La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Segunda Jornada Nacional de Seguridad Informática ACIS 2002 Modelos de Seguridad Informática Modelo de Protección Iván Ernesto Guerra Matiz.

Presentaciones similares


Presentación del tema: "Segunda Jornada Nacional de Seguridad Informática ACIS 2002 Modelos de Seguridad Informática Modelo de Protección Iván Ernesto Guerra Matiz."— Transcripción de la presentación:

1 Segunda Jornada Nacional de Seguridad Informática ACIS 2002 Modelos de Seguridad Informática Modelo de Protección Iván Ernesto Guerra Matiz

2 Un Modelo Institucional de protección de la información debe direccionar los riesgos a que está expuesta la información y...

3 y estar alineado con los objetivos del negocio

4 Nadie es inmune a las brechas de Seguridad

5 Mientras que el Vandalismo a sitios WEB ha alcanzado mucha visibilidad, la real amenaza es más incisiva y está oculta

6 La Seguridad de la Información pasó a ser una de las principales prioridades del negocio después de Septiembre 11

7 La evolución de los negocios electrónicos conlleva mayores requerimientos de seguridad, privacidad y confianza

8 El adoptar uno o más códigos de práctica como medio para definir, desarrolar y mantener un Modelo de Protección de la Información es vital para cumplir con los objetivos del negocio

9 Los Beneficios van desde una protección uniforme de la Información hasta monetarios y de imagen Ahorros en Pólizas. Menores provisiones por riesgos operativos. Obtener la confianza de los clientes. Protección de la información punto a punto. Diferenciador. Prevenir el Fraude

10 Una estructura de trabajo para la seguridad debe ser establecida para asegurar que todos los componentes se integren Principios de Seguridad: Proposición de valor requerida por el negocio para la ejecución de la seguridad. Política de Seguridad :Proposición de alto nivel de objetivos, fines, creencias, ética y responsabilidades. Estándar de Seguridad: Conjunto de reglas para implantar la Política. Los estándares hacen mención específica de tecnologías, metodologías, procedimientos de implantación, y otros factores detallados. Procesos de Seguridad:Actividades y tareas típicamente realizadas a través de varias organizaciones para implantar las políticas y estándares. Procedimientos de Seguridad : Pasos operacionales específicos que las personas deben ejecutar par alcanzar los objetivos establecidos en las políticas. Arquitectura de Seguridad: Detalles de cómo la tecnología se interrelaciona y se junta. Productos de Seguridad: Herramientas ofrecidas por la organización de Seguridad.

11 En la actualidad se reconocen en el mercado varios códigos de práctica, que apoyan la definición, desarrollo, implantación y mantenimiento de los modelos de seguridad de la información Conjunto de mejores prácticas reconocidas por un Universo Se basan en una Confianza. Tienen un alcance –Evaluación de Riesgo. –Modelo de Seguridad. –Arquitectura de Seguridad –Desarrollos. Ejemplos –ISO –COBIT 3ra Edición –ISO –Common Criteria ISO 15408

12 ISO/IEC BS áreas de seguridad Última versión 1999

13 ISO 17799: 10 áreas de Seguridad Una Política en Seguridad de la Información es requerida para proveer una directriz Gerencial y soporte para seguridad en la información. Una organización de seguridad debe ser establecida para iniciar y controlar la implantación de la seguridad de la información dentro de la empresa. El Control y Clasificación de los activos debe ser establecido, para mantener una protección adecuada de los activos de la compañía. Los activos de información más importantes deben ser identificados y asignados a un dueño. Un proceso de seguridad en el personal de la compañía debe existir para reducir el riego de errores humanos, robo, fraude, o mal uso de las facilidades. Seguridad debe direccionada en la fase de contratación, incluido en las funciones y contratos, y monitoreado durante su permanencia dentro de la institución. Seguridad física y ambiental debe ser establecida para prevenir acceso no autorizado, daño o interferencia a las premisas de la compañía, servicios de tecnología de la información, u otros activos. Facilidades de tecnología de la información que soportan actividades sensitivas o críticas del negocio deben ser físicamente protegidas de amenazas en seguridad y peligros ambientales

14 ISO 17799: 10 áreas de Seguridad Manejo de la Operación y de las comunicaciones deben asegurar la correcta y segura operación de las facilidades de cómputo y de las redes. Responsabilidades y procedimientos para el manejo de la operación de todos los computadores y redes deben estar claramente definidos. Control de acceso a los sistemas debe existir para restringir el acceso a los sistemas e información a las personas autorizadas por la gerencia y para propósitos válidos del negocio, únicamente. Procesos para el mantenimiento y desarrollo deben asegurar que los sistemas de tecnología de la información son desarrollados de una manera segura y su mantenimiento es llevado a cabo con el riesgo mínimo a la integridad y seguridad del sistema. Requerimientos de seguridad deben ser identificados y acordados previo desarrollo de los sistemas de tecnología de la información.

15 ISO 17799: Desarrollo de Aplicaciones

16 ISO 17799: 10 áreas de Seguridad Planeamiento de la continuidad del negocio debe ser establecido para asegurar que los planes están en su lugar para contrarrestar interrupciones a las actividades del negocio - Por ejemplo procesos críticos del negocio deben ser protegidos de los efectos de mayores desastres y fallas. Procesos de cumplimiento con la seguridad deben ser establecidos para asegurar que el diseño, operación y uso de los sistemas de tecnología cumple con los requerimientos de seguridad contractuales y establecidos en los estatutos de la compañía. Para asegurar cumplimiento con los procedimientos y políticas de seguridad definidos dentro de la compañía, todos los aspectos de seguridad - físicos y lógicos - deben ser revisados en bases regulares.

17 ISO (X.800): Arquitectura de Seguridad

18 Los Códigos de Práctica apoyan aspectos para el desarrollo de un modelo de protección

19 Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo de protección acorde con lo establecido por el negocio

20 Las instituciones deben comenzar por identificar sus riesgos, los requerimientos legales y los institucionales, para sí establecer los requerimientos de seguridad de la Empresa

21 Desarrolar el Modelo de Protección con base en procesos (subprocesos de Seguridad) e iniciar una implantación focalizada en los estratégicos

22 Iniciando por las plataformas estratégicas de apoyo al negocio

23 Definiendo, recolectando y procesando medidas obtenibles de calidad para los procesos de seguridad, tomando acciones cuando sean requeridas


Descargar ppt "Segunda Jornada Nacional de Seguridad Informática ACIS 2002 Modelos de Seguridad Informática Modelo de Protección Iván Ernesto Guerra Matiz."

Presentaciones similares


Anuncios Google