La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas.

Publicada porFredy Molina Modificado hace 5 años

Presentaciones similares

Presentación del tema: "La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas."— Transcripción de la presentación:

1 La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas Blas Piñero Uribe, CISA Oracle Consulting

2

3 Estandares de seguridad IT

4 Gestión de la Seguridad IT: ISO 27001

5 La evolución de los estándares

6 ISO27001 Sistema de Gestión de la Seguridad de la Información (SGSI) Adopta la metodologia PDCA,

7 PDCA Model

8 En la actualidad La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502: –27000: Definiciones y términos (draft) –27001: Implantación del SGSI (Certificable) evolución de BS-7799-2 y equivale a UNE 71502 –27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas. –27003: Guía de implementación (draft). –27004: Indicadores y metricas (draft). –27005: Gestión y evaluación de riesgos (draft).

9 ISO27001 1)Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información 2)Tiene en cuenta requerimientos legales, de negocio y contractuales 3)Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI 4) Establece los criterios de evaluación del riesgo

10 ISO 27002 Con origen en la norma británica BS7799- 1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información. Establece la base común para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información. 36 objetivos de control y 127 controles.

11 Dominios ISO 27002 1.Política de Seguridad 2.Organización de Seguridad 3.Clasificación y Control de Activos 4.Aspectos humanos de la seguridad 5.Seguridad Física y Ambiental 6.Gestión de Comunicaciones y Operaciones 7.Sistema de Control de Accesos 8.Desarrollo y Mantenimiento de Sistemas 9.Plan de Continuidad del Negocio 10.Cumplimiento Legal

12

13 ISO/IEC 17799:2005 vs LOPD/RMS

14 Adecuaci ó n LOPD – Control de acceso Art. 12.1 Los usuarios tendr á n acceso autorizado ú nicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. (Nivel b á sico) Art. 24.3 Los mecanismos que permiten el registro de los datos detallados en los p á rrafos anteriores estar á n bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ning ú n caso, la desactivaci ó n de los mismos. (Nivel alto) Caracter í sticas Bloqueo de acceso al DBA u otros usuarios privilegiados a datos corporativos (datos confidenciales, DBAs externos) Restricci ó n de comandos privilegidos ( DBA) basado en filtrado de direcci ó n IP Protecci ó n de los datos frente a modificaciones no autorizadas (Integridad) Fuerte control de acceso sobre los datos corporativos Cumplimiento Aplicaci ó n Control de acceso Segregación de funciones Adecuaci ó n marco normativo de seguridad corporativa – Procedimiento de control de acceso; Funciones y obligaciones del personal Adecuaci ó n UNE 72501 e ISO/IEC 27002 – A.11 Control de accesos; A.10.1.3 Segregaci ó n de funciones Ayudas Tecnologicas: Oracle Database Vault

15 ¿Para que sirve Database Vault? Protege la Base de Datos con Separación de Derechos por Aplicación/Usuario/Objeto Permite implementar controles de visualización de los Datos de Aplicación por Usuario Permite limitar a los DBA’s y Super Usuarios el acceso a los Datos Sensibles o Protegidos por LOPD Permite administrar los Objetos, aún cuando se limite el acceso a los datos. Proporciona un conjunto de Informes de Seguridad para control y seguimiento de las medidas implementadas

16 Oracle Database Vault Realms DBA HR DBA HR HR Realm HR El administrador de la BD ve los datos de RRHH select * from HR.emp Eliminamos el riesgo de incumplimiento legal o robo de datos Fin FIN DBA El administrador de RRHH ve los datos de Financiero Eliminamos el riesgo derivado de la consolidacion de servidores Fin Realm Fin

17 Oracle Database Vault Rules & Multi-factor Authorization DBA HR DBA HR El administrador de la BD intenta un “alter system” remoto alter system……. Reglas basados en dirección IP bloquean la acción create … El administrador de RRHH realiza acciones no autorizadas en producción. 3pm Monday Reglas basadas en fecha/hora bloquean la acción HR Realm HR

18 ISO 27002 Dominio 7 CONTROL DE ACCESO –Requisitos de la Organización para el control de acceso –Administración del acceso de usuarios –Responsabilidades de los usuarios –Control de acceso de la Red –Control de acceso al Sistema Operativo –Control de acceso de las Aplicaciones –Acceso y uso del Sistema de Monitoreo –Computadoras móviles y trabajo a distancia

19 El problema de la gestión de identidades....

20 Gestion de Identidades ¿Qué es una identidad? Una identidad es un conjunto de identidades parciales. Cada identidad parcial corresponde a un rol en un entorno

21 Nuevos Empleados entran en la Empresa Cambios y Soporte a Usuarios Empleados dejan la Empresa Cuentas & Políticas Registro/Creación Propagación Mantenimiento/Gestión Revocación Ciclo de Vida de la Identidad Digital

22 El problema de las identidades El problema: Islas de Información Cada Usuario tiene multiples identidades parciales, una en cada entorno. CONSECUENCIAS Multiples puntos de administración. Multiples administradores Inconsistencia de datos Falta de una “vista”unificada de la identidad

23 Oracle Identity Management

24 Auditoria de Acceso a datos Art. 24REGISTRO DE ACCESO, exige (nivel alto): 1.Identificación, Dia/hora, Fichero y resultado 2.Identificación del registro accedido 3.Mecanismos no desactivables 4.Conservación dos años 5.Informe mensual de revisiones de control- responsable Seguridad Corresponde al dominio 10 ISO

25 ¿ Qué es Audit Vault? Herramienta de Seguridad enfocada a la Auditoria de Accesos a Datos y uso de Privilegios Se proporciona con el Núcleo de Base de Datos 10gR2 Dispone de un Intefaz Gráfico para Administrar las diferentes Políticas de Auditoria Permite Auditar B.D. 9iR2 a 10GR2 Protege, Consolida, Detecta, Monitoriza, Alerta

26 ¿ Para qué Sirve Audit Vault ? Adaptación a la LOPD o ISO 27001 de manera no traumática Identifica Quién y Cuándo ha accedido a Datos Protegidos o Sensibles de la B.D. Identifica Quién y Cuándo ha realizado un uso inadecuado de Privilegios en B.D. Eficiente herramienta de Control y Seguimiento Permite análizar las trazas recopiladas mediante una herramienta de Reporting. Recopila Trazas de Múltiples orígenes (SqlServer, DB2..)

27 Funcionalidades Audit Vault

28 Preguntas…..

Descargar ppt "La tecnología como facilitador del cumplimiento de los controles de un SGSI. Aproximación práctica de las soluciones que ofrecen las herramientas tecnológicas."

Presentaciones similares

Diciembre de 2013 Ponente: Luis Miguel González Ulloa Director Jurídico Unión Colegiada del Notariado Colombiano “U.C.N.C.” “ Jornada para la Implementación.

Diciembre de 2013 Ponente: Luis Miguel González Ulloa Director Jurídico Unión Colegiada del Notariado Colombiano “U.C.N.C.” “ Jornada para la Implementación.
ESTRATEGIA GOBIERNO EN LINEA Fundamentos Arquitectura Empresarial

ESTRATEGIA GOBIERNO EN LINEA Fundamentos Arquitectura Empresarial
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
 La serie de normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.

 La serie de normas ISO/IEC son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.
Unidad de ejecución curricular: GESTIÓN GUBERNAMENTAL Semestre académico: Ciclo: VI Docente responsable: CPC. William A. Chauca Castro Semana: 4.

Unidad de ejecución curricular: GESTIÓN GUBERNAMENTAL Semestre académico: Ciclo: VI Docente responsable: CPC. William A. Chauca Castro Semana: 4.
La Norma ISO 25000, proporciona una guía para el uso de las series de estándares internacionales llamados requisitos y Evaluación de Calidad de Productos.

La Norma ISO 25000, proporciona una guía para el uso de las series de estándares internacionales llamados requisitos y Evaluación de Calidad de Productos.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS

PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
APLICACIÓN DE CONTROL INTERNO EN PyMEs

APLICACIÓN DE CONTROL INTERNO EN PyMEs
Sistemas de Gestión.

Sistemas de Gestión.
DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO

DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO
UNIVERSIDAD NACIONAL DE TRUJILLO

UNIVERSIDAD NACIONAL DE TRUJILLO
SEGURIDAD Y SALUD EN EL TRABAJO

SEGURIDAD Y SALUD EN EL TRABAJO
Plan Estratégico 2016 – 2020.

Plan Estratégico 2016 – 2020.
CONTROL INTERNO.

CONTROL INTERNO.
Business Continuity.

Business Continuity.
Herramienta de Gestión de Inventario de Activos

Herramienta de Gestión de Inventario de Activos
GESTIÓN HSEQ.

GESTIÓN HSEQ.

Presentaciones similares

Anuncios Google