SlideShare una empresa de Scribd logo

Proyectos de seguridad informática

Raúl Díaz
Raúl Díaz

Esta presentación se realizo en e Congreso Nacional de Ingeniería Informática en Chimbote. El cual describe como se genera el portafolio de proyectos de seguridad informática mediante una evaluación costo beneficio.

Tecnología
1 de 25
Proyectos de Seguridad Informática RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Conceptos previos • Seguridad de la Información: “Preservación de la confidencialidad, integridad y disponibilidad de la información” ISO/IEC 17799:2005 • Amenaza: “Es la indicación de un potencial evento no deseado” Alberts y Dorofee, 2003. “Es una indicación de un evento desagradable con el potencial de causar daño” • Vulnerabilidad: “Es una debilidad del sistema, aplicación o infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema” Peltier, 2001 • Control de seguridad: “Medio de dirigir el riesgo, incluyendo políticas, procedimientos, directrices, practicas o estructuras organizacionales, los cuales pueden ser de naturaleza técnica, de gestión o legal” • Explotación: “Es aprovecharse de una vulnerabilidad” • Revisión de Código: “Es el proceso de revisión que se hayan aplicado controles de seguridad a nivel de código al momento de desarrollar el software o parte” RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Triada de la Seguridad • Disponibilidad: Propiedad de estar accesible y utilizable bajo demanda de una entidad autorizada. ISO/IEC 13335-1:2004 • Integridad: Propiedad de Salvaguardar la exactitud y la totalidad de activos. ISO/IEC 13335-1:2004 • Confidencialidad: Propiedad de que la información no este disponible o divulgada a individuos, entidades o procesos no autorizados. ISO/IEC13335-1:2004 RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Identificar procesos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Identificar objetivos de negocio Identificar procesos Selección de procesos críticos
Identificar procesos críticos Proceso Obj O1 O2 O3 Gestión Comercial X Gestión de TI X Gestión de Cadena de Suministros X X X Gestión de Pagos X Producción X X X RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Análisis y Evaluación del Riesgo Identificación de activos críticos Identificación de amenazas Identificación de vulnerabilidades Identificación del evento de riesgo Probabilidad de ocurrencia Probabilidad de Impacto Calculo del riesgo inherente Identificación de controles actuales Calculo del riesgo residual RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Identificación de activos críticos • Para tasar los activos se tomaran en cuenta las propiedades de la seguridad: integridad, confidencialidad y disponibilidad correspondiente a los procesos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Confidencialidad Integridad Disponibilidad Total BD 2 5 5 4 SW 5 5 4 5 CORE 3 5 5 4 WEB 4 3 2 3 AD 6 3 5 5
Identificaciónde amenazas, vulnerabilidades y su calculo • Se identifican cuales son las potenciales amenazas y vulnerabilidades por cada amenaza. • Se calcula el impacto de la amenaza y la probabilidad de ocurrencia. RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Identificación de Vulnerabilidades Reconocimiento Escaneo Explotación Documentación RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Análisis de Vulnerabilidades vs Pruebas de Penetración Las debilidades se pueden identificar verificando la existencia de controles de seguridad según el marco de la ISO 27001, una evaluación técnica de vulnerabilidades también es input para nuestra matriz de riesgo.
Vulnerabilidades en aplicaciones web RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP OWASP Top 10 – 2007 (Previo) OWASP Top 10 – 2010 (Nuevo) A2 – Fallas de inyección A1 – Inyección A1 – Secuencia de Comandos en Sitios Cruzados (XSS) A2 – Secuencia de Comandos en Sitios Cruzados (XSS) A7 – Pérdida de Autenticación y Gestión de Sesiones A3 – Pérdida de Autenticación y Gestión de Sesiones A4 – Referencia Directa Insegura a Objetos A4 – Referencia Directa Insegura a Objetos A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) <T10 2004 A10 – Administración Insegura de Configuración> A6 – Defectuosa Configuración de Seguridad (NUEVO) A8 – Almacenamiento Criptográfico Inseguro A7 – Almacenamiento Criptográfico Inseguro A10 – Falla de Restricción de Acceso a URL A8 – Falla de Restricción de Acceso a URL A9 – Comunicaciones Inseguras A9 – Protección Insuficiente en la Capa de Transporte <no disponible en T10 2007> A10 – Redirecciones y reenvíos no validados (NUEVO) A3 – Ejecución Maliciosa de Ficheros <removido del T10 2010> A6 – Filtrado de Información y Manejo Inapropiado de Errores <removido del T10 2010>
Matriz para el calculo del riesgo RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
Análisis de Riesgo • El objetivo del análisis del riesgo es identificar y calcular los riesgos basados en los activos o procesos críticos, y en calculo de las amenazas y vulnerabilidades. • Se debe utilizar un método de calculo cualitativo o cuantitativo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Amenaza Vul Evento de Riesgo Impacto Prob. de ocurrencia Calculo del Riesgo Priorización A RES MJI XYZ M+ M Extremo 1
Riesgos Comunes • Cambios no autorizados en producción • Explotación de vulnerabilidades técnicas en activos críticos. • Indisponibilidad de activos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Decisión sobre el riesgo Aceptar Transferir Mitigar Evadir RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Tratamiento del Riesgo • Se toma en cuenta el apetito de riesgo de la organización • Se toma acción de los riesgos críticos de la organización, identificando controles con los cuales mitigar, transferir o evadir el mismo. • Se hace una análisis costo beneficio. Se puede utilizar la identificación del ROSI. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Return on Security Investments El ROI mide la forma de medir cualquier inversión en general. ROI [%] = (Beneficio [Dinero] – Costo [Dinero])/Costo [Dinero] ROSI [%]= (Riesgo Disminuido [Dinero] – Costo [Dinero])/Costo [Dinero] RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
TRATAMIENTO DEL RIESGO Proyectos 1 2 3 4 5 6 RESP PR Establecimiento de metodología Sistemas 2 Ethical Hacking Segur. Info 5 Revisión de Código Segur. Info 4 Separación de Ambientes de Producción y Desarrollo Operaciones 2 Implantación de Procesos de Pase a Producción Operaciones 3 Capacitación Sistemas 1 RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
Demo • Se tiene una nueva aplicación en la organización, se te pide evaluar el nivel de seguridad de este nuevo activo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
¿Qué vulnerabilidades identificaste? RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
¿Preguntas? rdiaz@enhacke.com raulosj@gmail.com www.rauldiazparra.com RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP

Recomendados

Banco de temas de tesis para la carrera de ing. de sistemas
Banco de temas de tesis para la carrera de ing. de sistemasBanco de temas de tesis para la carrera de ing. de sistemas
Banco de temas de tesis para la carrera de ing. de sistemasbrccq
 
Unidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosUnidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosSergio Sanchez
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos InformáticosMeztli Valeriano Orozco
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Pruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionPruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionAbner Gerardo
 
Proyecto final de software
Proyecto final de softwareProyecto final de software
Proyecto final de softwareJuan Olivos Cayetano
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 

Recomendados

Banco de temas de tesis para la carrera de ing. de sistemas
Banco de temas de tesis para la carrera de ing. de sistemasBanco de temas de tesis para la carrera de ing. de sistemas
Banco de temas de tesis para la carrera de ing. de sistemasbrccq
 
Unidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosUnidad 1.3 Analisis De Requerimientos
Unidad 1.3 Analisis De RequerimientosSergio Sanchez
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos InformáticosMeztli Valeriano Orozco
 
Alcance de la auditoría informática
Alcance de la auditoría informáticaAlcance de la auditoría informática
Alcance de la auditoría informáticaNatii Rossales Hidrobo
 
Pruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionPruebas de sistemas y aceptacion
Pruebas de sistemas y aceptacionAbner Gerardo
 
Proyecto final de software
Proyecto final de softwareProyecto final de software
Proyecto final de softwareJuan Olivos Cayetano
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Metricas de calidad
Metricas de calidadMetricas de calidad
Metricas de calidadGuillermo Guerrero Bernal
 
Analisis y diseño, Ejemplo de Sistemas de informacion
Analisis y diseño, Ejemplo de Sistemas de informacion Analisis y diseño, Ejemplo de Sistemas de informacion
Analisis y diseño, Ejemplo de Sistemas de informacion Katherin Gudiño
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Ejemplos de herramientas case más utilizadas
Ejemplos de herramientas case más utilizadasEjemplos de herramientas case más utilizadas
Ejemplos de herramientas case más utilizadasKenny Cash
 
DISEÑO DE LA ARQUITECTURA DEL SOFTWARE
DISEÑO DE LA ARQUITECTURA DEL SOFTWAREDISEÑO DE LA ARQUITECTURA DEL SOFTWARE
DISEÑO DE LA ARQUITECTURA DEL SOFTWAREjose_rob
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
diseño lógico y diseño físico
diseño lógico y diseño físicodiseño lógico y diseño físico
diseño lógico y diseño físicoerrroman
 
Entrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemasEntrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemasmodayestilo
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software jose_macias
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionJose Diaz Silva
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaFernando Alfonso Casas De la Torre
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosJack Daniel Cáceres Meza
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de softwareGuillermo Lemus
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicOriol Recasens
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Infosecu
InfosecuInfosecu
InfosecuJoha2210
 

Más contenido relacionado

La actualidad más candente

Analisis y diseño, Ejemplo de Sistemas de informacion
Analisis y diseño, Ejemplo de Sistemas de informacion Analisis y diseño, Ejemplo de Sistemas de informacion
Analisis y diseño, Ejemplo de Sistemas de informacion Katherin Gudiño
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Ejemplos de herramientas case más utilizadas
Ejemplos de herramientas case más utilizadasEjemplos de herramientas case más utilizadas
Ejemplos de herramientas case más utilizadasKenny Cash
 
DISEÑO DE LA ARQUITECTURA DEL SOFTWARE
DISEÑO DE LA ARQUITECTURA DEL SOFTWAREDISEÑO DE LA ARQUITECTURA DEL SOFTWARE
DISEÑO DE LA ARQUITECTURA DEL SOFTWAREjose_rob
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAngel Reyes
 
diseño lógico y diseño físico
diseño lógico y diseño físicodiseño lógico y diseño físico
diseño lógico y diseño físicoerrroman
 
Entrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemasEntrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemasmodayestilo
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software jose_macias
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionJose Diaz Silva
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareLorena Quiñónez
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de softwareGuillermo Lemus
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicOriol Recasens
 

La actualidad más candente (20)

Metricas de calidad
Metricas de calidadMetricas de calidad
Metricas de calidad
 
Analisis y diseño, Ejemplo de Sistemas de informacion
Analisis y diseño, Ejemplo de Sistemas de informacion Analisis y diseño, Ejemplo de Sistemas de informacion
Analisis y diseño, Ejemplo de Sistemas de informacion
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Ejemplos de herramientas case más utilizadas
Ejemplos de herramientas case más utilizadasEjemplos de herramientas case más utilizadas
Ejemplos de herramientas case más utilizadas
 
DISEÑO DE LA ARQUITECTURA DEL SOFTWARE
DISEÑO DE LA ARQUITECTURA DEL SOFTWAREDISEÑO DE LA ARQUITECTURA DEL SOFTWARE
DISEÑO DE LA ARQUITECTURA DEL SOFTWARE
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de softwareAnálisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
 
diseño lógico y diseño físico
diseño lógico y diseño físicodiseño lógico y diseño físico
diseño lógico y diseño físico
 
Entrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemasEntrevista y encuesta para analisis y diseño de sistemas
Entrevista y encuesta para analisis y diseño de sistemas
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Metricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccionMetricas del proyecto de Software - introduccion
Metricas del proyecto de Software - introduccion
 
Las 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad InformaticaLas 10 leyes de la Seguridad Informatica
Las 10 leyes de la Seguridad Informatica
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
Nist
NistNist
Nist
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Métricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de softwareMétricas de Proceso y proyecto de software
Métricas de Proceso y proyecto de software
 
Tipos de pruebas de software
Tipos de pruebas de softwareTipos de pruebas de software
Tipos de pruebas de software
 
Propuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN TicPropuesta De Empresa. Estructura Y OrganizacióN Tic
Propuesta De Empresa. Estructura Y OrganizacióN Tic
 

Similar a Proyectos de seguridad informática

Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Ethical kacking a plataformas Elastix
Ethical kacking a plataformas ElastixEthical kacking a plataformas Elastix
Ethical kacking a plataformas ElastixOpenDireito
 
voip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan olivavoip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan olivaVOIP2DAY
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
Bfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosBfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosJorge García
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informaticaguest8b9e6c
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfssuser44ff1b
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Clase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfClase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfssuser44ff1b
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseRaúl Díaz
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 

Similar a Proyectos de seguridad informática (20)

Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Infosecu
InfosecuInfosecu
Infosecu
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Ethical kacking a plataformas Elastix
Ethical kacking a plataformas ElastixEthical kacking a plataformas Elastix
Ethical kacking a plataformas Elastix
 
voip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan olivavoip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
voip2day 2012 - Ethical hacking a plataformas elastix by juan oliva
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
SIS_ESD.pptx
SIS_ESD.pptxSIS_ESD.pptx
SIS_ESD.pptx
 
Bfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De ServiciosBfc Consulting Portafolio De Servicios
Bfc Consulting Portafolio De Servicios
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis Castellanos
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
 
Clase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdfClase Gestión de Incidentes.pdf
Clase Gestión de Incidentes.pdf
 
Deteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forenseDeteccion del fraude informático mediante tecnicas de computo forense
Deteccion del fraude informático mediante tecnicas de computo forense
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
 

Más de Raúl Díaz

Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Raúl Díaz
 
Design thinking y diseño de propuesta de valor
Design thinking y diseño de propuesta de valorDesign thinking y diseño de propuesta de valor
Design thinking y diseño de propuesta de valorRaúl Díaz
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroRaúl Díaz
 
La investigacion forense digital como herramienta para la lucha contra el fra...
La investigacion forense digital como herramienta para la lucha contra el fra...La investigacion forense digital como herramienta para la lucha contra el fra...
La investigacion forense digital como herramienta para la lucha contra el fra...Raúl Díaz
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Raúl Díaz
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreRaúl Díaz
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Raúl Díaz
 
Ciberdelitos contra la banca
Ciberdelitos contra la bancaCiberdelitos contra la banca
Ciberdelitos contra la bancaRaúl Díaz
 
Gestión exitosa de proyectos de Ethical Hacking
Gestión exitosa de proyectos de Ethical HackingGestión exitosa de proyectos de Ethical Hacking
Gestión exitosa de proyectos de Ethical HackingRaúl Díaz
 

Más de Raúl Díaz (9)

Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017 Las nuevas ciberamenazas que enfrentamos el 2017
Las nuevas ciberamenazas que enfrentamos el 2017
 
Design thinking y diseño de propuesta de valor
Design thinking y diseño de propuesta de valorDesign thinking y diseño de propuesta de valor
Design thinking y diseño de propuesta de valor
 
Las 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financieroLas 5 principales ciberamenazas en el sector financiero
Las 5 principales ciberamenazas en el sector financiero
 
La investigacion forense digital como herramienta para la lucha contra el fra...
La investigacion forense digital como herramienta para la lucha contra el fra...La investigacion forense digital como herramienta para la lucha contra el fra...
La investigacion forense digital como herramienta para la lucha contra el fra...
 
Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad Emprendimiento tecnológico y ciberseguridad
Emprendimiento tecnológico y ciberseguridad
 
Ciberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libreCiberseguridad en dispositivos móviles usando software libre
Ciberseguridad en dispositivos móviles usando software libre
 
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
Seguridad Informática en dispositivos móviles para entornos corporativos y pe...
 
Ciberdelitos contra la banca
Ciberdelitos contra la bancaCiberdelitos contra la banca
Ciberdelitos contra la banca
 
Gestión exitosa de proyectos de Ethical Hacking
Gestión exitosa de proyectos de Ethical HackingGestión exitosa de proyectos de Ethical Hacking
Gestión exitosa de proyectos de Ethical Hacking
 

Último

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 

Último (20)

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 

Proyectos de seguridad informática

  • 4. Conceptos previos • Seguridad de la Información: “Preservación de la confidencialidad, integridad y disponibilidad de la información” ISO/IEC 17799:2005 • Amenaza: “Es la indicación de un potencial evento no deseado” Alberts y Dorofee, 2003. “Es una indicación de un evento desagradable con el potencial de causar daño” • Vulnerabilidad: “Es una debilidad del sistema, aplicación o infraestructura, control o diseño de flujo que puede ser explotada para violar la integridad del sistema” Peltier, 2001 • Control de seguridad: “Medio de dirigir el riesgo, incluyendo políticas, procedimientos, directrices, practicas o estructuras organizacionales, los cuales pueden ser de naturaleza técnica, de gestión o legal” • Explotación: “Es aprovecharse de una vulnerabilidad” • Revisión de Código: “Es el proceso de revisión que se hayan aplicado controles de seguridad a nivel de código al momento de desarrollar el software o parte” RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 5. Triada de la Seguridad • Disponibilidad: Propiedad de estar accesible y utilizable bajo demanda de una entidad autorizada. ISO/IEC 13335-1:2004 • Integridad: Propiedad de Salvaguardar la exactitud y la totalidad de activos. ISO/IEC 13335-1:2004 • Confidencialidad: Propiedad de que la información no este disponible o divulgada a individuos, entidades o procesos no autorizados. ISO/IEC13335-1:2004 RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 6. ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 8. Identificar procesos críticos Proceso Obj O1 O2 O3 Gestión Comercial X Gestión de TI X Gestión de Cadena de Suministros X X X Gestión de Pagos X Producción X X X RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 9. ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 10. Análisis y Evaluación del Riesgo Identificación de activos críticos Identificación de amenazas Identificación de vulnerabilidades Identificación del evento de riesgo Probabilidad de ocurrencia Probabilidad de Impacto Calculo del riesgo inherente Identificación de controles actuales Calculo del riesgo residual RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 11. Identificación de activos críticos • Para tasar los activos se tomaran en cuenta las propiedades de la seguridad: integridad, confidencialidad y disponibilidad correspondiente a los procesos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Confidencialidad Integridad Disponibilidad Total BD 2 5 5 4 SW 5 5 4 5 CORE 3 5 5 4 WEB 4 3 2 3 AD 6 3 5 5
  • 12. Identificaciónde amenazas, vulnerabilidades y su calculo • Se identifican cuales son las potenciales amenazas y vulnerabilidades por cada amenaza. • Se calcula el impacto de la amenaza y la probabilidad de ocurrencia. RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 13. Identificación de Vulnerabilidades Reconocimiento Escaneo Explotación Documentación RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Análisis de Vulnerabilidades vs Pruebas de Penetración Las debilidades se pueden identificar verificando la existencia de controles de seguridad según el marco de la ISO 27001, una evaluación técnica de vulnerabilidades también es input para nuestra matriz de riesgo.
  • 14. Vulnerabilidades en aplicaciones web RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP OWASP Top 10 – 2007 (Previo) OWASP Top 10 – 2010 (Nuevo) A2 – Fallas de inyección A1 – Inyección A1 – Secuencia de Comandos en Sitios Cruzados (XSS) A2 – Secuencia de Comandos en Sitios Cruzados (XSS) A7 – Pérdida de Autenticación y Gestión de Sesiones A3 – Pérdida de Autenticación y Gestión de Sesiones A4 – Referencia Directa Insegura a Objetos A4 – Referencia Directa Insegura a Objetos A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) <T10 2004 A10 – Administración Insegura de Configuración> A6 – Defectuosa Configuración de Seguridad (NUEVO) A8 – Almacenamiento Criptográfico Inseguro A7 – Almacenamiento Criptográfico Inseguro A10 – Falla de Restricción de Acceso a URL A8 – Falla de Restricción de Acceso a URL A9 – Comunicaciones Inseguras A9 – Protección Insuficiente en la Capa de Transporte <no disponible en T10 2007> A10 – Redirecciones y reenvíos no validados (NUEVO) A3 – Ejecución Maliciosa de Ficheros <removido del T10 2010> A6 – Filtrado de Información y Manejo Inapropiado de Errores <removido del T10 2010>
  • 15. Matriz para el calculo del riesgo RaulDiaz|CISM,ISFISO 27002,ITIL(F),CEH,CHFI,ECSA,EC SP
  • 16. Análisis de Riesgo • El objetivo del análisis del riesgo es identificar y calcular los riesgos basados en los activos o procesos críticos, y en calculo de las amenazas y vulnerabilidades. • Se debe utilizar un método de calculo cualitativo o cuantitativo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP Activo Amenaza Vul Evento de Riesgo Impacto Prob. de ocurrencia Calculo del Riesgo Priorización A RES MJI XYZ M+ M Extremo 1
  • 17. Riesgos Comunes • Cambios no autorizados en producción • Explotación de vulnerabilidades técnicas en activos críticos. • Indisponibilidad de activos críticos RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 18. Decisión sobre el riesgo Aceptar Transferir Mitigar Evadir RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 19. ImplantarSeguridad de la Informaciónen las organizaciones Identificar procesos críticos Evaluación del riesgo Tratamiento del riesgo (Proyectos) Diagnostico actual Implantación de nuevos controles Monitoreo de Controles Mejora Continua RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 20. Tratamiento del Riesgo • Se toma en cuenta el apetito de riesgo de la organización • Se toma acción de los riesgos críticos de la organización, identificando controles con los cuales mitigar, transferir o evadir el mismo. • Se hace una análisis costo beneficio. Se puede utilizar la identificación del ROSI. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 21. Return on Security Investments El ROI mide la forma de medir cualquier inversión en general. ROI [%] = (Beneficio [Dinero] – Costo [Dinero])/Costo [Dinero] ROSI [%]= (Riesgo Disminuido [Dinero] – Costo [Dinero])/Costo [Dinero] RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 22. TRATAMIENTO DEL RIESGO Proyectos 1 2 3 4 5 6 RESP PR Establecimiento de metodología Sistemas 2 Ethical Hacking Segur. Info 5 Revisión de Código Segur. Info 4 Separación de Ambientes de Producción y Desarrollo Operaciones 2 Implantación de Procesos de Pase a Producción Operaciones 3 Capacitación Sistemas 1 RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP
  • 23. Demo • Se tiene una nueva aplicación en la organización, se te pide evaluar el nivel de seguridad de este nuevo activo. RaulDiaz|CISM,ISFISO27002, ITIL(F),CEH,CHFI,ECSA,ECSP