SlideShare ist ein Scribd-Unternehmen logo

Presentación tfg

Als PPTX, PDF herunterladen
D
DrossMisses

magerit

Internet
1 von 27
T R AB A J O D E F I N D E G R AD O APLICACIÓN DEL MÉTODO MAGERIT CON LA HERRAMIENTA GLOBALSUITE G R AD O I N G E N I E R Í A D E L S O F T WAR E AU TO R : I S R AE L M AY O M AR T Í N E Z T U TO R : J E S Ú S S Á N C H E Z L Ó P E Z
INTRODUCCIÓN • OBJETIVO • CONTENIDO • PRESENTACIÓN DEL CASO DE ESTUDIO • APLICACIÓN A LA HERRAMIENTA GLOBALSUITE • OBTENCIÓN DE RESULTADOS Y CONTRASTE CON LA HERRAMIENTA PILAR • RECURSOS GENERADOS (PILDORAS FORMATIVAS)
INTRODUCCIÓN ISO 31000:2009 Principios y directrices para la GR ISO/IEC 27001:2013 ISO 27005:2011 Requisitos para los SGSI Mejores prácticas para la GR Clausulas 6.1.2, 6.1.3 y 8.2, 8.3 Metodología MAGERIT
INTRODUCCIÓN 27005 MAGERIT Actividades Tareas [MAR.1] Caracterización de los activos. [MAR.11] Identificación de los activos. [MAR.12] Dependencias entre activos. [MAR.13] Valoración de los activos. [MAR.2] Caracterización de las amenazas. [MAR.21] Identificación de las amenazas. [MAR.22] Valoración de las amenazas. [(MAR.3) Caracterización de las salvaguardas. [MAR.31] Identificación de las salvaguardas. [MAR.4] Estimación del estado de riesgo. [MAR.41] Estimación del impacto. [MAR.42] Estimación el riesgo. Actividades Tareas. [PAR.1] Actividades preliminares. [PAR.11] Estudio de oportunidad. [PAR.12] Determinación del alcance del proyecto. [PAR.13] Planificación del proyecto. [PAR.14] Lanzamiento del proyecto. [PAR.2] Elaboración del análisis de riesgos. APLICACIÓN DEL MÉTODO DE ANÁLISIS DE RIESGOS [MAR] [PAR.3] Comunicación de resultados.
PRESENTACIÓN DEL CASO DE ESTUDIO
IDENTIFICACIÓN DE LOS ACTIVOS Activo Tipo Propietario Descripción Expedientes en curso Información Jefe del servicio de tramitación Expedientes con datos financieros y datos de carácter personal de nivel medio. Tramitación presencial Servicio Jefe del servicio de tramitación Atención al ciudadano a través de ventanilla. Tramitación remota Servicio Jefe del servicio de tramitación Acceso del ciudadano a través de servicio SSL. Mensajería Electrónica Servicio Administrador del Sistema Medio de comunicación con la administración y emisión de notificaciones. Archivo histórico central Servicio Jefe del servicio de archivo central Servicio que proporciona los datos de los expedientes y en el cual se guardan una vez se tramitan. Conexión a Internet Servicio Administrador del Sistema Servicio proporcionado por otra empresa para el acceso a Internet. Tramitación de Expedientes Software Jefe del servicio de tramitación Aplicación Informática que permite la tramitación de expedientes. Puestos de trabajo Hardware Administrador del Sistema Equipos informáticos con sistema operativo Windows y paquetes ofimáticos instalados. Servidor Hardware Administrador del Sistema Servidor de base de datos y servidor web, también alberga la aplicación informática. Red Local Comunicaciones Administrador del Sistema Cubre la comunicación entre la oficina y la sala de equipos. Oficinas Instalación Jefe de Seguridad Infraestructura que alberga los 20 puestos de trabajo. Sala de Equipos Instalación Jefe de Seguridad Centro de proceso de datos en el que trabajan empleados con perfil administrador. Usuarios Personal Jefe de RRHH Conforman una plantilla de 12 empleados que se encargan de atender las ventanillas y otras gestiones técnicas. Administradores Personal Jefe de RRHH Son un total de 8 empleados que trabajan en la sala de equipos.
IDENTIFICACIÓN DE LOS ACTIVOS PILAR GLOBALSUITE
DEPENDENCIAS ENTRE ACTIVOS PILAR GLOBALSUITE
ÁRBOLES DE DEPENDENCIAS PILAR GLOBALSUITE
VALORACIÓN DE ACTIVOS PILAR GLOBALSUITE
IDENTIFICACIÓN DE AMENAZAS PILAR
IDENTIFICACIÓN DE AMENAZAS GLOBALSUITE – CATÁLOGO DE ANÁLISIS
VALORACIÓN DE LAS AMENAZAS PILAR GLOBALSUITE Degradación: B[Bajo]:[0-2];M[Medio]:[3-21];A[Alto]:[22-66];MA[Muy alto]:[67-94]; T[Total]:[95-100].
CATÁLOGOS DE SALVAGUARDAS PILAR GLOBALSUITE Catálogo de Salvaguardas * Buena colocación equipos. * Mejorar sistema y/o política de revisión de logs. * Buena colocación y aislamiento de equipos. * Monitorización y control de la red. * Cifrado de información crítica en dispositivos en movilidad. * Monitorización y control de sistemas. * Cifrar la información crítica transmitida a través de redes de comunicaciones. * Monitorización y control del sistema. * Cifrar la información sensible en tránsito. * Monitorización. * Control de acceso físico y/o lógico. * Motivación del personal. * Controles lógicos de uso y gestión de información. * Plan de continuidad. * Disponer de servicios alternativos. * Planificar mejor recursos humanos. * Evitar dependencia de un proceso de negocio de una única persona. * Política protección de puestos desatendidos. * Firmar digitalmente los documentos con información crítica. * Poner en conocimiento de todos los empleados los procesos disciplinarios. * Formación. * Procedimientos más claros. * Implantación sistema de autenticación seguro. * Protección física de equipos. * Instalación o reconfiguración de medidas y políticas de control de acceso. * Protección frente a ataques de denegación de servicio. * Instalación software de seguridad. * Proteger acceso a la información. * Mantener y actualizar el hardware. * Registro de accesos al sistema. * Mantener y actualizar el software. * Revisar, actualizar e implementar política de seguridad. * Mayor usabilidad de los sistemas. * Revisión instalaciones de fontanería. * Mejora de procedimientos y política de seguridad. * Revisión, mantenimiento y actualización de soportes.
IDENTIFICACIÓN DE LAS SALVAGUARDAS PILAR GLOBALSUITE Control de acceso lógico Control de acceso físico y/o lógico. Sistema de protección de frontera lógica Controles lógicos de uso y gestión de información. Protección de los servicios Disponer de servicios alternativos. Identificación y autenticación Implantación sistema de autenticación seguro. Herramientas de seguridad Instalación software de seguridad. Protección de los Equipos Informáticos (HW) Mantener y actualizar el hardware. Protección de las Aplicaciones Informáticas (SW) Mantener y actualizar el software. Protección física del equipamiento Protección física de equipos. Protección de los soportes de Información Revisión, mantenimiento y actualización de soportes.
IDENTIFICACIÓN DE LAS SALVAGUARDAS PILAR GLOBALSUITE Nivel Factor Significado L0 0% Inexistente L1 10% Inicial / ad hoc L2 50% Reproducible, pero intuitivo L3 90% Proceso definido L4 95% Gestionado y medible L5 100% Optimizado
ESTIMACIÓN DEL IMPACTO PILAR GLOBALSUITE Impacto=(Valor*Degradación) Impacto=(Valor+Degradación)/2
ESTIMACIÓN DEL RIESGO PILAR GLOBALSUITE
CÁLCULO DEL RIESGO PILAR Total=131 Riesgos Riesgo=(Probabilidad*impacto)
ESTIMACIÓN DEL RIESGO GLOBALSUITE Total=86 Riesgos Riesgo=(Probabilidad+Impacto)/2
TRATAMIENTO DEL RIESGO PILAR
TRATAMIENTO DEL RIESGO GLOBALSUITE
TRATAMIENTO DEL RIESGO PILAR GLOBALSUITE ACTUAL CORTO ACTUAL PROYEC TADO 2 0 1 0 8 5 51 40 28 27 45 45 34 44 16 20 2 32 34 ACTIVO AMENAZA PILAR GLOBALSUITE Archivo histórico central [A.6] Abuso de privilegios de acceso 5.3 4.5 Alto Medio Servidor [A.11] Acceso no autorizado 5.1 4.7 Muy alto Alto Servidor [A.11] Acceso no autorizado 4.5 4.1 Servidor [A.5] Suplantación de la identidad 4.6 4.5 Alto Medio Archivo histórico central [A.19] Revelación de información 4.5 3.9 Alto Alto Archivo histórico central [A.11] Acceso no autorizado 4.4 3.9 Medio Medio Servidor [A.19] Revelación de información 4.2 3.7 Alto Alto Red local [A.24] Denegación de servicio 4.1 3.8 Alto Alto Servidor [A.6] Abuso de privilegios de acceso 4.0 4.0 Alto Alto Archivo histórico central [A.5] Suplantación de la identidad 4.0 3.5 Medio Medio RIESGOS RESUMEN
ANÁLISIS DEL GAP PILAR GLOBALSUITE
RECURSOS GENERADOS (PILDORAS FORMATIVAS)
VALORACIÓN DE LOS ACTIVOS PILAR GLOBALSUITE

Empfohlen

Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaCarlos Escobar
 
Un lista de verificacion para una auditoria
Un lista de verificacion para una auditoriaUn lista de verificacion para una auditoria
Un lista de verificacion para una auditoriaFernando Sánchez
 
Mantenciones son las siguientes
Mantenciones son las siguientesMantenciones son las siguientes
Mantenciones son las siguientesJuan Torrejon Cortes
 
Informe de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezInforme de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezlocoales
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013lederzon
 

Empfohlen

Check List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasCheck List Seguridad Informatica y Sistemas
Check List Seguridad Informatica y SistemasÁlex Picón
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013Seguridad de la Información para Pymes ISO/IEC 27001:2013
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
 
Auditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaAuditoría de sistemas. Controles a nivel de entidad y seguridad física
Auditoría de sistemas. Controles a nivel de entidad y seguridad físicaCarlos Escobar
 
Un lista de verificacion para una auditoria
Un lista de verificacion para una auditoriaUn lista de verificacion para una auditoria
Un lista de verificacion para una auditoriaFernando Sánchez
 
Mantenciones son las siguientes
Mantenciones son las siguientesMantenciones son las siguientes
Mantenciones son las siguientesJuan Torrejon Cortes
 
Informe de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezInforme de auditoria dumar rodriguez
Informe de auditoria dumar rodriguezlocoales
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013lederzon
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...Manuel Mujica
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Areas de saberes
Areas de saberesAreas de saberes
Areas de saberesRubnMuoz24
 
Lista chequeo guia 2
Lista chequeo guia 2 Lista chequeo guia 2
Lista chequeo guia 2 Alexander Hernandez
 
MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN
MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN
MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN DORYS MINIGUANO SANTAMARÍA
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridadMiguel Angel Sandoval Calderon
 
Sistema Lobin
Sistema LobinSistema Lobin
Sistema LobinEOI Escuela de Organización Industrial
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdfCloeCornejo
 
Seguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades FinancierasSeguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades Financierasmaxalonzohuaman
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013IoT Latam
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Sia i cap10
Sia i cap10Sia i cap10
Sia i cap10Carlos Gonzalez
 
Microsoft PowerPoint - Semana_05.pdf
Microsoft PowerPoint - Semana_05.pdfMicrosoft PowerPoint - Semana_05.pdf
Microsoft PowerPoint - Semana_05.pdfGabrielDelgado780554
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria InformaticaHernán Sánchez
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaGeraldine Kley Ravello Sanchez
 

Weitere ähnliche Inhalte

Was ist angesagt?

SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...Manuel Mujica
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoriacesar209935
 
Areas de saberes
Areas de saberesAreas de saberes
Areas de saberesRubnMuoz24
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Jack Daniel Cáceres Meza
 

Was ist angesagt? (8)

IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
SISTEMATIZACIÓN DE LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN EN LA...
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
 
Areas de saberes
Areas de saberesAreas de saberes
Areas de saberes
 
Lista chequeo guia 2
Lista chequeo guia 2 Lista chequeo guia 2
Lista chequeo guia 2
 
MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN
MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN
MÓDULO ADQUISICIÓN E IMPLEMENTACIÓN
 
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
 

Ähnlich wie Presentación tfg

2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdfCloeCornejo
 
Seguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades FinancierasSeguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades Financierasmaxalonzohuaman
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013IoT Latam
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNCristian Garcia G.
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfAlonsoCid
 
Microsoft PowerPoint - Semana_05.pdf
Microsoft PowerPoint - Semana_05.pdfMicrosoft PowerPoint - Semana_05.pdf
Microsoft PowerPoint - Semana_05.pdfGabrielDelgado780554
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria InformaticaHernán Sánchez
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadJuan José Domenech
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadRamón Salado Lucena
 
Acme perfil: sustento de áreas de sala blanca
Acme perfil: sustento de áreas de sala blancaAcme perfil: sustento de áreas de sala blanca
Acme perfil: sustento de áreas de sala blancaJack Daniel Cáceres Meza
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDavid Aguilar
 

Ähnlich wie Presentación tfg (20)

04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
 
Sistema Lobin
Sistema LobinSistema Lobin
Sistema Lobin
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf
 
Seguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades FinancierasSeguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades Financieras
 
E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013E data conferencia scl-dcd 2013
E data conferencia scl-dcd 2013
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓNEL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
EL RIESGO INFORMATICO Y LA CIBER EXPOSICIÓN
 
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdfFundamentos Seguridad OT - Mod 1-2 (1).pdf
Fundamentos Seguridad OT - Mod 1-2 (1).pdf
 
Sia i cap10
Sia i cap10Sia i cap10
Sia i cap10
 
Microsoft PowerPoint - Semana_05.pdf
Microsoft PowerPoint - Semana_05.pdfMicrosoft PowerPoint - Semana_05.pdf
Microsoft PowerPoint - Semana_05.pdf
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria Informatica
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Presentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en SanidadPresentación Seguridad IoT en Sanidad
Presentación Seguridad IoT en Sanidad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Acme perfil: sustento de áreas de sala blanca
Acme perfil: sustento de áreas de sala blancaAcme perfil: sustento de áreas de sala blanca
Acme perfil: sustento de áreas de sala blanca
 
IBM - ISS Vision Seguridad
IBM - ISS Vision SeguridadIBM - ISS Vision Seguridad
IBM - ISS Vision Seguridad
 
Eje tematico no. 6 (1)
Eje tematico no. 6 (1)Eje tematico no. 6 (1)
Eje tematico no. 6 (1)
 
Control interno (ci)
Control interno (ci)Control interno (ci)
Control interno (ci)
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 
Desarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemasDesarrollo y mantenimiento de sistemas
Desarrollo y mantenimiento de sistemas
 

Kürzlich hochgeladen

Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfDanielaEspitiaHerrer
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAcoloncopias5
 
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.Aldo Fernandez
 
que es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxque es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxmrzreyes12
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...#LatamDigital
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdfFernandaHernandez312615
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx241518192
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMalejandroortizm
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDLeslie Villar
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxUniversidad de Bielefeld
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIAobandopaula444
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxchinojosa17
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfYuriFuentesMartinez2
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxNicolas Villarroel
 
Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)BrianaFrancisco
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.ayalayenifer617
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxssuser61dda7
 

Kürzlich hochgeladen (17)

Software y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdfSoftware y servicios de internet mapa conceptual.pdf
Software y servicios de internet mapa conceptual.pdf
 
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIAFisica General.pdf ESCUELA D QUIMICA E INGENIERIA
Fisica General.pdf ESCUELA D QUIMICA E INGENIERIA
 
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
ChatGPT Inteligencia artificial, funciones, limitaciones y ventajas.
 
que es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptxque es Planimetría definición importancia en topografia.pptx
que es Planimetría definición importancia en topografia.pptx
 
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
11º Anuncio Nominados Finalistas Premios #LatamDigital 2024 by Interlat Vers...
 
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
2º SOY LECTOR PART 2- MD EDUCATIVO (6).pdf
 
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptxCamposGarcia_MariaMagdalena_M1S3AI6.pptx
CamposGarcia_MariaMagdalena_M1S3AI6.pptx
 
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAMLA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
LA ETICA DEL UTILITARISMO DE JEREMY BENTHAM
 
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULDGRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
GRUPO 10 SOFTWARE DE EL CAMPO DE LA SAULD
 
Medios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptxMedios Digitales Teorías y Metodologías de Análisis.pptx
Medios Digitales Teorías y Metodologías de Análisis.pptx
 
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIATALLER DE ANALISIS SOLUCION DE TECNOLOGIA
TALLER DE ANALISIS SOLUCION DE TECNOLOGIA
 
Tema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptxTema 1 - Fundamentos de gestión contable.pptx
Tema 1 - Fundamentos de gestión contable.pptx
 
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdfFLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
FLUIDEZ-Teatro-Leido-4to-Grado-El-leon-y-el-raton- (1).pdf
 
GRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptxGRUPO 5 Software en el campo de la salud.pptx
GRUPO 5 Software en el campo de la salud.pptx
 
Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)Practica guiada Menu_ tecnología (Tic's)
Practica guiada Menu_ tecnología (Tic's)
 
El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.El uso de las tic en la vida continúa , ambiente positivo y negativo.
El uso de las tic en la vida continúa , ambiente positivo y negativo.
 
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptxrodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
rodriguez_DelAngel_MariaGPE_M1S3AL6.pptx
 

Presentación tfg

  • 1. T R AB A J O D E F I N D E G R AD O APLICACIÓN DEL MÉTODO MAGERIT CON LA HERRAMIENTA GLOBALSUITE G R AD O I N G E N I E R Í A D E L S O F T WAR E AU TO R : I S R AE L M AY O M AR T Í N E Z T U TO R : J E S Ú S S Á N C H E Z L Ó P E Z
  • 2. INTRODUCCIÓN • OBJETIVO • CONTENIDO • PRESENTACIÓN DEL CASO DE ESTUDIO • APLICACIÓN A LA HERRAMIENTA GLOBALSUITE • OBTENCIÓN DE RESULTADOS Y CONTRASTE CON LA HERRAMIENTA PILAR • RECURSOS GENERADOS (PILDORAS FORMATIVAS)
  • 3. INTRODUCCIÓN ISO 31000:2009 Principios y directrices para la GR ISO/IEC 27001:2013 ISO 27005:2011 Requisitos para los SGSI Mejores prácticas para la GR Clausulas 6.1.2, 6.1.3 y 8.2, 8.3 Metodología MAGERIT
  • 4. INTRODUCCIÓN 27005 MAGERIT Actividades Tareas [MAR.1] Caracterización de los activos. [MAR.11] Identificación de los activos. [MAR.12] Dependencias entre activos. [MAR.13] Valoración de los activos. [MAR.2] Caracterización de las amenazas. [MAR.21] Identificación de las amenazas. [MAR.22] Valoración de las amenazas. [(MAR.3) Caracterización de las salvaguardas. [MAR.31] Identificación de las salvaguardas. [MAR.4] Estimación del estado de riesgo. [MAR.41] Estimación del impacto. [MAR.42] Estimación el riesgo. Actividades Tareas. [PAR.1] Actividades preliminares. [PAR.11] Estudio de oportunidad. [PAR.12] Determinación del alcance del proyecto. [PAR.13] Planificación del proyecto. [PAR.14] Lanzamiento del proyecto. [PAR.2] Elaboración del análisis de riesgos. APLICACIÓN DEL MÉTODO DE ANÁLISIS DE RIESGOS [MAR] [PAR.3] Comunicación de resultados.
  • 6. IDENTIFICACIÓN DE LOS ACTIVOS Activo Tipo Propietario Descripción Expedientes en curso Información Jefe del servicio de tramitación Expedientes con datos financieros y datos de carácter personal de nivel medio. Tramitación presencial Servicio Jefe del servicio de tramitación Atención al ciudadano a través de ventanilla. Tramitación remota Servicio Jefe del servicio de tramitación Acceso del ciudadano a través de servicio SSL. Mensajería Electrónica Servicio Administrador del Sistema Medio de comunicación con la administración y emisión de notificaciones. Archivo histórico central Servicio Jefe del servicio de archivo central Servicio que proporciona los datos de los expedientes y en el cual se guardan una vez se tramitan. Conexión a Internet Servicio Administrador del Sistema Servicio proporcionado por otra empresa para el acceso a Internet. Tramitación de Expedientes Software Jefe del servicio de tramitación Aplicación Informática que permite la tramitación de expedientes. Puestos de trabajo Hardware Administrador del Sistema Equipos informáticos con sistema operativo Windows y paquetes ofimáticos instalados. Servidor Hardware Administrador del Sistema Servidor de base de datos y servidor web, también alberga la aplicación informática. Red Local Comunicaciones Administrador del Sistema Cubre la comunicación entre la oficina y la sala de equipos. Oficinas Instalación Jefe de Seguridad Infraestructura que alberga los 20 puestos de trabajo. Sala de Equipos Instalación Jefe de Seguridad Centro de proceso de datos en el que trabajan empleados con perfil administrador. Usuarios Personal Jefe de RRHH Conforman una plantilla de 12 empleados que se encargan de atender las ventanillas y otras gestiones técnicas. Administradores Personal Jefe de RRHH Son un total de 8 empleados que trabajan en la sala de equipos.
  • 7. IDENTIFICACIÓN DE LOS ACTIVOS PILAR GLOBALSUITE
  • 12. IDENTIFICACIÓN DE AMENAZAS GLOBALSUITE – CATÁLOGO DE ANÁLISIS
  • 13. VALORACIÓN DE LAS AMENAZAS PILAR GLOBALSUITE Degradación: B[Bajo]:[0-2];M[Medio]:[3-21];A[Alto]:[22-66];MA[Muy alto]:[67-94]; T[Total]:[95-100].
  • 14. CATÁLOGOS DE SALVAGUARDAS PILAR GLOBALSUITE Catálogo de Salvaguardas * Buena colocación equipos. * Mejorar sistema y/o política de revisión de logs. * Buena colocación y aislamiento de equipos. * Monitorización y control de la red. * Cifrado de información crítica en dispositivos en movilidad. * Monitorización y control de sistemas. * Cifrar la información crítica transmitida a través de redes de comunicaciones. * Monitorización y control del sistema. * Cifrar la información sensible en tránsito. * Monitorización. * Control de acceso físico y/o lógico. * Motivación del personal. * Controles lógicos de uso y gestión de información. * Plan de continuidad. * Disponer de servicios alternativos. * Planificar mejor recursos humanos. * Evitar dependencia de un proceso de negocio de una única persona. * Política protección de puestos desatendidos. * Firmar digitalmente los documentos con información crítica. * Poner en conocimiento de todos los empleados los procesos disciplinarios. * Formación. * Procedimientos más claros. * Implantación sistema de autenticación seguro. * Protección física de equipos. * Instalación o reconfiguración de medidas y políticas de control de acceso. * Protección frente a ataques de denegación de servicio. * Instalación software de seguridad. * Proteger acceso a la información. * Mantener y actualizar el hardware. * Registro de accesos al sistema. * Mantener y actualizar el software. * Revisar, actualizar e implementar política de seguridad. * Mayor usabilidad de los sistemas. * Revisión instalaciones de fontanería. * Mejora de procedimientos y política de seguridad. * Revisión, mantenimiento y actualización de soportes.
  • 15. IDENTIFICACIÓN DE LAS SALVAGUARDAS PILAR GLOBALSUITE Control de acceso lógico Control de acceso físico y/o lógico. Sistema de protección de frontera lógica Controles lógicos de uso y gestión de información. Protección de los servicios Disponer de servicios alternativos. Identificación y autenticación Implantación sistema de autenticación seguro. Herramientas de seguridad Instalación software de seguridad. Protección de los Equipos Informáticos (HW) Mantener y actualizar el hardware. Protección de las Aplicaciones Informáticas (SW) Mantener y actualizar el software. Protección física del equipamiento Protección física de equipos. Protección de los soportes de Información Revisión, mantenimiento y actualización de soportes.
  • 16. IDENTIFICACIÓN DE LAS SALVAGUARDAS PILAR GLOBALSUITE Nivel Factor Significado L0 0% Inexistente L1 10% Inicial / ad hoc L2 50% Reproducible, pero intuitivo L3 90% Proceso definido L4 95% Gestionado y medible L5 100% Optimizado
  • 17. ESTIMACIÓN DEL IMPACTO PILAR GLOBALSUITE Impacto=(Valor*Degradación) Impacto=(Valor+Degradación)/2
  • 19. CÁLCULO DEL RIESGO PILAR Total=131 Riesgos Riesgo=(Probabilidad*impacto)
  • 20. ESTIMACIÓN DEL RIESGO GLOBALSUITE Total=86 Riesgos Riesgo=(Probabilidad+Impacto)/2
  • 23. TRATAMIENTO DEL RIESGO PILAR GLOBALSUITE ACTUAL CORTO ACTUAL PROYEC TADO 2 0 1 0 8 5 51 40 28 27 45 45 34 44 16 20 2 32 34 ACTIVO AMENAZA PILAR GLOBALSUITE Archivo histórico central [A.6] Abuso de privilegios de acceso 5.3 4.5 Alto Medio Servidor [A.11] Acceso no autorizado 5.1 4.7 Muy alto Alto Servidor [A.11] Acceso no autorizado 4.5 4.1 Servidor [A.5] Suplantación de la identidad 4.6 4.5 Alto Medio Archivo histórico central [A.19] Revelación de información 4.5 3.9 Alto Alto Archivo histórico central [A.11] Acceso no autorizado 4.4 3.9 Medio Medio Servidor [A.19] Revelación de información 4.2 3.7 Alto Alto Red local [A.24] Denegación de servicio 4.1 3.8 Alto Alto Servidor [A.6] Abuso de privilegios de acceso 4.0 4.0 Alto Alto Archivo histórico central [A.5] Suplantación de la identidad 4.0 3.5 Medio Medio RIESGOS RESUMEN
  • 24. ANÁLISIS DEL GAP PILAR GLOBALSUITE
  • 26.
  • 27. VALORACIÓN DE LOS ACTIVOS PILAR GLOBALSUITE

Hinweis der Redaktion

  1. 1- Realizar AR aplicando MAGERIT con GlobalSUITE 2- Presentación del supuesto activos, amenazas y salvaguardas 3- Análisis con GlogalSuite 4- Obtención de resultados y contraste con PILAR 5- El trabajo se fundamenta en el uso de las píldoras formativas como un REA.
  2. 1- Familia 27000 ISO 27001 Evaluación y Tratamiento de riesgos de seguridad de la información adaptados a las necesidades de la organización ISO 27005 Proporciona técnicas de evaluación del riesgo 2- Especificación Metodología Evaluación de riesgos
  3. Cada una de las tareas MAR se trataran a continuación
  4. MAR11
  5. MAR11
  6. MAR12
  7. MAR13 Trazabilidad: presencial 5 remota 3
  8. MAR21
  9. MAR21
  10. MAR22 Se valora la degradación, GlobalSUITE permite valorar además el impacto y la probabilidad
  11. MAR31
  12. MAR31 Correspondencia
  13. MAR31
  14. MAR41
  15. MAR41 Riesgo actual
  16. MAR41
  17. MAR41 Niveles de dimensiones
  18. Corto plazo