La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Carmen R. Cintrón Ferrer, 2010, Derechos Reservados.

Publicada porMiguel Aday Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Carmen R. Cintrón Ferrer, 2010, Derechos Reservados."— Transcripción de la presentación:

1 Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

2 Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad. 2Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

3  Expresión visión  Metas  Expectativas  Objetivos 3Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

4  Gestión Ética ( Governance: Honesty & Integrity -Ethics)  Manejo de Riesgos ( Risk Management )  Cumplimiento ( Compliance )  Estabilidad de operaciones (Business Resilience)  Madurez colectiva (Awareness & Training)  Fiscalización (Monitoring)  Divulgación y ajuste (Reporting, feedback & adjusting) 4Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

5  Gestión ética (Governance) : – Visión – Código de Ética organizacional – Políticas – Estándares y Guías (Best Practices) – Procedimientos  Roles y responsabilidades: ◦ Segregación de funciones ◦ Responsabilidad (Accountability) ◦ Métricas de cumplimiento  Compromiso con enfoque de continuidad (Business resilience)  Planificación del proceso 5Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

6  Manejo de riesgo: ◦ Identificación de riesgos y Gap Analisys ◦ Metodologías y estándares:  NIST SP 800-12, 14, 18, 26, 30, 37  Octave  CobIT & ValIT  COSO  ISO 17799:2002 & ITIL  OCEG Red Book  RFC 2196 Site Security Handbook  PCI & VISA Cardholder InfoSec Program ◦ Controles y métricas:  Preventivos  Mitigación  Correctivos ◦ Avalúo de controles 6Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

7  Avalúo regulatorio ( Legal Assessment): ◦ Identificación del entorno regulatorio aplicable ◦ Estimación de impacto organizacional ◦ Integración y contacto con asesores legales externos  Cumplimiento con regulaciones (Compliance ) : ◦ Tecnológicas (IT Regulatory Compliance) ◦ Operacionales (Non – IT Regulations) ◦ De la industria o negocio (Industry related regulations)  Gestión de incidentes: ◦ Manejo de evidencia electrónica ◦ Computación forense ◦ Integración y contacto con agencias del orden público 7Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

8  Estabilidad y confiabilidad (Business resilience) : ◦ Continuidad de operaciones ( Business Continuity Plan) ◦ Recuperación frente a desastres (Disaster Recovery Plan) ◦ Confiabilidad en permanencia (Business Resilience)  Madurez colectiva organizacional: ◦ Plan de concienciación (Awareness & Training Plan) ◦ Lealtad y compromiso del personal (Employee Adherence) ◦ Responsabilidad personal (Non-Compliance consequences) ◦ Métricas de cumplimiento 8Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

9  Avalúo de sistemas : ◦ Configuración de sistemas y servicios ◦ Pruebas de sistemas y de TI’s ◦ Autenticación y controles de acceso ◦ Análisis de vulnerabilidades ( Vulnerability Assessment) ◦ Administración de seguridad de la Red ( Network Security Administration)  Respuesta a incidentes (Risk and Emergency Response): ◦ Comité de Emergencias ◦ Procedimientos: detección, respuesta, recuperación y corrección ◦ Comunicación y colaboración 9Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

10 Fiscalización de cumplimiento (Monitoring): – Sistémico Systemic monitoring – Periódico mediante: Auditorías internas Auditoriás externas Auditorías por agencia(s) reguladoras Divulgación y ajuste (Reporting, feedback & adjusting): Divulgación de hallazgos (Disclosure) Mitigación efectiva (Remediation & Due Dilligence) Actualización y ajustes (Plan modification & update) 10Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

11  Redifinición de Prácticas  Modificación de Roles  Integración de tecnologías 11Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

12  Políticas  Procedimientos  Guías o prácticas generalmente aceptadas  Manuales  Controles 12Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

13  Fisica & Lógica  Uso aceptable de la(s) tecnología(s): ◦ Estaciones de trabajo ◦ Navegación ◦ Servidores y servicios en red ◦ Laptops-Netbooks ◦ Telefonía integral ◦ Unidades de almacenamiento móviles (Pen/Jump drives)  Herramientas de comunicación: ◦ Correo electrónico ◦ Mensajería instantánea & Chat ◦ Sedes virtuales de socialización ◦ Servicios de conexión (P2P) y transferencia de archivos ◦ Servicios de transmisión de voz & vídeo  Acceso local y remoto a servicios ◦ Autenticación ◦ Copias de resguardo  Auditoría (monitoring) de la seguridad 13Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

14  Flujo de información (entre & dentro) procesos: ◦ Seguridad de los depósitos transitorios y permanentes ◦ Controles y protección mientras navega dentro de la organización ◦ Controles y protección cuando sale del perímetro  Integridad de la información: ◦ Disponibilidad (a tiempo, precisa, completa, actualizada) ◦ Certeza de su veracidad e integridad (no adulterada accidental o intencionalmente) ◦ Protegida frente acceso indebido (ie. Cifrada) ◦ Reproducible de forma consistente ◦ Recuperable en caso de destrucción o pérdida 14Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

15  Balance entre seguridad y necesidad de acceso: ◦ Controles efectivos que contribuyan a la eficiencia ◦ Protección de la privacidad asegurando cumplimiento ◦ Acopio de métricas para estimar productividad y efectividad (tecnología(s) & control(es))  Implicaciones de seguridad en procesos críticos: ◦ Disponibilidad ATH/DTP ◦ Intercambio/Integración de información entre procesos ◦ Integridad de almacenes de datos/transacciones  Impacto en Human-Computer Interaction: ◦ Integración de servicios & aplicaciones & herramientas ◦ Destrezas tecnológicas & dominio de procesos ◦ Apoyo técnico (interno/externo) 15Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

16  Estándares de la industria  Controles: ◦ Manuales ◦ Sistémicos ◦ Tecnológicos  Percepción vs. realidad 16Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

17  Jerarquía de roles: Top level management Legal Counsel Compliance Officer Internal auditor Security Officer IT Human Resources Business units  Responsabilidades IT: Descripción plazas – tareas – competencias Distribución de tiempo Asignación de recursos Fiscalización de cumplimiento 17Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

18  Diseño estratégico de seguridad: ◦ ¿Qué controlar? ◦ ¿Cuáles controles integrar? ◦ ¿Qué medidas de respuesta ?  Implantación: ◦ Herramientas  Afinamiento  Fiscalización: ◦ Baselines ◦ Patrones o Tendencias  Acción: ◦ Comité de respuesta ◦ Alertas y nivel de escalada ◦ Controles de mitigación y recuperación  Avalúo: ◦ Periódico ◦ Extraordinario 18Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

19  Tecnología: ◦ Controles de acceso ◦ Copias de resguardo ◦ Cifrado ◦ Control y fiscalización de la(s) Red(es):  Firewall’s  Proxy’s  IDS/IPS – Net & Hosts  Net Monitoring & Net Scanning ◦ Configuración, Parchos y Actualizaciones ◦ Redundancia y replicación  Personas: ◦ Políticas ◦ Plan de concienciación ◦ Programa de seguridad (Security Plan- IR, DR & BC) 19Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

20  Sistemas y/o Servicios: ◦ Instalación & Mantenimiento ◦ SaaS ◦ Cloud computing  Fiscalización de la infraestructura (red)  Prevención y recuperación: ◦ DRP ◦ BCP  Prevención y anticipo (nuevas tendencias): ◦ Computación forense ◦ Análisis de penetración ◦ Análisis de vulnerabilidades 20Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

21  Protección de propiedad intelectual: ◦ Terceros ◦ Proveedores ◦ Organización  Control de duplicación o diseminación: ◦ Programación ◦ Bancos de datos ◦ Secretos de negocio ◦ Publicaciones en medio electrónico  Digital Rights Management 21Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

22  OCTAVE OCTAVE  COBit  ValIT  Ernst & Young Ernst & Young  Network Security Illustrated, Albanese & Sonnenreich, McGraw Hill, NY, 2004 22Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

23 Otras Referencias 23Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

24  Modelo Organizacional de confiabilidad Modelo Organizacional de confiabilidad  Modelo CobiT Modelo CobiT  CobiT Security Baseline CobiT Security Baseline  ISACA, Business Model for Information Security ISACA, Business Model for Information Security  UCISA Information Security Toolkit UCISA Information Security Toolkit  Solutionary, Security Measurement Solutionary, Security Measurement 24Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

25  NIST Risk Management Guide NIST Risk Management Guide  NIST Risk Management Framework NIST Risk Management Framework  GAO, Information Security Risk Assessment GAO, Information Security Risk Assessment  ITCi, Risk Management: Practical guidance on how to prepare for successful audits ITCi, Risk Management: Practical guidance on how to prepare for successful audits  IT Policy Compliance Group – CMM Capabilities practices IT Policy Compliance Group – CMM Capabilities practices  IT Governance Institute, Information Risks IT Governance Institute, Information Risks  IT Governance, Risk & Complaince (Basado en CobiT) IT Governance, Risk & Complaince (Basado en CobiT)  OCEG, Foundation Guidelines (RedBook) OCEG, Foundation Guidelines (RedBook)  OCEG, GRC Capability Model (Redbook) OCEG, GRC Capability Model (Redbook) 25Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

26  Deloitte, Defining and Classifying Operational Risk, 2007 Deloitte, Defining and Classifying Operational Risk, 2007  NIST Risk Management Framework – Roles & Responsibilities NIST Risk Management Framework – Roles & Responsibilities  CERT, First Responders Guide to Computer Forensics CERT, First Responders Guide to Computer Forensics  NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática  Amador et als., Seguridad Computacional Amador et als., Seguridad Computacional  ent, Network Auditing Strategies ent, Network Auditing Strategies  CyberIntelligence Report (2009) CyberIntelligence Report (2009) 26Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Descargar ppt "Carmen R. Cintrón Ferrer, 2010, Derechos Reservados."

Presentaciones similares

Academia Latinoamericana de Seguridad Informática

Academia Latinoamericana de Seguridad Informática
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
Seguridad Informática

Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Sisdata, C.A..

Sisdata, C.A..
Security Business Continuity Somos la solución de negocio en Seguridad Integral.

Security Business Continuity Somos la solución de negocio en Seguridad Integral.
Sisdata, C.A..

Sisdata, C.A..
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.

Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.
La Convergencia entre la Seguridad Lógica y la Seguridad Física

La Convergencia entre la Seguridad Lógica y la Seguridad Física
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

Presentaciones similares

Anuncios Google