La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Dit-upm Seguridad de los Sistemas de Información José A. Mañas Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad.

Presentaciones similares


Presentación del tema: "Dit-upm Seguridad de los Sistemas de Información José A. Mañas Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad."— Transcripción de la presentación:

1 dit-upm Seguridad de los Sistemas de Información José A. Mañas Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica de Madrid Febrero de 2012

2 dit Índice Seguridad de la información Análisis de riesgos Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información 2

3 dit Sistema de información Los ordenadores y redes de comunicaciones electrónicas, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento Los sistemas tienen una o dos misiones custodiar datos para que puedan ser utilizados por quien debe cuando quiera prestar servicios administrativos comerciales industriales seguridad de la información 3

4 dit Gobierno de las TIC Las TIC son una oportunidad pero conllevan un riesgo Las decisiones deben equilibrar ambas caras destinando recursos prudentes a los objetivos de negocio destinando recursos prudentes a la protección Toda decisión de gobierno debe estar informada la funcionalidad que queremos obtener los riesgos en que incurrimos = su seguridad seguridad de la información órganos de gobierno gestores técnicos TIC equipamiento TIC 4

5 dit Los sistemas de información Antes la informática era cosa de unos pocos profesionales los sistemas eran complejos y muy suyos la seguridad no era un problema La red lo cambia todo no hay equipos aislados los malos saben lo mismo que los buenos Ahora las amenazas incluyen la naturaleza, la industria y el hombre los sistemas son excesivamente complejos para que alguien, en singular, comprenda absolutamente todos los detalles seguridad de la información 5

6 dit Objetivos de la seguridad Mantener la disponibilidad de los datos almacenados, así como su disposición a ser compartidos contra la interrupción del servicio Mantener la integridad de los datos... contra las manipulaciones Mantener la confidencialidad de los datos almacenados, procesados y transmitidos contra las filtraciones Asegurar la identidad de origen y destino (autenticidad) frente a la suplantación o engaño Trazabilidad: saber quién ha hecho qué en qué momento para perseguir y mejorar seguridad de la información 6

7 dit Consecuencias Fallos de confidencialidad fugas de información no hay reparación posible si se detecta, tenemos la opción de perseguir (disuasorio) Fallos de integridad datos manipulados si se detecta, tenemos la opción de recuperar [de otra fuente] Autenticidad = integridad [de los meta-datos] Trazabilidad = integridad [de los registros de actividad] Fallos de disponibilidad interrupción del servicio medios alternativos restauración de los medios habituales seguridad de la información 7

8 dit Coste de la interrupción seguridad de la información 8

9 dit Asegurar todos los niveles La información Los procesos Las aplicaciones El sistema operativo El hardware Las comunicaciones Los soportes de información Las instalaciones El personal seguridad de la información 9

10 dit Definiciones Seguridad de las redes y de la información: la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles REGULATION (EC) Not 460/ OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March 2004 establishing the European Network and Information Security Agency seguridad de la información 10

11 dit Puntos de vista Los usuarios del SI ven la seguridad como confianza Los técnicos ven la seguridad como componentes, dispositivos, software,... Los atacantes ven la seguridad como aquello que impide sus objetivos Los gestores ven la seguridad como gestión de riesgos = tener los riesgos bajo control Los órganos de gobierno ven la seguridad como un límite a las oportunidades que abren las TIC The same solution that keeps out the bad (specially it if mutates) will also keep out the good. P. Herzog seguridad de la información 11

12 dit Riesgo el arte de vivir con sistemas razonablemente seguros Análisis de impacto el arte de estimar las consecuencias de una amenaza potencial Análisis de riesgos el arte de estimar las consecuencias recurrentes de la inseguridad residual Análisis de riesgos y análisis de impacto proporcionan información para tomar decisiones Gestión de riesgos Analizar + aplicar medidas seguridad de la información 12

13 dit Referencias USA : NIST SP :2002 Risk Management Guide for Information Technology Systems The only mandatory requirement under the FISMA security standards and guidance is the application of the NIST Risk Management Framework everything else is negotiable. AS/NZ : AS/NZS 4360:2004 Risk management Risk management involves managing to achieve an appropriate balance between realizing opportunities for gains while minimizing losses. seguridad de la información 13

14 dit Índice Seguridad de la información Análisis de riesgos Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información 14

15 dit Gestión de riesgos Estudio de los riesgos Determinar el contexto Identificación Análisis Evaluación Monitorización y revisiónComunicación y consulta ¿Requieren atención los riesgos? Tratamiento de los riesgos sí no seguridad de la información 15

16 dit Análisis (potencial) activos amenazas probabilidad impacto valor riesgo están expuestos a Interesan por su degradación causan una cierta con una cierta seguridad de la información 16

17 dit Análisis (residual) activos amenazas probabilidad residual probabilidad residual impacto residual impacto residual valor riesgo residual riesgo residual están expuestos a Interesan por su degradación residual degradación residual causan una cierta con una cierta tipo de activo dimensión amenaza nivel de riesgo salvaguardas seguridad de la información 17

18 dit Roles El responsable de la información (N) valora los requisitos de seguridad de la información El responsable del servicio (N) valora los requisitos de seguridad del servicio El analista de riesgos propaga requisitos selecciona y evalúa salvaguardas informa del riesgo El propietario del riesgo (risk owner) evalúa el riesgo toma las decisiones de asunción del riesgo has the accountability and authority to manage the risk seguridad de la información 18

19 dit ENS – Guía roles seguridad de la información 19

20 dit ENS – Guía roles seguridad de la información 20

21 dit El análisis de riesgos no es simple Muchos activos los sistemas son complejos Activos de muchos tipos información, servicos equipamiento: aplicaciones, equipos, comunicaciones,... locales: recintos, edificios, áreas,..., en el campo personas: usuarios, operadores, desarrolladores,... Muchas amenazas y muchas formas de hilvanar las amenazas Muchísimas salvaguardas gestión, técnicas, seguridad física, recursos humanos... lleva tiempo... cuesta dinero... no vale una vez y para siempre seguridad de la información 21

22 dit Metodología de análisis de riesgos La complejidad se ataca metódicamente una metodología es una aproximación sistemática para cubrir la mayor parte de lo que puede ocurrir para olvidar lo menos posible para explicar a los gerentes qué se necesita de ellos para explicar a los técnicos qué se espera de ellos para explicar a los usuarios qué un uso decente del sistema qué es una respuesta urgente cómo se gestionan los incidentes una metodología necesita modelos elementos: activos, amenazas, salvaguardas métricas: impacto y riesgo seguridad de la información 22

23 dit Metodología Magerit / PILAR análisisRiesgos (SistemaInformación si) { Contexto contexto= establecerContexto (si); Set activos= getModeloValor(si); Set amenazas= getMapaAmenazas(si, activos); Riesgo potencial= calcula(activos, amenazas); Set salvaguardas= necesidad(activos, amenazas); evaluaEstadoActual(salvaguardas); Riesgo residual= calcula(activos, amenazas, salvaguardas); } seguridad de la información 23

24 dit Metodología Magerit / PILAR Set getModeloValor(SistemaInformación si) { do { Set activos= descubrimiento(si); relaciones(activos, si); valoración(activos, si); } until (dirección.aprueba(activos)); dirección.firma(informe(activos)); return activos; } seguridad de la información 24

25 dit Activos Magerit son los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. ISO Asset. Anything that has value to the organization. seguridad de la información 25

26 dit Tipos de activos Servicios Datos / información Aplicaciones (software) Equipos informáticos (hardware) Redes de comunicaciones Soportes de información Equipamiento auxiliar Instalaciones (locales, etc.) Personal Datos / información Servicios negocio ingeniería aprovisionamiento seguridad de la información 26

27 dit Unos activos dependen de otros servicios software equipamiento [hw + com + si + aux] equipamiento [hw + com + si + aux] personal instalaciones información esencial seguridad de la información 27

28 dit Dependencia Un servicio deja de estar disponible [D] ¿por qué? si ocurre que... a... ¿dónde lo atacaría para detenerlo? Un dato puede ser manipulado [I] ¿cómo? por medio de... ¿dónde? estando en... Un dato puede ser revelado [C] ¿cómo? por medio de... ¿dónde? estando en... seguridad de la información 28

29 dit Acumulación y repercusión Las dependencias crean la necesidad de proteger los activos inferiores para que cumplan su misión última acumulación de responsabilidad Las dependencias hacen a los activos superiores víctimas pasivas de los defectos de los inferiores repercusión de consecuencias seguridad de la información 29

30 dit Valoración Coste que supondría la ocurrencia de una amenaza valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante daños y perjuicios No sólo importa lo que cuesta; importa [más] para qué vale Para un estudio comparativo basta alguna escala sencilla: 0, 1, 2,..., 10 es más importante saber el valor relativo que el absoluto Para un estudio de costes se requiere una estimación ajustada seguridad de la información 30

31 dit Valor cualitativo Criterios homogéneos que permitan relativizar entre dimensiones compartir / combinar análisis realizados por separado uniformidad de conocimiento alto 5 medio 3 2 bajo despreciable0 10 muy alto seguridad de la información 31

32 dit Amenazas Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales accidentales deliberadas (intencionales) naturales terremotos, inundaciones, rayos,... industriales electricidad, emanaciones,... humanas errores y omisiones intercepción pasiva o activa intrusión, espionaje,... robo, fraude,... seguridad de la información 32

33 dit Análisis de amenazas Identificación ¿qué puede ocurrir [que deba preocuparnos]? por experiencia (propia o ajena) por la propia naturaleza del activo (clase) Cuantificación probabilidad de ocurrencia consecuencias [sobre el valor de los activos] en magerit se llama degradación seguridad de la información 33

34 dit Impacto (indicador) Consecuencia que sobre un activo tiene la materialización de una amenaza pérdida posible Valoración cualitativa / subjetiva irrelevante … grave … intolerable cuantitativa / económica coste dinerario Métodos directos: ¿qué impacto tendría...? indirectos: valor degradación seguridad de la información 34

35 dit Riesgo (indicador) Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización pérdida probable Valoración cualitativa / subjetiva irrelevante … grave … intolerable cuantitativa / económica coste dinerario Métodos cualitativos: tabulares cuantitativos: impacto frecuencia seguridad de la información 35

36 dit Estimación cuantitativa impacto = valor degradación riesgo = impacto frecuencia seguridad de la información 36

37 dit Estimación cualitativa MAalto muy alto Amedioalto Mbajo medio Bbajo medio MB muy bajo bajo PFFNFMFEF impacto probabilidad seguridad de la información 37

38 dit Impacto & riesgo Si el activo A depende del activo B, el valor de A se acumula en B en la proporción en que A depende de B activo A activo B amenaza Z activo A activo B amenaza Z acumuladorepercutido seguridad de la información 38

39 dit Salvaguardas MAGERIT procedimiento o mecanismo tecnológico que reduce el riesgo sinónimos: contra medidas, controles ISO Safeguard. A practice, procedure or mechanism that reduces risk synonyms: countermeasures, controls seguridad de la información 39

40 dit ¿Qué salvaguardas se requieren? 1.Se necesita una lista de posibles salvaguardas aconsejado por expertos estándares (ej. ENS, 27002, PCI-DSS, PP,...) leyes, reglamentos, práctica sectorial 2.Hay que casar las salvaguardas con las amenazas identificadas se prepara una Declaración de Aplicabilidad) (SoA – Statement of Applicability) 3.Se evalúa el despliegue actual: existencia (o ausencia) efectividad del despliegue seguridad de la información 40

41 dit Indicadores residuales Impacto lo que puede pasar Impacto residual el que queda tras contabilizar las medidas de seguridad adoptadas Riesgo lo que probablemente pase Riesgo residual el que queda tras contabilizar las medidas de seguridad adoptadas seguridad de la información 41

42 dit Impacto y riesgo residuales valores residuales v0v0 eficacia de las medidas de seguridad % impacto riesgo seguridad de la información 42

43 dit probabilidad impacto Mitigación de riesgos potencial residual seguridad de la información 43

44 dit Índice Seguridad de la información Análisis de riesgos Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información 44

45 dit ¿Qué hacer con el riesgo? Se evita si se puede... es la solución ideal prescindir de activos Se reduce | se mitiga ocurre menos impacto limitado Se transfiere | se comparte se le pasa a otra organización ya no es [sólo] mi problema Se asume | se acepta pasa a contabilizarse como gasto operacional puede ser una oportunidad seguridad de la información 45

46 dit Opciones de tratamiento Se evita eliminando activos cambio de arquitectura Se mitiga poniendo o mejorando salvaguardas Se transfiere | se comparte cualitativo: externalizació cuantitativo: seguro Se acepta... monitprización + reacción hay que cuidar la reputación: departamento de comunicación departamento legal hay que analizar otro sistema seguridad de la información 46

47 dit probabilidad impacto Evaluación en términos de negocio seguridad de la información 47

48 dit Acciones Zona 1 debemos atender a estos riesgos, sacándolos de la zona 1 Zona 2 podemos negociarlo ¿cómo está la competencia? Zona 3 podemos olvidarnos o asumir más riesgo Zona 4 probablemente las medidas preventivas sean irrelevantes hay que estar preparados para detectar y reaccionar con presteza, limitando el impacto o tener un plan alternativo seguridad de la información 48

49 dit Tiempos Todo lo que podamos prevenir si se justifica el coste Escenarios de desastre previstos si es que el incidente es previsible Gestión de crisis indicadores predictivos detección y escalado de la alarma gestión de los afectados sistemas, negocio, clientes, sociedad recuperación business as usual? esto es aplicable en riesgos que admiten una disminución de probabilidad esto es aplicable en riesgos de alto impacto hay que dedicarle tanto más estudio cuanto mayor es el impacto potencial seguridad de la información 49

50 dit Regulación & cumplimiento Son respuestas rápidas frente a escenarios que quizás nunca más se darán calman la alarma social ¿evitan organizaciones suicidas? es difícil validar su efecto se trata de una intervención rápida en un proceso impredecible Algunas medidas se toman por miedo al incumplimiento quedar fuera del mercado acabar en prisión lo que no puede ser es que te pillen con los deberes sin hacer seguridad de la información 50

51 dit Ciclos de gestión de riesgos sistema nuevoincidente nuevo análisis del riesgo ¿es aceptable el impacto [residual]? ¿es aceptable el riesgo [residual]? se toman medidas para prevenir, detectar y recuperar se usa el sistema seguridad de la información 51

52 dit Aceptación del riesgo Es una opción honrada y necesaria pero peligrosa el análisis dice cuán peligrosa Debe ser tomada EXPLÍCITAMENTE por negocio nunca puede ser una decisión técnica seguridad de la información 52

53 dit Soporte en herramientas EAR PILAR programas de seguridad activos amenazas impacto y riesgo potenciales evaluación de salvaguardas progreso salvaguardas plan de seguridad costes & beneficios impacto y riesgo residuales seguridad de la información 53

54 dit Índice Seguridad de la información Análisis de riesgos Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información 54

55 dit Continuidad de negocio Es improbable un desastre; pero somos muy vulnerables dependencia creciente de la tecnología interdependencia de los proveedores su problema es mi problema un acto individual puede tener consecuencias planetarias la competencia [feroz] no perdona detenciones prolongadas o, simplemente, apreciables por los usuarios por obligación legal o por regulación sectorial seguridad de la información 55

56 dit Coste de la interrupción seguridad de la información 56

57 dit Tiempos último backup medios alternativos sin servicio información defectuosa RTO RPO seguridad de la información 57

58 dit MTPD / RTO nivel de servicio tiempo MTPD RTO nivel estándar nivel mínimo tolerable seguridad de la información 58

59 dit Impacto residual time to recover madurez L0L5 T0 backup L4L3L2L1 seguridad de la información 59

60 dit Desarrollo de un plan 1.Definir una política (formal) 2.BIA – análisis del impacto en el negocio 3.Identificación de medidas de seguridad 4.Selección de medios alternativos 5.Escribir un plan 6.Auditoría, pruebas, entrenamiento 7.Mantenimiento regular tenemos más sabemos más seguridad de la información 60

61 dit BIA: business impact analysis 1.Determinación de las funciones críticas de producción de responsabilidad legal y contractual 2.Determinación de recursos críticos para funciones críticas 3.Determinación del coste por hora de indisponibilidad 4.Identificación de activos que requieren una alternativa tiempo crítico de puesta en marcha seguridad de la información 61

62 dit Estrategias de supervivencia... de los servicios... de la información... de las aplicaciones... de los equipos... de las instalaciones... del personal criterios impacto a tratar coste tiempo de entrada en acción localización seguridad de la información 62

63 dit Índice Seguridad de la información Análisis de riesgos Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información 63

64 dit Definiciones seguridad de la información la preservación de la confidencialidad, la integridad y la disponibilidad de la información, puede, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad y el no repudio sistema de gestión de la seguridad de la información (SGSI) la parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, hacer funcionar, supervisar, revisar, supervisar, mantener y mejorar la seguridad de la información NOTA el sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos seguridad de la información 64

65 dit PDCA model seguridad de la información 65

66 dit planificación Plan monitorización y evaluación monitorización y evaluación Check implementación y operación implementación y operación Do mantenimiento y mejora mantenimiento y mejora Act SGSI Sistema de Gestión de la Seguridad de la Información observa r a los demás seguridad de la información 66

67 dit Certificaciones El SGSI es un proceso formal para gestionar las actividades relacionadas con la seguridad de la información análisis de riesgos flujo de toma de decisiones mantenimiento continuo formalizado y verificable Una certificación es la corroboración oficial de un tercero de que todo lo anterior se hace y es verificable seguridad de la información 67

68 dit Valor de un certificado Una certificación no asegura que el sistema es seguro asegura que la Dirección sabe exactamente el riesgo residual que asume Un sistema incapaz de alcanzar la certificación probablemente denota un sistema de comportamiento incierto seguridad de la información 68

69 dit SGSI Se puede explotar un sistema seguro con componentes inseguros capas de protección Se puede tener un sistema inseguro con componentes perfectos ej. Frankenstein (M. Shelley, 1818, 1831) La gestión es necesaria; pero no suficiente Un sistema no gestionado es una aventura cuyo desenlace depende del azar (suerte) Un sistema de gestión sobre papel mojado es ficción las batallas no se ganan sin soldados seguridad de la información 69

70 dit Índice Seguridad de la información Análisis de riesgos Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información 70

71 dit international context OECD Guidelines for information and network security:... risk evaluation, security design and implementation, security management, re-evaluation. Implementation Plan for the OECD Guidelines: Government should develop policies that reflect best practices in security management and risk assessment...to create a coherent system of security. USA FISMA – Federal Information Systems Act UK Security Framework seguridad de la información 71

72 dit contexto nacional Ley11/2007 (administración electrónica), artículo El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Desarrollado como Real Decreto de 8 de enero de 2010 Participan las administraciones públicas (central, autonómica y local) así como asociaciones industriales Ámbito: administraciones públicas relaciones con los ciudadanos relaciones electrónicas internas Los sistemas clasificados quedan explícitamente excluidos seguridad de la información 72

73 dit objetivos La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Proporcionar un lenguaje común para facilitar las relaciones con las AAPP y trasladar los requisitos de seguridad a la industria Se completa con el Esquema Nacional de Interoperabilidad (Real Decreto 4 de 2010) seguridad de la información 73

74 dit contenido Principios básicos guía Requisitos mínimos de obligado cumplimiento Valoración y categorización del sistema de información Medidas de seguridad indexadas por dimensión, nivel y categoría Auditoría de seguridad seguridad de la información 74

75 dit principios básicos 1.La seguridad como un proceso integral 2.Gestión de la seguridad basada en los riesgos 3.Prevención, reacción y recuperación 4.Líneas de defensa 5.Reevaluación periódica 6.La seguridad como función diferenciada seguridad de la información 75

76 dit requisitos mínimos (1/2) a)Organización e implantación del proceso de seguridad b)Análisis y gestión de los riesgos c)Gestión de personal d)Profesionalidad e)Autorización y control de los accesos f)Protección de las instalaciones g)Adquisición de productos h)Seguridad por defecto seguridad de la información 76

77 dit requisitos mínimos (2/2) i)Integridad y actualización del sistema j)Protección de la información almacenada y en tránsito k)Prevención ante otros sistemas de información interconectados l)Registro de actividad m)Incidentes de seguridad n)Continuidad de la actividad o)Mejora continua del proceso de seguridad. seguridad de la información 77

78 dit pasos 1.preparar y aprobar la política de seguridad 2.definir roles y asignar personas 3.valorar / categorizar el sistema valoración de la información valoración de los servicios 4.realizar un análisis de riesgos 5.preparar y aprobar una declaración de aplicabilidad (incluyendo datos de carácter personal) 6.implantar, operar y monitorizar el sistema 7.aprender y mejorar continuamente 8.realizar auditorías regulares seguridad de la información 78

79 dit política de seguridad [org.1] aprobada por el órgano superior competente que corresponda documento escrito objetivos / misión de la organización marco legal y regulatorio roles y funciones de seguridad deberes y responsabilidades procedimiento de designación y renovación procedimiento de resolución de conflictos normativa de seguridad procedimientos de seguridad referencia al documento de seguridad (datos de carácter personal) seguridad de la información 79

80 dit roles y funciones nivel superior: órganos de gobierno responsable de la información (information owner) responsable del servicio (service owner) establecen los requisitos de seguridad aceptan el riesgo residual (risk owners) responsable del sistema decisiones operativas (que funcione) con operadores para hacer las cosas responsable de la seguridad aprobación de las actuaciones en materia de seguridad supervisión de las actuaciones en materia de seguridad independientes seguridad de la información 80

81 dit regla el responsable de la información o servicio puede ser externo los requisitos de seguridad los marca cada responsable alcance - perímetro información ajena servicios externos otros sistemas mi información mis servicios mi equipamiento seguridad de la información 81

82 dit análisis de riesgos [op.pl.1] Análisis de riesgos Categoría BÁSICA: análisis informal: texto: lenguaje natural Categoría MEDIA: análisis semi-formal: tablas Categoría ALTA: análisis formal fundamento matemático reconocido internacionalmente seguridad de la información 82 B B M M A A

83 dit auditoría vs cumplimiento anexo ii [ccn-stic-802] auditoría cumplimiento de la misión / negocio dictamina si se hace lo correcto se define el marco Y se satisface el marco definido con las garantías suficientes debe ser independiente [ccn-stic-808] cumplimiento anexo ii los controles aplicables están aplicados dictamina si se hace correctamente debe ser predecible / repetible [pruebas objetivas] seguridad de la información 83

84 dit Guías CCN-STIC seguridad de la información https://www.ccn-cert.cni.es/ 84

85 dit para terminar el ens establece un procedimiento para tener los sistemas bajo control de forma constructiva sin obviar responsabilidades puntos difíciles homogeneidad de valoración política(s) de firma electrónica y certificados productos certificados inspecciones obligatorias ¿qué hacer si un sistema no cumple? seguridad de la información 85

86 dit Índice Seguridad de la información Análisis de riesgos Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información 86

87 dit Referencias ENS Magerit Guías CCN-STIC https://www.ccn-cert.cni.es/ Intypedia seguridad de la información 87


Descargar ppt "Dit-upm Seguridad de los Sistemas de Información José A. Mañas Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad."

Presentaciones similares


Anuncios Google