ESCUELA POLITECNICA DEL EJERCITO

Slides:



Advertisements
Presentaciones similares
T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)
Advertisements

Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Pablo Antonio Palacios Medinacelli
Nombre: Claudia Grandi Bustillos
Análisis y gestión de riesgos en un Sistema Informático
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
ESCUELA POLITECNICA DEL EJERCITO
Auditoría a DIGSOL Juan Andrada Romero Jose Domingo López López
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Sistema de Gestión de la Calidad
Introducción a la Seguridad de la información
Evaluación de Productos
ESCUELA POLITÉCNICA DEL EJÉRCITO
AUTORES: ING. MAURICIO BALDEÓN ING. CHRISTIAN CORONEL
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Sistemas de Gestión de Seguridad de la Información
AUDITORÍA DE SISTEMAS UNIDAD 2.
Presentación de la Norma Técnica de Seguridad de la Información
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
“Adopción de SGSI en el Sector Gobierno del PERÚ”
PLANEACION DEL SISTEMA
Ing. Alexandra García Ing. Patricia Nogales. OBJETIVOS: General Específicos.
Análisis y Gestión de Riesgos
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.
DE SEGURIDAD INFORMÁTICA.
¡Bienvenido al curso AUDITORES 17020:2012!
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Gestión de la Continuidad del negocio BS BCI
Organización del Departamento de Auditoria Informática
SEGURIDAD INFORMÀTICA Presentado por: YAMILETH ORTÌZ
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Sistemas de Gestión Ambiental (SGA)
ESCUELA SUPERIOR POLITÉCNICA DEL LITORAL EDCOM - ESPOL Escuela de Diseño y Comunicación EDCOM Luis Cepeda Fernández Jhonny Plúas Ronquillo Byron Zamora.
SGSI y MAS Implantación en el M.H..
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
TEMA: DESARROLLO DE UN SISTEMA INFORMÁTICO PARA EL CONTROL DE USO Y EL MANTENIMIENTO DE VEHÍCULOS DE UNA INSTITUCIÓN PÚBLICA AUTOR: EDISON GUAMAN   DIRECTOR:
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
1.17 Implementación del gobierno de la seguridad—Ejemplo
©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional.
PLANEACION DEL SISTEMA
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
PLAN DE EMERGENCIA.
SGSI: Sistemas de Gestión de la Seguridad de la Información
1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II 1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II Utilizar la hoja.
Proveedores de servicios externos
Ciclo de vida de un sistema
Análisis y Gestión de Riesgos en un Sistema Informático
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
DELITOS EMERGENTES EN INTERNET Y EL DESAFIO DE CARABINEROS DE CHILE EN LA PREVENCIÓN Y CONTROL EN LA ERA INFORMÁTICA Para el desarrollo de este trabajo.
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
INTRODUCCIÓN.
Auditoria Computacional
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Sistema de control de calidad de software
COBIT KARYL LARA N..
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
VI. EVALUACIÓN DE LOS RECURSOS
Presentación de la Norma Técnica de Seguridad de la Información.
Proyectos de Inversión 2015 Superintendencia Nacional de Salud.
Características de los Centros de Cómputo
ISO
Transcripción de la presentación:

ESCUELA POLITECNICA DEL EJERCITO “EVALUACIÓN TÉCNICA DE LA SEGURIDAD INFORMÁTICA DEL DATA CENTER DE LA BRIGADA DE FUERZAS ESPECIALES NO. 9 PATRIA” MONSERRATH VITERI

ANTECEDENTES La Brigada De Fuerzas Especiales No. 9 Patria es un ente que pertenece al estado, cuya finalidad esencial es formar militares de excelencia para salvaguardar al país. La brigada de fuerzas No. 9 “Patria ”, se encuentra ubicada en la provincia del Cotopaxi, actualmente los sistemas que se utilizan se encuentran centralizados en la comandancia, el área tecnológica esta encargada de dar servicios de Soporte a nivel de hardware y software, realizar respaldos de Información y administrar permisos de usuarios.

ANTECEDENTES La brigada de Fuerzas Especiales BI-9 ¨Patria¨, para brindar un servicio Informático eficiente y administrar los recursos tecnológicos posee un datacenter el mismo que cuenta con las normas básicas de seguridad informática.

AGENDA Conceptos de Seguridad Informática Norma ISO 27000 Análisis ISO 27001 vs 27002 Plan de Investigación de Campo. Metodología utilizada en la Evaluación (MAGERIT) Aplicación de la Evaluación Técnica de la Seguridad Informática (PILAR). Informe Ejecutivo y Detallado de la Evaluación Conclusiones Recomendaciones

RESUMEN Se utilizo las Normas ISO 27000 para gestionar la seguridad Informática. Las Normas ISO 27001 y 27002 fue utilizada para determinar si existía integridad, confidencialidad y disponibilidad de la información dentro de la Brigada de Fuerzas Especiales No.9 ¨Patria¨. Se aplicó la metodología MAGERIT para analizar y gestionar los riesgos. Simultáneamente se utilizó la herramienta PILAR para controlar y mitigar los riesgos.

INTRODUCCIÓN Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utilizó el ciclo de mejora continua PDCA. ISO/IEC 27002: Es Código de buenas prácticas para la gestión de Seguridad de la Información.

JUSTIFICACIÓN La Brigada de Fuerzas Especiales No.9 “Patria”, se encuentra sometida a peligros naturales así como también ocasionados por el hombre, los mismos que puede provocar daños a las instalaciones y por ende a la información.

OBJETIVO GENERAL Realizar una Evaluación Técnica Informática de las seguridades del Data Center de la Brigada Patria en Latacunga, teniendo como marco de trabajo los estandares ISO 27001 e ISO 27002.

OBJETIVOS ESPECIFICOS Desarrollar el plan de trabajo que será ejecutado en la Institución. Determinar los recursos de TI, la infraestructura de la Institución y el periodo que comprende el proyecto. Definir actividades y cargos del personal tecnológico de la Brigada. Elaborar el plan de investigación de campo. Elaborar y aplicar los instrumentos de investigación de campo. Elaborar la matriz de riesgo informático de las seguridades del Data Center.

OBJETIVOS ESPECIFICOS Procesar los datos obtenidos en la investigación. Elaborar los informes ejecutivo y detallado.

ALCANCE Realizar la Evaluación Técnica de la Seguridad Informática de la Brigada de Fuerzas Especiales BI- 9 ¨Patria¨. Se utilizara las Normas ISO 27000, 27001 y 27002 para verificar el cumplimiento del SGSI. La recopilación de la información se utilizó el plan de investigación de campo. Para obtener los activos de riesgo se aplicó la metodología MAGERIT y posteriormente se empleo la herramienta PILAR, la misma que proporciono las Matrices de Riesgo e Impacto Acumulado.

ALCANCE Finalmente, con los resultados obtenidos durante el estudio de la seguridad informática, se procede a diseñar un programa de mejora continua con un plan de Seguridad Informática.

Conceptos De Auditoria Amenaza Vulnerabilidad Control Riesgo Disponibilidad Integridad Confidencialidad Autenticidad

Seguridad Infórmatica Protección de la Información contenida en los sistemas e instalaciones

Auditoria Informática Protección de activos e integridad de datos. Gestiona la eficacia y eficiencia.

ISO 27000 La familia ISO 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), para una gama de normas de gestión de la seguridad de la información . Contiene y garantiza las mejores prácticas recomendadas en Seguridad de la información.

Norma ISO 27000 Garantiza la seguridad de la Información Proporcionan un marco de gestión de la seguridad de la información.

ISO 27001 Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información Tiene en cuenta requerimientos legales, de negocio y contractuales Se alinea el contexto estrategico de gestión del riesgo de la  Es la única norma certificable

ISO 27002 Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. 36 objetivos de control y 127 controles.

Elementos de Evaluación Organización Del Centro De Cómputo Manejo De La Información Seguridad Física Seguridad Lógica Respaldos Equipo De Soporte Recursos Humanos Financiero Redes

MAGERIT MAGERIT es el acrónimo de "Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas" Es un método formal para investigar los riesgos que soportan los Sistemas de Información  y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

MAGERIT Se trata de una metodología para conocer el riesgo al que esta sometido una información y como de seguro (o inseguro) está.

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información “EL MÉTODO” (LIBRO I) “EL CATALOGO DE ELEMENTOS” (LIBRO II) “LA GUÍA DE TÉCNICAS” (LIBRO III)

“EL MÉTODO” (LIBRO I) Describe los pasos y las tareas básicas para realizar un proyecto de análisis y gestión de riesgos, y proporciona una serie de aspectos prácticos.

“EL CATALOGO DE ELEMENTOS” (LIBRO II) Contiene los ítems se estándar a los que puedan adscribirse rápidamente, centrándose en lo específico del sistema objeto del análisis.

“LA GUÍA DE TÉCNICAS” (LIBRO III) Aporta conocimiento adicional y guías sobre algunas técnicas que se emplean habitualmente para llevar a cabo proyectos de análisis y gestión de riesgos.

Valor de Activos Valor Criterio 10 Muy alto Daño muy grave a la organización 7 – 9 Alto Daño grave a la organización 4 – 6 Medio Daño importante a la organización 1 – 3 Bajo Daño menor a la organización Despreciable Irrelevante a efectos prácticos

Matriz de Impacto Acumulado Herramienta Pilar Matriz de Impacto Acumulado

Matriz de Riesgo Acumulado Herramienta Pilar Matriz de Riesgo Acumulado

Hallazgos Caída del sistema por agotamiento de recursos Suplantación de la identidad del usuario Denegación de servicio Fuego Daños por agua Desastres naturales Avería de origen físico o lógico Corte del suministro eléctrico Condiciones inadecuadas de temperatura o humedad Abuso de privilegios de acceso Acceso no autorizado Manipulación del hardware Ataque destructive

Procesos Críticos La Matriz de riesgos Acumulados muestra los activos con su respectivo riesgo, en cada dimensión de la seguridad como lo son: Disponibilidad, Integridad, Confidencialidad, Autenticidad y trazabilidad.

CONCLUSIONES DE LA TESIS La metodología MAGERIT y su herramienta PILAR, ayudan a realizar el análisis de riesgos de tecnologías de información de cualquier institución pública o privada.  Las normas ISO permitieron conocer de manera general como se encuentra actualmente la seguridad informática del Centro de datos de la Brigada No. 9 “Patria”.

CONCLUSIONES DE LA TESIS La seguridad informática permite proteger la infraestructura computacional incluyendo la información que esta contiene, por lo que debe ser implantado con normas internacionales de TI.  

CONCLUSIONES DE LA EVALUACIÓN TECNICA Disponen de normas, procedimientos y controles de la seguridad que en su mayoría están desactualizados No existen programas o capacitaciones frecuentes de seguridad No se ha realizado la clasificación de la información de acuerdo a la criticidad

RECOMENDACIONES DE LA TESIS Se recomienda utilizar la metodología MAGERIT para analizar los riesgos dentro de cualquier Institución privada o pública que tengan activos tangibles e intangibles, integrando el software PILAR para trabajar con los parámetros de riesgos que sugiere la herramienta como activos, amenazas y salvaguardas. 

RECOMENDACIONES DE LA TESIS Se recomienda manejar las medidas de seguridad para que las salvaguardas ayuden a disminuir el riesgo y sean transparentes a los usuarios. Implementar un manual de procedimientos en caso de que los riesgos se materialicen para poder tratarlos sin que se vea afectados los activos de la Institución.

Registrar y documentar los procesos, las actividades y las tareas del personal encargado del centro de datos, para de esta manera tener un control que ayude a mitigar riesgos de TI futuros.

RECOMENDACIONES DE LA EVALUACIÓN El encargado del Centro de datos debe verificar que se actualicen de manera periódica las políticas de seguridad Implementar o contratar cursos, par que los conocimientos adquiridos sean puestos en práctica. Designar de manera formal al personal encargado del Datacenter, para que se haga responsable de cada activo.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.