Descargar la presentación
La descarga está en progreso. Por favor, espere
Publicada porMiguel Aday Modificado hace 9 años
1
Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
2
Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad. 2Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
3
Expresión visión Metas Expectativas Objetivos 3Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
4
Gestión Ética ( Governance: Honesty & Integrity -Ethics) Manejo de Riesgos ( Risk Management ) Cumplimiento ( Compliance ) Estabilidad de operaciones (Business Resilience) Madurez colectiva (Awareness & Training) Fiscalización (Monitoring) Divulgación y ajuste (Reporting, feedback & adjusting) 4Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
5
Gestión ética (Governance) : – Visión – Código de Ética organizacional – Políticas – Estándares y Guías (Best Practices) – Procedimientos Roles y responsabilidades: ◦ Segregación de funciones ◦ Responsabilidad (Accountability) ◦ Métricas de cumplimiento Compromiso con enfoque de continuidad (Business resilience) Planificación del proceso 5Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
6
Manejo de riesgo: ◦ Identificación de riesgos y Gap Analisys ◦ Metodologías y estándares: NIST SP 800-12, 14, 18, 26, 30, 37 Octave CobIT & ValIT COSO ISO 17799:2002 & ITIL OCEG Red Book RFC 2196 Site Security Handbook PCI & VISA Cardholder InfoSec Program ◦ Controles y métricas: Preventivos Mitigación Correctivos ◦ Avalúo de controles 6Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
7
Avalúo regulatorio ( Legal Assessment): ◦ Identificación del entorno regulatorio aplicable ◦ Estimación de impacto organizacional ◦ Integración y contacto con asesores legales externos Cumplimiento con regulaciones (Compliance ) : ◦ Tecnológicas (IT Regulatory Compliance) ◦ Operacionales (Non – IT Regulations) ◦ De la industria o negocio (Industry related regulations) Gestión de incidentes: ◦ Manejo de evidencia electrónica ◦ Computación forense ◦ Integración y contacto con agencias del orden público 7Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
8
Estabilidad y confiabilidad (Business resilience) : ◦ Continuidad de operaciones ( Business Continuity Plan) ◦ Recuperación frente a desastres (Disaster Recovery Plan) ◦ Confiabilidad en permanencia (Business Resilience) Madurez colectiva organizacional: ◦ Plan de concienciación (Awareness & Training Plan) ◦ Lealtad y compromiso del personal (Employee Adherence) ◦ Responsabilidad personal (Non-Compliance consequences) ◦ Métricas de cumplimiento 8Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
9
Avalúo de sistemas : ◦ Configuración de sistemas y servicios ◦ Pruebas de sistemas y de TI’s ◦ Autenticación y controles de acceso ◦ Análisis de vulnerabilidades ( Vulnerability Assessment) ◦ Administración de seguridad de la Red ( Network Security Administration) Respuesta a incidentes (Risk and Emergency Response): ◦ Comité de Emergencias ◦ Procedimientos: detección, respuesta, recuperación y corrección ◦ Comunicación y colaboración 9Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
10
Fiscalización de cumplimiento (Monitoring): – Sistémico Systemic monitoring – Periódico mediante: Auditorías internas Auditoriás externas Auditorías por agencia(s) reguladoras Divulgación y ajuste (Reporting, feedback & adjusting): Divulgación de hallazgos (Disclosure) Mitigación efectiva (Remediation & Due Dilligence) Actualización y ajustes (Plan modification & update) 10Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
11
Redifinición de Prácticas Modificación de Roles Integración de tecnologías 11Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
12
Políticas Procedimientos Guías o prácticas generalmente aceptadas Manuales Controles 12Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
13
Fisica & Lógica Uso aceptable de la(s) tecnología(s): ◦ Estaciones de trabajo ◦ Navegación ◦ Servidores y servicios en red ◦ Laptops-Netbooks ◦ Telefonía integral ◦ Unidades de almacenamiento móviles (Pen/Jump drives) Herramientas de comunicación: ◦ Correo electrónico ◦ Mensajería instantánea & Chat ◦ Sedes virtuales de socialización ◦ Servicios de conexión (P2P) y transferencia de archivos ◦ Servicios de transmisión de voz & vídeo Acceso local y remoto a servicios ◦ Autenticación ◦ Copias de resguardo Auditoría (monitoring) de la seguridad 13Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
14
Flujo de información (entre & dentro) procesos: ◦ Seguridad de los depósitos transitorios y permanentes ◦ Controles y protección mientras navega dentro de la organización ◦ Controles y protección cuando sale del perímetro Integridad de la información: ◦ Disponibilidad (a tiempo, precisa, completa, actualizada) ◦ Certeza de su veracidad e integridad (no adulterada accidental o intencionalmente) ◦ Protegida frente acceso indebido (ie. Cifrada) ◦ Reproducible de forma consistente ◦ Recuperable en caso de destrucción o pérdida 14Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
15
Balance entre seguridad y necesidad de acceso: ◦ Controles efectivos que contribuyan a la eficiencia ◦ Protección de la privacidad asegurando cumplimiento ◦ Acopio de métricas para estimar productividad y efectividad (tecnología(s) & control(es)) Implicaciones de seguridad en procesos críticos: ◦ Disponibilidad ATH/DTP ◦ Intercambio/Integración de información entre procesos ◦ Integridad de almacenes de datos/transacciones Impacto en Human-Computer Interaction: ◦ Integración de servicios & aplicaciones & herramientas ◦ Destrezas tecnológicas & dominio de procesos ◦ Apoyo técnico (interno/externo) 15Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
16
Estándares de la industria Controles: ◦ Manuales ◦ Sistémicos ◦ Tecnológicos Percepción vs. realidad 16Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
17
Jerarquía de roles: Top level management Legal Counsel Compliance Officer Internal auditor Security Officer IT Human Resources Business units Responsabilidades IT: Descripción plazas – tareas – competencias Distribución de tiempo Asignación de recursos Fiscalización de cumplimiento 17Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
18
Diseño estratégico de seguridad: ◦ ¿Qué controlar? ◦ ¿Cuáles controles integrar? ◦ ¿Qué medidas de respuesta ? Implantación: ◦ Herramientas Afinamiento Fiscalización: ◦ Baselines ◦ Patrones o Tendencias Acción: ◦ Comité de respuesta ◦ Alertas y nivel de escalada ◦ Controles de mitigación y recuperación Avalúo: ◦ Periódico ◦ Extraordinario 18Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
19
Tecnología: ◦ Controles de acceso ◦ Copias de resguardo ◦ Cifrado ◦ Control y fiscalización de la(s) Red(es): Firewall’s Proxy’s IDS/IPS – Net & Hosts Net Monitoring & Net Scanning ◦ Configuración, Parchos y Actualizaciones ◦ Redundancia y replicación Personas: ◦ Políticas ◦ Plan de concienciación ◦ Programa de seguridad (Security Plan- IR, DR & BC) 19Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
20
Sistemas y/o Servicios: ◦ Instalación & Mantenimiento ◦ SaaS ◦ Cloud computing Fiscalización de la infraestructura (red) Prevención y recuperación: ◦ DRP ◦ BCP Prevención y anticipo (nuevas tendencias): ◦ Computación forense ◦ Análisis de penetración ◦ Análisis de vulnerabilidades 20Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
21
Protección de propiedad intelectual: ◦ Terceros ◦ Proveedores ◦ Organización Control de duplicación o diseminación: ◦ Programación ◦ Bancos de datos ◦ Secretos de negocio ◦ Publicaciones en medio electrónico Digital Rights Management 21Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
22
OCTAVE OCTAVE COBit ValIT Ernst & Young Ernst & Young Network Security Illustrated, Albanese & Sonnenreich, McGraw Hill, NY, 2004 22Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
23
Otras Referencias 23Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
24
Modelo Organizacional de confiabilidad Modelo Organizacional de confiabilidad Modelo CobiT Modelo CobiT CobiT Security Baseline CobiT Security Baseline ISACA, Business Model for Information Security ISACA, Business Model for Information Security UCISA Information Security Toolkit UCISA Information Security Toolkit Solutionary, Security Measurement Solutionary, Security Measurement 24Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
25
NIST Risk Management Guide NIST Risk Management Guide NIST Risk Management Framework NIST Risk Management Framework GAO, Information Security Risk Assessment GAO, Information Security Risk Assessment ITCi, Risk Management: Practical guidance on how to prepare for successful audits ITCi, Risk Management: Practical guidance on how to prepare for successful audits IT Policy Compliance Group – CMM Capabilities practices IT Policy Compliance Group – CMM Capabilities practices IT Governance Institute, Information Risks IT Governance Institute, Information Risks IT Governance, Risk & Complaince (Basado en CobiT) IT Governance, Risk & Complaince (Basado en CobiT) OCEG, Foundation Guidelines (RedBook) OCEG, Foundation Guidelines (RedBook) OCEG, GRC Capability Model (Redbook) OCEG, GRC Capability Model (Redbook) 25Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
26
Deloitte, Defining and Classifying Operational Risk, 2007 Deloitte, Defining and Classifying Operational Risk, 2007 NIST Risk Management Framework – Roles & Responsibilities NIST Risk Management Framework – Roles & Responsibilities CERT, First Responders Guide to Computer Forensics CERT, First Responders Guide to Computer Forensics NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática Amador et als., Seguridad Computacional Amador et als., Seguridad Computacional ent, Network Auditing Strategies ent, Network Auditing Strategies CyberIntelligence Report (2009) CyberIntelligence Report (2009) 26Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.