SlideShare ist ein Scribd-Unternehmen logo

Formación en Seguridad IT

Ramiro Cid
Ramiro Cid

Presentación que incluye muchos aspectos a tener en cuenta ante una auditoria en seguridad IT, una correcta gestión de la SGSI y un modelo de estructura de un gestor de documentos del departamento de IS.

Technologie
1 von 26
Downloaden Sie, um offline zu lesen
Ramiro Cid | @ramirocid Octubre de 2012
2 1. Aspectos importantes a tener en cuenta durante la auditoría interna Pág. 3 2. Introducción al concepto de un SGSI Pág. 7 3. Mejoras en la seguridad física Pág. 15 4. Controles sobre la confidencialidad de la información impresa y el puesto de trabajo Pág. 17 5. Posible estructura de una carpeta departamental de un departamento de sistemas Pág. 21
• Nunca decir que hacemos un control sobre algo el cual sabemos que no tenemos ningún registro. • Procurar tener en todo momento una actitud abierta, aplicando la lógica de mostrar las virtudes y ocultar las flaquezas (sin pasarse). • Si surgiesen dudas sobre temas que plantee/consulte el auditor, remitir dicha duda al Responsable de Seguridad. • Las personas que estén realizando tareas relacionadas con mejoras previas a la auditoría, deben informar al Responsable de Seguridad antes de la auditoría interna del grado de avance y los temas pendientes. El Responsable de Seguridad procederá a realizar un Plan de Acción a ser presentado al Auditor, el cual reflejará las acciones a realizar en búsqueda de la mejora de la seguridad dentro de un calendario. 4 Puntos a tener en cuenta en el trato con el auditor
• Evaluar la eficiencia y efectividad de la organización de los controles de seguridad en general (del SGSI) • Evaluar los sistemas y procesos que se desarrollan en la organización. • Detectar y prevenir posibles errores y GAP’s (NC’s). • Evaluar el riesgo y los controles aplicados para mitigarlos. • Elaboración de planes de contingencia y recuperación en caso de desastres. 5
Topic Interview partner(s) Topics to be discussed Estimat ed time (hours) Kickoff Meeting Head of Business, Head of IT, major participants in the audit Introduction to Internal Audit, Approach of Internal Audit in field work, report writing, draft Agenda of the audit 1 Organisation and Interfaces Head of IT Organisational structures; roles and responsibilities; HR; Security concept 3 Data Centre Infrastructure Head of IT, Sysprog Physical Infrastructure (Access, UPS, Cabeling, environmental hazards) 3 Licence and HW Managment Head of IT Purchasing and Lifecycle procedures 2 ITIL Processes Head of IT, Sysadmin SD, incident, problem, change, config 2 Monitoring Sysadmin Infrastructure Monitoring; Application Monitoring 1 Disaster Recovery Head of IT, Sysadmin Disaster recovery planning; Backup and restoring procedures 3 ERP System Sysadmin Security settings, Authorization concept 4 Windows environment Sysadmin Administration; patch management, access 4 Unix Sysadmin Administration; patch management, access Network Sysadmin Administration; patch management, access Firewall firewall administrator ISA, Access logs, Admin accounts, firewall rule settings Intrusion Detection System? Remote Access Windows administrator Administration, user and permission management 2 SAN Sysadmin 1 Applications Sysadmin Application A, Application B, Application C 6 Exit Meeting Head of Business, Head of IT, major participants in the audit Presentation of first results Next Steps (Draft Report, Comments, Final Version of Report) 1 6
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es una forma de garantizar: ◦ Una reducción en los incidentes de seguridad que puede sufrir una organización y una disminución del impacto que pudieran ocasionar estos a la misma en caso de producirse. El SGSI debe seguir el “Círculo de Deming” (también conocido como PDCA), orientado a la mejora continua, en este caso aplicado a la seguridad. ◦ Ayuda a optimizar la inversión en cuanto a los aspectos de la seguridad de una organización. ◦ Justifica los gastos en seguridad, ya que se conocen que controles reducen los riesgos analizados. ◦ Impulsa la creación de políticas y procedimientos de trabajo que tienden a mejorar la seguridad de los procesos de la organización. ◦ Permite el cumplimiento de la legislación aplicable. ◦ Garantiza la continuidad del negocio ante posibles contingencias o desastres. ◦ Existen distintas normativas que lo reglamentan (ISO/IEC 27001 y 27002, Cobit, etc.). 8
Creación e implantación de un conjunto de controles de seguridad en la organización: ◦ Controles técnicos ◦ Controles organizativos ◦ Controles físicos Todo control de seguridad deberá quedar documentado así como se debe recoger evidencias del funcionamiento de dicho control de seguridad. Ventajas en el desarrollo de un SGSI: ◦ Optimiza y justifica el gasto en seguridad (se es más eficiente). ◦ Reduce el nivel de riesgo aceptado intrínsecamente por el negocio. ◦ Formaliza procedimientos y tareas a veces ad hoc y no documentadas. ◦ Mejora la imagen corporativa. ◦ Aumenta el rendimiento, la confianza y motivación del personal. ◦ Aumenta la confianza de los clientes, proveedores y la administración pública (sobre todo si se opta por certificarse luego en la ISO/IEC 27001). 9 Una clave imprescindible del éxito del SGSI es realizar un cambio en la cultura de todos los integrantes de la organización
Como resultado de un proyecto de creación e implantación de un SGSI se obtiene: Un conjunto de documentación de todos y cada uno de los controles requeridos para la seguridad de la organización (y que aplican para la organización). Se crea documentación en 3 niveles: Políticas (A este nivel sólo existe el documento “IS Security Plan”) Normas y Procedimientos Instrucciones 10 (*) Las políticas y procedimientos deben seguir los lineamientos la organización (*)
“El alcance del Sistema de Gestión de la Seguridad de la Información incluye a los activos de información que soportan el proceso de Comercialización y Desarrollo de proyectos de Seguridad de la Información de Consultoría, Auditoría, Formación, Integración de sistemas o Soporte que la compañía realiza para sus clientes en sus instalaciones.” Esto afecta: ◦ A los equiposequiposequiposequipos que contienen esa información: Servidores, estaciones de trabajo, etc. ◦ PersonasPersonasPersonasPersonas que tienen acceso a la información Todo el personal de la organización ◦ Ubicación físicaUbicación físicaUbicación físicaUbicación física donde se encuentran. Las oficinas y plantas 11
Dirección: Máximo responsable del SGSI, debe firmar y aceptar las políticas y aceptar la situación y estado del SGSI así como los riesgos residuales no cubiertos por el Plan de Continuidad del Negocio. Comité de Seguridad y Responsable de Seguridad: Los que deciden sobre el estado del SGSI, lo analizan y promueven los cambios que sean necesarios para su correcta gestión. Administradores de Seguridad ◦ Personal interno que tenga que desarrollar algunas tareas directas para el cumplimiento del SGSI. (actualmente en funcionamiento) ◦ TODOS LOS EMPLEADOS 12
En organizaciones y empresas multinacionales, es el documento maestro de la seguridad de la organización. Es un documento corporativo de la organización de obligado cumplimiento para todos los países. A partir de este documento se elaboran el resto de procedimientos de trabajo. Todos tenemos que conocerlo, comprenderlo, aceptarlo y asegurarnos de su cumplimiento, mediante la firma de: ◦ Acuerdo de Confidencialidad ◦ Normas de uso aceptable de los Sistemas de Información Localmente debe existir un plan de seguridad el cual es el marco para la realización de la mejora continúa del SGSI. 13
Participación ◦ Consultas o dudas: al Responsables de Seguridad. ◦ Ser Proactivos con las comunicaciones realizadas desde el departamento de Seguridad. Conocer los procesos Consultar la documentación existente. Mentalizarse e interiorizar la Seguridad de la Información. 14
Cosas que hay que tener en cuenta en relación a la Seguridad Física: • Nunca dejar abierta la puerta del CPD. • Nunca dejar abierta la puerta de la caja de seguridad donde se almacenan las cintas de backup. • Acceso al CPD: En caso de existir un procedimiento que marca este aspecto, seguirlo • El mismo debe ser cumplido por todas las personas del departamento que deban acceder. • En caso necesitar dar accesos al CPD a terceros al departamento, se los debe acompañar en todo momento (proveedores, personal de otros departamentos, auditores). • No dejar objetos en zonas de paso siempre que sea posible se deben dejar en lugares que no estorben el paso. 16
a) Disponibilidad: Que sea accesible en todo momento que sea requerido. b) Confidencialidad: Que la información sea accesible solamente por las personas que deben tener acceso a la misma. Existen distintos niveles de clasificación de la confidencialidad de la información o de un documento que la contenga, pero la clasificación en general se divide en 3 grupos: Confidencial: Sólo accesible por un pequeño grupo de empleados (inclusive por una única persona). Ej: Información de las nóminas del personal. Interna: Accesible por cualquier empleado de la empresa. Pero no por personas externas a la misma. Ej: Política de Seguridad. Pública: Accesible por cualquier persona, inclusive ajena a la empresa. Ej: Información de la web de la propia organización. c) Integridad: Que la documentación no sea errónea o inconsistente. Que no este corrupta, sea por eventos internos, externos, premeditados o accidentales. 18
Cosas que hay que tener en cuenta en relación a controles que busquen salvaguardar la confidencialidad de la información: • Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo si el nivel de confidencialidad es alto. • Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto. • Intentar mantener el orden del puesto de trabajo lo más posible, siendo tratando de aplicar la lógica. • Nunca dejar el ordenador con la sesión desbloqueada. • Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”). 19
Política de mesas limpias: Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo con información confidencial. Archivar papeles y documentos clasificado en espacios o dispositivos físicos de almacenamiento cerrados con llave. Destrucción de papel: destructoras compradas para (una papelera no es un medio seguro). Pantallas despejadas: ◦ Los ordenadores (portátiles y sobremesa) no podrán permanecer desatendidos, el usuario debe bloquear el equipo antes de ausentarse de su puesto de trabajo (aunque sea por un lapso corto de tiempo). ◦ Se debe activar un salvapantallas protegido con contraseña. ◦ Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto. Control de activos físicos (a la entrega y devolución): ◦ Llaves: de acceso al CPD, los archivadores, etc. ◦ Antes de irse, cada día: Los portátiles deben ser guardados en cajón (bajo llave) al momento de irse (tanto los asignados como otros). Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”). 20
• Puede ser una alternativa viable crear una estructura de carpetas que sirva como el Sistema de Gestión de la Seguridad de la Información del departamento de sistemas siguiendo los dominios de la normativa ISO/IEC 27001 • Adaptar los formatos de los documentos, para llevar todos al formato plantilla acordado. • Además es necesario crear, actualizar gran cantidad de documentación relacionada con la seguridad (Plan de Seguridad Estratégico IS, digitalizar contratos, licencias, actualizar documentos, actas de reunión, plantillas, Informes de auditoría, Procedimientos de Seguridad , Documentos de la LOPD, Memorias, Lista de Actividades, Organigramas, etc.). 22
23 Dominio / Carpeta dentro de SGSI Documentación que contiene Plan Estratégico de Seguridad IS Actas de reuniones, Catálogo de Servicios, Lista de Actividades, Documentos propios de la mejora del SGSI (análisis de riesgos, métricas e indicadores, etc.), Memorias IS, Organigramas, Presentaciones de IS, Roles y responsabilidades, Datos de los proveedores (proveedores externos e internos de la organización) Control de inventario, control en la baja de hardware, Plantilla de documentos Seguridad ligada al personal (Formación, vacaciones, etc.). Procedimientos relacionados con la seguridad física, documentación operativa de seguridad. Todos los entornos en producción poseen una estructura de 3 carpetas: Infraestructura (gestionada mayormente por el responsable de infraestructuras, aquí se encuentran mapas topológicos, procedimientos de nivel alto, Aplicación (mayormente gestionada el grupo de aplicaciones) documentos relacionados con la aplicación, dentro de esta y Operación (mayormente gestionada por el Helpdesk) Aquí habrá documentos a nivel operativos para cada entornos (FAQ., manuales de usuario, etc.). En este dominio se encuentran las políticas de acceso lógico por entornos. Aquí se debe agregar la documentación relacionada con las buenas prácticas de adquisición o desarrollo de aplicaciones. Esta carpeta contiene un control de incidencias de seguridad y documentación relacionada con la gestión de incidencias (como procedimientos de atención de incidencias por parte del Helpdesk). Esta carpeta posee actualmente planes de contingencia para 4 entornos, se irán desarrollando más planes de contingencia y con mucha probabilidad un Plan de Continuidad del Negocio. En este repositorio se encuentran los documentos de las distintas auditorías internas y de la LOPD, contratos actuales con proveedores, contratos corporate, documentación de la LOPD, Licencias de soft, procedimientos corporativos de seguridad de Guidelines corporativos de seguridad de la organización.
Seguir creando documentos aún no existentes (esquemas topológicos de redes y entornos, documentos operativos para Helpdesk, documentos de aplicaciones y de entornos, etc.). Se debe continuar por el camino que estamos llevando a cabo, se debe seguir buscando la maduración del SGSI, por ello es necesario: a) Crear más procedimientos (Métricas e indicadores, Control de formación del personal, Normas sobre la seguridad al tratar con terceros, Plan de Continuidad del Negocio, …). Siempre teniendo en cuenta la documentación corporativa de la organización, y se creará sólo en los casos que la misma no contemple los temas tratados por la documentación creada localmente. b) Crear responsabilidades aún no existentes (Comité de Seguridad, Comité de revisión de la LOPD, Comité de Cambios, etc.). Subir al gestor documental muchos documentos (todos de nivel interno a nivel de confidencialidad) una vez se haya acabado de actualizar, revisar y corregir. Formación del personal de IS, formación de key users (para ciertos entornos con alto riesgo) y hasta formación en seguridad para todo el personal. 24
SGSI: http://es.wikipedia.org/wiki/SGSI ISO/IEC 27001: http://es.wikipedia.org/wiki/ISO/IEC_27001 Seguridad de la Información: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n 25
¡¡ Muchas Gracias !! ramiro@ramirocidramiro@ramirocidramiro@ramirocidramiro@ramirocid....comcomcomcom @@@@ramirocidramirocidramirocidramirocid httphttphttphttp:::://www//www//www//www....linkedinlinkedinlinkedinlinkedin....com/in/ramirocidcom/in/ramirocidcom/in/ramirocidcom/in/ramirocid httphttphttphttp:::://ramirocid//ramirocid//ramirocid//ramirocid....comcomcomcom httphttphttphttp:::://es//es//es//es....slideshareslideshareslideshareslideshare....net/ramirocidnet/ramirocidnet/ramirocidnet/ramirocid httphttphttphttp:::://www//www//www//www....youtubeyoutubeyoutubeyoutube....com/user/cidramirocom/user/cidramirocom/user/cidramirocom/user/cidramiro Ramiro CidRamiro CidRamiro CidRamiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Empfohlen

Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaedithua
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)Yadi De La Cruz
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 

Empfohlen

Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Medidas de Seguridad TI
Medidas de Seguridad TIMedidas de Seguridad TI
Medidas de Seguridad TIRocyLeon
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799Kevin Quiroz Flores
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaedithua
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)Yadi De La Cruz
 
Seguridad
SeguridadSeguridad
SeguridadFipy_exe
 
Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisicasandybanez
 
Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)nevado96
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaAlexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaUNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Cumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúCumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúRose Rincon
 
Resumen controles 27003 2013
Resumen controles 27003 2013Resumen controles 27003 2013
Resumen controles 27003 2013Unidad Educativa San Juan Evangelista
 
Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Isabel Mantino
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridadBella Romero Aguillón
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacionUNEFA
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informáticaUbaldin Gómez Carderón
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Seguridad física
Seguridad físicaSeguridad física
Seguridad físicaEliecer Espinosa
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 

Weitere ähnliche Inhalte

Was ist angesagt?

Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisicasandybanez
 
Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)nevado96
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de SeguridadDarwin Mavares
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA1426NA
 
Cumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúCumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúRose Rincon
 
Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Isabel Mantino
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacionUNEFA
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 

Was ist angesagt? (20)

Auditoria de la seguridad fisica
Auditoria de la seguridad fisicaAuditoria de la seguridad fisica
Auditoria de la seguridad fisica
 
Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Auditoria de Seguridad
Auditoria de SeguridadAuditoria de Seguridad
Auditoria de Seguridad
 
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformáticaAlexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
Alexandra caguana autoevaluaciones_ii_bimestre_auditoriainformática
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
LA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICALA AUDITORIA DE SEGURIDAD FISICA
LA AUDITORIA DE SEGURIDAD FISICA
 
Cumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-PerúCumplimiento circular g1-40-2009-Perú
Cumplimiento circular g1-40-2009-Perú
 
Resumen controles 27003 2013
Resumen controles 27003 2013Resumen controles 27003 2013
Resumen controles 27003 2013
 
Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005 Auditoria seguridad física y del entorno iso/iec 27002:-2005
Auditoria seguridad física y del entorno iso/iec 27002:-2005
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Fisica explotacion
Fisica explotacionFisica explotacion
Fisica explotacion
 
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemasUNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
UNEG-AS 2012-Pres5: Controles internos para la seguridad en el área de sistemas
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridad
 
Control interno y auditoria informática
Control interno y auditoria informáticaControl interno y auditoria informática
Control interno y auditoria informática
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Seguridad física
Seguridad físicaSeguridad física
Seguridad física
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 

Ähnlich wie Formación en Seguridad IT

Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 

Ähnlich wie Formación en Seguridad IT (20)

Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsi
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Resumen de sgsi
Resumen de sgsiResumen de sgsi
Resumen de sgsi
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013Datasec - Experiencias - Cybersecurity 2013
Datasec - Experiencias - Cybersecurity 2013
 

Mehr von Ramiro Cid

Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridadRamiro Cid
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenRamiro Cid
 
Passwords for sale
Passwords for salePasswords for sale
Passwords for saleRamiro Cid
 
Cyber security threats for 2017
Cyber security threats for 2017Cyber security threats for 2017
Cyber security threats for 2017Ramiro Cid
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?Ramiro Cid
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Ramiro Cid
 
Lean Six Sigma methodology
Lean Six Sigma methodologyLean Six Sigma methodology
Lean Six Sigma methodologyRamiro Cid
 
IT Governance & ISO 38500
IT Governance & ISO 38500IT Governance & ISO 38500
IT Governance & ISO 38500Ramiro Cid
 
Cyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationCyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationRamiro Cid
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection RegulationRamiro Cid
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacksRamiro Cid
 
Thinking on risk analysis
Thinking on risk analysisThinking on risk analysis
Thinking on risk analysisRamiro Cid
 
Drones and their use on critical infrastructure
Drones and their use on critical infrastructureDrones and their use on critical infrastructure
Drones and their use on critical infrastructureRamiro Cid
 
Internet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyInternet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyRamiro Cid
 
Space computing
Space computingSpace computing
Space computingRamiro Cid
 
The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...Ramiro Cid
 
Internet of things
Internet of thingsInternet of things
Internet of thingsRamiro Cid
 
Cyber Security
Cyber SecurityCyber Security
Cyber SecurityRamiro Cid
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security AwarenessRamiro Cid
 

Mehr von Ramiro Cid (20)

Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagen
 
Passwords for sale
Passwords for salePasswords for sale
Passwords for sale
 
Cyber security threats for 2017
Cyber security threats for 2017Cyber security threats for 2017
Cyber security threats for 2017
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Lean Six Sigma methodology
Lean Six Sigma methodologyLean Six Sigma methodology
Lean Six Sigma methodology
 
IT Governance & ISO 38500
IT Governance & ISO 38500IT Governance & ISO 38500
IT Governance & ISO 38500
 
Cyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationCyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk Aggregation
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection Regulation
 
Payment fraud
Payment fraudPayment fraud
Payment fraud
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacks
 
Thinking on risk analysis
Thinking on risk analysisThinking on risk analysis
Thinking on risk analysis
 
Drones and their use on critical infrastructure
Drones and their use on critical infrastructureDrones and their use on critical infrastructure
Drones and their use on critical infrastructure
 
Internet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyInternet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacy
 
Space computing
Space computingSpace computing
Space computing
 
The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...
 
Internet of things
Internet of thingsInternet of things
Internet of things
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
 

Kürzlich hochgeladen

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 

Kürzlich hochgeladen (11)

EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 

Formación en Seguridad IT

  • 1. Ramiro Cid | @ramirocid Octubre de 2012
  • 2. 2 1. Aspectos importantes a tener en cuenta durante la auditoría interna Pág. 3 2. Introducción al concepto de un SGSI Pág. 7 3. Mejoras en la seguridad física Pág. 15 4. Controles sobre la confidencialidad de la información impresa y el puesto de trabajo Pág. 17 5. Posible estructura de una carpeta departamental de un departamento de sistemas Pág. 21
  • 3.
  • 4. • Nunca decir que hacemos un control sobre algo el cual sabemos que no tenemos ningún registro. • Procurar tener en todo momento una actitud abierta, aplicando la lógica de mostrar las virtudes y ocultar las flaquezas (sin pasarse). • Si surgiesen dudas sobre temas que plantee/consulte el auditor, remitir dicha duda al Responsable de Seguridad. • Las personas que estén realizando tareas relacionadas con mejoras previas a la auditoría, deben informar al Responsable de Seguridad antes de la auditoría interna del grado de avance y los temas pendientes. El Responsable de Seguridad procederá a realizar un Plan de Acción a ser presentado al Auditor, el cual reflejará las acciones a realizar en búsqueda de la mejora de la seguridad dentro de un calendario. 4 Puntos a tener en cuenta en el trato con el auditor
  • 5. • Evaluar la eficiencia y efectividad de la organización de los controles de seguridad en general (del SGSI) • Evaluar los sistemas y procesos que se desarrollan en la organización. • Detectar y prevenir posibles errores y GAP’s (NC’s). • Evaluar el riesgo y los controles aplicados para mitigarlos. • Elaboración de planes de contingencia y recuperación en caso de desastres. 5
  • 6. Topic Interview partner(s) Topics to be discussed Estimat ed time (hours) Kickoff Meeting Head of Business, Head of IT, major participants in the audit Introduction to Internal Audit, Approach of Internal Audit in field work, report writing, draft Agenda of the audit 1 Organisation and Interfaces Head of IT Organisational structures; roles and responsibilities; HR; Security concept 3 Data Centre Infrastructure Head of IT, Sysprog Physical Infrastructure (Access, UPS, Cabeling, environmental hazards) 3 Licence and HW Managment Head of IT Purchasing and Lifecycle procedures 2 ITIL Processes Head of IT, Sysadmin SD, incident, problem, change, config 2 Monitoring Sysadmin Infrastructure Monitoring; Application Monitoring 1 Disaster Recovery Head of IT, Sysadmin Disaster recovery planning; Backup and restoring procedures 3 ERP System Sysadmin Security settings, Authorization concept 4 Windows environment Sysadmin Administration; patch management, access 4 Unix Sysadmin Administration; patch management, access Network Sysadmin Administration; patch management, access Firewall firewall administrator ISA, Access logs, Admin accounts, firewall rule settings Intrusion Detection System? Remote Access Windows administrator Administration, user and permission management 2 SAN Sysadmin 1 Applications Sysadmin Application A, Application B, Application C 6 Exit Meeting Head of Business, Head of IT, major participants in the audit Presentation of first results Next Steps (Draft Report, Comments, Final Version of Report) 1 6
  • 7.
  • 8. Un Sistema de Gestión de la Seguridad de la Información (SGSI) es una forma de garantizar: ◦ Una reducción en los incidentes de seguridad que puede sufrir una organización y una disminución del impacto que pudieran ocasionar estos a la misma en caso de producirse. El SGSI debe seguir el “Círculo de Deming” (también conocido como PDCA), orientado a la mejora continua, en este caso aplicado a la seguridad. ◦ Ayuda a optimizar la inversión en cuanto a los aspectos de la seguridad de una organización. ◦ Justifica los gastos en seguridad, ya que se conocen que controles reducen los riesgos analizados. ◦ Impulsa la creación de políticas y procedimientos de trabajo que tienden a mejorar la seguridad de los procesos de la organización. ◦ Permite el cumplimiento de la legislación aplicable. ◦ Garantiza la continuidad del negocio ante posibles contingencias o desastres. ◦ Existen distintas normativas que lo reglamentan (ISO/IEC 27001 y 27002, Cobit, etc.). 8
  • 9. Creación e implantación de un conjunto de controles de seguridad en la organización: ◦ Controles técnicos ◦ Controles organizativos ◦ Controles físicos Todo control de seguridad deberá quedar documentado así como se debe recoger evidencias del funcionamiento de dicho control de seguridad. Ventajas en el desarrollo de un SGSI: ◦ Optimiza y justifica el gasto en seguridad (se es más eficiente). ◦ Reduce el nivel de riesgo aceptado intrínsecamente por el negocio. ◦ Formaliza procedimientos y tareas a veces ad hoc y no documentadas. ◦ Mejora la imagen corporativa. ◦ Aumenta el rendimiento, la confianza y motivación del personal. ◦ Aumenta la confianza de los clientes, proveedores y la administración pública (sobre todo si se opta por certificarse luego en la ISO/IEC 27001). 9 Una clave imprescindible del éxito del SGSI es realizar un cambio en la cultura de todos los integrantes de la organización
  • 10. Como resultado de un proyecto de creación e implantación de un SGSI se obtiene: Un conjunto de documentación de todos y cada uno de los controles requeridos para la seguridad de la organización (y que aplican para la organización). Se crea documentación en 3 niveles: Políticas (A este nivel sólo existe el documento “IS Security Plan”) Normas y Procedimientos Instrucciones 10 (*) Las políticas y procedimientos deben seguir los lineamientos la organización (*)
  • 11. “El alcance del Sistema de Gestión de la Seguridad de la Información incluye a los activos de información que soportan el proceso de Comercialización y Desarrollo de proyectos de Seguridad de la Información de Consultoría, Auditoría, Formación, Integración de sistemas o Soporte que la compañía realiza para sus clientes en sus instalaciones.” Esto afecta: ◦ A los equiposequiposequiposequipos que contienen esa información: Servidores, estaciones de trabajo, etc. ◦ PersonasPersonasPersonasPersonas que tienen acceso a la información Todo el personal de la organización ◦ Ubicación físicaUbicación físicaUbicación físicaUbicación física donde se encuentran. Las oficinas y plantas 11
  • 12. Dirección: Máximo responsable del SGSI, debe firmar y aceptar las políticas y aceptar la situación y estado del SGSI así como los riesgos residuales no cubiertos por el Plan de Continuidad del Negocio. Comité de Seguridad y Responsable de Seguridad: Los que deciden sobre el estado del SGSI, lo analizan y promueven los cambios que sean necesarios para su correcta gestión. Administradores de Seguridad ◦ Personal interno que tenga que desarrollar algunas tareas directas para el cumplimiento del SGSI. (actualmente en funcionamiento) ◦ TODOS LOS EMPLEADOS 12
  • 13. En organizaciones y empresas multinacionales, es el documento maestro de la seguridad de la organización. Es un documento corporativo de la organización de obligado cumplimiento para todos los países. A partir de este documento se elaboran el resto de procedimientos de trabajo. Todos tenemos que conocerlo, comprenderlo, aceptarlo y asegurarnos de su cumplimiento, mediante la firma de: ◦ Acuerdo de Confidencialidad ◦ Normas de uso aceptable de los Sistemas de Información Localmente debe existir un plan de seguridad el cual es el marco para la realización de la mejora continúa del SGSI. 13
  • 14. Participación ◦ Consultas o dudas: al Responsables de Seguridad. ◦ Ser Proactivos con las comunicaciones realizadas desde el departamento de Seguridad. Conocer los procesos Consultar la documentación existente. Mentalizarse e interiorizar la Seguridad de la Información. 14
  • 15.
  • 16. Cosas que hay que tener en cuenta en relación a la Seguridad Física: • Nunca dejar abierta la puerta del CPD. • Nunca dejar abierta la puerta de la caja de seguridad donde se almacenan las cintas de backup. • Acceso al CPD: En caso de existir un procedimiento que marca este aspecto, seguirlo • El mismo debe ser cumplido por todas las personas del departamento que deban acceder. • En caso necesitar dar accesos al CPD a terceros al departamento, se los debe acompañar en todo momento (proveedores, personal de otros departamentos, auditores). • No dejar objetos en zonas de paso siempre que sea posible se deben dejar en lugares que no estorben el paso. 16
  • 17.
  • 18. a) Disponibilidad: Que sea accesible en todo momento que sea requerido. b) Confidencialidad: Que la información sea accesible solamente por las personas que deben tener acceso a la misma. Existen distintos niveles de clasificación de la confidencialidad de la información o de un documento que la contenga, pero la clasificación en general se divide en 3 grupos: Confidencial: Sólo accesible por un pequeño grupo de empleados (inclusive por una única persona). Ej: Información de las nóminas del personal. Interna: Accesible por cualquier empleado de la empresa. Pero no por personas externas a la misma. Ej: Política de Seguridad. Pública: Accesible por cualquier persona, inclusive ajena a la empresa. Ej: Información de la web de la propia organización. c) Integridad: Que la documentación no sea errónea o inconsistente. Que no este corrupta, sea por eventos internos, externos, premeditados o accidentales. 18
  • 19. Cosas que hay que tener en cuenta en relación a controles que busquen salvaguardar la confidencialidad de la información: • Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo si el nivel de confidencialidad es alto. • Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto. • Intentar mantener el orden del puesto de trabajo lo más posible, siendo tratando de aplicar la lógica. • Nunca dejar el ordenador con la sesión desbloqueada. • Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”). 19
  • 20. Política de mesas limpias: Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo con información confidencial. Archivar papeles y documentos clasificado en espacios o dispositivos físicos de almacenamiento cerrados con llave. Destrucción de papel: destructoras compradas para (una papelera no es un medio seguro). Pantallas despejadas: ◦ Los ordenadores (portátiles y sobremesa) no podrán permanecer desatendidos, el usuario debe bloquear el equipo antes de ausentarse de su puesto de trabajo (aunque sea por un lapso corto de tiempo). ◦ Se debe activar un salvapantallas protegido con contraseña. ◦ Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto. Control de activos físicos (a la entrega y devolución): ◦ Llaves: de acceso al CPD, los archivadores, etc. ◦ Antes de irse, cada día: Los portátiles deben ser guardados en cajón (bajo llave) al momento de irse (tanto los asignados como otros). Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”). 20
  • 21.
  • 22. • Puede ser una alternativa viable crear una estructura de carpetas que sirva como el Sistema de Gestión de la Seguridad de la Información del departamento de sistemas siguiendo los dominios de la normativa ISO/IEC 27001 • Adaptar los formatos de los documentos, para llevar todos al formato plantilla acordado. • Además es necesario crear, actualizar gran cantidad de documentación relacionada con la seguridad (Plan de Seguridad Estratégico IS, digitalizar contratos, licencias, actualizar documentos, actas de reunión, plantillas, Informes de auditoría, Procedimientos de Seguridad , Documentos de la LOPD, Memorias, Lista de Actividades, Organigramas, etc.). 22
  • 23. 23 Dominio / Carpeta dentro de SGSI Documentación que contiene Plan Estratégico de Seguridad IS Actas de reuniones, Catálogo de Servicios, Lista de Actividades, Documentos propios de la mejora del SGSI (análisis de riesgos, métricas e indicadores, etc.), Memorias IS, Organigramas, Presentaciones de IS, Roles y responsabilidades, Datos de los proveedores (proveedores externos e internos de la organización) Control de inventario, control en la baja de hardware, Plantilla de documentos Seguridad ligada al personal (Formación, vacaciones, etc.). Procedimientos relacionados con la seguridad física, documentación operativa de seguridad. Todos los entornos en producción poseen una estructura de 3 carpetas: Infraestructura (gestionada mayormente por el responsable de infraestructuras, aquí se encuentran mapas topológicos, procedimientos de nivel alto, Aplicación (mayormente gestionada el grupo de aplicaciones) documentos relacionados con la aplicación, dentro de esta y Operación (mayormente gestionada por el Helpdesk) Aquí habrá documentos a nivel operativos para cada entornos (FAQ., manuales de usuario, etc.). En este dominio se encuentran las políticas de acceso lógico por entornos. Aquí se debe agregar la documentación relacionada con las buenas prácticas de adquisición o desarrollo de aplicaciones. Esta carpeta contiene un control de incidencias de seguridad y documentación relacionada con la gestión de incidencias (como procedimientos de atención de incidencias por parte del Helpdesk). Esta carpeta posee actualmente planes de contingencia para 4 entornos, se irán desarrollando más planes de contingencia y con mucha probabilidad un Plan de Continuidad del Negocio. En este repositorio se encuentran los documentos de las distintas auditorías internas y de la LOPD, contratos actuales con proveedores, contratos corporate, documentación de la LOPD, Licencias de soft, procedimientos corporativos de seguridad de Guidelines corporativos de seguridad de la organización.
  • 24. Seguir creando documentos aún no existentes (esquemas topológicos de redes y entornos, documentos operativos para Helpdesk, documentos de aplicaciones y de entornos, etc.). Se debe continuar por el camino que estamos llevando a cabo, se debe seguir buscando la maduración del SGSI, por ello es necesario: a) Crear más procedimientos (Métricas e indicadores, Control de formación del personal, Normas sobre la seguridad al tratar con terceros, Plan de Continuidad del Negocio, …). Siempre teniendo en cuenta la documentación corporativa de la organización, y se creará sólo en los casos que la misma no contemple los temas tratados por la documentación creada localmente. b) Crear responsabilidades aún no existentes (Comité de Seguridad, Comité de revisión de la LOPD, Comité de Cambios, etc.). Subir al gestor documental muchos documentos (todos de nivel interno a nivel de confidencialidad) una vez se haya acabado de actualizar, revisar y corregir. Formación del personal de IS, formación de key users (para ciertos entornos con alto riesgo) y hasta formación en seguridad para todo el personal. 24
  • 25. SGSI: http://es.wikipedia.org/wiki/SGSI ISO/IEC 27001: http://es.wikipedia.org/wiki/ISO/IEC_27001 Seguridad de la Información: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n 25
  • 26. ¡¡ Muchas Gracias !! ramiro@ramirocidramiro@ramirocidramiro@ramirocidramiro@ramirocid....comcomcomcom @@@@ramirocidramirocidramirocidramirocid httphttphttphttp:::://www//www//www//www....linkedinlinkedinlinkedinlinkedin....com/in/ramirocidcom/in/ramirocidcom/in/ramirocidcom/in/ramirocid httphttphttphttp:::://ramirocid//ramirocid//ramirocid//ramirocid....comcomcomcom httphttphttphttp:::://es//es//es//es....slideshareslideshareslideshareslideshare....net/ramirocidnet/ramirocidnet/ramirocidnet/ramirocid httphttphttphttp:::://www//www//www//www....youtubeyoutubeyoutubeyoutube....com/user/cidramirocom/user/cidramirocom/user/cidramirocom/user/cidramiro Ramiro CidRamiro CidRamiro CidRamiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL