Academia Latinoamericana de Seguridad Informática Módulo 2

Slides:



Advertisements
Presentaciones similares
ESTRATEGIA E-BUSINESS
Advertisements

Intranets P. Reyes / Octubre 2004.
DESARROLLANDO EL PLAN DE TRABAJO
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
Aspectos Organizativos para la Seguridad
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Análisis y gestión de riesgos en un Sistema Informático
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Guía para la evaluación de seguridad en un sistema
Sistema de Gestión de la Calidad
Medición, Análisis y Mejora
Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO
ESCUELA POLITÉCNICA DEL EJÉRCITO
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
AUDITORÍA DE SISTEMAS UNIDAD 2.
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
GESTION DEL RIESGO – CLASIFICACION POR PROCESOS
Lic. Julio César Sauceda Ramos
Tema 3. Plan de Mejora.
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
A NÁLISIS DE R IESGOS Tercer Corte. I NTRODUCCIÓN Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas.
METODOLOGÍA PARA EL ABORDAJE DE LA COMUNIDAD TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE INFORMACIÓN Nelly Meléndez G.
Análisis y Gestión de Riesgos
Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar.
DE SEGURIDAD INFORMÁTICA.
DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Gestión de la Continuidad del negocio BS BCI
AUDITORIA DE LA OFIMATICA
Ing. Sergio León Maldonado
Análisis y diseño detallado de aplicaciones informáticas de gestión
EMPRESA SOCIAL DEL ESTADO HOSPITAL EL CARMEN DEL MUNICIPIO DE AMALFI POLÍTICA DE ADMINISTRACIÓN DEL RIESGO (Resolución 182 de 2008) EMPRESA SOCIAL DEL.
1. 2 Oferta académica Introducción 3 Objetivos  Comprender el concepto de Seguridad de la Información como un proceso relacionado con la gestión del.
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Políticas de defensa en profundidad: - Defensa perimetral
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor.
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
Programa de Administración de Riesgos.
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
Nombre: Hebert Rangel Gutierrez Matricula: Materia: Base De datos Cuatrimestre: 3er Profesor: Nasheli López Bautista Carrera: Licenciatura en.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Contenido Comunidades de aprendizaje… ¿Por qué son importantes ?
Asesoría Relacionada a la Seguridad. Balance de Seguridad.
ANALISIS SEGURO DE TRABAJO (AST)
Seguridad de la información en las aplicaciones de facturación electrónica.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Sistema Integral de Información y Atención Ciudadana
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
PLAN DE CONTINGENCIA Y EMERGENCIA
Auditoria de comunicación interna ¿En qué consiste?
TIC I: Seguridad Informática. Gestión del riesgo.
Transcripción de la presentación:

Academia Latinoamericana de Seguridad Informática Módulo 2 Christian Linacre Arquitecto IT Microsoft Cono Sur

Agenda Introducción Concepto de análisis de riesgo Momento y ámbitos del análisis de riesgos Actividades del análisis de riesgos Relevancia de los procesos de negocios y activos Definición del equipo involucrado y entrevistas a los usuarios Análisis técnico Relevancia de los activos Resultados del análisis de riesgos

Introducción Enemigo hoy es más rápido, más difícil de detectar y mucho más atrevido Conocer las organizaciones Composición Criticidad Procesos clave de negocios Descubrir las amenazas potenciales Determinar las vulnerabilidades PROTEGER

Concepto de análisis de riesgo Amenazas se pueden convertir en realidad a través de fallas de seguridad Fallas de seguridad = vulnerabilidades Eliminarlas para proteger el ambiente Lograr un ambiente libre de riesgos de incidentes de seguridad Análisis de riesgo busca priorizar las acciones de seguridad amenaza-incidente-impacto

Concepto de análisis de riesgo Amenaza Agentes que aprovechan vulnerabilidades Incidente Hechos a ser evitados porque generan problemas en la organización Impactos Efectos que producen los incidentes Tienen amplitud y gravedad Ejemplos: pérdida de un documento confidencial, eventos de la naturaleza

Definición de análisis de riesgos Actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización Identifica los riesgos a los que está expuesta una organización Determina la recomendaciones de seguridad

Definición de análisis de riesgo ¿Debemos eliminar TODOS los riesgos? Realizar un análisis de COSTO – BENEFICIO Crear conciencia que la reducción de riesgos beneficia a Las personas La organización Holísticamente

Qué hemos revisado Conceptos de análisis de riesgos Amenaza Incidente Impacto Relación Costo – Beneficio

Momento y ámbitos del análisis de riesgos Tecnológico Humano Procesos Físico ¿Cuándo? antes o después de la definición de una política de seguridad (para ISO 17799 puede ser después)

Política de seguridad y análisis Política de seguridad es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos La política afecta el análisis porque: La política de seguridad delimita el alcance del análisis Permite ser selectivo en la verificación de activos que la política establece como vulnerables El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla

¿Cuando realizar el análisis? Después de la política A mayor daño potencial menor debe ser el tiempo tomado para realizar el análisis de riesgos

Ámbitos del análisis de riesgos Tecnológico Obtener el conocimiento de las configuraciones y de la disposición topológica Aplicaciones y equipos usados por las personas Humano Entender las maneras en que las personas se relacionan con los activos Identificar vulnerabilidades en los activos de tipo usuario y organización Ojo: nivel de capacitación de las personas

Ámbitos del análisis de riesgos Procesos Identificar los eslabones entre las actividades y los insumos necesarios para su realización Enfoque principal es del tipo usuario e información Físico Activos del tipo organización que proveen el soporte físico al entorno en que está siendo manipulada la información Accesos indebidos e impacto de desastres

Qué hemos revisado Ámbitos de análisis de riesgo Políticas de seguridad Factores que afectan el análisis de riesgo

Actividades del análisis de riesgos Un análisis de riesgos se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar , saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo Para definir que hacer debemos conocer las vulnerabilidades más comunes Para comprender mejor vamos a utilizar una empresa hipotética de ejemplo

Actividades del análisis de riesgos Empresa Internet Banking Identificar los procesos de negocios de la organización en que se desea implementar o analizar el nivel de seguridad de la información Definición del ámbito del proyecto de análisis de riesgos Realización de análisis donde sea realmente necesario, en base a la relevancia del proceso de negocio y sus activos para alcanzar los objetivos de la organización Por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones.

Actividades del análisis de riesgos Humanos: personas que hacen uso del Internet Banking; soporte a los usuarios Administradores de los activos en la organización responsables de la planeación y coordinación del trabajo equipos que actúan en la definición de las políticas y procedimientos para la realización del proceso de negocio Tecnológicos: servidores de archivos, en los que se encuentran la información sobre el producto, servidor de base de datos que almacena la información de las cuentas de los clientes del Internet Banking; un servidor de correo electrónico (para envío de estado de cuenta por correo electrónico); un servidor Web, que permite que se hagan consultas al producto por Internet elementos de una red de comunicación para el envío y recepción de la información (firewall, router, parámetro, conexión)

Actividades del análisis de riesgos Procesos: estructura organizacional humana que ha sido establecida para la realización del proceso de negocio definición de los equipos para la mantención y garantía de la continuidad de los activos de tecnología del proceso personas y el flujo de actividades relacionadas a la atención a los clientes flujo de información para la realización de una transacción por el banco virtual Físicos: ambiente operativo lugar de trabajo de los equipos involucrados lugar almacenamiento de la información crítica puestos de atención al cliente

Qué hemos revisado Dónde y cómo aplicar el análisis de riesgo Humano Tecnológico Procesos Físicos

Relevancia de los procesos de negocio y sus activos Obtener beneficios del análisis de riesgo: prioridades a lo largo de cada uno de sus procesos de negocio Crear un plan estratégico basado en la importancia e impacto Distinguiendo activos y PROTEGERLOS a través de las acciones de seguridad Empezando por: Áreas más estratégicas que tengan impacto mayor si ocurre un incidente

Identificación de la relevancia de los procesos

Identificación de la relevancia ¿Sabe usted que procesos son de mayor relevancia para los negocios de la empresa? ¿Esta conciente de qué actividades dentro de la empresa son las más afectadas actualmente por ataques internos y externos?

Identificación de la relevancia de los activos Cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico ¿Por qué? Para evitar invertir en seguridad donde no sea verdaderamente necesario o donde no sea prioritario La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa

Identificación de la relevancia de los activos Identificar los puntos débiles para que sean corregidos disminuir las vulnerabilidades Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas Permitir una gestión periódica de seguridad identificar nuevas amenazas y vulnerabilidades verificación de la eficacia de las recomendaciones provistas.

Qué hemos revisado Relevancia de Metodo STRIDE Procesos de negocios Activos Metodo STRIDE

Definición del equipo involucrado y entrevistas a los usuarios Dimensionar el recurso humano para la elaboración del análisis de riesgos Fuerza de trabajo necesaria Entrevista a los usuarios que permite conocer cada uno de los procesos de la empresa a través de los actores que los llevan a cabo

Definición del equipo involucrado

Entrevista a los usuarios Guía de los análisis técnicos Rastrean a los involucrados con la administración de los activos Detectar vulnerabilidades y amenazas al proceso de negocio Detectar nuevos elementos humanos o tecnológicos que hacen parte del proceso de negocio

Entrevista a los usuarios Permite sobre los procesos de negocio: Obtener detalles sobre cómo son gestionados, implementados y utilizados Hacer un mapeo de la criticidad de estos procesos frente a las circunstancias organizacionales a que está sometido Definir el nivel de capacitación necesaria del equipo involucrado en su sustentación Conocer la forma con que se da el flujo de información dentro del proceso Conocer la forma de uso y tratamiento de sus productos derivados

Qué hemos revisado Definición del equipo involucrado para realizar analisis de riesgos Metodología de entrevistas a los usuarios de procesos de negocios

Análisis técnico de seguridad Es recolectar información de los activos: Configuración Estructura en la red de comunicación Forma de administración de sus responsables Para identificar la utilización y manipulación Encontrar vulnerabilidades de seguridad Potenciales Presentes

Análisis técnico de seguridad Estaciones de trabajo configuraciones para evitar que los usuarios permiten la acción de amenazas Servidores archivos de configuración y de definición de usuarios que tienen derechos de administración Equipos de conectividad detección de configuraciones que ponen en riesgo las conexiones realizadas por la red de comunicación que respalda un proceso de negocio

Análisis técnico de seguridad Conexiones Análisis topológico y la representación topológica de la red Bases de datos privilegios de los usuarios con relación a los permisos de uso Aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de cada usuario

Qué hemos revisado Análisis técnico de seguridad Estaciones de trabajo Servidores Comunicaciones y conectividad Bases de datos Aplicaciones

Análisis de seguridad física Vulnerabilidades del entorno físico que puedan poner en riesgo los activos del ambiente en que se encuentren ¿Por qué? Para garantizar la continuidad y buen funcionamiento de las actividades individuales La organización del espacio físico permite tener un área de trabajo segura Se inicia con una visita técnica en los entornos

Análisis de seguridad física Disposición organizativa Donde y como se organizan los activos Sistemas de combate contra incendios Detectores de humo, sistemas de extinción Controles de acceso Cámaras de vídeo, biometría Exposición a clima y medio ambiente Ubicación de puertas y ventanas Topografía Ubicación geográfica del datacenter

Qué hemos revisado Análisis de seguridad física Áreas a analizar Vulnerabilidades posibles Importancia

Relevancia de los activos para el análisis de riesgos El análisis de riesgo sugiere la valoración de la relevancia del proceso de negocio A mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste …y mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso La relevancia permite PRIORIZAR

Resultados del análisis de riesgos Análisis de Riesgos: herramienta para el tratamiento de las vulnerabilidades Permite establecer políticas para la corrección de los problemas ya detectados Permite corregir el entorno Permite implementar el tratamiento de las vulnerabilidades Gestión de seguridad de ellos a lo largo del tiempo

Resultados del análisis de riesgos ¿El resultado? informes de recomendaciones de seguridad Para evaluar los riesgos Conocer los activos de los procesos de negocio Matriz de valor crítico Entrega la situación de seguridad de los activos Datos cualitativos y cuantitativos Lista vulnerabilidades, amenazas potenciales y respectivas recomendaciones de seguridad

Resultados del análisis de riesgos Aumenta la seguridad en la organización Pero es sólo el DIAGNÓSTICO A partir del análisis se pueden implementar medidas Correctivas Preventivas Perceptivas ¿Después? La política de seguridad que es el establecimiento de normas de seguridad

Qué hemos revisado Conceptos de análisis de riesgos Importancia de analizar adecuadamente los resultados del análisis de riesgos

Preguntas © 2005 Microsoft Corporation. Todos los derechos reservados. Este documento es sólo para fines informativos. MICROSOFT NO OFRECE GARANTÍA ALGUNA, EXPRESA O IMPLÍCITA, EN ESTE RESUMEN.

Gracias © 2005 Microsoft Corporation. Todos los derechos reservados. Este documento es sólo para fines informativos. MICROSOFT NO OFRECE GARANTÍA ALGUNA, EXPRESA O IMPLÍCITA, EN ESTE RESUMEN.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.