Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestion de La Seguridad
Gestion de La Seguridad
Metodologa PDCA
Para el desarrollo y mantenimiento del SGSI se adopta la
metodologa PDCA:
Poltica de seguridad
Organizacin de la informacin de seguridad
Administracin de recursos
Seguridad de los recursos humanos
Seguridad fsica y del entorno
Administracin de las comunicaciones y operaciones
Control de accesos
Adquisicin de sistemas de informacin, desarrollo y
mantenimiento
Administracin de los incidentes de seguridad
Administracin de la continuidad de negocio
Marco legal y buenas prcticas
Definicin de control
El concepto de control dentro de la norma agrupa todo el conjunto
de acciones, documentos, procedimientos y medidas tcnicas
adoptadas para garantizar que cada amenaza, identificada y
valorada con un cierto riesgo, sea minimizada.
Se definen 133 controles dentro de las 11 reas o dominios que
podran agruparse e identificarse en procesos:
Organizativos
Implementacin de tecnologas de la seguridad.
Establecimiento de relaciones contractuales
Gestin de Incidencias
Gestin de Recursos Humanos
Cumplimiento con la normativa vigente.
ISO 27004
Mediciones para la Gestin de la Seguridad de la Informacin
An en fase de borrador, tiene como misin desarrollar todos los
aspectos que deben ser considerados para poder medir el
cumplimiento de la norma ISO 27001.
En su introduccin la norma ISO 27004 se define como
El empleo de este estndar permitir a las organizaciones dar
respuesta a los interrogantes de cun efectivo y eficiente es el SGSI y
qu niveles de implementacin y madurez han sido alcanzados. Estas
mediciones permitirn comparar los logros obtenidos en seguridad de
la informacin sobre perodos de tiempo en reas de negocio
similares de la organizacin y como parte de continuas mejoras.
ISO 27004
Los objetivos de los procesos de medicin son:
Evaluar la efectividad de la implementacin de los controles de
seguridad.
Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
Proveer estados de seguridad que guen las revisiones del SGSI,
facilitando mejoras a la seguridad y nuevas entradas para auditar.
Comunicar valores de seguridad a la organizacin.
Servir como entradas al plan de anlisis y tratamiento de riesgos.
El modelo utilizado es una estructura que enlaza los atributos
medibles con una entidad relevante y se debe describir cmo estos
atributos son cuantificados y convertidos a indicadores.
Se basa en la metodologa PDCA
Tecnologas ms utilizadas
Control de acceso atendido
Se presenta algn documento acreditativo
Se comprueba su veracidad y validez
http://www.lockpicking101.com
COMPORTAMENTALES:
Voz
Forma de firmar
Forma de teclear
Forma de caminar
Control de presencia
En ocasiones es necesario controlar la presencia de personas en
determinados lugares donde se requiere una mayor seguridad.
La tecnologa ms empleada es la video-vigilancia
Control de presencia
Los sistemas de doble puerta evitan la entrada de ms de una
persona simultneamente.
Pero
Complejidad de la contrasea
Tarjetas SmartCard
Dos categoras: contacto y RFID
contact smart card requiere introducirla en un
lector con una conexin directa a un micromdulo
conductor en la superficie de la tarjeta.
RFID card requiere proximidad al lector (unos 10
cm). Ambos (lector y tarjeta) tienen una antena y su
comunicacin se produce por radiofrecuencia.
Tarjetas SmartCard
Tarjetas SmartCard
Contenido que puede ser almacenado en una smartcard
1.
2.
3.
4.
Tokens USB
Tokens USB
Configurados con soporte PKI permiten almacenar un certificado en
formato PKCS12 (clave privada+clave pblica) que permiten:
Login automtico
Certificado de usuario para autenticacin Web y firma electrnica
Dispositivos biometricos
Se clasifican segn la
Tecnologa Biomtrica:
FISIOLGICAS:
Huella dactilar
Iris
Cara
Geometra de la mano
Retina
Forma de las venas
ADN
COMPORTAMENTALES:
Voz
Forma de firmar
Forma de teclear
Forma de caminar
Semntica escritura
Dispositivos biometricos
Aplicacin para recogida de huellas digitales
Servidor RAS
-W2000-
Firewall
Autenticacin RAS
Consulta Radius
Consulta LDAP
Servidor Radius
-ActivCard-
Directorio Activo
-W2003-