Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Microsoft PowerPoint - Estrategias de Seguridad v2
Microsoft PowerPoint - Estrategias de Seguridad v2
CONFIDENCIAL
Agenda
Introduccin. Marco de Referencia BS ISO/IEC 17799. Evaluacin de Riesgo. Matrices de Riesgo. Definicin de Polticas, procedimientos y Estandares Conclusiones Servicios en Seguridad. Tiempo estimado: 60 min.
CONFIDENCIAL
Introduccin
Red Segura
RED SEGURA
CONFIDENCIAL
Informacin
Es el conjunto de datos o mensajes inteligibles creados con un lenguaje de representacin y que debemos proteger ante las amenazas del entorno, durante su transmisin o almacenamiento, usando diferentes tecnologas lgicas, fsicas o procedimentales.
CONFIDENCIAL
INTEGRIDAD
DISPONIBILIDAD
CONFIDENCIALIDAD
Seguridad
CONFIDENCIAL
INFORMATION
ASSESTS
CRITICAL
Inventario+clasificacion
CONFIDENCIAL
Deteccion Evaluacion
Retardar Disuadir
Responder
CONFIDENCIAL
Audit
Policy Trainning
Implementation
CONFIDENCIAL
CONFIDENCIAL
24%
CONFIDENCIAL
Marco de Referencia
Evaluacin de Riesgo de TI
El Riesgo
La falta de Polticas de Seguridad en cualquier organizacin puede tener como consecuencia:
8 8 8 8 8 8 8 8 8 8 8 Perdida de Dinero. Perdida de tiempo. Perdida de productividad Perdida de informacin confidencial. Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios. Prdida de ingresos por ventas y cobros. Prdida de ingresos por produccin. Prdida de competitividad en el mercado. Prdida de credibilidad en el sector.
CONFIDENCIAL
COBIT
CONFIDENCIAL
CONFIDENCIAL
Risk is a function of the likelihood of a given threat-source.s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.
CONFIDENCIAL
Identificar amenazas
Es importante considerar todas las amenazas posibles, sin importar que tan probables sean o no.
8 8 8 8 8 8 8 8 8 8 8 8 Acceso no autorizados Fraude Perdida de Confidencialidad Uso inapropiado de recursos Fallas de Hardware Fallas de canales de comunicaciones Virus Negacin de Servicio. Incumplimiento de Normas. Perdida de Laptops Fallas de Potencia Incendio
CONFIDENCIAL
Cumplimiento
0% 20% 33% 40% 60% 28% 40% 45% 30% 20%
Promedio
31.6%
CONFIDENCIAL
Analisis de la Infraestructura
Seguridad Fsica. 8 Monitoreo ambiental 8 Control de acceso 8 Desastres naturales 8 Control de incendios 8 Inundaciones Seguridad en las conexiones a Internet. 8 Polticas en el Firewall 8 VPN 8 Deteccin de intrusos Seguridad en la infraestructura de comunicaciones. 8 Routers 8 Switches 8 Firewall 8 Hubs 8 RAS Seguridad en Sistema Operacionales(Unix, Windows) Correo Electrnico Seguridad en las aplicaciones.
CONFIDENCIAL
CONFIDENCIAL
CONFIDENCIAL
Matrices de Riesgo
Impacto
Control
Costo Control
FR/CC
(1-5)
3
CONFIDENCIAL
CONFIDENCIAL
CONFIDENCIAL
Tipos de Controles
Administrative Controls Administrative Controls 8 Manegement responsabilities Security Policies Procedures Screening Personal Classifying data BCP,DRP. Change Control Technical Controls 8 IDS 8 Encryption Physical Control 8 Security Guards Technical controls Phyiscal Controls 8 Perimeters fences 8 Locks 8 Removal of CD-ROM
CONFIDENCIAL
La seguridad de la informacin
Poltica Corporativa
CONFIDENCIAL
Polticas.
Una poltica de seguridad, es una declaracin formal de las reglas que deben seguir las personas con acceso a los activos de tecnologa e informacin, dentro de una organizacin.
CONFIDENCIAL
Procedimientos.
Los procedimientos son la descripcin detallada de la manera como se implanta una Poltica. El procedimiento incluye todas las actividades requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo.
CONFIDENCIAL
Estndares
Es la definicin cuantitativa o cualitativa de un valor o parmetro determinado que puede estar incluido en una norma o procedimiento. Los estndares pueden estar ligados a una plataforma especfica (parmetros de configuracin) o pueden ser independientes de esta (longitud de passwords).
CONFIDENCIAL
CONFIDENCIAL
Conclusiones
CONFIDENCIAL
Permetro Lgico
CONFIDENCIAL
Servicios a ofrecer
GaP Analysis en relacin al ISO 17799/27001 Anlisis de riesgo (risk assessment) orientado a aplicaciones e Infraestructura de red. Anlisis de la Seguridad Fsica en el Centro de Computo. Definicin de Polticas, Procedimientos y Estndares para los clientes.(SMB) Diseo de la Arquitectura de Seguridad para conectividad hacia Internet. Auditora de seguridad ISO 27001. Plan de concientizacin en Seguridad de la informacin. Elaboracin Plan de Contingencia para IT. Configuracin y optimizacin sistema Firewall. Mejoramiento seguridad red Voz IP. Mejoramiento seguridad red Wireless. Optimizacin desempeo de red y Conectividad hacia Internet.
CONFIDENCIAL
Conclusiones
Seguridad y desempeo. Seguridad y disponibilidad. Seguridad y productividad.(flexibilidad) Seguridad distribuida. Seguridad en el sistema operativo de la red.
CONFIDENCIAL
Conclusiones
Alrededor de la evaluacin de riesgo gira todo el proceso. Las polticas de seguridad habilitan el desarrollo de una arquitectura de seguridad de la informacin. Este proceso anlisis de riesgo- genera un plan de inversin en tecnologa en general.(redes, servidores, software, servicios, IPS, Ciframiento, desarrollo aplicaciones, conectividad VPN, Velocidad hacia Internet. etc) Seguridad y desempeo a un costo razonable, sin afectar la flexibilidad.
En conclusin los proyectos de seguridad son un sub-conjunto de los proyectos de continuidad y el logro de objetivos empresariales.
CONFIDENCIAL
FIN