SlideShare una empresa de Scribd logo

Proyectos de seguridad informática

Raúl Díaz
Raúl Díaz

Esta presentación se realizo en e Congreso Nacional de Ingeniería Informática en Chimbote. El cual describe como se genera el portafolio de proyectos de seguridad informática mediante una evaluación costo beneficio.

Tecnología
1 de 25
Proyectos de Seguridad Informática RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Conceptos previos • Seguridad de la Información: “Preservación de la confidencialidad, integridad y disponibilidad de la información” ISO/IEC 17799:2005 • Amenaza: “Es la indicación de un potencial evento no deseado” Alberts y Dorofee, 2003. “Es una indicación de un evento desagradable con el potencial de causar daño” • Vulnerabilidad: “Es una debilidad del sistema, aplicación o infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema” Peltier, 2001 • Control de seguridad: “Medio de dirigir el riesgo, incluyendo políticas, procedimientos, directrices, practicas o estructuras organizacionales, los cuales pueden ser de naturaleza técnica, de gestión o legal” • Explotación: “Es aprovecharse de una vulnerabilidad” • Revisión de Código: “Es el proceso de revisión que se hayan aplicado controles de seguridad a nivel de código al momento de desarrollar el software o parte” RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Triada de la Seguridad • Disponibilidad: Propiedad de estar accesible y utilizable bajo demanda de una entidad autorizada. ISO/IEC 13335-1:2004 • Integridad: Propiedad de Salvaguardar la exactitud y la totalidad de activos. ISO/IEC 13335-1:2004 • Confidencialidad: Propiedad de que la información no este disponible o divulgada a individuos, entidades o procesos no autorizados. ISO/IEC13335-1:2004 RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Identificar procesos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Identificar objetivos de negocio Identificar procesos Selección de procesos críticos
Identificar procesos críticos Proceso Obj O1 O2 O3 Gestión Comercial X Gestión de TI X Gestión de Cadena de Suministros X X X Gestión de Pagos X Producción X X X RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Análisis y Evaluación del Riesgo Identificación de activos críticos Identificación de amenazas Identificación de vulnerabilidades Identificación del evento de riesgo Probabilidad de ocurrencia Probabilidad de Impacto Calculo del riesgo inherente Identificación de controles actuales Calculo del riesgo residual RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Identificación de activos críticos • Para tasar los activos se tomaran en cuenta las propiedades de la seguridad: integridad, confidencialidad y disponibilidad correspondiente a los procesos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Confidencialidad Integridad Disponibilidad Total BD 2 5 5 4 SW 5 5 4 5 CORE 3 5 5 4 WEB 4 3 2 3 AD 6 3 5 5
Identificaciónde amenazas, vulnerabilidades y su calculo • Se identifican cuales son las potenciales amenazas y vulnerabilidades por cada amenaza. • Se calcula el impacto de la amenaza y la probabilidad de ocurrencia. RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Identificación de Vulnerabilidades Reconocimiento Escaneo Explotación Documentación RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Análisis de Vulnerabilidades vs Pruebas de Penetración Las debilidades se pueden identificar verificando la existencia de controles de seguridad según el marco de la ISO 27001, una evaluación técnica de vulnerabilidades también es input para nuestra matriz de riesgo.
Vulnerabilidades en aplicaciones web RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP OWASP Top 10 – 2007 (Previo) OWASP Top 10 – 2010 (Nuevo) A2 – Fallas de inyección A1 – Inyección A1 – Secuencia de Comandos en Sitios Cruzados (XSS) A2 – Secuencia de Comandos en Sitios Cruzados (XSS) A7 – Pérdida de Autenticación y Gestión de Sesiones A3 – Pérdida de Autenticación y Gestión de Sesiones A4 – Referencia Directa Insegura a Objetos A4 – Referencia Directa Insegura a Objetos A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) <T10 2004 A10 – Administración Insegura de Configuración> A6 – Defectuosa Configuración de Seguridad (NUEVO) A8 – Almacenamiento Criptográfico Inseguro A7 – Almacenamiento Criptográfico Inseguro A10 – Falla de Restricción de Acceso a URL A8 – Falla de Restricción de Acceso a URL A9 – Comunicaciones Inseguras A9 – Protección Insuficiente en la Capa de Transporte <no disponible en T10 2007> A10 – Redirecciones y reenvíos no validados (NUEVO) A3 – Ejecución Maliciosa de Ficheros <removido del T10 2010> A6 – Filtrado de Información y Manejo Inapropiado de Errores <removido del T10 2010>
Matriz para el calculo del riesgo RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Análisis de Riesgo • El objetivo del análisis del riesgo es identificar y calcular los riesgos basados en los activos o procesos críticos, y en calculo de las amenazas y vulnerabilidades. • Se debe utilizar un método de calculo cualitativo o cuantitativo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Amenaza Vul Evento de Riesgo Impacto Prob. de ocurrencia Calculo del Riesgo Priorización A RES MJI XYZ M+ M Extremo 1
Riesgos Comunes • Cambios no autorizados en producción • Explotación de vulnerabilidades técnicas en activos críticos. • Indisponibilidad de activos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Decisión sobre el riesgo Aceptar Transferir Mitigar Evadir RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Tratamiento del Riesgo • Se toma en cuenta el apetito de riesgo de la organización • Se toma acción de los riesgos críticos de la organización, identificando controles con los cuales mitigar, transferir o evadir el mismo. • Se hace una análisis costo beneficio. Se puede utilizar la identificación del ROSI. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Return on Security Investments El ROI mide la forma de medir cualquier inversión en general. ROI [%] = (Beneficio [Dinero] – Costo [Dinero])/Costo [Dinero] ROSI [%]= (Riesgo Disminuido [Dinero] – Costo [Dinero])/Costo [Dinero] RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
TRATAMIENTO DEL RIESGO Proyectos 1 2 3 4 5 6 RESP PR Establecimiento de metodología Sistemas 2 Ethical Hacking Segur. Info 5 Revisión de Código Segur. Info 4 Separación de Ambientes de Producción y Desarrollo Operaciones 2 Implantación de Procesos de Pase a Producción Operaciones 3 Capacitación Sistemas 1 RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Demo • Se tiene una nueva aplicación en la organización, se te pide evaluar el nivel de seguridad de este nuevo activo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
¿Qué vulnerabilidades identificaste? RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
¿Preguntas? rdiaz@enhacke.com raulosj@gmail.com www.rauldiazparra.com RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP

Recomendados

AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
Imperva
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Diseño de sistemas
Diseño de sistemasDiseño de sistemas
Diseño de sistemas
Jenyfer Utitiaja
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Requerimiento funcional y no funcional
Requerimiento funcional y no funcional Requerimiento funcional y no funcional
Requerimiento funcional y no funcional
CristobalFicaV
 
Introduccion a SGSI
Introduccion a SGSIIntroduccion a SGSI
Introduccion a SGSI
Angela Cruz
 

Recomendados

AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
GRECIAGALLEGOS
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
Imperva
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Diseño de sistemas
Diseño de sistemasDiseño de sistemas
Diseño de sistemas
Jenyfer Utitiaja
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Requerimiento funcional y no funcional
Requerimiento funcional y no funcional Requerimiento funcional y no funcional
Requerimiento funcional y no funcional
CristobalFicaV
 
Introduccion a SGSI
Introduccion a SGSIIntroduccion a SGSI
Introduccion a SGSI
Angela Cruz
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
Nanet Martinez
 
Cuadro comparativo sgbd
Cuadro comparativo sgbdCuadro comparativo sgbd
Cuadro comparativo sgbd
Manuel Miranda Buenabad
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
Andres Soto Suarez
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
Drakonis11
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
Fabián Descalzo
 
Guia iso 9126
Guia iso 9126Guia iso 9126
Guia iso 9126
Francisco Marcos Rodriguez Rivera
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software
Camila Arbelaez
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Al Cougar
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de ti
Ruben Robles
 
Diccionario de datos
Diccionario de datosDiccionario de datos
Diccionario de datos
Jorge Garcia
 
Mapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónMapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la información
Yessika Hernández
 
Infosecu
InfosecuInfosecu
Infosecu
Joha2210
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
Integración de Soluciones Estrategicas
 

Más contenido relacionado

La actualidad más candente

Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
Drakonis11
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
Fabián Descalzo
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 
Diccionario de datos
Diccionario de datosDiccionario de datos
Diccionario de datos
Jorge Garcia
 

La actualidad más candente (20)

Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas Estándares de Auditoria en sistemas
Estándares de Auditoria en sistemas
 
Cuadro comparativo sgbd
Cuadro comparativo sgbdCuadro comparativo sgbd
Cuadro comparativo sgbd
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
 
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS
 
Guia iso 9126
Guia iso 9126Guia iso 9126
Guia iso 9126
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software25 Estandares - IEEE Calidad de Software
25 Estandares - IEEE Calidad de Software
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Estandares de ti
Estandares de tiEstandares de ti
Estandares de ti
 
Diccionario de datos
Diccionario de datosDiccionario de datos
Diccionario de datos
 
Mapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la informaciónMapa conceptual de la Seguridad de la información
Mapa conceptual de la Seguridad de la información
 

Similar a Proyectos de seguridad informática

voip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan olivavoip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
VOIP2DAY
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Gabriel Marcos
 

Similar a Proyectos de seguridad informática (20)

Infosecu
InfosecuInfosecu
Infosecu
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Ethical kacking a plataformas Elastix
Ethical kacking a plataformas ElastixEthical kacking a plataformas Elastix
Ethical kacking a plataformas Elastix
 
voip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan olivavoip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
SIS_ESD.pptx
SIS_ESD.pptxSIS_ESD.pptx
SIS_ESD.pptx
 
Bfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosBfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De Servicios
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis Castellanos
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
 
Clase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfClase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdf
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forense
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 

Más de Raúl Díaz

Más de Raúl Díaz (9)

Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
Design thinking y diseño de propuesta de valor
Design thinking y diseño de propuesta de valorDesign thinking y diseño de propuesta de valor
Design thinking y diseño de propuesta de valor
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
La investigacion forense digital como herramienta para la lucha contra el fra...
La investigacion forense digital como herramienta para la lucha contra el fra...La investigacion forense digital como herramienta para la lucha contra el fra...
La investigacion forense digital como herramienta para la lucha contra el fra...
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libre
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Ciberdelitos contra la banca
Ciberdelitos contra la bancaCiberdelitos contra la banca
Ciberdelitos contra la banca
 
Gestión exitosa de proyectos de Ethical Hacking
Gestión exitosa de proyectos de Ethical HackingGestión exitosa de proyectos de Ethical Hacking
Gestión exitosa de proyectos de Ethical Hacking
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (15)

Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 

Proyectos de seguridad informática

  • 4. Conceptos previos • Seguridad de la Información: “Preservación de la confidencialidad, integridad y disponibilidad de la información” ISO/IEC 17799:2005 • Amenaza: “Es la indicación de un potencial evento no deseado” Alberts y Dorofee, 2003. “Es una indicación de un evento desagradable con el potencial de causar daño” • Vulnerabilidad: “Es una debilidad del sistema, aplicación o infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema” Peltier, 2001 • Control de seguridad: “Medio de dirigir el riesgo, incluyendo políticas, procedimientos, directrices, practicas o estructuras organizacionales, los cuales pueden ser de naturaleza técnica, de gestión o legal” • Explotación: “Es aprovecharse de una vulnerabilidad” • Revisión de Código: “Es el proceso de revisión que se hayan aplicado controles de seguridad a nivel de código al momento de desarrollar el software o parte” RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 5. Triada de la Seguridad • Disponibilidad: Propiedad de estar accesible y utilizable bajo demanda de una entidad autorizada. ISO/IEC 13335-1:2004 • Integridad: Propiedad de Salvaguardar la exactitud y la totalidad de activos. ISO/IEC 13335-1:2004 • Confidencialidad: Propiedad de que la información no este disponible o divulgada a individuos, entidades o procesos no autorizados. ISO/IEC13335-1:2004 RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 6. ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 8. Identificar procesos críticos Proceso Obj O1 O2 O3 Gestión Comercial X Gestión de TI X Gestión de Cadena de Suministros X X X Gestión de Pagos X Producción X X X RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 9. ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 10. Análisis y Evaluación del Riesgo Identificación de activos críticos Identificación de amenazas Identificación de vulnerabilidades Identificación del evento de riesgo Probabilidad de ocurrencia Probabilidad de Impacto Calculo del riesgo inherente Identificación de controles actuales Calculo del riesgo residual RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 11. Identificación de activos críticos • Para tasar los activos se tomaran en cuenta las propiedades de la seguridad: integridad, confidencialidad y disponibilidad correspondiente a los procesos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Confidencialidad Integridad Disponibilidad Total BD 2 5 5 4 SW 5 5 4 5 CORE 3 5 5 4 WEB 4 3 2 3 AD 6 3 5 5
  • 12. Identificaciónde amenazas, vulnerabilidades y su calculo • Se identifican cuales son las potenciales amenazas y vulnerabilidades por cada amenaza. • Se calcula el impacto de la amenaza y la probabilidad de ocurrencia. RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 13. Identificación de Vulnerabilidades Reconocimiento Escaneo Explotación Documentación RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Análisis de Vulnerabilidades vs Pruebas de Penetración Las debilidades se pueden identificar verificando la existencia de controles de seguridad según el marco de la ISO 27001, una evaluación técnica de vulnerabilidades también es input para nuestra matriz de riesgo.
  • 14. Vulnerabilidades en aplicaciones web RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP OWASP Top 10 – 2007 (Previo) OWASP Top 10 – 2010 (Nuevo) A2 – Fallas de inyección A1 – Inyección A1 – Secuencia de Comandos en Sitios Cruzados (XSS) A2 – Secuencia de Comandos en Sitios Cruzados (XSS) A7 – Pérdida de Autenticación y Gestión de Sesiones A3 – Pérdida de Autenticación y Gestión de Sesiones A4 – Referencia Directa Insegura a Objetos A4 – Referencia Directa Insegura a Objetos A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) <T10 2004 A10 – Administración Insegura de Configuración> A6 – Defectuosa Configuración de Seguridad (NUEVO) A8 – Almacenamiento Criptográfico Inseguro A7 – Almacenamiento Criptográfico Inseguro A10 – Falla de Restricción de Acceso a URL A8 – Falla de Restricción de Acceso a URL A9 – Comunicaciones Inseguras A9 – Protección Insuficiente en la Capa de Transporte <no disponible en T10 2007> A10 – Redirecciones y reenvíos no validados (NUEVO) A3 – Ejecución Maliciosa de Ficheros <removido del T10 2010> A6 – Filtrado de Información y Manejo Inapropiado de Errores <removido del T10 2010>
  • 15. Matriz para el calculo del riesgo RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 16. Análisis de Riesgo • El objetivo del análisis del riesgo es identificar y calcular los riesgos basados en los activos o procesos críticos, y en calculo de las amenazas y vulnerabilidades. • Se debe utilizar un método de calculo cualitativo o cuantitativo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Amenaza Vul Evento de Riesgo Impacto Prob. de ocurrencia Calculo del Riesgo Priorización A RES MJI XYZ M+ M Extremo 1
  • 17. Riesgos Comunes • Cambios no autorizados en producción • Explotación de vulnerabilidades técnicas en activos críticos. • Indisponibilidad de activos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 18. Decisión sobre el riesgo Aceptar Transferir Mitigar Evadir RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 19. ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 20. Tratamiento del Riesgo • Se toma en cuenta el apetito de riesgo de la organización • Se toma acción de los riesgos críticos de la organización, identificando controles con los cuales mitigar, transferir o evadir el mismo. • Se hace una análisis costo beneficio. Se puede utilizar la identificación del ROSI. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 21. Return on Security Investments El ROI mide la forma de medir cualquier inversión en general. ROI [%] = (Beneficio [Dinero] – Costo [Dinero])/Costo [Dinero] ROSI [%]= (Riesgo Disminuido [Dinero] – Costo [Dinero])/Costo [Dinero] RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 22. TRATAMIENTO DEL RIESGO Proyectos 1 2 3 4 5 6 RESP PR Establecimiento de metodología Sistemas 2 Ethical Hacking Segur. Info 5 Revisión de Código Segur. Info 4 Separación de Ambientes de Producción y Desarrollo Operaciones 2 Implantación de Procesos de Pase a Producción Operaciones 3 Capacitación Sistemas 1 RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 23. Demo • Se tiene una nueva aplicación en la organización, se te pide evaluar el nivel de seguridad de este nuevo activo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP