Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Métricas de Seguridad en Los SGSIs, para Conocer El Nivel de Seguridad de Los SSOO y de Los SGBD PDF
Métricas de Seguridad en Los SGSIs, para Conocer El Nivel de Seguridad de Los SSOO y de Los SGBD PDF
VI Congreso Iberoamericano de
Seguridad Informática
MGSM-PYME
Métricas de seguridad en los SGSIs, para
conocer el nivel de seguridad de los SSOO y
de los SGBD
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
4.- Proceso de medición
Contenido de la presentación
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos 1. Introducción.
8.- Conclusiones
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
Introducción
1.- Introducción
2.- Estado del arte
Introducción
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos
Uso de los SGSI: las Organizaciones en general, y PYMES en particular,
8.- Conclusiones han ido tomando consciencia de la necesidad que tienen de soluciones
en el ámbito de la seguridad de la información que tengan en cuenta
Transparencia 4
los objetivos de la empresa, aumentando el interés por esa seguridad
de la información en los últimos años.
Transparencia 5
- El establecimiento de métricas con las que conocer el estado de la
seguridad resulta fundamental en la implantación y mantenimiento de
un SGSI, debiendo aparecer a la vez que se produce la implantación de
éste.
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
Estado del arte Estado del arte:
3.- Objetivos
4.- Proceso de medición Estándares analizados
5.- Definición de controles
6.- Herramienta
Hemos analizado los principales estándares de seguridad orientados a
7.- Resultados prácticos
la gestión y medición de la seguridad de los sistemas:
8.- Conclusiones
Transparencia 8
Transparencia 9
Transparencia 10
- El resto de normas se consideran complementarias a la 27001 y la
27002, surgiendo como apoyo para la implementación en temas
específicos o el proceso de auditoría del SGSI.
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
Objetivos
3.- Objetivos Objetivos
4.- Proceso de medición
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos Normativas
8.- Conclusiones
Herramientas
del mercado
Transparencia 16
¿Material ISO
27004? ¿ISO
27004?
Completa colección
de métricas
(Mediciones)
Herramienta
Web
Accesibilidad
Mantenimiento
Costes
Caso práctico real
Alcance:
- Desarrollo de los objetivos de control para cada ámbito.
- Automatización de parte de los objetivos de control.
- Utilización de la aplicación en entornos de desarrollo y
producción de empresas reales.
Limitaciones:
- Funcionales: No todos los objetivos de control pueden ser
automatizados.
- Temporales: El número de objetivos de control que es
posible automatizar en el margen temporal marcado es de
doce.
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
Proceso de medición
3.- Objetivos
Proceso
4.- Procesode
demedición
medición
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos
- El coste de implantación de una métrica debe ser proporcional al
8.- Conclusiones
beneficio obtenido.
Transparencia 22
- Una forma de implantación seguir las fases del modelo PDCA
(como ISO 27004), haciendo coincidir su implementación con las fases
seguidas en ISO 27001.
Transparencia 23
NR = (([PTVE]*100)/[PTVP])
NS = 100 – NR
Intervalo
Transparencia 24 Riesgo (según el nivel de Descripción
securización)
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
Definición de controles
3.- Objetivos
4.- Proceso de medición
5.- Definición
Definición de controles
de controles
6.- Herramienta
7.- Resultados prácticos
Objetivo de Control: declaraciones de los resultados deseados u
8.- Conclusiones objetivos a ser alcanzados.
Transparencia 26
Niveles de valoración:
- Seguro: Valoración 0
- Inseguro: Valoración 1
- Muy Inseguro: Valoración 2
Total O.C: 8 4 3 8 2
Total O.C: 4 3 26 4
Total O.C: 6 5 10 5
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
Herramienta de medición
3.- Objetivos
4.- Proceso de medición
5.- Definición de controles
6.- Herramienta
Herramienta
7.- Resultados prácticos
Selección
8.- Conclusiones
de
conexión
Transparencia 31
Selección
de
aplicación
Cabecera
del informe
Objetivos
de control
Transparencia 33
Histórico de
Transparencia 36
auditorías
Valoración
de Objetivos
de control
Transparencia 38
Transparencia 39
Transparencia 40
Transparencia 41
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos Pruebas
4.- Proceso de medición
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos
Pruebas de auditoría sobre servidores reales de las
Resultados
8.- Conclusiones instalaciones de la empresa Sicaman Nuevas Tecnologías:
- Servidores W2003 de Producción y Desarrollo
Transparencia 43
Resultados obtenidos:
Securización/ SQL
Windows Securización
SERVER Oracle 9i
Servidor 2000 media
2000
Servidor
desarrollo [SQL] 51,35 52,83 - 52,22
Servidor
desarrollo 51,35 - 52,27 51,85
[ORA]
Servidor
Luis Enrique Sánchez Crespo producción 72,97 73,58 - 73,33
CIBSI 2011 [SQL]
Bucaramanga, Colombia
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos
Conclusiones y Trabajo futuro
4.- Proceso de medición
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos - El entorno de producción de SNT tiene un nivel de securización
8.- Conclusiones
Conclusiones
medio, tanto a nivel de servidor, como a nivel de aplicaciones
individuales. Sería aconsejable seguir las recomendaciones
Transparencia 44
obtenidas de las auditorías, sobre todo teniendo en cuenta que es
un entorno de producción.
6. Herramienta.
7. Resultados prácticos.
Luis Enrique Sánchez Crespo
CIBSI 2011
Bucaramanga, Colombia 8. Conclusiones y trabajo futuro.
03 de Noviembre de 2011
1.- Introducción
2.- Estado del arte
3.- Objetivos Conclusiones y Trabajo futuro
4.- Proceso de medición
5.- Definición de controles
6.- Herramienta
7.- Resultados prácticos
8.- Conclusiones
Conclusiones
Estudio de la normativa vigente en materia de métricas…
Transparencia 46
FIPS 140-1, FIPS 140-2, NIST SP 800-53, NIST SP 800-55, NIST SP 800-80,
familia ISO/IEC 27000 (ISO 27001, ISO 27002, ISO 27004)
Transparencia 48
Dividir Mediciones
Transparencia 49
Informe en pdf
Gráficos de histórico