La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de Sistemas Carmen R. Cintrón Ferrer, 2013, Derechos Reservados.

Publicada porElvira Ojeda Gutiérrez Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Seguridad de Sistemas Carmen R. Cintrón Ferrer, 2013, Derechos Reservados."— Transcripción de la presentación:

1 Seguridad de Sistemas Carmen R. Cintrón Ferrer, 2013, Derechos Reservados

2 Cuándo se maneja riesgos, evalúan controles, pondera efectividad de medidas (safeguards) Apoya: Tomar decisiones, identificar amenazas y vulnerabilidades, avalar controles Componentes: Ámbito Áreas críticas Persona(s) responsible(s) Tipos de avalúo de riesgo: Cuantitativo: Single loss expectancy, Annual rate of occurrence, Annual los expectancy, Safeguard value Cualitativo: Probability, Impact 2Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Metodología Avalúo de riesgos (RA)

3 Identificar Activos Actividades Ponderar amenazas Constatar vulnerabili dades Avalar Riesgos Valor Actual Costo Reemplazo Cumplimiento Adoptar Controles 3Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Avalúo de Riesgos Proceso

4 Equipo Programación: Plataformas Aplicaciones Información: Propietaria: (IP) organizacional ó 3ros Transaccional: pública, privada, 3ros Personal (staff) Respaldo de sistemas: Funciones esenciales, críticas/no críticas Acceso y/o disponibilidad Acceso a sede física/virtual Disponibilidad de avíos (supplies) 4Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Avalúo de riesgos Activos

5 Pública Transaccional Propietaria Externa Interna Clientes Empleados Proveedores Tendencias ( Business Intelligence) Configuración de sistemas Patentes Marcas Secretos negocio Copyrights Datos ( clientes ) ó ( Business Intelligence) 5Carmen R. Cintrón Ferrer, 2013, Derechos Reservados

6 Sistema o componente Posibles amenazas Historial de ataques Vulnerabilidad(es ) Pérdidas 6Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Modelar amenazas

7 Ámbito – Sistemas de información (IT) Objetivos para cada activo: Impacto directo por periodo(s) de tiempo Impacto indirecto por periodo(s) de tiempo Respaldo funciones críticas/esenciales Calcular impacto/pérdidas/costos Avalar/Estimar brecha 7Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Business Impact Analysis Gap Analysis

8 ComponentesEjemplo análisis cuantitativo EquipoSLEAROALESV Portátil$1,2503$3750 Lo-Jack Seguro =45*50 $2,250 CBA$1,500 Single loss expectancy (SLE) Annual rate of occurrence (ARO) Annual loss expectancy (ALE) SLE * ALE Safeguard value (SV) Cost Benefit Analysis (CBA) Controles cuantitativos 8Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Control pérdida equipo/datos - Portátiles Costo promedio unitario - $1250 Costo unitario controles Lo-Jack SW - $29 Seguro - $16

9 Acopio de riesgosMatriz de riesgos EscenarioProbabilidadImpact o Interrupción de servicios BajoMediano Pérdida o robo de datos MedianoAlto Ataque a sede WEB AltoBajo Avalúo de riesgos Cualitativo 9Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Leyenda: (Bajo-B, Mediano-M, Alto- A)

10 Tipo de medida de control Impacto neto de la(s) medidas ControlInterrupe servicios Robo de datos Ataque a sede WEB Tecnologías IT -HWMedia Alta BKupAlta CulturaBajaAltaMedia Fault- TolerantAltaBajaMedia Integrar tecnologías de protección (IT-HW) Fortalecer mecanismos de copias de resguardo (Bkup) Educar a usuarios (Cultura) Añadir sistemas redundantes (Fault Tolerant) Medidas de control 10Carmen R. Cintrón Ferrer, 2013, Derechos Reservados

11 Objetivo(s) Enfoque utilizado (cualitativo/cuantitativo) Análisis de impacto Análisis de efectividad control(es) vigente(s) Análisis de costo-beneficio control(es) contemplado(s) Análisis de rendimiento control(es) recomendado(s) Recomendaciones Impacto organizacional/operacional recomendaciones Reseña de resultados esperados luego de implantar controles 11Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Análisis de controles

12 CategoríaNISTControl Gerencial Autorización (Security and Assessment) Planificación (Planning) Avalúo de riesgo (Risk Assessment) Adquisición y disposición (System and Services Acquisition) Gestión de programa Políticas y procedimientos Plan de seguridad Cubierta de seguros Verficiación de personal Códigos de conducta Técnico Control de acceso Auditoría y responsabilidad (Audit & Accountability) Autenticación (AAA) Protección de sistemas de comunicación Login ID Logs & Session timeout Input validation Encription Operacional Concienciación Configuración de sistemas Planeación de contingencias (BCP) Respuesta a incidentes (CERT) Mantenimiento y protección Seguridad del personal Integridad de sistemas Control acceso físico Guardias seguridad Cámaras seguridad Detector humo, agua, temperatura/humedad Plantas emergencia Plan Contingencia 12Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Categorías de control

13 Risk Assessment Business Impact & Gap Analysis Risk Mitigation Plan Implement & Audit 13Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Plan de Seguridad

14 Costo de implantar medidas de control recomendadas (TCO): Adquisición Habilitar área Instalación Adiestramiento Mantenimiento Tiempo de implantación operacional: Impacto en la infraestructura Impacto en la organización Impacto (efectividad) operacional de los controles: Matriz de impacto y priorización de controles Análisis de costo/beneficio Gestión del Plan (Project management & Plan Audit): Cumplir con presupuestos Cumplir con itinerarios Manejar cambio(s) de cultura Asegurar se integren los controles Validar se redujo o cerró la brecha (Gap Analysis) 14Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Plan de Mitigación

15 Plan de continuidad de negocios (BCP) Plan de recuperación de desastres (DRP) Equipo de Respuesta a escenarios de emergencia (CERT) Plan de Concienciación (Awareness Plan) Políticas de seguridad (IT Security Policies): Marco o entorno (Framework): Access Control: User s Policy, Priviledge Access Agreement, Security Awareness Communications and Operations Physical Security Human Resources Security Asset Management Compliance Management Hacer valer (Enforcement) Implantación (Implementation) 15Carmen R. Cintrón Ferrer, 2013, Derechos Reservados Mitigación de riesgos

16 Basic Documentation Control Standards Baseline Standards: Audit (logs) storage and Records Standard Remote Maintenance Standard Firewall Baseline Security Standard Router Baseline Configuration IDS/IPS Intrusion Detection Standard Server Baseline Configuration Standard Procedure Documents Guidelines Policies: Workstation Domain WAN-LAN Domain Wireless Access Domain System Applications Domain Telecommunications: VoIP, Bluetooth, BYOD Data Classification and Data Handling 16Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Infrastructure Policies and Standards

17 Strategic (direction by objectives): Strategic Alignment implies: Clearly defined objectives Risks and security implications Boundaries of acceptable risk Trade-offs: Cost of risk Value of benefit to users and/or Cost of inconvenience Cost of incremental limitations Cost of remedial processes 17Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Management Metrics

18 Management (location, attitude, acceptable limits, focus) Risk Management: Organization’s Risk Tolerance Comprehensive Resource Evaluation Complete Risk Assessment Business Impact Assessment of importan systems Test control effectiveness and reliability Known level of metric accuracy and reliability Assurance Process Integration Value Delivery – Optimizing Investments to Support Objectives: Objectives Effectiveness meassure Degree required or targeted Cost Resource Management –Effective & Efficient use of Organizational Resources Resource Optimization for effectiveness Process Optimization and monitoring for effectiveness Performance Monitoring 18Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Management Metrics

19 Operational (functionality, issues, predictive): 19Carmen R. Cintrón Ferrer, 2013, Derechos Reservados IT Management Metrics

Descargar ppt "Seguridad de Sistemas Carmen R. Cintrón Ferrer, 2013, Derechos Reservados."

Presentaciones similares

Juan Antonio Pérez-Campanero Atanasio

Juan Antonio Pérez-Campanero Atanasio
Seguridad Informática

Seguridad Informática
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
ANALISIS DE RIESGOS.

ANALISIS DE RIESGOS.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Comprimido ARCHIformativo

Comprimido ARCHIformativo
Sisdata, C.A..

Sisdata, C.A..
CMMI.

CMMI.
¿Qué está haciendo el Sector Consultor?

¿Qué está haciendo el Sector Consultor?
Service Delivery & Service Support ITIL Information Technology Infrastructure Library Grupo H Consultic.

Service Delivery & Service Support ITIL Information Technology Infrastructure Library Grupo H Consultic.
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.

Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.
La Convergencia entre la Seguridad Lógica y la Seguridad Física

La Convergencia entre la Seguridad Lógica y la Seguridad Física
COBIT: Marco de Referencia

COBIT: Marco de Referencia
Análisis y Gestión de riesgos en un sistema informático

Análisis y Gestión de riesgos en un sistema informático
Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados.

Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © 2003, Derechos Reservados.
Las PyMEs son máquinas de crecimiento PyMEs representan hasta un 75% de todos los empleos en algunas economías (PyMEs) con conocimientos en tecnología.

Las PyMEs son máquinas de crecimiento PyMEs representan hasta un 75% de todos los empleos en algunas economías (PyMEs) con conocimientos en tecnología.

Presentaciones similares

Anuncios Google