SlideShare una empresa de Scribd logo

Presentación cumplimiento circular 052 07

Jaime Contreras
Jaime Contreras

Este documento presenta una propuesta para cumplir con la Circular 052-07 sobre seguridad de la información. Incluye una lista de los requisitos de seguridad de acuerdo a la norma y sugiere el uso de productos de seguridad de SUN como firewalls, IPS, gestión de identidades y escritorios virtuales para cumplir con los requisitos. También propone una metodología de dos fases que incluye definir el alcance y objetivos del sistema de gestión de seguridad, evaluar riesgos y situación actual, y desar

1 de 20
Sun Proprietary/Confidential: Need to know Jaime Contreras José Luis Velasco Circular 52
Cumplimiento Circular 052-07 Normativa de obligatorio cumplimiento
Alcance de la Normativa Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Interfaz Sistema Central 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Backbone 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Plataforma Medio de Entrega 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Base de Datos Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Aplicación Medio de Entrega 3.1.16, 3.1.18, 3.4,5.6 3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1, 3.3.1.14, 5.3,5.5 3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1, 5.2,5.4 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Red de Distribución Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7,3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Acceso por parte del Usuario 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.7,3.1.11 3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Requisitos Generales
Alcance de la Normativa
Alcance de la Normativa
Alcance de la Normativa
Alcance de la Normativa
Alcance de la Normativa
Alcance de la Normativa Circular 052-07 ISO27001 Plan Do Check Act 3.4.2, 3.1.20, 4.1.7, 4.4.1. 6.1, 6.10, 6.7, 6.9, 4.5.4, 4.9.4, 4.10, 5.4, 5.6, 6.8, 7.2, 3.2.2,3.3.8, 3.4.4 4.3.2, 4.3.4, 4.4.2, 4.6.1, 6.1, 6.10, 4.5.4, 4.10, 5.4, 5.6, 6.4, 6.8, 7.4,3.2.3 4.1.6, 4.4.4, 4.6.2, 6.1, 4.10, 6.4, 7.3,3.2.4, 3.2.5 4.11, 4.1.6, 3.1.2, 3.1.20, 6.1, 4.10, 5.6, 6.5,6.8, 7.1, 7.5, 7.6, 3.2.1
Por dónde empezar? Sw PGP - Cifrado de mensajes y ar Cifrado de HD VPN logs Firewall logs Windows logs Client & file server logs Windows domain logins Oracle Financial Logs San File Access Logs VLAN Access & Control logs Linux,Unix, Windows OS logs Mainfram e logs Database Logs Web server activity logs Procesos de Admón de Carpetas Compartidas Respaldos de Equipos Móviles DRM Respaldos Centrales Tokens Biométricos Cifrado de mails Transferencia de archivos cifrada Sanitización otección de Hojas de Cálculo Control de Medios Desmontables Monitoreo de Transacciones en Bases d Cifrado de Bases de Datos Control Automatizado de Registros Content management logsWeb cache & proxy logs $$ $
Elementos Requeridos por la Circular Gobierno Controles Tecnología Cultura
Tecnología Sugerida para el Cumplimiento de la 052-07 Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Interfaz Sistema Central 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Backbone 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Plataforma Medio de Entrega 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Base de Datos Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Aplicación Medio de Entrega 3.1.16, 3.1.18, 3.4,5.6 3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1, 3.3.1.14, 5.3,5.5 3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1, 5.2,5.4 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Red de Distribución Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7,3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Acceso por parte del Usuario 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.7,3.1.11 3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Requisitos Generales Firewalls, IPS en Alta Disponibilidad Control de Acceso, IPS Monitoreo de Accesos a BD, Cifrado de Datos Control de Configuración, Gestión de Identidad Firewalls, IPS en Alta Disponibilidad Monitoreo de Patrones de Uso, ILP GestióndeVulnerabilidades, PruebasdePenetración Virtualización de Escritorio
Tecnología SUN para el cumplimiento Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Interfaz Sistema Central 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Backbone 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Plataforma Medio de Entrega 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Base de Datos Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Aplicación Medio de Entrega 3.1.16, 3.1.18, 3.4,5.6 3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1, 3.3.1.14, 5.3,5.5 3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1, 5.2,5.4 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Red de Distribución Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7,3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Acceso por parte del Usuario 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.7,3.1.11 3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Requisitos Generales Firewalls, IPS en Alta Disponibilidad Control de Acceso, IPS Monitoreo de Accesos a BD, Cifrado de Datos Sun Identity Management Sun Virtual Desktop GestióndeVulnerabilidades, PruebasdePenetración Firewalls, IPS en Alta Disponibilidad, Monitoreo de Patrones de Uso, ILP Productos SUN
Metodología Propuesta Cumplimiento de la Norma Estrategia de Gobierno de Seguridad de Información 1 – Definición de Alcance y Objetivos del SGSI – Definición del Modelo de Gobierno – Identificación de Prioridades de Riesgo de Negocio – Evaluación de Instrumentos Legales – Enfoque y Procedimientos para Clasificación de Información Fase 1 Gobierno • 4.11 • 4.1.6 • 3.1.2 • 3.1.20 • 6.1 • 4.10 • 5.6 • 6.5 6.8 • 7.5 • 7.6
Metodología Propuesta Cumplimiento de la Norma Análisis de la Situación Actual y Evaluación de Riesgos2 – Mapeo de Procesos vs. Riesgos de Negocio – Árbol de Activos por medio de entrega – Evaluación de Vulnerabilidades y Riesgos por medio de entrega – Estrategia de Tratamiento de Riesgo por medio de entrega • Identidad y Control de Acceso • Gestión de Riesgos y Vulnerabilidades • Protección de Activos de Información • Operaciones de Seguridad • Continuidad de Negocio • Cultura de Seguridad – Arquitectura de Seguridad Fase 2 Gobierno • 3.4.2 • 3.1.20 • 4.1.7 • 4.4.1 • 6.1 • 6.10 • 6.7 • 6.9 • 4.5.4 • 4.9.4 • 4.10 • 5.4 • 5.6 • 6.8 • 7.2
Metodología Propuesta Cumplimiento de la Norma Ejecución del Plan de Tratamiento de Riesgos 3 – Gestión de Proyectos de Reducción de Riesgo – Diseño de Instrumentos Legales – Implantación de Tratamiento de Riesgo • Identidad y Control de Acceso • Gestión de Riesgos y Vulnerabilidades • Protección de Activos de Información • Operaciones de Seguridad • Continuidad de Negocio • Cultura de Seguridad – Procedimientos de Investigación y Seguimiento de Casos – Servicios Administrados de Seguridad – Entrenamiento, Formación y concientización Fase 3 Mejora Continua • 4.3.2 • 4.3.4 • 4.4.2 • 4.6.1 • 6.1 • 6.10 • 4.5.4 • 4.10 • 5.4 • 5.6 • 6.4 • 6.8 • 7.4
Metodología Propuesta Cumplimiento de la Norma Cumplimiento y Certificación4 – Evaluación de Madurez – Preauditorías – Acompañamiento Fase 4 Cumplimiento • 4.1.6 • 4.4.4 • 4.6.2 • 6.1 • 4.10 • 6.4 • 7.3
 Basado en mejores prácticas internacionales (ISO 27001, COBIT, ITIL)  Enfoca el proyecto desde no solo desde la perspectiva de cumplir con la Circular, sino que permite establecer un modelo de Gobierno de la Seguridad efectivo  Busca tomar ventaja de los controles existentes en el banco, integrándolos en un cuerpo coherente de medidas para control del riesgo  Busca racionalizar la inversión necesaria para cumplir con los requerimientos de la Circular Beneficios de Nuestro Enfoque Porqué SUN?
 Mayor visión y profundidad en la ejecución de los proyectos  Aplicación de la norma aplicados a los objetivos estratégicos y de negocio.  Mayor capacidad para ejecutar exitosamente el proyecto y generar alto impacto en el negocio.  Inversión mejor aprovechada  Mayor certeza y menor tiempo en la ejecución de los proyectos  Aplicación concreta de los estándares y las metodologías al entorno real  Sostenibilidad de los proyectos en el tiempo  Disponibilidad de profesionales especializados a un menor costo  Opciones flexibles de implantación de soluciones tecnológicas de avanzada a menor costo.  Cumplimiento de regulaciones y normativas, con la asesoría y el acompañamiento de especialistas Beneficios para Nuestros Clientes Porqué Sun?
Sun Proprietary/Confidential: Need to know Preguntas ???

Recomendados

ReLOAD: Repository for linked open archival data. Francesca Ricci
ReLOAD: Repository for linked open archival data. Francesca RicciReLOAD: Repository for linked open archival data. Francesca Ricci
ReLOAD: Repository for linked open archival data. Francesca RicciBiblioteca Nacional de España
 
Conceptos generales de ciencia y tecnología
Conceptos generales de ciencia y tecnologíaConceptos generales de ciencia y tecnología
Conceptos generales de ciencia y tecnologíaDiana Marcela Hernandez Amaya
 
Legislación Colombiana y Seguridad de la Información
Legislación Colombiana y Seguridad de la InformaciónLegislación Colombiana y Seguridad de la Información
Legislación Colombiana y Seguridad de la InformaciónDiana Marcela Hernandez Amaya
 
Normatividad Archivística-Unidad No 3
Normatividad Archivística-Unidad No 3Normatividad Archivística-Unidad No 3
Normatividad Archivística-Unidad No 3Diana Marcela Hernandez Amaya
 
Hacia un modelo semántico de gestión de documentos. Julián Moyano Collado
Hacia un modelo semántico de gestión de documentos. Julián Moyano ColladoHacia un modelo semántico de gestión de documentos. Julián Moyano Collado
Hacia un modelo semántico de gestión de documentos. Julián Moyano ColladoBiblioteca Nacional de España
 
Actividad de producir y tramitar documento jt
Actividad de producir y tramitar documento jtActividad de producir y tramitar documento jt
Actividad de producir y tramitar documento jtjohanaterreros1
 
Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...
Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...
Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...Julián Moyano Collado
 
Producir y tramitar documentos parte 2 (2)
Producir y tramitar documentos parte 2 (2)Producir y tramitar documentos parte 2 (2)
Producir y tramitar documentos parte 2 (2)1986johanna
 

Recomendados

ReLOAD: Repository for linked open archival data. Francesca Ricci
ReLOAD: Repository for linked open archival data. Francesca RicciReLOAD: Repository for linked open archival data. Francesca Ricci
ReLOAD: Repository for linked open archival data. Francesca RicciBiblioteca Nacional de España
 
Conceptos generales de ciencia y tecnología
Conceptos generales de ciencia y tecnologíaConceptos generales de ciencia y tecnología
Conceptos generales de ciencia y tecnologíaDiana Marcela Hernandez Amaya
 
Legislación Colombiana y Seguridad de la Información
Legislación Colombiana y Seguridad de la InformaciónLegislación Colombiana y Seguridad de la Información
Legislación Colombiana y Seguridad de la InformaciónDiana Marcela Hernandez Amaya
 
Normatividad Archivística-Unidad No 3
Normatividad Archivística-Unidad No 3Normatividad Archivística-Unidad No 3
Normatividad Archivística-Unidad No 3Diana Marcela Hernandez Amaya
 
Hacia un modelo semántico de gestión de documentos. Julián Moyano Collado
Hacia un modelo semántico de gestión de documentos. Julián Moyano ColladoHacia un modelo semántico de gestión de documentos. Julián Moyano Collado
Hacia un modelo semántico de gestión de documentos. Julián Moyano ColladoBiblioteca Nacional de España
 
Actividad de producir y tramitar documento jt
Actividad de producir y tramitar documento jtActividad de producir y tramitar documento jt
Actividad de producir y tramitar documento jtjohanaterreros1
 
Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...
Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...
Sistemas de Gestión Documental y Sistemas de Acceso Archivístico: ¿fricción o...Julián Moyano Collado
 
Producir y tramitar documentos parte 2 (2)
Producir y tramitar documentos parte 2 (2)Producir y tramitar documentos parte 2 (2)
Producir y tramitar documentos parte 2 (2)1986johanna
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticasToli Rozas Cordova
 
Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Jack Daniel Cáceres Meza
 
Auditoria de sistemas aula virtual
Auditoria de sistemas aula virtualAuditoria de sistemas aula virtual
Auditoria de sistemas aula virtualBrenda Pamela
 
Monografía
MonografíaMonografía
MonografíaAlejandra Martinez
 
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...UNIVERSIDAD MAGISTER (Sitio Oficial)
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en RedesBrian Piragauta
 
Manual de seguridad pre
Manual de seguridad preManual de seguridad pre
Manual de seguridad prejtk1
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)IsJmlr
 
Ficha final ppi
Ficha final ppiFicha final ppi
Ficha final ppithyago1211
 
Informe final
Informe final Informe final
Informe final KIMBERLYPAOLA3
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
sistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfsistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfJhonVenegas4
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Módulo auditoria de sistemas
Módulo auditoria de sistemasMódulo auditoria de sistemas
Módulo auditoria de sistemasoskr12381
 
Que es trazabilidad
Que es trazabilidadQue es trazabilidad
Que es trazabilidadGS1Mx
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 
Metodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesMetodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesJaime Contreras
 
Arquitectura Empresarial - Enterprise Architecture
Arquitectura Empresarial - Enterprise ArchitectureArquitectura Empresarial - Enterprise Architecture
Arquitectura Empresarial - Enterprise ArchitectureJaime Contreras
 

Más contenido relacionado

Similar a Presentación cumplimiento circular 052 07

Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Jack Daniel Cáceres Meza
 
Auditoria de sistemas aula virtual
Auditoria de sistemas aula virtualAuditoria de sistemas aula virtual
Auditoria de sistemas aula virtualBrenda Pamela
 
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...UNIVERSIDAD MAGISTER (Sitio Oficial)
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en RedesBrian Piragauta
 
Manual de seguridad pre
Manual de seguridad preManual de seguridad pre
Manual de seguridad prejtk1
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)IsJmlr
 
Ficha final ppi
Ficha final ppiFicha final ppi
Ficha final ppithyago1211
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
sistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfsistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfJhonVenegas4
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Módulo auditoria de sistemas
Módulo auditoria de sistemasMódulo auditoria de sistemas
Módulo auditoria de sistemasoskr12381
 
Que es trazabilidad
Que es trazabilidadQue es trazabilidad
Que es trazabilidadGS1Mx
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestremcgavilanes
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 

Similar a Presentación cumplimiento circular 052 07 (20)

Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...Estudio detallado de los sistemas de información del SNIP actualmente operand...
Estudio detallado de los sistemas de información del SNIP actualmente operand...
 
Auditoria de sistemas aula virtual
Auditoria de sistemas aula virtualAuditoria de sistemas aula virtual
Auditoria de sistemas aula virtual
 
Monografía
MonografíaMonografía
Monografía
 
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...
Análisis e Implementación de las Mejores Prácticas Basadas en COBIT para la A...
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en Redes
 
Manual de seguridad pre
Manual de seguridad preManual de seguridad pre
Manual de seguridad pre
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)
 
Ficha final ppi
Ficha final ppiFicha final ppi
Ficha final ppi
 
Informe final
Informe final Informe final
Informe final
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto..
 
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
Alexandra caguana i_bimestre_autoevaluaciones y evaluacionestexto.
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
sistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdfsistema COBIT en los procesos de auditoría informática para.pdf
sistema COBIT en los procesos de auditoría informática para.pdf
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Módulo auditoria de sistemas
Módulo auditoria de sistemasMódulo auditoria de sistemas
Módulo auditoria de sistemas
 
Que es trazabilidad
Que es trazabilidadQue es trazabilidad
Que es trazabilidad
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informatica
 
Cristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestreCristina gavilanes auditoriainformatica_1bimestre
Cristina gavilanes auditoriainformatica_1bimestre
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
 

Más de Jaime Contreras

Metodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesMetodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesJaime Contreras
 
Arquitectura Empresarial - Enterprise Architecture
Arquitectura Empresarial - Enterprise ArchitectureArquitectura Empresarial - Enterprise Architecture
Arquitectura Empresarial - Enterprise ArchitectureJaime Contreras
 
Comparativa servidores de aplicaciones jee
Comparativa servidores de aplicaciones jeeComparativa servidores de aplicaciones jee
Comparativa servidores de aplicaciones jeeJaime Contreras
 
Cloud – una buena opción
Cloud – una buena opciónCloud – una buena opción
Cloud – una buena opciónJaime Contreras
 
Evolución TI en el sector de Telecomunicaciones
Evolución TI en el sector de TelecomunicacionesEvolución TI en el sector de Telecomunicaciones
Evolución TI en el sector de TelecomunicacionesJaime Contreras
 
Madurez de gestión de identidades
Madurez de gestión de identidadesMadurez de gestión de identidades
Madurez de gestión de identidadesJaime Contreras
 
Metodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesMetodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesJaime Contreras
 
Estrategia Information lifecycle Management
Estrategia Information lifecycle ManagementEstrategia Information lifecycle Management
Estrategia Information lifecycle ManagementJaime Contreras
 
Virtualizacion de Escritorio
Virtualizacion de EscritorioVirtualizacion de Escritorio
Virtualizacion de EscritorioJaime Contreras
 

Más de Jaime Contreras (10)

Metodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesMetodologia Integracion de Aplicaciones
Metodologia Integracion de Aplicaciones
 
Arquitectura Empresarial - Enterprise Architecture
Arquitectura Empresarial - Enterprise ArchitectureArquitectura Empresarial - Enterprise Architecture
Arquitectura Empresarial - Enterprise Architecture
 
Comparativa servidores de aplicaciones jee
Comparativa servidores de aplicaciones jeeComparativa servidores de aplicaciones jee
Comparativa servidores de aplicaciones jee
 
Cloud – una buena opción
Cloud – una buena opciónCloud – una buena opción
Cloud – una buena opción
 
Evolución TI en el sector de Telecomunicaciones
Evolución TI en el sector de TelecomunicacionesEvolución TI en el sector de Telecomunicaciones
Evolución TI en el sector de Telecomunicaciones
 
Madurez de gestión de identidades
Madurez de gestión de identidadesMadurez de gestión de identidades
Madurez de gestión de identidades
 
Metodologia Integracion de Aplicaciones
Metodologia Integracion de AplicacionesMetodologia Integracion de Aplicaciones
Metodologia Integracion de Aplicaciones
 
Estrategia Information lifecycle Management
Estrategia Information lifecycle ManagementEstrategia Information lifecycle Management
Estrategia Information lifecycle Management
 
Java CAPS
Java CAPSJava CAPS
Java CAPS
 
Virtualizacion de Escritorio
Virtualizacion de EscritorioVirtualizacion de Escritorio
Virtualizacion de Escritorio
 

Presentación cumplimiento circular 052 07

  • 1. Sun Proprietary/Confidential: Need to know Jaime Contreras José Luis Velasco Circular 52
  • 2. Cumplimiento Circular 052-07 Normativa de obligatorio cumplimiento
  • 3. Alcance de la Normativa Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Interfaz Sistema Central 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Backbone 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Plataforma Medio de Entrega 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Base de Datos Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Aplicación Medio de Entrega 3.1.16, 3.1.18, 3.4,5.6 3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1, 3.3.1.14, 5.3,5.5 3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1, 5.2,5.4 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Red de Distribución Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7,3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Acceso por parte del Usuario 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.7,3.1.11 3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Requisitos Generales
  • 5. Alcance de la Normativa
  • 6. Alcance de la Normativa
  • 7. Alcance de la Normativa
  • 8. Alcance de la Normativa
  • 9. Alcance de la Normativa Circular 052-07 ISO27001 Plan Do Check Act 3.4.2, 3.1.20, 4.1.7, 4.4.1. 6.1, 6.10, 6.7, 6.9, 4.5.4, 4.9.4, 4.10, 5.4, 5.6, 6.8, 7.2, 3.2.2,3.3.8, 3.4.4 4.3.2, 4.3.4, 4.4.2, 4.6.1, 6.1, 6.10, 4.5.4, 4.10, 5.4, 5.6, 6.4, 6.8, 7.4,3.2.3 4.1.6, 4.4.4, 4.6.2, 6.1, 4.10, 6.4, 7.3,3.2.4, 3.2.5 4.11, 4.1.6, 3.1.2, 3.1.20, 6.1, 4.10, 5.6, 6.5,6.8, 7.1, 7.5, 7.6, 3.2.1
  • 10. Por dónde empezar? Sw PGP - Cifrado de mensajes y ar Cifrado de HD VPN logs Firewall logs Windows logs Client & file server logs Windows domain logins Oracle Financial Logs San File Access Logs VLAN Access & Control logs Linux,Unix, Windows OS logs Mainfram e logs Database Logs Web server activity logs Procesos de Admón de Carpetas Compartidas Respaldos de Equipos Móviles DRM Respaldos Centrales Tokens Biométricos Cifrado de mails Transferencia de archivos cifrada Sanitización otección de Hojas de Cálculo Control de Medios Desmontables Monitoreo de Transacciones en Bases d Cifrado de Bases de Datos Control Automatizado de Registros Content management logsWeb cache & proxy logs $$ $
  • 11. Elementos Requeridos por la Circular Gobierno Controles Tecnología Cultura
  • 12. Tecnología Sugerida para el Cumplimiento de la 052-07 Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Interfaz Sistema Central 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Backbone 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Plataforma Medio de Entrega 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Base de Datos Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Aplicación Medio de Entrega 3.1.16, 3.1.18, 3.4,5.6 3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1, 3.3.1.14, 5.3,5.5 3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1, 5.2,5.4 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Red de Distribución Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7,3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Acceso por parte del Usuario 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.7,3.1.11 3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Requisitos Generales Firewalls, IPS en Alta Disponibilidad Control de Acceso, IPS Monitoreo de Accesos a BD, Cifrado de Datos Control de Configuración, Gestión de Identidad Firewalls, IPS en Alta Disponibilidad Monitoreo de Patrones de Uso, ILP GestióndeVulnerabilidades, PruebasdePenetración Virtualización de Escritorio
  • 13. Tecnología SUN para el cumplimiento Eficiencia Efectividad Confidencialidad Integridad Disponibilidad Cumplimiento Confiabilidad Interfaz Sistema Central 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Backbone 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Plataforma Medio de Entrega 3.1.16, 3.1.18 3.1.3, 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Base de Datos Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7, 3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Aplicación Medio de Entrega 3.1.16, 3.1.18, 3.4,5.6 3.1.6, 3.1.9,3.1.10, 3.1.12,3.1.1, 3.3.1.14, 5.3,5.5 3.1.15, 3.3.1, 3.3.5, 3.3.6,5.1, 5.2,5.4 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Red de Distribución Medio de Entrega 3.1.16, 3.1.18 3.1.6, 3.1.7,3.1.14 3.1.15, 3.3.1, 3.3.5, 3.3.6 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Acceso por parte del Usuario 3.1.16, 3.1.18 3.1.1, 3.1.6, 3.1.7,3.1.11 3.1.15, 3.3.1, 3.3.5, 3.3.6,3.3.7 3.1.19, 3.3.2, 3.3.3, 3.3.4,3.3.10 3.1.8, 3.1.17,3.3.9 Requisitos Generales Firewalls, IPS en Alta Disponibilidad Control de Acceso, IPS Monitoreo de Accesos a BD, Cifrado de Datos Sun Identity Management Sun Virtual Desktop GestióndeVulnerabilidades, PruebasdePenetración Firewalls, IPS en Alta Disponibilidad, Monitoreo de Patrones de Uso, ILP Productos SUN
  • 14. Metodología Propuesta Cumplimiento de la Norma Estrategia de Gobierno de Seguridad de Información 1 – Definición de Alcance y Objetivos del SGSI – Definición del Modelo de Gobierno – Identificación de Prioridades de Riesgo de Negocio – Evaluación de Instrumentos Legales – Enfoque y Procedimientos para Clasificación de Información Fase 1 Gobierno • 4.11 • 4.1.6 • 3.1.2 • 3.1.20 • 6.1 • 4.10 • 5.6 • 6.5 6.8 • 7.5 • 7.6
  • 15. Metodología Propuesta Cumplimiento de la Norma Análisis de la Situación Actual y Evaluación de Riesgos2 – Mapeo de Procesos vs. Riesgos de Negocio – Árbol de Activos por medio de entrega – Evaluación de Vulnerabilidades y Riesgos por medio de entrega – Estrategia de Tratamiento de Riesgo por medio de entrega • Identidad y Control de Acceso • Gestión de Riesgos y Vulnerabilidades • Protección de Activos de Información • Operaciones de Seguridad • Continuidad de Negocio • Cultura de Seguridad – Arquitectura de Seguridad Fase 2 Gobierno • 3.4.2 • 3.1.20 • 4.1.7 • 4.4.1 • 6.1 • 6.10 • 6.7 • 6.9 • 4.5.4 • 4.9.4 • 4.10 • 5.4 • 5.6 • 6.8 • 7.2
  • 16. Metodología Propuesta Cumplimiento de la Norma Ejecución del Plan de Tratamiento de Riesgos 3 – Gestión de Proyectos de Reducción de Riesgo – Diseño de Instrumentos Legales – Implantación de Tratamiento de Riesgo • Identidad y Control de Acceso • Gestión de Riesgos y Vulnerabilidades • Protección de Activos de Información • Operaciones de Seguridad • Continuidad de Negocio • Cultura de Seguridad – Procedimientos de Investigación y Seguimiento de Casos – Servicios Administrados de Seguridad – Entrenamiento, Formación y concientización Fase 3 Mejora Continua • 4.3.2 • 4.3.4 • 4.4.2 • 4.6.1 • 6.1 • 6.10 • 4.5.4 • 4.10 • 5.4 • 5.6 • 6.4 • 6.8 • 7.4
  • 17. Metodología Propuesta Cumplimiento de la Norma Cumplimiento y Certificación4 – Evaluación de Madurez – Preauditorías – Acompañamiento Fase 4 Cumplimiento • 4.1.6 • 4.4.4 • 4.6.2 • 6.1 • 4.10 • 6.4 • 7.3
  • 18.  Basado en mejores prácticas internacionales (ISO 27001, COBIT, ITIL)  Enfoca el proyecto desde no solo desde la perspectiva de cumplir con la Circular, sino que permite establecer un modelo de Gobierno de la Seguridad efectivo  Busca tomar ventaja de los controles existentes en el banco, integrándolos en un cuerpo coherente de medidas para control del riesgo  Busca racionalizar la inversión necesaria para cumplir con los requerimientos de la Circular Beneficios de Nuestro Enfoque Porqué SUN?
  • 19.  Mayor visión y profundidad en la ejecución de los proyectos  Aplicación de la norma aplicados a los objetivos estratégicos y de negocio.  Mayor capacidad para ejecutar exitosamente el proyecto y generar alto impacto en el negocio.  Inversión mejor aprovechada  Mayor certeza y menor tiempo en la ejecución de los proyectos  Aplicación concreta de los estándares y las metodologías al entorno real  Sostenibilidad de los proyectos en el tiempo  Disponibilidad de profesionales especializados a un menor costo  Opciones flexibles de implantación de soluciones tecnológicas de avanzada a menor costo.  Cumplimiento de regulaciones y normativas, con la asesoría y el acompañamiento de especialistas Beneficios para Nuestros Clientes Porqué Sun?
  • 20. Sun Proprietary/Confidential: Need to know Preguntas ???