Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Isms Implementer Course Module 1 Introduction To Information Securityanilchip
This is the Module 1 of ISMS implementation course - is a 3 days hands-on course with case studies. This sample module also has an audio attached to the presentation so while running the file please ensure your audio is switched to ON.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Isms Implementer Course Module 1 Introduction To Information Securityanilchip
This is the Module 1 of ISMS implementation course - is a 3 days hands-on course with case studies. This sample module also has an audio attached to the presentation so while running the file please ensure your audio is switched to ON.
Ce support présente une synthèse des principaux processus de l'IAM :
Les processus de gestion des identités,
Les processus de gestion des habilitations,
Les processus de gestion de la conformité.
Le contenu met en perspective la gestion d'un projet IAM, la gestion de la relation client, la gestion du périmètre avec une approche didactique visant à rendre accessible la compréhension des macro-processus de l'IAM.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Due to the dramatic increase of threats worldwide, there is a need for the companies to find ways how to increase the information security. Therefore, one solution is to implement the ISO/IEC 27001 in order to protect information both internally and externally.
Main points that will be covered are:
• The scope of ISO 27001 & associated other standards references
• Information Security and ISIM Terminologies
• ISIM auditing principles
• Managing audit program & audit activities
Presenter:
Eng. Kefah El-Ghobbas is a specialist in ‘Business Process Excellence' through ‘Business Process Re-engineering' with over 20 years of experience.
Link of the recorded session published on YouTube: https://youtu.be/rTxA8PVULUs
Ce support présente une synthèse des principaux processus de l'IAM :
Les processus de gestion des identités,
Les processus de gestion des habilitations,
Les processus de gestion de la conformité.
Le contenu met en perspective la gestion d'un projet IAM, la gestion de la relation client, la gestion du périmètre avec une approche didactique visant à rendre accessible la compréhension des macro-processus de l'IAM.
Introducción a normas PCI DSS, información estadística de errores comunes, ¿Qué es PCI DSS? ¿Qué es PA DSS?, objetivos y requerimientos, ¿cuándo aplica?, ¿por qué es importante?
Due to the dramatic increase of threats worldwide, there is a need for the companies to find ways how to increase the information security. Therefore, one solution is to implement the ISO/IEC 27001 in order to protect information both internally and externally.
Main points that will be covered are:
• The scope of ISO 27001 & associated other standards references
• Information Security and ISIM Terminologies
• ISIM auditing principles
• Managing audit program & audit activities
Presenter:
Eng. Kefah El-Ghobbas is a specialist in ‘Business Process Excellence' through ‘Business Process Re-engineering' with over 20 years of experience.
Link of the recorded session published on YouTube: https://youtu.be/rTxA8PVULUs
Curso introductorio a la norma PCI-DSS.
Se establecen los conceptos básicos, su estructura, las fases de un proyecto de certificación, la documentación relacionada y las buenas prácticas para garantizar el cumplimiento de la norma.
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
Una manera efectiva que una empresa logre la seguridad deseada es con capacitación. Si todos los integrantes de a organización tienen conciencia de las amenazas presentes, lo más probable que colaboren para que el sistema como tal sea mas seguro.
Este curso está dirigido a cualquier integrante de la misma para que pueda conocer los aspectos básicos de la seguridad informática y en que le impacta.
Curso de Ethical Hacking básico. En el mismo se verán temas como:
Antecedentes
Introducción a la seguridad Informática
Tipo de ataques
Prevención
Escaneos
Conceptos de Pentesting
Escaneos de Vulnerabilidades
Es de vital importancia comprender el proceso básico de la gestión de riesgo, en principio resulta difícil de discernir el flujo completo del desarrollo operativo del mismo.Por lo cual esta presentación tiene como objetivo ofrecer un explicativo didáctico y sencillo de los siguientes conceptos:
- Concepto de riesgo, vulnerabilidades y amenazas
- Evolución de la gestión de riesgo
- Proceso básico de la gestión de riesgo
- Proceso detallado de la gestión de riesgo
- Claves del éxito para la gestión de riesgo
Esta presentación brinda conceptos básicos a las tecnologías SAN y su comparativa con la arquitectura de una LAN, también menciona los dispositivos básicos necesarios como las topologías mas usadas a fin de dar un entendimiento general a la materia.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
1. Curso de CISSP
Parte 1 de 10
Marcos Harasimowicz
marcos.harasimowicz@warps ecurity.com
C I S S P, Q S A , P C I P, I S O 2 7 0 0 1 , L P I , C E H
2. Conceptos Generales
Clasificación de la Información
Estructura del Marco documental corporativo
Roles y Responsabilidades
Administración del Riesgo
Concientización en Seguridad Informática
Administración y Control de Cambios
Política de Contratación Segura
4. Cuando se cumplen los 3 principios, la información se considera segura
5. Confidencialidad
La información debe ser accedida solo por
personal autorizado.
Prevenir el acceso no autorizado a la información o
datos.
6. Integridad
Toda modificación de datos o información es realizada por personas
autorizadas utilizando procedimientos autorizados.
Adicionalmente, los datos/ información deben ser
consistentes, tanto en forma interna como externa.
• Interna: la información es consistente con aquella definida
en todas las entidades existentes.
• Externa: la información es consistente con el mundo real.
7. Disponibilidad
Situación en la que el usuario dispone de la información o
sistemas cuando lo necesita.
La disponibilidad es la proporción de tiempo que un
sistema está en condiciones de funcionamiento.
8. Conceptos AAA
Identificación
Forma en la cual los usuarios comunican su identidad a un sistema. Identificación es un
paso necesario para lograr la autenticación y autorización.
Autenticación
Es el proceso por el cual se prueba que la información de identificación corresponde
con el sujeto que la presenta.
Autorización
Derechos y permisos otorgados a un individuo (o proceso) una vez autenticado, que le
permite acceder a un recurso del sistema.
9. Conceptos AAA
Responsabilidad (accountability)
Habilidad para determinar las acciones individuales de un usuario dentro de un sistema,
y para identificar a dicho usuario. Usualmente este principio esta soportado por logs de
auditoría.
Privacidad
Determina el nivel de confidencialidad y protección de privacidad que se le brinda
a un usuario dentro de un sistema.
No repudio (Validación de identidad)
La utilización de elementos de información única permite validar la autenticidad de una
persona (tales como rasgos fisiológicos, certificados de autenticidad, etc.)
10. Controles de Seguridad
Reducción de los efectos producidos por las amenazas de seguridad (threats) y
vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa.
Estos controles pueden ser:
Preventivos
Detectivos
Correctivos
12. Clasificación de la Información
Justificación:
No toda la información tienen el
mismo valor.
No todo el mundo debe
acceder a toda la información
(need-to-know).
El costo asociado a la
implementación de controles de
seguridad para la protección de la
información es mas elevado cuanto
mas confidencial sea esta.
13. Clasificación de la Información
Beneficios:
Demuestra el compromiso de una
organización hacia la seguridad.
Permite identificar que información es más
importantes.
Soporta los conceptos de confidencialidad,
integridad y disponibilidad.
Ayuda a identificar que controles
corresponden a qué información.
Podría ser requerido por aspectos legales y
regulatorios.
14. Clasificación de la Información
De uso público
Este tipo de información no presenta riesgos
de pérdida de confidencialidad. Por ejemplo:
website.
De uso interno
Información táctica necesaria para el manejo
interno de la compañía (en cualquier nivel
jerárquico) pero que no debe ser accedida
por entes externos a la organización.
Ejemplo: lista de clientes, costos de
productos/ servicios, etc.
15. Clasificación de la Información
• Información Confidencial
Información estratégica de la compañía, el
acceso a la misma se logra solo si existe la
necesidad de conocer (need-to-know).
Ejemplo: planes de marketing, Desarrollo
e Investigación, información de
adquisiciones y ventas a nivel corporativo,
etc.
16. Criterios de Clasificación de la Información
Existe un método para evaluar el nivel de confidencialidad
de la información basado en criterios. Cuantos mas “Si” se
respondan, mas seguridad deberá aplicar a la información:
¿Es valiosa esta información para mí o mis competidores?
¿Sigue esta información teniendo validez?
¿Sigue siendo útil la información análizada?
¿La información posee regulaciones legales y/o
normativos? (datos personales, tarjetas, salud, etc.)
¿La información puede ser pedida por la justicia?
17. Proceso de Clasificación de la Información
Identificación del Administrador, Custodio.
Especificación del Criterio de clasificación.
Clasificación de la Información realizada por el Dueño de
la Información (puede estar sujeta a una verificación).
Especificación y Documentación de Excepciones.
Especificación de procesos de des-clasificación de
información y transferencia de custodia.
20. Declaración de la Alta Gerencia
La alta gerencia debe:
Reconocer la importancia de los recursos informáticos para
el modelo de negocio de la compañía.
Declarar el soporte/apoyo hacia seguridad informática en
todas las áreas de la compañía.
Comprometerse a autorizar y administrar la definición
de normas, estándares y procedimientos.
21. Tipo de Políticas de Seguridad
Políticas Regulatorias
Deben ser implantadas por estar relacionadas con
reglamentaciones o leyes que deben ser cumplidas.
Políticas Informativas
Existen con el solo fin de informar al lector. No contienen
requerimientos específicos.
Políticas Recomendadas
Políticas no obligatorias (legalmente) pero del cumplimiento deseado. El no
cumplimiento de estas podría generar penalidades.
22. Marco documental corporativo
Estándares
Especifícan el uso de una determinada tecnología en forma uniforme.
Normas
Guías de recomendaciones mas flexibles que el estándar.
Baselines
Definen parámetros mínimos de configuración en relación a un
estándard determinado.
Procedimientos
Descripción detallada de tareas a realizar.
24. Roles y Responsabilidades
Gerencia General
Responsable final por la seguridad informática de la compañía.
CISO (Chief Information Security Officer)
Responsable funcional por la seguridad informática de la compañía.
Dueño
Determina el nivel de clasificación de la información.
25. Roles y Responsabilidades
Custodio
Preserva la Confidencialidad, Integridad y Disponibilidad (CID) de la
información.
Usuario/ Operador
Trabaja respetando las políticas, normas y procedimientos definidos.
Auditor
Evalua los controles de seguridad informática y presenta
recomendaciones a la alta gerencia.
26. Dueños del dato
Define el nivel de clasificación que le
corresponde a la información que le
pertenece.
Revisa los niveles de clasificación
periódicamente y realiza los
cambios que sean necesarios dentro
de la información que administra.
Delega la responsabilidad de la
protección de datos al custodio.
27. Custodios
Cuida la información mientras el
dueño de datos no está disponible
Ejecuta backups en forma regular de
la información que custodia.
Ejecuta la restauración de
los datos cuando se
necesita.
Mantiene esos datos respetando la
política de clasificación de
información.
28. Usuarios / Operadores
Deben seguir los procedimientos
operativos definidos en la política de
seguridad y aceptar las guías de
trabajo definidas.
Deben hacer lo que este en sus manos
para proteger la información clasificada.
Deben utilizar los recursos asignados solo
para fines de negocio.
Deben capacitarse en seguridad de la
información. Están en el derecho de exigir
a la empresa material de estudio o
capacitación al respecto
29. Separación de Tareas
El principio de separación de tareas es aquel que
determina que aquellas personas involucradas en la
revisión/ análisis de uso no autorizado de activos no debe
estar en condición de efectuar dicho uso no autorizado.
Quien controla no ejecuta
Nadie debe ser responsable de realizar una tarea que
involucra información sensitiva de principio a fin.
Asimismo, un individuo no puede ser responsable de
aprobar su propio trabajo.
30. Separación de Tareas
Separar:
- Desarrollo de Producción
- Seguridad de Auditoría
- Cuentas a Cobrar de Cuentas a Pagar
- Administración de Claves de Encripción de Cambio de Claves
Conocimiento distribuido
Claves de encripción separadas en dos componentes, cada uno de los
cuales no permiten la obtención del otro
32. Administración del Riesgo
La administración del riesgo es la identificación,
análisis, control y minimización de una amenaza y su
impacto a la organización.
En otras palabras, es reducir el riesgo hasta niveles
de tolerancia aceptables para la organización.
33. Conceptos de Administración del Riesgo
Activo:
Recurso, producto, proceso, dato, todo aquello que tenga un valor para
el negocio de la compañía.
Amenaza:
Presencia de un evento que pueda impactar en forma negativa en la
compañía.
Vulnerabilidad:
Ausencia o debilidad de un control.
34. Principios de la Administración del Riesgo
• Realizar un Análisis de Riesgos, incluye el análisis de
costo-beneficio de los controles implantados y a
implantar.
• Implementar, revisar, operar y mantener
controles de seguridad informática.
35. Conceptos de Administración del Riesgo
La combinación de Activo, Amenaza y
Vulnerabilidad conforman lo que se conoce
como Triple Riesgo en seguridad informática.
36. Conceptos de Administración del Riesgo
Control (implementado)
Su función es reducir el riesgo asociado con una
amenaza o grupo de amenazas.
37. Análisis de Riesgos
• Proceso de Evaluación de Activos.
• Análisis Cuantitativo de Riesgos
• Análisis Cualitativo de Riesgos.
• Selección de Controles.
38. Proceso de Evaluación de Activos
¿Por qué?
Es necesario para realizar el análisis de costo/beneficio.
Puede ser necesario para determinar pólizas o contratos.
Cuestiones legales y regulatorias.
39. Proceso de Evaluación de Activos
¿Cómo?
Costo inicial y de mantenimiento del activo (licenciamiento,
compra, desarrollo y mantenimiento/ soporte).
El valor del activo relacionado con la operación y modelo del
negocio.
El valor del activo establecido por el mercado, y el valor estimado de
la propiedad intelectual.
40. Proceso de Evaluación de Activos
Identificación de Riesgos
• Existencia de una amenaza.
• Posibles consecuencias de la concreción de la amenaza.
• Probabilidad de ocurrencia de la amenaza.
• Nivel de confidencia en la concresión de la amenaza.
41. Análisis de Riesgos
Análisis Cuantitativo de Riesgos.
Asigna valores monetarios (objetivos) a cada componente de la
evaluación de riesgos y a cada potencial pérdida.
Análisis Cualitativo de Riesgos.
Orientado a aspectos soft de la organización: imágen, market share, etc.
Puede ser utilizado en forma genérica.
42. Análisis de Riesgos
Propiedad Cantidad Calidad
Análisis costo/ beneficio Sí No
Costos Hard ($) Sí No
Puede ser Automatizado Sí No
Suposiciones Pocas Muchas
Cálculos complejos Sí No
Información requerida Mucha Poca
Tiempo/ Trabajo involucrado Mucho Poco
Facilidad de comunicación Facíl Difícil
43. Conceptos de Administración del Riesgo
Factor de Exposición (EF)
Porcentaje de pérdida sobre el valor de un activo
generado por la concreción de una amenaza en dicho
activo. Este valor es necesario para el cálculo del SLE.
0% EF 100%
44. Conceptos de Administración del Riesgo
Expectativa de Pérdida Individual (SLE)
Valor monetario asociado a un evento determinado.
Representa la pérdida producida por una amenaza
determinada individual.
SLE = Valor Activo ($) * EF
45. Conceptos de Administración del Riesgo
Tasa de Ocurrencia Anual (ARO)
Representa la frecuencia estimada de ocurrencia de un
evento, dentro del período de un año.
0 ARO < (Krutz)
0 ARO < 1 (Harris)
46. Conceptos de Administración del Riesgo
Expectativa de Pérdida Anualizada (ALE)
Representa la pérdida annual producida por una
amenaza determinada individual.
ALE = SLE * ARO
47. Conceptos de Administración del Riesgo
Activo: data warehouse
Valor: u$ 100.000
Amenaza: Virus.
EF: 25%
SLE: u$ 25.000
Krutz
ARO: 2
ALE = u$ 50.000
Harris
ARO: 1
ALE = u$ 25.000
48. Análisis de Riesgos
Cuantificación del impacto de potenciales amenazas al
negocio
Resultados:
Identificación de riesgos.
Justificación económica de controles (costo/beneficio).
50. Concientización en Seguridad Informática
Comprende la concientización general y colectiva del
personal de una organización respecto de la
importancia de la seguridad informática y de los
controles de seguridad.
Normalmente uno de las áreas de menor
consideración de la cadena de seguridad, es el
eslabón mas débil: el usuario
No es lo mismo que Entrenamiento (Training).
51. Concientización en Seguridad Informática
Beneficios:
Importante reducción de la cantidad de acciones no
autorizadas generadas por el personal de la organización.
Incremento significativo de la efectividad de los controles
implementados.
Ayuda a evitar el fraude, desperdicio y abuso de recursos
informáticos
52. Concientización en Seguridad Informática
Formas de lograr la concientización.
Presentaciones en vivo o grabadas: conferencias, presentaciones,
videos, e-learning, material físico.
Publicación: newsletters, intranet, e-mail, folletos, anuncio verbal.
Incentivos: examen, reconocimientos por cumplir objetivos, certificados
imprimibles, merchandising.
Recordatorios: banners de login, debe ser anual y ente la incorporación a la
empresa
54. Administración y Control de Cambios
¿Por qué es importante para la seguridad informática el Control de Cambios?
Demasiados negocios dependen fuertemente de la integridad de sus datos.
Determinados cambios pueden corromper un modelo de seguridad actual.
La modificación de determinados sistemas puede afectar sus garantías.
Es necesario ya que quien solicita el cambio no necesariamente comprende las
implicancias de seguridad del requerimiento presentado.
El responsable de seguridad informática debe analizar y estimar cuidadosamente el
impacto de la modificación solicitada sobre todo el sistema.
55. Administración y Control de Cambios
El control efectivo de cambios permite descubrir:
Casos de violaciones de políticas internas de la compañía cuando
personal de la misma instala o modifica programas o aplicaciones
sin respetar los canales definidos de notificación.
Posibles fallas de hardware que pueden estar ocasionando corrupción
en los datos existentes
Viruses, worms, código malicioso
La mejor herramienta para controlar la integridad de los cambios
es un FIM (File Integrity Monitoring)
56. Administración y Control de Cambios
Para que la administración y control de cambios
funcione adecuadamente, debe existir:
Copias de todo el software utilizado. Estas sirven como
base para efectuar comparaciones y generar bases de
datos.
Una infraestructura segura. Todo el software debe estar
debidamente protegido. Si un intruso modifica las copias del
software instalado, todo el sistema de control de cambios se
verá afectado.
57. Administración y Control de Cambios
Software de Aplicación y Sistemas Operativos
Upgrades: Service packs, patches, fixes
Cambios a las reglas de firewalls/proxies
ABM de Instancias/usuarios
Actualización de drivers
Hardware
Cambio de discos, periféricos, placas / ABM de equipos
Upgrade de BIOS/firmware
Reinicios programados
58. Administración y Control de Cambios
Políticas, procedimientos y procesos (Recomendaciones)
Desarrollo de políticas que establecen el ambiente de procesamiento
mediante el control de las modificaciones realizadas a este.
Desarrollo de procesos formales de control de cambios que aseguren que solo
modificaciones autorizadas son realizadas, que se efectuan en los tiempos
establecidos de las formas aprobadas.
Implementación inmediata (eficiente) de parches de seguridad, scripts de
comandos y similares de proveedores existentes y organizaciones de control/
seguridad.
Desarrollo de procedimientos de roll-back a versiones anteriores del
software para los casos en que la modificación genere problemas.
60. Política de contratación segura
Background checks/security clearances
La revisión de registros públicos puede proveer información importante a la hora
de tomar la decisión de contratar a alguien.
Estas revisiones permiten verificar que la información provista por el candidato es
verdadera y actualizada. Asimismo, brinda al empleador una primera idea del
nivel de integridad del candidato.
¿Contrataría a alguien que ha mentido en su experiencia o
conocimiento?
61. Background checks
Verifique la siguiente información:
Juicios de despedidos
Historial financiero (Fraudes, cheques rechazados, juicios de embargo)
Al menos verificar la experiencia anterior
Juicios por violencia o acoso
Títulos, cursos y certificados
62. Background checks
¿Quién debe ser evaluado?
Deben ser realizados para toda posición sensitiva en la compañía.
Administradores de Firewalls/Redes:
Administradores de Usuarios
Administradores de Seguridad
Desarrolladores
Administradores de infraestructuras
Administradores de Seguridad
63. Renuncia o Despido
Las Políticas y Procedimientos definidos por RR.HH debe
contemplar al menos:
Notificación formal al usuario de la desvinculación
Deshabilitación / borrado de cuentas del usuarios
Cambios en las cerraduras y códigos de acceso (si aplica)
Modificación de claves de sistemas relacionadas (si aplica)
Nota: pregúntese si el usuario tenia conocimiento de claves de usuarios genéricos.
64. Curso de CISSP
Parte 1 de 10
Marcos Harasimowicz
marcos.harasimowicz@warps ecurity.com
C I S S P, Q S A , P C I P, I S O 2 7 0 0 1 , L P I , C E H
Notas del editor
Scoping es la segentacion que se hace dentro de una empresa para determinar cuales son los sistemas que almacenan datos de tarjetas y que hay que tener en cuenta.