Академический Документы
Профессиональный Документы
Культура Документы
AUDITORIA DE TECNOLOGÍAS DE LA
INFORMACION Y
SEGURIDAD INFORMATICA
I CICTASSI
UNIVERSIDAD CATOLICA SANTO TORIBIO DE MOGROVEJO
UNIVERSIDAD CATÓLICA SANTO TORIBIO DEL MOGROVEJO -USAT
CHICLAYO - PERU
Módulo I
CHICLAYO
Abril 2013
I CICTASSI
PROGRAMA DE ESPECIALIZACION EN AUDITORIA DE
TECNOLOGÍAS
UNIVERSIDAD DE TORIBIO
CATÓLICA SANTO LA INFORMACION Y
DEL MOGROVEJO -USAT
SEGURIDAD INFORMATICA
1
Agenda
3. Clasificación de la Información
• Responsables y roles
• Criterio y Procedimiento
4. Concienciación y Capacitación
• Beneficios, consideraciones
• Despliegue
Presentación
• Nombre
• Organización/Empresa
• Función/Cargo/Titulo
• Experiencia en Seguridad/Auditoria
2
Introducción a la
Seguridad de la
Información
Información
ISO/IEC 27001:2005
3
¿Donde encontramos la Información?
Escrita
Conocimiento de las
Personas
Documentos
Hablada Electrónica
Recursos de
Tecnología de Información
Incidentes de Seguridad
4
Acciones contra la Información
• Filtrar
• Modificar
• Borrar
• Usurpar datos.
• Hojear información clasificada.
• Clasificar y desclasificar los datos.
• Deducir datos confidenciales.
• Vender información.
AMENAZAS CONTRA
LA INFORMACION
5
La Documentación….
Procedimientos Normas
Manuales
Estándares
Directivas
Políticas
Reglamentos
Instrucciones
6
En la gestión de los Activos de Información..
7
En las comunicaciones y operaciones ….
admin
8
En el desarrollo y mantenimiento de sistemas …..
Certificación
Calidad y Calidad y
exactitud seguridad del
código
Detectar Códigos
Fallos de terceros
Maliciosos
Auditar calidad y exactitud
9
Robo de Identidades y de Información
Redes Sociales
Videos
Amigos Blogs
Grupos Fotos
YO
Etiquetas Dispositivos
Comentarios
10
Redes Sociales
11
En el cumplimiento de leyes y regulaciones…..
12
13
Desconocimiento de una Gestión
Efectiva de Seguridad de la Información
La Seguridad de la Información es responsabilidad de
Sistemas.
¿Que hacemos?
14
Gestión de la Seguridad de la Información
“ Es un proceso sistemático y continuo
orientado a la protección de los activos
críticos y sensibles de la organización
mediante un adecuado análisis y control de
los riesgos a los que están expuestos.
… en toda la Organización
15
Principios Fundamentales de la Seguridad
de la Información
Asegura que la
información esta en el
lugar, momento y forma
que es requerido por el
usuario autorizado.
PROCESO DE
IDENTIFICAR LA GESTION
DEL RIESGO
TRATAR
MONITOREAR
16
Oficiales de Seguridad Informática
17
Conocimientos y Habilidades de los
Oficiales, Jefes de Seguridad de la Información
• Conceptos de Seguridad de la Información
• Relacionar la seguridad de información y las operaciones del negocio
• Técnicas para asegurar el compromiso y patrocinio de la Gerencia
• Conocimientos de Temas legales y regulatorios.
• Función y contenido de elementos de un programa de seguridad
• Técnicas para desarrollar un modelo del proceso de seguridad
• Conocimiento de normas y estándares internacionales
• Componentes claves de un análisis de costo-beneficio
• Metodologías para valuar los recursos de información
• Métodos de análisis de riesgo y estrategias de mitigación
• Métodos y técnicas para administrar proyectos
• Arquitecturas de Seguridad
• Tecnologías de Seguridad
• Conocimiento del diseño, desarrollo e implementación de métricas
• Métodos y técnicas de adquisición
• Administración de Presupuestos
• Actividades y coordinaciones con proveedores
• Métodos y Técnicas para la concienciación y capacitación sobre seguridad
• Conocimiento de componentes de capacidades de respuesta a incidentes
• Procesos de planes de recuperación y continuidad de Negocio
• Gestión de Incidentes
18
Certificaciones Internacionales en Seguridad de
la Información
www.isaca .org
www.isc2 .org
COSO
COMO
COBIT 4.1
QUE
ISO 9001 CMMI ISO BS 25999
ITIL 27001
PMBOK
19
FIN
INTRODUCCIÓN
Gobierno de la
Seguridad de la
Información
20
Gobierno de Seguridad de la Información
21
Marco del Gobierno de Seguridad de la
Información
2. Administración de Riesgos
•Entendimiento
•Conciencia
•Tratamiento
•Aceptación
3. Entrega de Valor
•Requerimientos
•Priorización y distribución
•Soluciones
•Cultura de mejora continua
22
Resultados de un Gobierno de Seguridad
Efectivo cont….
4. Administración de Recursos
•Conocimiento e Infraestructura
•Documentación
•Arquitectura de Seguridad
Si no se cuenta con el
Compromiso y Patrocinio de la
Alta Dirección, las actividades de
Seguridad de la Información de la
Organización
NO tendrán EXITO
23
Compromiso de la Alta Dirección
24
Estrategia de Seguridad
Criterios mínimos que se deben considerar para desarrollar la estrategia:
25
Estado actual-deseado de la Seguridad
de Información
Descripción de los Enfoques con mayor aceptación.
0 1 2 3 4 5
Modelo de
Madurez
Leyenda
26
Estado actual-deseado de la Seguridad
de Información
ISO/IEC 27001:2005
Anexo A
1. Políticas de Seguridad
2. Organización de la seguridad de la Información
3. Administración de Activos
4. Seguridad de los recursos humanos
5. Seguridad Física y de ambiente
6. Administración de las comunicaciones y operaciones
7. Administración de Accesos
8. Adquisición, desarrollo y mantenimiento de Sistemas de
Información
9. Administración de incidentes de seguridad de la información
10. Administración de la continuidad de negocios
11. Cumplimiento
Otros métodos:
• Evaluación de Riesgos
27
Desarrollo de la Estrategia de Seguridad
Consideraciones para el desarrollo
• Maximizar el éxito de los procesos y minimizar los impedimentos para ejecutar estos.
Plan
• Compromiso de la alta
de
dirección y el personal. Acción • Tecnología y Productos de
Seguridad.
• Estructura Organizacional de la
• Herramientas de gestión.
Seguridad
Personas Tecnología • Productos de Monitoreo
• Concienciación y Capacitación
de Seguridad.
28
Recursos de la Estrategia
RECURSOS : Son todos aquellos mecanismos que están disponible para alcanzar el
estado deseado y tomarse en cuenta para el desarrollo de la estrategia, estos son:
• Políticas
• Normas
• Procedimientos
• Controles
• Contramedidas
• Defensa en profundidad
• Tecnologías
• Seguridad del Personal
• Roles y Responsabilidades
• Capacitación
• Concienciación
• Auditorias
• Evaluación de Riesgos
• Evaluación de Impacto al Negocio
• Instalaciones
• Seguridad ambiental
Recursos: Controles
“Políticas, procedimientos, prácticas y estructuras organizacionales que están
diseñados para brindar una confianza razonable de que se alcanzarán los
objetivos del negocio y que se evitarán, detectarán y corregirán los
incidentes”
Controles Físicos
Controles Técnicos
Controles Administrativos Los controles deben ser
seleccionados basados en el
Activos, Información costo de implementación, el
de la Organización costo de riesgo reducido y la
pérdida potencial si un
incidente de seguridad
ocurre.
29
Recursos: Tecnologías
Tecnologías típicas de seguridad disponibles:
Restricciones de la Estrategia
RESTRICCIONES : Limitantes que se debe considerar cuando se desarrolle
la estrategia y el plan de acción de seguridad, estos son:
30
Programa de Seguridad de la Información
Confidencialidad
31
Programa de Seguridad de la Información …. Cont
Riesgos identificados, evaluados, comunicados y
administrados
FIN
Gobierno de la Seguridad de la
Información
32
Clasificación de la
Información
Clasificación de la Información
La información es crítica y sensible de acuerdo al
valor económico, legal, estratégico, etc. que estas
poseen para la organización
33
Responsables y Roles de la Clasificación
de la Información
Propietario - Dueño: Define el nivel de clasificación de la información, revisa
periódicamente los cambios que sean necesarios dentro de la información que
administra, aprueba los cambios de los niveles de clasificación de acuerdo al
resultado de la revisión y análisis. Delega la responsabilidad de la protección de
datos al custodio.
Usuario: Es considerado cualquier individuo que usa la data para realizar sus
actividades laborales, debe tener los niveles necesarios de acceso a la data
para desempeñar sus deberes y su responsabilidad para seguir los
procedimientos de seguridad operacional para asegurar las características de
seguridad.
Edad de la Información.
34
Procedimiento para Clasificación de la Información
El propietario de la información debe indicar la clasificación de la misma.
Indicar los niveles de controles de seguridad que son requeridos para cada nivel de
clasificación.
Clasificación de la Información
Comercial - Privado
35
Clasificación de la Información
Militar - Gobierno
Cultura y Concienciación
sobre Seguridad
36
Concienciación en Seguridad de la Información
El conocimiento de la seguridad es con frecuencia un elemento pasado por alto de la
gerencia de seguridad porque la mayoría del tiempo se invierte en controles, detección de
la intrusión, evaluación de riesgo y/o administrando la seguridad proactiva y/o
reactivamente.
37
¿Que consideraciones debe tener el programa de
concienciación y capacitación?
Conocer la cultura y el comportamiento del personal de la organización
Concienciación: Despliegue
El despliegue de la concienciación y entrenamiento debe contener una estrategia de
marketing de seguridad mediante:
Incentivos y premios
Revisiones de desempeño
38
Resultados de un programa de capacitación en
Seguridad RIESGO
%
RIESGO
COSTO
TIEMPO DE REACCION
100
80
60
40
20
0
Nada Concienciación Capacitación Conocimiento Sostenido Programa de Concienciación
Sparks/Litton/PRC
FIN
Clasificación de la
Información y Concienciación
39
SISTEMA DE GESTION DE SEGURIDAD
DE LA INFORMACION
(SGSI)
40
Evolución del BS 7799 a ISO 27001
41
Código de buenas prácticas para la Gestión de la Seguridad de la Información
42
Beneficios del SGSI en la Organización
Establecimiento de una metodología de Gestión de la Seguridad estructurada
43
Pasos para Implementar el SGSI
Consideraciones para Iniciar la Implementación:
• Kickoff de Inicio
• Planificación
• Responsables
•Tiempos
• Recursos
4. Inventario de Activos
7. Selección de controles
44
Pasos para Implementar el SGSI - HACER
3. Formación y Concienciación
4. Operar el SGSI
4. Auditorias Internas
45
Pasos para Implementar el SGSI - ACTUAR
Fase 1
• Revisión de Documentación del SGSI
• Revisión de Controles claves:
Política de seguridad.
Asignación de responsabilidades de seguridad.
Formación y capacitación para la seguridad.
Registro de incidencias de seguridad.
Gestión de continuidad del negocio.
Protección de datos personales.
Controles de registros de la organización.
Derechos de propiedad intelectual.
Fase 2
• Revisión y verificación In Situ de la documentación de las Fases 1
• Revisión del Objetivo, Alcance, Procesos, exclusiones de la
Declaración de Aplicabilidad
• Presentación del Informe Final en reunión de cierre
46
Factores de Éxito
Factores de Riesgo
EL SGSI No está alineada al negocio
Definición imprecisa del Alcance del SGSI
Exceso de tiempo en la implementación
Planes de formación y concienciación inadecuados
Delegación completa de la responsabilidad a TI
Incumplimiento de planes
Falta de Comunicación
Resistencia de las personas
47
FIN MODULO I
¡GRACIAS!
herrera.alcides@gmail.com
I CICTASSI
PROGRAMA DE ESPECIALIZACION EN AUDITORIA DE
TECNOLOGÍAS
UNIVERSIDAD DE TORIBIO
CATÓLICA SANTO LA INFORMACION Y
DEL MOGROVEJO -USAT
SEGURIDAD INFORMATICA
48