La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas.

Slides:



Advertisements
Presentaciones similares
Diciembre de 2013 Ponente: Luis Miguel González Ulloa Director Jurídico Unión Colegiada del Notariado Colombiano “U.C.N.C.” “ Jornada para la Implementación.
Advertisements

ESTRATEGIA GOBIERNO EN LINEA Fundamentos Arquitectura Empresarial
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.
 La serie de normas ISO/IEC son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.
Unidad de ejecución curricular: GESTIÓN GUBERNAMENTAL Semestre académico: Ciclo: VI Docente responsable: CPC. William A. Chauca Castro Semana: 4.
La Norma ISO 25000, proporciona una guía para el uso de las series de estándares internacionales llamados requisitos y Evaluación de Calidad de Productos.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
APLICACIÓN DE CONTROL INTERNO EN PyMEs
Sistemas de Gestión.
DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO
UNIVERSIDAD NACIONAL DE TRUJILLO
SEGURIDAD Y SALUD EN EL TRABAJO
Plan Estratégico 2016 – 2020.
CONTROL INTERNO.
Business Continuity.
Herramienta de Gestión de Inventario de Activos
GESTIÓN HSEQ.
Generalidades ISO 14001:2004 OHSAS 18001:2007.
Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:
Facultad de Ingeniería y tecnología informática Practica Profesional I
Presentación de HP Project & Portfolio Management Center
Auditoria Informática Unidad VI
Maestría en Evaluación y Auditoría de Sistemas
Windows server 2008.
Marco de ciberseguridad
Armonización MECI:2005 – SIG del SENA
AUDITORÍA INTERNA.
COBIT 4.1 Monitorear y Evaluar ME3 Garantizar el Cumplimiento con Requerimientos Externos By Juan Antonio Vásquez.
CARRERA: INSTRUCTOR: PAREDES MONTENINOS, Miguel Angel SEGURIDAD INDUSTRIAL Y MINERA SISTEMAS INTEGRADOS DE GESTION CORDOBA GUTIERREZ, Alex CURSO: Elaborado.
Gerencia de Riesgos y Continuidad del Negocio
ANÁLISIS DE RIESGOS DE SISTEMAS DE INFORMACIÓN
Políticas de Seguridad Los Sistemas de Información y la Seguridad.
¿Qué es el SENA? El Servicio Nacional de Aprendizaje - SENA es un establecimiento público, con financiamiento propio derivado de los aportes parafiscales.
PROVEEDOR DATA WAREHOUSE TERADATA
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI
ISO SGSI ISO FASES SGSI ANEXOS (A) ISO 27002
POLÍTICAS DE SEGURIDAD
MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.
ORGANIZACIÓN INTERNACIONAL DE ESTANDARIZACIÓN (ISO)
Auditoria Informática Unidad VI
Auditoria Informática Unidad VI
Protección de datos de carácter personal
SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION Normas Técnicas:  BS :2002 (Certificable).  ISO 17799:2005 (No Certificable).  ISO 27001:2005.
Unidad 5: Evaluación de los sistemas
Sistema de Gestión de Tecnologías
DESPLIEGUE DEL SGC FASE I FASE II IMPLEMENTACION FASE III CONSOLIDACIÓN Desarrollo de la Estructura Documental del SGC Uso consistente en piso del SGC.
Sistemas Integrados de Gestión - Camino Hacía la Excelencia en la Calidad Cristhian Melo Rojas.
ISO 9001:2015 ISO 9001 es la norma internacional encargada de definir los requisitos para un Sistema de Gestión de la Calidad (SGC). Este permite a las.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
NIA Control de Calidad para Auditorías de Información Financiera Histórica. Lo que todo Auditor debe conocer.
SGSI: Sistemas de Gestión de la Seguridad de la Información.
EFECTIVIDAD DEL CONTROL INTERNO Un sistema efectivo de control interno proporciona seguridad razonable sobre el logro de los objetivos de la organización.
Mejoramiento de controles internos en los procesos
NTC ISO 45001:2018. El nuevo estándar internacional para el Sistema de Gestión de Seguridad y Salud en el Trabajo.
INTEGRACIÓN DE SISTEMAS DE GESTIÓN MTO. LUIS EDUARDO ROCHA MAGAÑA Integración de Sistemas de Gestión.
S. V. E. PARA LA CONSERVACIÓN AUDITIVA. DIAGNÓSTICO 4Condiciones de trabajo 4Condiciones de salud 4Condiciones de trabajo, salud y organizacionales 4Condiciones.
VERIFICACIÓN Y MONITOREO (4, 5) IMPLEMENTACIÓN Y OPERACIÓN (2, 3, 4,5)
“OPERATIVA Y SEGURIDAD INFORMÁTICA DEL SISTEMA RSIRAT PARA EL SEGUIMIENTO Y CONTROL DE LAS RESOLUCIONES REGIONALES DE LA LIBERTAD”
Sistema de Gestión de Calidad
Estudio de Viabilidad del Sistema (EVS). Estudio de Viabilidad del Sistema Cuestiones ¿Qué es la viabilidad de un sistema? ¿Cuáles son los objetivos del.
GUÍA EMPRESARIAL NIA 265 y NTC-ISO
ISO Esta norma internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la.
1 LEY MARCO DE LA ADMINISTRACIÓN FINANCIERA DEL SECTOR PUBLICO LEY Ley Ley General Del Sistema Nacional de Presupuesto Controla y Asigna Los.
Proceso Principios Marco de Referencia
OTRAS NORMAS ISO TÓPICOS AVANZADOS DE CALIDAD. ISO 10005:2005 Directrices para los planes de la calidad  Reemplaza la versión 1995  Se establecen las.
Transcripción de la presentación:

La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas Blas Piñero Uribe, CISA Oracle Consulting

Estandares de seguridad IT

Gestión de la Seguridad IT: ISO 27001

La evolución de los estándares

ISO27001 Sistema de Gestión de la Seguridad de la Información (SGSI) Adopta la metodologia PDCA,

PDCA Model

En la actualidad La serie ISO reemplazara a ISO y a UNE 71502: –27000: Definiciones y términos (draft) –27001: Implantación del SGSI (Certificable) evolución de BS y equivale a UNE –27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas. –27003: Guía de implementación (draft). –27004: Indicadores y metricas (draft). –27005: Gestión y evaluación de riesgos (draft).

ISO )Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información 2)Tiene en cuenta requerimientos legales, de negocio y contractuales 3)Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI 4) Establece los criterios de evaluación del riesgo

ISO Con origen en la norma británica BS , constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. 36 objetivos de control y 127 controles.

Dominios ISO Política de Seguridad 2.Organización de Seguridad 3.Clasificación y Control de Activos 4.Aspectos humanos de la seguridad 5.Seguridad Física y Ambiental 6.Gestión de Comunicaciones y Operaciones 7.Sistema de Control de Accesos 8.Desarrollo y Mantenimiento de Sistemas 9.Plan de Continuidad del Negocio 10.Cumplimiento Legal

ISO/IEC 17799:2005 vs LOPD/RMS

Adecuaci ó n LOPD – Control de acceso Art Los usuarios tendr á n acceso autorizado ú nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel b á sico) Art Los mecanismos que permiten el registro de los datos detallados en los p á rrafos anteriores estar á n bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ning ú n caso, la desactivaci ó n de los mismos. (Nivel alto) Caracter í sticas Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos) Restricci ó n de comandos privilegidos ( DBA) basado en filtrado de direcci ó n IP Protecci ó n de los datos frente a modificaciones no autorizadas (Integridad) Fuerte control de acceso sobre los datos corporativos Cumplimiento Aplicaci ó n Control de acceso Segregación de funciones Adecuaci ó n marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal Adecuaci ó n UNE e ISO/IEC – A.11 Control de accesos; A Segregaci ó n de funciones Ayudas Tecnologicas: Oracle Database Vault

¿Para que sirve Database Vault? Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto Permite implementar controles de visualización de los Datos de Aplicación por Usuario Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD Permite administrar los Objetos, aún cuando se limite el acceso a los datos. Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas

Oracle Database Vault Realms DBA HR DBA HR HR Realm HR El administrador de la BD ve los datos de RRHH select * from HR.emp Eliminamos el riesgo de incumplimiento legal o robo de datos Fin FIN DBA El administrador de RRHH ve los datos de Financiero Eliminamos el riesgo derivado de la consolidacion de servidores Fin Realm Fin

Oracle Database Vault Rules & Multi-factor Authorization DBA HR DBA HR El administrador de la BD intenta un “alter system” remoto alter system……. Reglas basados en dirección IP bloquean la acción create … El administrador de RRHH realiza acciones no autorizadas en producción. 3pm Monday Reglas basadas en fecha/hora bloquean la acción HR Realm HR

ISO Dominio 7 CONTROL DE ACCESO –Requisitos de la Organización para el control de acceso –Administración del acceso de usuarios –Responsabilidades de los usuarios –Control de acceso de la Red –Control de acceso al Sistema Operativo –Control de acceso de las Aplicaciones –Acceso y uso del Sistema de Monitoreo –Computadoras móviles y trabajo a distancia

El problema de la gestión de identidades....

Gestion de Identidades ¿Qué es una identidad? Una identidad es un conjunto de identidades parciales. Cada identidad parcial corresponde a un rol en un entorno

Nuevos Empleados entran en la Empresa Cambios y Soporte a Usuarios Empleados dejan la Empresa Cuentas & Políticas Registro/Creación Propagación Mantenimiento/Gestión Revocación Ciclo de Vida de la Identidad Digital

El problema de las identidades El problema: Islas de Información Cada Usuario tiene multiples identidades parciales, una en cada entorno. CONSECUENCIAS Multiples puntos de administración. Multiples administradores Inconsistencia de datos Falta de una “vista”unificada de la identidad

Oracle Identity Management

Auditoria de Acceso a datos Art. 24REGISTRO DE ACCESO, exige (nivel alto): 1.Identificación, Dia/hora, Fichero y resultado 2.Identificación del registro accedido 3.Mecanismos no desactivables 4.Conservación dos años 5.Informe mensual de revisiones de control- responsable Seguridad Corresponde al dominio 10 ISO

¿ Qué es Audit Vault? Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios Se proporciona con el Núcleo de Base de Datos 10gR2 Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria Permite Auditar B.D. 9iR2 a 10GR2 Protege, Consolida, Detecta, Monitoriza, Alerta

¿ Para qué Sirve Audit Vault ? Adaptación a la LOPD o ISO de manera no traumática Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D. Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D. Eficiente herramienta de Control y Seguimiento Permite análizar las trazas recopiladas mediante una herramienta de Reporting. Recopila Trazas de Múltiples orígenes (SqlServer, DB2..)

Funcionalidades Audit Vault

Preguntas…..

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.