La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CONTENIDO Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Introducción Aplicación de los Métodos Análisis de Riesgos Checklist Auditoria.

Presentaciones similares


Presentación del tema: "CONTENIDO Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Introducción Aplicación de los Métodos Análisis de Riesgos Checklist Auditoria."— Transcripción de la presentación:

1

2 CONTENIDO Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Introducción Aplicación de los Métodos Análisis de Riesgos Checklist Auditoria Conclusiones

3 INTRODUCCION Las empresas tienen la cultura de seguridad informática? Todas las metodologías de evaluación de seguridad llegan a un punto donde se preguntan. Cómo valorar el impacto que causaría a un sistema la consecución de una amenaza? En áreas donde las pérdidas esperadas y la frecuencia de las amenazas pueden definirse en términos cualitativos o cuantitativos, el análisis de riesgos puede ser empleado. Requerimientos de seguridad adicionales pueden ser determinados con otros métodos, por ejemplo la auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

4 APLICACIÓN DE LOS METODOS Cuándo aplicar un método? Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Análisis Riesgos AuditoriaChecklist

5 PROS/CONTRAS Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Cultura del riesgo Expresa en mejores términos las pérdidas al ocurrir un evento desfavorable. Metodología cuantitativa Valoraciones son objetivas. Valor de la información en términos monetarios. Presupuesto destinado a la seguridad del sistema esta basado en análisis confiables y bien sustentados. resistencia a su aplicación proceso que requiere tiempo y de información disponible. Proceso costoso. Metodología cuantitativa Requiere ayuda de herramientas Requieren una cantidad sustancial de información. No existe un estándar sobre amenazas y sus frecuencias.

6 PROS/CONTRAS Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Metodología cualitativa No es necesario contar con datos estadísticos Checklist Existen en forma abundante y libre. Fácil de aplicar, resumir y comparar. Flexibles Su análisis es rápido. Se pueden aplicar medidas correctivas de inmediato Metodología cualitativa Valoración es esencialmente subjetiva. La percepción de valores puede no reflejar realmente el actual valor del riesgo. Checklist Arbitrario y subjetivo Necesitan actualizarse constantemente. Pueden no tratar necesidades de un sistema particular.

7 PROS/CONTRAS Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Auditoría Propicia el mejoramiento de procedimientos en el sistema. Reduce errores organizacionales Promueve la aplicación de las políticas y estándares de seguridad. Descubre nuevas amenazas al sistema. (Retroalimenta el análisis de riesgos) Auditoría Aptitud negativa de los encargados de las partes auditadas. Requiere tiempo y esfuerzo. Requiere tener pistas de auditoria

8 ANALISIS DE RIESGOS Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Qué podría ocurrir? Sí ocurre, cuánto daño podría causar? Qué tan a menudo podría ocurrir? Qué puede ser hecho? Cuál es el costo de la medida? Es la medida efectiva?

9 ANALISIS DE RIESGOS (Cont.) Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Etapas del análisis de riesgos: Planeación del análisis de riesgos Identificación de amenazas y vulnerabilidades Valoración del impacto y frecuencia de ocurrencia de las amenazas Cálculo del riesgo Tratamiento del riesgo

10 ANALISIS DE RIESGOS (Cont.) Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes RecursoAmenazaVulnerabilidades Recurso 1 Amenaza 1 Vulnerabilidad 1 Vulnerabilidad 2... Amenaza 2 Vulnerabilidad 1 Vulnerabilidad 2... Recurso 2Amenaza 1 Vulnerabilidad 1 Vulnerabilidad 2... Integridad Datos Confiden- cialidad Disponibilidad Modificac.Destrucción2hrs24hrs72hr Recurso Amen. 1i f Amen. 2i f

11 ANALISIS DE RIESGOS (Cont.) Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Posibilidad de ocurrencia Impacto AltaMediaBaja Alta AAM Media A M M Baja B B B El proceso final es la mitigación del riesgo, en caso de que la acción sea eliminar o reducir el riesgo.

12 CHECKLIST Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Consiste en revisar si existen controles: Administrativos Operativos Técnicos Se verifica que se cumplan los principios de seguridad generalmente aceptados GSSPs. Se pueden aplicar listas de chequeo técnicas a partes del sistema en particular por ej: sistemas operativos.

13 CHECKLIST (Cont.) Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes A, B... corresponde a cada uno de los controles técnicos I, P,V, N,X estado en el que se encuentran cada uno de los controles para cada recurso del sistema. ABCDEF R1INPPNN

14 AUDIT Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes La auditoria examina si el sistema esta cumpliendo con los controles y políticas de seguridad que previamente se definieron. Se toma documentación existente en cuanto a: políticas, análisis de riesgos, descripción de procesos, lista de controles.La ausencia de algún documento amerita la recomendación de la realización del mismo.

15 AUDIT (Cont.) Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Establecimiento de Logs Intento de logearse, Identidad, Fecha, Tiempo de cada intento de entrada, Fecha y tiempo de salida, Dispositivos usados, Las funciones ejecutadas Aplicación del control de Logs Definición e implantación Revisión Control de acceso Reconstrucción de eventos Detección de intrusos

16 CONCLUSIONES Los encargados de seguridad sólo miran un mecanismo de evaluación sin aplicar los demás. Realización de matrices para determinar los elementos del riesgo en forma cualitativa de alto, medio, o bajo. En Colombia no se cuenta con registros a cerca de incidentes de seguridad, es importante empezar a establecer esta base de información. Es importante verificar la aplicación de estándares y políticas de seguridad mediante checklist y auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

17 CONCLUSIONES El análisis de riesgos no debe limitarse a realizarse una sola vez, está inmerso en un ciclo de vida que requiere retroalimentación. Es recomendable aplicar controles de seguridad, no por intuición, sino aplicar aquellos que se recomienden resultado de una exhaustiva evaluación de seguridad. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes


Descargar ppt "CONTENIDO Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes Introducción Aplicación de los Métodos Análisis de Riesgos Checklist Auditoria."

Presentaciones similares


Anuncios Google