1. Administración de la Seguridad
Informática
Organización y Administración de Centros de Cómputos
2. Temas
Presentación
Conceptos básicos de Seguridad Informática
Administración de la Seguridad Informática
BS7799
Políticas de Seguridad Informática
Administración de riesgos
Estructura organizacional
Roles y responsabilidades
Organización y Administración de Centros de Cómputos
3. El mundo de la seguridad Informática:
ConfidencialidadDisponibilidad
Integridad
Firewall
Auditoría y
administración de
logs
Administración
de riesgos
Seguridad
física Administración de
la continuidad del
negocio
Respuesta a incidentes
y administración de
crisis
Monitoreo y detección
de intrusos
Prevención y detección
de virus
Administración
de la infraestructura
de seguridad
Arquitectura de
seguridad
Seguridad
del personal
Registro y administración
de certificados
Autenticación y
control de acceso
Administración
de passwords
Encriptación y
administración de llaves
5. Principales obstáculos de la seguridad informática:
Falta de conciencia de los usuarios finales
Presupuesto
Falta de apoyo de la alta gerencia
Falta de entrenamiento
Responsabilidades no claras
Falta de conciencia de la alta gerencia
Falta de una autoridad centralizada
Falta de herramientas
Complejidad técnica
Falta de estándares
Falta de personal de seguridad competente
Aspectos legales
Conceptos básicos de Seguridad Informática
Organización y Administración de Centros de Cómputos
6. Por qué es importante la seguridad informática:
•La información es un recurso esencial para todas las organizaciones
•La información puede ser la clave para el crecimiento de las
organizaciones
•Compartir información es una práctica común hoy y continua
incrementándose
•La información es uno de los principales activos de la organización
•La disponibilidad, integridad y confidencialidad de la información
•puede ser crítica para el éxito de la organización
•Provee nuevas oportunidades de negocio
•Asegura lealtad de los clientes
Conceptos básicos de Seguridad Informática
Organización y Administración de Centros de Cómputos
7. Es el conjunto de aspectos interrelacionados que incluye:
Estructura
Organizacional
Análisis
de riesgos
Propiedad
de los recursos
¿Qué es administración de la Seguridad ?
Seguridad Informática para toda la organización
Requieren responsabilidades a nivel organizacional
Debe haber responsable de analizar necesidades,
establecer el sistema, dar soporte, vigilar y mejorar
Todos los sistemas deben ser asegurados según el nivel
de riesgos que enfrentan
El propósito del análisis de riesgos es cuantificarlos
para que la dirección tome la decisión adecuada
Análisis de riesgos se utiliza para convertir “miedos
técnicos” en aspectos del negocio
Todo sistema debe tener un dueño o responsable
que toma las decisiones de negocio
Organización y Administración de Centros de Cómputos
8. Politicas
Guías, estándares
Procedimientos Documentación más detallada de qué y como
lograr el nivel de seguridad
Se usan para ayudar a construir sistemas
con características de seguridad requeridas
Información detallada requerida para definir
como las personas soportan el sistema
Depende de la tecnología
Deben ser lo más completos posibles para
evitar subjetividad
Las políticas definen la posición de la organización
y documentan las decisiones de la administración
en lo relacionado con la seguridad informática
Así mismo, las políticas definen el nivel de
seguridad a ser logrado en la organización, o el
modelo deseado de seguridad
9. La tecnología es solo una parte de la solución.
La gente, la organización que forman, y los procedimientos
que ellos usan son igual o más importantes que la tecnología
que los soporta
Seguridad: tan fuerte como el eslabón más débil de la cadena
Una administración apropiada de la Seguridad Informática
puede ser olvidada y convertirse en el eslabón más débil de la
cadena
¿Porqué la administración de la Seguridad ?
Organización y Administración de Centros de Cómputos
10. Norma BS7799
Desarrollada originalmente por Shell, BT, Midland Bank,
Marks & Spencer, Nationwide, Unilever & Prudential
Estandar desarrollado por compañías para ser adoptado
entre ellas y poder negociar
Trata de Administración de la Seguridad Informática
Contiene numerosas medidas de control para ayudar a
reducir los incidentes de seguridad
Puede dar ventaja competitiva
Organización y Administración de Centros de Cómputos
11. Políticas de Seguridad Informática
Las políticas proveen la dirección administrativa y el
apoyo
para la seguridad Informática en la organización
Existen tres tipos de políticas
Política general
o corporativa
Políticas sobre aspectos de seguridad
Políticas sobre sistemas
Son implementadas a través de:
Procedimientos - Guías
Estándares
Alcance y propósito del programa de
seguridad, asignación de
responsabilidades en la organización.
Decisión de la gerencia con respecto
a la seguridad
Tratan aspectos de seguridad informática
para toda la organización documentando
la posición respecto a: Uso del email, uso
de internet, continuidad del negocio, virus,
etc._
Tratan la seguridad del sistema
específicos o grupos de
sistemas
Organización y Administración de Centros de Cómputos
12. Políticas de Seguridad Informática
Política general o corporativa
Objetivos en términos de confidencialidad, integridad,
disponibilidad, auditabilidad y rastreabilidad.
Alcance (hardware, software, información, personal)
Responsabilidades (programa de seguridad)
Cumplimiento (monitoreo, recompensas, sanciones)
Organización y Administración de Centros de Cómputos
13. Políticas de Seguridad Informática
Políticas sobre aspectos específicos:
Definición del aspecto explicando el riesgo
Posición de la organización (decisión)
Alcance y aplicabilidad (a qué elementos)
Roles y responsabilidades (roles específicos de la política)
Cumplimiento (monitoreo, recompensas, sanciones)
Información adicional
Organización y Administración de Centros de Cómputos
14. Políticas de Seguridad Informática
Políticas sobre aspectos específicos:
Análisis de riesgos,
continuidad del negocio,
administración de incidentes,
auditoría,
monitoreo de la seguridad,
clasificación de la información,
confidencialidad,
uso de software & copyright,
uso de software licenciado,
virus,
uso de internet, email, material indebido, identificación de
usuarios y autenticación, aseguramiento de la calidad
Organización y Administración de Centros de Cómputos
15. Políticas de Seguridad Informática
Políticas sobre sistemas
Establecimiento de los objetivos de seguridad
Requerimientos detallados Definición de reglas
Que implementan los requerimientos de seguridad
(Ej: Control de acceso)
Contienen:
Control de acceso
Reglas para uso del sistema
Asignación de responsabilidades de seguridad
Aspectos de cumplimiento
Contingencia y recuperación
Manejo de incidentes
Monitoreo del cumplimiento
Organización y Administración de Centros de Cómputos
16. Políticas de Seguridad Informática
Pruebas
Individuales
Integración
Pilotos
Mantenimiento
Administración de la documentación
Modificación
Monitoreo post implantación
Organización y Administración de Centros de Cómputos
17. Roles y Responsabilidades
Directivos
Formalizar y apoyar las políticas de seguridad
Jefe de Seguridad Informática
Velar por el desarrollo, implementación y revisión periódica
de las políticas, estandares y procedimientos
Conocer y difundir regulación
Usuarios
Seguir los procedimientos y políticas
Auditoría
Realizar una revisión externa e independiente de la
efectividad de las políticas de seguridad
Organización y Administración de Centros de Cómputos