La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Guía para la evaluación de seguridad en un sistema

Publicada porIsmael Melgoza Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Guía para la evaluación de seguridad en un sistema"— Transcripción de la presentación:

1 Guía para la evaluación de seguridad en un sistema
II Congreso de Seguridad Informática Guía para la evaluación de seguridad en un sistema Luz Marina Santos Jaimes Universidad de Pamplona

2 CONTENIDO Introducción Aplicación de los Métodos Análisis de Riesgos
Checklist Auditoria Conclusiones Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

3 INTRODUCCION Las empresas tienen la cultura de seguridad informática?
Todas las metodologías de evaluación de seguridad llegan a un punto donde se preguntan. Cómo valorar el impacto que causaría a un sistema la consecución de una amenaza? En áreas donde las pérdidas esperadas y la frecuencia de las amenazas pueden definirse en términos cualitativos o cuantitativos, el análisis de riesgos puede ser empleado. Requerimientos de seguridad adicionales pueden ser determinados con otros métodos, por ejemplo la auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

4 APLICACIÓN DE LOS METODOS
Cuándo aplicar un método? Análisis Riesgos Checklist Auditoria Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

5 PROS/CONTRAS Cultura del riesgo Expresa en mejores términos las pérdidas al ocurrir un evento desfavorable. Metodología cuantitativa Valoraciones son objetivas. Valor de la información en términos monetarios. Presupuesto destinado a la seguridad del sistema esta basado en análisis confiables y bien sustentados.  resistencia a su aplicación proceso que requiere tiempo y de información disponible. Proceso costoso. Requiere ayuda de herramientas Requieren una cantidad sustancial de información. No existe un estándar sobre amenazas y sus frecuencias. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

6 PROS/CONTRAS Metodología cualitativa No es necesario contar con datos estadísticos Checklist Existen en forma abundante y libre. Fácil de aplicar, resumir y comparar. Flexibles Su análisis es rápido. Se pueden aplicar medidas correctivas de inmediato Valoración es esencialmente subjetiva. La percepción de valores puede no reflejar realmente el actual valor del riesgo. Arbitrario y subjetivo Necesitan actualizarse constantemente. Pueden no tratar necesidades de un sistema particular. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

7 PROS/CONTRAS Auditoría Propicia el mejoramiento de procedimientos en el sistema. Reduce errores organizacionales Promueve la aplicación de las políticas y estándares de seguridad. Descubre nuevas amenazas al sistema. (Retroalimenta el análisis de riesgos) Aptitud negativa de los encargados de las partes auditadas. Requiere tiempo y esfuerzo. Requiere tener pistas de auditoria Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

8 ANALISIS DE RIESGOS Qué podría ocurrir?
Sí ocurre, cuánto daño podría causar? Qué tan a menudo podría ocurrir? Qué puede ser hecho? Cuál es el costo de la medida? Es la medida efectiva? Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

9 ANALISIS DE RIESGOS (Cont.)
Etapas del análisis de riesgos: Planeación del análisis de riesgos Identificación de amenazas y vulnerabilidades Valoración del impacto y frecuencia de ocurrencia de las amenazas Cálculo del riesgo Tratamiento del riesgo Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

10 ANALISIS DE RIESGOS (Cont.)
ANALISIS DE RIESGOS (Cont.) Recurso Amenaza Vulnerabilidades Recurso 1 Amenaza 1 Vulnerabilidad 1 Vulnerabilidad 2 ... Amenaza 2 Recurso 2 Integridad Datos Confiden-cialidad Disponibilidad Modificac. Destrucción 2hrs 24hrs 72hr Recurso Amen. 1 i f i f Amen. 2 Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

11 ANALISIS DE RIESGOS (Cont.) Posibilidad de ocurrencia
Impacto Alta Media Baja A M B El proceso final es la mitigación del riesgo, en caso de que la acción sea eliminar o reducir el riesgo. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

12 CHECKLIST Consiste en revisar si existen controles: Administrativos
Operativos Técnicos Se verifica que se cumplan los principios de seguridad generalmente aceptados GSSPs. Se pueden aplicar listas de chequeo técnicas a partes del sistema en particular por ej: sistemas operativos. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

13 CHECKLIST (Cont.) A B C D E F R1 I N P
A, B ... corresponde a cada uno de los controles técnicos I, P,V, N,X estado en el que se encuentran cada uno de los controles para cada recurso del sistema. A B C D E F R1 I N P Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

14 AUDIT La auditoria examina si el sistema esta cumpliendo con los controles y políticas de seguridad que previamente se definieron. Se toma documentación existente en cuanto a: políticas, análisis de riesgos, descripción de procesos, lista de controles.La ausencia de algún documento amerita la recomendación de la realización del mismo. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

15 AUDIT (Cont.) Establecimiento de Logs
Intento de logearse, Identidad, Fecha, Tiempo de cada intento de entrada, Fecha y tiempo de salida, Dispositivos usados, Las funciones ejecutadas Aplicación del control de Logs Definición e implantación Revisión Control de acceso Reconstrucción de eventos Detección de intrusos Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

16 CONCLUSIONES Los encargados de seguridad sólo miran un mecanismo de evaluación sin aplicar los demás. Realización de matrices para determinar los elementos del riesgo en forma cualitativa de alto, medio, o bajo. En Colombia no se cuenta con registros a cerca de incidentes de seguridad, es importante empezar a establecer esta base de información. Es importante verificar la aplicación de estándares y políticas de seguridad mediante checklist y auditoria. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

17 CONCLUSIONES El análisis de riesgos no debe limitarse a realizarse una sola vez, está inmerso en un ciclo de vida que requiere retroalimentación. Es recomendable aplicar controles de seguridad, no por intuición, sino aplicar aquellos que se recomienden resultado de una exhaustiva evaluación de seguridad. Guía para la evaluación de Seguridad - Luz Marina Santos Jaimes

Descargar ppt "Guía para la evaluación de seguridad en un sistema"

Presentaciones similares

SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
COSO I y COSO II.

COSO I y COSO II.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Evaluaciones de Sistemas de Administración de la Seguridad SMSA

Evaluaciones de Sistemas de Administración de la Seguridad SMSA
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
GESTIÓN DE LOS COSTOS DEL PROYECTO

GESTIÓN DE LOS COSTOS DEL PROYECTO
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
Buenos Aires , Argentina, Octubre de 2010

Buenos Aires , Argentina, Octubre de 2010
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Metodologías de Auditoría Informática y Control Interno

Metodologías de Auditoría Informática y Control Interno

Presentaciones similares

Anuncios Google