Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad de La Informacion-Sesion 1-v1 PDF
Seguridad de La Informacion-Sesion 1-v1 PDF
SEGURIDAD DE LA
INFORMACIN
Mdulo 1: Sesin N1
26/08/2011
AGENDA
1. La Seguridad, Conceptos y definiciones
2. Seguridad Informtica vs Seguridad de la Informacin
3. Riesgos: Conceptos y definiciones
4. Relacin entre seguridad y riesgo
5. Componentes del riesgo.
6. Qu es un modelo de gestin de la seguridad
jcpacheco@computer.org
26/08/2011
Segn el RAE
2. Certeza
(conocimiento cierto y
claro de algo).
jcpacheco@computer.org
26/08/2011
Confidencialidad
Integridad
Disponibilidad
Poltica de
Seguridad
Qu est y
Qu NO est
permitido.
Depende
de
Mecanismos
de Seguridad
Aseguramiento de
Seguridad
jcpacheco@computer.org
Refuerza la poltica
Meta: Nunca en
estado no permitido
Requerimientos vs
Necesidades
Polticas vs
Requerimientos
Mecanismos vs Polticas
26/08/2011
Deja hacer
acciones no
permitidas
INSEGURO
Deja hacer
solo acciones
permitidas
SISTEMA
SEGURO
Componente HUMANO:
26/08/2011
Seguridad de la Informacin
Informacin documental y biolgica
Procesos de Negocio
Polticas
Anlisis de
Riesgos
Informacin en
computadoras
Procesos
informticos
Mecanismos y
Procedimientos
Seguridad Informtica
jcpacheco@computer.org
26/08/2011
Riesgo
jcpacheco@computer.org
9
26/08/2011
organizacin (Magerit)
jcpacheco@computer.org
26/08/2011
10
Amenaza Vs Riesgo
Riesgo es:
Amenaza es:
I. Efecto de la incertidumbre sobre los objetivos
(ISO31000)
I. Todo lo que tenga probabilidad de ocurrir,
causando dao. (Wikipedia)
II. El resultado de la posibilidad de una amenaza
explotando la vulnerabilidad de un activo.
II. Causa potencial de un incidente no deseado,
(ISO27000)
el que puede ocasionar un dao al sistema o a
la organizacin (ISO27000)
Sin la ocurrencia de amenazas el riesgo sera
cero.
Tomado de:
www.scienceinthebox.com/es_ES/safety/pic
/risk_assessment.jpg
jcpacheco@computer.org
11
26/08/2011
Impacto
como
resultado
del riesgo
RIESGO
Activos de
la organizacin
jcpacheco@computer.org
Deficiencias
en los
procesos o
en la
gestin.
(vulnerabili
dades).
26/08/2011
12
Alcance
Cuando
ocurre
jcpacheco@computer.org
Combina la severidad
(cun serio es el
problema?)
Con su distribucin
general (que proporcin
del proceso o de la
organizacin se afecta?)
13
26/08/2011
Resumiendo.
La
Vulnerabilidad
La Amenaza
Estrategia de
Mitigacin
El Activo
El Impacto del
Riesgo
El Riesgo es
posibilidad de la
destruccin de
la casa
jcpacheco@computer.org
26/08/2011
14
jcpacheco@computer.org
Seguridad
26/08/2011
15
Gestin
(Del it. gesio).
26/08/2011
16
.en el tiempo
jcpacheco@computer.org
26/08/2011
17
ISO/IEC 27000:2009
ISO/IEC 27001:2005
ISO/IEC 27002:2007
ISO/IEC 27003:2010
ISO/IEC 27004:2009
Gestin de riesgos en SI
ISO/IEC 27005:2008
ISO/IEC 27006:2007
ISO/IEC 27011:2008
ISO/IEC 27031:2011
ISO/IEC 27033-1:2009
ISO 27799:2008
jcpacheco@computer.org
26/08/2011
18
Cdigo del
estndar
ISO/IEC 27007
Gua para auditores de los controles del SGSI (foco en los controles de seguridad
de la informacin)
ISO/IEC 27008
ISO/IEC 27013
ISO/IEC 27014
ISO/IEC 27015
ISO/IEC 27032
ISO/IEC 27033
ISO/IEC 27034
ISO/IEC 27035
ISO/IEC 27036
26/08/2011
19
Establecimiento
del Contexto
Evaluacin del
Riesgo
Tratamiento del
Riesgo
Monitoreo y
Revisin del
Riesgo
Comunicacin
del riesgo y plan
de tratamiento
Aceptacin del
Riesgo
jcpacheco@computer.org
26/08/2011
20
Implementar y
Operar el SGSI
Envuelve la
implantacin y
operacin de los
controles.
Plan
Do
(planificar)
(hacer)
Act
Check
(actuar)
(controlar)
Mejorar el SGSI
Realiza los cambios
necesarios para llevar
al SGSI a mximo
rendimiento.
Monitorear SGSI
Revisa y evala el
desempeo
(eficiencia y
eficacia) del SGSI.
jcpacheco@computer.org
26/08/2011
21
12000
9246
10000
2008
8000
2009
6000
4000
2000
0
2008
2009
117
120
82
100
80
2008
60
2009
40
20
0
2008
Fuente: www.iso.org
jcpacheco@computer.org
2009
26/08/2011
22
SM
UE
Gestin de
Seguridad
Ambiente
de Usuario
Final
relacionados
con
los
riesgos
de
alineado
con
estndares
como
ISO20000,
ISO9001,
los
ITIL,
principales
CMM,
CB
SD
Aplicaciones
de Negocio
Crticas
Desarrollo
de
Sistemas
ISO/IEC2700x,
INSTALACIONES DE TI
NW
Redes
jcpacheco@computer.org
CI
Ambiente
de
Cmputo
26/08/2011
23
ii.
iii.
iv.
26/08/2011
24
ii.
proveedores
iii. Asegura que la cadena de suministro
26/08/2011
25
seguridad de la informacin
ii.
26/08/2011
26
ii.
26/08/2011
27
ii.
iii.
jcpacheco@computer.org
26/08/2011
28
26/08/2011
29
existentes.
ii.
26/08/2011
30
jcpacheco@computer.org
26/08/2011
31
Modelo de
Sistemas
de
Informacin
Modelo Organizativo
Estratgico
Tctico
Operativo
Nivel de Madurez
Procesos ISM
Modelo de
Seguridad
Contextual
Modelo de GSI
MODELO
ORIENTADO
AL PROCESO
jcpacheco@computer.org
26/08/2011
32
Sentido
Comn
Polticas
Procedimientos
Buenas
Prcticas
Lecciones
de
Incidentes
Para elegir un
Control
Especfico
Anlisis
de riesgos
Segn
Cliente
jcpacheco@computer.org
Contraseas
nico Acceso
Mejorar el
firewall
Mejorar el
Antivirus
OCTAVE
Magerit
Personal del
proyecto A no
tenga acceso
al proyecto B
26/08/2011
33
26/08/2011
34
Organizacin
Aplica
Controles
Activos
Reduce
Enfrenta
Riesgo
Vulnerabilida
des
Afecta
Genera
Explota
Agente de
amenaza
Provoca
Amenazas
Desea apropiarse, abusar o daar
jcpacheco@computer.org
26/08/2011
35
jcpacheco@computer.org
26/08/2011
36
Tomado de:
jcpacheco@computer.org
26/08/2011
37
Prdida de ventas por fuera de Sitio WEB fuera por un incidente de seguridad?
Prdida de acceso a INTERNET?
servicio
Prdida de Datos
Costos de reparacin
Prdida de imagen
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011
38
http://bcpzonasegura.viabcperu.in/bcp/
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
jcpacheco@computer.org
26/08/2011
39
jcpacheco@computer.org
26/08/2011
40
Preguntas?
jcpacheco@computer.org