La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Proyecto Trabajo Práctico

Publicada porAmaranto Reyes Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Proyecto Trabajo Práctico"— Transcripción de la presentación:

1 Proyecto Trabajo Práctico
Diplomado en Seguridad Informática Proyecto Trabajo Práctico Desarrollo de la estrategia de seguridad de una organización Jesús Vázquez Gómez Este proyecto permite cubrir algunos de los aspectos de la estrategia de seguridad en un organización. Aunque no se pretende seguir un estándar o norma particular, se busca incluir aspectos fundamentales como el análisis de riesgos, políticas de seguridad, planes de contingencia y revisión de controles de seguridad. Este proyecto es un complemento de los temas que se cubrirán a lo largo del Diplomado, se desarrollará conforme se vayan cubriendo los temas. Para el éxito en el desarrollo del proyecto, es necesario que los participantes conozcan el alcance que se pretende lograr, así como llegar a un acuerdo en este alcance, con el fin de establecer las expectativas. Este acuerdo aparece en anexo al final de la presentación. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

2 Diplomado en Seguridad Informática
Contenido Objetivo Aspectos de la estrategia Panorama de los elementos de la estrategia Instrucciones de realización Entregables por fase Acuerdos Objetivo En esta sección se presentará el objetivo general del proyecto. Aspectos de la estrategia Se enumerarán los procesos o funciones fundamentales para administrar la seguridad informática de la organización. Panorama de los elementos de la estrategia Se realiza una breve presentación de los constituyentes de la estrategia Instrucciones de realización Entregables por fase Acuerdos Anexo que incluye los acuerdos y expectativas de los participantes. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

3 Diplomado en Seguridad Informática
Objetivo Capacitar al participante en el proceso de la gestión de la seguridad, mediante el desarrollo de una estrategia de seguridad de la información. Esta estrategia incluye el establecimiento de la misión de seguridad de la organización, así como la realización de un análisis de riesgos y la redacción de una serie de documentos (políticas), que den soporte a esta estrategia y que permiten precisar los mecanismos o controles necesarios para proteger a la organización. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

4 Definición de Estrategia
Diplomado en Seguridad Informática Definición de Estrategia Término utilizado para identificar las operaciones fundamentales tácticas que orientarán el proceso (administrativo) para alcanzar los objetivos a los que se desea llegar. Una estrategia muestra cómo una institución pretende llegar a esos objetivos. Constituye la ruta a seguir. Se presenta una definición del término estrategia para no causar confusiones en esta presentación. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

5 Diplomado en Seguridad Informática
Estrategia Objetivos de la organización (Misión y Misión de Seguridad de la información) Análisis de riesgos (Amenazas, Vulnerabilidades y riesgo) Definición de las políticas de seguridad Normatividad interna y externa Continuidad de Operación Auditoría (cumplimiento) Hacer de esta estrategia un proceso continuo Es importante mencionar que la estrategia propuesta, para los fines del proyecto, no necesariamente incluye todas las posibilidades que podemos encontrar en las mejores prácticas (por ejemplo los dominios de ISO 17799); sin embargo, se incluyeron los puntos fundamentales de las mejores prácticas. Aspectos dejados a un lado para los fines del proyecto son: Seguridad Física y Difusión de las políticas, por mencionar unos. Aunque se asignaron números secuenciales en la estrategia, hay aspectos en ella que pueden realizarse simultáneamente, como serían el análisis de riesgos y la determinación de las políticas y/o controles. Los números apoyan a la forma en que se irán cubriendo los temas a lo largo del diplomado. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

6 Panorama de los elementos de la estrategia
Diplomado en Seguridad Informática Panorama de los elementos de la estrategia En esta sección, se pretende dar un recorrido de los aspectos incluidos en la estrategia propuesta. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

7 Análisis de riesgos informáticos
Diplomado en Seguridad Informática Análisis de riesgos informáticos Es parte fundamental en la administración de la seguridad. Entre los beneficios que genera: Identifica los puntos más débiles de la infraestructura de TI que da soporte a los procesos críticos de la organización. Guía la selección de medidas de protección de costo adecuado (controles). Determina dónde es necesario contar con esquemas de recuperación de desastres y continuidad de negocio. Permite realizar políticas de seguridad mejor adaptadas a las necesidades de la organización. El análisis de riegos es una de las partes centrales de cualquier estrategia de seguridad. Se recomienda a los participantes aprovechar la presencia del instructor para completar satisfactoriamente las fases 2 y 3, que se detallan más adelante en esta presentación. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

8 Diplomado en Seguridad Informática
Documentos Misión organización Misión de seguridad Políticas de red Políticas de plataformas Políticas de aplicaciones Políticas de Usuarios Internet Administradores Escritorio Comerciales DMZ Prueba Custodios Propietarias Esta lámina es un ejemplo que permite reflexionar sobre el número de documentos que son necesarios para regular los diferentes aspectos de seguridad de la información en una organización. Así, se tienen políticas generales (en azul) que impactan a toda un área tecnológica, la políticas de temas específicos (en verde) que regulan el uso de tecnología en un área de especialidad y por último (en blanco) se tienen los procedimientos que regulan el uso, administración y configuraciones de tecnología específica (por ejemplo para un firewall, un sistema antivirus o un ruteador). A nivel de procedimientos se recomienda al menos contar con: Procedimiento de administración del mecanismo Procedimiento de configuración del mecanismo Procedimiento de contingencia Procedimiento de registro de bitácoras del mecanismo Red interna Producción Freeware Internos / externos Procedimientos 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

9 Diplomado en Seguridad Informática
Nivel de abstracción Misión Políticas Normas (internas, externas) Procedimientos Los niveles de abstracción mencionados en esta lámina, que van del nivel más alto que es la Misión al más bajo que se refiere a los Procedimientos, indican qué tanto deben incluirse precisiones tecnológicas en los documentos asociados a cada nivel en la pirámide. Es decir, el contenido de referencias tecnológicas al nivel de la Misión, debe ser mínimo o muy general, es decir, a ese nivel no podemos hablar de marcas de productos o de algoritmos de encripción específicos. Es recomendable que sólo se incluyan datos muy específicos sobre tecnología en el nivel de procedimientos. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

10 Diplomado en Seguridad Informática
Política de seguridad Documento que expresa el nivel de riesgo que una empresa está dispuesta a correr. Representa la filosofía de seguridad de la organización. Debe ser perdurable en el tiempo, breve, clara y con respaldo de la alta Dirección. Puede haber políticas a diferentes niveles (generales, de temas específicos y de sistemas específicos o procedimientos) 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

11 Diplomado en Seguridad Informática
Normas y estándares Son documentos que expresan los lineamientos generales que debe cumplir la tecnología para proteger la información (por ejemplo NOM 151, estándar DES, FIPS 201, etc.). Son independientes de la herramientas que se utilicen pero ayudan a determinar qué tecnología es aceptada. Si una norma o estándar le aplica a una organización, o a un país, debe considerarse que en el desarrollo de las políticas no se contradiga a esta norma o estándar. En este caso se dice que las normas o estándares son obligatorios. En el caso de nuestro proyecto sólo se considerará a la norma ISO como referencia de los objetivos de control que se desea incluir en nuestra estrategia. Por ello se requiere de esta norma para completar la fase 4 del proyecto. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

12 Diplomado en Seguridad Informática
Procedimientos Los procedimientos son instrucciones paso a paso de cómo se deben administrar, utilizar, recuperar en contingencia, los controles o mecanismos. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

13 Mecanismos y Controles
Diplomado en Seguridad Informática Mecanismos y Controles Son las herramientas tecnológicas que implantan los lineamientos expresados en las políticas y procedimientos. Deben tener una correspondencia las políticas, normas y procedimientos, de tal forma que no vayan en contra de los especificado. Son administrados por personal especializado. En ocasiones requieren de certificaciones para su correcta administración. Conforme se vayan cubriendo los temas de criptografía, seguridad en redes, seguridad en sistemas operativos, seguridad en aplicaciones, etc. Determinar cuáles de los mecanismos de seguridad presentados son los que convendrían para mitigar los riesgos resultantes de la fase 2 del proyecto. Aprovechar la presencia de los instructores de estos temas para determinar el mecanismo adecuado (No para que el instructor seleccione el mecanismo, sino para apoyar a los participantes en cómo determinar el que conviene, dándoles su opinión, aunque la decisión final del mecanismo a aplicar debe ser propuesta por los participantes). 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

14 Elementos a considerar al seleccionar los mecanismos y controles
Diplomado en Seguridad Informática Elementos a considerar al seleccionar los mecanismos y controles Redundancia. Continuidad. Actualización. Cultura. Confidencialidad. Integridad. Autentificación. Ética. Control de acceso. Clasificación de recursos. Separación de Funciones. Necesidad de saber. Monitoreo. Detección de intrusos. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

15 Normas y estándares (Cumplimiento)
Diplomado en Seguridad Informática Normas y estándares (Cumplimiento) 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

16 ISO – 17799 Código de la Práctica
Diplomado en Seguridad Informática ISO – Código de la Práctica Información de las Políticas de Seguridad Organización de la Seguridad Clasificación de Activos y su Control Control de Acceso Administración de Comunicaciones y de las Operaciones Desarrollo de Sistemas y su Mantenimiento Administración de la Continuidad del Negocio Seguridad del Personal Seguridad Física y Ambiental Cumplimiento 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

17 Preceptos básicos de modelos
Diplomado en Seguridad Informática Preceptos básicos de modelos Confidencialidad Separación de funciones Transacciones correctas (procedimientos de verificación de la integridad en las operaciones). Conflicto de intereses Saneamiento de la información Los modelos de seguridad identifican los aspectos fundamentales a considerar en la estrategia de seguridad, desarrollo de sistemas, dependiendo del entorno, por ejemplo los entornos comerciales, financieros o militares. Estos modelos se describirán en el diplomado y sus preceptos básicos de seguridad serán considerados al momento de implantar los controles y/o mecanismos que se deriven a partir del análisis de riesgos y de las políticas establecidas. Por ejemplo, en un ambiente de alta confidencialidad, es importante considerar el empleo de equipos que respeten la “Política Multinivel”, que será tratada más adelante en el curso, o, para el caso de requerirse integridad en las operaciones, se deben considerar aspectos de la “Política Comercial”, que también será tratada durante el diplomado. Esto reditúa un valor agregado en el entendido de que el participante incluirá aspectos de seguridad específicos, tanto en el desarrollo de su políticas, como en la elección de mecanismos que implantan la protección de la información. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

18 Instrucciones de realización
Diplomado en Seguridad Informática Instrucciones de realización 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

19 Procedimiento general
Diplomado en Seguridad Informática Procedimiento general Determinar una misión de la organización que haya seleccionado su equipo, y a partir de ella especifique una misión de seguridad. Para su análisis de riesgos, determinar los procesos de misión crítica que hacen uso de TI. Qué sistemas, servicios soportan a estos procesos. Bajar el último reporte del CSI/FBI y junto con su propia experiencia, establecer cuáles de los activos de la organización son los más afectados y a los que dedicaremos un presupuesto de $250, USD. Anual (ref En base a lo anterior determinar 1 política general para cada rubro general basándonos en la lámina intitulada “documentos”. Conforme avance el curso, ir seleccionando mecanismos (controles) que permitan cumplir con las políticas generales y definir sus procedimientos (sin perder el enfoque de los niveles de abstracción). Consulte al instructor respecto a los mecanismos que convendría emplear para la organización que su equipo seleccionó. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

20 Procedimiento general
Diplomado en Seguridad Informática Procedimiento general Determinar procedimientos que permitan comprobar la efectividad de los controles (auditoría). Conforme avance el curso, realizar una comparación contra los dominios de ISO-17799, para identificar qué falta para cumplir con dicho estándar. NOTA: Esta metodología es suficiente para proveer con un esquema de seguridad informática razonable para un curso (y para la mayoría de las organizaciones que están iniciando la seguridad); sin embargo, para certificaciones y cumplimiento de auditorias de seguridad, se requeriría un desglose más específico, cubriendo cuestiones de seguridad Física, aspectos legales e incluso pruebas de correspondencia con las políticas generales y con la misión. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

21 Organizaciones propuestas
Diplomado en Seguridad Informática Organizaciones propuestas Financiera (Casa de Bolsa) Consultora de seguridad Gobierno (Elecciones nacionales por red) Servicios al consumidor Pequeña empresa de artesanos Protección a testigos 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

22 Características comunes
Diplomado en Seguridad Informática Características comunes Uso de Internet para operación y servicio al cliente Alcance en México y EU Se supone que se cuenta con 250, dólares de presupuesto en empresas grandes y 250, pesos en empresas pequeñas. Todas las empresas cuentan ya con Firewall de frontera y Antivirus en PCs. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

23 Formato para entrega de Políticas
Diplomado en Seguridad Informática Formato para entrega de Políticas Nombre de la política y nivel: Política general, Norma, Procedimiento, Configuración Objetivo Sujetos (responsables) Contenido de la política Sanción Glosario Fecha en que entra en vigencia Fecha de Revisión Este formato se empleará para el desarrollo de los documentos de políticas y procedimientos solicitados en las fases 2, 3 y 4. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

24 Diplomado en Seguridad Informática
Entregables por fase 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

25 Diplomado en Seguridad Informática
Entregables Fase 1 Establecer la Misión de la Organización Determinar los procesos críticos (3) de la Organización Establecer la Misión de Seguridad de la Organización Establecer las Políticas Generales (4) Entregar una semana antes de nuestro siguiente encuentro al final del módulo 2 Se debe establecer la Misión de la Organización seleccionada por cada equipo. Puede ayudar que primero se determinen 3 procesos de TI fundamentales en la operación de la organización seleccionada, lo cual guiará en la definición de la misión. Pensando en proteger estos procesos críticos de TI, se puede plantear una misión de seguridad orientada a proteger la información que estos manejan. Esta Misión sería el objetivo principal de la seguridad de la información en la organización. Apoyándose de la lámina intitulada “documentos”, se establecerán 4 políticas generales, una para la parte de redes, otra para plataformas, otra de usuarios y una más de aplicaciones. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

26 Diplomado en Seguridad Informática
Entregables Fase 2 Identificar las amenazas y vulnerabilidades que pesan sobre la infraestructura de redes de la organización Realizar un análisis de riesgos para la infraestructura de redes. Entregar una semana antes de la próxima sesión de seguimiento al final del módulo 3 Aplicar los conocimientos adquiridos en análisis de riesgos. Para determinar las amenazas y vulnerabilidades que pesan sobre la tecnología puede emplearse como apoyo los documentos siguientes: Reporte del CSI/FBI ( Reporte del CERT de Australia ( Estos documentos pueden ser útiles también para conocer el tipo de mecanismos de protección que se emplean actualmente. Asimismo en el reporte australiano se mencionan los tipos de políticas y estándares más empleados. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

27 Diplomado en Seguridad Informática
Entregables Fase 3 Proponer mecanismos (2) de seguridad para minimizar el riesgo estimado en la fase anterior, tomando en cuenta el impacto a la organización y el presupuesto asignado. Para cada uno de los mecanismos seleccionados, establecer los procedimientos siguientes: Procedimiento de administración del mecansimo Procedimiento de configuración del mecanismo Procedimiento de contingencia Procedimiento de registro de bitácoras del mecanismo Entregar una semana antes de la próxima sesión de seguimiento al final del módulo 4 Apoyarse en los reporte mencionados en las notas de la fase 2. Utilizar el formato propuesto en la lámina 23. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

28 Diplomado en Seguridad Informática
Entregables Fase 4 Para cada uno de los mecanismos descritos en la fase anterior, establecer los procedimientos de control siguientes: Medición de la efectividad del control Cumplimiento Definir al menos dos esquemas contractuales que faciliten el proceso de seguimiento de un acto indebido en los sistemas de la organización. Comprobar que los controles de seguridad establecidos pueden facilitar el seguimiento legal de un mal uso (fraude) por un usuario o administrador de los sistemas de la organización (qué puede ser una evidencia electrónica?). Entregar una semana antes de la próxima sesión de seguimiento al final del módulo 5 En esta fase, los equipos deben pensar que cambian de role. Ahora no son el personal preocupado por proteger la información de la Organización, ahora adoptan el role de los que deben verificar que realmente los mecanismos elegidos son los adecuados para la organización. No se realizará una prueba de los mecanismos en sí, más bien se definirán los procedimientos que permitan medir la efectividad de los mecanismos . Asimismo, se comparará el mecanismo a ser evaluado, contra ISO Por ejemplo, si el mecanismo es un Firewall, se revisará en el dominio de Control de Acceso si nuestro mecanismo incluye los objetivos de control del estándar, en caso de no cumplir, determinar qué haría falta. Por otra parte definir dos controles administrativos “contractuales” que, por ejemplo permitan al personal de seguridad de la información, revisar el contenido de información en una PC asignada a un usuario. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

29 ¿Qué no incluye el proyecto?
Diplomado en Seguridad Informática ¿Qué no incluye el proyecto? Resolver el problema de la estrategia de seguridad de una empresa en particular a la que pertenecen los participantes (se estarán manejando casos ficticios, que aunque se parecieran a la realidad, no se cuenta con el entorno real como puede ser: el grupo de desarrollo de la estrategia, el conocimiento de la empresa, el conocimiento de la infraestructura de TI y de seguridad de la empresa). Si fuese un diplomado dedicado a una sola empresa, el proyecto sí podría enfocarse a resolver problemas reales de esta empresa. Evaluar la configuración de algún mecanismo de seguridad particular a una empresa, en el entendido que no se cuenta con el tiempo y recursos para llegar al grado de detalle de las configuraciones para n mecanismos. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

30 ¿Qué sí incluye el proyecto?
Diplomado en Seguridad Informática ¿Qué sí incluye el proyecto? Un esquema para poder llevar a cabo el proceso de gestión de una estrategia de seguridad de una organización. 2007 Generación 6 Diplomado de Seguridad Informática Fundamentos, Políticas y Procedimientos

Descargar ppt "Proyecto Trabajo Práctico"

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
Gestión de Recursos Informáticos Unidad Nº 3: Gestión de calidad y eficiencia.

Gestión de Recursos Informáticos Unidad Nº 3: Gestión de calidad y eficiencia.
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Republica Bolivariana de Venezuela U.G.M.A 7mo semestre Ing. Sistema

Republica Bolivariana de Venezuela U.G.M.A 7mo semestre Ing. Sistema
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Módulo 13 Procesos de Verificación de la Implementación del SAA.

Módulo 13 Procesos de Verificación de la Implementación del SAA.
AUDITORIA FINANCIERA FREDIS JOSE ARRIETA BARROSO UNIVERDSIDAD DE CORDOBA UNIDAD DE APRENDIZAJE II 2008.

AUDITORIA FINANCIERA FREDIS JOSE ARRIETA BARROSO UNIVERDSIDAD DE CORDOBA UNIDAD DE APRENDIZAJE II 2008.
MESA 3 Evaluación, seguimiento y mejora, auditorias internas y Revisión por la dirección Requisitos 4.4.1- 4.4.2- 4.4.3 - 4.4.4 P1-01-07.

MESA 3 Evaluación, seguimiento y mejora, auditorias internas y Revisión por la dirección Requisitos P
GESTION NIVELES DE SERVICIO.

GESTION NIVELES DE SERVICIO.
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.

Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
AREA DE SEGURIDAD DE LA INFORMACION

AREA DE SEGURIDAD DE LA INFORMACION
E structuración del P lan de A cción como aporte a la reducción del impacto del cambio climático por medio de la participación de las empresas de servicios.

E structuración del P lan de A cción como aporte a la reducción del impacto del cambio climático por medio de la participación de las empresas de servicios.

Presentaciones similares

Anuncios Google