Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Agenda
Glosario y definiciones Por qu es necesaria una aproximacin pragmtica a la seguridad? Los tres atributos de la Seguridad Las fuentes de Amenazas El modelaje de Amenazas Estimando el riesgo Mitigando el riesgo Mejores Prcticas Preguntas
Glosario (1)
Amenaza: cualquier circunstancia o evento con el potencial de causar dao al sistema de informacin tal como su destruccin, revelacin o modificacin adversa de datos, o negacin del servicio (NSTISSI, 1992) Agente de amenaza: Un mtodo usado para explotar una vulnerabilidad en un sistema, su operacin o sus instalaciones (NCSC TG-004)
Glosario (2)
Ataque: Intento de ganar acceso no autorizado a los servicios, recursos o informacin, o de comprometer la integridad, disponibilidad o confidencialidad de un sistema de informacin (NSTISSI, 1992) Vulnerabilidad: Debilidad en los procesos de seguridad, el diseo, la implementacin , controles internos, etc. de un sistema de informacin que puede ser explotada para violar las polticas de seguridad del sistema (NCSC TG004, 1988)
Glosario (3)
Riesgo: La prdida esperada, o debida al impacto de amenazas anticipadas a la luz de vulnerabilidades del sistema y la fuerza o determinacin de agentes de amenazas relevantes (NIST, 1992) Administracin de riesgos: el proceso relacionado con la identificacin, medicin, control y minimizacin de los riesgos de seguridad en los sistemas de informacin conmensurado con el valor de los activos protegidos (NSTISSI, 1992)
Por qu es necesaria una aproximacin pragmtica a la seguridad? Recursos limitados Buenas prcticas de ingeniera (dimensionamiento) de las soluciones de seguridad Priorizacin adecuada de los esfuerzos en seguridad
Confidencialidad
Est relacionada con limitar el acceso a la informacin, o que la informacin sea revelada nicamente a usuarios autorizados. Se puede implementar con
Control de acceso Criptografa
Integridad
Est relacionado con la confiabilidad de la informacin o de los recursos computacionales La informacin solo puede ser alterada o modificada por personas autorizadas. El sistema solo puede ser configurado por personas autorizadas La informacin ingresada al sistema es idntica a la de la fuente (es vlida) Se puede implementar con
Control de acceso Firma digital
Disponibilidad
Est relacionada con la disponibilidad de los recursos computacionales; que estos estn disponibles cuando se necesiten La informacin debe poder ser accedida cuando sea necesario Que el sistema pueda ser accedido cuando se necesite
Las amenazas
Las amenazas(2)
Pueden estar asociadas en cualquiera de los componentes del sistema de informacin
Personas Procesos y procedimientos Tecnologa Informacin
El modelaje de amenazas
Paso 1: Identificar los activos Paso 2: Describir y descomponer el sistema Paso 3: Identificar y documentar las amenazas Paso 4: Calificar las amenazas y el riesgo asociado Paso 5: administrar el riesgo
Identificar activos
Informacin Personas Procesos Tecnologa Servicios Imagen Otros
El Riesgo de TI
El riesgo de TI es el riesgo que afronta la organizacin, debido a su utilizacin y dependencia de TIs. Hoy en dia, la mayora de las organizaciones tiene una alta dependencia de la tecnologa
Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye prdidas econmicas, en productividad, en desempeo, en imagen organizacional, etc. y usualmente se expresa en dinero.
Mitigar el riesgo
El riesgo se puede mitigar
Reduciendo (o eliminando) la probabilibad de ocurrencia de un fallo o incidente
Mitigar el riesgo
El riesgo se puede mitigar
Reduciendo (o eliminando) el impacto asociado a un fallo o incidente
Transferir el riesgo
El riesgo se puede transferir
Pagndole a un tercero para que l asuma el riesgo por mi En caso de que el riesgo se materialice en un fallo o incidente, el impacto lo asume el tercero
Aceptar el riesgo
El riesgo se puede aceptar
Porque es poco probable que se materialice en un fallo o incidente Porque su impacto es despreciable Porque no tengo otra opcin para manejarlo
Riesgo residual
Ajustes y Optimizacin
Diseo
Soporte y mantenimiento
Desarrollo
2
Anlisis de la situacin actual
Anlisis de Riesgos Anlisis de Vulnerabilidades Diagnstico vs. estndares y mejores prcticas
Propuesta de Valor para el Negocio Optimizacin de la Seguridad de la plataforma computacional Implantacin de Estndares y Mejores Prcticas de Seguridad
5
Plan de Optimizacin de la Seguridad
Seguridad Integral
Anlisis de requerimientos y Planeacin Ajustes y Optimizacin
Diseo
Personas
Soporte y mantenimiento
Desarrollo
Procesos
Tecnologa
Operacin Pruebas
En el presente y en el futuro
Tiempo
Anlisis de requerimientos y Planeacin Planeacin estratgica de Seguridad de la Informacin Desarrollo y Administracin de las Polticas de Seguridad de la Informacin Desarrollo y Administracin de la Arquitectura de Seguridad de la Informacin Definicin y Administracin del portafolio de estndares y mejores prcticas adoptadas
Desarrollo, Implementacin e Implantacin de Seguridad Desarrollo seguro de software Implementacin segura de sistemas de cmputo Implantacin segura de aplicaciones
Monitoreo, Control y optimizacin de Seguridad Monitoreo de controles y componentes de seguridad Optimizacin y ajustes de controles y componentes de seguridad
Persona s
Proceso s
Tecnolog a
Tctico
Administracin de Seguridad Apoyar el desarrollo de las definiciones de alto nivel de seguridad Control por Indicadores Locales
Operativo
Organizacional
Enfocada a la implantacin de estndares internacionales y mejores prcticas de seguridad en la organizacin
ITIL
Gestin de Seguridad
Planear
Actuar
Hacer
Verificar
Planear Hacer
Verificar Actuar
Analizar las necesidades de seguridad del negocio asociadas a Personas, Procesos y Tecnologa Definir el nivel de seguridad que requiere la organizacin Planear soluciones de seguridad que satisfagan los requerimientos y las necesidades de seguridad Definir procesos de gestin de la seguridad que permitan mantener un nivel adecuado de seguridad a lo largo del tiempo
Disear e implementar soluciones de seguridad Implantar las soluciones de seguridad Administrar las soluciones de seguridad Implementar y ejecutar un proceso de gestin de seguridad
Evaluar constantemente la aparicin de nuevos requerimientos de seguridad, asociados a nuevas amenazas, riesgos y vulnerabilidades o a nuevos sistemas de informacin Monitorear constantemente las soluciones de seguridad existentes, de manera que sean operadas y administradas de manera adecuada, y de manera que satisfagan los requerimientos de seguridad existentes Monitorear constantemente las personas, los procesos y la tecnologa, para detectar de manera proactiva ataques y vulnerabilidades
Ajustar las soluciones de seguridad para que manejen de manera adecuada nuevas amenazas, riesgos y vulnerabilidades Proponer nuevas soluciones de seguridad de manera proactiva, para mantener el nivel de seguridad a los largo del tiempo Ajustar el proceso de gestin de la seguridad de tal manera que hayan mejoras continuas en el nivel de seguridad de la organizacin a lo largo del tiempo
Funciones de Seguridad
Atencin de Incidentes de Seguridad
Soporte de 1er. Nivel de seguridad Atencin de Incidentes de Seguridad Gestin y escalamiento de incidentes de seguridad Interfaz con entidades de control Informtica Forense
Diseo, implantacin y administracin de mtricas, ndices e indicadores de gestin de seguridad de TI, y generacin de reportes Control de cumplimiento del marco regulatorio de seguridad (arquitectura, polticas , estndares y mejores prcticas de seguridad) Control de cumplimiento de responsabilidades de seguridad Control de las funciones de administracin y operacin de seguridad Evaluacin y Diagnstico de la seguridad (Anlisis de vulnerabilidades y Pruebas de penetracin)
Programas de Seguridad
Programa de Seguridad de la Informacin Programa de Seguridad Humana Programa de Seguridad de Infraestructura Programa de Seguridad Fsica Programa de Seguridad de procesos Programa de gestin del Riesgo
Este programa se encarga de la clasificacin, administracin, aseguramiento, proteccin y destruccin segura de la informacin digital e impresa, as como de los medios de almacenamiento fijos y removibles. Este programa se encarga de la sensibilizacin y capacitacin organizacional en seguridad, fortaleciendo el componente humano del sistema de informacin
Este programa se encarga del aseguramiento de la infraestructura computacional, de comunicaciones, perifricos e infraestructura de oficina
Este programa se encarga de la seguridad fsica de los componentes del sistema de informacin, y de las instalaciones que los albergan
Este programa se encarga del aseguramiento de los procesos y procedimientos que tienen un potencial impacto sobre la seguridad
Este programa se encarga de detectar nuevas amenazas y riesgos que aparezcan en el entorno, de analizar los riesgos existentes en nuevos sistemas de informacin y en sus componentes, documentarlos y gestionarlos (mitigarlos, transferirlos o aceptarlos)
Conclusiones
La seguridad debe ser a la medida de las necesidades No se debe perseguir la seguridad per se, se debe buscar proteger los activos del sistema El modelaje de amenazas es una herramienta til para determinar donde debo concentrar los esfuerzos para asegurar mis activos de informacin
MSF/MOF Optimizar la seguridad de las TIs, con ISO27000 Optimizar el control y Gobierno de TIs con COBIT Optimizar las operaciones de TIs con MOF/ITIL
Preguntas
Help!!
BOLETINES INFORMATIVOS
Boletn de Seguridad
Boletin mensual con informacin especfica sobre seguridad informtica.
Revista Technet
Revista Oficial de TechNet con informacin relevante para ITPros
Academia Virtual
Cursos carreras y especializaciones en tecnologas de informacin. Solo necesitas una cuenta de Hotmail
Implementacin de Windows 7
Portal de aprendizaje para la implementacin de Windows 7.
SOPORTE TCNICO
SOFTWARE Y UTILITARIOS
http://bit.ly/RecursosIT
TE ESCUCHAMOS!
26-Sept-2011
21-Oct-2011
Innovation
feedback@email.microsoft. com
JJMENA@MICROSOFT.COM