Monitoreo y Mejora Continua
47
Facilidad en el USO vs mejor PROTECCION
Cierre del Entrenamiento Facilidad en el USO vs mejor PROTECCION de la Información
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.