Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Slides:



Advertisements
Presentaciones similares
SISTEMASDE GESTION AMBIENTAL
Advertisements

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
INFORMATION SECURITY Programa Integral de Formación Profesional en
Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Administración de Centros de Computo / CESM
Administración de Centros de Computo
Impacto Etico y Social de los Sistemas de Información
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
ESCUELA POLITECNICA DEL EJERCITO
ESCUELA POLITÉCNICA DEL EJÉRCITO
MINISTERIO DE ECONOMÍA Y FINANZAS DIRECCION NACIONAL DE CONTABILIDAD
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Sistema de Control de Gestión.
Sistemas de Gestión de Seguridad de la Información
Dr. Victor Izaguirre Pasquel
“Gerenciar la adquisición de productos y servicios a los proveedores del proyecto en desarrollo a partir de acuerdos formales”.
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
UNA HERRAMIENTA PARA AGREGAR VALOR
Fases de la Auditoria Informática
“Adopción de SGSI en el Sector Gobierno del PERÚ”
El papel de los estándares como referencia: Del IT Governance al IT Security Governance.
Supervisión y Gerencia de Proyectos
DE SEGURIDAD INFORMÁTICA.
Gestión de la Continuidad del negocio BS BCI
Universidad Técnica Nacional Auditoría de Sistemas Tema: COBIT 4.1
Plan de Sistemas de Información (PSI)
Yohel Herrera Zuñiga Johnny Ramirez Jose Vargas
SGSI y MAS Implantación en el M.H..
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
Programa de Auditoría Interna
SGSI: Sistemas de Gestión de la Seguridad de la Información
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Desafíos de la gestión de riesgos Existe un alto potencial.
Dominios de control para la información y tecnologías (cobit) Pamela Pacheco Aviles.
Proveedores de servicios externos
Jenniffer Rivera Reyes
Metodologías Lsi. Katia Tapia A., Mae.
NORMAS INTERNACIONALES DE AUDITORIA (200)
Programa de Administración de Riesgos.
INTRODUCCION SEGURIDAD INFORMATICA. Seguridad informatica consiste en asegurar que los recursos del sistema de información (material informático o programas)
DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.
Introducción al proceso de verificación y validación.
Procesos itil Equipo 8.
Auditoria Computacional
Nombre: Arianne Calderón Boutier Materia: Gerencia de Procesos.
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
Sistemas integrados de gestión
Universidad Latina CONTROL INTERNO.
Elementos Conceptuales de proyectos: ¿Qué es un proyecto
Modelo Empresarial de Procesos ETB
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Las fases del ciclo de la vida de desarrollo de sistemas
Ingeniería del Software
OFICINA DE CONTROL INTERNO Segunda Jornada de Inducción y Reinducción (Bogotá, Octubre 21 de 2015 )
Presentación de la Norma Técnica de Seguridad de la Información.
Dr. Marcelo Julio Marinelli.  Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos.
ISO
Transcripción de la presentación:

Segunda Jornada Nacional de Seguridad Informática ACIS 2002 Modelos de Seguridad Informática “Modelo de Protección” Iván Ernesto Guerra Matiz

Un Modelo Institucional de protección de la información debe direccionar los riesgos a que está expuesta la información y...

y estar alineado con los objetivos del negocio

Nadie es inmune a las brechas de Seguridad

Mientras que el Vandalismo a sitios WEB ha alcanzado mucha visibilidad, la real amenaza es más incisiva y está oculta

La Seguridad de la Información pasó a ser una de las principales prioridades del negocio después de Septiembre 11

La evolución de los negocios electrónicos conlleva mayores requerimientos de seguridad, privacidad y confianza

El adoptar uno o más códigos de práctica como medio para definir, desarrolar y mantener un Modelo de Protección de la Información es vital para cumplir con los objetivos del negocio

Menores provisiones por riesgos operativos. Los Beneficios van desde una protección uniforme de la Información hasta monetarios y de imagen Ahorros en Pólizas. Menores provisiones por riesgos operativos. Obtener la confianza de los clientes. Protección de la información punto a punto. Diferenciador. Prevenir el Fraude

Una estructura de trabajo para la seguridad debe ser establecida para asegurar que todos los componentes se integren Principios de Seguridad: Proposición de valor requerida por el negocio para la ejecución de la seguridad. Política de Seguridad :Proposición de alto nivel de objetivos, fines, creencias, ética y responsabilidades. Estándar de Seguridad: Conjunto de reglas para implantar la Política. Los estándares hacen mención específica de tecnologías, metodologías, procedimientos de implantación, y otros factores detallados. Procesos de Seguridad:Actividades y tareas típicamente realizadas a través de varias organizaciones para implantar las políticas y estándares. Procedimientos de Seguridad : Pasos operacionales específicos que las personas deben ejecutar par alcanzar los objetivos establecidos en las políticas. Arquitectura de Seguridad: Detalles de cómo la tecnología se interrelaciona y se junta. Productos de Seguridad: Herramientas ofrecidas por la organización de Seguridad.

Conjunto de mejores prácticas reconocidas por un Universo En la actualidad se reconocen en el mercado varios códigos de práctica, que apoyan la definición, desarrollo, implantación y mantenimiento de los modelos de seguridad de la información Conjunto de mejores prácticas reconocidas por un Universo Se basan en una Confianza. Tienen un alcance Evaluación de Riesgo. Modelo de Seguridad. Arquitectura de Seguridad Desarrollos. Ejemplos ISO 17799 COBIT 3ra Edición ISO 7498-2 Common Criteria ISO 15408

ISO/IEC BS 17799 10 áreas de seguridad Última versión 1999

ISO 17799: 10 áreas de Seguridad Una Política en Seguridad de la Información es requerida para proveer una directriz Gerencial y soporte para seguridad en la información. Una organización de seguridad debe ser establecida para iniciar y controlar la implantación de la seguridad de la información dentro de la empresa. El Control y Clasificación de los activos debe ser establecido, para mantener una protección adecuada de los activos de la compañía. Los activos de información más importantes deben ser identificados y asignados a un dueño. Un proceso de seguridad en el personal de la compañía debe existir para reducir el riego de errores humanos, robo, fraude, o mal uso de las facilidades. Seguridad debe direccionada en la fase de contratación, incluido en las funciones y contratos, y monitoreado durante su permanencia dentro de la institución. Seguridad física y ambiental debe ser establecida para prevenir acceso no autorizado, daño o interferencia a las premisas de la compañía, servicios de tecnología de la información, u otros activos. Facilidades de tecnología de la información que soportan actividades sensitivas o críticas del negocio deben ser físicamente protegidas de amenazas en seguridad y peligros ambientales

ISO 17799: 10 áreas de Seguridad Manejo de la Operación y de las comunicaciones deben asegurar la correcta y segura operación de las facilidades de cómputo y de las redes. Responsabilidades y procedimientos para el manejo de la operación de todos los computadores y redes deben estar claramente definidos. Control de acceso a los sistemas debe existir para restringir el acceso a los sistemas e información a las personas autorizadas por la gerencia y para propósitos válidos del negocio, únicamente. Procesos para el mantenimiento y desarrollo deben asegurar que los sistemas de tecnología de la información son desarrollados de una manera segura y su mantenimiento es llevado a cabo con el riesgo mínimo a la integridad y seguridad del sistema. Requerimientos de seguridad deben ser identificados y acordados previo desarrollo de los sistemas de tecnología de la información.

ISO 17799: Desarrollo de Aplicaciones

ISO 17799: 10 áreas de Seguridad Planeamiento de la continuidad del negocio debe ser establecido para asegurar que los planes están en su lugar para contrarrestar interrupciones a las actividades del negocio - Por ejemplo procesos críticos del negocio deben ser protegidos de los efectos de mayores desastres y fallas. Procesos de cumplimiento con la seguridad deben ser establecidos para asegurar que el diseño, operación y uso de los sistemas de tecnología cumple con los requerimientos de seguridad contractuales y establecidos en los estatutos de la compañía. Para asegurar cumplimiento con los procedimientos y políticas de seguridad definidos dentro de la compañía, todos los aspectos de seguridad - físicos y lógicos - deben ser revisados en bases regulares.

ISO 7498-2(X.800): Arquitectura de Seguridad

Los Códigos de Práctica apoyan aspectos para el desarrollo de un modelo de protección

Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo de protección acorde con lo establecido por el negocio

Las instituciones deben comenzar por identificar sus riesgos, los requerimientos legales y los institucionales, para sí establecer los requerimientos de seguridad de la Empresa

Desarrolar el Modelo de Protección con base en procesos (subprocesos de Seguridad) e iniciar una implantación focalizada en los estratégicos

Iniciando por las plataformas estratégicas de apoyo al negocio

Definiendo, recolectando y procesando medidas obtenibles de calidad para los procesos de seguridad, tomando acciones cuando sean requeridas

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.