SlideShare ist ein Scribd-Unternehmen logo

Sistema De Gestion De Seguridad Norma Iso 27001 Corpei

G
gugarte

Por G UGARTE http://blog.espol.edu.ec/gugarte ESPOL www.espol.edu.ec

Technologie
1 von 45
Downloaden Sie, um offline zu lesen
SISTEMA DE GESTION DE SEGURIDAD NORMA ISO 27001 (CORPEI) Jorge Ugarte Fajardo 8/10/2008 Guayaquil -Ecuador 1
Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 Objetivos de Control y Controles 2
Descripción general de la sesión Conceptos de Seguridad de la Información 3
¿ Seguridad de la Información? La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada La información puede estar: • Impresa o escrita en papel. • Almacenada electrónicamente. • Trasmitida por correo o medios electrónicos • Mostrada en filmes. • Hablada en conversación. 4
¿ Objetivos de la Seguridad de la información? El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información. Los objetivos de la seguridad de la información se cumplen cuando se preserva: • CONFIDENCIALIDAD: La información es accedida solo por • CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas. aquellas personas que están debidamente autorizadas. • INTEGRIDAD: La información es completa, precisa y • INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas. protegida contra modificaciones no autorizadas. • DISPONIBILIDAD: La información esta disponible y utilizable • DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere. cuando se requiere. 5
¿Contra qué se debe proteger la información? ! quot; ! ! # $ 6
¿Qué es una amenaza? % # ! & ' ' # ( quot; & , quot; quot; ) * +( & ) quot; 7
¿amenazas? Password Escalamiento de privilegios cracking Puertos vulnerables abiertos Exploits Fraudes informáticos Man in the middle Violación de la privacidad de los empleados Servicios de log inexistentes o que no son chequeados Backups inexistentes Destrucción de Denegación de equipamiento servicio Instalaciones default Últimos parches no Port scanning instalados Keylogging Desactualización Hacking de Centrales Telefónicas 8
Más amenazas Intercepción y modificación y violación de e-mails Spamming Violación de contraseñas Captura de PC desde el exterior empleados deshonestos Incumplimiento de leyes y regulaciones Virus Ingeniería social Mails anónimos con agresiones Programas “bomba, troyanos” Interrupción de los servicios Destrucción de soportes documentales Robo o extravío de notebooks, palms Acceso clandestino a redes Propiedad de la información Acceso indebido a documentos impresos Robo de información Indisponibilidad de información clave Intercepción de comunicaciones voz y wireless Falsificación de información para terceros Agujeros de seguridad de redes conectadas 9
¿Qué es vulnerabilidad? % ' ! # ( # ! ( • Inadecuado compromiso de la dirección. Inadecuado compromiso de la dirección. • • Personal inadecuadamente capacitado y concientizado. Personal inadecuadamente capacitado y concientizado. • • Inadecuada asignación de responsabilidades. Inadecuada asignación de responsabilidades. • • Ausencia de políticas/ procedimientos. Ausencia de políticas/ procedimientos. • • Ausencia de controles Ausencia de controles (físicos/lógicos) (físicos/lógicos) (disuasivos/preventivos/detectivos/correctivos) (disuasivos/preventivos/detectivos/correctivos) • Ausencia de reportes de incidentes y vulnerabilidades. • Ausencia de reportes de incidentes y vulnerabilidades. • Inadecuado seguimiento y monitoreo de los controles. • Inadecuado seguimiento y monitoreo de los controles 10
¿y el Riesgo? ' # ! ' - # . $ • Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad. • Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia. • Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza. 11
Factores de riesgo 12
¿Qué es un incidente de seguridad? Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras. Puede ser causado por: • una falla en algún mecanismo de seguridad. • un intento o amenaza (concretada o no) de romper mecanismos de seguridad, etc. 13
Algunos incidentes: 14
Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información 15
¿Qué es un Sistema de Gestión de Seguridad de la Información? SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI) El.. (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. 16
¿Quiénes están involucrados en SI? La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio. • Dirección • Alta gerencia • Personal de TI • Empleados • Auditores • Entidades reguladoras externas 17
¿ Cómo se implementa un SGSI? Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para establecer, implementar, monitorear y mejorar el SGSI Hacer Planificar Implementar y Establecer operar el SGSI el SGSI Partes Partes Interesadas Interesadas Mantener y Monitorear y Mejorar el SGSI revisar Requisitos y el SGSI Seguridad expectativas Actuar Verificar Gestionada 18
¿Cuál es la norma aplicable SI? • La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI). • ISO 27001 es una norma certificable • Se creó en diciembre de 2005 a partir de la norma BS7799-2. • La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI. • La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información. • ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS). 19
¿y toda la familia 27000? 20
Tipos de evaluaciones de seguridad Exploraciones de vulnerabilidades: Se enfoca en las debilidades conocidas Se puede automatizar No requiere experiencia necesariamente Pruebas de penetración: Se enfoca en las debilidades conocidas y desconocidas Requiere probadores altamente capacitados Lleva una carga legal tremenda en ciertos países/organizaciones Auditoría en la seguridad de informática: Se enfoca en las políticas y procedimientos de seguridad Se utiliza para proporcionar evidencia para las normas de la industria 21
¿Cómo se relaciona con otras normas IT? IT Governance Model / Audit Models COSO 1 0( quot; quot; CobIT Quality System App. Dev. (SDLC) Service Mgmt. Project Mgmt. Quality Systems & IT Planning IT Security Mgmt. Frameworks ' ! (! ! !quot; ! '!) !* !!( ! 0 + , -/ IT OPERATIONS 1 244 34 / quot;0 $ % & - $ 544 4 4 4 $5 ISO 10006 ISO_9126 !quot; !# !! 43 . <gugarte@espol.edu.ec> 22
Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 23
¿Por qué utilizar la norma ISO 27001? ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, permite “Organizar la seguridad de la información”. 24
Estructura de la Norma ISO 27001 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Information security management system 5 Management responsibility 6 Internal ISMS audits 7 Management review of the ISMS 8 ISMS improvement Annex A (normative) Control objectives and controls Annex B (informative) OECD principles and this International Standard Annex C (informative) Correspondence between ISO 9001:2000, ISO 14001:2004 and this International Standard 25
Aplicación de la norma ISO 27001 Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI Cláusulas: 4.2.1, 5 Cláusulas; 4.2.2, 4.3 Definir la política de seguridad Implantar el plan de gestión de riesgos Establecer el alcance del SGSI Implantar el SGSI Realizar los análisis de riesgos Implantar los controles. Seleccionar los controles Planificar Hacer Implantar indicadores. PHVA Actuar Verificar Cláusulas: 4.2.4,8 Cláusulas: 4.2.3,6,7 Revisiones del SGSI por parte de la Adoptar acciones correctivas Dirección. Adoptar acciones preventivas Realizar auditorías internas del SGSI 26
Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 Objetivos de Control y Controles 27
Objetivos de Control y controles (ISO 27002) 28
Controles 5. Política de Seguridad Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices. Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización. 29
Controles 6. Aspectos organizativos de la Seguridad Organización interna.-Establecer el compromiso de la Organización interna.-Establecer el compromiso de la Dirección ,, roles, responsabilidades, acuerdos de Dirección roles, responsabilidades, acuerdos de confidencialidad, etc. confidencialidad, etc. Terceros.- Haga inventario de conexiones de red y flujos de Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los información significativos con 3as partes y revise los controles de seguridad de información existentes controles de seguridad de información existentes 30
Controles 7. Gestión de Activos Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia. 31
Controles 8. Seguridad de Recursos Humanos Reducir el riesgo de errores inadvertidos, robo, fraude o mal Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante: uso de la información, mediante: •• Definición de roles y responsabilidad de seguridad de los Definición de roles y responsabilidad de seguridad de los activos. activos. •• Verificación de antecedentes antes de la contratación Verificación de antecedentes antes de la contratación •• Asegurar que los usuarios conocen de las amenazas y las Asegurar que los usuarios conocen de las amenazas y las inquietudes en materia de seguridad de sistema, y los inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario. efectiva. Establecer el plan de formación necesario. •• Control de activos cuando finaliza el contrato. Control de activos cuando finaliza el contrato. 32
Controles 9. Seguridad física y ambiental El estándar parece centrarse en el CPD pero hay muchas El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de otras áreas vulnerables a considerar, p. ej., armarios de cableado, quot;servidores departamentalesquot; y archivos. cableado, quot;servidores departamentalesquot; y archivos. Prevenir acceso no autorizado, daño o interferencia a las Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las información, equipos y bienes tal que no afecten las actividades adversamente. actividades adversamente. Prevenir extracción de información (robo) y mantener la Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos procesa información, mediante revisiones y chequeos periódicos. periódicos. 33
Controles 10. Gestión de comunicaciones y operaciones Documente procedimientos, normas y directrices de Documente procedimientos, normas y directrices de seguridad de la información seguridad de la información supervisión de terceros proveedores de servicios y sus supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. respectivas entregas de servicio. Adopte procesos estructurados de planificación de Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción. criterios de aceptación en producción. Combine controles tecnológicos (p. ej., software antivirus) Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y con medidas no técnicas (educación, concienciación y formación). formación). Implante procedimientos de backup y recuperación Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS. seguridad de red como IDS/IPS. ……………. 34
Controles 10. Gestión de comunicaciones y operaciones (2) …………….. Asegure los medios y la información en tránsito no solo Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encripte físico sino electrónico (a través de las redes). Encripte todos los datos sensibles o valiosos antes de ser todos los datos sensibles o valiosos antes de ser transportados. transportados. Considere las medidas necesarias para asegurar el Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc. mensajería, utlilizando medios, etc. incorpore requisitos de seguridad de la información en los incorpore requisitos de seguridad de la información en los proyectos e-business. proyectos e-business. Auditar Logs que registren actividad, excepciones y Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas. eventos de seguridad y realizar revisiones periódicas. 35
Controles 11. Control de accesos Establecer niveles de seguridad de acuerdo con el nivel de Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios. riesgo de los activos y sus propietarios. Un procedimiento de registro y revocación de cuentas de Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares. revisiones a intervalos regulares. definir y documentar las responsabilidades relativas a definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles seguridad de la información en las descripciones o perfiles de los puestos de trabajo. de los puestos de trabajo. Establecer una política de uso de contraseñas, de cuidado Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios y protección de la información en sus escritorios, medios removibles y pantallas. removibles y pantallas. ……………… 36
Controles 11. Control de accesos ………………. Establecer una política de uso de servicios de red. Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos Establecer medidas de autenticación sobre los accesos remotos. remotos. Seguridad en la validación de usuarios del sistema Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación correcta administración de contraseñas, control y limitación de tiempos en las sesiones. de tiempos en las sesiones. Implante estándares de seguridad básica para todas las Implante estándares de seguridad básica para todas las aplicaciones y middleware. aplicaciones y middleware. Tenga políticas claramente definidas para la protección, no Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos. información almacenada en ellos. 37
Controles 12. Adquisición, desarrollo y mantenimiento de los sistemas de información Incluir requerimientos de seguridad de las aplicaciones Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información. involucrando a los propietarios de la información. Utilice librerías y funciones estándar para necesidades Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc desbordamientos de memoria, inyección SQL, etc Utilice estándares formales de encriptación. Utilice estándares formales de encriptación. ……………. 38
Controles 12. Adquisición, desarrollo y mantenimiento de los sistemas de información ……………… Definir directorios que deben y no deben cambiar, utilizar Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y control de software operacional, test de esos datos y controlar el acceso al código fuente. controlar el acceso al código fuente. Incorpore la seguridad de la información al ciclo de vida de Incorpore la seguridad de la información al ciclo de vida de desarrollo de sistemas en todas sus fases en los desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y procedimientos y métodos de desarrollo, operaciones y gestión de cambios. gestión de cambios. Haga un seguimiento de parches de seguridad mediante Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible. actualización automática siempre que sea posible. 39
Controles 13. Gestión de incidentes en la seguridad de la información • Establecer procedimientos de reporte de incidentes de • Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad. seguridad y problemas de seguridad. • Analizar y tomar las medidas correctivas. • Analizar y tomar las medidas correctivas. 40
Controles 14. Gestión de la continuidad del negocio • Contrarrestrar interrupciones a las actividades de la • Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación // informática desastre o falla de sistema(s) de comunicación informática implementando un plan de continuidad del negocio. implementando un plan de continuidad del negocio. 41
Controles 15. Cumplimiento • • Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad. • Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras). 42
Modelo con enfoque en la infraestructura 43
Entender la defensa a profundidad Utilizar un enfoque dividido por etapas: Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor Contraseñas fuertes, ACLs, estrategia Datos de respaldo y restauración Aplicación Fortalecimiento de la aplicación Fortalecer el sistema operativo, Host autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría Red interna Segmentos de red, NIDS Firewalls, enrutadores más amplios, Perímetro VPNs con procedimientos de cuarentena Protecciones, seguros, dispositivos de Seguridad física Seguridad física seguimiento Políticas de seguridad, procedimientos Políticas, procedimientos y conciencia Políticas, procedimientos y conciencia y educación 44
¿Cómo conozco las vulnerabilidades en nuevos productos? Best Practices for Preventing Top 20 Risks Best Practices for Preventing Top 20 Risks http://www.sans.org/top20 http://www.sans.org/top20 Entre las vulnerabilidades que encontramos: Client-side Vulnerabilities Client-side Vulnerabilities Server-side Vulnerabilities Server-side Vulnerabilities Security Policy and Personnel Security Policy and Personnel Application Abuse Application Abuse Network Devices Network Devices Zero Day Attacks Zero Day Attacks 45

Empfohlen

Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Infosecu
InfosecuInfosecu
InfosecuJoha2210
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 

Empfohlen

Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Securinf.com Seguridad Informatica - Tecnoweb2.com
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Infosecu
InfosecuInfosecu
InfosecuJoha2210
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yungadanny yunga
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3Andrea Ramirez
 
Iso
IsoIso
IsoFranciscoVilchezVill
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Seguridad en sistemas de información
Seguridad en sistemas de informaciónSeguridad en sistemas de información
Seguridad en sistemas de informaciónBiblioteca EEA
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónmayckoll17
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Mel Maldonado
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Jöse Manüel
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionGiovanita Caira
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Seguridad en sistemas de información
Seguridad en sistemas de informaciónSeguridad en sistemas de información
Seguridad en sistemas de informaciónBiblioteca EEA
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónmayckoll17
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Mel Maldonado
 

Was ist angesagt? (18)

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDGESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUD
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Sena Actividad 2 3
Sena Actividad 2 3Sena Actividad 2 3
Sena Actividad 2 3
 
Iso
IsoIso
Iso
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
Seguridad en sistemas de información
Seguridad en sistemas de informaciónSeguridad en sistemas de información
Seguridad en sistemas de información
 
Nist
NistNist
Nist
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1Seguridad en los sistemas de información 1
Seguridad en los sistemas de información 1
 

Andere mochten auch

Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Jöse Manüel
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Esteban Gonzalez
 
SEGURIDAD: Norma ISO27001
SEGURIDAD: Norma ISO27001SEGURIDAD: Norma ISO27001
SEGURIDAD: Norma ISO27001Alex Betancur
 
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)José Andrés Gallardo Basualdo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticacarloseider
 
Seguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nubeSeguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nubeEventos Creativos
 
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Marco
 
Informefinal iso 27001 unas
Informefinal iso 27001 unasInformefinal iso 27001 unas
Informefinal iso 27001 unasUNAS
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 

Andere mochten auch (20)

Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0Importancia del factor humano en la seguridad informática 2.0
Importancia del factor humano en la seguridad informática 2.0
 
04 principios seguridad
04 principios seguridad04 principios seguridad
04 principios seguridad
 
SEGURIDAD: Norma ISO27001
SEGURIDAD: Norma ISO27001SEGURIDAD: Norma ISO27001
SEGURIDAD: Norma ISO27001
 
Curso Procesos de Seguridad Informática (Contenidos)
Curso Procesos de Seguridad Informática (Contenidos)Curso Procesos de Seguridad Informática (Contenidos)
Curso Procesos de Seguridad Informática (Contenidos)
 
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nubeSeguridad, mantenimiento y gestión de parches de seguridad en la nube
Seguridad, mantenimiento y gestión de parches de seguridad en la nube
 
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
 
Informefinal iso 27001 unas
Informefinal iso 27001 unasInformefinal iso 27001 unas
Informefinal iso 27001 unas
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 

Ähnlich wie Sistema De Gestion De Seguridad Norma Iso 27001 Corpei

Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOgugarte
 
Gestion de la seguridad con Software Libre
Gestion de la seguridad con Software LibreGestion de la seguridad con Software Libre
Gestion de la seguridad con Software LibreToni de la Fuente
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazziotaxesuio
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazziotaxesuio
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Miguel Véliz
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Héctor López
 
La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2Juan Carlos Carrillo
 
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASSEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASKevin Pacheco
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Seguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informáticaSeguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informáticaFrancisco Medina
 

Ähnlich wie Sistema De Gestion De Seguridad Norma Iso 27001 Corpei (20)

ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Sistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCOSistemas de Control y contención de amenazas CISCO
Sistemas de Control y contención de amenazas CISCO
 
Gestion de la seguridad con Software Libre
Gestion de la seguridad con Software LibreGestion de la seguridad con Software Libre
Gestion de la seguridad con Software Libre
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
informatic
informaticinformatic
informatic
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
 
6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio6 2 8_lucio_molina_focazzio
6 2 8_lucio_molina_focazzio
 
Primera parte
Primera partePrimera parte
Primera parte
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISO
 
Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5Conferencia OMHE Backtrack 5
Conferencia OMHE Backtrack 5
 
Cid
CidCid
Cid
 
La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2La seguridad informática en la toma de decisiones v2
La seguridad informática en la toma de decisiones v2
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMASSEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
SEGURIDAD DE LA INFORMACIÓN - DINÁMICA DE SISTEMAS
 
S3 cdsi1-1
S3 cdsi1-1S3 cdsi1-1
S3 cdsi1-1
 
S3 cdsi1
S3 cdsi1S3 cdsi1
S3 cdsi1
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Seguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informáticaSeguridad Informática Tema 1: Introducción a la seguridad informática
Seguridad Informática Tema 1: Introducción a la seguridad informática
 

Mehr von gugarte

Sistema de generación de energía eléctrica utilizando hidrógeno
Sistema de generación de energía eléctrica utilizando hidrógenoSistema de generación de energía eléctrica utilizando hidrógeno
Sistema de generación de energía eléctrica utilizando hidrógenogugarte
 
Generación de energía eléctrica utilizando hidrógeno
Generación de energía eléctrica utilizando hidrógenoGeneración de energía eléctrica utilizando hidrógeno
Generación de energía eléctrica utilizando hidrógenogugarte
 
Actlacteos 100407145607-phpapp02
Actlacteos 100407145607-phpapp02Actlacteos 100407145607-phpapp02
Actlacteos 100407145607-phpapp02gugarte
 
áLbum De FotografíAs
áLbum De FotografíAsáLbum De FotografíAs
áLbum De FotografíAsgugarte
 
áLbum De FotografíAs
áLbum De FotografíAsáLbum De FotografíAs
áLbum De FotografíAsgugarte
 
áLbum De FotografíAs2
áLbum De FotografíAs2áLbum De FotografíAs2
áLbum De FotografíAs2gugarte
 
A Una Persona Estupenda
A Una Persona EstupendaA Una Persona Estupenda
A Una Persona Estupendagugarte
 
Wimax Presentacion Final
Wimax Presentacion FinalWimax Presentacion Final
Wimax Presentacion Finalgugarte
 
Presentac Palcivar Ultima
Presentac Palcivar UltimaPresentac Palcivar Ultima
Presentac Palcivar Ultimagugarte
 
Administración de Proyectos (PMBOK)
Administración de Proyectos (PMBOK)Administración de Proyectos (PMBOK)
Administración de Proyectos (PMBOK)gugarte
 
Servicio de Creación de Sitios Web
Servicio de Creación de Sitios WebServicio de Creación de Sitios Web
Servicio de Creación de Sitios Webgugarte
 
Seguridad Fisica
Seguridad FisicaSeguridad Fisica
Seguridad Fisicagugarte
 
BPMN estandar para modelamiento de procesos
BPMN estandar para modelamiento de procesosBPMN estandar para modelamiento de procesos
BPMN estandar para modelamiento de procesosgugarte
 
Movilidad Segura. Seguridad redes inalambricas
Movilidad Segura. Seguridad redes inalambricasMovilidad Segura. Seguridad redes inalambricas
Movilidad Segura. Seguridad redes inalambricasgugarte
 
Auditoria Operacional.
Auditoria Operacional. Auditoria Operacional.
Auditoria Operacional. gugarte
 
Calendario 2009
Calendario 2009Calendario 2009
Calendario 2009gugarte
 
ERP SDM Sistema Integral Empresarial
ERP SDM Sistema Integral EmpresarialERP SDM Sistema Integral Empresarial
ERP SDM Sistema Integral Empresarialgugarte
 

Mehr von gugarte (20)

Oym
OymOym
Oym
 
Sistema de generación de energía eléctrica utilizando hidrógeno
Sistema de generación de energía eléctrica utilizando hidrógenoSistema de generación de energía eléctrica utilizando hidrógeno
Sistema de generación de energía eléctrica utilizando hidrógeno
 
Generación de energía eléctrica utilizando hidrógeno
Generación de energía eléctrica utilizando hidrógenoGeneración de energía eléctrica utilizando hidrógeno
Generación de energía eléctrica utilizando hidrógeno
 
Actlacteos 100407145607-phpapp02
Actlacteos 100407145607-phpapp02Actlacteos 100407145607-phpapp02
Actlacteos 100407145607-phpapp02
 
áLbum De FotografíAs
áLbum De FotografíAsáLbum De FotografíAs
áLbum De FotografíAs
 
áLbum De FotografíAs
áLbum De FotografíAsáLbum De FotografíAs
áLbum De FotografíAs
 
áLbum De FotografíAs2
áLbum De FotografíAs2áLbum De FotografíAs2
áLbum De FotografíAs2
 
A Una Persona Estupenda
A Una Persona EstupendaA Una Persona Estupenda
A Una Persona Estupenda
 
Wimax Presentacion Final
Wimax Presentacion FinalWimax Presentacion Final
Wimax Presentacion Final
 
Presentac Palcivar Ultima
Presentac Palcivar UltimaPresentac Palcivar Ultima
Presentac Palcivar Ultima
 
Tema 2
Tema 2Tema 2
Tema 2
 
Administración de Proyectos (PMBOK)
Administración de Proyectos (PMBOK)Administración de Proyectos (PMBOK)
Administración de Proyectos (PMBOK)
 
Servicio de Creación de Sitios Web
Servicio de Creación de Sitios WebServicio de Creación de Sitios Web
Servicio de Creación de Sitios Web
 
Seguridad Fisica
Seguridad FisicaSeguridad Fisica
Seguridad Fisica
 
BPMN estandar para modelamiento de procesos
BPMN estandar para modelamiento de procesosBPMN estandar para modelamiento de procesos
BPMN estandar para modelamiento de procesos
 
Movilidad Segura. Seguridad redes inalambricas
Movilidad Segura. Seguridad redes inalambricasMovilidad Segura. Seguridad redes inalambricas
Movilidad Segura. Seguridad redes inalambricas
 
Itil.
Itil. Itil.
Itil.
 
Auditoria Operacional.
Auditoria Operacional. Auditoria Operacional.
Auditoria Operacional.
 
Calendario 2009
Calendario 2009Calendario 2009
Calendario 2009
 
ERP SDM Sistema Integral Empresarial
ERP SDM Sistema Integral EmpresarialERP SDM Sistema Integral Empresarial
ERP SDM Sistema Integral Empresarial
 

Kürzlich hochgeladen

Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxAlexander López
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..RobertoGumucio2
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 

Kürzlich hochgeladen (20)

Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptxGoogle-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
 
Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..Plan Sarmiento - Netbook del GCBA 2019..
Plan Sarmiento - Netbook del GCBA 2019..
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 

Sistema De Gestion De Seguridad Norma Iso 27001 Corpei

  • 1. SISTEMA DE GESTION DE SEGURIDAD NORMA ISO 27001 (CORPEI) Jorge Ugarte Fajardo 8/10/2008 Guayaquil -Ecuador 1
  • 2. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 Objetivos de Control y Controles 2
  • 3. Descripción general de la sesión Conceptos de Seguridad de la Información 3
  • 4. ¿ Seguridad de la Información? La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada La información puede estar: • Impresa o escrita en papel. • Almacenada electrónicamente. • Trasmitida por correo o medios electrónicos • Mostrada en filmes. • Hablada en conversación. 4
  • 5. ¿ Objetivos de la Seguridad de la información? El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información. Los objetivos de la seguridad de la información se cumplen cuando se preserva: • CONFIDENCIALIDAD: La información es accedida solo por • CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas. aquellas personas que están debidamente autorizadas. • INTEGRIDAD: La información es completa, precisa y • INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas. protegida contra modificaciones no autorizadas. • DISPONIBILIDAD: La información esta disponible y utilizable • DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere. cuando se requiere. 5
  • 6. ¿Contra qué se debe proteger la información? ! quot; ! ! # $ 6
  • 7. ¿Qué es una amenaza? % # ! & ' ' # ( quot; & , quot; quot; ) * +( & ) quot; 7
  • 8. ¿amenazas? Password Escalamiento de privilegios cracking Puertos vulnerables abiertos Exploits Fraudes informáticos Man in the middle Violación de la privacidad de los empleados Servicios de log inexistentes o que no son chequeados Backups inexistentes Destrucción de Denegación de equipamiento servicio Instalaciones default Últimos parches no Port scanning instalados Keylogging Desactualización Hacking de Centrales Telefónicas 8
  • 9. Más amenazas Intercepción y modificación y violación de e-mails Spamming Violación de contraseñas Captura de PC desde el exterior empleados deshonestos Incumplimiento de leyes y regulaciones Virus Ingeniería social Mails anónimos con agresiones Programas “bomba, troyanos” Interrupción de los servicios Destrucción de soportes documentales Robo o extravío de notebooks, palms Acceso clandestino a redes Propiedad de la información Acceso indebido a documentos impresos Robo de información Indisponibilidad de información clave Intercepción de comunicaciones voz y wireless Falsificación de información para terceros Agujeros de seguridad de redes conectadas 9
  • 10. ¿Qué es vulnerabilidad? % ' ! # ( # ! ( • Inadecuado compromiso de la dirección. Inadecuado compromiso de la dirección. • • Personal inadecuadamente capacitado y concientizado. Personal inadecuadamente capacitado y concientizado. • • Inadecuada asignación de responsabilidades. Inadecuada asignación de responsabilidades. • • Ausencia de políticas/ procedimientos. Ausencia de políticas/ procedimientos. • • Ausencia de controles Ausencia de controles (físicos/lógicos) (físicos/lógicos) (disuasivos/preventivos/detectivos/correctivos) (disuasivos/preventivos/detectivos/correctivos) • Ausencia de reportes de incidentes y vulnerabilidades. • Ausencia de reportes de incidentes y vulnerabilidades. • Inadecuado seguimiento y monitoreo de los controles. • Inadecuado seguimiento y monitoreo de los controles 10
  • 11. ¿y el Riesgo? ' # ! ' - # . $ • Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad. • Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia. • Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza. 11
  • 13. ¿Qué es un incidente de seguridad? Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras. Puede ser causado por: • una falla en algún mecanismo de seguridad. • un intento o amenaza (concretada o no) de romper mecanismos de seguridad, etc. 13
  • 15. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información 15
  • 16. ¿Qué es un Sistema de Gestión de Seguridad de la Información? SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI) El.. (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. 16
  • 17. ¿Quiénes están involucrados en SI? La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio. • Dirección • Alta gerencia • Personal de TI • Empleados • Auditores • Entidades reguladoras externas 17
  • 18. ¿ Cómo se implementa un SGSI? Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para establecer, implementar, monitorear y mejorar el SGSI Hacer Planificar Implementar y Establecer operar el SGSI el SGSI Partes Partes Interesadas Interesadas Mantener y Monitorear y Mejorar el SGSI revisar Requisitos y el SGSI Seguridad expectativas Actuar Verificar Gestionada 18
  • 19. ¿Cuál es la norma aplicable SI? • La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI). • ISO 27001 es una norma certificable • Se creó en diciembre de 2005 a partir de la norma BS7799-2. • La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI. • La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información. • ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS). 19
  • 20. ¿y toda la familia 27000? 20
  • 21. Tipos de evaluaciones de seguridad Exploraciones de vulnerabilidades: Se enfoca en las debilidades conocidas Se puede automatizar No requiere experiencia necesariamente Pruebas de penetración: Se enfoca en las debilidades conocidas y desconocidas Requiere probadores altamente capacitados Lleva una carga legal tremenda en ciertos países/organizaciones Auditoría en la seguridad de informática: Se enfoca en las políticas y procedimientos de seguridad Se utiliza para proporcionar evidencia para las normas de la industria 21
  • 22. ¿Cómo se relaciona con otras normas IT? IT Governance Model / Audit Models COSO 1 0( quot; quot; CobIT Quality System App. Dev. (SDLC) Service Mgmt. Project Mgmt. Quality Systems & IT Planning IT Security Mgmt. Frameworks ' ! (! ! !quot; ! '!) !* !!( ! 0 + , -/ IT OPERATIONS 1 244 34 / quot;0 $ % & - $ 544 4 4 4 $5 ISO 10006 ISO_9126 !quot; !# !! 43 . <gugarte@espol.edu.ec> 22
  • 23. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 23
  • 24. ¿Por qué utilizar la norma ISO 27001? ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, permite “Organizar la seguridad de la información”. 24
  • 25. Estructura de la Norma ISO 27001 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Information security management system 5 Management responsibility 6 Internal ISMS audits 7 Management review of the ISMS 8 ISMS improvement Annex A (normative) Control objectives and controls Annex B (informative) OECD principles and this International Standard Annex C (informative) Correspondence between ISO 9001:2000, ISO 14001:2004 and this International Standard 25
  • 26. Aplicación de la norma ISO 27001 Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI Cláusulas: 4.2.1, 5 Cláusulas; 4.2.2, 4.3 Definir la política de seguridad Implantar el plan de gestión de riesgos Establecer el alcance del SGSI Implantar el SGSI Realizar los análisis de riesgos Implantar los controles. Seleccionar los controles Planificar Hacer Implantar indicadores. PHVA Actuar Verificar Cláusulas: 4.2.4,8 Cláusulas: 4.2.3,6,7 Revisiones del SGSI por parte de la Adoptar acciones correctivas Dirección. Adoptar acciones preventivas Realizar auditorías internas del SGSI 26
  • 27. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 Objetivos de Control y Controles 27
  • 28. Objetivos de Control y controles (ISO 27002) 28
  • 29. Controles 5. Política de Seguridad Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices. Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización. 29
  • 30. Controles 6. Aspectos organizativos de la Seguridad Organización interna.-Establecer el compromiso de la Organización interna.-Establecer el compromiso de la Dirección ,, roles, responsabilidades, acuerdos de Dirección roles, responsabilidades, acuerdos de confidencialidad, etc. confidencialidad, etc. Terceros.- Haga inventario de conexiones de red y flujos de Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los información significativos con 3as partes y revise los controles de seguridad de información existentes controles de seguridad de información existentes 30
  • 31. Controles 7. Gestión de Activos Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia. 31
  • 32. Controles 8. Seguridad de Recursos Humanos Reducir el riesgo de errores inadvertidos, robo, fraude o mal Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante: uso de la información, mediante: •• Definición de roles y responsabilidad de seguridad de los Definición de roles y responsabilidad de seguridad de los activos. activos. •• Verificación de antecedentes antes de la contratación Verificación de antecedentes antes de la contratación •• Asegurar que los usuarios conocen de las amenazas y las Asegurar que los usuarios conocen de las amenazas y las inquietudes en materia de seguridad de sistema, y los inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario. efectiva. Establecer el plan de formación necesario. •• Control de activos cuando finaliza el contrato. Control de activos cuando finaliza el contrato. 32
  • 33. Controles 9. Seguridad física y ambiental El estándar parece centrarse en el CPD pero hay muchas El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de otras áreas vulnerables a considerar, p. ej., armarios de cableado, quot;servidores departamentalesquot; y archivos. cableado, quot;servidores departamentalesquot; y archivos. Prevenir acceso no autorizado, daño o interferencia a las Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las información, equipos y bienes tal que no afecten las actividades adversamente. actividades adversamente. Prevenir extracción de información (robo) y mantener la Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos procesa información, mediante revisiones y chequeos periódicos. periódicos. 33
  • 34. Controles 10. Gestión de comunicaciones y operaciones Documente procedimientos, normas y directrices de Documente procedimientos, normas y directrices de seguridad de la información seguridad de la información supervisión de terceros proveedores de servicios y sus supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. respectivas entregas de servicio. Adopte procesos estructurados de planificación de Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción. criterios de aceptación en producción. Combine controles tecnológicos (p. ej., software antivirus) Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y con medidas no técnicas (educación, concienciación y formación). formación). Implante procedimientos de backup y recuperación Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS. seguridad de red como IDS/IPS. ……………. 34
  • 35. Controles 10. Gestión de comunicaciones y operaciones (2) …………….. Asegure los medios y la información en tránsito no solo Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encripte físico sino electrónico (a través de las redes). Encripte todos los datos sensibles o valiosos antes de ser todos los datos sensibles o valiosos antes de ser transportados. transportados. Considere las medidas necesarias para asegurar el Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc. mensajería, utlilizando medios, etc. incorpore requisitos de seguridad de la información en los incorpore requisitos de seguridad de la información en los proyectos e-business. proyectos e-business. Auditar Logs que registren actividad, excepciones y Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas. eventos de seguridad y realizar revisiones periódicas. 35
  • 36. Controles 11. Control de accesos Establecer niveles de seguridad de acuerdo con el nivel de Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios. riesgo de los activos y sus propietarios. Un procedimiento de registro y revocación de cuentas de Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares. revisiones a intervalos regulares. definir y documentar las responsabilidades relativas a definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles seguridad de la información en las descripciones o perfiles de los puestos de trabajo. de los puestos de trabajo. Establecer una política de uso de contraseñas, de cuidado Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios y protección de la información en sus escritorios, medios removibles y pantallas. removibles y pantallas. ……………… 36
  • 37. Controles 11. Control de accesos ………………. Establecer una política de uso de servicios de red. Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos Establecer medidas de autenticación sobre los accesos remotos. remotos. Seguridad en la validación de usuarios del sistema Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación correcta administración de contraseñas, control y limitación de tiempos en las sesiones. de tiempos en las sesiones. Implante estándares de seguridad básica para todas las Implante estándares de seguridad básica para todas las aplicaciones y middleware. aplicaciones y middleware. Tenga políticas claramente definidas para la protección, no Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos. información almacenada en ellos. 37
  • 38. Controles 12. Adquisición, desarrollo y mantenimiento de los sistemas de información Incluir requerimientos de seguridad de las aplicaciones Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información. involucrando a los propietarios de la información. Utilice librerías y funciones estándar para necesidades Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc desbordamientos de memoria, inyección SQL, etc Utilice estándares formales de encriptación. Utilice estándares formales de encriptación. ……………. 38
  • 39. Controles 12. Adquisición, desarrollo y mantenimiento de los sistemas de información ……………… Definir directorios que deben y no deben cambiar, utilizar Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y control de software operacional, test de esos datos y controlar el acceso al código fuente. controlar el acceso al código fuente. Incorpore la seguridad de la información al ciclo de vida de Incorpore la seguridad de la información al ciclo de vida de desarrollo de sistemas en todas sus fases en los desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y procedimientos y métodos de desarrollo, operaciones y gestión de cambios. gestión de cambios. Haga un seguimiento de parches de seguridad mediante Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible. actualización automática siempre que sea posible. 39
  • 40. Controles 13. Gestión de incidentes en la seguridad de la información • Establecer procedimientos de reporte de incidentes de • Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad. seguridad y problemas de seguridad. • Analizar y tomar las medidas correctivas. • Analizar y tomar las medidas correctivas. 40
  • 41. Controles 14. Gestión de la continuidad del negocio • Contrarrestrar interrupciones a las actividades de la • Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación // informática desastre o falla de sistema(s) de comunicación informática implementando un plan de continuidad del negocio. implementando un plan de continuidad del negocio. 41
  • 42. Controles 15. Cumplimiento • • Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad. • Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras). 42
  • 43. Modelo con enfoque en la infraestructura 43
  • 44. Entender la defensa a profundidad Utilizar un enfoque dividido por etapas: Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor Contraseñas fuertes, ACLs, estrategia Datos de respaldo y restauración Aplicación Fortalecimiento de la aplicación Fortalecer el sistema operativo, Host autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría Red interna Segmentos de red, NIDS Firewalls, enrutadores más amplios, Perímetro VPNs con procedimientos de cuarentena Protecciones, seguros, dispositivos de Seguridad física Seguridad física seguimiento Políticas de seguridad, procedimientos Políticas, procedimientos y conciencia Políticas, procedimientos y conciencia y educación 44
  • 45. ¿Cómo conozco las vulnerabilidades en nuevos productos? Best Practices for Preventing Top 20 Risks Best Practices for Preventing Top 20 Risks http://www.sans.org/top20 http://www.sans.org/top20 Entre las vulnerabilidades que encontramos: Client-side Vulnerabilities Client-side Vulnerabilities Server-side Vulnerabilities Server-side Vulnerabilities Security Policy and Personnel Security Policy and Personnel Application Abuse Application Abuse Network Devices Network Devices Zero Day Attacks Zero Day Attacks 45