Indice
>Problemática de seguridad
>Sistemas de Gestión de la Seguridad
de la Información (SGSI)
>Implementación de un SGSI
>ISO 27001
Problemática de Seguridad ( II )
Ideológica
>Seguridad = Obstáculo para el
negocio
>No hay cultura de seguridad
>Actuaciones reactivas, nunca
Problemática de Seguridad ( III )
Estructural
>Falta de procedimientos
>Falta de responsabilidades
>Falta de recursos
Problemática de Seguridad ( IV )
Tecnológica
>Desconocimiento de negocio
>Desconocimiento de sistemas
>Desconocimiento de seguridad
>Sensación de falsa seguridad
Problemática de Seguridad ( V )
Estado inicial
>La seguridad estorba
>La seguridad cuesta dinero
>La seguridad cuesta trabajo
>La seguridad es complicada
Problemática de Seguridad ( VIII )
Defensa de la Seguridad
>La seguridad no es cara ni complicada
es necesaria
>Sistema seguro = Sistema rentable
>Hacia dirección Convicción
Definición de un SGSI
“ Conjunto de normas, políticas y
procedimientos destinados a satisfacer
unas necesidades de seguridad de un
entorno definido”
“ Obtener el nivel de seguridad requerido con
la asignación de recursos más eficiente
Definición de un SGSI y objetivos
Definición :
Conceptos Básicos de SGSI
Activos
>Activo = Todo lo importante en
nuestro sistema de información
>Información, Servidores, Software …
>Imágen pública, responsabilidad legal
>Activo = Lo que debemos proteger
>Valoración de activos
Conceptos Básicos de SGSI
Amenazas
>Amenaza = Todo lo que puede
dañar a un activo
>Robos de datos, virus, cortes de luz
>Daño al activo = Impacto
>Probabilidad de ocurrencia =
activos activos amenazas amenazas frecuencia residual frecuencia residual impacto residual impacto residual valor valor riesgo residual riesgo residual están expuestos a Interesan por su degradación residual degradación residual
causan una cierta
con una cierta
Controles
> Control = Procedimiento que minimiza o elimina un
riesgo
Controles
SGSI ( V )
Sistema de Gestión
>Crea la política de seguridad
>Establece el alcance
>Determina los activos
SGSI ( VI )
Análisis de Riesgos
>Determina las amenazas
>Establece los riesgos
>Decide según apetito de riesgo
>Selecciona controles de seguridad
SGSI ( VII )
Controles de Seguridad
>Medidas de seguridad que
minimizan o eliminan riesgos
>Deben tener métricas
>Técnicos y/o procedimentales
>No orientados a fabricantes
SGSI ( II )
Ventajas de un SGSI
>Detecta y valora nuestros activos
>Analiza los riesgos
>Mejora la seguridad
Planifica – Evaluación del SI
Planear
>Establecer el alcance
>Inventariar los activos
>Analizar los riesgos
Planifica – Evaluación del SI
Planear – Ej de Metodología
>Valorar activos de 1 a 10
>Valorar amenazas de 1 a 10
>Estimar probabilidad de 0 a 1
>Riesgo = Ac*Am*Pb
Planifica – Análisis de Riesgos
Planear – Ej de Metodología
> Cthulhu despierta de R’lyeh y arrasa nuestro
datacenter
> Valor activo : 10
> Impacto : 10
> Probabilidad: 0.000001
> CPrev: 1M (datacenter secundario)
> CRep: 2M (hacer otro + negocio perdido)
> Decisión: Asumir el riesgo
Planifica – Análisis de Riesgos
Hacer
>Implantar controles de
seguridad
>Seleccionar tecnologías
>Definir procedimientos
>Generar documentación
Planifica – Análisis de Riesgos
Monitorizar / Vigilar
>Revisar controles y
procedimientos
>Revisar métricas
> Chequear activos
>Auditoria del SGSI
Planifica – Análisis de Riesgos
Actuar / Mejorar
>Implantar mejoras
>Comunicar resultados
>Mantener recursos
>“La seguridad no es un
Planifica – Análisis de Riesgos
Exito de un SGSI
>Apoyo de la dirección
>Alineación con el negocio
>Implicación de los responsables
>Concienciación de usuarios
Planifica – Análisis de Riesgos
ISO 27001 / 27002
>Normativa Internacional (ISO =
International Standards Office)
>Seguridad de la información
>ISO 27001 Código de buenas
prácticas
Dominios (I)
>Evaluación de riesgos
>Políticas de seguridad
>Organización de la Seguridad de
la Información
>Gestión de Activos
>Seguridad del personal
>Seguridad física
Normativas
Dominios (II)
> Gestión de comunicaciones y
operaciones
> Control de accesos
> Desarrollo y mantenimiento de
sistemas
> Gestión de incidentes de seguridad
> Continuidad de negocio
Normativas
9.3.1 Password use
Users should follow good security practices in the selection and use of passwords. Passwords provide a means for validating a user’s identity and thus to establish access rights
toinformation processing facilities or services. All users should be advised to: a) keep passwords confidential;
b) avoid keeping a paper record of passwords, unless this can be stored securely; c) change passwords whenever there is any indication of possible system or password compromise;
d) select quality passwords with a minimum length of six characters which are: 1) easy to remember;
2) not based on anything somebody else could easily guess or obtain using person related information, e.g. names, telephone numbers, and dates of birth etc.;
3) free of consecutive identical characters or all-numeric or all-alphabetical groups.
e) change passwords at regular intervals or based on the number of accesses (passwords for privileged accounts should be changed more frequently than normal passwords), and avoid re-using or cycling old passwords;
f) change temporary passwords at the first log-on;
g) do not include passwords in any automated log-on process, e.g. stored in a macro or function key;
h) do not share individual user passwords
Integración de la ISO 27002
Estratégico
Táctico
Normativas