La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Especializacion en Seguridad de la Información 2005 INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas.

Presentaciones similares


Presentación del tema: "Especializacion en Seguridad de la Información 2005 INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas."— Transcripción de la presentación:

1

2 Especializacion en Seguridad de la Información 2005 INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información Etapa 2: IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD ISO17799 / BS7799 / COBIT – Parte Todos los derechos reservados

3 Especializacion en Seguridad de la Información 2005 Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales para: La formación PROFESIONAL del individuo La IMPLEMENTACION PRACTICA en las organizaciones

4 Especializacion en Seguridad de la Información 2005 A QUIEN ESTA DIRIGIDO Orientado Responsables de áreas de Seguridad Informática, TI, Profesionales de Areas de Sistemas, Consultores de Tecnología, Auditores Internos y Externos de Sistemas, Profesionales y Administradores de distintas Tecnologías.

5 Especializacion en Seguridad de la Información 2005 DESCRIPCION GENERAL Este Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información está alineado con Normas Internacionales de aplicación en la materia y de acuerdo con Certificaciones Internacionales en Seguridad de la Información: Normas Internacionales ISO BS7799 ISO9001 COBIT AUDIT GUIDELINES COSO ITIL SARBANES OXLEY ACT

6 Especializacion en Seguridad de la Información 2005 Alineado con Certificaciones Internacionales CISSP CISA CISM CIA ISEC+ COMPTia ETHICAL HACKER OSSTMM A su vez sus contenidos están alineados con los Diplomados Internacionales distintas Universidades en Latinoamérica brindan (Argentina, Ecuador, Bolivia, Perú, Chile, entre otros). DESCRIPCION GENERAL

7 Especializacion en Seguridad de la Información 2005 Instructor Martín Vila Business Director I -Sec Information Security ( ) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Microsoft, Ernst & Young / IT College, I-Sec). Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.

8 Especializacion en Seguridad de la Información Módulos Funcionales como Metodología Práctica de Implementación relacionados con 10 Dominios de la ISO TEORICOS Temario detallado

9 Especializacion en Seguridad de la Información 2005 Etapa 2 IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD – Parte 1 Se desarrollará la primera parte de una Metodología Práctica de Implementación de los criterios de seguridad, y están directamente relacionados con los 10 Dominios de la ISO TEORICOS con el detalle de los respectivos controles. Esta Metodología Práctica se divide en 12 Módulos Funcionales de aplicación, y en esta primera parte se verán los primeros 6. Temario detallado

10 Especializacion en Seguridad de la Información 2005 Módulo Funcional 01 La Seguridad Informática actual Riesgos e impacto en los negocios Normas, Metodologías y Legislaciones Enfoque ISO 17799

11 Especializacion en Seguridad de la Información 2005 Paso 1: Por que? Reconocer los riesgos y su impacto en los negocios CONSEGUIR EL APOYO DE LA DIRECCION

12 Especializacion en Seguridad de la Información 2005 en formato electrónico / magnético / óptico en formato impreso en el conocimiento de las personas Qué Información proteger

13 Especializacion en Seguridad de la Información 2005 Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web Principales riesgos y el impacto en los negocios

14 Especializacion en Seguridad de la Información 2005 Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables

15 Especializacion en Seguridad de la Información 2005 Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: METODOLOGIA COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC – Information Technology Security Evaluation Criteria: White Book Sans Institute Sarbanes Oxley Act, HIPAA Act Normas, Metodologías, Legislaciones aplicables

16 Especializacion en Seguridad de la Información 2005 Gestión de Seguridad Norma ISO 17799

17 Especializacion en Seguridad de la Información 2005 International Standards Organization: Normas ISO ISO 9001 – Calidad ISO – Ambiental ISO – Seguridad de la Información Normas de Gestión ISO

18 Especializacion en Seguridad de la Información 2005 Dos partes: – 1. NORMALIZACION (Mejores Prácticas) – 2. CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS Ya está disponible la versión ISO17799:2005. Norma ISO Seguridad de la Información

19 Especializacion en Seguridad de la Información 2005 Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestión de la seguridad de la información Base común para el desarrollo de estándares de seguridad Norma ISO Seguridad de la Información

20 Especializacion en Seguridad de la Información Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO Seguridad de la Información

21 Especializacion en Seguridad de la Información 2005 Módulo Funcional 02 Políticas de Seguridad Desarrollo de los temas a considerar Técnicas de implementación de Normas, Procedimientos y Estándares. Mecanismos de medición y mejora continua.

22 Especializacion en Seguridad de la Información 2005 Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO Seguridad de la Información

23 Especializacion en Seguridad de la Información Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

24 Especializacion en Seguridad de la Información 2005 Paso 2: cómo lo llevo a la práctica? Etapas Generales en el Desarrollo e Implementación de un Manual de Gestión de Seguridad de la Información

25 Especializacion en Seguridad de la Información 2005 Definir el Equipo de Redacción y de Aprobación Analizar la integración con otras políticas Definir los temas de seguridad a incluir en normativa Definir la estructura Definir el esquema de cada documento Desarrollar la Política General Desarrollar las Normas Desarrollar los Procedimientos Desarrollar los Estándares técnicos Aprobar en contenido en sus distintos niveles Definir el método de difusión y mantenimiento permanente Definir el método de premios y castigos Implementar la normativa Ejecutar los mecanismos de actualización Identificar el equipo responsable

26 Especializacion en Seguridad de la Información 2005 Módulo Funcional 03 Estructura Organizacional Identificación de los requerimientos de ISO Definición de Roles y Responsabilidades en la Compañía Asignación de Perfiles del personal para cada rol Responsabilidades con Terceros y Contratados

27 Especializacion en Seguridad de la Información 2005 Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO Seguridad de la Información

28 Especializacion en Seguridad de la Información Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

29 Especializacion en Seguridad de la Información 2005 Paso 2: cómo lo llevo a la práctica? Definición de Roles y Responsabilidades en la Compañía

30 Especializacion en Seguridad de la Información 2005 Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales / RRHH / AUD Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Roles y Responsabilidades en la Compañía

31 Especializacion en Seguridad de la Información 2005 MF 04: Clasificación de Información Marco Normativo ISO Metodología Práctica de Clasificación

32 Especializacion en Seguridad de la Información 2005 Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO Seguridad de la Información

33 Especializacion en Seguridad de la Información Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

34 Especializacion en Seguridad de la Información 2005 Paso 2: cómo lo llevo a la práctica? Metodología Práctica de Clasificación de Información

35 Especializacion en Seguridad de la Información 2005 Metodología Práctica de Clasificación de Información Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales / RRHH / AUD Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Identificar los Responsables de la Clasificación

36 Especializacion en Seguridad de la Información 2005 Etapas 1. Identificación de la información 2. Identificación de los principales riesgos 3. Clasificación de la información teniendo en cuenta los riesgos identificados 4. Difusión a los USUARIOS 5. Mantenimiento y Mejora Continua Metodología Práctica de Clasificación de Información

37 Especializacion en Seguridad de la Información 2005 MF 05: Aspectos humanos de la seguridad Marco Normativo ISO Metodología Práctica

38 Especializacion en Seguridad de la Información 2005 Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO Seguridad de la Información

39 Especializacion en Seguridad de la Información Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

40 Especializacion en Seguridad de la Información 2005 Paso 2: cómo lo llevo a la práctica? Principales procesos reelacionados con los Aspectos humanos de la seguridad Administración del Personal Manejo de Incidentes Proceso Disciplinario Concientización

41 Especializacion en Seguridad de la Información 2005 MF 06: Seguridad en los Procesos Internos del área de Sistemas. Seguridad Física y Ambiental.

42 Especializacion en Seguridad de la Información 2005 Paso 1: qué dicen las normas? Requerimiento de Normativas y Metodologías Internacionales

43 Especializacion en Seguridad de la Información 2005 Para los CONTROLES en los PROCESOS de TI se utilizan ambas fuentes de información: ISO Seguridad de la Información COBIT Audit Guidelines

44 Especializacion en Seguridad de la Información Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

45 Especializacion en Seguridad de la Información 2005 COBIT Control Objectives for Information and Related Technology ISACA Information Systems and Audit Control Association

46 Especializacion en Seguridad de la Información 2005 Metodologías aplicables COBIT AUDIT GUIDELINES: Son metodologías internacionalmente aceptados para la práctica de seguridad informática. Comprenden una serie de Objetivos de Control a cumplir en los distintos aspectos del gobierno de IT, dentro de los cuales se encuentran los temas específicos de Seguridad y Control: Planeamiento y organización Adquisición e implementación Entrega de servicios y soporte Monitoreo

47 Especializacion en Seguridad de la Información 2005 Paso 2: cómo lo llevo a la práctica? Principales procesos Identificación de Funciones y Responsabilidades Identificación de los Principales Procesos del área Definición de controles para cada proceso – ISO – COBIT - Normativa Interna Implementación, Plan de Monitoreo y Mejora Continua

48 Especializacion en Seguridad de la Información 2005 Cierre del Entrenamiento Facilidad en el USO vs mejor PROTECCION de la Información


Descargar ppt "Especializacion en Seguridad de la Información 2005 INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas."

Presentaciones similares


Anuncios Google