Seguridad de Sistemas Carmen R. Cintrón Ferrer, 2013, Derechos Reservados.

Slides:



Advertisements
Presentaciones similares
Juan Antonio Pérez-Campanero Atanasio
Advertisements

Seguridad Informática
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
ANALISIS DE RIESGOS.
Control Interno Informático. Concepto
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Comprimido ARCHIformativo
Sisdata, C.A..
CMMI.
¿Qué está haciendo el Sector Consultor?
Service Delivery & Service Support ITIL Information Technology Infrastructure Library Grupo H Consultic.
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.
La Convergencia entre la Seguridad Lógica y la Seguridad Física
COBIT: Marco de Referencia
Análisis y Gestión de riesgos en un sistema informático
Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados.
Las PyMEs son máquinas de crecimiento PyMEs representan hasta un 75% de todos los empleos en algunas economías (PyMEs) con conocimientos en tecnología.
Carmen R. Cintrón-Ferrer, 2007, Derechos Reservados.
Octubre V3.7 Presentación Corporativa. ¿Quiénes somos? Misión Ayudamos a mejorar la competitividad de nuestros clientes al proveerles Soluciones.
Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer , Derechos Reservados.
El papel de los estándares como referencia: Del IT Governance al IT Security Governance.
Carmen R. Cintrón Ferrer, 2010, Derechos Reservados.
EJERCICIOS MÓDULO III Carmen R. Cintrón Ferrer, 2010, Derechos Reservados Auditoría de Redes.
Análisis y Diseño Módulo de Implantación Carmen R. Cintrón Ferrer, Derechos Reservados.
CMMI Carlos Mario Zapata J. 4/13/2017 Calidad de Software.
Análisis y Gestión de Riesgos
Estándares de Software + IEEE/EIA 12207
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
Ejercicios Auditoría de Redes Carmen R. Cintrón Ferrer, 2007, Derechos Reservados.
4/26/2015Gestión de Proyectos de Software1 RISK MANAGEMENT Carlos Mario Zapata J.
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Gestión de la Continuidad del negocio BS BCI
Entrega de Servicios de TI1Copyright 2008 Tecnotrend SC Entrega de Servicios de TI.
“Generación de un Plan estratégico tecnológico, caso TI (PETi) : un enfoque de Sistemas y Gestión” Luis Hevia.
Estandares y Normas Universidad Tecnológica Nacional -FRBA.
2.- Planificación Básica DEPARTAMENTO DE INGENIERÍA INFORMÁTICA
Information Assurance Management-NSA Model GSI732 – Introducción a Seguridad Carmen R. Cintrón Ferrer, 2004, Derechos Reservados.
CODIGO 7. SECURITY – SEGURIDAD FISICA Y DE LA INFORMACION.
1.8.3 Métricas de Alineación Estratégica
Evaluación de riesgos de la entidad
TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):
Formación en el Código PBIP para OPB/OCPM’s For the benefit of business and people.
AUDITOR AMBIENTAL LÍDER ISO 14001:2004 Introducción a los Sistemas de Gestión Ambiental.
©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.
CIGRAS 2012 Incidentes de Seguridad Informática en las Empresas CSIRT: un modelo de respuesta Dr. Ing. Gustavo Betarte
Academia Latinoamericana de Seguridad Informática Módulo 2
Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer , Derechos Reservados.
NCH2777 Gestión de la Continuidad del Negocio Alumno: Patricia Linconao Fecha:
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
EJERCICIOS MÓDULO VI Carmen R. Cintrón Ferrer, , Derechos Reservados Auditoría de Redes.
©Copyright 2013 ISACA. Todos los derechos reservados. 2.4 Visión general de la gestión de riesgos Desafíos de la gestión de riesgos Existe un alto potencial.
Proveedores de servicios externos
EJERCICIOS MÓDULO IV Carmen R. Cintrón Ferrer, , Derechos Reservados Auditoría de Redes.
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
IT Governance Bibliografía:
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
Conozca como implementar ITIL en su organización Angélica Guzmán AVAILABILITY MANAGEMENT Consultor de Soluciones.
Conozca como implementar ITIL en su organización
Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe
Témoignage et réflexions autour de l'EAD
Keynote IBM Rational Software Development Conference 2008 © 2008 IBM Corporation ® Estrategia IBM Software Habilitando la innovación en un mundo complejo.
Auditoría y Seguridad de Sistemas de Información Normativas Vinculadas Al Tema de Auditoría y Seguridad en los SI MBA Luis Elissondo.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Conozca como implementar ITIL en su organización Angélica Guzmán Incident Management Consultor de Soluciones.
Transcripción de la presentación:

Seguridad de Sistemas Carmen R. Cintrón Ferrer, 2013, Derechos Reservados

Cuándo se maneja riesgos, evalúan controles, pondera efectividad de medidas (safeguards) Apoya: Tomar decisiones, identificar amenazas y vulnerabilidades, avalar controles Componentes: Ámbito Áreas críticas Persona(s) responsible(s) Tipos de avalúo de riesgo: Cuantitativo: Single loss expectancy, Annual rate of occurrence, Annual los expectancy, Safeguard value Cualitativo: Probability, Impact 2Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Metodología Avalúo de riesgos (RA)

Identificar Activos Actividades Ponderar amenazas Constatar vulnerabili dades Avalar Riesgos Valor Actual Costo Reemplazo Cumplimiento Adoptar Controles 3Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Avalúo de Riesgos Proceso

Equipo Programación: Plataformas Aplicaciones Información: Propietaria: (IP) organizacional ó 3ros Transaccional: pública, privada, 3ros Personal (staff) Respaldo de sistemas: Funciones esenciales, críticas/no críticas Acceso y/o disponibilidad Acceso a sede física/virtual Disponibilidad de avíos (supplies) 4Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Avalúo de riesgos Activos

Pública Transaccional Propietaria Externa Interna Clientes Empleados Proveedores Tendencias ( Business Intelligence) Configuración de sistemas Patentes Marcas Secretos negocio Copyrights Datos ( clientes ) ó ( Business Intelligence) 5Carmen R. Cintrón Ferrer, 2013, Derechos Reservados

Sistema o componente Posibles amenazas Historial de ataques Vulnerabilidad(es ) Pérdidas 6Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Modelar amenazas

Ámbito – Sistemas de información (IT) Objetivos para cada activo: Impacto directo por periodo(s) de tiempo Impacto indirecto por periodo(s) de tiempo Respaldo funciones críticas/esenciales Calcular impacto/pérdidas/costos Avalar/Estimar brecha 7Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Business Impact Analysis Gap Analysis

ComponentesEjemplo análisis cuantitativo EquipoSLEAROALESV Portátil$1,2503$3750 Lo-Jack Seguro =45*50 $2,250 CBA$1,500 Single loss expectancy (SLE) Annual rate of occurrence (ARO) Annual loss expectancy (ALE) SLE * ALE Safeguard value (SV) Cost Benefit Analysis (CBA) Controles cuantitativos 8Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Control pérdida equipo/datos - Portátiles Costo promedio unitario - $1250 Costo unitario controles Lo-Jack SW - $29 Seguro - $16

Acopio de riesgosMatriz de riesgos EscenarioProbabilidadImpact o Interrupción de servicios BajoMediano Pérdida o robo de datos MedianoAlto Ataque a sede WEB AltoBajo Avalúo de riesgos Cualitativo 9Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Leyenda: (Bajo-B, Mediano-M, Alto- A)

Tipo de medida de control Impacto neto de la(s) medidas ControlInterrupe servicios Robo de datos Ataque a sede WEB Tecnologías IT -HWMedia Alta BKupAlta CulturaBajaAltaMedia Fault- TolerantAltaBajaMedia Integrar tecnologías de protección (IT-HW) Fortalecer mecanismos de copias de resguardo (Bkup) Educar a usuarios (Cultura) Añadir sistemas redundantes (Fault Tolerant) Medidas de control 10Carmen R. Cintrón Ferrer, 2013, Derechos Reservados

Objetivo(s) Enfoque utilizado (cualitativo/cuantitativo) Análisis de impacto Análisis de efectividad control(es) vigente(s) Análisis de costo-beneficio control(es) contemplado(s) Análisis de rendimiento control(es) recomendado(s) Recomendaciones Impacto organizacional/operacional recomendaciones Reseña de resultados esperados luego de implantar controles 11Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Análisis de controles

CategoríaNISTControl Gerencial Autorización (Security and Assessment) Planificación (Planning) Avalúo de riesgo (Risk Assessment) Adquisición y disposición (System and Services Acquisition) Gestión de programa Políticas y procedimientos Plan de seguridad Cubierta de seguros Verficiación de personal Códigos de conducta Técnico Control de acceso Auditoría y responsabilidad (Audit & Accountability) Autenticación (AAA) Protección de sistemas de comunicación Login ID Logs & Session timeout Input validation Encription Operacional Concienciación Configuración de sistemas Planeación de contingencias (BCP) Respuesta a incidentes (CERT) Mantenimiento y protección Seguridad del personal Integridad de sistemas Control acceso físico Guardias seguridad Cámaras seguridad Detector humo, agua, temperatura/humedad Plantas emergencia Plan Contingencia 12Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Categorías de control

Risk Assessment Business Impact & Gap Analysis Risk Mitigation Plan Implement & Audit 13Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Plan de Seguridad

Costo de implantar medidas de control recomendadas (TCO): Adquisición Habilitar área Instalación Adiestramiento Mantenimiento Tiempo de implantación operacional: Impacto en la infraestructura Impacto en la organización Impacto (efectividad) operacional de los controles: Matriz de impacto y priorización de controles Análisis de costo/beneficio Gestión del Plan (Project management & Plan Audit): Cumplir con presupuestos Cumplir con itinerarios Manejar cambio(s) de cultura Asegurar se integren los controles Validar se redujo o cerró la brecha (Gap Analysis) 14Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Plan de Mitigación

Plan de continuidad de negocios (BCP) Plan de recuperación de desastres (DRP) Equipo de Respuesta a escenarios de emergencia (CERT) Plan de Concienciación (Awareness Plan) Políticas de seguridad (IT Security Policies): Marco o entorno (Framework): Access Control: User s Policy, Priviledge Access Agreement, Security Awareness Communications and Operations Physical Security Human Resources Security Asset Management Compliance Management Hacer valer (Enforcement) Implantación (Implementation) 15Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Mitigación de riesgos

Basic Documentation Control Standards Baseline Standards: Audit (logs) storage and Records Standard Remote Maintenance Standard Firewall Baseline Security Standard Router Baseline Configuration IDS/IPS Intrusion Detection Standard Server Baseline Configuration Standard Procedure Documents Guidelines Policies: Workstation Domain WAN-LAN Domain Wireless Access Domain System Applications Domain Telecommunications: VoIP, Bluetooth, BYOD Data Classification and Data Handling 16Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Infrastructure Policies and Standards

Strategic (direction by objectives): Strategic Alignment implies: Clearly defined objectives Risks and security implications Boundaries of acceptable risk Trade-offs: Cost of risk Value of benefit to users and/or Cost of inconvenience Cost of incremental limitations Cost of remedial processes 17Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Management Metrics

Management (location, attitude, acceptable limits, focus) Risk Management: Organization’s Risk Tolerance Comprehensive Resource Evaluation Complete Risk Assessment Business Impact Assessment of importan systems Test control effectiveness and reliability Known level of metric accuracy and reliability Assurance Process Integration Value Delivery – Optimizing Investments to Support Objectives: Objectives Effectiveness meassure Degree required or targeted Cost Resource Management –Effective & Efficient use of Organizational Resources Resource Optimization for effectiveness Process Optimization and monitoring for effectiveness Performance Monitoring 18Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Management Metrics

Operational (functionality, issues, predictive): 19Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Management Metrics

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.