Especializacion en Seguridad de la Información 2005 Academia Latinoamericana de Seguridad...
-
Upload
nita-alaniz -
Category
Documents
-
view
5 -
download
0
Transcript of Especializacion en Seguridad de la Información 2005 Academia Latinoamericana de Seguridad...
Especializacion en Seguridad de la Información
2005
Academia Latinoamericana de Seguridad Informática
Programa Integral de Formación Profesional enIMPLEMENTACION PRACTICA de medidas de
Seguridad de la Información
ISO17799 / BS7799 / COBIT
2005Todos los derechos reservados
Especializacion en Seguridad de la Información
2005
Objetivo
Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales para:
La formación PROFESIONAL del individuo
La IMPLEMENTACION PRACTICA en las organizaciones
Especializacion en Seguridad de la Información
2005
A QUIEN ESTA DIRIGIDO
Orientado a Responsables de áreas de Seguridad Informática, TI, Profesionales de Areas de Sistemas, Consultores de Tecnología, Auditores Internos y Externos de Sistemas, Profesionales y Administradores de distintas tecnologías.
Especializacion en Seguridad de la Información
2005
DESCRIPCION GENERAL
Este Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información está alineado con Normas Internacionales de aplicación en la materia y de acuerdo con Certificaciones Internacionales en Seguridad de la Información:
Normas Internacionales
•ISO177799•BS7799•ISO9001•COBIT AUDIT GUIDELINES•COSO•ITIL•SARBANES OXLEY ACT
Especializacion en Seguridad de la Información
2005
Alineado con Certificaciones Internacionales
•CISSP•CISA•CISM•CIA•ISEC+•COMPTia•ETHICAL HACKER OSSTMM
A su vez sus contenidos están alineados con los Diplomados Internacionales distintas Universidades en Latinoamérica brindan (Argentina, Ecuador, Bolivia, Perú, Chile, entre otros).
DESCRIPCION GENERAL
Especializacion en Seguridad de la Información
2005
InstructorMartín Vila
Business Director I -Sec Information Security (2002-2005)
Country Manager Guarded Networks Argentina (2001)
Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001)
Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional.
Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Microsoft, Ernst & Young / IT College, I-Sec).
Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.
Especializacion en Seguridad de la Información
2005
12 Módulos Funcionales como Metodología Práctica de
Implementación
relacionados con
10 Dominios de la ISO 17799 TEORICOS
Temario detallado
Especializacion en Seguridad de la Información
2005
Los 12 Módulos Funcionales se dividen en dos etapas:
• Módulos Funcionales 1 a 6
• Módulos Funcionales 7 a 12
Etapas
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.01. La Seguridad Informática actual: Riesgos e impacto en los negocios. Normas aplicables. Implementación de un Programa Integral. Enfoque ISO 17799.
DOMINIO 1. Política de Seguridad
MF.02. Políticas de Seguridad: Desarrollo de los temas a considerar. Técnicas de implementación de Normas y Procedimientos. Mecanismos de medición y mejora continua.
DOMINIO 1. Política de Seguridad
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.03. Estructura Organizacional: Responsabilidades, roles, perfil de la gente, Terceros y Contratados, Servicios de “HOSTING”.
DOMINIO 2. Organización de Seguridad
MF.04. Clasificación de Información: Inventarios, criterios de clasificación, estrategias de evaluación de riesgos, metodologías de implementación práctica.
DOMINIO 2. Organización de SeguridadDOMINIO 3. Clasificación y Control de Activos
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.05. Aspectos humanos de la seguridad: Concientización de usuarios, sanciones, inducción inicial, convenios de confidencialidad.
DOMINIO 4. Aspectos humanos de la seguridad
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.06. Seguridad en los Procesos Internos del área de Sistemas. Seguridad Física y Ambiental.
DOMINIO 5. Seguridad Física y AmbientalDOMINIO 6. Gestión de Comunicaciones y OperacionesDOMINIO 7. Sistema de Control de AccesosDOMINIO 8. Desarrollo y Mantenimiento de Sistemas
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.07. Sistemas de Control de Accesos: ID, contraseñas, perfiles, permisos de usuarios.
DOMINIO 6. Gestión de Comunicaciones y OperacionesDOMINIO 7. Sistema de Control de Accesos
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.08. Seguridad en el Desarrollo y Mantenimiento de Sistemas.
DOMINIO 6. Gestión de Comunicaciones y OperacionesDOMINIO 8. Desarrollo y Mantenimiento de Sistemas
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.09.Seguridad en Sistemas Aplicativos: Consideraciones, Participación en Proyectos de Implementación.
DOMINIO 6. Gestión de Comunicaciones y OperacionesDOMINIO 8. Desarrollo y Mantenimiento de Sistemas
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.10. Plan de Continuidad del Negocio.
DOMINIO 9. Plan de Continuidad del Negocio
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulos Funcionales relacionados con Dominios de la ISO 17799:
MF.11. Marco Normativo y Legal: Riesgos vs Delitos Informáticos, Organismos y Normas Internacionales, Marco legal
DOMINIO 10. Cumplimiento
MF.12. Auditoría de Sistemas: objetivos, metodologías, enfoques proactivos, requerimientos COBIT.
DOMINIO 10. Cumplimiento
Temario detallado
Especializacion en Seguridad de la Información
2005
Módulo Funcional 01
La Seguridad Informática actual
• Riesgos e impacto en los negocios• Normas, Metodologías y Legislaciones• Enfoque ISO 17799
Especializacion en Seguridad de la Información
2005
Paso 1:
Por que?
Reconocer los riesgos y su impacto en los negocios
CONSEGUIR EL APOYO DE LA DIRECCION
Especializacion en Seguridad de la Información
2005
• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
Qué Información proteger
Especializacion en Seguridad de la Información
2005
Se puede estar preparado para que ocurran lo menos posible:
• sin grandes inversiones en software
• sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad
• parametrizando la seguridad propia de los sistemas
• utilizando herramientas licenciadas y libres en la web
Principales riesgos y el impacto en los negocios
Especializacion en Seguridad de la Información
2005
Paso 2:
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas,
Metodologías y Legislaciones Internacionales aplicables
Especializacion en Seguridad de la Información
2005
Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes:
Information Systems and Audit Control Association - ISACA: METODOLOGIA COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book / Common Criteria
ITSEC – Information Technology Security Evaluation Criteria: White Book
Sans Institute
Sarbanes Oxley Act, HIPAA Act
Normas, Metodologías, Legislaciones aplicables
Especializacion en Seguridad de la Información
2005
Gestión de Seguridad
Norma ISO 17799
Especializacion en Seguridad de la Información
2005
International Standards Organization: Normas ISO
• ISO 9001 – Calidad
• ISO 14001 – Ambiental
• ISO 17799 – Seguridad de la Información
• La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO 17799.
• Basada en el BRITISH STANDARD 7799.
• ISO (Europa) y NIST (USA).
Normas de Gestión ISO
Especializacion en Seguridad de la Información
2005
Dos partes:
17799 – 1 . NORMALIZACION (Mejores Prácticas)
17799 – 2 . CERTIFICACION
Aún no fue publicada por ISO.
Hoy en día las certificaciones son sobre el BS 7799.
Norma ISO 17799 Seguridad de la Información
Especializacion en Seguridad de la Información
2005
Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestión de la seguridad de la información
Base común para el desarrollo de estándares de seguridad
Norma ISO 17799 Seguridad de la Información
Especializacion en Seguridad de la Información
2005
Preservar la:
confidencialidad:
accesible sólo a aquellas personas autorizadas a tener acceso.
integridad:
exactitud y totalidad de la información y los métodos de procesamiento.
disponibilidad:
acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
Norma ISO 17799 Seguridad de la Información
Especializacion en Seguridad de la Información
2005
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Norma ISO 17799 Seguridad de la Información
Especializacion en Seguridad de la Información
2005
• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la gerencia;
• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;
• comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;
Factores críticos del éxito
Especializacion en Seguridad de la Información
2005
• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;
• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de medición que se
utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
Factores críticos del éxito
Especializacion en Seguridad de la Información
2005
Cómo se desarrollan los Módulos?
Especializacion en Seguridad de la Información
2005
EJEMPLO
Módulo Funcional 02
Políticas de Seguridad
• Desarrollo de los temas a considerar
• Técnicas de implementación de Normas, Procedimientos y Estándares.
• Mecanismos de medición y mejora continua.
Especializacion en Seguridad de la Información
2005
Paso 1: qué dicen las normas?
Requerimiento de
Normativas Internacionales
ISO 17799 Seguridad de la Información
Especializacion en Seguridad de la Información
2005
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Marco Normativo ISO 17799
Especializacion en Seguridad de la Información
2005
Paso 2: cómo lo llevo a la práctica?
Etapas Generales
en el Desarrollo e Implementación de un
Manual de Gestión
de Seguridad de la Información
Especializacion en Seguridad de la Información
2005
Equipo de Redacción
• Sistemas (operaciones, desarrollo, tecnología)• Organización y Métodos / Normas• Auditoría Interna• Seguridad Informática• Administración de Seguridad• Representantes del sector usuario• En algunos temas: Legales y RRHH.
Identificar el equipo responsable
Especializacion en Seguridad de la Información
2005
Equipo de Aprobación
• Nivel gerencial de los sectores definidos• Foro / Comité de Seguridad Informática
• Diferenciar:
• Aprobación TECNICA• Aprobación FORMAL
Identificar el equipo responsable
Especializacion en Seguridad de la Información
2005
Microsoft Operations Framework – MOF
Modelo de Operación de Tecnología de Información - TI
Desarrollado por Microsoft basado en las mejores prácticas de ITIL
ITIL es el marco de procesos de gestión de servicios de TI más aceptado en la actualidad
ITIL es independiente de la plataforma tecnológica y MOF como modelo también lo es
MOF abarca la operación a lo largo del Ciclo de Vida de las Soluciones de Tecnología de Información
Especializacion en Seguridad de la Información
2005
Conceptos fundamentales de MOF
Servicio de Tecnología = Unidad básica de trabajo
Procesos de Operación
El rol de las Personas
Manejo del Riesgo
Modelo de Procesos
Modelo de Equipo
Disciplina de
Gestión del Riesgo
Especializacion en Seguridad de la Información
2005
MOF en el contexto de la Seguridad
Importancia de un Servicio de TI Nivel de Seguridad
Los procesos y la Seguridad Estándares, procedimientos, controles
Las personas y la Seguridad Políticas o reglas, roles, responsabilidades, privilegios
Los riesgos y la Seguridad Identificar, analizar, mitigar, controlar, contingencia
Especializacion en Seguridad de la Información
2005
Cierre del Entrenamiento
Facilidad en el USO vs mejor PROTECCION
de la Información