Servicios en Seguridad de la
Servicios en Seguridad de la
información.
información.
Ing: Rodrigo Ferrer V.
CISSP
CISSP
CISSP
CISSP
CISACISACISACISA
BS (BS (BS (BS (British
lead Auditor 27001
Standard) lead
British Standard)
Auditor 27001
leadlead
Standard)
British
British
Standard)
Auditor 27001
Auditor 27001
ASIS Member 262546
ISACA Member
IEEE Member
[email protected]
CONFIDENCIAL
Agenda
Agenda
Agenda
Agenda
Introducción.
Marco de Referencia
BS ISO/IEC 17799.
Evaluación de Riesgo.
Matrices de Riesgo.
Definición de Políticas, procedimientos y
Estandares
Conclusiones
Servicios en Seguridad.
Tiempo estimado: 60 min.
CONFIDENCIAL
Introducción
Introducción
Introducción
Introducción
Red Segura
RED SEGURA
CONFIDENCIAL
Información
Es el conjunto de datos o mensajes inteligibles
Es el conjunto de datos o mensajes inteligibles
Es el conjunto de datos o mensajes inteligibles
Es el conjunto de datos o mensajes inteligibles
creados con un lenguaje de representación y que
creados con un lenguaje de representación y que
creados con un lenguaje de representación y que
creados con un lenguaje de representación y que
debemos proteger ante las amenazas del entorno,
debemos proteger ante las amenazas del entorno,
debemos proteger ante las amenazas del entorno,
debemos proteger ante las amenazas del entorno,
durante su transmisión o almacenamiento, usando
durante su transmisión o almacenamiento, usando
durante su transmisión o almacenamiento, usando
durante su transmisión o almacenamiento, usando
diferentes
diferentes
diferentes
diferentes
tecnologías
tecnologías
tecnologías
tecnologías
lógicas,
lógicas,
lógicas,
lógicas,
físicas
físicas
físicas
físicas
o
o
o
o
procedimentales.
procedimentales.
procedimentales.
procedimentales.
CONFIDENCIAL
Objetivo en Seguridad (Costo)
INTEGRIDAD
INTEGRIDAD
DISPONIBILIDAD
DISPONIBILIDAD
CONFIDENCIALIDAD
CONFIDENCIALIDAD
Seguridad
CONFIDENCIAL
Qué ayudar a proteger?: C.I.A
INFORMATION
INFORMATION
ASSESTS
ASSESTS
CRITICAL
CRITICAL
Inventario++clasificacion
clasificacion
Inventario
CONFIDENCIAL
Los controles y procedimientos
buscan:
Deteccion
Deteccion
Evaluacion
Evaluacion
Retardar
Retardar
Responder
Responder
Disuadir
Disuadir
CONFIDENCIAL
La seguridad como Proceso
Assestment
Audit
Trainning
Policy
Implementation
CONFIDENCIAL
Fuentes de los problemas de seguridad
Fuentes de los problemas de seguridad
Fuentes de los problemas de seguridad
Fuentes de los problemas de seguridad
en las Empresas.
en las Empresas.
en las Empresas.
en las Empresas.
Amenazas
Físicas.
20%
Empleado
Descontento
9%
Virus
4%
Empleado
Deshonesto
10%
Ataque del
exterior
2%
Errores
Humanos
55%
Fuente: Computer Security Institute
CONFIDENCIAL
Estado de las Políticas de Seguridad
Estado de las Políticas de Seguridad
Estado de las Políticas de Seguridad
Estado de las Políticas de Seguridad
en las Empresas Colombianas
en las Empresas Colombianas
en las Empresas Colombianas
en las Empresas Colombianas
24%
29%
47%
No se tienen
En Desarrollo
Formalmente Definidas
Fuente: ACIS 2004
CONFIDENCIAL
Marco de Referencia
Marco de
Referencia
Marco de
Marco de
Referencia
Referencia
Evaluación de de Riesgo
Evaluación
Riesgo de TI
de TI
El Riesgo
El Riesgo
El Riesgo
El Riesgo
La falta de Políticas de Seguridad en cualquier
organización puede tener como consecuencia:
8 Perdida de Dinero.
8 Perdida de tiempo.
8 Perdida de productividad
8 Perdida de información confidencial.
8 Pérdida de clientes.
8 Pérdida de imagen.
8 Pérdida de ingresos por beneficios.
8 Pérdida de ingresos por ventas y cobros.
8 Pérdida de ingresos por producción.
8 Pérdida de competitividad en el mercado.
8 Pérdida de credibilidad en el sector.
CONFIDENCIAL
COBIT
CONFIDENCIAL
Procesos y Aplicaciones Críticas
CONFIDENCIAL
Por qué realizar una Evaluación de
Por qué realizar una Evaluación de
Por qué realizar una Evaluación de
Por qué realizar una Evaluación de
Riesgo.
Riesgo.
Riesgo.
Riesgo.
Identificar, Analizar, y evaluar.
Conocer los riesgos
Ejercicio de entendimiento de toda la organización.
Identificar los procesos críticos del negocio y las
aplicaciones que los soportan.
Presentar un diagnóstico de la Situación Actual.
Identificar los puntos de mayor atención y focalizar
el esfuerzo.
Risk is a function of the likelihood of a given
threat-source.s exercising a particular potential
vulnerability, and the resulting impact of that
adverse event on the organization.
CONFIDENCIAL
Identificar amenazas
Identificar amenazas
Identificar amenazas
Identificar amenazas
importante considerar
Es
posibles, sin importar que tan probables sean o no.
todas
las amenazas
8 Acceso no autorizados
8 Fraude
8 Perdida de Confidencialidad
8 Uso inapropiado de recursos
8 Fallas de Hardware
8 Fallas de canales de comunicaciones
8 Virus
8 Negación de Servicio.
8 Incumplimiento de Normas.
8 Perdida de Laptops
8 Fallas de Potencia
8 Incendio
CONFIDENCIAL
Resultados ISO 17799-ISO 27001
Dominio
Cumplimiento
Política de Seguridad
Seguridad en la Organización.
Control y Clasificación de Activos.
Aspectos de Seguridad relacionados con el recurso humano.
Seguridad Física
Administración de la operación de cómputo y comunicaciones.
Control de Acceso (falta sistemas)
Desarrollo y mantenimiento de Sistemas
Continuidad del Negocio
Cumplimiento de Leyes
Promedio
0%0%0%0%
20%20%20%20%
33%33%33%33%
40%40%40%40%
60%60%60%60%
28%28%28%28%
40%40%40%40%
45%45%45%45%
30%30%30%30%
20%20%20%20%
31.6%
CONFIDENCIAL
Analisis de la Infraestructura
Seguridad Física.
8 Monitoreo ambiental
8 Control de acceso
8 Desastres naturales
8 Control de incendios
8 Inundaciones
Seguridad en las conexiones a Internet.
8 Políticas en el Firewall
8 VPN
8 Detección de intrusos
Seguridad en la infraestructura de comunicaciones.
8 Routers
8 Switches
8 Firewall
8 Hubs
8 RAS
Seguridad en Sistema Operacionales(Unix, Windows)
Correo Electrónico
Seguridad en las aplicaciones.
CONFIDENCIAL
Evaluación en Seguridad Física
Evaluación en Seguridad Física
Evaluación en Seguridad Física
Evaluación en Seguridad Física
El objetivos es prevenir accesos no autorizados,
daños, robos a los activos del negocio y la
organización.
La evaluación de riesgo permite identificar las áreas
mas criticas y definir los controles requeridos.
• Perímetros de seguridad.
• Seguridad de equipos.( medio ambiente).
• Escritorios limpios.
CONFIDENCIAL
Source: Secretaria de Gobierno Bogota
Seguridad Física Centro de Computo
CONFIDENCIAL
Matrices de Riesgo
Ejemplo Matriz de Riesgo
Amenazas Vulnerabilidades
Falla de switch
principal de la
red LAN
No hay procedimientos
de contingencia.
Ocurrencia
del evento
anualizada
(1-5)
1
No hay procedimiento
formal de
almacenamiento de la
configuración de los
switches.
No hay inventario
actualizado
Impacto
Factor de
Control
Riesgo
(1-10)
4
(1-5)
3
Procedimientos de
Contingencia.
Contrato de
mantenimiento
Gestión de red.
Procedimientos de
cambio de
configuraciones
Costo
Control
FR/CC
1
4
CONFIDENCIAL
Metodología Análisis de Riesgo
CONFIDENCIAL
Opciones para el tratamiento del
riesgo
Controlar el riesgo
Aceptarlo
Evitarlo
Transferirlo
CONFIDENCIAL
Tipos de Controles
Administrative Controls
8 Manegement responsabilities
Administrative Controls
• Security Policies
• Procedures
• Screening Personal
• Classifying data
• BCP,DRP.
• Change Control
Technical Controls
8 IDS
8 Encryption
Physical Control
8 Security Guards
8 Perimeters fences
8 Locks
8 Removal of CD-ROM
Technical controls
Phyiscal Controls
CONFIDENCIAL
Definición de Políticas,
Definición de Políticas,
Definición de Políticas,
Definición de Políticas,
procedimientos y estándares
procedimientos y estándares
procedimientos y estándares
procedimientos y estándares
La seguridad de la información
La seguridad de la información
La seguridad de la información
La seguridad de la información
Política
Política
Política
Política
Corporativa
Corporativa
Corporativa
Corporativa
Política Generales
Política
Generales
Política
Política
Generales
Generales
de de de de Seguridad
Seguridad
Seguridad
Seguridad
de la
de la Información
Información
de la
de la
Información
Información
Políticas detalladas
Políticas
detalladas dededede
detalladas
Políticas
Políticas
detalladas
de la Información
Seguridad de la
Seguridad
Información
de la
Seguridad
Seguridad
de la
Información
Información
Procedimientos de de de de Seguridad
Procedimientos
Seguridad dededede
Seguridad
Procedimientos
Procedimientos
Seguridad
la Información
la
Información
la la
Información
Información
de la Información
Seguridad de la
Estándares de de de de Seguridad
Estándares
Información
de la
Seguridad
Estándares
Estándares
Seguridad
de la
Información
Información
CONFIDENCIAL
Políticas.
Políticas.
Políticas.
Políticas.
Una política de seguridad, es una declaración formal
de las reglas que deben seguir las personas con
acceso a los activos de tecnología e información,
dentro de una organización.
CONFIDENCIAL
Procedimientos.
Los procedimientos son la descripción detallada de la manera
como se implanta una Política. El procedimiento incluye todas
las actividades requeridas y los roles y responsabilidades de las
personas encargadas de llevarlos a cabo.
CONFIDENCIAL
Estándares
Es la definición cuantitativa o cualitativa de un valor o parámetro
incluido en una norma o
determinado que
Comentarios de: Servicios en Seguridad de la información (0)
No hay comentarios