La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ESCUELA POLITECNICA DEL EJERCITO

Publicada porGuillermo Alire Modificado hace 9 años

Presentaciones similares

Presentación del tema: "ESCUELA POLITECNICA DEL EJERCITO"— Transcripción de la presentación:

1 ESCUELA POLITECNICA DEL EJERCITO
“EVALUACIÓN TÉCNICA DE LA SEGURIDAD INFORMÁTICA DEL DATA CENTER DE LA BRIGADA DE FUERZAS ESPECIALES NO. 9 PATRIA” MONSERRATH VITERI

2 ANTECEDENTES La Brigada De Fuerzas Especiales No. 9 Patria es un ente que pertenece al estado, cuya finalidad esencial es formar militares de excelencia para salvaguardar al país. La brigada de fuerzas No. 9 “Patria ”, se encuentra ubicada en la provincia del Cotopaxi, actualmente los sistemas que se utilizan se encuentran centralizados en la comandancia, el área tecnológica esta encargada de dar servicios de Soporte a nivel de hardware y software, realizar respaldos de Información y administrar permisos de usuarios.

3 ANTECEDENTES La brigada de Fuerzas Especiales BI-9 ¨Patria¨, para brindar un servicio Informático eficiente y administrar los recursos tecnológicos posee un datacenter el mismo que cuenta con las normas básicas de seguridad informática.

4 AGENDA Conceptos de Seguridad Informática Norma ISO 27000
Análisis ISO vs 27002 Plan de Investigación de Campo. Metodología utilizada en la Evaluación (MAGERIT) Aplicación de la Evaluación Técnica de la Seguridad Informática (PILAR). Informe Ejecutivo y Detallado de la Evaluación Conclusiones Recomendaciones

5 RESUMEN Se utilizo las Normas ISO para gestionar la seguridad Informática. Las Normas ISO y fue utilizada para determinar si existía integridad, confidencialidad y disponibilidad de la información dentro de la Brigada de Fuerzas Especiales No.9 ¨Patria¨. Se aplicó la metodología MAGERIT para analizar y gestionar los riesgos. Simultáneamente se utilizó la herramienta PILAR para controlar y mitigar los riesgos.

6 INTRODUCCIÓN Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utilizó el ciclo de mejora continua PDCA. ISO/IEC 27002: Es Código de buenas prácticas para la gestión de Seguridad de la Información.

7 JUSTIFICACIÓN La Brigada de Fuerzas Especiales No.9 “Patria”, se encuentra sometida a peligros naturales así como también ocasionados por el hombre, los mismos que puede provocar daños a las instalaciones y por ende a la información.

8 OBJETIVO GENERAL Realizar una Evaluación Técnica Informática de las seguridades del Data Center de la Brigada Patria en Latacunga, teniendo como marco de trabajo los estandares ISO e ISO

9 OBJETIVOS ESPECIFICOS
Desarrollar el plan de trabajo que será ejecutado en la Institución. Determinar los recursos de TI, la infraestructura de la Institución y el periodo que comprende el proyecto. Definir actividades y cargos del personal tecnológico de la Brigada. Elaborar el plan de investigación de campo. Elaborar y aplicar los instrumentos de investigación de campo. Elaborar la matriz de riesgo informático de las seguridades del Data Center.

10 OBJETIVOS ESPECIFICOS
Procesar los datos obtenidos en la investigación. Elaborar los informes ejecutivo y detallado.

11 ALCANCE Realizar la Evaluación Técnica de la Seguridad Informática de la Brigada de Fuerzas Especiales BI- 9 ¨Patria¨. Se utilizara las Normas ISO 27000, y para verificar el cumplimiento del SGSI. La recopilación de la información se utilizó el plan de investigación de campo. Para obtener los activos de riesgo se aplicó la metodología MAGERIT y posteriormente se empleo la herramienta PILAR, la misma que proporciono las Matrices de Riesgo e Impacto Acumulado.

12 ALCANCE Finalmente, con los resultados obtenidos durante el estudio de la seguridad informática, se procede a diseñar un programa de mejora continua con un plan de Seguridad Informática.

13 Conceptos De Auditoria
Amenaza Vulnerabilidad Control Riesgo Disponibilidad Integridad Confidencialidad Autenticidad

14 Seguridad Infórmatica
Protección de la Información contenida en los sistemas e instalaciones

15 Auditoria Informática
Protección de activos e integridad de datos. Gestiona la eficacia y eficiencia.

16 ISO 27000 La familia ISO son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), para una gama de normas de gestión de la seguridad de la información . Contiene y garantiza las mejores prácticas recomendadas en Seguridad de la información.

17 Norma ISO 27000 Garantiza la seguridad de la Información Proporcionan un marco de gestión de la seguridad de la información.

18 ISO 27001 Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información Tiene en cuenta requerimientos legales, de negocio y contractuales Se alinea el contexto estrategico de gestión del riesgo de la  Es la única norma certificable

19 ISO 27002 Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. 36 objetivos de control y 127 controles.

20 Elementos de Evaluación
Organización Del Centro De Cómputo Manejo De La Información Seguridad Física Seguridad Lógica Respaldos Equipo De Soporte Recursos Humanos Financiero Redes

21 MAGERIT MAGERIT es el acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas" Es un método formal para investigar los riesgos que soportan los Sistemas de Información  y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

22 MAGERIT Se trata de una metodología para conocer el riesgo al que esta sometido una información y como de seguro (o inseguro) está.

23 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
“EL MÉTODO” (LIBRO I) “EL CATALOGO DE ELEMENTOS” (LIBRO II) “LA GUÍA DE TÉCNICAS” (LIBRO III)

24 “EL MÉTODO” (LIBRO I) Describe los pasos y las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, y proporciona una serie de aspectos prácticos.

25 “EL CATALOGO DE ELEMENTOS” (LIBRO II)
Contiene los ítems se estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.

26 “LA GUÍA DE TÉCNICAS” (LIBRO III)
Aporta conocimiento adicional y guías sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos.

27 Valor de Activos Valor Criterio 10 Muy alto
Daño muy grave a la organización 7 – 9 Alto Daño grave a la organización 4 – 6 Medio Daño importante a la organización 1 – 3 Bajo Daño menor a la organización Despreciable Irrelevante a efectos prácticos

28 Matriz de Impacto Acumulado
Herramienta Pilar Matriz de Impacto Acumulado

29 Matriz de Riesgo Acumulado
Herramienta Pilar Matriz de Riesgo Acumulado

30 Hallazgos Caída del sistema por agotamiento de recursos
Suplantación de la identidad del usuario Denegación de servicio Fuego Daños por agua Desastres naturales Avería de origen físico o lógico Corte del suministro eléctrico Condiciones inadecuadas de temperatura o humedad Abuso de privilegios de acceso Acceso no autorizado Manipulación del hardware Ataque destructive

31 Procesos Críticos La Matriz de riesgos Acumulados muestra los activos con su respectivo riesgo, en cada dimensión de la seguridad como lo son: Disponibilidad, Integridad, Confidencialidad, Autenticidad y trazabilidad.

32 CONCLUSIONES DE LA TESIS
La metodología MAGERIT y su herramienta PILAR, ayudan a realizar el análisis de riesgos de tecnologías de información de cualquier institución pública o privada.  Las normas ISO permitieron conocer de manera general como se encuentra actualmente la seguridad informática del Centro de datos de la Brigada No. 9 “Patria”.

33 CONCLUSIONES DE LA TESIS
La seguridad informática permite proteger la infraestructura computacional incluyendo la información que esta contiene, por lo que debe ser implantado con normas internacionales de TI.  

34 CONCLUSIONES DE LA EVALUACIÓN TECNICA
Disponen de normas, procedimientos y controles de la seguridad que en su mayoría están desactualizados No existen programas o capacitaciones frecuentes de seguridad No se ha realizado la clasificación de la información de acuerdo a la criticidad

35 RECOMENDACIONES DE LA TESIS
Se recomienda utilizar la metodología MAGERIT para analizar los riesgos dentro de cualquier Institución privada o pública que tengan activos tangibles e intangibles, integrando el software PILAR para trabajar con los parámetros de riesgos que sugiere la herramienta como activos, amenazas y salvaguardas. 

36 RECOMENDACIONES DE LA TESIS
Se recomienda manejar las medidas de seguridad para que las salvaguardas ayuden a disminuir el riesgo y sean transparentes a los usuarios. Implementar un manual de procedimientos en caso de que los riesgos se materialicen para poder tratarlos sin que se vea afectados los activos de la Institución.

37 Registrar y documentar los procesos, las actividades y las tareas del personal encargado del centro de datos, para de esta manera tener un control que ayude a mitigar riesgos de TI futuros.

38 RECOMENDACIONES DE LA EVALUACIÓN
El encargado del Centro de datos debe verificar que se actualicen de manera periódica las políticas de seguridad Implementar o contratar cursos, par que los conocimientos adquiridos sean puestos en práctica. Designar de manera formal al personal encargado del Datacenter, para que se haga responsable de cada activo.

Descargar ppt "ESCUELA POLITECNICA DEL EJERCITO"

Presentaciones similares

T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)

T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)
Seguridad Informática

Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Pablo Antonio Palacios Medinacelli

Pablo Antonio Palacios Medinacelli
Nombre: Claudia Grandi Bustillos

Nombre: Claudia Grandi Bustillos
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO
Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López

Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Sistema de Gestión de la Calidad

Sistema de Gestión de la Calidad
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
Evaluación de Productos

Evaluación de Productos
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
AUTORES: ING. MAURICIO BALDEÓN ING. CHRISTIAN CORONEL

AUTORES: ING. MAURICIO BALDEÓN ING. CHRISTIAN CORONEL
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Sistemas de Gestión de Seguridad de la Información

Sistemas de Gestión de Seguridad de la Información
AUDITORÍA DE SISTEMAS UNIDAD 2.

AUDITORÍA DE SISTEMAS UNIDAD 2.
Presentación de la Norma Técnica de Seguridad de la Información

Presentación de la Norma Técnica de Seguridad de la Información

Presentaciones similares

Anuncios Google