Este documento describe una presentación sobre el sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. La presentación cubre conceptos clave como seguridad de la información, amenazas, vulnerabilidades, riesgos e incidentes. También explica los componentes de un SGSI, incluidos objetivos de control, controles, y la estructura y aplicación de la norma ISO 27001.
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
Vulnerability Management: What You Need to Know to Prioritize RiskAlienVault
Abstract:
While vulnerability assessments are an essential part of understanding your risk profile, it's simply not realistic to expect to eliminate all vulnerabilities from your environment. So, when your scan produces a long list of vulnerabilities, how do you prioritize which ones to remediate first? By data criticality? CVSS score? Asset value? Patch availability? Without understanding the context of the vulnerable systems on your network, you may waste time checking things off the list without really improving security.
Join AlienVault for this session to learn:
*The pros & cons of different types of vulnerability scans - passive, active, authenticated, unauthenticated
*Vulnerability scores and how to interpret them
*Best practices for prioritizing vulnerability remediation
*How threat intelligence can help you pinpoint the vulnerabilities that matter most
Plan de Continuidad de Negocio - BCP: Este documento detalla los aspectos relacionados con el desarrollo del mismo. Detallando los pasos necesarios en todo el proceso, así como los puntos más importantes que no se pueden dejar de analizar en el proceso de formulación y ejecución del BCP. Se desarrollan los puntos importantes de la BS 25999. En el documento se presentan los aspectos relacionados con la estrategia de creación de un centro de respaldo.
Risk management is the process of analyzing exposure to risk and determining how to best handle such exposure.
Issues important to top management typically receive lot of attention from many quarters. Since top management cares about risk management, a number of popular IT risk-management frameworks have emerged.
Completo documento que desarrolla todos los aspectos a tener en cuenta en el momento de llevar a cabo un correcto análisis de riesgos y su posterior gestión. Se presentan los elementos que componen un análisis de riesgos, se realiza una comparativa de distintas metodologías de análisis de riesgos, entre otros apartados.
What is ISO 27005? How is an ISO 27005 Risk Assessment done effectively? Find out in this presentation delivered at the ISACA Bangalore Chapter Office by Dharshan Shanthamurthy.
CONTINUIDAD OPERATIVA TECNOLÓGICA Y FUNCIONALFabián Descalzo
Desarrollo e implementación de estrategias y planes de continuidad operativa tecnológica (DRP) y funcionales de áreas de negocio (BCP), pruebas de verificación a procedimientos y recursos de recuperación, awareness y capacitación.
Vulnerability Management: What You Need to Know to Prioritize RiskAlienVault
Abstract:
While vulnerability assessments are an essential part of understanding your risk profile, it's simply not realistic to expect to eliminate all vulnerabilities from your environment. So, when your scan produces a long list of vulnerabilities, how do you prioritize which ones to remediate first? By data criticality? CVSS score? Asset value? Patch availability? Without understanding the context of the vulnerable systems on your network, you may waste time checking things off the list without really improving security.
Join AlienVault for this session to learn:
*The pros & cons of different types of vulnerability scans - passive, active, authenticated, unauthenticated
*Vulnerability scores and how to interpret them
*Best practices for prioritizing vulnerability remediation
*How threat intelligence can help you pinpoint the vulnerabilities that matter most
Plan de Continuidad de Negocio - BCP: Este documento detalla los aspectos relacionados con el desarrollo del mismo. Detallando los pasos necesarios en todo el proceso, así como los puntos más importantes que no se pueden dejar de analizar en el proceso de formulación y ejecución del BCP. Se desarrollan los puntos importantes de la BS 25999. En el documento se presentan los aspectos relacionados con la estrategia de creación de un centro de respaldo.
Risk management is the process of analyzing exposure to risk and determining how to best handle such exposure.
Issues important to top management typically receive lot of attention from many quarters. Since top management cares about risk management, a number of popular IT risk-management frameworks have emerged.
Completo documento que desarrolla todos los aspectos a tener en cuenta en el momento de llevar a cabo un correcto análisis de riesgos y su posterior gestión. Se presentan los elementos que componen un análisis de riesgos, se realiza una comparativa de distintas metodologías de análisis de riesgos, entre otros apartados.
What is ISO 27005? How is an ISO 27005 Risk Assessment done effectively? Find out in this presentation delivered at the ISACA Bangalore Chapter Office by Dharshan Shanthamurthy.
Overview of Data Loss Prevention (DLP) TechnologyLiwei Ren任力偉
DLP is a technology that detects potential data breach incidents in timely manner and prevents them by monitoring data in-use (endpoints), in-motion (network traffic), and at-rest (data storage). It has been driven by regulatory compliances and intellectual property protection. This talk will introduce DLP models that describe the capabilities and scope that a DLP system should cover. A few system categories will be discussed accordingly with high-level system architecture. DLP is an interesting technology in that it provides advanced content inspection techniques. As such, a few content inspection techniques will be proposed and investigated in rigorous terms.
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
Construyendo un plan estratégico de CiberseguridadatSistemas
Whitepaper "Construyendo un plan estratégico de Ciberseguridad" de Agustí Serrano Peña, responsable de Línea de Negocio de Ciberseguridad en atSistemas.
Five Key Considerations when Setting your MBCOBCP Asia
A well established minimum business continuity objective (MBCO) will set the tone and direction for the Business Continuity Management System (BCMS) programme. Hence, crafting a MBCO is the most fundamental step in addressing the business goals, objectives and needs.
During the webinar, our Senior Consultant, Mr Peck Eing Seng, MBCI, discussed the importance of setting fit-for-purpose MBCO.
Jonathan Pollet and Mark Heard of Red Tiger Security at S4x15 OTDay.
The NIST Cybersecurity Framework (CSF) has been out for a year now, and some owner/operators have begun to use it to help create an ICS cyber security program. The Red Tiger Security team discusses what the CSF is and there experience in using it with real world clients.
A framework developed by The Security Artist to reduce cybercrime to within your risk appetite.
This was developed specifically to address the shortcomings of other frameworks such as ISO 27001; COBIT 5; and even the NIST cybersecurity framework.
Overview of Data Loss Prevention (DLP) TechnologyLiwei Ren任力偉
DLP is a technology that detects potential data breach incidents in timely manner and prevents them by monitoring data in-use (endpoints), in-motion (network traffic), and at-rest (data storage). It has been driven by regulatory compliances and intellectual property protection. This talk will introduce DLP models that describe the capabilities and scope that a DLP system should cover. A few system categories will be discussed accordingly with high-level system architecture. DLP is an interesting technology in that it provides advanced content inspection techniques. As such, a few content inspection techniques will be proposed and investigated in rigorous terms.
Introducción a la Continuidad de Negocio
En primer lugar se presentan conceptos de la Gestión de Continuidad de Negocio. A continuación se muestran las ventajas de adopción de un esquema de continuidad de negocio. Asimismo se muestra una relación con iniciativas actuales en la industria
financiera y por último se propone una serie de recomendaciones.
Construyendo un plan estratégico de CiberseguridadatSistemas
Whitepaper "Construyendo un plan estratégico de Ciberseguridad" de Agustí Serrano Peña, responsable de Línea de Negocio de Ciberseguridad en atSistemas.
Five Key Considerations when Setting your MBCOBCP Asia
A well established minimum business continuity objective (MBCO) will set the tone and direction for the Business Continuity Management System (BCMS) programme. Hence, crafting a MBCO is the most fundamental step in addressing the business goals, objectives and needs.
During the webinar, our Senior Consultant, Mr Peck Eing Seng, MBCI, discussed the importance of setting fit-for-purpose MBCO.
Jonathan Pollet and Mark Heard of Red Tiger Security at S4x15 OTDay.
The NIST Cybersecurity Framework (CSF) has been out for a year now, and some owner/operators have begun to use it to help create an ICS cyber security program. The Red Tiger Security team discusses what the CSF is and there experience in using it with real world clients.
A framework developed by The Security Artist to reduce cybercrime to within your risk appetite.
This was developed specifically to address the shortcomings of other frameworks such as ISO 27001; COBIT 5; and even the NIST cybersecurity framework.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
SEGURIDAD: Norma ISO27001.
Mejores prácticas actuales en seguridad de la información. Políticas y tecnologías que controlan el acceso, evitan la pérdida de información o permiten la recuperación de la misma.
CURSO PROCESOS DE SEGURIDAD INFORMÁTICA
Smart Resources Gallardo presenta este curso de 24 horas, de gestión y modelado de procesos de negocio de Seguridad Informática, con los primeros 6 dominios de la norma ISO 27002, en la herramienta Enterprise Architect.
En esta ocasión le presentamos los contenidos del curso, para mayor información y poder inscribirse en el curso, favor dirigirse al correo:
contacto@srgallardo.com
Síganos y manténgase informado de nuestras novedades:
Linkedin: http://url.ie/m08c
Facebook: http://url.ie/m08a
Twitter: @srgallardo_com
Web: http://www.srgallardo.com
Blog: http://blog.srgallardo.com
CURSO PROCESOS AVANZADOS DE SEGURIDAD INFORMÁTICA
Smart Resources Gallardo presenta este curso de 24 horas, de gestión y modelado de procesos de negocio de Seguridad Informática, con los siguientes 5 dominios de la norma ISO 27002, Gestión de Métricas con ISO 27004 y Gestión de Riesgos con ISO 27005,en la herramienta Enterprise Architect.
En esta ocasión le presentamos los contenidos del curso, para mayor información y poder inscribirse en el curso, favor dirigirse al correo:
contacto@srgallardo.com
Síganos y manténgase informado de nuestras novedades:
Linkedin: http://url.ie/m08c
Facebook: http://url.ie/m08a
Twitter: @srgallardo_com
Web: http://www.srgallardo.com
Blog: http://blog.srgallardo.com
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Marco
La aplicación del planeamiento estratégico en el sector público está en proceso de evolución, enfrentándose a uno de los mayores problemas como es el de la aplicación.
En muchas instituciones del sector público se han elaborado muchos planes estratégicos para los diferentes niveles de gobierno. El problema es que gran parte de estos planes estratégicos se han realizado tan solo para cumplir con las normas.
El desarrollo de este trabajo pretende que el área de rentas una de las áreas más importantes, sepa hasta cuanto conoce su personal o tiene entendimiento de lo que es la visión, misión y objetivos de su entorno. En muchas instituciones el personal no tiene ni la mínima idea de lo que es esto, ya que se han acostumbrado a trabajar sin metas, esperando que cada mes el supremo gobierno realice las transferencias correspondientes.
En la actualidad, el rol del conocimiento en las organizaciones ha cambiado debido a los nuevos vinculados asociados a la sociedad de la información y la nueva economía basada en el conocimiento.
El resultado de esta investigación es mostrar los problemas con que se enfrenta el área de rentas de la Municipalidad Distrital de San Jacinto cuando los integrantes no conocen los objetivos de la misma entidad
Presentacion de la Conferencia Certificacion ISO 17799 - ISO 27001 . Realizada en el Securinf V3.0 - Dirigida por el Expositor y Experto en Seguridad de la Informacion a Organizacion Privadas y Publicas.
¿Como Me Certifico en Seguridad de la Informacion?
Securinf.com -
Gestión de la seguridad con Software Libre. Repaso a las diferentes soluciones disponibles en el mundo Open Source para gestionar la seguridad informática. Toni de la Fuente.
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
Esta charla la preparé para el Segurinfo 2011 que se realizó en Perú, esta charla trata de identificar aquellos temas que deben estar dentro de las prioridades de un oficial de seguridad de la información, de tal manera que la organización trabaje de manera segura, pero sin perder la capacidad de hacer negocios, y dentro de ese día a día, surgen una serie de consideraciones, que hacen que esta labor, no sea nada facil...
No fracasa el que sufre un ataque de seguridad, es parte del juego, fracasas si no tienes capacidad de respuesta
0% De las fugas de información fueron detectados por programas de anti-virus o sistemas de prevención de intrusos
Solo 6% De las empresas utilizan análisis de datos para minimizar el impacto económico del cibercrimen
Sistema de generación de energía eléctrica utilizando hidrógenogugarte
Conferencia del Ing. Jorge Ugarte Fajardo en el Simposio Internacional de Energías Renovables organizado por el Centro de Energías Renovables y Alternativas (CERA) de la ESPOL
Generación de energía eléctrica utilizando hidrógenogugarte
Conferencia del Ing. Jorge Ugarte Fajardo en el Simposio Internacional de Energías Renovables, organizado por el Centro de Energías Renovable y Alternativas de la ESPOL
Catalogo general Ariston Amado Salvador distribuidor oficial ValenciaAMADO SALVADOR
Distribuidor Oficial Ariston en Valencia: Amado Salvador distribuidor autorizado de Ariston, una marca líder en soluciones de calefacción y agua caliente sanitaria. Amado Salvador pone a tu disposición el catálogo completo de Ariston, encontrarás una amplia gama de productos diseñados para satisfacer las necesidades de hogares y empresas.
Calderas de condensación: Ofrecemos calderas de alta eficiencia energética que aprovechan al máximo el calor residual. Estas calderas Ariston son ideales para reducir el consumo de gas y minimizar las emisiones de CO2.
Bombas de calor: Las bombas de calor Ariston son una opción sostenible para la producción de agua caliente. Utilizan energía renovable del aire o el suelo para calentar el agua, lo que las convierte en una alternativa ecológica.
Termos eléctricos: Los termos eléctricos, como el modelo VELIS TECH DRY (sustito de los modelos Duo de Fleck), ofrecen diseño moderno y conectividad WIFI. Son ideales para hogares donde se necesita agua caliente de forma rápida y eficiente.
Aerotermia: Si buscas una solución aún más sostenible, considera la aerotermia. Esta tecnología extrae energía del aire exterior para calentar tu hogar y agua. Además, puede ser elegible para subvenciones locales.
Amado Salvador es el distribuidor oficial de Ariston en Valencia. Explora el catálogo y descubre cómo mejorar la comodidad y la eficiencia en tu hogar o negocio.
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialAMADO SALVADOR
Explora el catálogo completo de cajas fuertes BTV, disponible a través de Amado Salvador, distribuidor oficial de BTV. Este catálogo presenta una amplia variedad de cajas fuertes, cada una diseñada con la más alta calidad para ofrecer la máxima seguridad y satisfacer las diversas necesidades de protección de nuestros clientes.
En Amado Salvador, como distribuidor oficial de BTV, ofrecemos productos que destacan por su innovación, durabilidad y robustez. Las cajas fuertes BTV son reconocidas por su eficiencia en la protección contra robos, incendios y otros riesgos, lo que las convierte en una opción ideal tanto para uso doméstico como comercial.
Amado Salvador, distribuidor oficial BTV, asegura que cada producto cumpla con los más estrictos estándares de calidad y seguridad. Al adquirir una caja fuerte a través de Amado Salvador, distribuidor oficial BTV, los clientes pueden tener la tranquilidad de que están obteniendo una solución confiable y duradera para la protección de sus pertenencias.
Este catálogo incluye detalles técnicos, características y opciones de personalización de cada modelo de caja fuerte BTV. Desde cajas fuertes empotrables hasta modelos de alta seguridad, Amado Salvador, como distribuidor oficial de BTV, tiene la solución perfecta para cualquier necesidad de seguridad. No pierdas la oportunidad de conocer todos los beneficios y características de las cajas fuertes BTV y protege lo que más valoras con la calidad y seguridad que solo BTV y Amado Salvador, distribuidor oficial BTV, pueden ofrecerte.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
Catalogo Refrigeracion Miele Distribuidor Oficial Amado Salvador ValenciaAMADO SALVADOR
Descubre el catálogo general de la gama de productos de refrigeración del fabricante de electrodomésticos Miele, presentado por Amado Salvador distribuidor oficial Miele en Valencia. Como distribuidor oficial de electrodomésticos Miele, Amado Salvador ofrece una amplia selección de refrigeradores, congeladores y soluciones de refrigeración de alta calidad, resistencia y diseño superior de esta marca.
La gama de productos de Miele se caracteriza por su innovación tecnológica y eficiencia energética, garantizando que cada electrodoméstico no solo cumpla con las expectativas, sino que las supere. Los refrigeradores Miele están diseñados para ofrecer un rendimiento óptimo y una conservación perfecta de los alimentos, con características avanzadas como la tecnología de enfriamiento Dynamic Cooling, sistemas de almacenamiento flexible y acabados premium.
En este catálogo, encontrarás detalles sobre los distintos modelos de refrigeradores y congeladores Miele, incluyendo sus especificaciones técnicas, características destacadas y beneficios para el usuario. Amado Salvador, como distribuidor oficial de electrodomésticos Miele, garantiza que todos los productos cumplen con los más altos estándares de calidad y durabilidad.
Explora el catálogo completo y encuentra el refrigerador Miele perfecto para tu hogar con Amado Salvador, el distribuidor oficial de electrodomésticos Miele.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
1. SISTEMA DE GESTION DE
SEGURIDAD
NORMA ISO 27001
(CORPEI)
Jorge Ugarte Fajardo
8/10/2008
Guayaquil -Ecuador
1
2. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001
Objetivos de Control y Controles
2
4. ¿ Seguridad de la Información?
La información es un activo que como otros
activos importantes tiene valor y requiere en
consecuencia una protección adecuada
La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
4
5. ¿ Objetivos de la Seguridad de la información?
El objetivo de la seguridad de la información es
proteger los intereses de los negocios que
dependan de la información.
Los objetivos de la seguridad de la información se
cumplen cuando se preserva:
• CONFIDENCIALIDAD: La información es accedida solo por
• CONFIDENCIALIDAD: La información es accedida solo por
aquellas personas que están debidamente autorizadas.
aquellas personas que están debidamente autorizadas.
• INTEGRIDAD: La información es completa, precisa y
• INTEGRIDAD: La información es completa, precisa y
protegida contra modificaciones no autorizadas.
protegida contra modificaciones no autorizadas.
• DISPONIBILIDAD: La información esta disponible y utilizable
• DISPONIBILIDAD: La información esta disponible y utilizable
cuando se requiere.
cuando se requiere.
5
6. ¿Contra qué se debe proteger la información?
! quot;
!
! # $
6
8. ¿amenazas?
Password Escalamiento de
privilegios
cracking Puertos vulnerables abiertos Exploits
Fraudes informáticos
Man in the middle
Violación de la privacidad de los empleados
Servicios de log inexistentes o que no
son chequeados
Backups inexistentes
Destrucción de
Denegación de equipamiento
servicio Instalaciones default
Últimos parches no Port scanning
instalados
Keylogging
Desactualización
Hacking de Centrales Telefónicas
8
9. Más amenazas
Intercepción y modificación y violación de e-mails
Spamming
Violación de contraseñas Captura de PC desde el exterior
empleados deshonestos
Incumplimiento de leyes y regulaciones
Virus Ingeniería social
Mails anónimos con agresiones Programas “bomba, troyanos”
Interrupción de los servicios
Destrucción de soportes documentales
Robo o extravío de notebooks, palms
Acceso clandestino a redes
Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
wireless
Falsificación de información
para terceros Agujeros de seguridad de redes conectadas
9
10. ¿Qué es vulnerabilidad?
%
' !
# (
# ! (
• Inadecuado compromiso de la dirección.
Inadecuado compromiso de la dirección.
•
• Personal inadecuadamente capacitado y concientizado.
Personal inadecuadamente capacitado y concientizado.
•
• Inadecuada asignación de responsabilidades.
Inadecuada asignación de responsabilidades.
•
• Ausencia de políticas/ procedimientos.
Ausencia de políticas/ procedimientos.
•
• Ausencia de controles
Ausencia de controles
(físicos/lógicos)
(físicos/lógicos)
(disuasivos/preventivos/detectivos/correctivos)
(disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.
• Ausencia de reportes de incidentes y vulnerabilidades.
• Inadecuado seguimiento y monitoreo de los controles.
• Inadecuado seguimiento y monitoreo de los controles
10
11. ¿y el Riesgo?
' #
!
'
- # . $
• Activos.- cualquier cosa que necesite protección por
lo que representa para una empresa, frente a una
situación de pérdida de la confidencialidad, integridad
o disponibilidad.
• Amenazas.- acciones que pueden causar daño
según la severidad y posibilidad de ocurrencia.
• Vulnerabilidades.- puntos débiles del
equipamiento, aplicaciones, personal y mecanismos
de control que facilitan la concreción de una amenaza.
11
13. ¿Qué es un incidente de seguridad?
Un incidente de seguridad, es un evento adverso que
puede afectar a un sistema o red de computadoras.
Puede ser causado por:
• una falla en algún mecanismo de seguridad.
• un intento o amenaza (concretada o no) de romper
mecanismos de seguridad, etc.
13
15. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
15
16. ¿Qué es un Sistema de Gestión de Seguridad de la Información?
SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACIÓN (SGSI)
El.. (SGSI) es la parte del sistema de gestión
de la empresa, basado en un enfoque de
riesgos del negocio, para: establecer,
implementar, operar, monitorear, mantener y
mejorar la seguridad de la información.
16
17. ¿Quiénes están involucrados en SI?
La administración efectiva de la seguridad de la
información no es solamente un asunto de tecnología, es
un requerimiento del negocio.
• Dirección
• Alta gerencia
• Personal de TI
• Empleados
• Auditores
• Entidades reguladoras externas
17
18. ¿ Cómo se implementa un SGSI?
Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para
establecer, implementar, monitorear y mejorar el SGSI
Hacer
Planificar
Implementar y
Establecer
operar el SGSI
el SGSI
Partes Partes
Interesadas Interesadas
Mantener y
Monitorear y
Mejorar el SGSI
revisar
Requisitos y el SGSI Seguridad
expectativas Actuar Verificar Gestionada
18
19. ¿Cuál es la norma aplicable SI?
• La norma ISO 27001 define el sistema de gestión de la
seguridad de la información (SGSI).
• ISO 27001 es una norma certificable
• Se creó en diciembre de 2005 a partir de la norma
BS7799-2.
• La norma ISO 27001 adopta el modelo “Plan Do Check
Act” (PDCA o PHVA), conocido también como Ciclo de
Demming, para establecer, implementar, monitorear,
revisar y mantener un SGSI.
• La norma ISO 27002 es una guía de recomendaciones
para garantizar la seguridad de la información.
• ISO 27002 NO es certificable como tal, lo que se certifica
es el SGSI (ISMS).
19
21. Tipos de evaluaciones de seguridad
Exploraciones de vulnerabilidades:
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración:
Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones
Auditoría en la seguridad de informática:
Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la
industria
21
22. ¿Cómo se relaciona con otras normas IT?
IT Governance Model
/
Audit Models
COSO 1
0(
quot;
quot;
CobIT
Quality System
App. Dev. (SDLC)
Service Mgmt.
Project Mgmt.
Quality Systems &
IT Planning
IT Security
Mgmt.
Frameworks ' ! (! !
!quot; !
'!) !*
!!( !
0
+
,
-/
IT OPERATIONS
1 244
34 /
quot;0 $ % & -
$
544 4
4 4 $5 ISO 10006
ISO_9126 !quot;
!# !!
43 .
<gugarte@espol.edu.ec>
22
23. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001
23
24. ¿Por qué utilizar la norma ISO 27001?
ISO-27001 es un estándar aceptado internacionalmente
para la administración de la seguridad de la información y
aplica a todo tipo de organizaciones, tanto por su tamaño
como por su actividad
se puede prever, que la certificación ISO-27001,
será casi una obligación de cualquier empresa que
desee competir en el mercado en el corto plazo,
Esta norma, no está orientada a despliegues
tecnológicos o de infraestructura, sino a
aspectos netamente organizativos, es decir, permite
“Organizar la seguridad de la información”.
24
25. Estructura de la Norma ISO 27001
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Information security management system
5 Management responsibility
6 Internal ISMS audits
7 Management review of the ISMS
8 ISMS improvement
Annex A (normative) Control objectives and controls
Annex B (informative) OECD principles and this
International Standard
Annex C (informative) Correspondence between ISO
9001:2000, ISO 14001:2004 and this
International Standard
25
26. Aplicación de la norma ISO 27001
Modelo utilizado para establecer, implementar, monitorear y
mejorar el SGSI
Cláusulas: 4.2.1, 5
Cláusulas; 4.2.2, 4.3
Definir la política de seguridad
Implantar el plan de gestión de riesgos
Establecer el alcance del SGSI
Implantar el SGSI
Realizar los análisis de riesgos
Implantar los controles.
Seleccionar los controles Planificar
Hacer Implantar indicadores.
PHVA
Actuar
Verificar
Cláusulas: 4.2.4,8 Cláusulas: 4.2.3,6,7
Revisiones del SGSI por parte de la
Adoptar acciones correctivas Dirección.
Adoptar acciones preventivas Realizar auditorías internas del SGSI
26
27. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001
Objetivos de Control y Controles
27
29. Controles
5. Política de Seguridad
Conjunto coherente e internamente consistente de
políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de
seguridad de la información y las formas de
comunicación a toda la organización.
29
30. Controles
6. Aspectos organizativos de la Seguridad
Organización interna.-Establecer el compromiso de la
Organización interna.-Establecer el compromiso de la
Dirección ,, roles, responsabilidades, acuerdos de
Dirección roles, responsabilidades, acuerdos de
confidencialidad, etc.
confidencialidad, etc.
Terceros.- Haga inventario de conexiones de red y flujos de
Terceros.- Haga inventario de conexiones de red y flujos de
información significativos con 3as partes y revise los
información significativos con 3as partes y revise los
controles de seguridad de información existentes
controles de seguridad de información existentes
30
31. Controles
7. Gestión de Activos
Elabore y mantenga un inventario de activos de
información, mostrando los propietarios de los activos
Realice una clasificación de los activos de con el nivel
de importancia.
31
32. Controles
8. Seguridad de Recursos Humanos
Reducir el riesgo de errores inadvertidos, robo, fraude o mal
Reducir el riesgo de errores inadvertidos, robo, fraude o mal
uso de la información, mediante:
uso de la información, mediante:
•• Definición de roles y responsabilidad de seguridad de los
Definición de roles y responsabilidad de seguridad de los
activos.
activos.
•• Verificación de antecedentes antes de la contratación
Verificación de antecedentes antes de la contratación
•• Asegurar que los usuarios conocen de las amenazas y las
Asegurar que los usuarios conocen de las amenazas y las
inquietudes en materia de seguridad de sistema, y los
inquietudes en materia de seguridad de sistema, y los
mismos están apoyados por políticas para seguridad
mismos están apoyados por políticas para seguridad
efectiva. Establecer el plan de formación necesario.
efectiva. Establecer el plan de formación necesario.
•• Control de activos cuando finaliza el contrato.
Control de activos cuando finaliza el contrato.
32
33. Controles
9. Seguridad física y ambiental
El estándar parece centrarse en el CPD pero hay muchas
El estándar parece centrarse en el CPD pero hay muchas
otras áreas vulnerables a considerar, p. ej., armarios de
otras áreas vulnerables a considerar, p. ej., armarios de
cableado, quot;servidores departamentalesquot; y archivos.
cableado, quot;servidores departamentalesquot; y archivos.
Prevenir acceso no autorizado, daño o interferencia a las
Prevenir acceso no autorizado, daño o interferencia a las
premisas y por ende a la información.
premisas y por ende a la información.
Establecer procedimientos para prevenir daño y perdida de
Establecer procedimientos para prevenir daño y perdida de
información, equipos y bienes tal que no afecten las
información, equipos y bienes tal que no afecten las
actividades adversamente.
actividades adversamente.
Prevenir extracción de información (robo) y mantener la
Prevenir extracción de información (robo) y mantener la
integridad de la información y sus premisas donde se
integridad de la información y sus premisas donde se
procesa información, mediante revisiones y chequeos
procesa información, mediante revisiones y chequeos
periódicos.
periódicos.
33
34. Controles
10. Gestión de comunicaciones y operaciones
Documente procedimientos, normas y directrices de
Documente procedimientos, normas y directrices de
seguridad de la información
seguridad de la información
supervisión de terceros proveedores de servicios y sus
supervisión de terceros proveedores de servicios y sus
respectivas entregas de servicio.
respectivas entregas de servicio.
Adopte procesos estructurados de planificación de
Adopte procesos estructurados de planificación de
capacidad TI, desarrollo seguro, pruebas de seguridad,
capacidad TI, desarrollo seguro, pruebas de seguridad,
criterios de aceptación en producción.
criterios de aceptación en producción.
Combine controles tecnológicos (p. ej., software antivirus)
Combine controles tecnológicos (p. ej., software antivirus)
con medidas no técnicas (educación, concienciación y
con medidas no técnicas (educación, concienciación y
formación).
formación).
Implante procedimientos de backup y recuperación
Implante procedimientos de backup y recuperación
repare e implante estándares, directrices y procedimientos
repare e implante estándares, directrices y procedimientos
de seguridad técnicos para redes y herramientas de
de seguridad técnicos para redes y herramientas de
seguridad de red como IDS/IPS.
seguridad de red como IDS/IPS.
…………….
34
35. Controles
10. Gestión de comunicaciones y operaciones (2)
……………..
Asegure los medios y la información en tránsito no solo
Asegure los medios y la información en tránsito no solo
físico sino electrónico (a través de las redes). Encripte
físico sino electrónico (a través de las redes). Encripte
todos los datos sensibles o valiosos antes de ser
todos los datos sensibles o valiosos antes de ser
transportados.
transportados.
Considere las medidas necesarias para asegurar el
Considere las medidas necesarias para asegurar el
intercambio de información como canales de comunicación,
intercambio de información como canales de comunicación,
mensajería, utlilizando medios, etc.
mensajería, utlilizando medios, etc.
incorpore requisitos de seguridad de la información en los
incorpore requisitos de seguridad de la información en los
proyectos e-business.
proyectos e-business.
Auditar Logs que registren actividad, excepciones y
Auditar Logs que registren actividad, excepciones y
eventos de seguridad y realizar revisiones periódicas.
eventos de seguridad y realizar revisiones periódicas.
35
36. Controles
11. Control de accesos
Establecer niveles de seguridad de acuerdo con el nivel de
Establecer niveles de seguridad de acuerdo con el nivel de
riesgo de los activos y sus propietarios.
riesgo de los activos y sus propietarios.
Un procedimiento de registro y revocación de cuentas de
Un procedimiento de registro y revocación de cuentas de
usuarios, una adecuada administración de los privilegios y
usuarios, una adecuada administración de los privilegios y
de las contraseñas de cada uno de ellos, realizar periódicas
de las contraseñas de cada uno de ellos, realizar periódicas
revisiones a intervalos regulares.
revisiones a intervalos regulares.
definir y documentar las responsabilidades relativas a
definir y documentar las responsabilidades relativas a
seguridad de la información en las descripciones o perfiles
seguridad de la información en las descripciones o perfiles
de los puestos de trabajo.
de los puestos de trabajo.
Establecer una política de uso de contraseñas, de cuidado
Establecer una política de uso de contraseñas, de cuidado
y protección de la información en sus escritorios, medios
y protección de la información en sus escritorios, medios
removibles y pantallas.
removibles y pantallas.
………………
36
37. Controles
11. Control de accesos
……………….
Establecer una política de uso de servicios de red.
Establecer una política de uso de servicios de red.
Establecer medidas de autenticación sobre los accesos
Establecer medidas de autenticación sobre los accesos
remotos.
remotos.
Seguridad en la validación de usuarios del sistema
Seguridad en la validación de usuarios del sistema
operativo, empleo de identificadores únicos de usuarios,
operativo, empleo de identificadores únicos de usuarios,
correcta administración de contraseñas, control y limitación
correcta administración de contraseñas, control y limitación
de tiempos en las sesiones.
de tiempos en las sesiones.
Implante estándares de seguridad básica para todas las
Implante estándares de seguridad básica para todas las
aplicaciones y middleware.
aplicaciones y middleware.
Tenga políticas claramente definidas para la protección, no
Tenga políticas claramente definidas para la protección, no
sólo de los propios equipos informáticos portátiles (es decir,
sólo de los propios equipos informáticos portátiles (es decir,
laptops, PDAs, etc.), sino, en mayor medida, de la
laptops, PDAs, etc.), sino, en mayor medida, de la
información almacenada en ellos.
información almacenada en ellos.
37
38. Controles
12. Adquisición, desarrollo y mantenimiento de los
sistemas de información
Incluir requerimientos de seguridad de las aplicaciones
Incluir requerimientos de seguridad de las aplicaciones
involucrando a los propietarios de la información.
involucrando a los propietarios de la información.
Utilice librerías y funciones estándar para necesidades
Utilice librerías y funciones estándar para necesidades
corrientes como validación de datos de entrada,
corrientes como validación de datos de entrada,
restricciones de rango y tipo, integridad referencial, etc.
restricciones de rango y tipo, integridad referencial, etc.
Para mayor confianza con datos vitales, construya e
Para mayor confianza con datos vitales, construya e
incorpore funciones adicionales de validación y chequeo
incorpore funciones adicionales de validación y chequeo
cruzado (p. ej., sumas totalizadas de control). Desarrolle y
cruzado (p. ej., sumas totalizadas de control). Desarrolle y
use herramientas -y habilidades- de prueba automatizadas
use herramientas -y habilidades- de prueba automatizadas
y manuales, para comprobar cuestiones habituales como
y manuales, para comprobar cuestiones habituales como
desbordamientos de memoria, inyección SQL, etc
desbordamientos de memoria, inyección SQL, etc
Utilice estándares formales de encriptación.
Utilice estándares formales de encriptación.
…………….
38
39. Controles
12. Adquisición, desarrollo y mantenimiento de los
sistemas de información
………………
Definir directorios que deben y no deben cambiar, utilizar
Definir directorios que deben y no deben cambiar, utilizar
control de software operacional, test de esos datos y
control de software operacional, test de esos datos y
controlar el acceso al código fuente.
controlar el acceso al código fuente.
Incorpore la seguridad de la información al ciclo de vida de
Incorpore la seguridad de la información al ciclo de vida de
desarrollo de sistemas en todas sus fases en los
desarrollo de sistemas en todas sus fases en los
procedimientos y métodos de desarrollo, operaciones y
procedimientos y métodos de desarrollo, operaciones y
gestión de cambios.
gestión de cambios.
Haga un seguimiento de parches de seguridad mediante
Haga un seguimiento de parches de seguridad mediante
herramientas de gestión de vulnerabilidades y/o
herramientas de gestión de vulnerabilidades y/o
actualización automática siempre que sea posible.
actualización automática siempre que sea posible.
39
40. Controles
13. Gestión de incidentes en la seguridad de la
información
• Establecer procedimientos de reporte de incidentes de
• Establecer procedimientos de reporte de incidentes de
seguridad y problemas de seguridad.
seguridad y problemas de seguridad.
• Analizar y tomar las medidas correctivas.
• Analizar y tomar las medidas correctivas.
40
41. Controles
14. Gestión de la continuidad del negocio
• Contrarrestrar interrupciones a las actividades de la
• Contrarrestrar interrupciones a las actividades de la
empresa y sus procesos de los efectos creados por un
empresa y sus procesos de los efectos creados por un
desastre o falla de sistema(s) de comunicación // informática
desastre o falla de sistema(s) de comunicación informática
implementando un plan de continuidad del negocio.
implementando un plan de continuidad del negocio.
41
42. Controles
15. Cumplimiento
•
• Prevenir brechas de seguridad por actos criminales
o violación de ley civil, regulatoria, obligaciones
contractuales u otros aspectos de impacto a la
seguridad.
• Asegurar un sistema (de gestión) cumpliendo con
políticas de seguridad y normativas (ISO27002, ISO
9001 y otras).
42
44. Entender la defensa a profundidad
Utilizar un enfoque dividido por etapas:
Aumentar la detección de riesgo de un agresor
Reduce la posibilidad de éxito de un agresor
Contraseñas fuertes, ACLs, estrategia
Datos de respaldo y restauración
Aplicación Fortalecimiento de la aplicación
Fortalecer el sistema operativo,
Host autenticación administración de
actualizaciones de seguridad,
actualizaciones de antivirus, auditoría
Red interna Segmentos de red, NIDS
Firewalls, enrutadores más amplios,
Perímetro VPNs con procedimientos de cuarentena
Protecciones, seguros, dispositivos de
Seguridad física
Seguridad física seguimiento
Políticas de seguridad, procedimientos
Políticas, procedimientos y conciencia
Políticas, procedimientos y conciencia y educación
44
45. ¿Cómo conozco las vulnerabilidades en nuevos
productos?
Best Practices for Preventing Top 20 Risks
Best Practices for Preventing Top 20 Risks
http://www.sans.org/top20
http://www.sans.org/top20
Entre las vulnerabilidades que encontramos:
Client-side Vulnerabilities
Client-side Vulnerabilities
Server-side Vulnerabilities
Server-side Vulnerabilities
Security Policy and Personnel
Security Policy and Personnel
Application Abuse
Application Abuse
Network Devices
Network Devices
Zero Day Attacks
Zero Day Attacks
45