Tema 4 - Normas y estándares-FINAL

TEMA 4- SEGURIDAD DE LA INFORMACIN
UCAM- Auditora y peritaje 2009-2010
T4-1
Agenda
Nuevas tecnologas, nuevas situaciones Sistemas de informacin y procesos de negocio Conceptos de seguridad de la informacin Anlisis y gestin del riesgo ISO 27001:Gestin de la seguridad de la informacin
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-2
R-Evolucin digital del siglo XXI
T4-3
Des-Centralizacin y movilidad
T4-4
Aumento del almacenamiento
T4-5
Organizaciones sin frontera
Internet
T4-6
Calidad de las fuentes de informacin
United Airlines cae un 75% en bolsa en diez minutos por un error en Google News al publicar como actual una noticia del 2002.
T4-7
Externalizacin o subcontratacin
Empresa A
Empresa B
Datos A
T4-8
Malware
Aos 80
Aos 90
Actualidad
-9-
T4-9
Cibercrimen
Grandes beneficios econmicos Beneficio Personal
Espionaje industrial
Robo de datos y dinero Delitos contra propiedad intelectual
Notoriedad
Curiosidad
Vndalos
Creadores de cdigo
Usuarios ingenuos
Principiantes
Expertos
Ciberdelincuentes
T4-10
Espionaje industrial
Autobs MAN y coche Smart Presuntos plagio chino
T4-11
Complejidad jurdica del delito tecnolgico
Evidencias fsicas Inmutabilidad de la prueba Conocimientos de abogados
Fragilidad de la evidencia digital

Garantas de inmutabilidad Nueva legislacin no conocida
Delitos internacionales
T4-12
Conclusin: Descontrol sobre la informacin
T4-13
Necesario cambio de estrategia de seguridad. RIESGOS ESTABLES

MODELO MILITAR
RIESGOS DINMICOS
MODELO POLICIAL
ESTRATEGIA DEFENSIVA
ESTRATEGIA PREVENTIVA
T4-14
Agenda
T4-15
El modelo de cadena de valor de Porter

Toda organizacin puede ser analizada por su cadena de valor.
T4-16
Petrolera: Procesos de transformacin

PRODUCCIN LOGISTICA
EXTERNA Exportacin
Extraccin
Refino
Depsito
Distribucin
Materia prima
Producto
T4-17
Petrolera: Procesos soporte
INFRAESTRUCTURA
Direccin
Facturacin
RECURSOS HUMANOS
RR.HH.
TECNOLOGA
Gestin TIC
Producto
T4-18
Las TI como cimiento de procesos de negocio

Direccin Facturacin
soporte
Gestin TIC
RR.HH.
Extraccin
Depsito
Exportacin
Refino
Distribucin
primarias
T4-19
Procesos o Servicios
T4-20
Agenda
T4-21
Amenazas de la informacin
FLUJO NORMAL
INTERRUPCIN
INTERCEPTACIN
MODIFICACIN
SUPLANTACIN
T4-22
Seguridad de la informacin
Proteccin de la confidencialidad, integridad y disponibilidad de la informacin segn el nivel requerido para los objetivos de negocio de la empresa.
T4-23
El valor de la informacin
La informacin es un activo que, como otros activos importantes para las organizaciones, tiene valor y por tanto, necesita ser adecuadamente protegido. ISO/IEC 27002:2005 El valor de la informacin puede ser diferentes segn el criterio o percepcin de la persona que la maneja.
Direccin
Informe Direccin
Financiero Informtica Secretara 6.000 600

10
600.000
Copias seguridad
600
600.000
10
T4-24
El caso britnico
25 millones de datos bancarios de ciudadanos ingleses = 2 CD-ROM. En el mercado negro podran llegar a valer 140 millones de euros.
Quin enva 140 millones de euros por correo ordinario en un sobre?
T4-25
Conceptos bsicos de seguridad
Amenaza Activo
Impacto
Control
T4-26

Activo: Recurso del sistema de informacin o relacionado con ste, necesario para que la organizacin funcione y alcance los objetivos propuestos por su Direccin. Amenaza: Evento que puede desencadenar un incidente en la organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos. Vulnerabilidad: Es la potencialidad o posibilidad de ocurrencia de la materializacin de una amenaza sobre dicho Activo. Riesgo: Posibilidad de que una amenaza se materialice. Impacto: Consecuencia sobre un activo de la materializacin de una amenaza. Control: Prctica, procedimiento o mecanismo que reduce el nivel de riesgo.
T4-27
Vulnerabilidades
T4-28
Cada situacin tiene su contexto y sus elementos especficos a identificar:

Activos Amenazas Vulnerabilidades Impactos
T4-29

El entorno y el contexto son elementos a considerar para conocer el RIESGO.
T4-30
Elementos de la seguridad de la informacin

Medidas de seguridad Salvaguardas Amenazas Incendio Corte Elctrico Fallecimiento empleado
ACTIVO
Virus
Avera hardware Vulnerabilidades
Impacto
T4-31
Concepto del riesgo de seguridad

ACTIVOS
Qu hay que proteger?
AMENAZAS
Cmo pueden materializarse las amenazas?
SALVAGUARDAS
De que protecciones disponemos?
IMPACTO Valor de la informacin Qu consecuencias tiene para el negocio un incidente?
VULNERABILIDAD Posibilidad de ocurrencia Cunto de posible es que la amenaza supere a los controles?
RIESGO
T4-32
Gestin del riesgo en seguridad
Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin.
T4-33
Vulnerabilidad: posibilidad de una amenaza
Cuadrante de amenazas posibles

Predecibles
Desconocidas
Conocidas
Impredecibles
T4-34
Daos sobre la disponibilidad

Servicios online=Servicios 24x7x365.
Necesidad de garantizar continuidad de negocio.
T4-35
Daos sobre la disponibilidad

Ejemplo de huelga informtica.
DDoS
T4-36
Daos sobre la confidencialidad

Empresas son tambin bancos de datos.
Medios de informacin, clientes, ciudadanos y AEPD sensibles a las fugas de datos.

T4-37
Daos sobre la integridad

Fiabilidad de la informacin= Factura-e
Gestin y custodia de la evidencia digital.
T4-38
Concepto del riesgo de seguridad
T4-39
Gestin del riesgo

REDUCIR
Airbag Alarma anti robo Revisiones peridicas
EVITAR
No tener
ACEPTAR
No hacer nada
TRANSFERIR
Contratar seguro a todo riesgo

T4-40
Cmo nos defendemos?
La proteccin deber establecerse en profundidad a travs de una serie de anillos concntricos (de fuera hacia dentro).
Seguridad fsica Seguridad perimetral Seguridad interna
T4-41
ESTRATEGIA DE DEFENSA
Sensores presencia Sistemas prevencin incendios Muros Detectores de intrusos Arquitectura de la red Antivirus
Puertas
Alarmas
Seguros Hogar Seguros Hacking
Firewalls
T4-42
Principios bsicos de seguridad

Coherencia y cohesin
La cadena es tan fuerte como el ms dbil de sus eslabones.
Proporcionalidad Ninguna medida de proteccin puede ser ms cara y costosa que el elemento protegido
T4-43
Principios bsicos de seguridad

Principio de simplicidad Es mejor una solucin simple y fcil de aplicar que una compleja y difcil de utilizar por el usuario.
Principio de mnimos privilegios Solo debe proporcionarse el acceso a aquellos recursos o datos necesarios para el desempeo de las funciones del empleado.
T4-44
Propiedades de seguridad de un activo

Autenticacin Dar y reconocer la autenticidad de los activos y/o la identidad de los actores y/o la autorizacin por parte de los autorizadores, as como la verificacin de dichas tres cuestiones. Confidencialidad Previene contra la divulgacin no autorizada. Integridad Previene contra la modificacin o destruccin no autorizada. Disponibilidad Previene contra la denegacin no autorizada de acceso a activos.
T4-45
Salvaguardas para las distintas amenazas

DISPONIBILIDAD INTERRUPCIN CONFIDENCIALIDAD INTERCEPTACIN
MODIFICACIN
FABRICACIN
INTEGRIDAD
AUTENTICACIN
T4-46
Salvaguardas de seguridad
Son protecciones contra las amenazas Suelen combinarse entre s Su existencia no garantiza nunca la desaparicin de la amenaza, pero disminuye el riesgo de que sta pueda ocurrir o proporciona ayuda para recuperarse del dao Son prestados mediante los mecanismos de seguridad
Amenazas
Salvaguardas de Seguridad
Mecanismo Mecanismo Mecanismo
Amenazas
T4-47
Autenticacin
Garantiza la identidad de las entidades mediante algn tipo prueba:

Algo que se sabe Algo que se tiene Algo que se es
Puede ser en ambos sentidos

1 2
HOLA, SOY ALICIA TIENES PRUEBAS? PRUEBAS NO ES ALICIA ? SI OK
Verificar que Es quien dice ser
INFORMACIN IDENTIDADES
T4-48
Ejemplos
T4-49
Control de privilegios
Verifica los privilegios de acceso de las entidades Requiere autenticacin previa antes de comprobar los derechos de acceso
NO
3
PUEDE ALICIA ACCEDER A X?
QUIERO ACCEDER A X
2
PRIVILEGIOS EN EL SISTEMA REGISTROS W ALICIA: R - X BERNARDO: X CARLOS: R Y Z
-WX -
SI
Determinar que puede hacer en el sistema

T4-50
Ejemplos
T4-51
Integridad
Detecta la modificacin, aunque no la impide No, datos modificados!!! Verificar que el contenido no es manipulado
1
INFORMACIN
01001101 CONTROL
NO
Control?
01001101
SI
router
router
T4-52
Original
Datos de carcter personal protegidos
T4-53
En soporte electrnico no hay original y copia

Propiedades:
-Fecha creacin -Fecha modificacin -Fecha ultimo acceso
T4-54
Original manipulado
T4-55
Comprobacin
Datos de carcter personal protegidos Datos de carcter personal protegidos
Chequeo de integridad mediante funciones HASH: Original: 933A313DBC8060F9447705D1927B510C acuse recibo Original modificado: FAA470E9352AB06D47385B406D0FA02C acuse recibo
T4-56
Confidencialidad
Garantiza que la informacin solo ser comprensible y utilizable por el destino NO PUEDO LEERLO! indicado
INFO PARA BERNARDO
HOLA BOB CMO ESTAS? O1O1O1O O1O1O 1O1O1O1 O1O1O1
2 1
HOLA BOB CMO ESTAS?
router
No puedo recuperar Datos !!!
router
Solo accede a la informacin quien est autorizado para ello

T4-57
Disponibilidad
Garantiza la accesibilidad y operatividad de los servicios en los tiempos que se requieren Todo funciona segn lo previsto
NO
O1O1O1O O1O1O 1O11O1 O1O1O1
QUIERO ACCEDER A X
DISPONIBLE X?
2 de 3 en servicio !
SI
T4-58
Auditora
Proporciona un registro continuo de las actividades del sistema Permiten a posteriori, hacer anlisis forense y averiguar las posibles causas de los incidentes del sistema.
1
LEER X MODIFICAR Z BORRAR Y USUARIO: ALICE
2
12/02/2005, 21:00 BB. DD.
REGISTRO AUDITORA DEL SISTEMA
LEER X, OK MODIFICAR Z BORRAR Y
3
DIA 12: USUARIO ALICIA ACCEDE A: X, Z, Y
Queda registrado en el sistema todo lo que se hace

T4-59
No repudio
Prueba a posteriori que algo ha ocurrido realmente No repudio en origen: prueba que el emisor es el autor de un evento No repudio en destino: prueba que el receptor recibi lo enviado por el destino
2
RECIBIDO BERNARDO
SOY ALICiA
router
router
No poder negar la autora de acciones

T4-60
Alarma

Notificacin inmediata ante determinados eventos Avisa de eventos anormales o ilicitos

2
BB. DD. LEER X MODIFICAR Z BORRAR Y PRIVILEGIOS EN EL SISTEMA REGISTROS
W ALICE: R - X X BOB: - W X Y CARL: R - Z
ALICIA INTENTANDO BORRAR Y!
REGISTRO AUDITORA DEL SISTEMA USUARIO: ALICIA 12/02/2005, 21:00 LEER X, OK MODIFICAR Z BORRAR Y
T4-61
Resumen: servicios de seguridad

Detecta que no existen incidentes de seguridad en los siguientes sentidos: Autenticacin: es realmente quien dice ser? Control de acceso: tiene derecho a hacer lo que pide? No repudio: realmente ha enviado o recibido esto? Integridad: puedo asegurar que esto est intacto?
Confidencialidad: lo ha interceptado alguien ms?

Auditora: qu ha pasado aqu? Alarma: qu est pasando ahora aqu? Disponibilidad: el espectculo debe continuar!
T4-62
Todo est relacionado...

Sin autenticacin no puede haber control de acceso Sin confidencialidad no puede haber autenticacin y viceversa Sin no repudio no puede haber auditora Sin integridad no puede haber no repudio Sin control de acceso no puede asegurarse la disponibilidad Etctera...
Una cadena es tan fuerte como el ms dbil de sus eslabones

T4-63
Agenda
T4-64
Diseo de la seguridad
OBJETIVO 1: Construir el modelo de seguridad. OBJETIVO 2: Obtener diagnstico de seguridad. Actividades:

1. 2. 3. 4. 5. Identificar procesos de negocio y dependencias. Valorar la informacin segn negocio. Anlisis holstico de amenazas. Clculo de riesgo potencial. Decidir el criterio de aceptacin de riesgo.
RESULTADOS: Toma de decisiones de seguridad
T4-65
Modelo de seguridad de la informacin
El anlisis de riesgos permite identificar las actividades de la empresa y estimar cuales son las amenazas que pueden afectarle para hallar el nivel de riesgo.
Esta informacin determina qu consecuencias pueden tener cada una de las amenazas y tomar las acciones ms adecuadas segn su importancia.
Para ello, se construye el rbol de activos: identificacin de todas las piezas de la organizacin y sus relaciones de dependencia segn su seguridad.
T4-66
Dependencias afectan a procesos
T4-67
Relaciones de dependencia en seguridad
Un activo B se dice que depende de un activo A si cualquier incidente que afecte a B tiene consecuencias de seguridad sobre el activo A.
Es decir, afecta a la disponibilidad, integridad o confidencialidad).
Estas relaciones se modelan como relaciones padre-hijo. Incidente de seguridad en hijo, dao de seguridad en padre.
T4-68
rbol de activos
Procesos
Informacin
Las relaciones padre-hijo estn condicionadas por la naturaleza de los elementos.
Soporte papel
Aplicaciones
Personas
Ubicaciones fsicas
Hardware Servidor
Ubicaciones fsicas
Hardware red
Proveedores Telecomunicaciones
Ubicaciones fsicas
T4-69
rbol de activos
Hay unas relaciones estables entre los elementos atendiendo a su naturaleza: Los procesos dependen de la informacin. La informacin de las aplicaciones, soporte papel y las personas. Las aplicaciones de servidores. El soporte papel de las ubicaciones donde se almacenan. Las personas de las salas donde trabajan. Los servidores suelen necesitar de recursos de red. El hardware en general, se almacena en salas. En cada caso, hay que identificar estas dependencias.
T4-70
Modelo de seguridad del negocio

Compras
C I D 1
Diseo
Produccin
Financiero
Direccin
RR.HH.
2 3 3
3 3 2
1 3 5
4 5 1
5 3 2
4 4 1
3 3 5
3 3 5
5 5 1
5 5 2 4 3 2
4 3 2
3 3 5
5 5 1
4 3 2
3 3 5
5 5 2
T4-71
Qu puede pasar?
Informacin
Error de usuario, fraude, fuga de informacin, etc.

Soportes Borrado accidental, deterioro del archivo, etc. Personas Aplicaciones software Huelga, fallecimiento, despido, cambio de trabajo, etc.
Error de desarrollo, error de mantenimiento software, etc.
Hardware
Avera, corte electricidad, error de mantenimiento hardware, etc.
Ubicaciones fsicas Fuego, fallo de climatizacin, vandalismo, etc.

T4-72
Relacin de causas y efectos

Causas en las dependencias
Informacin Soportes Aplicaciones software Hardware
Ubicaciones fsicas
Consecuencias en los procesos de negocio

Compras
Diseo
Produccin
Financiero
Direccin
RR.HH.
T4-73
Qu se puede hacer? Estrategia del control

RIESGO
Prevencin Deteccin Represin

DAOS INCIDENTE
Correccin
RECUPERACIN
Recuperacin
T4-74
Estrategias: Prevencin, reaccin y recuperacin
Disuasin Prevencin Proteccin Deteccin
Prevenir o reducir la probabilidad de intentar hacer dao.
Eliminar vulnerabilidades conocidas y prevenir que nuevas vulnerabilidades aparezcan.
Resguardar los activos de informacin de las vulnerabilidades o de la exposicin a amenazas adversas. Identificar la ocurrencia de un evento de seguridad con la mayor brevedad para iniciar la reaccin proactiva, reactiva o de recuperacin ms adecuada. Responder o contrarrestar el incidente de seguridad para minimizar el dao y asegurar la continuidad de negocio.
Reaccin
Recuperacin
Reponer la integridad, confidencialidad o disponibilidad de los activos afectados por el incidente de seguridad.
T4-75
Gestin del riesgo

ANLISIS DEL RIESGO
TRATAMIENTO DEL RIESGO ACEPTAR REDUCIR EVITAR TRASFERIR
ACEPTABLE POR DIRECCIN?
ACEPTACIN DEL RIESGO
T4-76
Seleccin de medidas de seguridad segn riesgo

Amenaza = FUEGO. RIESGO MXIMO de valor 4 3 5 15
Servidor A
Crtico en disponibilidad. Medidas de seguridad: Alta disponibilidad Backup diario Etc
Servidor B
5 5 2
Crtico en confidencialidad e integridad. Medidas de seguridad: Fuerte control de acceso Cifrado de soportes Registros de auditora Etc
T4-77
Ejemplo prctico
El examen contendr de un ejercicio similar.
T4-78
Ejemplo de anlisis de riesgos

Datos descriptivos de la empresa: La Asesora PIRMA se dedica al asesoramiento fiscal, laboral y contable de empresas. Dispone de una oficina situada en Murcia [Oficina PIRMA] donde trabajan cuatro personas. Para la prestacin de servicios, los consultores de PIRMA [CONSULTORES] se desplazan a las instalaciones del cliente, realiza entrevistas y tomas de datos para recoger la informacin necesaria para establecer los resultados. El personal de administracin[ADMINISTRATIVAS] elabora los informes contables correspondientes. Estos informes se realizan con las aplicaciones ofimticas Office[OFFICE 2007] y los documentos se almacenan en el servidor de ficheros SRV-PIRMA. Una vez finalizados, se guardan en soporte papel en archivadores AZ[ARCHIVADORES AZ] y el equipo de consultores lo entrega al cliente. Se dispone del equipo controlador de dominio [SRV-DC-W2000] y que proporciona los servicios de red ms bsicos (DNS, DHCP). La red interna est soportada por el switch [RED-ETH].
T4-79
Construccin del rbol de activos
T4-80
Datos sobre el valor de los activos de la empresa:

Activos de informacin Datos de clientes Informes contables Disponibilidad 3 1 Confidencialidad 2 5 Integridad 5 2
T4-81
Asesora
Datos de clientes
Informes contables
Consultor
Administrativa
Office 2007
SRV-PIRMA
SRV-DC-W2000
RED-ETH
Archivadores AZ
Oficina Pirma
T4-82
Datos sobre el valor de los activos de la empresa:

Amenaza Vulnerabilidad Activo afectado
Fuego Fallecimiento empleado Fallecimiento empleado Avera Hardware Avera Hardware
2 3 1 2 1
Oficina PFIRMA Consultor Administrativa SRV-PIRMA SRV-DC/W2000 SRV-PIRMA SRV-DC/W2000 RED-ETH
Corte electricidad
Fuga de datos
Archivadores AZ
T4-83
Calculo del nivel de riesgo de los activos

Riesgo = Valor del activo x Vulnerabilidad.
Amenaza Vulnerabilidad Activo afectado D VALOR C I D RIESGO C I
Fuego Fallecimiento empleado Fallecimiento empleado Avera Hardware
2 3 1 2
Oficina PFIRMA Consultor Administrativa SRV-PIRMA
3 3 1 3
5 2 5 5
5 5 2 5
6 10 10 9 1 6 5 15 2
6 10 10
Avera Hardware
SRV-DC/W2000
SRV-PIRMA
3
3 3 3
5
5 5 5
5
5 5 5
9 15 15 9 15 15 9 15 15
Corte electricidad
SRV-DC/W2000 RED-ETH
Fuga de datos
Archivadores AZ
10
T4-84
Agenda
T4-85
Necesidad de la normalizacin
- Puedo estar tranquilo? La informacin que procesamos es crtica y necesita unas mnimas medidas de seguridad.
- No se preocupe. Nuestra empresa dispone de las medidas de seguridad necesarias para proteger su informacin
T4-86
Marco de normas ISO 27000
ISO 27001: Especificacin para la construccin de un SGSI.

Especifica los REQUISITOS para ESTABLECER, IMPLANTAR, DOCUMENTAR y EVALUAR un SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN de acuerdo con la Norma ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS identificados por la ORGANIZACIN.
ISO 27002: Buenas prcticas para la gestin de la seguridad.

Define los objetivos de control (finalidades) y controles de seguridad (contramedidas) a utilizar para reducir y/o mitigar riesgos. Define 11 bloques de control, 39 objetivos y 133 controles.
T4-87
Seguridad basada en mejora continua

Ciclo de resolucin
Accin preventiva Accin curativa
Todo en orden
Mantener el Sistema
Ideas/Mejoras
T4-88
Ciclo de mantenimiento
Incidentes o carencias
Ciclo de mejora
Planificar-Hacer-Verificar-Revisar
- Definir la Poltica de Seguridad - Establecer el alcance del SGSI - Realizar el anlisis de riesgos - Seleccionar los controles Ejecutar el plan de gestin de riesgos Implantar el SGSI Implantar los controles
- Adoptar acciones correctivas - Adoptar acciones preventivas
- Revisar internamente el SGSI - Realizar auditorias del SGSI
T4-89
Estructura de la norma ISO 27001:2005

1. 2. Objetivo y campo de aplicacin
Normas para consulta

Trminos y definiciones Sistema de gestin de la seguridad Responsabilidad de la Direccin Auditora internas del SGSI
Seleccin de controles 4.2 ISO 17799:2005
3.
4. 5. 6. 7. 8. 9.
Revisin del SGSI por la Direccin

Mejora del SGSI Bibliografa
T4-90
Bloques dentro de la norma ISO 27001:2005

La norma establece dos grandes conjuntos de actividades a la hora de establecer el SGSI: 4.
Construccin del SGSI
5 Implantacin 6 Explotacin 7 Revisin
Gestin del SGSI
8 Mejora
T4-91
Objetivos de seguridad de la Organizacin
Las necesidades quedan determinadas por tres aspectos:

Objetivos de la Entidad
Poltica de la Entidad Normas y procedimientos Soporte T.I.
Anlisis de riesgos
Objetivos de seguridad Cumplimiento legal
Amenazas Vulnerabilidades Costes de incidentes
Relaciones contractuales Leyes y regulaciones Relacin con proveedores
92
T4-92
Costo del impacto si se produce un incidente
Costo de las medidas de seguridad
T4-93
Elementos del SGSI

ISO 27001:2005 SGSI ESPECIFICACIN ISO 27001
Procedimientos SGSI
P
Documentos SGSI
D
Auditorias
A
Registros SGSI
ISO 27002:2005
CONTROLES ISO 27002

Procesos
P
Procedimientos seguridad
D
Medidas
M
R
ACTIVOS
Registros seguridad
T4-94

4.
Construccin del SGSI
4. SGSI
Documentacin a obtener en esta fase:

Poltica de Seguridad (4.2.a) Alcance e inventario de activos (4.2.b) Metodologa de anlisis de riesgos (4.2.c) Anlisis de riesgos (4.2.c) Aprobacin de los riesgos residuales (4.2.e) Declaracin de aplicabilidad de controles (4.2.h)
Gestin SGSI
5. 6. 7. 8.
Implantacin Explotacin Revisin Mejora
T4-95

4.3
Seleccin de controles
4. SGSI
Gestin SGSI
5. 6. 7. 8.
La relacin de los controles se encuentran descritos en la ISO 27002:2005 Cuando los controles no se puedan aplicar, puede considerarse su exclusin. Para alegar conformidad, las exclusiones deben fundamentarse en resultado del anlisis de riesgos.
T4-96

5,6, 7,y 8
Gestin del SGSI
Establecer procedimientos para:

4. SGSI
Control de documentos y registros del SGSI Gestin de la formacin y capacitacin
Gestin SGSI
5. 6. 7. 8.
Auditora interna Revisin por la Direccin del SGSI Gestin de la mejora continua: acciones preventivas y correctivas
T4-97
El sistema evoluciona
Madurez Proceso de mejora continua
SGSI
SGSI
Implantado sin supervisin Iniciado No existen controles
Tiempo
T4-98
Madurez del SGSI

Madurez
Nivel 5 Nivel 4 Nivel 3 Nivel 2 Nivel 1 Nivel 0
No existe control Iniciado Optimizado Definido y gestionado
Definido y documentado
SGSI
5 4 3 2 1 0
Implantado pero no supervisado
Tiempo
T4-99
Seguridad basada en objetivos y evidencias

OS-1 OS-2 OS-3 OS-4 OS-5
OG-1
OG-2
OG-3
IND1 IND2
IND3
IND4
IND5
IND10 IND11 IND12
T4-100
Datos y evidencias, no creencias
T4-101

Tema 4 - Normas y estándares-FINAL

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 4 - Normas y estándares-FINAL

Cargado por

Copyright:

Formatos disponibles

TEMA 4- SEGURIDAD DE LA INFORMACIN

UCAM- Auditora y peritaje 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

R-Evolucin digital del siglo XXI

UCAM- Auditora y peritaje 2010-2011 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

Aumento del almacenamiento

UCAM- Auditora y peritaje 2010-2011 2009-2010

Organizaciones sin frontera

UCAM- Auditora y peritaje 2010-2011 2009-2010

Calidad de las fuentes de informacin

UCAM- Auditora y peritaje 2010-2011 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

Robo de datos y dinero Delitos contra propiedad intelectual

UCAM- Auditora y peritaje 2010-2011 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

Complejidad jurdica del delito tecnolgico

Evidencias fsicas Inmutabilidad de la prueba Conocimientos de abogados

Fragilidad de la evidencia digital

Conclusin: Descontrol sobre la informacin

UCAM- Auditora y peritaje 2010-2011 2009-2010

Necesario cambio de estrategia de seguridad. RIESGOS ESTABLES

UCAM- Auditora y peritaje 2010-2011 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

El modelo de cadena de valor de Porter

UCAM- Auditora y peritaje 2010-2011 2009-2010

Petrolera: Procesos de transformacin

UCAM- Auditora y peritaje 2010-2011 2009-2010

Petrolera: Procesos soporte

Las TI como cimiento de procesos de negocio

UCAM- Auditora y peritaje 2010-2011 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

UCAM- Auditora y peritaje 2010-2011 2009-2010

Financiero Informtica Secretara 6.000 600

UCAM- Auditora y peritaje 2010-2011 2009-2010

Quin enva 140 millones de euros por correo ordinario en un sobre?

UCAM- Auditora y peritaje 2010-2011 2009-2010

Conceptos bsicos de seguridad

Conceptos bsicos de seguridad

UCAM- Auditora y peritaje 2010-2011 2009-2010

Conceptos bsicos de seguridad

UCAM- Auditora y peritaje 2010-2011 2009-2010

Conceptos bsicos de seguridad

Cada situacin tiene su contexto y sus elementos especficos a identificar:

UCAM- Auditora y peritaje 2010-2011 2009-2010

Conceptos bsicos de seguridad

UCAM- Auditora y peritaje 2010-2011 2009-2010

Elementos de la seguridad de la informacin

UCAM- Auditora y peritaje 2010-2011 2009-2010

Concepto del riesgo de seguridad

IMPACTO Valor de la informacin Qu consecuencias tiene para el negocio un incidente?

Gestin del riesgo en seguridad

Vulnerabilidad: posibilidad de una amenaza

Cuadrante de amenazas posibles

UCAM- Auditora y peritaje 2010-2011 2009-2010

Daos sobre la disponibilidad

Necesidad de garantizar continuidad de negocio.

UCAM- Auditora y peritaje 2010-2011 2009-2010

Daos sobre la disponibilidad

UCAM- Auditora y peritaje 2010-2011 2009-2010

Daos sobre la confidencialidad

Medios de informacin, clientes, ciudadanos y AEPD sensibles a las fugas de datos.