SlideShare una empresa de Scribd logo

Tema 6 planes de seguridad informatica

Descargar como PPT, PDF
Mariano Galvez
Mariano Galvez

El documento trata sobre los planes de seguridad de la información (PSI) y planes de continuidad del negocio (PCN). Explica que el PSI incluye procesos para administrar la seguridad de la información considerando los riesgos, mientras que el PCN busca reducir el riesgo de interrupciones y garantizar la continuidad mínima de servicios críticos. También describe el alcance, finalidad e importancia del PSI y PCN para proteger los activos y responsabilidades de una organización.

Educación
1 de 35
Tema 6: PLANES DE SEGURIDAD DE LA INFORMACIÓN Y PLANES DE CONTINUIDAD DEL NEGOCIO
Contenido de la Clase  Introducción  PSI y PCN  Finalidad del PSI y PCN  Alcance del PSI y PCN  Importancia del PSI y PCN  ¿Cuáles son los procedimientos utilizados?
¿Qué es PSI? Un Plan de Seguridad de la información incluye todos los procesos/servicios involucrados en la administración de la seguridad de la Información. Un PSI efectivo considera los impulsadores de seguridad de información de una organización para determinar el alcance y enfoque de los procesos involucrados en la administración de la seguridad.
FINALIDAD DEL PSI La finalidad del PSI es proteger la información y los activos de la organización, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organización.
ALCANCE DEL PSI El alcance del desarrollo de un PSI es:  Evaluación de riesgos de seguridad a los que está expuesta la información.  Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión o exclusión.  Definición de políticas de seguridad
IMPORTANCIA DEL PSI EN LAS EMPRESAS  Permite desarrollar normas y procedimientos que pautan las actividades relacionadas con la seguridad informática y la tecnología de información.  Permite analizar la necesidad de cambios o adaptaciones para cubrir los riesgos existentes.
IMPORTANCIA DEL PSI EN LAS EMPRESAS  Hace posible la concienciación de los miembros de la empresa acerca de la importancia y sensibilidad de la información y servicios críticos.  Permite conseguir el compromiso de la institución, agudeza técnica para establecer fallas y deficiencias, y constancia para renovar y actualizar las políticas en función de un ambiente dinámico
PCN PCN significa “Plan de Continuidad del Negocio”, es un proceso diseñado para reducir el riesgo de la institución ante una interrupción inesperada de sus funciones / operaciones críticas, independiente de si estas son manuales o automatizadas, las cuales son necesarias para la supervivencia de la organización.
FINALIDAD DEL PCN La finalidad del PCN es contar con una estrategia planificada, una serie de procedimientos que faciliten u orienten a tener una solución alternativa que permita restituir rápidamente los servicios de la organización ante la eventualidad de paralización, ya sea de forma parcial o total.
ALCANCE DEL PCN El alcance del desarrollo del PCN es:  Análisis de Impacto  Plan de Contingencia  Plan de Recuperación de desastres
ANÁLISIS DEL IMPACTO  Es la identificación de los diversos eventos que podrían impactar la continuidad de las operaciones y la organización. Previamente se determina la clasificación de seguridad de activos asociados a la tecnología mediante el análisis de riesgos.
PLAN DE CONTINGENCIAS  Del análisis de impacto y riesgos, como medida preventiva se genera el Plan de Contingencias, que es un instrumento sistematizado, que facilita y orienta la consecución de una solución alternativa que permita restituir rápidamente los servicios de la organización.
PLAN DE RECUPERACIÓN DE DESASTRES Este plan tiene como objetivo la evaluación de la capacidad de la empresa para restaurar los servicios al nivel acordado de calidad, y de otra parte definir el proceso para desarrollar, comunicar y mantener planes documentados y probados para la continuidad del sistema de información y de las operaciones del negocio.
IMPORTANCIA DEL PCN EN LAS EMPRESAS  Garantiza la continuidad del nivel mínimo de servicios necesarios para las operaciones críticas.  Permite que la institución continué funcionando en caso de una interrupción y que sobreviva a una interrupción desastrosa de sus sistemas de información.
IMPORTANCIA DEL PCN EN LAS EMPRESAS  Permite recuperar la normalidad de las actividades de la empresa rápidamente.  Identifica las funciones de negocio y los procesos esenciales para la continua y eficiente operación de la empresa.
Seguridad Física Los datos deben protegerse aplicando:  Seguridad Lógica  Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite.  Protocolos de autenticación entre cliente y servidor.  Aplicación de normativas.  Seguridad Física  Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc.  Medidas de prevención de riesgos tanto físicos como lógicos a través de una política de seguridad, planes de contingencia, aplicación de normativas, etc.
La seguridad Física en entornos de PCs  Anclajes a mesas de trabajo. Temas a tener  Cerraduras. en cuenta en un  Tarjetas con alarma. entorno PC  Etiquetas con adhesivos especiales.  Bloqueo de disquetera.  Protectores de teclado.  Tarjeta de control de acceso al hardware.  Suministro ininterrumpido de corriente.  Toma de tierra.  Eliminación de la estática... etc.
Análisis de riesgo: plan estratégico  Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.  Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger.
Información del análisis de riesgo  Información que se obtiene en un análisis de riesgo:  Determinación precisa de los recursos sensibles de la organización.  Identificación de las amenazas del sistema.  Identificación de las vulnerabilidades específicas del sistema.  Identificación de posibles pérdidas.  Identificación de la probabilidad de ocurrencia de una pérdida.  Derivación de contramedidas efectivas.  Identificación de herramientas de seguridad.  Implementación de un sistema de seguridad eficiente en costes y tiempo.
Ecuación básica del análisis de riesgo ¿B>P∗L?  B: Carga o gasto que significa la prevención de una pérdida específica por vulnerabilidad.  P: Probabilidad de ocurrencia de esa pérdida específica.  L: Impacto total de dicha pérdida específica.
¿Cuándo y cuánto invertir en seguridad? Si B≤P∗L Hay que implementar una medida de prevención. Si B>P∗L No es necesaria una medida de prevención. ... al menos matemáticamente. No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo. Por ejemplo, el ataque a las torres gemelas y sus posteriores consecuencias informáticas no estaba contemplado en ningún plan contingencia...
Efectividad del coste de la medida  Las medidas y herramientas de control han de tener menos coste que el valor de las posibles pérdidas y el impacto de éstas si se produce el riesgo temido.  Ley básica: el costo del control ha de ser menor que el activo que protege. Algo totalmente lógico y que tanto los directivos como los responsables de seguridad de la empresa deberán estimar de forma adecuada a su realidad.
El factor L en la ecuación de riesgo Factor L (en B ≤ P ∗ L)  El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc.  Siempre habrá una parte subjetiva.  La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada.  En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas.
El factor P en la ecuación de riesgo Factor P (en B ≤ P ∗ L)  El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que esté la posible pérdida. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.  Conocido P para un L dado, se obtiene la probabilidad de pérdida relativa de la ocurrencia P∗L que se comparará con B, el peso que supone implantar la medida de prevención respectiva.
El factor B en la ecuación de riesgo Factor B (en B ≤ P ∗ L)  Indica qué se requiere para prevenir una pérdida. Es la cantidad de dinero que vamos a disponer para mitigar la posible pérdida.  Ejemplo: la carga de prevención para que un sistema informático minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalación de software y hardware adecuado, un cortafuegos, un sistema de detección de intrusos, una configuración de red segura, una política de seguimiento de accesos y de passwords, personal técnico cualificado, etc. Todo ello importa una cantidad de dinero específica.
Cuantificación de la protección ¿B≤P∗L?  ¿Cuánta protección es necesaria?  En nuestro ejemplo: qué configuración de red usar, en qué entorno trabajar, qué tipo de cortafuegos, etc. Eso dependerá del novel de seguridad que nuestra empresa desee o crea oportuno.  ¿De qué forma nos protegeremos?  Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc.  En un sistema informático podemos aplicar medidas físicas, políticas de seguridad de accesos, planes de contingencia y recuperación, cortafuegos, cifrado de la información, firmas, pasarelas seguras, etc.
Pasos en un análisis de riesgos 1. Identificación costo 3. Identificar posibles Se posibles pérdidas (L) acciones (gasto) y sus cierra el implicaciones. (B) ciclo Seleccionar acciones a Identificar amenazas implementar. ¿ B ≤ P∗L ? 2. Determinar susceptibilidad. La probabilidad de pérdida (P)
Algunas políticas de seguridad • Políticas administrativas – Procedimientos administrativos. • Políticas de control de acceso – Privilegios de acceso del usuario o programa. • Políticas de flujo de información – Normas bajo la cuales se comunican los sujetos dentro del sistema.
Aspectos administrativos • Políticas administrativas – Se establecen aquellos procedimientos de carácter administrativo en la organización como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisión sistemática, etc. – Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel.
Control de accesos • Políticas de control de acceso – Política de menor privilegio • Acceso estricto a objetos determinados, con mínimos privilegios para los usuarios. – Política de compartición • Acceso de máximo privilegio en el que cada usuario puede acceder a todos los objetos. – Granularidad • Número de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
Control de flujo • Políticas de control de flujo – La información a la que se accede, se envía y recibe por: • ¿Canales claros o canales ocultos? ¿Seguros o no? – ¿Qué es lo que hay que potenciar? • ¿La confidencialidad o la integridad? • ¿La disponibilidad? ... ¿El no repudio? • Según cada organización y su entorno de trabajo y servicios ofrecidos, habrá diferencias. En algunos sistemas primarán unos más que otros, en función de cuán secreta es la información que procesan.
Modelos de seguridad • Modelo de Bell LaPadula (BLP) – Rígido. Confidencialidad y con autoridad. Se definirán • Modelo de Take-Grant (TG) brevemente – Derechos especiales: tomar y otorgar. en próximas • Modelo de Clark-Wilson (CW) diapositivas – Orientación comercial: integridad. • Modelo de Goguen-Meseguer (GM) – No interferencia entre usuarios. • Modelo de Matriz de Accesos (MA) – Estados y transiciones entre estados • Tipo Graham-Dennig (GD) • Tipo Harrison-Ruzzo-Ullman (HRU)
Modelo de Bell LaPadula BLP • La escritura hacia abajo está prohibida. • La lectura hacia arriba está prohibida. • Es el llamado principio de tranquilidad. No lectura hacia arriba Secreto máximo usuario dado de alta con un nivel secreto Secreto No escritura hacia abajo No clasificado
Implantación de medidas básicas  Plan de emergencia  Vidas,heridos, activos, evacuación personal.  Inventariar recursos siniestrados.  Evaluar el coste de la inactividad.  Plan de recuperación  Acciones tendentes a volver a la situación que existía antes del desastre.
Plan de continuidad  Instalaciones alternativas  Oficina de servicios propia.  Acuerdo con empresa vendedora de HW y SW.  Acuerdo recíproco entre dos o más empresas.  Arranque en frío; sala vacía propia.  Arranque en caliente: centro equipado.  Sistema Up Start: caravana, unidad móvil.  Sistema Hot Start: centro gemelo. Fin del la asignatura

Recomendados

Plan de comunicación
Plan de comunicaciónPlan de comunicación
Plan de comunicaciónAngel Camargo
 
Proceso de dirección de proyectos
Proceso de dirección de proyectosProceso de dirección de proyectos
Proceso de dirección de proyectosAlva R. Lomelí
 
El equipo de trabajo en proyectos
El equipo de trabajo en proyectosEl equipo de trabajo en proyectos
El equipo de trabajo en proyectosSalvador Almuina
 
Benchmarking instrumentos de la gestion de procesos de negocio
Benchmarking instrumentos de la gestion de procesos de negocioBenchmarking instrumentos de la gestion de procesos de negocio
Benchmarking instrumentos de la gestion de procesos de negocioInstituto Tecnologico De Pachuca
 
Gestion de cambios
Gestion de cambiosGestion de cambios
Gestion de cambioszoilapalacios
 
Fatiga y Estres en el Trabajo en Equipo
Fatiga y Estres en el Trabajo en EquipoFatiga y Estres en el Trabajo en Equipo
Fatiga y Estres en el Trabajo en EquipoJuan Carlos Fernández
 
Teoria programacion lineal
Teoria programacion linealTeoria programacion lineal
Teoria programacion linealUniversidad Nacional de Trujillo
 
Negociación en la Gestión de Proyectos
Negociación en la Gestión de ProyectosNegociación en la Gestión de Proyectos
Negociación en la Gestión de ProyectosDharma Consulting
 

Recomendados

Plan de comunicación
Plan de comunicaciónPlan de comunicación
Plan de comunicaciónAngel Camargo
 
Proceso de dirección de proyectos
Proceso de dirección de proyectosProceso de dirección de proyectos
Proceso de dirección de proyectosAlva R. Lomelí
 
El equipo de trabajo en proyectos
El equipo de trabajo en proyectosEl equipo de trabajo en proyectos
El equipo de trabajo en proyectosSalvador Almuina
 
Benchmarking instrumentos de la gestion de procesos de negocio
Benchmarking instrumentos de la gestion de procesos de negocioBenchmarking instrumentos de la gestion de procesos de negocio
Benchmarking instrumentos de la gestion de procesos de negocioInstituto Tecnologico De Pachuca
 
Gestion de cambios
Gestion de cambiosGestion de cambios
Gestion de cambioszoilapalacios
 
Fatiga y Estres en el Trabajo en Equipo
Fatiga y Estres en el Trabajo en EquipoFatiga y Estres en el Trabajo en Equipo
Fatiga y Estres en el Trabajo en EquipoJuan Carlos Fernández
 
Teoria programacion lineal
Teoria programacion linealTeoria programacion lineal
Teoria programacion linealUniversidad Nacional de Trujillo
 
Negociación en la Gestión de Proyectos
Negociación en la Gestión de ProyectosNegociación en la Gestión de Proyectos
Negociación en la Gestión de ProyectosDharma Consulting
 
Documentacion de un proyecto
Documentacion de un proyectoDocumentacion de un proyecto
Documentacion de un proyectoIngrid OP
 
Seguimiento y control de un proyecto
Seguimiento y control de un proyectoSeguimiento y control de un proyecto
Seguimiento y control de un proyectoDiana De León
 
Método de la ruta crítica
Método de la ruta críticaMétodo de la ruta crítica
Método de la ruta críticaWilmer Yucailla
 
Solución de Conflictos en la Gestión de Proyectos
Solución de Conflictos en la Gestión de ProyectosSolución de Conflictos en la Gestión de Proyectos
Solución de Conflictos en la Gestión de ProyectosDharma Consulting
 
Fases bpm
Fases bpmFases bpm
Fases bpmestefanvm
 
Estructura documentacion
Estructura documentacionEstructura documentacion
Estructura documentacionCristian Felipe Suarez Morea
 
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...BiblogTecarios
 
Documentacion de un SGC
Documentacion de un SGCDocumentacion de un SGC
Documentacion de un SGCAlvaro Diaz
 
Planificación y Control de Proyectos
Planificación y Control de ProyectosPlanificación y Control de Proyectos
Planificación y Control de ProyectosJuan Carlos Fernández
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónMelvin Jáquez
 
Control
ControlControl
ControlCHAVARRIA2011
 
Mesa de ayuda
Mesa de ayudaMesa de ayuda
Mesa de ayudaYarquiri Claudio
 
Semana 2 calidad
Semana 2 calidadSemana 2 calidad
Semana 2 calidadmiltoneduardo14
 
Cualidades de un gerente de proyectos
Cualidades de un gerente de proyectosCualidades de un gerente de proyectos
Cualidades de un gerente de proyectosSkepper63
 
Guía del PMBOK® > Gestión de Costos
Guía del PMBOK® > Gestión de CostosGuía del PMBOK® > Gestión de Costos
Guía del PMBOK® > Gestión de CostosDharma Consulting
 
Negociación en la Gestión de Proyectos-artículo
Negociación en la Gestión de Proyectos-artículoNegociación en la Gestión de Proyectos-artículo
Negociación en la Gestión de Proyectos-artículoDharma Consulting
 
Control del proyecto
Control del proyectoControl del proyecto
Control del proyectoMike Sánche2
 
Principios de la gestión de la calidad iso 9000 2000
Principios de la gestión de la calidad iso 9000 2000Principios de la gestión de la calidad iso 9000 2000
Principios de la gestión de la calidad iso 9000 2000Julio Carreto
 
Control cap-8
Control cap-8Control cap-8
Control cap-8sabri urriola
 
Gestión de proyectos tiempos
Gestión de proyectos tiemposGestión de proyectos tiempos
Gestión de proyectos tiemposToÑo Granda Salvador
 
Carlos iii
Carlos iiiCarlos iii
Carlos iiiMVictoria Landa Fernandez
 
Script
ScriptScript
ScriptSandip S. Patil
 

Más contenido relacionado

La actualidad más candente

Documentacion de un proyecto
Documentacion de un proyectoDocumentacion de un proyecto
Documentacion de un proyectoIngrid OP
 
Seguimiento y control de un proyecto
Seguimiento y control de un proyectoSeguimiento y control de un proyecto
Seguimiento y control de un proyectoDiana De León
 
Método de la ruta crítica
Método de la ruta críticaMétodo de la ruta crítica
Método de la ruta críticaWilmer Yucailla
 
Solución de Conflictos en la Gestión de Proyectos
Solución de Conflictos en la Gestión de ProyectosSolución de Conflictos en la Gestión de Proyectos
Solución de Conflictos en la Gestión de ProyectosDharma Consulting
 
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...BiblogTecarios
 
Documentacion de un SGC
Documentacion de un SGCDocumentacion de un SGC
Documentacion de un SGCAlvaro Diaz
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónMelvin Jáquez
 
Cualidades de un gerente de proyectos
Cualidades de un gerente de proyectosCualidades de un gerente de proyectos
Cualidades de un gerente de proyectosSkepper63
 
Guía del PMBOK® > Gestión de Costos
Guía del PMBOK® > Gestión de CostosGuía del PMBOK® > Gestión de Costos
Guía del PMBOK® > Gestión de CostosDharma Consulting
 
Negociación en la Gestión de Proyectos-artículo
Negociación en la Gestión de Proyectos-artículoNegociación en la Gestión de Proyectos-artículo
Negociación en la Gestión de Proyectos-artículoDharma Consulting
 
Control del proyecto
Control del proyectoControl del proyecto
Control del proyectoMike Sánche2
 
Principios de la gestión de la calidad iso 9000 2000
Principios de la gestión de la calidad iso 9000 2000Principios de la gestión de la calidad iso 9000 2000
Principios de la gestión de la calidad iso 9000 2000Julio Carreto
 

La actualidad más candente (20)

Documentacion de un proyecto
Documentacion de un proyectoDocumentacion de un proyecto
Documentacion de un proyecto
 
Seguimiento y control de un proyecto
Seguimiento y control de un proyectoSeguimiento y control de un proyecto
Seguimiento y control de un proyecto
 
Método de la ruta crítica
Método de la ruta críticaMétodo de la ruta crítica
Método de la ruta crítica
 
Solución de Conflictos en la Gestión de Proyectos
Solución de Conflictos en la Gestión de ProyectosSolución de Conflictos en la Gestión de Proyectos
Solución de Conflictos en la Gestión de Proyectos
 
Fases bpm
Fases bpmFases bpm
Fases bpm
 
Estructura documentacion
Estructura documentacionEstructura documentacion
Estructura documentacion
 
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...
[BiblogTecarios 1.0] Gestión documental en la empresa: organizando el archivo...
 
Documentacion de un SGC
Documentacion de un SGCDocumentacion de un SGC
Documentacion de un SGC
 
Planificación y Control de Proyectos
Planificación y Control de ProyectosPlanificación y Control de Proyectos
Planificación y Control de Proyectos
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de Información
 
Control
ControlControl
Control
 
Mesa de ayuda
Mesa de ayudaMesa de ayuda
Mesa de ayuda
 
Semana 2 calidad
Semana 2 calidadSemana 2 calidad
Semana 2 calidad
 
Cualidades de un gerente de proyectos
Cualidades de un gerente de proyectosCualidades de un gerente de proyectos
Cualidades de un gerente de proyectos
 
Guía del PMBOK® > Gestión de Costos
Guía del PMBOK® > Gestión de CostosGuía del PMBOK® > Gestión de Costos
Guía del PMBOK® > Gestión de Costos
 
Negociación en la Gestión de Proyectos-artículo
Negociación en la Gestión de Proyectos-artículoNegociación en la Gestión de Proyectos-artículo
Negociación en la Gestión de Proyectos-artículo
 
Control del proyecto
Control del proyectoControl del proyecto
Control del proyecto
 
Principios de la gestión de la calidad iso 9000 2000
Principios de la gestión de la calidad iso 9000 2000Principios de la gestión de la calidad iso 9000 2000
Principios de la gestión de la calidad iso 9000 2000
 
Control cap-8
Control cap-8Control cap-8
Control cap-8
 
Gestión de proyectos tiempos
Gestión de proyectos tiemposGestión de proyectos tiempos
Gestión de proyectos tiempos
 

Destacado

Lenguaje script
Lenguaje scriptLenguaje script
Lenguaje scriptChepe Pepe
 
lenguaje de marcas
lenguaje de marcas lenguaje de marcas
lenguaje de marcas Maria Hanse
 
ARQUITECTURA TCP/IP
ARQUITECTURA TCP/IPARQUITECTURA TCP/IP
ARQUITECTURA TCP/IPDaniel Cerda
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSIComdat4
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Lenguaje de marcas html
Lenguaje de marcas htmlLenguaje de marcas html
Lenguaje de marcas htmlrmonago
 
Plan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresPlan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresjavisc04
 

Destacado (15)

Carlos iii
Carlos iiiCarlos iii
Carlos iii
 
Script
ScriptScript
Script
 
Lenguaje script
Lenguaje scriptLenguaje script
Lenguaje script
 
Lenguaje script
Lenguaje scriptLenguaje script
Lenguaje script
 
lenguaje de marcas
lenguaje de marcas lenguaje de marcas
lenguaje de marcas
 
ARQUITECTURA TCP/IP
ARQUITECTURA TCP/IPARQUITECTURA TCP/IP
ARQUITECTURA TCP/IP
 
Modelo Osi
Modelo OsiModelo Osi
Modelo Osi
 
Modelo iso protocolos
Modelo iso protocolosModelo iso protocolos
Modelo iso protocolos
 
Modelo OSI
Modelo OSIModelo OSI
Modelo OSI
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Script
ScriptScript
Script
 
Lenguaje de marcas html
Lenguaje de marcas htmlLenguaje de marcas html
Lenguaje de marcas html
 
Plan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadoresPlan de seguridad para red de ordenadores
Plan de seguridad para red de ordenadores
 
Script format
Script formatScript format
Script format
 
Gauguin
GauguinGauguin
Gauguin
 

Similar a Tema 6 planes de seguridad informatica

Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 
Presentacion2
Presentacion2Presentacion2
Presentacion2AGCR22
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionferd3116
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosAllan Rayo
 
Plan De Contingencia
Plan De ContingenciaPlan De Contingencia
Plan De Contingenciasardellayulia
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadalexia almonte
 
Seguridad de la Informática
Seguridad de la InformáticaSeguridad de la Informática
Seguridad de la InformáticaGuillermo Frs
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
Organización y división de responsabilidades
Organización y división de responsabilidadesOrganización y división de responsabilidades
Organización y división de responsabilidadesrosarioloyde
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaedithua
 

Similar a Tema 6 planes de seguridad informatica (20)

PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputo
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
plan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticosplan-de-contingencia-sistemas-informaticos
plan-de-contingencia-sistemas-informaticos
 
Cicyt
CicytCicyt
Cicyt
 
05 gestionseg
05 gestionseg05 gestionseg
05 gestionseg
 
Plan De Contingencia
Plan De ContingenciaPlan De Contingencia
Plan De Contingencia
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridad
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 
Seguridad de la Informática
Seguridad de la InformáticaSeguridad de la Informática
Seguridad de la Informática
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Organización y división de responsabilidades
Organización y división de responsabilidadesOrganización y división de responsabilidades
Organización y división de responsabilidades
 
Semana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad físicaSemana 11 controles y auditoría de la seguridad física
Semana 11 controles y auditoría de la seguridad física
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 

Más de Mariano Galvez

Temas y estructura para la investigación
Temas y estructura para la investigaciónTemas y estructura para la investigación
Temas y estructura para la investigaciónMariano Galvez
 
Tema 5 criptografia y redes
Tema 5 criptografia y redesTema 5 criptografia y redes
Tema 5 criptografia y redesMariano Galvez
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensaMariano Galvez
 
Tema 2 necesidad de la seguridad
Tema 2 necesidad de la seguridadTema 2 necesidad de la seguridad
Tema 2 necesidad de la seguridadMariano Galvez
 
Tema 1 arquitectura de redes
Tema 1 arquitectura de redesTema 1 arquitectura de redes
Tema 1 arquitectura de redesMariano Galvez
 
java,conceptos basicos
java,conceptos basicosjava,conceptos basicos
java,conceptos basicosMariano Galvez
 
C4 objeto metodos y funciones v2
C4 objeto metodos y funciones v2C4 objeto metodos y funciones v2
C4 objeto metodos y funciones v2Mariano Galvez
 
C3 las clases en java v2
C3 las clases en java v2C3 las clases en java v2
C3 las clases en java v2Mariano Galvez
 
C2 fundamentos de java v2
C2 fundamentos de java v2C2 fundamentos de java v2
C2 fundamentos de java v2Mariano Galvez
 

Más de Mariano Galvez (20)

Temas y estructura para la investigación
Temas y estructura para la investigaciónTemas y estructura para la investigación
Temas y estructura para la investigación
 
Tema 5 criptografia y redes
Tema 5 criptografia y redesTema 5 criptografia y redes
Tema 5 criptografia y redes
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
 
Tema 3 ataques
Tema 3 ataquesTema 3 ataques
Tema 3 ataques
 
Tema 3 ataques
Tema 3 ataquesTema 3 ataques
Tema 3 ataques
 
Tema 2 necesidad de la seguridad
Tema 2 necesidad de la seguridadTema 2 necesidad de la seguridad
Tema 2 necesidad de la seguridad
 
Tema 1 arquitectura de redes
Tema 1 arquitectura de redesTema 1 arquitectura de redes
Tema 1 arquitectura de redes
 
Resumen
ResumenResumen
Resumen
 
java,conceptos basicos
java,conceptos basicosjava,conceptos basicos
java,conceptos basicos
 
C6 java beans v2
C6 java beans v2C6 java beans v2
C6 java beans v2
 
C5 applets v2
C5 applets v2C5 applets v2
C5 applets v2
 
C5 applets v2
C5 applets v2C5 applets v2
C5 applets v2
 
Vaadin
VaadinVaadin
Vaadin
 
Badin
BadinBadin
Badin
 
C4 objeto metodos y funciones v2
C4 objeto metodos y funciones v2C4 objeto metodos y funciones v2
C4 objeto metodos y funciones v2
 
C3 las clases en java v2
C3 las clases en java v2C3 las clases en java v2
C3 las clases en java v2
 
C2 fundamentos de java v2
C2 fundamentos de java v2C2 fundamentos de java v2
C2 fundamentos de java v2
 
C1 java introduccion
C1 java introduccionC1 java introduccion
C1 java introduccion
 
C1 java introduccion
C1 java introduccionC1 java introduccion
C1 java introduccion
 
C1 java introduccion
C1 java introduccionC1 java introduccion
C1 java introduccion
 

Último

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfManuel Molina
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
MODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docxMODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docxRAMON EUSTAQUIO CARO BAYONA
 
EDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docx
EDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docxEDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docx
EDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docxLuisAndersonPachasto
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024gharce
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfFichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfssuser50d1252
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfDaniel Ángel Corral de la Mata, Ph.D.
 
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptxMonitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptxJUANCARLOSAPARCANARE
 
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfFichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfssuser50d1252
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Angélica Soledad Vega Ramírez
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxEribertoPerezRamirez
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas123yudy
 
libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicialLorenaSanchez350426
 

Último (20)

Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdfTarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
Tarea 5_ Foro _Selección de herramientas digitales_Manuel.pdf
 
recursos naturales america cuarto basico
recursos naturales america cuarto basicorecursos naturales america cuarto basico
recursos naturales america cuarto basico
 
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
MODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docxMODELO DE INFORME DE INDAGACION CIENTIFICA .docx
MODELO DE INFORME DE INDAGACION CIENTIFICA .docx
 
EDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docx
EDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docxEDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docx
EDUCACION FISICA 1° PROGRAMACIÓN ANUAL 2023.docx
 
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
 
La luz brilla en la oscuridad. Necesitamos luz
La luz brilla en la oscuridad. Necesitamos luzLa luz brilla en la oscuridad. Necesitamos luz
La luz brilla en la oscuridad. Necesitamos luz
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfFichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
 
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdfTema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
Tema 8.- Gestion de la imagen a traves de la comunicacion de crisis.pdf
 
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptxMonitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
Monitoreo a los coordinadores de las IIEE JEC_28.02.2024.vf.pptx
 
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdfFichas de Matemática TERCERO DE SECUNDARIA.pdf
Fichas de Matemática TERCERO DE SECUNDARIA.pdf
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...
 
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docxPROGRAMACION ANUAL DE MATEMATICA 2024.docx
PROGRAMACION ANUAL DE MATEMATICA 2024.docx
 
periodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicasperiodico mural y sus partes y caracteristicas
periodico mural y sus partes y caracteristicas
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _
 
libro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación iniciallibro para colorear de Peppa pig, ideal para educación inicial
libro para colorear de Peppa pig, ideal para educación inicial
 

Tema 6 planes de seguridad informatica

  • 1. Tema 6: PLANES DE SEGURIDAD DE LA INFORMACIÓN Y PLANES DE CONTINUIDAD DEL NEGOCIO
  • 2. Contenido de la Clase  Introducción  PSI y PCN  Finalidad del PSI y PCN  Alcance del PSI y PCN  Importancia del PSI y PCN  ¿Cuáles son los procedimientos utilizados?
  • 3. ¿Qué es PSI? Un Plan de Seguridad de la información incluye todos los procesos/servicios involucrados en la administración de la seguridad de la Información. Un PSI efectivo considera los impulsadores de seguridad de información de una organización para determinar el alcance y enfoque de los procesos involucrados en la administración de la seguridad.
  • 4. FINALIDAD DEL PSI La finalidad del PSI es proteger la información y los activos de la organización, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organización.
  • 5. ALCANCE DEL PSI El alcance del desarrollo de un PSI es:  Evaluación de riesgos de seguridad a los que está expuesta la información.  Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión o exclusión.  Definición de políticas de seguridad
  • 6. IMPORTANCIA DEL PSI EN LAS EMPRESAS  Permite desarrollar normas y procedimientos que pautan las actividades relacionadas con la seguridad informática y la tecnología de información.  Permite analizar la necesidad de cambios o adaptaciones para cubrir los riesgos existentes.
  • 7. IMPORTANCIA DEL PSI EN LAS EMPRESAS  Hace posible la concienciación de los miembros de la empresa acerca de la importancia y sensibilidad de la información y servicios críticos.  Permite conseguir el compromiso de la institución, agudeza técnica para establecer fallas y deficiencias, y constancia para renovar y actualizar las políticas en función de un ambiente dinámico
  • 8. PCN PCN significa “Plan de Continuidad del Negocio”, es un proceso diseñado para reducir el riesgo de la institución ante una interrupción inesperada de sus funciones / operaciones críticas, independiente de si estas son manuales o automatizadas, las cuales son necesarias para la supervivencia de la organización.
  • 9. FINALIDAD DEL PCN La finalidad del PCN es contar con una estrategia planificada, una serie de procedimientos que faciliten u orienten a tener una solución alternativa que permita restituir rápidamente los servicios de la organización ante la eventualidad de paralización, ya sea de forma parcial o total.
  • 10. ALCANCE DEL PCN El alcance del desarrollo del PCN es:  Análisis de Impacto  Plan de Contingencia  Plan de Recuperación de desastres
  • 11. ANÁLISIS DEL IMPACTO  Es la identificación de los diversos eventos que podrían impactar la continuidad de las operaciones y la organización. Previamente se determina la clasificación de seguridad de activos asociados a la tecnología mediante el análisis de riesgos.
  • 12. PLAN DE CONTINGENCIAS  Del análisis de impacto y riesgos, como medida preventiva se genera el Plan de Contingencias, que es un instrumento sistematizado, que facilita y orienta la consecución de una solución alternativa que permita restituir rápidamente los servicios de la organización.
  • 13. PLAN DE RECUPERACIÓN DE DESASTRES Este plan tiene como objetivo la evaluación de la capacidad de la empresa para restaurar los servicios al nivel acordado de calidad, y de otra parte definir el proceso para desarrollar, comunicar y mantener planes documentados y probados para la continuidad del sistema de información y de las operaciones del negocio.
  • 14. IMPORTANCIA DEL PCN EN LAS EMPRESAS  Garantiza la continuidad del nivel mínimo de servicios necesarios para las operaciones críticas.  Permite que la institución continué funcionando en caso de una interrupción y que sobreviva a una interrupción desastrosa de sus sistemas de información.
  • 15. IMPORTANCIA DEL PCN EN LAS EMPRESAS  Permite recuperar la normalidad de las actividades de la empresa rápidamente.  Identifica las funciones de negocio y los procesos esenciales para la continua y eficiente operación de la empresa.
  • 16. Seguridad Física Los datos deben protegerse aplicando:  Seguridad Lógica  Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite.  Protocolos de autenticación entre cliente y servidor.  Aplicación de normativas.  Seguridad Física  Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc.  Medidas de prevención de riesgos tanto físicos como lógicos a través de una política de seguridad, planes de contingencia, aplicación de normativas, etc.
  • 17. La seguridad Física en entornos de PCs  Anclajes a mesas de trabajo. Temas a tener  Cerraduras. en cuenta en un  Tarjetas con alarma. entorno PC  Etiquetas con adhesivos especiales.  Bloqueo de disquetera.  Protectores de teclado.  Tarjeta de control de acceso al hardware.  Suministro ininterrumpido de corriente.  Toma de tierra.  Eliminación de la estática... etc.
  • 18. Análisis de riesgo: plan estratégico  Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.  Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger.
  • 19. Información del análisis de riesgo  Información que se obtiene en un análisis de riesgo:  Determinación precisa de los recursos sensibles de la organización.  Identificación de las amenazas del sistema.  Identificación de las vulnerabilidades específicas del sistema.  Identificación de posibles pérdidas.  Identificación de la probabilidad de ocurrencia de una pérdida.  Derivación de contramedidas efectivas.  Identificación de herramientas de seguridad.  Implementación de un sistema de seguridad eficiente en costes y tiempo.
  • 20. Ecuación básica del análisis de riesgo ¿B>P∗L?  B: Carga o gasto que significa la prevención de una pérdida específica por vulnerabilidad.  P: Probabilidad de ocurrencia de esa pérdida específica.  L: Impacto total de dicha pérdida específica.
  • 21. ¿Cuándo y cuánto invertir en seguridad? Si B≤P∗L Hay que implementar una medida de prevención. Si B>P∗L No es necesaria una medida de prevención. ... al menos matemáticamente. No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo. Por ejemplo, el ataque a las torres gemelas y sus posteriores consecuencias informáticas no estaba contemplado en ningún plan contingencia...
  • 22. Efectividad del coste de la medida  Las medidas y herramientas de control han de tener menos coste que el valor de las posibles pérdidas y el impacto de éstas si se produce el riesgo temido.  Ley básica: el costo del control ha de ser menor que el activo que protege. Algo totalmente lógico y que tanto los directivos como los responsables de seguridad de la empresa deberán estimar de forma adecuada a su realidad.
  • 23. El factor L en la ecuación de riesgo Factor L (en B ≤ P ∗ L)  El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc.  Siempre habrá una parte subjetiva.  La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada.  En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas.
  • 24. El factor P en la ecuación de riesgo Factor P (en B ≤ P ∗ L)  El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que esté la posible pérdida. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.  Conocido P para un L dado, se obtiene la probabilidad de pérdida relativa de la ocurrencia P∗L que se comparará con B, el peso que supone implantar la medida de prevención respectiva.
  • 25. El factor B en la ecuación de riesgo Factor B (en B ≤ P ∗ L)  Indica qué se requiere para prevenir una pérdida. Es la cantidad de dinero que vamos a disponer para mitigar la posible pérdida.  Ejemplo: la carga de prevención para que un sistema informático minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalación de software y hardware adecuado, un cortafuegos, un sistema de detección de intrusos, una configuración de red segura, una política de seguimiento de accesos y de passwords, personal técnico cualificado, etc. Todo ello importa una cantidad de dinero específica.
  • 26. Cuantificación de la protección ¿B≤P∗L?  ¿Cuánta protección es necesaria?  En nuestro ejemplo: qué configuración de red usar, en qué entorno trabajar, qué tipo de cortafuegos, etc. Eso dependerá del novel de seguridad que nuestra empresa desee o crea oportuno.  ¿De qué forma nos protegeremos?  Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc.  En un sistema informático podemos aplicar medidas físicas, políticas de seguridad de accesos, planes de contingencia y recuperación, cortafuegos, cifrado de la información, firmas, pasarelas seguras, etc.
  • 27. Pasos en un análisis de riesgos 1. Identificación costo 3. Identificar posibles Se posibles pérdidas (L) acciones (gasto) y sus cierra el implicaciones. (B) ciclo Seleccionar acciones a Identificar amenazas implementar. ¿ B ≤ P∗L ? 2. Determinar susceptibilidad. La probabilidad de pérdida (P)
  • 28. Algunas políticas de seguridad • Políticas administrativas – Procedimientos administrativos. • Políticas de control de acceso – Privilegios de acceso del usuario o programa. • Políticas de flujo de información – Normas bajo la cuales se comunican los sujetos dentro del sistema.
  • 29. Aspectos administrativos • Políticas administrativas – Se establecen aquellos procedimientos de carácter administrativo en la organización como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisión sistemática, etc. – Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel.
  • 30. Control de accesos • Políticas de control de acceso – Política de menor privilegio • Acceso estricto a objetos determinados, con mínimos privilegios para los usuarios. – Política de compartición • Acceso de máximo privilegio en el que cada usuario puede acceder a todos los objetos. – Granularidad • Número de objetos accesibles. Se habla entonces de granularidad gruesa y fina.
  • 31. Control de flujo • Políticas de control de flujo – La información a la que se accede, se envía y recibe por: • ¿Canales claros o canales ocultos? ¿Seguros o no? – ¿Qué es lo que hay que potenciar? • ¿La confidencialidad o la integridad? • ¿La disponibilidad? ... ¿El no repudio? • Según cada organización y su entorno de trabajo y servicios ofrecidos, habrá diferencias. En algunos sistemas primarán unos más que otros, en función de cuán secreta es la información que procesan.
  • 32. Modelos de seguridad • Modelo de Bell LaPadula (BLP) – Rígido. Confidencialidad y con autoridad. Se definirán • Modelo de Take-Grant (TG) brevemente – Derechos especiales: tomar y otorgar. en próximas • Modelo de Clark-Wilson (CW) diapositivas – Orientación comercial: integridad. • Modelo de Goguen-Meseguer (GM) – No interferencia entre usuarios. • Modelo de Matriz de Accesos (MA) – Estados y transiciones entre estados • Tipo Graham-Dennig (GD) • Tipo Harrison-Ruzzo-Ullman (HRU)
  • 33. Modelo de Bell LaPadula BLP • La escritura hacia abajo está prohibida. • La lectura hacia arriba está prohibida. • Es el llamado principio de tranquilidad. No lectura hacia arriba Secreto máximo usuario dado de alta con un nivel secreto Secreto No escritura hacia abajo No clasificado
  • 34. Implantación de medidas básicas  Plan de emergencia  Vidas,heridos, activos, evacuación personal.  Inventariar recursos siniestrados.  Evaluar el coste de la inactividad.  Plan de recuperación  Acciones tendentes a volver a la situación que existía antes del desastre.
  • 35. Plan de continuidad  Instalaciones alternativas  Oficina de servicios propia.  Acuerdo con empresa vendedora de HW y SW.  Acuerdo recíproco entre dos o más empresas.  Arranque en frío; sala vacía propia.  Arranque en caliente: centro equipado.  Sistema Up Start: caravana, unidad móvil.  Sistema Hot Start: centro gemelo. Fin del la asignatura

Notas del editor

  1. NOTAS SOBRE EL TEMA:
  2. NOTAS SOBRE EL TEMA:
  3. NOTAS SOBRE EL TEMA:
  4. NOTAS SOBRE EL TEMA:
  5. NOTAS SOBRE EL TEMA:
  6. NOTAS SOBRE EL TEMA:
  7. NOTAS SOBRE EL TEMA:
  8. NOTAS SOBRE EL TEMA:
  9. NOTAS SOBRE EL TEMA:
  10. NOTAS SOBRE EL TEMA:
  11. NOTAS SOBRE EL TEMA:
  12. NOTAS SOBRE EL TEMA:
  13. NOTAS SOBRE EL TEMA:
  14. NOTAS SOBRE EL TEMA:
  15. NOTAS SOBRE EL TEMA:
  16. NOTAS SOBRE EL TEMA:
  17. NOTAS SOBRE EL TEMA:
  18. NOTAS SOBRE EL TEMA:
  19. NOTAS SOBRE EL TEMA:
  20. NOTAS SOBRE EL TEMA: