• No se han encontrado resultados

> Gestión de la Seguridad de la Información. > Antonio Sanz - > 25 / May / 11

N/A
N/A
Protected

Academic year: 2021

Share "> Gestión de la Seguridad de la Información. > Antonio Sanz - > 25 / May / 11"

Copied!
36
0
0

Texto completo

(1)
(2)

Indice

>Problemática de seguridad

>Sistemas de Gestión de la Seguridad

de la Información (SGSI)

>Implementación de un SGSI

>ISO 27001

(3)

Problemática de Seguridad ( II )

Ideológica

>Seguridad = Obstáculo para el

negocio

>No hay cultura de seguridad

>Actuaciones reactivas, nunca

(4)

Problemática de Seguridad ( III )

Estructural

>Falta de procedimientos

>Falta de responsabilidades

>Falta de recursos

(5)

Problemática de Seguridad ( IV )

Tecnológica

>Desconocimiento de negocio

>Desconocimiento de sistemas

>Desconocimiento de seguridad

>Sensación de falsa seguridad

(6)

Problemática de Seguridad ( V )

Estado inicial

>La seguridad estorba

>La seguridad cuesta dinero

>La seguridad cuesta trabajo

>La seguridad es complicada

(7)

Problemática de Seguridad ( VIII )

Defensa de la Seguridad

>La seguridad no es cara ni complicada

 es necesaria

>Sistema seguro = Sistema rentable

>Hacia dirección  Convicción

(8)

Definición de un SGSI

“ Conjunto de normas, políticas y

procedimientos destinados a satisfacer

unas necesidades de seguridad de un

entorno definido”

“ Obtener el nivel de seguridad requerido con

la asignación de recursos más eficiente

Definición de un SGSI y objetivos

Definición :

(9)

Conceptos Básicos de SGSI

Activos

>Activo = Todo lo importante en

nuestro sistema de información

>Información, Servidores, Software …

>Imágen pública, responsabilidad legal

>Activo = Lo que debemos proteger

>Valoración de activos

(10)

Conceptos Básicos de SGSI

Amenazas

>Amenaza = Todo lo que puede

dañar a un activo

>Robos de datos, virus, cortes de luz

>Daño al activo = Impacto

>Probabilidad de ocurrencia =

(11)

activos activos amenazas amenazas frecuencia residual frecuencia residual impacto residual impacto residual valor valor riesgo residual riesgo residual están expuestos a Interesan por su degradación residual degradación residual

causan una cierta

con una cierta

Controles

> Control = Procedimiento que minimiza o elimina un

riesgo

Controles

(12)

SGSI ( V )

Sistema de Gestión

>Crea la política de seguridad

>Establece el alcance

>Determina los activos

(13)

SGSI ( VI )

Análisis de Riesgos

>Determina las amenazas

>Establece los riesgos

>Decide según apetito de riesgo

>Selecciona controles de seguridad

(14)

SGSI ( VII )

Controles de Seguridad

>Medidas de seguridad que

minimizan o eliminan riesgos

>Deben tener métricas

>Técnicos y/o procedimentales

>No orientados a fabricantes

(15)

SGSI ( II )

Ventajas de un SGSI

>Detecta y valora nuestros activos

>Analiza los riesgos

>Mejora la seguridad

(16)
(17)

Planifica – Evaluación del SI

Planear

>Establecer el alcance

>Inventariar los activos

>Analizar los riesgos

(18)

Planifica – Evaluación del SI

Planear – Ej de Metodología

>Valorar activos de 1 a 10

>Valorar amenazas de 1 a 10

>Estimar probabilidad de 0 a 1

>Riesgo = Ac*Am*Pb

(19)

Planifica – Análisis de Riesgos

Planear – Ej de Metodología

> Cthulhu despierta de R’lyeh y arrasa nuestro

datacenter

> Valor activo : 10

> Impacto : 10

> Probabilidad: 0.000001

> CPrev: 1M (datacenter secundario)

> CRep: 2M (hacer otro + negocio perdido)

> Decisión: Asumir el riesgo

(20)

Planifica – Análisis de Riesgos

Hacer

>Implantar controles de

seguridad

>Seleccionar tecnologías

>Definir procedimientos

>Generar documentación

(21)

Planifica – Análisis de Riesgos

Monitorizar / Vigilar

>Revisar controles y

procedimientos

>Revisar métricas

> Chequear activos

>Auditoria del SGSI

(22)

Planifica – Análisis de Riesgos

Actuar / Mejorar

>Implantar mejoras

>Comunicar resultados

>Mantener recursos

>“La seguridad no es un

(23)

Planifica – Análisis de Riesgos

Exito de un SGSI

>Apoyo de la dirección

>Alineación con el negocio

>Implicación de los responsables

>Concienciación de usuarios

(24)

Planifica – Análisis de Riesgos

ISO 27001 / 27002

>Normativa Internacional (ISO =

International Standards Office)

>Seguridad de la información

>ISO 27001  Código de buenas

prácticas

(25)

Dominios (I)

>Evaluación de riesgos

>Políticas de seguridad

>Organización de la Seguridad de

la Información

>Gestión de Activos

>Seguridad del personal

>Seguridad física

(26)

Normativas

Dominios (II)

> Gestión de comunicaciones y

operaciones

> Control de accesos

> Desarrollo y mantenimiento de

sistemas

> Gestión de incidentes de seguridad

> Continuidad de negocio

(27)

Normativas

9.3.1 Password use

Users should follow good security practices in the selection and use of passwords. Passwords provide a means for validating a user’s identity and thus to establish access rights

toinformation processing facilities or services. All users should be advised to: a) keep passwords confidential;

b) avoid keeping a paper record of passwords, unless this can be stored securely; c) change passwords whenever there is any indication of possible system or password compromise;

d) select quality passwords with a minimum length of six characters which are: 1) easy to remember;

2) not based on anything somebody else could easily guess or obtain using person related information, e.g. names, telephone numbers, and dates of birth etc.;

3) free of consecutive identical characters or all-numeric or all-alphabetical groups.

e) change passwords at regular intervals or based on the number of accesses (passwords for privileged accounts should be changed more frequently than normal passwords), and avoid re-using or cycling old passwords;

f) change temporary passwords at the first log-on;

g) do not include passwords in any automated log-on process, e.g. stored in a macro or function key;

h) do not share individual user passwords

(28)

Integración de la ISO 27002

Estratégico

Táctico

(29)

Normativas

Certificación

> ISO 27002  Certificable

> Certificación externa (auditores)

> Publicidad y confianza

(30)

Leyes y Normativas españolas

> ENS (Esquema Nacional de Seguridad)

> MAGERIT (Metodología de Análisis y

Gestión de Riesgos) – MAP

> LOPD (Ley Orgánica de Protección de

Datos)

(31)

Leyes y normativas extranjeras

> HIPAA (Health Insurance Portability and

Accountability Act)– Privacidad sanidad

> PCI-DSS (Payment Card Industry –

Digital Security Standard)

> GLBA

(Gramm–Leach–Bliley Act) –

Privacidad datos financieros

> Sarbanes-Oxley – Contabilidad

financieros

(32)

Otras herramientas

> ITIL / ISO 20000 : Information

Technologies Infrastructure Library 

Gestión de servicios IT

> BS25999  Continuidad de negocio

> COBIT (Control Objetives for IT)

> CMMI (Capability Maturity Model

Integration)

(33)

Conclusiones

> Defensa de la seguridad en el negocio

> SGSI = Herramienta de gestión

> ISO 27001  Herramienta reconocida

> Objetivo = Gestión eficiente e

informada del riesgo

> La seguridad no es un producto, es un

(34)

More data …

> SGSI

http://www.iso27000.es/sgsi.html

http://cert.inteco.es/Formacion/SGSI/Conceptos_Basicos/

> ISO 27001/27002

http://www.iso.org/iso/catalogue_detail?csnumber=42103

http://sgsi-iso27001.blogspot.com/

(35)
(36)

>

Tened cuidado ahí fuera …

Referencias

Documento similar

De esta forma es más fácil representar los huecos de tensión en términos no sólo de su valor de tensión residual y tiempo de duración del hueco, sino que también se considera

Para ello, se ha fijado como OBJETIVO GENERAL la extracción y caracterización de los microplásticos presentes en el agua residual, desde su entrada a la planta de

 Es el valor residual de los ingresos de una entidad lucrativa, después de haber disminuido sus costos y gastos relativos reconocidos en el estado de

Las propiedades, planta y equipo, neto del valor residual del mismo, se deprecia distribuyendo linealmente el costo de los diferentes elementos que componen dicho activo

Tienen E > 0, pero el valor de la parte espacial del momentum tiene un cambio de signo respecto a las soluciones u... Invariancia de calibre residual y el calibre

ANEXO 1 ANALITICA DE ENTRADA Y SALIDA DEL AGUA RESIDUAL... ANEXO 2 RESULTADOS DE

Una propiedad muy conocida para mixturas positivas (véase, Klefsjo (1982)) es que la mixtura de distribuciones que tengan vida media residual creciente (IMRL), tiene también vida

1. En los supuestos en que, como consecuencia del seísmo, se hubiera producido la destrucción total de la vivienda o bien, debido a su mal estado residual, hubiera sido