Sesión SISTEMAS G

download Sesión SISTEMAS G

of 59

description

LLLALALALALALALAKAJDHBFYREFH4G

Transcript of Sesión SISTEMAS G

  • Ing. INGENIERIA DE SISTEMAS E INFORMATICA CICLO X

  • Su base de Datos est ProtegidaDe Manos criminales ?Los activos de su empresaHan sido inventariados yTasados?se tiene procedimientos y controles para proteccinDe software maliciosos ?

  • Sistemas de Gestin de Seguridad de la Informacin (SGSI) ISO 27001

  • 01Conceptos Bsicos

    02Sistema de Seguridad de la Informacin

    03Norma ISO 27001

    04Estructura de la ISO 27002

    05Esquema de Implementacin

    06Beneficios de la ISO 27001

    07Ejemplo

    Gestin del Riesgo

    ndice

  • PapelUSBVerbalVdeoAudioDispositivos pticosPersonas Dnde est la Informacin ?01 Revisemos algunos Conceptos bsicos...

  • 01 Revisemos algunos Conceptos bsicos...ACTIVO: Cualquier cosa que tenga valor para la organizacin, incluyendo HW,SW, Bases de Datos, personas, activos fsicos, intangibles como la imagen de la empresa.AMENAZA: Causa potencial de un incidente indeseado que puede resultar en dao para un sistema o organizacin.VULNERABILIDAD: Fragilidad de un activo o grupo de activos que puede ser explorado por una o ms amenazas.

  • 01 Revisemos algunos Conceptos bsicos...RIESGO: Combinacin de la probabilidad de un evento y de sus consecuencias.CONTROL: Formas de gestin del riesgo, incluyendo polticas, procedimientos, directrices, prcticas, estructuras organizacionales que pueden ser de naturaleza administrativa, tcnica, gestin o legal.IMPACTO: El resultado de un incidente indeseado.

  • Amenazas, vulnerabilidades y riesgos ...Vulnerabilidades01 Revisemos algunos Conceptos bsicos...

  • Tipos de amenazasFsicasRobo o destruccin de activos.Medio ambienteSismos, inundaciones, incendios, huracanes, etc.SocialesHuelgas, disturbios.HumanasErrores de operacinIntencionales (Crmenes informticos)Robo de informacin.Espionaje de datos.Vandalismo (hackeo de pginas web).Usurpacin de identidad (diversos tipos).Diversos tipos de ataques .Ingeniera social (OJO ).

    01 Revisemos algunos Conceptos bsicos...

  • Vulnerabilidades ...Asociadas a la genteContratacin de administradores de los servidores sin una revisin profunda de sus referencias (background checking).Costumbres relajadas de los usuariosP.ej. Tener visibles sus passwords.Asociadas a la disciplina (procesos-polticas-procedimientos)Debilidad en el proceso de control de cambios.Carencia total de un procedimiento rutinario de explotacin de bitcoras.

    01 Revisemos algunos Conceptos bsicos...

  • *AmenazasPassword crackingMan in the middleExploitsDenegacin de servicioEscalamiento de privilegiosHacking de Centrales TelefnicasKeyloggingPort scanningInstalaciones defaultPuertos vulnerables abiertosServicios de log inexistentes o que no son chequeadosDesactualizacinBackups inexistentesltimos parches no instaladosViolacin de la privacidad de los empleadosFraudes informticosDestruccin de equipamiento

  • *Ms Amenazas!!Captura de PC desde el exteriorViolacin de contraseasInterrupcin de los serviciosIntercepcin y modificacin y violacin de e-mailsVirusMails annimos con agresionesIncumplimiento de leyes y regulaciones Robo o extravo de notebooks, palmsempleados deshonestosRobo de informacinDestruccin de soportes documentalesAcceso clandestino a redesIntercepcin de comunicaciones voz y wirelessProgramas bomba, troyanosAcceso indebido a documentos impresosPropiedad de la informacinAgujeros de seguridad de redes conectadasFalsificacin de informacin para tercerosIndisponibilidad de informacin claveSpammingIngeniera social

  • VulnerabilidadesAsociadas a la tecnologaEn sistemas operativos.En aplicaciones-paquete.En aplicaciones desarrolladas en casa.Fuentes de informacin para vulnerabilidadesComputer Emergency Response Team : cert.orgSecurity Focus : securityfocus.comMitre Corp (CVE) : cve.mitre. orgX-Force (parte de ISS) : iss.net/security_centerMicrosoft : microsoft.com/security01 Revisemos algunos Conceptos bsicos...

  • *Vulnerabilidades ComunesInadecuado compromiso de la direccin.Personal inadecuadamente capacitado y concientizado.Inadecuada asignacin de responsabilidades.Ausencia de polticas/ procedimientos.Ausencia de controles (fsicos/lgicos) (disuasivos/preventivos/detectivos/correctivos)

    Ausencia de reportes de incidentes y vulnerabilidades.Inadecuado seguimiento y monitoreo de los controles.

  • Tipos de ControlesControles, Medidas deSeguridad osalvaguardasDETECTIVOPREVENTIVOCORRECTIVOCuando reduceLa probabilidadDe que el riesgose materialice.Cuando nos alerta en el momento de que un riesgo se materializa.Cuando nos permite minimizar el impacto una vez que un riesgo se materializa.

  • Seguridad de la informacin no es Seguridad InformticaSon medidas encaminadas a proteger el hard, soft y comunicaciones de los equipos informticos. NO gestiona.

    SEGURIDAD INFORMATICATiene aspectos:FsicosTelecomunicacionesDe acceso al sistemaCopias de Seguridad01 Revisemos algunos Conceptos bsicos...

  • 01 Revisemos algunos Conceptos bsicos...

  • accin o evento que puede atentar contra algocondicin de debilidad, inseguridad o flaqueza 01 Revisemos algunos Conceptos bsicos...

  • confidencialidaddisponibilidadintegridad02Qu es un Sistema de Gestin de Seguridad de la Informacin (SGSI)?

  • Qu es el SGSI ?*SGSI : Sistema de Gestin de Seguridad de la InformacinSistema de Gestin : ... Conjunto de procesos, procedimientos y/o actividades que se desarrollan bajo una poltica y objetivos definidos...

  • Cmo evolucionaron las Normas ?ISO-27001Agosto 2005

  • Cuales son las Normas Internacionales ?Norma ISO-17799:2005 Cdigo de Buenas Prcticas (para implementar un SGSI)Norma ISO-27001:2005 Requisitos para el SGSI (para auditar y certificar un SGSI)

  • Decreto Supremo - Normas Tcnicas PeruanasCules son las Normativas Peruanas?

  • METODOLOGA DE LA ISO/IEC 27001*SGSI - Modelo P-H-V-A03La Norma ISO 27001

  • SGSI*El sistema de gestin de la seguridad de la informacin (SGSI) es la parte del sistema de gestin de la empresa, basado en un enfoque de riesgos del negocio, para:establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin.Incluye.Estructura, polticas, actividades, responsabilidades, prcticas, procedimientos y procesos.

  • (Planificar /Hacer /Verificar /Actuar)Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

    *PlanificarVerificarHacer ActuarPartes InteresadasPartes InteresadasRequisitos y expectativas Seguridad Gestionada

  • (Planificar /Hacer /Verificar /Actuar)*El SGSI adopta el siguiente modelo:PHVAPlanificarVerificarHacer Actuar Definir la poltica de seguridad Establecer el alcance del SGSIRealizar los anlisis de riesgos Seleccionar los controles Implantar el plan de gestin de riesgos Implantar el SGSI Implantar los controles.Implantar indicadores. Revisiones del SGSI por parte de la Direccin.Realizar auditoras internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas

  • Establecer el SGSI (Plan)*Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin.

    Definir el alcance del SGSI a la luz de la organizacin.

    Definir la Poltica de Seguridad.

    Aplicar un enfoque sistmico para evaluar el riesgo.

    No se establece una metodologa a seguir.

  • Establecer el SGSI (Plan)*Identificar y evaluar opciones para tratar el riesgoMitigar, eliminar, transferir, aceptar

    Seleccionar objetivos de Control y controles a implementar (Mitigar).A partir de los controles definidos por la ISO/IEC 17799

    Establecer enunciado de aplicabilidad

  • Implementar y operar (Do)*Implementar y operar la poltica de seguridad, controles, procesos y procedimientos.

    Implementar plan de tratamiento de riesgos.Transferir, eliminar, aceptar

    Implementar los controles seleccionados.MitigarAceptar riesgo residual.Firma de la alta direccin para riesgos que superan el nivel definido.

  • Implementar y operar (Do)*Implementar medidas para evaluar la eficacia de los controles

    Gestionar operaciones y recursos.

    Implementar programas de Capacitacin y concientizacin.

    Implementar procedimientos y controles de deteccin y respuesta a incidentes.

  • Monitoreo y Revisin (Check)*Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y experiencia practica y reportar los resultados a la direccin para su revisin.Revisar el nivel de riesgo residual aceptable, considerando:Cambios en la organizacin.Cambios en la tecnologas.Cambios en los objetivos del negocio.Cambios en las amenazas.Cambios en las condiciones externas (ej. Regulaciones, leyes).

    Realizar auditorias internas.Realizar revisiones por parte de la direccin del SGSI.

  • Monitoreo y Revisin (Check)*Se debe establecer y ejecutar procedimientos de monitoreo para:Detectar errores.Identificar ataques a la seguridad fallidos y exitosos.Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.Determinar las acciones realizadas para resolver brechas a la seguridad.

    Mantener registros de las acciones y eventos que pueden impactar al SGSI.

    Realizar revisiones regulares a la eficiencia del SGSI.

  • Mantenimiento y mejora del SGSI (Act)*Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI.

    Medir el desempeo del SGSI.Identificar mejoras en el SGSI a fin de implementarlas.Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas).

    Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

  • 03La Norma ISO 27001Norma ISO 27001:2005Requisitos para el SGSINorma ISO 27002:2009 Cdigos de Buenas PrcticasTienen por objetivo proporcionar una base comn para la elaboracin de las normas de seguridad de las organizaciones, un mtodo de gestin eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas.

  • Filosofa de la ISO 27002 ( Antes 17999)Una gua de recomendaciones y estructuradas, reconocida internacionalmente y dedicada a la seguridad de la informacin.Contiene un conjunto de controles donde se identifican las mejores prcticas para la gestin de la seguridad de la informacin.Sirve como consulta al encargado de la seguridad de la informacin de una organizacin.Para qu sirve?Qu es?03La Norma ISO 27001

  • Estructura de la ISO 27002Dispone de:

    11 reas de aplicacin

    39 Objetivos (resultados que se esperan alcanzar mediante la implementacin de controles)

    133 controles (prcticas, procedimientos o mecanismos que reducen el nivel de riesgo)La ISO 17799 nos presenta con la forma de un cdigo de buenas prcticas y recomendaciones:03La Norma ISO 27001

  • 04Estructura de la ISO 17799:2005

  • Claves para el xito en la implantacin de la ISO 27001La implantacin de un SGSI, como el de cualquier sistema de gestin requiere de la participacin activa de la Direccin.La adecuada formacin y mentalizacin del personal con la seguridad agiliza no slo la implantacin inicial sino tambin el mantenimiento y la identificacin de nuevos riegos a gestionar.El sistema de gestin de seguridad debe contemplar su mejora continua para adaptarse a la evolucin de los sistemas y sus amenazas y la organizacin debe asumir un esfuerzo permanente en su mantenimiento.05 Esquema de Implantacin de un SGSI

  • 05 Esquema de Implantacin de un SGSI Inicio del ProyectoDefinicinSGSIPlan deRiesgosAnlisisde RiesgosAuditoriaMejoraContinuaPlanificacinEntrevistasDefinicin deHitosDefinir/revisar poltica SGSIDefinicin Alcance SGSIConocimientodel entornoAnlisis deRiesgosIdentificarAmenazas y vulnerabilidadesInventarioActivosIdentificacin ySeleccin decontrolesAgruparRiesgosImplantar PlanDe RiesgosImplantarcontrolesRevisin interna SGSIAuditoriasInternas SGSIAccionesCorrectivasAccionesPreventivasPlanificarHacerVerificarActuar

  • GESTIN DEL RIESGO

  • Qu se muestra en la figura?

  • Anlisis y Evaluacin del Riesgo

  • *Poltica SGSIAlcance del SGSIIdentificacin de informacin de ActivosEvaluacin de RiesgosProceso de Tratamiento de Riesgo, definicin de NRADeclaracin de AplicabilidadSe cuenta con la Poltica de Seguridad corporativa Monitoreo y revisin de la efectividad de los controles.Identificacin y valorizacin de activos(C,D.I)BS 7799-3Evaluacin de vulnerabilidades, Amenazas. Niveles de RiesgosRevisin Comit de SeguridadDueo de cada proceso, feeback a revisar en el Comit Seguridad.Revisin Comit de SeguridadRevisin Comit de SeguridadEsquema de Gestin de Riesgo Implementado

  • Anlisis y Evaluacin del Riesgo Identificacin de RiesgosHardware (PC, Terminales, Laptops, Servidores, etc.)Software (Windows 2000, XP; de Gestin)Infraestructura (Centro de Gestin de Surquillo, Basadre, Data Center, Nodos)Documentacin (Diagramas de Flujo, Procedimiento, etc.)Roles de personal (Puestos)Terceros (Proveedores y reas Internas)Paso 1: Identificacin de Activos

  • Anlisis y Evaluacin del Riesgo Identificacin de RiesgosLos activos sern evaluados de acuerdo a su impacto en la prdida de:ConfidencialidadIntegridadDisponibilidadLa escala definida para efectuar el anlisis de riesgos es la siguiente:CriticoAltoMedioBajo El valor del activo de acuerdo al impacto de los criterios definidos estar dado por la suma de lo valores en confidencialidad, integridad y disponibilidad. Paso 2: Valoracin de los Activos

  • Anlisis y Evaluacin del Riesgo Identificacin de RiesgosSe debe identificar para cada grupo de activo las vulnerabilidades y amenazas. Se utiliza como referencia lo indicado a continuacin:Recursos Humanos (BS ISO/IEC 17799:2005, Clusula 8)Paso 3: Identificacin de las amenazas y vulnerabilidades

    VulnerabilidadLa vulnerabilidad puede explotar por:Insuficiente entrenamiento en seguridadError operacional del personalFalta de advertencias de seguridadErrores de usuarioFalta de mecanismos de monitoreoUso de aplicativos de manera no autorizadaFalta de una poltica para el correcto uso de los elementos de red Acceso a la red de manera no autorizadaSesin sin cerrar luego de terminado el turnoAcceso no autorizadoFalta de procedimiento para la devolucin de activos terminado los trabajosRoboPersonal Desmotivado insatisfechoFalta de uso de facilidades de procesamiento de informacinFalta de Supervisin de personal Robo

  • Estructura del SGSI SGSI

  • 06 Por qu un Sistema de Gestin de Seguridad de la Informacin?Por nuestros clientes:Continuidad y confiabilidad para sus comunicacionesValor agregado y confianza en nuestros serviciosMejor calificacin en concursos y licitacionesFactor diferencial ante nuestro competidoresGaranta para los nuevos productos y servicios

    El SGSI ayuda a establecer polticas y procedimientos en relacin a los objetivos de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.Por nuestras Infraestructuras:Respaldo efectivo de la gestin y control.Control: Las redes pueden modernizar, crecer o cambiarLa intrusin puede provenir de un empleado confiablePodemos cometer equivocaciones o negligenciasLa seguridad como un conjunto de procesos operacionalesCon un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante un sistema definido, documentado y conocido por todos, que se revisa y actualiza constantemente.

  • 06 Beneficios de la ISO 27001Aspecto ComercialCredibilidad y confianza: socios, accionistas y clientes se tranquilizan al constatar la importancia que la organizacin concede a la proteccin de la informacin. Una certificacin tambin puede brindar una diferenciacin sobre la competencia y en el mercado.

    Aspecto FinancieroReduccin costos vinculados a los incidentes y posibilidad de disminucin de las primas de seguro.

    Aspecto HumanoMejora la sensibilizacin del personal a la seguridad y a sus responsabilidades en la organizacin.OrganizacinCompromiso: permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la organizacin en todos sus niveles y probar la diligencia razonable de sus administradores.

    Cumplimiento Legal:Conformidad: el registro permite demostrar a las autoridades competentes que la organizacin observa todas las leyes y normativas aplicables.

    Funcional:Gestin de los riesgos: obtencin de un mejor conocimiento de los sistemas de informacin, sus problemas y los medios de proteccin..

  • EJEMPLO

  • Cuales son los Objetivos del Proyecto ?Obtener una Certificacin Internacional en Seguridad de la InformacinImplementar un Sistema de Gestin de Seguridad de la Informacin : SGSIDemostrar que se trabaja SEGURIDAD

  • Informacin a Proteger*Cual es la informacin ms valiosa que manejamos?

    La informacin asociado a nuestros clientes.La informacin asociado a nuestras ventas.La informacin asociada a nuestro personal.La informacin asociada a nuestros productos.La informacin asociada a nuestras operaciones.

  • Cul es el Alcance de la Certificacin ?* Gestin de Redes y Servicios de Telefnica Empresas Per S. A. A. Alcance : ... mbito de los procesos que conforman el SGSI, los cuales son definidos por la organizacin para implementar y/o certificar el sistema ...UN SGSI ES APLICABLE A PEQUEAS, MEDIANAS Y GRANDES ORGANIZACIONES

  • Nivel de Gestin ?

  • Gestin ?

  • Mapa de Procesos

  • Por qu certificar nuestra Gestin ?

  • Donde est la Informacin del SGSI ?

    *****


Trading con sistemas automaticos. Oscar G. Cagigas

Trading con sistemas automaticos. Oscar G. Cagigas

Sesión 7 Sistemas Enviar

Sesión 7 Sistemas Enviar

Sistemas Energeticos Borrador e g 2014-0 Nivelac

Sistemas Energeticos Borrador e g 2014-0 Nivelac

Sesión 1-Unidad 3- 3er G.

Sesión 1-Unidad 3- 3er G.

G uía quinta sesión de c. t. e. primaria

G uía quinta sesión de c. t. e. primaria

Análisis y Diseño de Sistemas Sesión # 01 Fecha:.

Análisis y Diseño de Sistemas Sesión # 01 Fecha:.

Décimo primera sesión Sistemas de N partículas indistinguibles.

Décimo primera sesión Sistemas de N partículas indistinguibles.

Sistemas,codigos g y m

Sistemas,codigos g y m

SESIÓN 5 - Weebly · Exámen ontológico Sesión 2 Modelo de Negocios Sesión 3 Sistemas-SIPOC Sesión 4 y 5 Liderazgo Sesión 1 Visión Estratégica

SESIÓN 5 - Weebly · Exámen ontológico Sesión 2 Modelo de Negocios Sesión 3 Sistemas-SIPOC Sesión 4 y 5 Liderazgo Sesión 1 Visión Estratégica

SESIÓN 6 - visionestrategica2013.weebly.com · Sesión 2 Sistemas-Modelo de Negocios Sesión 3 Sistemas-SIPOC Sesión 4 y 5 Sistemas-Liderazgo Sesión 1 Visión Estratégica Sesión

SESIÓN 6 - visionestrategica2013.weebly.com · Sesión 2 Sistemas-Modelo de Negocios Sesión 3 Sistemas-SIPOC Sesión 4 y 5 Sistemas-Liderazgo Sesión 1 Visión Estratégica Sesión

SesióN 10 11 12 13 14 Sistemas Competencia

SesióN 10 11 12 13 14 Sistemas Competencia

Sesión 03 - Sistemas CRM

Sesión 03 - Sistemas CRM

Sistemas Operativos Sesión 02 Introducción

Sistemas Operativos Sesión 02 Introducción

Sesión 7 sistemas de apoyo mkt

Sesión 7 sistemas de apoyo mkt

Sesión 3 - Sistemas y señales 1 - UNAL

Sesión 3 - Sistemas y señales 1 - UNAL

Costos i sesión 03 - elementos, ciclo y sistemas

Costos i sesión 03 - elementos, ciclo y sistemas

Sesión 2 Análisis de Sistemas

Sesión 2 Análisis de Sistemas

Sesión 3-Sistemas

Sesión 3-Sistemas

Sistemas de g base de datos

Sistemas de g base de datos

Sesión 10a MOVIMIENTO CORPORAL_Dr.J L Cervantes G

Sesión 10a MOVIMIENTO CORPORAL_Dr.J L Cervantes G