SlideShare una empresa de Scribd logo

Curso de CISSP - Parte 1 de 10

M
Marcos Harasimowicz

Curso Introductorio de CISSP, el mismo forma parte de un combo de 10 cursos conformados por mas de mil slides.

1 de 64
Curso de CISSP Parte 1 de 10 Marcos Harasimowicz marcos.harasimowicz@warps ecurity.com C I S S P, Q S A , P C I P, I S O 2 7 0 0 1 , L P I , C E H
Conceptos Generales Clasificación de la Información Estructura del Marco documental corporativo Roles y Responsabilidades Administración del Riesgo Concientización en Seguridad Informática Administración y Control de Cambios Política de Contratación Segura
Conceptos Generales
Cuando se cumplen los 3 principios, la información se considera segura
Confidencialidad  La información debe ser accedida solo por personal autorizado.  Prevenir el acceso no autorizado a la información o datos.
Integridad Toda modificación de datos o información es realizada por personas autorizadas utilizando procedimientos autorizados. Adicionalmente, los datos/ información deben ser consistentes, tanto en forma interna como externa. • Interna: la información es consistente con aquella definida en todas las entidades existentes. • Externa: la información es consistente con el mundo real.
Disponibilidad  Situación en la que el usuario dispone de la información o sistemas cuando lo necesita.  La disponibilidad es la proporción de tiempo que un sistema está en condiciones de funcionamiento.
Conceptos AAA  Identificación Forma en la cual los usuarios comunican su identidad a un sistema. Identificación es un paso necesario para lograr la autenticación y autorización.  Autenticación Es el proceso por el cual se prueba que la información de identificación corresponde con el sujeto que la presenta.  Autorización Derechos y permisos otorgados a un individuo (o proceso) una vez autenticado, que le permite acceder a un recurso del sistema.
Conceptos AAA  Responsabilidad (accountability) Habilidad para determinar las acciones individuales de un usuario dentro de un sistema, y para identificar a dicho usuario. Usualmente este principio esta soportado por logs de auditoría.  Privacidad Determina el nivel de confidencialidad y protección de privacidad que se le brinda a un usuario dentro de un sistema.  No repudio (Validación de identidad) La utilización de elementos de información única permite validar la autenticidad de una persona (tales como rasgos fisiológicos, certificados de autenticidad, etc.)
Controles de Seguridad Reducción de los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa. Estos controles pueden ser:  Preventivos  Detectivos  Correctivos
Clasificación de la Información
Clasificación de la Información Justificación:  No toda la información tienen el mismo valor.  No todo el mundo debe acceder a toda la información (need-to-know).  El costo asociado a la implementación de controles de seguridad para la protección de la información es mas elevado cuanto mas confidencial sea esta.
Clasificación de la Información Beneficios:  Demuestra el compromiso de una organización hacia la seguridad.  Permite identificar que información es más importantes.  Soporta los conceptos de confidencialidad, integridad y disponibilidad.  Ayuda a identificar que controles corresponden a qué información.  Podría ser requerido por aspectos legales y regulatorios.
Clasificación de la Información  De uso público Este tipo de información no presenta riesgos de pérdida de confidencialidad. Por ejemplo: website.  De uso interno Información táctica necesaria para el manejo interno de la compañía (en cualquier nivel jerárquico) pero que no debe ser accedida por entes externos a la organización. Ejemplo: lista de clientes, costos de productos/ servicios, etc.
Clasificación de la Información • Información Confidencial Información estratégica de la compañía, el acceso a la misma se logra solo si existe la necesidad de conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo e Investigación, información de adquisiciones y ventas a nivel corporativo, etc.
Criterios de Clasificación de la Información Existe un método para evaluar el nivel de confidencialidad de la información basado en criterios. Cuantos mas “Si” se respondan, mas seguridad deberá aplicar a la información:  ¿Es valiosa esta información para mí o mis competidores?  ¿Sigue esta información teniendo validez?  ¿Sigue siendo útil la información análizada?  ¿La información posee regulaciones legales y/o normativos? (datos personales, tarjetas, salud, etc.)  ¿La información puede ser pedida por la justicia?
Proceso de Clasificación de la Información  Identificación del Administrador, Custodio.  Especificación del Criterio de clasificación.  Clasificación de la Información realizada por el Dueño de la Información (puede estar sujeta a una verificación).  Especificación y Documentación de Excepciones.  Especificación de procesos de des-clasificación de información y transferencia de custodia.
Estructura del Marco documental corporativo 18
Implementación de Políticas de Seguridad
Declaración de la Alta Gerencia La alta gerencia debe:  Reconocer la importancia de los recursos informáticos para el modelo de negocio de la compañía.  Declarar el soporte/apoyo hacia seguridad informática en todas las áreas de la compañía.  Comprometerse a autorizar y administrar la definición de normas, estándares y procedimientos.
Tipo de Políticas de Seguridad  Políticas Regulatorias Deben ser implantadas por estar relacionadas con reglamentaciones o leyes que deben ser cumplidas.  Políticas Informativas Existen con el solo fin de informar al lector. No contienen requerimientos específicos.  Políticas Recomendadas Políticas no obligatorias (legalmente) pero del cumplimiento deseado. El no cumplimiento de estas podría generar penalidades.
Marco documental corporativo  Estándares Especifícan el uso de una determinada tecnología en forma uniforme.  Normas Guías de recomendaciones mas flexibles que el estándar.  Baselines Definen parámetros mínimos de configuración en relación a un estándard determinado.  Procedimientos Descripción detallada de tareas a realizar.
Roles y Responsabilidades 23
Roles y Responsabilidades  Gerencia General Responsable final por la seguridad informática de la compañía.  CISO (Chief Information Security Officer) Responsable funcional por la seguridad informática de la compañía.  Dueño Determina el nivel de clasificación de la información.
Roles y Responsabilidades  Custodio Preserva la Confidencialidad, Integridad y Disponibilidad (CID) de la información.  Usuario/ Operador Trabaja respetando las políticas, normas y procedimientos definidos.  Auditor Evalua los controles de seguridad informática y presenta recomendaciones a la alta gerencia.
Dueños del dato  Define el nivel de clasificación que le corresponde a la información que le pertenece.  Revisa los niveles de clasificación periódicamente y realiza los cambios que sean necesarios dentro de la información que administra.  Delega la responsabilidad de la protección de datos al custodio.
Custodios  Cuida la información mientras el dueño de datos no está disponible  Ejecuta backups en forma regular de la información que custodia.  Ejecuta la restauración de los datos cuando se necesita.  Mantiene esos datos respetando la política de clasificación de información.
Usuarios / Operadores  Deben seguir los procedimientos operativos definidos en la política de seguridad y aceptar las guías de trabajo definidas.  Deben hacer lo que este en sus manos para proteger la información clasificada.  Deben utilizar los recursos asignados solo para fines de negocio.  Deben capacitarse en seguridad de la información. Están en el derecho de exigir a la empresa material de estudio o capacitación al respecto
Separación de Tareas El principio de separación de tareas es aquel que determina que aquellas personas involucradas en la revisión/ análisis de uso no autorizado de activos no debe estar en condición de efectuar dicho uso no autorizado. Quien controla no ejecuta Nadie debe ser responsable de realizar una tarea que involucra información sensitiva de principio a fin. Asimismo, un individuo no puede ser responsable de aprobar su propio trabajo.
Separación de Tareas Separar: - Desarrollo de Producción - Seguridad de Auditoría - Cuentas a Cobrar de Cuentas a Pagar - Administración de Claves de Encripción de Cambio de Claves Conocimiento distribuido Claves de encripción separadas en dos componentes, cada uno de los cuales no permiten la obtención del otro
Administración del Riesgo
Administración del Riesgo La administración del riesgo es la identificación, análisis, control y minimización de una amenaza y su impacto a la organización. En otras palabras, es reducir el riesgo hasta niveles de tolerancia aceptables para la organización.
Conceptos de Administración del Riesgo Activo: Recurso, producto, proceso, dato, todo aquello que tenga un valor para el negocio de la compañía. Amenaza: Presencia de un evento que pueda impactar en forma negativa en la compañía. Vulnerabilidad: Ausencia o debilidad de un control.
Principios de la Administración del Riesgo • Realizar un Análisis de Riesgos, incluye el análisis de costo-beneficio de los controles implantados y a implantar. • Implementar, revisar, operar y mantener controles de seguridad informática.
Conceptos de Administración del Riesgo La combinación de Activo, Amenaza y Vulnerabilidad conforman lo que se conoce como Triple Riesgo en seguridad informática.
Conceptos de Administración del Riesgo Control (implementado) Su función es reducir el riesgo asociado con una amenaza o grupo de amenazas.
Análisis de Riesgos • Proceso de Evaluación de Activos. • Análisis Cuantitativo de Riesgos • Análisis Cualitativo de Riesgos. • Selección de Controles.
Proceso de Evaluación de Activos ¿Por qué?  Es necesario para realizar el análisis de costo/beneficio.  Puede ser necesario para determinar pólizas o contratos.  Cuestiones legales y regulatorias.
Proceso de Evaluación de Activos ¿Cómo?  Costo inicial y de mantenimiento del activo (licenciamiento, compra, desarrollo y mantenimiento/ soporte).  El valor del activo relacionado con la operación y modelo del negocio.  El valor del activo establecido por el mercado, y el valor estimado de la propiedad intelectual.
Proceso de Evaluación de Activos Identificación de Riesgos • Existencia de una amenaza. • Posibles consecuencias de la concreción de la amenaza. • Probabilidad de ocurrencia de la amenaza. • Nivel de confidencia en la concresión de la amenaza.
Análisis de Riesgos  Análisis Cuantitativo de Riesgos. Asigna valores monetarios (objetivos) a cada componente de la evaluación de riesgos y a cada potencial pérdida.  Análisis Cualitativo de Riesgos. Orientado a aspectos soft de la organización: imágen, market share, etc. Puede ser utilizado en forma genérica.
Análisis de Riesgos Propiedad Cantidad Calidad Análisis costo/ beneficio Sí No Costos Hard ($) Sí No Puede ser Automatizado Sí No Suposiciones Pocas Muchas Cálculos complejos Sí No Información requerida Mucha Poca Tiempo/ Trabajo involucrado Mucho Poco Facilidad de comunicación Facíl Difícil
Conceptos de Administración del Riesgo Factor de Exposición (EF) Porcentaje de pérdida sobre el valor de un activo generado por la concreción de una amenaza en dicho activo. Este valor es necesario para el cálculo del SLE. 0% EF 100%
Conceptos de Administración del Riesgo Expectativa de Pérdida Individual (SLE) Valor monetario asociado a un evento determinado. Representa la pérdida producida por una amenaza determinada individual. SLE = Valor Activo ($) * EF
Conceptos de Administración del Riesgo Tasa de Ocurrencia Anual (ARO) Representa la frecuencia estimada de ocurrencia de un evento, dentro del período de un año. 0 ARO < (Krutz) 0 ARO < 1 (Harris)
Conceptos de Administración del Riesgo Expectativa de Pérdida Anualizada (ALE) Representa la pérdida annual producida por una amenaza determinada individual. ALE = SLE * ARO
Conceptos de Administración del Riesgo Activo: data warehouse Valor: u$ 100.000 Amenaza: Virus. EF: 25% SLE: u$ 25.000 Krutz ARO: 2 ALE = u$ 50.000 Harris ARO: 1 ALE = u$ 25.000
Análisis de Riesgos Cuantificación del impacto de potenciales amenazas al negocio Resultados: Identificación de riesgos. Justificación económica de controles (costo/beneficio).
Concientización en Seguridad Informática
Concientización en Seguridad Informática  Comprende la concientización general y colectiva del personal de una organización respecto de la importancia de la seguridad informática y de los controles de seguridad.  Normalmente uno de las áreas de menor consideración de la cadena de seguridad, es el eslabón mas débil: el usuario  No es lo mismo que Entrenamiento (Training).
Concientización en Seguridad Informática Beneficios:  Importante reducción de la cantidad de acciones no autorizadas generadas por el personal de la organización.  Incremento significativo de la efectividad de los controles implementados.  Ayuda a evitar el fraude, desperdicio y abuso de recursos informáticos
Concientización en Seguridad Informática Formas de lograr la concientización.  Presentaciones en vivo o grabadas: conferencias, presentaciones, videos, e-learning, material físico.  Publicación: newsletters, intranet, e-mail, folletos, anuncio verbal.  Incentivos: examen, reconocimientos por cumplir objetivos, certificados imprimibles, merchandising.  Recordatorios: banners de login, debe ser anual y ente la incorporación a la empresa
Administración y Control de Cambios 53
Administración y Control de Cambios ¿Por qué es importante para la seguridad informática el Control de Cambios?  Demasiados negocios dependen fuertemente de la integridad de sus datos.  Determinados cambios pueden corromper un modelo de seguridad actual.  La modificación de determinados sistemas puede afectar sus garantías. Es necesario ya que quien solicita el cambio no necesariamente comprende las implicancias de seguridad del requerimiento presentado. El responsable de seguridad informática debe analizar y estimar cuidadosamente el impacto de la modificación solicitada sobre todo el sistema.
Administración y Control de Cambios El control efectivo de cambios permite descubrir:  Casos de violaciones de políticas internas de la compañía cuando personal de la misma instala o modifica programas o aplicaciones sin respetar los canales definidos de notificación.  Posibles fallas de hardware que pueden estar ocasionando corrupción en los datos existentes  Viruses, worms, código malicioso La mejor herramienta para controlar la integridad de los cambios es un FIM (File Integrity Monitoring)
Administración y Control de Cambios Para que la administración y control de cambios funcione adecuadamente, debe existir:  Copias de todo el software utilizado. Estas sirven como base para efectuar comparaciones y generar bases de datos.  Una infraestructura segura. Todo el software debe estar debidamente protegido. Si un intruso modifica las copias del software instalado, todo el sistema de control de cambios se verá afectado.
Administración y Control de Cambios Software de Aplicación y Sistemas Operativos  Upgrades: Service packs, patches, fixes  Cambios a las reglas de firewalls/proxies  ABM de Instancias/usuarios  Actualización de drivers Hardware  Cambio de discos, periféricos, placas / ABM de equipos  Upgrade de BIOS/firmware  Reinicios programados
Administración y Control de Cambios Políticas, procedimientos y procesos (Recomendaciones)  Desarrollo de políticas que establecen el ambiente de procesamiento mediante el control de las modificaciones realizadas a este.  Desarrollo de procesos formales de control de cambios que aseguren que solo modificaciones autorizadas son realizadas, que se efectuan en los tiempos establecidos de las formas aprobadas.  Implementación inmediata (eficiente) de parches de seguridad, scripts de comandos y similares de proveedores existentes y organizaciones de control/ seguridad.  Desarrollo de procedimientos de roll-back a versiones anteriores del software para los casos en que la modificación genere problemas.
Política de contratación segura
Política de contratación segura Background checks/security clearances  La revisión de registros públicos puede proveer información importante a la hora de tomar la decisión de contratar a alguien.  Estas revisiones permiten verificar que la información provista por el candidato es verdadera y actualizada. Asimismo, brinda al empleador una primera idea del nivel de integridad del candidato.  ¿Contrataría a alguien que ha mentido en su experiencia o conocimiento?
Background checks Verifique la siguiente información:  Juicios de despedidos  Historial financiero (Fraudes, cheques rechazados, juicios de embargo)  Al menos verificar la experiencia anterior  Juicios por violencia o acoso  Títulos, cursos y certificados
Background checks ¿Quién debe ser evaluado? Deben ser realizados para toda posición sensitiva en la compañía.  Administradores de Firewalls/Redes:  Administradores de Usuarios  Administradores de Seguridad  Desarrolladores  Administradores de infraestructuras  Administradores de Seguridad
Renuncia o Despido Las Políticas y Procedimientos definidos por RR.HH debe contemplar al menos:  Notificación formal al usuario de la desvinculación  Deshabilitación / borrado de cuentas del usuarios  Cambios en las cerraduras y códigos de acceso (si aplica)  Modificación de claves de sistemas relacionadas (si aplica) Nota: pregúntese si el usuario tenia conocimiento de claves de usuarios genéricos.
Curso de CISSP Parte 1 de 10 Marcos Harasimowicz marcos.harasimowicz@warps ecurity.com C I S S P, Q S A , P C I P, I S O 2 7 0 0 1 , L P I , C E H

Recomendados

Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
Internet Security Auditors
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
Luis Fernando Aguas Bucheli
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
ControlCase
 
Building Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access ManagementBuilding Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access ManagementGovernment Technology Exhibition and Conference
 
Isms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information SecurityIsms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information Security
anilchip
 
Pcidss qr gv3_1
Pcidss qr gv3_1Pcidss qr gv3_1
Pcidss qr gv3_1
leon bonilla
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
Jisc
 

Recomendados

Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
Internet Security Auditors
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
Luis Fernando Aguas Bucheli
 
Webinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdfWebinar-Spanish-PCI DSS-4.0.pdf
Webinar-Spanish-PCI DSS-4.0.pdf
ControlCase
 
Building Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access ManagementBuilding Your Roadmap Sucessful Identity And Access Management
Building Your Roadmap Sucessful Identity And Access ManagementGovernment Technology Exhibition and Conference
 
Isms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information SecurityIsms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information Security
anilchip
 
Pcidss qr gv3_1
Pcidss qr gv3_1Pcidss qr gv3_1
Pcidss qr gv3_1
leon bonilla
 
A practical guides to PCI compliance
A practical guides to PCI complianceA practical guides to PCI compliance
A practical guides to PCI compliance
Jisc
 
Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
Marc Rousselet
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
dlmonline24h
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
Kriangkrai Chumsaktrakul
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
PCI DSS
PCI DSSPCI DSS
PCI DSSDuy Do Phan
 
Iso 17799
Iso 17799Iso 17799
Iso 17799
rcm_007
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Identity & Access Management - Securing Your Data in the 21st Century Enterprise
Identity & Access Management - Securing Your Data in the 21st Century EnterpriseIdentity & Access Management - Securing Your Data in the 21st Century Enterprise
Identity & Access Management - Securing Your Data in the 21st Century Enterprise
Lance Peterman
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
Pranay Kumar
 
3c 2 Information Systems Audit
3c 2 Information Systems Audit3c 2 Information Systems Audit
3c 2 Information Systems AuditRajeswaran Muthu Venkatachalam
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic Management
Marcelo Martins
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaDiscover JKUAT
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001
PECB
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
Adam Miller
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & Compliance
Amazon Web Services
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.ppt
HasnolAhmad2
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security Concepts
Karthikeyan Dhayalan
 
Seguridad
SeguridadSeguridad
Seguridad
VictorAcan
 
Seguridad
SeguridadSeguridad
Seguridad
VictorAcan
 

Más contenido relacionado

La actualidad más candente

Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
Marc Rousselet
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
dlmonline24h
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
Kriangkrai Chumsaktrakul
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
Maria de Lourdes Castillero
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
kyaalena
 
Iso 17799
Iso 17799Iso 17799
Iso 17799
rcm_007
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
Oscar Reyes Hevia
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
Identity & Access Management - Securing Your Data in the 21st Century Enterprise
Identity & Access Management - Securing Your Data in the 21st Century EnterpriseIdentity & Access Management - Securing Your Data in the 21st Century Enterprise
Identity & Access Management - Securing Your Data in the 21st Century Enterprise
Lance Peterman
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
Pranay Kumar
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic Management
Marcelo Martins
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaDiscover JKUAT
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
Vidal Oved
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001
PECB
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
Adam Miller
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & Compliance
Amazon Web Services
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.ppt
HasnolAhmad2
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security Concepts
Karthikeyan Dhayalan
 

La actualidad más candente (20)

Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0Looking Forward to PCI DSS v4.0
Looking Forward to PCI DSS v4.0
 
Los controles de aplicacion
Los controles de aplicacionLos controles de aplicacion
Los controles de aplicacion
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
 
PCI DSS
PCI DSSPCI DSS
PCI DSS
 
Iso 17799
Iso 17799Iso 17799
Iso 17799
 
Introducción a PCI DSS
Introducción a PCI DSSIntroducción a PCI DSS
Introducción a PCI DSS
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
Identity & Access Management - Securing Your Data in the 21st Century Enterprise
Identity & Access Management - Securing Your Data in the 21st Century EnterpriseIdentity & Access Management - Securing Your Data in the 21st Century Enterprise
Identity & Access Management - Securing Your Data in the 21st Century Enterprise
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
 
3c 2 Information Systems Audit
3c 2 Information Systems Audit3c 2 Information Systems Audit
3c 2 Information Systems Audit
 
Information Security Strategic Management
Information Security Strategic ManagementInformation Security Strategic Management
Information Security Strategic Management
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr Wafula
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Security & Compliance
Security & ComplianceSecurity & Compliance
Security & Compliance
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.ppt
 
CISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security ConceptsCISSP - Chapter 1 - Security Concepts
CISSP - Chapter 1 - Security Concepts
 

Similar a Curso de CISSP - Parte 1 de 10

Seguridad
SeguridadSeguridad
Seguridad
VictorAcan
 
Seguridad
SeguridadSeguridad
Seguridad
VictorAcan
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
ebonhoure
 
AUDITORIA DE SEGURIDAD
AUDITORIA DE SEGURIDAD AUDITORIA DE SEGURIDAD
AUDITORIA DE SEGURIDAD
ZBIGNIEWMILKO
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Expo informacion final
Expo informacion finalExpo informacion final
Expo informacion finalcc11203942
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Castillo'S Legal Solutions
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
mrcosmitos
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
JeisonCapera1
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
lizardods
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
AlexisNivia
 

Similar a Curso de CISSP - Parte 1 de 10 (20)

Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
AUDITORIA DE SEGURIDAD
AUDITORIA DE SEGURIDAD AUDITORIA DE SEGURIDAD
AUDITORIA DE SEGURIDAD
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Expo informacion final
Expo informacion finalExpo informacion final
Expo informacion final
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdfpresentacion_tema_iii_y_iv_sgsdp_compressed.pdf
presentacion_tema_iii_y_iv_sgsdp_compressed.pdf
 

Más de Marcos Harasimowicz

La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
Marcos Harasimowicz
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
Marcos Harasimowicz
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
Marcos Harasimowicz
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical Hacking
Marcos Harasimowicz
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
Marcos Harasimowicz
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
Marcos Harasimowicz
 
Introducción a redes SAN
Introducción a redes SANIntroducción a redes SAN
Introducción a redes SAN
Marcos Harasimowicz
 

Más de Marcos Harasimowicz (7)

La norma PCI-DSS
La norma PCI-DSSLa norma PCI-DSS
La norma PCI-DSS
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Curso de Ethical Hacking
Curso de Ethical HackingCurso de Ethical Hacking
Curso de Ethical Hacking
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
Seguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASPSeguridad web para desarrolladores - OWASP
Seguridad web para desarrolladores - OWASP
 
Introducción a redes SAN
Introducción a redes SANIntroducción a redes SAN
Introducción a redes SAN
 

Último

Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
cj3806354
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
vazquezgarciajesusma
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
Emilio Casbas
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
thomasdcroz38
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
Fernando Villares
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
AlejandraCasallas7
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
DiegoCampos433849
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
PABLOCESARGARZONBENI
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
DanielErazoMedina
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
JulyMuoz18
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
jjfch3110
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
JuanPrez962115
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
marianabz2403
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
zoecaicedosalazar
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Telefónica
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
SamuelRamirez83524
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
CrystalRomero18
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
cofferub
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
IsabellaRubio6
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
coloradxmaria
 

Último (20)

Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informática
 
Inteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdfInteligencia Artificial y Ciberseguridad.pdf
Inteligencia Artificial y Ciberseguridad.pdf
 
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdfTRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
TRABAJO DESARROLLO DE HABILIDADES DE PENSAMIENTO.pdf
 
Posnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativaPosnarrativas en la era de la IA generativa
Posnarrativas en la era de la IA generativa
 
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdfDesarrollo de Habilidades de Pensamiento.docx (3).pdf
Desarrollo de Habilidades de Pensamiento.docx (3).pdf
 
Diagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestreDiagrama de flujo - ingenieria de sistemas 5to semestre
Diagrama de flujo - ingenieria de sistemas 5to semestre
 
EduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clasesEduFlex, una educación accesible para quienes no entienden en clases
EduFlex, una educación accesible para quienes no entienden en clases
 
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
ACTIVIDAD DE TECNOLOGÍA AÑO LECTIVO 2024
 
Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5Conceptos Básicos de Programación L.D 10-5
Conceptos Básicos de Programación L.D 10-5
 
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdfTrabajo Coding For kids 1 y 2 grado 9-4.pdf
Trabajo Coding For kids 1 y 2 grado 9-4.pdf
 
Alan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentaciónAlan Turing Vida o biografía resumida como presentación
Alan Turing Vida o biografía resumida como presentación
 
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdfDESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
DESARROLO DE HABILIDADES DE PENSAMIENTO.pdf
 
trabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6ftrabajo de tecnologia, segundo periodo 9-6f
trabajo de tecnologia, segundo periodo 9-6f
 
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...
 
Estructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docxEstructuras básicas_ conceptos de programación (1).docx
Estructuras básicas_ conceptos de programación (1).docx
 
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTALINFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
INFORME DE LAS FICHAS.docx.pdf LICEO DEPARTAMENTAL
 
Conceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación ProyectoConceptos Básicos de Programación Proyecto
Conceptos Básicos de Programación Proyecto
 
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdfEstructuras Básicas_ Conceptos Basicos De Programacion.pdf
Estructuras Básicas_ Conceptos Basicos De Programacion.pdf
 
Conceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. TecnologíaConceptos Básicos de Programación. Tecnología
Conceptos Básicos de Programación. Tecnología
 

Curso de CISSP - Parte 1 de 10

  • 1. Curso de CISSP Parte 1 de 10 Marcos Harasimowicz marcos.harasimowicz@warps ecurity.com C I S S P, Q S A , P C I P, I S O 2 7 0 0 1 , L P I , C E H
  • 2. Conceptos Generales Clasificación de la Información Estructura del Marco documental corporativo Roles y Responsabilidades Administración del Riesgo Concientización en Seguridad Informática Administración y Control de Cambios Política de Contratación Segura
  • 4. Cuando se cumplen los 3 principios, la información se considera segura
  • 5. Confidencialidad  La información debe ser accedida solo por personal autorizado.  Prevenir el acceso no autorizado a la información o datos.
  • 6. Integridad Toda modificación de datos o información es realizada por personas autorizadas utilizando procedimientos autorizados. Adicionalmente, los datos/ información deben ser consistentes, tanto en forma interna como externa. • Interna: la información es consistente con aquella definida en todas las entidades existentes. • Externa: la información es consistente con el mundo real.
  • 7. Disponibilidad  Situación en la que el usuario dispone de la información o sistemas cuando lo necesita.  La disponibilidad es la proporción de tiempo que un sistema está en condiciones de funcionamiento.
  • 8. Conceptos AAA  Identificación Forma en la cual los usuarios comunican su identidad a un sistema. Identificación es un paso necesario para lograr la autenticación y autorización.  Autenticación Es el proceso por el cual se prueba que la información de identificación corresponde con el sujeto que la presenta.  Autorización Derechos y permisos otorgados a un individuo (o proceso) una vez autenticado, que le permite acceder a un recurso del sistema.
  • 9. Conceptos AAA  Responsabilidad (accountability) Habilidad para determinar las acciones individuales de un usuario dentro de un sistema, y para identificar a dicho usuario. Usualmente este principio esta soportado por logs de auditoría.  Privacidad Determina el nivel de confidencialidad y protección de privacidad que se le brinda a un usuario dentro de un sistema.  No repudio (Validación de identidad) La utilización de elementos de información única permite validar la autenticidad de una persona (tales como rasgos fisiológicos, certificados de autenticidad, etc.)
  • 10. Controles de Seguridad Reducción de los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa. Estos controles pueden ser:  Preventivos  Detectivos  Correctivos
  • 12. Clasificación de la Información Justificación:  No toda la información tienen el mismo valor.  No todo el mundo debe acceder a toda la información (need-to-know).  El costo asociado a la implementación de controles de seguridad para la protección de la información es mas elevado cuanto mas confidencial sea esta.
  • 13. Clasificación de la Información Beneficios:  Demuestra el compromiso de una organización hacia la seguridad.  Permite identificar que información es más importantes.  Soporta los conceptos de confidencialidad, integridad y disponibilidad.  Ayuda a identificar que controles corresponden a qué información.  Podría ser requerido por aspectos legales y regulatorios.
  • 14. Clasificación de la Información  De uso público Este tipo de información no presenta riesgos de pérdida de confidencialidad. Por ejemplo: website.  De uso interno Información táctica necesaria para el manejo interno de la compañía (en cualquier nivel jerárquico) pero que no debe ser accedida por entes externos a la organización. Ejemplo: lista de clientes, costos de productos/ servicios, etc.
  • 15. Clasificación de la Información • Información Confidencial Información estratégica de la compañía, el acceso a la misma se logra solo si existe la necesidad de conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo e Investigación, información de adquisiciones y ventas a nivel corporativo, etc.
  • 16. Criterios de Clasificación de la Información Existe un método para evaluar el nivel de confidencialidad de la información basado en criterios. Cuantos mas “Si” se respondan, mas seguridad deberá aplicar a la información:  ¿Es valiosa esta información para mí o mis competidores?  ¿Sigue esta información teniendo validez?  ¿Sigue siendo útil la información análizada?  ¿La información posee regulaciones legales y/o normativos? (datos personales, tarjetas, salud, etc.)  ¿La información puede ser pedida por la justicia?
  • 17. Proceso de Clasificación de la Información  Identificación del Administrador, Custodio.  Especificación del Criterio de clasificación.  Clasificación de la Información realizada por el Dueño de la Información (puede estar sujeta a una verificación).  Especificación y Documentación de Excepciones.  Especificación de procesos de des-clasificación de información y transferencia de custodia.
  • 20. Declaración de la Alta Gerencia La alta gerencia debe:  Reconocer la importancia de los recursos informáticos para el modelo de negocio de la compañía.  Declarar el soporte/apoyo hacia seguridad informática en todas las áreas de la compañía.  Comprometerse a autorizar y administrar la definición de normas, estándares y procedimientos.
  • 21. Tipo de Políticas de Seguridad  Políticas Regulatorias Deben ser implantadas por estar relacionadas con reglamentaciones o leyes que deben ser cumplidas.  Políticas Informativas Existen con el solo fin de informar al lector. No contienen requerimientos específicos.  Políticas Recomendadas Políticas no obligatorias (legalmente) pero del cumplimiento deseado. El no cumplimiento de estas podría generar penalidades.
  • 22. Marco documental corporativo  Estándares Especifícan el uso de una determinada tecnología en forma uniforme.  Normas Guías de recomendaciones mas flexibles que el estándar.  Baselines Definen parámetros mínimos de configuración en relación a un estándard determinado.  Procedimientos Descripción detallada de tareas a realizar.
  • 24. Roles y Responsabilidades  Gerencia General Responsable final por la seguridad informática de la compañía.  CISO (Chief Information Security Officer) Responsable funcional por la seguridad informática de la compañía.  Dueño Determina el nivel de clasificación de la información.
  • 25. Roles y Responsabilidades  Custodio Preserva la Confidencialidad, Integridad y Disponibilidad (CID) de la información.  Usuario/ Operador Trabaja respetando las políticas, normas y procedimientos definidos.  Auditor Evalua los controles de seguridad informática y presenta recomendaciones a la alta gerencia.
  • 26. Dueños del dato  Define el nivel de clasificación que le corresponde a la información que le pertenece.  Revisa los niveles de clasificación periódicamente y realiza los cambios que sean necesarios dentro de la información que administra.  Delega la responsabilidad de la protección de datos al custodio.
  • 27. Custodios  Cuida la información mientras el dueño de datos no está disponible  Ejecuta backups en forma regular de la información que custodia.  Ejecuta la restauración de los datos cuando se necesita.  Mantiene esos datos respetando la política de clasificación de información.
  • 28. Usuarios / Operadores  Deben seguir los procedimientos operativos definidos en la política de seguridad y aceptar las guías de trabajo definidas.  Deben hacer lo que este en sus manos para proteger la información clasificada.  Deben utilizar los recursos asignados solo para fines de negocio.  Deben capacitarse en seguridad de la información. Están en el derecho de exigir a la empresa material de estudio o capacitación al respecto
  • 29. Separación de Tareas El principio de separación de tareas es aquel que determina que aquellas personas involucradas en la revisión/ análisis de uso no autorizado de activos no debe estar en condición de efectuar dicho uso no autorizado. Quien controla no ejecuta Nadie debe ser responsable de realizar una tarea que involucra información sensitiva de principio a fin. Asimismo, un individuo no puede ser responsable de aprobar su propio trabajo.
  • 30. Separación de Tareas Separar: - Desarrollo de Producción - Seguridad de Auditoría - Cuentas a Cobrar de Cuentas a Pagar - Administración de Claves de Encripción de Cambio de Claves Conocimiento distribuido Claves de encripción separadas en dos componentes, cada uno de los cuales no permiten la obtención del otro
  • 32. Administración del Riesgo La administración del riesgo es la identificación, análisis, control y minimización de una amenaza y su impacto a la organización. En otras palabras, es reducir el riesgo hasta niveles de tolerancia aceptables para la organización.
  • 33. Conceptos de Administración del Riesgo Activo: Recurso, producto, proceso, dato, todo aquello que tenga un valor para el negocio de la compañía. Amenaza: Presencia de un evento que pueda impactar en forma negativa en la compañía. Vulnerabilidad: Ausencia o debilidad de un control.
  • 34. Principios de la Administración del Riesgo • Realizar un Análisis de Riesgos, incluye el análisis de costo-beneficio de los controles implantados y a implantar. • Implementar, revisar, operar y mantener controles de seguridad informática.
  • 35. Conceptos de Administración del Riesgo La combinación de Activo, Amenaza y Vulnerabilidad conforman lo que se conoce como Triple Riesgo en seguridad informática.
  • 36. Conceptos de Administración del Riesgo Control (implementado) Su función es reducir el riesgo asociado con una amenaza o grupo de amenazas.
  • 37. Análisis de Riesgos • Proceso de Evaluación de Activos. • Análisis Cuantitativo de Riesgos • Análisis Cualitativo de Riesgos. • Selección de Controles.
  • 38. Proceso de Evaluación de Activos ¿Por qué?  Es necesario para realizar el análisis de costo/beneficio.  Puede ser necesario para determinar pólizas o contratos.  Cuestiones legales y regulatorias.
  • 39. Proceso de Evaluación de Activos ¿Cómo?  Costo inicial y de mantenimiento del activo (licenciamiento, compra, desarrollo y mantenimiento/ soporte).  El valor del activo relacionado con la operación y modelo del negocio.  El valor del activo establecido por el mercado, y el valor estimado de la propiedad intelectual.
  • 40. Proceso de Evaluación de Activos Identificación de Riesgos • Existencia de una amenaza. • Posibles consecuencias de la concreción de la amenaza. • Probabilidad de ocurrencia de la amenaza. • Nivel de confidencia en la concresión de la amenaza.
  • 41. Análisis de Riesgos  Análisis Cuantitativo de Riesgos. Asigna valores monetarios (objetivos) a cada componente de la evaluación de riesgos y a cada potencial pérdida.  Análisis Cualitativo de Riesgos. Orientado a aspectos soft de la organización: imágen, market share, etc. Puede ser utilizado en forma genérica.
  • 42. Análisis de Riesgos Propiedad Cantidad Calidad Análisis costo/ beneficio Sí No Costos Hard ($) Sí No Puede ser Automatizado Sí No Suposiciones Pocas Muchas Cálculos complejos Sí No Información requerida Mucha Poca Tiempo/ Trabajo involucrado Mucho Poco Facilidad de comunicación Facíl Difícil
  • 43. Conceptos de Administración del Riesgo Factor de Exposición (EF) Porcentaje de pérdida sobre el valor de un activo generado por la concreción de una amenaza en dicho activo. Este valor es necesario para el cálculo del SLE. 0% EF 100%
  • 44. Conceptos de Administración del Riesgo Expectativa de Pérdida Individual (SLE) Valor monetario asociado a un evento determinado. Representa la pérdida producida por una amenaza determinada individual. SLE = Valor Activo ($) * EF
  • 45. Conceptos de Administración del Riesgo Tasa de Ocurrencia Anual (ARO) Representa la frecuencia estimada de ocurrencia de un evento, dentro del período de un año. 0 ARO < (Krutz) 0 ARO < 1 (Harris)
  • 46. Conceptos de Administración del Riesgo Expectativa de Pérdida Anualizada (ALE) Representa la pérdida annual producida por una amenaza determinada individual. ALE = SLE * ARO
  • 47. Conceptos de Administración del Riesgo Activo: data warehouse Valor: u$ 100.000 Amenaza: Virus. EF: 25% SLE: u$ 25.000 Krutz ARO: 2 ALE = u$ 50.000 Harris ARO: 1 ALE = u$ 25.000
  • 48. Análisis de Riesgos Cuantificación del impacto de potenciales amenazas al negocio Resultados: Identificación de riesgos. Justificación económica de controles (costo/beneficio).
  • 50. Concientización en Seguridad Informática  Comprende la concientización general y colectiva del personal de una organización respecto de la importancia de la seguridad informática y de los controles de seguridad.  Normalmente uno de las áreas de menor consideración de la cadena de seguridad, es el eslabón mas débil: el usuario  No es lo mismo que Entrenamiento (Training).
  • 51. Concientización en Seguridad Informática Beneficios:  Importante reducción de la cantidad de acciones no autorizadas generadas por el personal de la organización.  Incremento significativo de la efectividad de los controles implementados.  Ayuda a evitar el fraude, desperdicio y abuso de recursos informáticos
  • 52. Concientización en Seguridad Informática Formas de lograr la concientización.  Presentaciones en vivo o grabadas: conferencias, presentaciones, videos, e-learning, material físico.  Publicación: newsletters, intranet, e-mail, folletos, anuncio verbal.  Incentivos: examen, reconocimientos por cumplir objetivos, certificados imprimibles, merchandising.  Recordatorios: banners de login, debe ser anual y ente la incorporación a la empresa
  • 53. Administración y Control de Cambios 53
  • 54. Administración y Control de Cambios ¿Por qué es importante para la seguridad informática el Control de Cambios?  Demasiados negocios dependen fuertemente de la integridad de sus datos.  Determinados cambios pueden corromper un modelo de seguridad actual.  La modificación de determinados sistemas puede afectar sus garantías. Es necesario ya que quien solicita el cambio no necesariamente comprende las implicancias de seguridad del requerimiento presentado. El responsable de seguridad informática debe analizar y estimar cuidadosamente el impacto de la modificación solicitada sobre todo el sistema.
  • 55. Administración y Control de Cambios El control efectivo de cambios permite descubrir:  Casos de violaciones de políticas internas de la compañía cuando personal de la misma instala o modifica programas o aplicaciones sin respetar los canales definidos de notificación.  Posibles fallas de hardware que pueden estar ocasionando corrupción en los datos existentes  Viruses, worms, código malicioso La mejor herramienta para controlar la integridad de los cambios es un FIM (File Integrity Monitoring)
  • 56. Administración y Control de Cambios Para que la administración y control de cambios funcione adecuadamente, debe existir:  Copias de todo el software utilizado. Estas sirven como base para efectuar comparaciones y generar bases de datos.  Una infraestructura segura. Todo el software debe estar debidamente protegido. Si un intruso modifica las copias del software instalado, todo el sistema de control de cambios se verá afectado.
  • 57. Administración y Control de Cambios Software de Aplicación y Sistemas Operativos  Upgrades: Service packs, patches, fixes  Cambios a las reglas de firewalls/proxies  ABM de Instancias/usuarios  Actualización de drivers Hardware  Cambio de discos, periféricos, placas / ABM de equipos  Upgrade de BIOS/firmware  Reinicios programados
  • 58. Administración y Control de Cambios Políticas, procedimientos y procesos (Recomendaciones)  Desarrollo de políticas que establecen el ambiente de procesamiento mediante el control de las modificaciones realizadas a este.  Desarrollo de procesos formales de control de cambios que aseguren que solo modificaciones autorizadas son realizadas, que se efectuan en los tiempos establecidos de las formas aprobadas.  Implementación inmediata (eficiente) de parches de seguridad, scripts de comandos y similares de proveedores existentes y organizaciones de control/ seguridad.  Desarrollo de procedimientos de roll-back a versiones anteriores del software para los casos en que la modificación genere problemas.
  • 60. Política de contratación segura Background checks/security clearances  La revisión de registros públicos puede proveer información importante a la hora de tomar la decisión de contratar a alguien.  Estas revisiones permiten verificar que la información provista por el candidato es verdadera y actualizada. Asimismo, brinda al empleador una primera idea del nivel de integridad del candidato.  ¿Contrataría a alguien que ha mentido en su experiencia o conocimiento?
  • 61. Background checks Verifique la siguiente información:  Juicios de despedidos  Historial financiero (Fraudes, cheques rechazados, juicios de embargo)  Al menos verificar la experiencia anterior  Juicios por violencia o acoso  Títulos, cursos y certificados
  • 62. Background checks ¿Quién debe ser evaluado? Deben ser realizados para toda posición sensitiva en la compañía.  Administradores de Firewalls/Redes:  Administradores de Usuarios  Administradores de Seguridad  Desarrolladores  Administradores de infraestructuras  Administradores de Seguridad
  • 63. Renuncia o Despido Las Políticas y Procedimientos definidos por RR.HH debe contemplar al menos:  Notificación formal al usuario de la desvinculación  Deshabilitación / borrado de cuentas del usuarios  Cambios en las cerraduras y códigos de acceso (si aplica)  Modificación de claves de sistemas relacionadas (si aplica) Nota: pregúntese si el usuario tenia conocimiento de claves de usuarios genéricos.
  • 64. Curso de CISSP Parte 1 de 10 Marcos Harasimowicz marcos.harasimowicz@warps ecurity.com C I S S P, Q S A , P C I P, I S O 2 7 0 0 1 , L P I , C E H

Notas del editor

  1. Scoping es la segentacion que se hace dentro de una empresa para determinar cuales son los sistemas que almacenan datos de tarjetas y que hay que tener en cuenta.
  2. Ver label y fondo dela uto
  3. Ver label y fondo dela uto
  4. Ver label y fondo dela uto
  5. Ver label y fondo dela uto
  6. Ver label y fondo dela uto
  7. Ver label y fondo dela uto
  8. Ver label y fondo dela uto
  9. Ver label y fondo dela uto
  10. Ver label y fondo dela uto
  11. Ver label y fondo dela uto
  12. Ver label y fondo dela uto
  13. Ver label y fondo dela uto
  14. Ver label y fondo dela uto
  15. Ver label y fondo dela uto
  16. Ver label y fondo dela uto
  17. Ver label y fondo dela uto