SISTEMA DE GESTION DE
     SEGURIDAD
   NORMA ISO 27001
      (CORPEI)
      Jorge Ugarte Fajardo
           8/10/2008
   ...
Descripción general de la sesión


  Conceptos de Seguridad de la Información
  Sistema de Gestión de Seguridad de la Info...
Descripción general de la sesión


  Conceptos de Seguridad de la Información




                                        ...
¿ Seguridad de la Información?


  La información es un activo que como otros
  activos importantes tiene valor y requiere...
¿ Objetivos de la Seguridad de la información?


     El objetivo de la seguridad de la información es
     proteger los i...
¿Contra qué se debe proteger la información?



       !           quot;
           !
            !             # $




  ...
¿Qué es una amenaza?


 %        #
                   !   &
         '
 '           # (

                           quot;
...
¿amenazas?

 Password                    Escalamiento de
                             privilegios
 cracking Puertos vulner...
Más amenazas

                 Intercepción y modificación y violación de e-mails
  Spamming
  Violación de contraseñas   ...
¿Qué es vulnerabilidad?

 %
                  '                      !
                      #      (
     #              ...
¿y el Riesgo?

                             '                 #
                             !
                '
   -     ...
Factores de riesgo




                     12
¿Qué es un incidente de seguridad?


 Un incidente de seguridad, es un evento adverso que
  puede afectar a un sistema o r...
Algunos incidentes:




                      14
Descripción general de la sesión


  Conceptos de Seguridad de la Información
  Sistema de Gestión de Seguridad de la Info...
¿Qué es un Sistema de Gestión de Seguridad de la Información?

     SISTEMA DE GESTION DE SEGURIDAD DE LA
     INFORMACIÓN...
¿Quiénes están involucrados en SI?

 La administración efectiva de la seguridad de la
 información no es solamente un asun...
¿ Cómo se implementa un SGSI?

                Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para
                est...
¿Cuál es la norma aplicable SI?

 • La norma ISO 27001 define el sistema de gestión de la
 seguridad de la información (SG...
¿y toda la familia 27000?




                            20
Tipos de evaluaciones de seguridad

  Exploraciones de vulnerabilidades:
     Se enfoca en las debilidades conocidas
     ...
¿Cómo se relaciona con otras normas IT?
                                      IT Governance Model
                        ...
Descripción general de la sesión


  Conceptos de Seguridad de la Información
  Sistema de Gestión de Seguridad de la Info...
¿Por qué utilizar la norma ISO 27001?

 ISO-27001 es un estándar aceptado internacionalmente
 para la administración de la...
Estructura de la Norma ISO 27001

   0 Introduction
   1 Scope
   2 Normative references
   3 Terms and definitions
   4 I...
Aplicación de la norma ISO 27001

        Modelo utilizado para establecer, implementar, monitorear y
        mejorar el S...
Descripción general de la sesión


  Conceptos de Seguridad de la Información
  Sistema de Gestión de Seguridad de la Info...
Objetivos de Control y controles (ISO 27002)




                                               28
Controles

  5. Política de Seguridad



     Conjunto coherente e internamente consistente de
     políticas, normas, pro...
Controles

  6. Aspectos organizativos de la Seguridad



     Organización interna.-Establecer el compromiso de la
     O...
Controles

  7. Gestión de Activos




     Elabore y mantenga un inventario de activos de
     información, mostrando los...
Controles

  8. Seguridad de Recursos Humanos

   Reducir el riesgo de errores inadvertidos, robo, fraude o mal
    Reduci...
Controles

  9. Seguridad física y ambiental

     El estándar parece centrarse en el CPD pero hay muchas
      El estánda...
Controles

  10. Gestión de comunicaciones y operaciones

       Documente procedimientos, normas y directrices de
       ...
Controles

  10. Gestión de comunicaciones y operaciones (2)


      ……………..
      Asegure los medios y la información en ...
Controles

  11. Control de accesos


        Establecer niveles de seguridad de acuerdo con el nivel de
        Establece...
Controles

  11. Control de accesos


        ……………….
        Establecer una política de uso de servicios de red.
        ...
Controles

  12. Adquisición, desarrollo y mantenimiento de los
  sistemas de información


        Incluir requerimientos...
Controles

  12. Adquisición, desarrollo y mantenimiento de los
  sistemas de información


        ………………
        Definir...
Controles

  13. Gestión de incidentes en la seguridad de la
  información



     • Establecer procedimientos de reporte ...
Controles

  14. Gestión de la continuidad del negocio




     • Contrarrestrar interrupciones a las actividades de la
  ...
Controles

  15. Cumplimiento




    •
    •    Prevenir brechas de seguridad por actos criminales
        o violación de...
Modelo con enfoque en la infraestructura




                                           43
Entender la defensa a profundidad

Utilizar un enfoque dividido por etapas:
 Aumentar la detección de riesgo de un agresor...
¿Cómo conozco las vulnerabilidades en nuevos
productos?


  Best Practices for Preventing Top 20 Risks
  Best Practices fo...
Próxima SlideShare
Cargando en…5
×

Sistema De Gestion De Seguridad Norma Iso 27001 Corpei

22.400 visualizaciones

Publicado el

Por

G UGARTE http://blog.espol.edu.ec/gugarte

ESPOL www.espol.edu.ec


Publicado en: Tecnología
1 comentario
13 recomendaciones
Estadísticas
Notas
  • Muy buena presentación gracias por compartirla,
       Responder 
    ¿Estás seguro?    No
    Tu mensaje aparecerá aquí
Sin descargas
Visualizaciones
Visualizaciones totales
22.400
En SlideShare
0
De insertados
0
Número de insertados
203
Acciones
Compartido
0
Descargas
1.499
Comentarios
1
Recomendaciones
13
Insertados 0
No insertados

No hay notas en la diapositiva.

Sistema De Gestion De Seguridad Norma Iso 27001 Corpei

  1. 1. SISTEMA DE GESTION DE SEGURIDAD NORMA ISO 27001 (CORPEI) Jorge Ugarte Fajardo 8/10/2008 Guayaquil -Ecuador 1
  2. 2. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 Objetivos de Control y Controles 2
  3. 3. Descripción general de la sesión Conceptos de Seguridad de la Información 3
  4. 4. ¿ Seguridad de la Información? La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada La información puede estar: • Impresa o escrita en papel. • Almacenada electrónicamente. • Trasmitida por correo o medios electrónicos • Mostrada en filmes. • Hablada en conversación. 4
  5. 5. ¿ Objetivos de la Seguridad de la información? El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información. Los objetivos de la seguridad de la información se cumplen cuando se preserva: • CONFIDENCIALIDAD: La información es accedida solo por • CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas. aquellas personas que están debidamente autorizadas. • INTEGRIDAD: La información es completa, precisa y • INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas. protegida contra modificaciones no autorizadas. • DISPONIBILIDAD: La información esta disponible y utilizable • DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere. cuando se requiere. 5
  6. 6. ¿Contra qué se debe proteger la información? ! quot; ! ! # $ 6
  7. 7. ¿Qué es una amenaza? % # ! & ' ' # ( quot; & , quot; quot; ) * +( & ) quot; 7
  8. 8. ¿amenazas? Password Escalamiento de privilegios cracking Puertos vulnerables abiertos Exploits Fraudes informáticos Man in the middle Violación de la privacidad de los empleados Servicios de log inexistentes o que no son chequeados Backups inexistentes Destrucción de Denegación de equipamiento servicio Instalaciones default Últimos parches no Port scanning instalados Keylogging Desactualización Hacking de Centrales Telefónicas 8
  9. 9. Más amenazas Intercepción y modificación y violación de e-mails Spamming Violación de contraseñas Captura de PC desde el exterior empleados deshonestos Incumplimiento de leyes y regulaciones Virus Ingeniería social Mails anónimos con agresiones Programas “bomba, troyanos” Interrupción de los servicios Destrucción de soportes documentales Robo o extravío de notebooks, palms Acceso clandestino a redes Propiedad de la información Acceso indebido a documentos impresos Robo de información Indisponibilidad de información clave Intercepción de comunicaciones voz y wireless Falsificación de información para terceros Agujeros de seguridad de redes conectadas 9
  10. 10. ¿Qué es vulnerabilidad? % ' ! # ( # ! ( • Inadecuado compromiso de la dirección. Inadecuado compromiso de la dirección. • • Personal inadecuadamente capacitado y concientizado. Personal inadecuadamente capacitado y concientizado. • • Inadecuada asignación de responsabilidades. Inadecuada asignación de responsabilidades. • • Ausencia de políticas/ procedimientos. Ausencia de políticas/ procedimientos. • • Ausencia de controles Ausencia de controles (físicos/lógicos) (físicos/lógicos) (disuasivos/preventivos/detectivos/correctivos) (disuasivos/preventivos/detectivos/correctivos) • Ausencia de reportes de incidentes y vulnerabilidades. • Ausencia de reportes de incidentes y vulnerabilidades. • Inadecuado seguimiento y monitoreo de los controles. • Inadecuado seguimiento y monitoreo de los controles 10
  11. 11. ¿y el Riesgo? ' # ! ' - # . $ • Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad. • Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia. • Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza. 11
  12. 12. Factores de riesgo 12
  13. 13. ¿Qué es un incidente de seguridad? Un incidente de seguridad, es un evento adverso que puede afectar a un sistema o red de computadoras. Puede ser causado por: • una falla en algún mecanismo de seguridad. • un intento o amenaza (concretada o no) de romper mecanismos de seguridad, etc. 13
  14. 14. Algunos incidentes: 14
  15. 15. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información 15
  16. 16. ¿Qué es un Sistema de Gestión de Seguridad de la Información? SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI) El.. (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. 16
  17. 17. ¿Quiénes están involucrados en SI? La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio. • Dirección • Alta gerencia • Personal de TI • Empleados • Auditores • Entidades reguladoras externas 17
  18. 18. ¿ Cómo se implementa un SGSI? Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para establecer, implementar, monitorear y mejorar el SGSI Hacer Planificar Implementar y Establecer operar el SGSI el SGSI Partes Partes Interesadas Interesadas Mantener y Monitorear y Mejorar el SGSI revisar Requisitos y el SGSI Seguridad expectativas Actuar Verificar Gestionada 18
  19. 19. ¿Cuál es la norma aplicable SI? • La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI). • ISO 27001 es una norma certificable • Se creó en diciembre de 2005 a partir de la norma BS7799-2. • La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI. • La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información. • ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS). 19
  20. 20. ¿y toda la familia 27000? 20
  21. 21. Tipos de evaluaciones de seguridad Exploraciones de vulnerabilidades: Se enfoca en las debilidades conocidas Se puede automatizar No requiere experiencia necesariamente Pruebas de penetración: Se enfoca en las debilidades conocidas y desconocidas Requiere probadores altamente capacitados Lleva una carga legal tremenda en ciertos países/organizaciones Auditoría en la seguridad de informática: Se enfoca en las políticas y procedimientos de seguridad Se utiliza para proporcionar evidencia para las normas de la industria 21
  22. 22. ¿Cómo se relaciona con otras normas IT? IT Governance Model / Audit Models COSO 1 0( quot; quot; CobIT Quality System App. Dev. (SDLC) Service Mgmt. Project Mgmt. Quality Systems & IT Planning IT Security Mgmt. Frameworks ' ! (! ! !quot; ! '!) !* !!( ! 0 + , -/ IT OPERATIONS 1 244 34 / quot;0 $ % & - $ 544 4 4 4 $5 ISO 10006 ISO_9126 !quot; !# !! 43 . <gugarte@espol.edu.ec> 22
  23. 23. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 23
  24. 24. ¿Por qué utilizar la norma ISO 27001? ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo, Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a aspectos netamente organizativos, es decir, permite “Organizar la seguridad de la información”. 24
  25. 25. Estructura de la Norma ISO 27001 0 Introduction 1 Scope 2 Normative references 3 Terms and definitions 4 Information security management system 5 Management responsibility 6 Internal ISMS audits 7 Management review of the ISMS 8 ISMS improvement Annex A (normative) Control objectives and controls Annex B (informative) OECD principles and this International Standard Annex C (informative) Correspondence between ISO 9001:2000, ISO 14001:2004 and this International Standard 25
  26. 26. Aplicación de la norma ISO 27001 Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI Cláusulas: 4.2.1, 5 Cláusulas; 4.2.2, 4.3 Definir la política de seguridad Implantar el plan de gestión de riesgos Establecer el alcance del SGSI Implantar el SGSI Realizar los análisis de riesgos Implantar los controles. Seleccionar los controles Planificar Hacer Implantar indicadores. PHVA Actuar Verificar Cláusulas: 4.2.4,8 Cláusulas: 4.2.3,6,7 Revisiones del SGSI por parte de la Adoptar acciones correctivas Dirección. Adoptar acciones preventivas Realizar auditorías internas del SGSI 26
  27. 27. Descripción general de la sesión Conceptos de Seguridad de la Información Sistema de Gestión de Seguridad de la Información La norma ISO 27001 Objetivos de Control y Controles 27
  28. 28. Objetivos de Control y controles (ISO 27002) 28
  29. 29. Controles 5. Política de Seguridad Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices. Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización. 29
  30. 30. Controles 6. Aspectos organizativos de la Seguridad Organización interna.-Establecer el compromiso de la Organización interna.-Establecer el compromiso de la Dirección ,, roles, responsabilidades, acuerdos de Dirección roles, responsabilidades, acuerdos de confidencialidad, etc. confidencialidad, etc. Terceros.- Haga inventario de conexiones de red y flujos de Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los información significativos con 3as partes y revise los controles de seguridad de información existentes controles de seguridad de información existentes 30
  31. 31. Controles 7. Gestión de Activos Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia. 31
  32. 32. Controles 8. Seguridad de Recursos Humanos Reducir el riesgo de errores inadvertidos, robo, fraude o mal Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante: uso de la información, mediante: •• Definición de roles y responsabilidad de seguridad de los Definición de roles y responsabilidad de seguridad de los activos. activos. •• Verificación de antecedentes antes de la contratación Verificación de antecedentes antes de la contratación •• Asegurar que los usuarios conocen de las amenazas y las Asegurar que los usuarios conocen de las amenazas y las inquietudes en materia de seguridad de sistema, y los inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario. efectiva. Establecer el plan de formación necesario. •• Control de activos cuando finaliza el contrato. Control de activos cuando finaliza el contrato. 32
  33. 33. Controles 9. Seguridad física y ambiental El estándar parece centrarse en el CPD pero hay muchas El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de otras áreas vulnerables a considerar, p. ej., armarios de cableado, quot;servidores departamentalesquot; y archivos. cableado, quot;servidores departamentalesquot; y archivos. Prevenir acceso no autorizado, daño o interferencia a las Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las información, equipos y bienes tal que no afecten las actividades adversamente. actividades adversamente. Prevenir extracción de información (robo) y mantener la Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos procesa información, mediante revisiones y chequeos periódicos. periódicos. 33
  34. 34. Controles 10. Gestión de comunicaciones y operaciones Documente procedimientos, normas y directrices de Documente procedimientos, normas y directrices de seguridad de la información seguridad de la información supervisión de terceros proveedores de servicios y sus supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. respectivas entregas de servicio. Adopte procesos estructurados de planificación de Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción. criterios de aceptación en producción. Combine controles tecnológicos (p. ej., software antivirus) Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y con medidas no técnicas (educación, concienciación y formación). formación). Implante procedimientos de backup y recuperación Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS. seguridad de red como IDS/IPS. ……………. 34
  35. 35. Controles 10. Gestión de comunicaciones y operaciones (2) …………….. Asegure los medios y la información en tránsito no solo Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encripte físico sino electrónico (a través de las redes). Encripte todos los datos sensibles o valiosos antes de ser todos los datos sensibles o valiosos antes de ser transportados. transportados. Considere las medidas necesarias para asegurar el Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc. mensajería, utlilizando medios, etc. incorpore requisitos de seguridad de la información en los incorpore requisitos de seguridad de la información en los proyectos e-business. proyectos e-business. Auditar Logs que registren actividad, excepciones y Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas. eventos de seguridad y realizar revisiones periódicas. 35
  36. 36. Controles 11. Control de accesos Establecer niveles de seguridad de acuerdo con el nivel de Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios. riesgo de los activos y sus propietarios. Un procedimiento de registro y revocación de cuentas de Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares. revisiones a intervalos regulares. definir y documentar las responsabilidades relativas a definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles seguridad de la información en las descripciones o perfiles de los puestos de trabajo. de los puestos de trabajo. Establecer una política de uso de contraseñas, de cuidado Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios y protección de la información en sus escritorios, medios removibles y pantallas. removibles y pantallas. ……………… 36
  37. 37. Controles 11. Control de accesos ………………. Establecer una política de uso de servicios de red. Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos Establecer medidas de autenticación sobre los accesos remotos. remotos. Seguridad en la validación de usuarios del sistema Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación correcta administración de contraseñas, control y limitación de tiempos en las sesiones. de tiempos en las sesiones. Implante estándares de seguridad básica para todas las Implante estándares de seguridad básica para todas las aplicaciones y middleware. aplicaciones y middleware. Tenga políticas claramente definidas para la protección, no Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos. información almacenada en ellos. 37
  38. 38. Controles 12. Adquisición, desarrollo y mantenimiento de los sistemas de información Incluir requerimientos de seguridad de las aplicaciones Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información. involucrando a los propietarios de la información. Utilice librerías y funciones estándar para necesidades Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etc desbordamientos de memoria, inyección SQL, etc Utilice estándares formales de encriptación. Utilice estándares formales de encriptación. ……………. 38
  39. 39. Controles 12. Adquisición, desarrollo y mantenimiento de los sistemas de información ……………… Definir directorios que deben y no deben cambiar, utilizar Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y control de software operacional, test de esos datos y controlar el acceso al código fuente. controlar el acceso al código fuente. Incorpore la seguridad de la información al ciclo de vida de Incorpore la seguridad de la información al ciclo de vida de desarrollo de sistemas en todas sus fases en los desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y procedimientos y métodos de desarrollo, operaciones y gestión de cambios. gestión de cambios. Haga un seguimiento de parches de seguridad mediante Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible. actualización automática siempre que sea posible. 39
  40. 40. Controles 13. Gestión de incidentes en la seguridad de la información • Establecer procedimientos de reporte de incidentes de • Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad. seguridad y problemas de seguridad. • Analizar y tomar las medidas correctivas. • Analizar y tomar las medidas correctivas. 40
  41. 41. Controles 14. Gestión de la continuidad del negocio • Contrarrestrar interrupciones a las actividades de la • Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación // informática desastre o falla de sistema(s) de comunicación informática implementando un plan de continuidad del negocio. implementando un plan de continuidad del negocio. 41
  42. 42. Controles 15. Cumplimiento • • Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad. • Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras). 42
  43. 43. Modelo con enfoque en la infraestructura 43
  44. 44. Entender la defensa a profundidad Utilizar un enfoque dividido por etapas: Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor Contraseñas fuertes, ACLs, estrategia Datos de respaldo y restauración Aplicación Fortalecimiento de la aplicación Fortalecer el sistema operativo, Host autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría Red interna Segmentos de red, NIDS Firewalls, enrutadores más amplios, Perímetro VPNs con procedimientos de cuarentena Protecciones, seguros, dispositivos de Seguridad física Seguridad física seguimiento Políticas de seguridad, procedimientos Políticas, procedimientos y conciencia Políticas, procedimientos y conciencia y educación 44
  45. 45. ¿Cómo conozco las vulnerabilidades en nuevos productos? Best Practices for Preventing Top 20 Risks Best Practices for Preventing Top 20 Risks http://www.sans.org/top20 http://www.sans.org/top20 Entre las vulnerabilidades que encontramos: Client-side Vulnerabilities Client-side Vulnerabilities Server-side Vulnerabilities Server-side Vulnerabilities Security Policy and Personnel Security Policy and Personnel Application Abuse Application Abuse Network Devices Network Devices Zero Day Attacks Zero Day Attacks 45

×