Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD DE LA INFORMACIN
UNIT ISO
SEMINRIO INTERNACIONAL
La Normalizacin y las TIC:
El Camino a Seguir
Las nuevas versiones de las normas de la
Familia UNIT ISO IEC 27000
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
OBJETIVO DE LA CONFERENCIA
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
~
~
~
hackers
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
VATILEAKS
Criminales cibernticos
Servicios extranjeros de inteligencia
Funcionarios de la organizacin
Competidores internacionales
Hackers
Prestadores de servicios
~
~
~
~
~
hackers
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
VATILEAKS
CQSI
Proibida Reproduo
~
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Supervivencia de la empresa
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Activos primarios:
- Procesos y actividades del negocio
- Informacin
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Protegiendo la Informacin de la
Organizacin
~
~
~
~
~
~
~
~
CQSI
Proibida Reproduo
~
Copyright CQSI
Proibida Reproduo
Activos
Informacin crtica y sensible
Amenazas
Vulnerabilidades
Riesgos
Valoracin y tratamiento de riesgo
Implementacin de controles
Monitoreo (seguimiento) de los controles
implementados
Valoracin de la eficacia de los controles
implementados
Protegiendo la Informacin de la
Organizacin
INFORMACIN QUE DEBE SER
PROTEGIDA
~Almacenadas
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
en computadoras
~Transmitida por medios electrnicos
~Impresa o escrita en papel
~Enviada por fax
~Almacenadas en cintas o discos
~Almacenadas en dispositivos mviles
~Habladas en conversaciones
Protegiendo la Informacin de la
Organizacin
RAZONES PARA IMPLANTAR UN SGSI
~Garantizar
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
- Confidencialidad
- Integridad
- Disponibilidad
Protegiendo la Informacin de la
Organizacin
PRINCIPALES TIPOS DE AMENAZAS
~Acceso
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
no autorizado
~Usuarios desleales
~Espionaje industrial
~Acciones de Hackers
~Fraude
~Fuego
~Robo de documentos confidenciales
~Robo de notebooks
Protegiendo la Informacin de la
Organizacin
CASO 1: ACCESO INDEBIDO A LOS REGISTROS
MDICOS DE UN PACIENTE
~En
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Protegiendo la Informacin de la
Organizacin
CASO 2: Un notebook de un miembro del Consejo de
Administracin de una importante empresa,
conteniendo informacin altamente confidencial, fue
robado
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Protegiendo la Informacin de la
Organizacin
CASO 3: Documentos sensibles conteniendo los planes
de negocio de una empresa, tales como fusiones y
adquisiciones, fueron robados por un proveedor y
enviados para un competidor
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Protegiendo la Informacin de la
Organizacin
CASO 4: En las ciudades de Hanoi o Ho Chi Minh
cualquier persona interesada puede comprar los ltimos
estudios de viabilidad econmica de grandes empresas
extrangeras
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Protegiendo la Informacin de la
Organizacin
CASO 5: En una reciente investigacin, se constat que
cerca del 80% de los empleados divulgan informacin
sensible de la empresa o de los clientes por medio de
telefono o de e-mail
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Protegiendo la Informacin de la
Organizacin
CAS0 6: DEUTSCHE BANK
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
~Respaldo
de Informacin (12.3.1)
~Permetro de Seguridad Fsica (11.1.1)
~Proteccin contra amenazas externas y del ambiente (11.1.4)
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
(7.1.1)
~Registro de eventos (12.4.1)
~Registros del administrador y operador (12.4.3)
~Revisin de cumplimiento tcnico (18.2.3)
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
5 POLTICAS DE SEGURIDAD DE LA
INFORMACIN
5.1 Orientacin de la direccin para la
seguridad de la informacin
5.1.1 Polticas para la seguridad de la informacin
~Polticas
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
6 ORGANIZACIN DE LA
SEGURIDAD DE LA INFORMACIN
6.1 Organizacin Interna
6.1.2 Segregacin de funciones
~Debera
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
6.2.2 Teletrabajo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
8 GESTIN DE ACTIVOS
8.1 RESPONSABILIDAD POR LOS ACTIVOS
8.1.1 Inventario de activos
8.1.2 Propriedad de los activos
8.1.3 Uso aceptable de los activos
8.1.4 Devolucin de activos
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
9 CONTROL DE ACCESO
9.1 Requisitos de negocios del control de
acceso
9.2 Gestin de acceso del usuarios
9.2.3 Gestin de derechos de acceso privilegiados
9.2.5 Revisin de los derechos de acceso de los
usuarios
9.2.6 Remocin o ajuste de los derechos de acceso
~
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
9 CONTROL DE ACCESO
9.3 Responsabilidades del usuario
9.3.1 Uso de la informacin de autenticacin
secreta
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
12 SEGURIDAD DE LAS
OPERACIONES
12.2 Proteccin contra software malicioso
12.2.1 Controles contra el malware
~
Deberan implantarse controles de deteccin, prevencin y
recuperacin para protegerse contra software malicioso, junto
con procedimientos adecuados para concientizar a los
usuarios
12.3 Respaldo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
12 SEGURIDAD DE LAS
OPERACIONES
12.4 Registro y seguimiento
12.4.1 Registro de Eventos
12.4.2 Proteccin de la informacin de
registros (LOGS)
12.4.3 Registros del administrador y del operador
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
13 SEGURIDAD DE LAS
COMUNICACIONES
13.1 Gestin de seguridad de la red
13.1.1 Controles de la red
13.1.2 Seguridad de los servicios de red
13.1.3 Segregacin en las redes
Copyright CQSI
Proibida Reproduo
divulgacin
Deberan identifcarse, revisarse y documentarse
con regularidad los requisitos para los acuerdos
de confidencialidad o de no divulgacin, que
reflejan las necesidades de la organizacin para la
proteccion de la informacin.
14 ADQUISICIN, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS
14.1 Requisitos de seguridad de los sistemas
de informacin
14.1.1 Anlisis y especificacin de los requisitos
de seguridad de la informacin
14.1.2 Servicios de aplicacin de seguridad en las
redes pblicas
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
16 GESTIN DE INCIDENTES DE
SEGURIDAD DE LA INFORMACIN
16.1 Gestin de incidentes y mejoras de
seguridad de la informacin
16.1.1 Responsabilidades y procedimientos
16.1.2 Reporte de eventos de seguridad de la informacin
~
Los eventos de seguridad de la informacin deberan ser
reportados a travs de los canales apropiados de gestin tan
pronto como sea posible.
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
17 ASPECTOS DE SEGURIDAD DE LA
INFORMACIN EN LA GESTIN DE CONTINUIDAD
DEL NEGOCIO
CQSI
Proibida Reproduo
17.2 Redundancia
Copyright CQSI
Proibida Reproduo
18 CUMPLIMIENTO
18.1 Cumplimiento de los requisitos legales y
contractuales
18.1.1 identificacin de la legislacin aplicable y de los
requisitos contractuales
18.1.2 Derechos de propiedad intelectual
18.1.3 Proteccin de los registros
18.1.4 Privacidad y proteccin de datos personales
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Introduccin
~1 Objeto
~2 Referencias Normativas
~3 Trminos y definiciones
~4 Contexto de la Organizacin
~5 Liderazgo
~6 Planificacin
~7 Soporte
~8 Operacin
~9 Evaluacin de desempeo
~10 Mejora
5 Liderazgo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
7.1 Recursos
7.2 Competencia
7.3 Toma de conciencia
7.4 Comunicacin
7.5 Informacin documentada
7.5.1 Generalidades
7.5.2 Creacin y actualizacin
7.5.3 Control de informacin documentada
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
10 Mejora
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
Partes
Interesadas
Implementar
Do
y Operar
el SGSI
CQSI
Proibida Reproduo
Expectativas
Y
Requisitos de
Seguridad de la
Informacin
Ciclo de
Desarrollo
Mantenim.
Y Mejora
Seguimiento y
Anlisis
del SGSI
Check
Partes
Interesadas
Manter y
Mejorar
Act
O SGSI
Seguridad
De la
Informacin
Gestionada
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
GENERADOR DE EMERGENCIA
RESPALDO
CONTROL DE ACCESO FISICO
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
Copyright CQSI
Proibida Reproduo
CQSI
Proibida Reproduo
ariosto@cqsi.com.br