Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD INFORMÁTICA
Astrid Jaramillo Betancur
Ing. MSc Ingeniero de Sistemas,
Magister en Recursos Digitales
Top Secret Si es revelada podría causar daños graves a la Espionaje. Diseño de nuevas
seguridad nacional. armas. Ubicación de armas
de alto alcance o nucleares.
2.2 Clasificación de la información
◦ MAGERIT 2
◦ OSSTMM / OWASP
CISA / CISM
CISSP
Cisco SecuritySpecialist
Y Muchas más……
Historia de ISO 27001 e ISO 17799 (27002)
Centro de
Seguridad de Revisión por: En 2007 se
• NCC (Centro renombro
Informática
Nacional de
Comercial del como ISO/IEC
Reino Unido Computación) Revisión
• Consorcio Estándar nacional conjunta de las Estándar Internacional 27002
Revisión periódica
(CCSC/DTI) (Fast Track)
usuarios británico partes 1 y 2 (5 años)
■Código de ■PD0003 ■ ■ ■ ■
BS 7799 BS 7799- ISO/IEC ISO/IEC
prácticas Código de 1 :1999 17799 :2000 17799 :2005
para prácticas
usuarios para la
gestión de la
seguridad de
la
información
Fundamentos SI Planear
Requerimientos SI Análisis de Diseño/Evaluación y
Visión Seguridad Áreas
Organización Requerimientos y Adquisición de
Riesgos SI Gestión de Políticas SI Mecanismos de SI
Estándares SI
Políticas
Verificar
Normatividad
Áreas de Control Administración y Operación
2.3.5 Estándar ISO/IEC 27001
Indicadores de gestión
Métricas de SI.
2.4 Gestión de Riesgos en S.I.
Análisis de Riesgos
• Identificaci
• Valorar los activos.
• Identificar la amenaza.
• Identificar las
vulnerabilidades.
• Determinar la
probabilidad de
ocurrencia de la amenaza.
• Evaluar las protecciones
• Valorar el riesgo.
• Asumir el riesgo residual.
2.4 Gestión de Riesgos en S.I.
Fuente: http://www.first.org/cvss/cvss-guide.html
2.4 Gestión de Riesgos en S.I.
120
100
80
High
60 Medium
40 Low
20
0
Sep-26 Oct-3 Oct-10 Oct-17
Fuente: http://www.us-cert.gov/cas/bulletins/
2.4 Gestión de Riesgos en S.I.
Probabilidad Definición
de Ocurrencia
• La probabilidad de ocurrencia.
• La magnitud del impacto.
• Los controles existentes o planeados.
PROBABI- IMPACTO
LIDAD
Bajo (10) Medio (50) Alto (100)
3. Mida (metricas)
• Safe internet and Email Usage (protegerse su espacio de trabajo y su familia de contenido
no deseado o inseguro)
• Regulations, policies and trust (porque existen las políticas de seguridad y que otras
regulaciones nos rigen)
2.5 Sensibilización en Seguridad.