Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Escuela Politecnica Del Ejercito

    Cargado por

    Joseph Ibrahim Cruz Rodríguez
    9 vistas25 páginas

    Título original

    Untitled

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPT, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    9 vistas25 páginas

    Escuela Politecnica Del Ejercito

    Cargado por

    Joseph Ibrahim Cruz Rodríguez

    Copyright:

    © All Rights Reserved
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 25

    ESCUELA POLITECNICA DEL EJERCITO

    “Evaluación Técnica de la Seguridad Informática


    Del Data Center de la Escuela Politécnica del
    Ejército”

    Integrantes:

     Ricardo Guagalango Vega


     Patricio Moscoso Montalvo
    Objetivo General

    Realizar una Evaluación Técnica Informática en la


    Unidad de Sistemas de Información del Data Center
    de la Escuela Politécnica del Ejército en Sangolquí,
    considerando como referencia los estándares ISO
    27001 e ISO 27002.
    AGENDA

     Seguridad Informática
    Informática yyde
    delalaInformación
    Información
     Norma ISO 27000
    27000
     Metodología MAGERIT
    MAGERIT
     Resultados
    Software PILAR
     Software PILAR
    Resultados
     Conclusiones
    Conclusiones
    Recomendaciones
     Recomendaciones
    Seguridad Informática y de la
    Información
     Protección de Infraestructura
    Computacional.
     Proteger y resguardar la Información.

    Agenda
    Norma ISO 27000

    Agenda
    Metodología de Análisis y Gestión de
    Riesgos de los Sistemas de Información

    MAGERIT

    Estructurado en tres
    guías:

    METODO CATALOGO TECNICA


    Metodología MAGERIT

    Activos Amenazas

    Valor Degradación

    Impacto Frecuencias

    Riesgo

    Salvaguardas

    Riesgo Residual

    Agenda
    Activos
    Tipo Ejemplos:
    [SW] Aplicaciones (software)
    Sistemas Operativos Windows XP, 2003 Server, Linux
    Aplicativos Sistema Académico, Sistema Financiero
    [HW] Equipos informáticos
    (hardware)
    Equipos PC Clones
    Servidores Compaq, HP
    [S] Servicios
    Mensajería electrónica EMAIL
    [AUX] Equipamiento auxiliar Proyector Digital
    [COM] Redes de comunicaciones red LAN
    [L] Instalaciones Cuarto de Servidores - Principal

    Metodología
    Valor de Activos
    Valor Criterio

    10 Muy alto Daño muy grave a la organización

    7–9 Alto Daño grave a la organización

    4–6 Medio Daño importante a la organización

    1–3 Bajo Daño menor a la organización

    0 Despreciable Irrelevante a efectos prácticos

    Activos Ejemplo Valor


    Software Sistema Operativo 7
    Windows XP
    Hardware PC’S 8
    Servicios EMAIL 9

    Metodología
    Amenazas
    Clases de Activos Descripción Amenazas
    Software Sistema Operativo 1. Virus
    Windows XP 2. Fallo de Usuario
    3. Caída del Sistema
    Hardware PC’S 1.Tormentas electromagnéticas
    2. Mantenimiento Defectuoso
    Servicio EMAIL 1. Fallo del Servicio
    2. Reencaminamiento

    Metodología
    Frecuencia

    Frecuencia

    0,1 una vez cada 10 años

    1 todos los años

    10 todos los meses

    100 todos los días

    Metodología
    Degradación

    Clases de Descripción Amenazas Frecuencia D I C A T


    Activos
    Software Sistema 1. Virus 10 M A B M A
    Operativo 2. Avería en el S.O. 1 A M M B M
    Windows XP 3. Caída del 100 MA M M A A
    Sistema

    Hardware PC’S 1.Tormentas 10 M A B B M


    electromagnetic as
    2. Mantenimiento
    Defectuoso 0,1 MA MA B A M

    Metodología
    Impacto y Riesgo

    Cualitativo
    Impacto Nivel de Valor
    Riesgo Nivel de Criticidad

     Impacto = valor activo * degradación

     Riesgo = impacto * probabilidad

    Metodología
    Salvaguardas

    [H] Protecciones Generales


    [S] Protección de los Servicios
    [D] Protección de la Información
    [SW] Protección de las Aplicaciones
    Informáticas (SW)
    [HW] Protección de los Equipos
    Informáticos (HW)

    [COM] Protección de las


    Comunicaciones

    [L] Protección de las Instalaciones

    Metodología
    Resultados Generales Aplicando los
    Controles de la Norma ISO 27004

    Cumplimiento de la Norma ISO 27002

    Agenda
    Resultados Obtenidos con la
    Herramienta PILAR
     RESULTADOS GENERALES

    79.45%
    70.64%

    46.36%
    34.55%

    Agenda
    Resultados con la Herramienta Pilar
    Referente a los Controles de la Norma ISO
    27002

    Agenda
    RESULTADOS CON LA HERRAMIENTA PILAR
    REFERENTE A LOS CONTROLES DE LA NORMA
    ISO 27002

    90%

    55%

    43%
    35%
    32% 30%
    21% 23%
    22%
    14% 15%

    Agenda
    RESULTADOS CON LA HERRAMIENTA PILAR
    REFERENTE A LOS CONTROLES DE LA NORMA
    ISO 27002

    90%

    63%
    53%
    43%
    40% 41% 40% 38% 38% 41%

    23%

    Metodología
    RESULTADOS CON LA HERRAMIENTA PILAR
    REFERENTE A LOS CONTROLES DE LA NORMA
    ISO 27002

    95%

    77% 77%
    75%
    69%
    68% 67% 67% 64%
    40%
    60%

    Agenda
    RESULTADOS CON LA HERRAMIENTA PILAR
    REFERENTE A LOS CONTROLES DE LA NORMA ISO
    27002

    95%
    92%
    86%
    82%
    74% 79% 76%
    77% 76%
    69% 68%

    Agenda
    Utilización de la Herramienta
    PILAR
    1. Activos 2. Amenazas
    Seleccionar las Amenazas
    Identificación de
    Identificación de Activos Clasificación de Activos Desde la biblioteca
    Amenazas
    del programa por cada Activo

    Ingreso de la Frecuencia
    Dependencias entre
    o probabilidad de
    Activos Padre e Hijo
    Materialización de la amenaza
    Valoración de Según el criterio del análisis
    Amenazas por cada
    Seleccionar el nivel según Activo
    Valoración de Activos criterio basado en las
    vulnerabilidades Ingreso de la Degradación
    por Nivel o porcentaje

    Terminadas las fases 1 y 2 Pilar genera


    como producto: el Impacto y Riesgo inicial
    automáticamente

    Agenda
    Utilización de la Herramienta
    PILAR
    3. Tratamiento de Riesgos
    Current: Situación Actual
    Fases del Proyecto
    Target: Situación Objetivo

    Identificación

    Salvaguardas

    Valoración

    Impacto y
    Riesgo Residual

    Terminadas las 3 fases del Proyecto, Pilar


    genera como producto: el Impacto y Riesgo
    Residual automáticamente

    Agenda
    Conclusiones

     Diagnóstico utilizando las Normas ISO


    27000
     Diagnóstico utilizando la Metodología
    MAGERIT
     Resumen de Observaciones realizadas en
    Seguridad Informática al Data Center.

    Agenda
    Recomendaciones

     Iniciar Proceso de Certificación.


     Desarrollar un Plan de Seguridad Informático.
     Adquirir una herramienta para el Análisis y
    Gestión de Riesgos.
     Aplicar las salvaguardas.
     Mantener abierta la comunicación en todas las
    áreas en cuanto a seguridad informática

    Agenda

    También podría gustarte