cesar seguridadinformatica
TRANSCRIPT
![Page 1: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/1.jpg)
Seguridad Informática
Necesidad del Uso de Estándares
IIMV
Quito, Ecuador
![Page 2: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/2.jpg)
Agenda
Introducción. Obstáculos para implementar Seguridad
Informática Administración de la Seguridad Informática Ciclo de vida de la Seguridad Informática Conclusiones Propuesta para los miembros del IIMV
![Page 3: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/3.jpg)
IntroducciónIntroducción
La Información es un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita “Protección Adecuada”.“Protección Adecuada”.
![Page 4: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/4.jpg)
IntroducciónIntroducción
Tipos de Información Impresos o escritos en papel. Almacenada electrónicamente. Transmite por correo o en forma
electrónica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de información.
![Page 5: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/5.jpg)
IntroducciónIntroducción
La implementación de esquemas de Administración de la Seguridad Informática en la institución debe seguir estándares y mejores prácticas del mercado.
Es una necesidad del negocio ante las circunstancias actuales.
![Page 6: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/6.jpg)
IntroducciónIntroducción
![Page 7: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/7.jpg)
ObstáculosObstáculos
![Page 8: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/8.jpg)
Obstáculos Falta de conciencia de usuarios finales. Presupuesto. Falta de apoyo de la alta gerencia. Falta de Entrenamiento. Pobre definición de responsabilidades. Falta de herramientas. Aspectos legales.
![Page 9: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/9.jpg)
Administración de la Seguridad Administración de la Seguridad InformáticaInformática
![Page 10: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/10.jpg)
AS/NZS ISO/IEC 17799:2001
Conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administración de la Seguridad Informática.
Son 127 controles estructurados en diez grandes áreas.
Genera confianza entre las instituciones que se relacionan.
![Page 11: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/11.jpg)
Porqué está siendo utilizado? Único SASI que es aceptado
globalmente. Ayuda a reducir las primas de seguros. Para mejorar la Seguridad de la
Información. Eleva la confianza de clientes y aliados
en nuestra organización.
AS/NZS ISO/IEC 17799:2001
![Page 12: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/12.jpg)
Donde está siendo utilizado como un estándar nacional? Australia/New Zealand Brazil Czech Republic Finland Iceland Ireland Netherlands Norway Sweden
AS/NZS ISO/IEC 17799:2001
![Page 13: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/13.jpg)
AS/NZS ISO/IEC 17799:2001
![Page 14: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/14.jpg)
AS/NZS ISO/IEC 17799:2001
Las 10 áreas que cubre son: Políticas de Seguridad, Seguridad Organizacional, Clasificación y Control de Activos, Seguridad del Personal, Seguridad Física y ambiental, Administraciones de las Operaciones y
Comunicaciones,
![Page 15: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/15.jpg)
AS/NZS ISO/IEC 17799:2001
Las 10 áreas que cubre son: Control de accesos, Desarrollo y mantenimiento de Sistemas, Administración de la Continuidad del
negocio, Cumplimiento de aspectos legales.
![Page 16: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/16.jpg)
Áreas que cubre el EstándarÁreas que cubre el Estándar
![Page 17: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/17.jpg)
1. Políticas de Seguridad
Objetivo: Proveer dirección y soporte administrativo para
la seguridad de Información.
La administración superior debe definir una política clara y apoyar la Seguridad de la Información a través de la creación y mantenimiento de una política de seguridad de la información a lo largo de la organización.
![Page 18: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/18.jpg)
1. Políticas de Seguridad
Documento de Políticas de Seguridad. Debe ser aprobado por la administración,
publicado y comunicado a todos los empleados.
Revisión y Evaluación. La política debe ser administrada por una
persona quién es responsable de su mantenimiento y revisión de acuerdo a un proceso definido.
![Page 19: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/19.jpg)
2. Seguridad Organizacional
Infraestructura de la Seguridad de la Información: Objetivo:
Administrar la seguridad de la Información dentro de la organización.
Consejo directivo o un grupo designado por este debería de asumir la responsabilidad de la seguridad de información.
![Page 20: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/20.jpg)
2. Seguridad Organizacional
Infraestructura de la Seguridad de la Información: Deben ser claramente definidas las
responsabilidades para la protección de activos de información ó físicos y procesos de seguridad.
Se deben establecer procesos de autorización para nuevas facilidades de procesamiento de la información.
Es recomendable disponer de la asesoría de un especialista de seguridad (para propósitos de evaluación o de investigación de incidentes).
![Page 21: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/21.jpg)
2. Seguridad Organizacional
Seguridad en el acceso de terceros: Objetivo:
Mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al que acceden terceras partes.
Revisar los tipos de acceso (físicos y lógicos).
Contratos deben incluir controles.
![Page 22: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/22.jpg)
3. Clasificación y Control de activos
Accountability para los activos: Objetivo:
Mantener protecciones apropiadas para los activos organizacionales.
Inventario de Activos Ayudan a asegurar que hay una efectiva protección de
activos. Cada activo deberá ser claramente identificado y se
debe documentar la propiedad y clasificación de seguridad, además de su ubicación actual.
![Page 23: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/23.jpg)
3. Clasificación y Control de activos
Clasificación de la Información: Objetivo:
Asegurar que los activos de información reciben un apropiado nivel de protección.
Controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información.
La responsabilidad de definir la clasificación de un ítem de información debe permanecer con la persona nombrada como dueña de la información.
![Page 24: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/24.jpg)
4. Seguridad del Personal
Seguridad en la definición de trabajos: Objetivo:
Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales.
Todos los empleados y usuarios externos de los servicios de procesamiento de la información deberían firmar un acuerdo de confidencialidad.
El acuerdo de confidencialidad debe hacer notar que la información es confidencial o secreta.
![Page 25: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/25.jpg)
4. Seguridad del Personal
Entrenamiento de usuarios: Objetivo:
Asegurarse que los usuarios conocen de las amenazas y preocupaciones de la Seguridad de la Información.
Todos los empleados de la organización deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales.
La regularidad dependerá de la actualización o los cambios que se den en la organización.
![Page 26: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/26.jpg)
4. Seguridad del Personal
Respuestas a eventos de seguridad: Objetivo:
Minimizar el daño del mal funcionamiento de software o de un incidente de seguridad y monitorear y aprender de tales incidentes.
Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes.
Usuarios deberán reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios.
![Page 27: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/27.jpg)
5. Seguridad Física y ambiental
Respuestas a eventos de seguridad: Objetivo:
Prevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio.
Los elementos que forman parte del procesamiento de información sensitiva o crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad definido con controles apropiados de entrada.
Los equipos deben ser protegidos de caídas de electricidad y otras anomalías eléctricas.
![Page 28: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/28.jpg)
6. Administración de Comunicaciones y Operaciones
Responsabilidades y procedimientos operacionales: Objetivo:
Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.
Los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados constantemente.
Los cambios en los sistemas y elementos de procesamiento de información deben ser controlados.
![Page 29: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/29.jpg)
6. Administración de Comunicaciones y Operaciones
Responsabilidades y procedimientos operacionales: Se deben establecer procedimientos y
responsabilidades para el manejo de incidentes, como: Procedimientos que cubran todos los tipos potenciales
de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.
Procedimientos para Planes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas de auditoría, Reporte a las autoridades, etc.
![Page 30: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/30.jpg)
6. Administración de Comunicaciones y Operaciones
Responsabilidades y procedimientos operacionales:
Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas, (las acciones de emergencias deben ser documentadas en detalle).
La segregación de tareas es un método de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas.
Áreas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Producción.
![Page 31: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/31.jpg)
6. Administración de Comunicaciones y Operaciones
Planeamiento y Aceptación de Sistemas: Objetivo:
Minimizar los riesgos de fallas en los sistemas.
Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.
Deben establecerse criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptación.
![Page 32: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/32.jpg)
6. Administración de Comunicaciones y Operaciones
Protección contra Software Malicioso: Objetivo:
Proteger la integridad del Software y la Información.
Controles contra Software Malicioso: Política para el cumplimiento con licencias de software
y prohibir el uso de software No autorizado. Política para proteger contra los riesgos asociados al
obtener archivos o software de redes externas. Instalación y actualización regular de Antivirus y
software scaneador de computadoras cono una medida preventiva.
![Page 33: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/33.jpg)
Controles contra Software Malicioso: Revisar regularmente del software y contenido de datos de los
sistemas que soportan los sistemas críticos del negocio. Revisar cualquier archivo electrónico contra virus. Revisar los documentos adjuntos en correos electrónicos así
como cualquier archivo que se baje de Internet contra código malicioso.
Procedimientos y responsabilidades administrativas para lidiar con la protección de virus en los sistemas, entrenamiento y reporte y recuperación de ataques.
Planes de Continuidad del Negocio para recuperarse ante ataques de virus.
Procedimientos para verificar todas la información en relación con software malicioso y verificar que los boletines de advertencia son verdaderos.
6. Administración de Comunicaciones y Operaciones
![Page 34: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/34.jpg)
Soporte Continuo. Objetivo:
Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación..
Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes controles: Documentación de los Backups, copias adicionales y
almacenadas en una localidad remota. Los Back-ups se deben proteger físicamente y contra
las condiciones del ambiente.
6. Administración de Comunicaciones y Operaciones
![Page 35: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/35.jpg)
Administración de Redes. Objetivo:
Asegurar la protección de la información en las redes así como de su infraestructura.
Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.
También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas.
6. Administración de Comunicaciones y Operaciones
![Page 36: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/36.jpg)
Seguridad y Manejo de los medios. Objetivo:
Prevenir el daño a activos e interrupciones a actividades del negocio.
Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.
Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.
La documentación de sistemas puede contener información sensitiva por lo que debe ser almacenada con seguridad.
6. Administración de Comunicaciones y Operaciones
![Page 37: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/37.jpg)
Intercambio de información y software. Objetivo:
Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
El correo electrónico presenta los siguientes riesgos: Vulnerabilidad de los mensajes ó acceso no autorizado. Vulnerabilidad a errores (direcciones incorrectas). Cambio en los esquemas de comunicación (más
personal). Consideraciones legales (prueba de origen). Controles para el acceso remoto al correo.
6. Administración de Comunicaciones y Operaciones
![Page 38: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/38.jpg)
7. Controles de Acceso
Requerimientos del Negocio para el control de accesos: Objetivo:
Controlar el acceso a la información. Las reglas y derechos para el control de acceso de
usuarios o grupos de usuarios deben estar bien claras en un documento de políticas de acceso.
Administración del Acceso a Usuarios Objetivo:
Prevenir el acceso no autorizado a Sistemas de Información.
Deben existir procedimientos formales para el registro y eliminación de usuarios.
![Page 39: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/39.jpg)
7. Controles de Acceso
Deben existir procesos formales para el control de los password.
Usuarios deben seguir buenas prácticas de seguridad en la selección y uso de passwords.
Control de Acceso a la red Objetivo:
Protección de los servicios de la red. Se debe controlar el acceso a servicios internos y
externos de la red.
Control de acceso al Sistema operativo Objetivo:
Prevenir el acceso no autorizado a la computadora. Restringir el acceso a recursos de la computadora.
![Page 40: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/40.jpg)
7. Controles de Acceso
Control de Acceso a Aplicaciones. Objetivo:
Prevenir el acceso no autorizado a información mantenida en los Sistemas de Información.
Monitorear el uso y acceso a los sistemas Los sistemas deben ser monitoreados para detectar
desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad.
Computación Móvil. Objetivo:
Asegurar la seguridad de la información cuando se utilizan dispositivos móviles.
![Page 41: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/41.jpg)
8. Desarrollo y Mantenimiento de Sistemas Requerimientos de Seguridad en los Sistemas.
Objetivo: Asegurar que la seguridad es incluida en los Sistemas
de Información.
Seguridad en las Aplicaciones Prevenir la pérdida, modificación, o mal uso de los datos
en las aplicaciones.
Seguridad en los archivos del Sistema. Objetivo:
Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura.
![Page 42: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/42.jpg)
9. Administración de la Continuidad del Negocio
Objetivo: Actuar ante interrupciones de las actividades del
Negocio y proteger procesos críticos del negocio de los efectos de fallas o desastres considerables..
Marco de trabajo para el planeamiento de las actividades del negocio. Un solo marco de trabajo de los planes de continuidad
del negocio deben ser mantenidos para asegurarse que todos son desarrollados en forma consistentes , pruebas y mantenimiento.
Se deben probar con frecuencia los Planes de Continuidad.
![Page 43: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/43.jpg)
10. Cumplimiento
Objetivo: Evitar brechas o violaciones a cualquier ley
criminal o civil, regulatoria o contractual. Procedimientos apropiados deben ser
implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual.
![Page 44: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/44.jpg)
Ciclo de Vida de la Seguridad Ciclo de Vida de la Seguridad InformáticaInformática
![Page 45: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/45.jpg)
Ciclo de vida de la Seguridad Informática
Ciclo en el cual se mantiene la seguridad informática en la organización.
Está formada por un conjunto de fases. Es un método continuo para mitigar el
riesgo.
![Page 46: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/46.jpg)
Fases del proceso de seguridad
Como lo define el Sans Institute 2001
![Page 47: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/47.jpg)
Evaluación (Assess): Análisis de Riesgos basados en el
OCTAVE method. Debilidades en Seguridad Informática
(ej., auditorías, evaluación de Vulnerabilidades, pruebas de penetración, revisión de aplicaciones)
Pasos a seguir para prevenir problemas
Fases del proceso de seguridad.EvaluaciónEvaluación
![Page 48: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/48.jpg)
Debilidades: Determinar el estado de la seguridad
en dos áreas principales: Técnica y No Técnica.
No técnica: Evaluación de políticas. Técnica: Evaluación de Seguridad
física, diseño de seguridad en redes, matriz de habilidades.
Fases del proceso de seguridad.EvaluaciónEvaluación
![Page 49: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/49.jpg)
Otras áreas que se deben revisar: Seguridad exterior Seguridad de la basura Seguridad en el edificio Passwords Ingeniería social Clasificación de los datos Etc.
Fases del proceso de seguridad.EvaluaciónEvaluación
![Page 50: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/50.jpg)
El Análisis de Riesgos nos permitirá: Realizar acciones:
Proactivas Reactivas
Administrar el Riesgo: Identificar Analizar Evaluar Tratamiento a seguir
Fases del proceso de seguridad.EvaluaciónEvaluación
![Page 51: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/51.jpg)
Administración de Riesgos: Método lógico y sistemático de establecer
el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o procesos para minimizar pérdidas.
La Administración de Riesgos se puede basar en el Estándar Australiano AS/NZ 4360:1999.
Fases del proceso de seguridad.EvaluaciónEvaluación
![Page 52: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/52.jpg)
Fases del proceso de seguridad.EvaluaciónEvaluación
Establecer el Contexto e
Identificar los riesgos
Tratar riesgos, Monitorear y
comunicar
Análisis y Evaluación de
los Riesgos
Administración (basada en el estándar AS/NZ 4360)
![Page 53: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/53.jpg)
Actividades a desarrollar para evitar que sucedan acciones indeseables.
Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales.
Fases del proceso de seguridad.DiseñoDiseño
![Page 54: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/54.jpg)
Fases del proceso de seguridad.DiseñoDiseño
Necesitamos políticas? Empleados accesando Internet? Problemas con el uso de la red o el email? Empleados utilizando información confidencial o
privada? Acceso remoto a la organización? Dependencia de los recursos informáticos?
Políticas define que prácticas son o no son aceptadas.
![Page 55: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/55.jpg)
Como concientizar? En persona, por escrito o través de la Intranet. Reuniones por departamento. Publicar artículos, boletines, noticias. Crear un espacio virtual para sugerencias y
comentarios. Enviar emails con mensajes de concientización. Pegar letreros en lugares estratégicos. Dar premios a empleados. Exámenes On-line. Crear eventos de Seguridad Informática.
Fases del proceso de seguridad.DiseñoDiseño
![Page 56: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/56.jpg)
Logs en Firewalls. Se requiere Sistemas de detección de
Intrusos? O necesitamos Sistemas de
prevención de Intrusos? Firma digital para envío de
documentos?
Fases del proceso de seguridad.DiseñoDiseño
![Page 57: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/57.jpg)
Personal especializado pone en marcha los controles basados en el diseño desarrollado.
Fases del proceso de seguridad.ImplementarImplementar
![Page 58: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/58.jpg)
Tecnologías implantadas o planeadas
18%43%Análisis de VulnerabilidadesAnálisis de Vulnerabilidades
15%31%Email encriptadoEmail encriptado
5%59%Filtro de Web sitesFiltro de Web sites
3%62%Bloqueo de adjuntosBloqueo de adjuntos
12%62%IDSIDS
10%74%Filtros de emailFiltros de email
1%97%FirewallsFirewalls
0%99%AntivirusAntivirus
PlaneadoImplantadoFuente: ISSA/BSA, 2003
![Page 59: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/59.jpg)
Observar las actividades normales y reaccionar ante incidentes.
Monitoreo y alertas. Las respuestas se basan en el
documento de Políticas de Seguridad definido.
Fases del proceso de seguridad.Administración y soporteAdministración y soporte
![Page 60: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/60.jpg)
Forma en que se trata el incidente. Encontrar el problema y corregirlo. Prácticas forenses. Definir la responsabilidad y el causante
del problema.
Fases del proceso de seguridad.Administración y soporteAdministración y soporte
![Page 61: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/61.jpg)
Manejo de Incidentes: Organización, Identificación, Encapsulamiento, Erradicación, Recuperación y Lecciones aprendidas.
Fases del proceso de seguridad.Administración y soporteAdministración y soporte
![Page 62: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/62.jpg)
Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organización.
Habilidades y experiencia se alcanzan dentro de todo el proceso.
Fases del proceso de seguridad.Capacitación continuaCapacitación continua
![Page 63: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/63.jpg)
Conclusiones
Se debe contar con una unidad de seguridad informática en la organización ó con el apoyo de consultoría externa,
Impulsar un plan de concientización, No desconocer la importancia de la S.I., Utilizar una metodología: “ciclo de vida”, Acciones deben ser proactivas y no reactivas, Utilizar estándares de la industria en la
Administración de SI y de los riesgos.
![Page 64: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/64.jpg)
Objetivo Estratégico: Implementar esquemas de Seguridad Informática basados en Metodologías y estándares de la Industria de tal forma que se forme una base de conocimiento común entre las instituciones miembro del Instituto Iberoamericano de Valores.
1. Conformar un equipo de trabajo en Seguridad informática Regional, bajo la Coordinación del Instituto Iberoamericano de Valores, integrado por profesionales en tecnología de información de los BC’s.
3. Elaborar guía para realización del Diagnóstico
Propuesta de Proyecto “Harmonizacion de la Seguridad Informática”
Estándares de Seguridad
![Page 65: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/65.jpg)
1. Desarrollar diagnóstico de seguridad informática en las instituciones.
• Ejecutado por los técnicos de informática designados para el desarrollo del diagnóstico, según guía proporcionada para tal fin.
• Desarrollar el diagnóstico en cada institución.• Crear una matriz regional con los hallazgos.• Presentar hallazgos, conclusiones y recomendaciones en la próxima
reunión de informáticos del IIMV.
2. Elaborar prototipo de Seguridad Informática y presentación al foro de la reunión del IIMV para su aprobación
• Revisar documento desarrollado por técnicos en Seguridad Informática• Tomando como base diagnóstico realizado, se tomarán todas aquellas
acciones y recomendaciones que consideren más adecuadas a fin de implementarlas en cada institución.
Estándares de Seguridad
Propuesta de Proyecto “Harmonizacion de la Seguridad Informática”
![Page 66: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/66.jpg)
1. Elaborar planes de Trabajo institucionales de implementación de dichas recomendaciones
Producto de las Políticas y estándares anteriores, cada institución deberá implementar las medidas preventivas y correctivas del caso con el objetivo de nivelar los esquemas de seguridad informática
2. Implementar y dar seguimiento al Plan de Trabajo, propio de cada Institución.
Estándares de Seguridad
Propuesta de Proyecto “Harmonizacion de la Seguridad Informática”
![Page 67: Cesar seguridadinformatica](https://reader034.vdocuments.pub/reader034/viewer/2022042817/55a0a1281a28abe62f8b4756/html5/thumbnails/67.jpg)
Consultas?