Upload File

audseg-1.1 modulo i

67
Diplomado en Auditoría de Sistemas y Seguridad de la Información Universidad Nacional de Piura Escuela de Post-Grado Programa del Doctorado en Ingeniería Industrial Módulo I: Gestión de la Seguridad de la Información

Upload: jhon-brayan-jaramillo-jimenez

Post on 18-Dec-2015

218 views

Category:

Documents


0 download

Report

Tags:

DESCRIPTION

auditotia de sistemas

TRANSCRIPT

PowerPoint Template

Mdulo I: Gestin de la Seguridad de la Informacin Diplomado en Auditora de Sistemas y Seguridad de la InformacinUniversidad Nacional de PiuraEscuela de Post-GradoPrograma del Doctorado en Ingeniera IndustrialUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN1AgendaFundamentos de Seguridad de la InformacinGobierno de Seguridad de la InformacinSistema de Gestin de la Seguridad de la Informacin (SGSI)Estndares y Normatividad de Seguridad de la InformacinLa familia de estndares ISO 27000Diseo de Polticas de Seguridad de la InformacinAmenazas de Seguridad de la InformacinGestin de Riesgos de Seguridad de la Informacin.Desarrollo de taller de evaluacin de riesgos.

Modulo I: Gestin de la Seguridad de la Informacin

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN2Fundamentos de Seguridad de la InformacinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN3Mirada desde dentro de la empresa

El 60% de las empresas que sufrieron fraude por personal interno afirma que fue cometido por personal con ms de 5 aos en la empresa.Encuesta Fraude, Impacto en el NegocioErnst & Young / Nov 2006 Ene 2007250 Principales empresas del PerAunque el robo/malversacin deactivos es el que mayor incidencia tiene, el fraude por abusode posicin de confianza es el que tiene mayor impacto financierodebido principalmente a la mayor autonoma gerencial asociadacon estas posiciones.UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN4Amrica Latina: El fraude en las empresasEncuesta Fraude Financiero en las empresas de Amrica LatinaPriceWaterhouseCoopers / 2010271 empresas encuestadasEl 69% de las empresas entrevistadas que denunciaron haber sufrido algn tipo de delito econmico en los ltimos 12 meses encontraron que los autores del fraude fueron sus propios colaboradores.La gerencia media (43%) y empleados de menor nivel (49%) son los autores del 92% de los fraudes detectados, mientras que la alta gerencia contribuy de manera ms reducida (8%).La malversacin de activos ha sido y sigue siendo el delito econmico ms frecuente. En Amrica Latina, esta represent el 74% de las empresas encuestadas que admitieron haber sufrido algn tipo de delito econmico en el ltimo ao.UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN5Entorno Actual

El error humano sigue siendo el motivo principal de los fallos de los sistemas (86%), por delante de la propia tecnologa.UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN6Nuevas Amenazas Inseguridad Lgica

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN7Riesgos de Seguridad de la Informacin

Falsificacin

Fuga de Informacin

Phishing

Riesgos de las Redes SocialesMalwareVirus

Continuidad del NegocioUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN8Desconocimiento de una Gestin EfectivaEl Plan de Seguridad solo contempla elementos tecnolgicosSomos consientes de la Seguridad Ya hemos comprado un firewallEl Plan de Seguridad no est alineado con los objetivos estratgicos del negocioA nosotros no nos va a pasar nada !!!UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN9InformacinInformacinLa informacin es un activo, que tal como otros importantes activos del negocio, tiene valor para la compaa y consecuentemente requiere ser protegida adecuadamente.

ISO/IEC 17799:2005 (ISO 27002)

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN10InformacinLos activos de informacin estn expuestos a un mayor rango de amenazas y vulnerabilidades.La informacin adopta diversas formas y debera protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN11Dnde se encuentra la Informacin?

Activos de InformacinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN12Problemtica?De qu informacin importante soy responsable?Cmo puedo contribuir a resguardar la informacin?Qu tipo de informacin se maneja en la empresa?Qu hago si encuentro una hueco de seguridad?Quines son perjudicados si se hace un mal uso de esta informacin?Qu sancin merecen estos infractores?UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN13Seguridad de la Informacin y Seguridad de TISeguridad de la InformacinTiene como fin la proteccin de la informacin y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin no autorizada. Busca proteger la Confidencialidad, Integridad y Disponibilidad de la informacin y datos, independientemente de la forma los datos pueden tener: electrnicos, impresos, audio u otras formas.

Seguridad de TIBusca proteger la informacin desde una perspectiva tcnica.Se centra en el uso de tecnologas de informacin.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN14Principales Riesgos de SeguridadPassword hacking.Acceso indebido a documentos.Software ilegal.Falsificacin de informacin para terceros.Indisponibilidad de informacin clave.Spam.Violacin de la privacidad de los empleados.Intercepcin de comunicaciones.Destruccin de equipamiento.Escalamiento de privilegios.Denegacin de servicioPort scanning.Violacin de e-mails.Violacin de contraseas.Interrupcin de los servicios.Intercepcin y modificacin de e-mails.Virus.Fraudes informticos.Incumplimiento de leyes y regulaciones.Robo o extravi de notebooks.Empleados deshonestos.Robo de informacin.Destruccin de soportes documentales.Acceso clandestino a redes.Captura de PC desde el exterior.UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN15

Ataques a la Seguridad de la InformacinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN16Pilares de la Seguridad de la InformacinAseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso.CONFIDENCIALIDADQu importancia tendra que la informacin fuera conocida por personas no autorizadas?UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN17Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento.INTEGRIDADPilares de la Seguridad de la InformacinQu importancia tendra que la informacin fuera modificada fuera de control?UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN18Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.DISPONIBILIDADPilares de la Seguridad de la InformacinQu importancia tendra que el activo no estuviera disponible?UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN19Algunos Aspectos LegalesInformacin Pblica.- Informacin susceptible de poner a disposicin del pblico. Toda la informacin que posea el Estado se presume pblica, salvo las excepciones expresamente previstas por el Artculo 15 (Ley N 27806).Informacin Secreta.- Informacin del mbito militar y de inteligencia. (Artculo 15 - Excepciones al ejercicio del derecho: Informacin Secreta).Informacin Reservada.- Informacin del mbito policial y de relaciones exteriores. (Artculo 15-A- Excepciones al ejercicio del derecho: Informacin reservada).Informacin Confidencial.- Informacin referida a la intimidad, secreto bancario, reserva tributaria, etc. (Artculo 15-B- Excepciones al ejercicio del derecho: Informacin confidencial).

Ley de Transparencia y Acceso a la Informacin Pblica (Ley N 27806)UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN20Seguridad de la InformacinLos procesos y servicios de la institucinQue soporta losServicios de InformacinConfidencialidadIntegridadDisponibilidadLa Seguridad vela porUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN21Qu pasa cuando falla la Gestin de la Seguridad de la Informacin?Prdidas financierasDenuncias de las autoridades y multasPrdida de clientes y cuota de mercadoDao a la imagen de la empresaInterrupcin en las operacionesCosto de recuperacin para volver a situacin inicialLitigios civiles y laborales

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN22Catalizadores de los Fallos de SeguridadComplejidad y vulnerabilidad de la tecnologa empleadaInterconexiones cada vez ms complejasVolumen de informacin cada vez ms importanteInfraestructura cada vez ms cambianteDependencia en los procesos de negocio de TIProcesos e informacin bajo mbitos transfronterizosExternos accediendo a la informacin

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN23Gobierno de Seguridad de la InformacinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN24Gobierno de SeguridadConjunto de responsabilidades, actividades y prcticas, ejercidas por la alta direccin, gerencia y responsables de la Seguridad.Con la finalidad de brindar una direccin estratgica, garantizar que se logren los objetivos, monitorear el desempeo, administrar los riesgos en forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN25Gobierno de Seguridad EfectivoAlineacin estratgica.- Alinear la seguridad de informacin con la estrategia de negocio.Administracin del riesgo.- Administrar y ejecutar medidas apropiadas para mitigar los riesgos.Entrega de valor.- optimizar las inversiones en seguridad.Administracin de recursos.- Utiliza los conocimientos y la infraestructura de seguridad de informacin de manera eficiente y efectiva.Medicin del desempeo.- Medir, monitorear y reportar sobre los procesos de seguridad de informacin.Integracin de procesos.- Integracin de la administracin de los procesos de aseguramiento de la seguridad.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN26Marco del Gobierno de SeguridadAlineacin EstratgicaAdministracin de RiesgosEntrega de ValorAdministracin de RecursosMedicin del DesempeoEstrategia de Seguridad con los objetivos del negocioProceso de monitoreo y retroalimentacinPolticas de Seguridad que aseguren la estrategiaNormas para cada poltica y desarrollo de procedimientosEstructura Organizacional de SeguridadUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN27Seguridad de TI y Seguridad de la InformacinSeguridad de TILos Jefes o Responsables de Seguridad TI cuentan con capacidades y conocimientos tcnicos. Su responsabilidad es asegurar que la infraestructura tcnica que hace uso la organizacin sea operada de manera segura y este centrada en la tecnologaSeguridad de la InformacinLos Gerentes, Oficiales o Responsables de Seguridad de la Informacin abarca un mayor alcance en la organizacin, implica participacin en los procesos del negocio y sobre la estrategia general de la seguridad.Esta involucrado en el cumplimiento regulatorio, la administracin de riesgos y la gobernabilidad, dentro de sus responsabilidades abarca tambin los aspectos tcnicos.UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN28Conocimientos y Habilidades de los Oficiales, Jefes de Seguridad de la InformacinConceptos de Seguridad de la Informacin.Relacionar la seguridad de informacin y las operaciones del negocio.Tcnicas para asegurar el compromiso y patrocinio de la Gerencia.Temas legales y regulatorios que rigen.Funcin y contenido de elementos de un programa de seguridad.Tcnicas para desarrollar un modelo del proceso de seguridad.Conocimiento de normas y estndares internacionales.Componentes claves de un anlisis de costo-beneficio.Metodologas para valuar los recursos de informacin.Mtodos de anlisis de riesgo y estrategias de mitigacin.Mtodos y tcnicas para administrar proyectos.Arquitecturas y tecnologas de Seguridad.Conocimiento del diseo, desarrollo e implementacin de mtricas.Mtodos y tcnicas de adquisicin.Administracin de Presupuestos.Actividades y coordinaciones con proveedores.Mtodos y Tcnicas para la concienciacin y capacitacin sobre seguridad.Conocimiento de componentes de capacidades de respuesta a incidentes.Procesos de planes de recuperacin y Continuidad de Negocio.Gestin de Incidentes.UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN29Perspectiva de Gestin y TcnicaEstrategia de seguridadIdentificacin de activos de informacinIdentificacin de riesgos y amenazasEsquemas de seguridad fsicaEsquemas de seguridad lgicaEsquema de controlesPolticas, estndares y procedimientosHerramientas de seguridadCriterios de medicin y evaluacinPlanes de contingencia y continuidad

La seguridad de la tecnologa de informacin no se resuelve nicamente desde una perspectiva tcnica, requiere necesariamente de una dimensin de gestin.GestinTcnicoUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN30Compromiso de la Alta DireccinSi no se cuenta con el Compromiso y Patrocinio de la Alta Direccin, las actividades de Seguridad de la Informacin de la Organizacin NO tendrn EXITO

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN31Enfoques de la Gestin de Seguridad en las empresasTOP-DOWNLos gerentes encabezan los cambios en las empresas.Regulaciones (Locales, Internacionales)Buena prctica gerencial Falsas percepciones del riesgoCuidado!

BOTTOM-UPEl personal de TI dirige el cambio mediante experiencias y evaluaciones.Aprenda: Qu comunicar?, y Cmo comunicarlo? Entrenarse, capacitarse para: Comprender el negocio, Detectar la amenaza, Reconocer el riesgo

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN32Cmo invertir en Seguridad?

S/ 1,000

S/ 10,000

S/ 100,000

GASTO(-)

INVERSIN(+)

O

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN33Anlisis Costo-Beneficio

Lo que Cuesta VS Lo que Genera

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN34Ejemplos de Inversin en SeguridadMs personal de seguridadDelegarla a tercerosImplementar o comprar un firewall Implementar single sign-on (SSO) Abandonar sistemas legacyMigrar a sistemas operativos nuevos Asumir el despliegue de una regulacin o normativa de seguridad local, regional o global.Contratar un Pen-Test (ethical hacking)Etc.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN35Entendiendo la Seguridad

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN36El Valor de la Seguridad de la InformacinUna seguridad de informacin efectiva puede agregar valor a la organizacin:Suministrando mayor confianza en las transacciones con clientes y terceros.Mejorando la confianza en las relaciones con los clientes.Protegiendo la reputacin de la organizacin.Permitiendo nuevas y mejores formas de procesar las transacciones electrnicas.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN37Gobierno Efectivo de Seguridad de InformacinPara lograr un gobierno efectivo de seguridad de informacin, la gerencia debe establecer y mantener un marco para guiar el desarrollo y administracin de un programa completo de seguridad de informacin que soporte los objetivos del negocio.Este marco a su vez provee la base para el desarrollo de un programa eficiente en costo de seguridad de informacin que soporta las metas de negocio de la organizacin.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN38Objetivos de Seguridad de la OrganizacinEjemplos:Reducir los tiempos de respuesta a los incidentes de seguridad, en relacin al mes anterior.Capacitar el 90% del personal sobre las buenas prcticas de seguridad de informacin.Minimizar la posibilidad de que los eventos se conviertan en incidentes en relacin al mes anterior.Reduccin del mantenimiento correctivo de las infraestructuras tecnolgicas de las empresas por medio del cumplimiento del programa de mantenimiento preventivo.Etc.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN39Ejemplo de Alineacin con los Objetivos EstratgicosGenerar ValorReducir Costos OperativosResponder rpidamente a los incidentes de SeguridadIncrementar ingresos por ventasAumentar confianza de los clientesReducir prdidas y mejora en las provisionesReducir tiempos de interrupcin de procesos del negocioMejorar la efectividad de los servicios de informacinReducir incidencias de fallos en canales de atencinMejorar tiempos de respuesta en canales de atencinReducir riesgo de prdidasMejorar actitud de personal frente a los eventos de Seguridad de la InformacinIntegrar la Seguridad de la Informacin en la Cultura OrganizacionalMejorar condiciones de seguridad y salud en el trabajoAumentar disponibilidad de canales de atencinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN40Estado Deseado de la Seguridad de la InformacinEnfoques con mayor aceptacin:COBITModelo de Capacidad de Madurez (CMM)ISO/IEC 27001:2005

CMM

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN41COBITObjetivos de Control para la informacin y Tecnologas relacionadas (COBIT, en ingls: Control Objectives for Information and related Technology) Se enfoca en los controles de TI. COBIT define los controles como polticas, procedimientos, practicas y estructuras organizativas diseados para brindar confianza de que se alcanzarn los objetivos de negocio y que se evitaran o detectarn para luego corregir los incidentes no deseados.COBIT define el gobierno como una estructura de relaciones y procesos para dirigir y controlar la empresa a fin de alcanzar las metas, agregando valor mientras se equilibra el riesgo en oposicin al rdito sobre TI y sus procesos.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN42Estado Deseado de Seguridad de la Informacin

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN43Modelo de Capacidad de MadurezConsiste en calificar cada rea definida de seguridad en escala de 0 a 5 con base en la madurez de los procesos.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN44ISO/IEC 27001

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN45Determinar el Estado Actual de la Seguridad de la InformacinDeterminar con Estado Actual con un anlisis de brechas o Gap con cualquiera que sea la combinacin que se utiliz para el estado deseado.Proporcionar un comparacin entre los dos estados y se determinar lo que se necesite para alcanzar los objetivos.Otros mtodos:Evaluacin de Riesgos de SeguridadAnlisis de Impacto al Negocio (BIA)UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN46Programa de Seguridad de la InformacinEl objetivo del Programa de Seguridad de informacin ser: Proteger tanto los intereses de aquellos que dependen de la informacin como los procesos, sistemas y comunicaciones que la maneja, almacena y entrega de sufrir algn dao que resulte en fallas en la Disponibilidad, Confidencialidad e Integridad de la informacin IT Governance Institute CobitLos objetivos de seguridad se alcanzarn cuando los activos/recursos de informacin cumplan con:

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN47Programa de Seguridad de la InformacinEl programa de seguridad debe incluir y tratar lo siguiente:La Estrategia de seguridad con la aceptacin y apoyo de la alta direccinLa Estrategia debe estar vinculada con los objetivos del negocioPolticas de Seguridad congruentes y alineadas con la estrategiaNormas para las polticas relevantesProcedimientos completos y precisos de las operaciones crticasAsignacin clara de roles y responsabilidadesActivos de informacin identificados y clasificados por su criticidad y sensibilidad

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN48Programa de Seguridad de la Informacin Controles efectivos que se hayan diseado, implementado y mantenidoProcesos de monitoreo efectivos y eficientesCapacidad de respuesta antes emergencias e incidentes que sean funcionales y probadosPlanes probados de recuperacin de desastre/continuidad de negocioRiesgos identificados, evaluados, comunicados y administradosConciencia y capacitacin sobre seguridadEntendimiento y trato de temas legales y regulatorios

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN49

Personas

Procesos

TecnologaRH DedicadosEntrenamientoSeguridadpensamiento y prioridadCapacitacin a empleadosPlaneacin de seguridadPrevencinDeteccinReaccinTecnologa de puntaEstandar, encripcin, proteccinFuncionalides de productoHerramientas de Seguridad y productosSeguridad de la InformacinAlcanzar el estado deseado ser un proyecto o un conjunto de proyectos de mediano o largo plazo.PLAN DE ACCINUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN50Sistema de Gestin de Seguridad de la InformacinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN51Sistema de Gestin de Seguridad de la Informacin (SGSI)El modelo ISO 27001:2005 define a un SGSI como: El SGSI es un proceso que permite establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin en una organizacin, basado en un enfoque de riesgo.Este sistema esta conformado de una estructura organizativa de personas, procesos y tecnologa.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN52Beneficios de un SGSIGestin eficiente del Riesgo.Establecimiento de metodologa de Gestin de la Seguridad estructuradaConfianza de los clientes y socios de negocio.Aseguramiento de la continuidad de las operaciones del negocioConformidad con las leyes y legislaciones vigentes.Reduccin de costos y mejora en los procesos y servicios de la organizacinMejora del clima laboral, aumentando la motivacin y satisfaccin del personalImagen y reputacin de la organizacin, siendo un elemento diferenciador del mercadoSe integra con otros sistemas de gestin como calidad, salud, etc.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN53Modelo de Implementacin de un SGSI

Modelo PCDA: Planificar (Plan): Establecer el SGSI. Hacer (Do): Implementar y utilizar el SGSI. Verificar (Check): Monitorizar y revisar el SGSI. Actuar (Act): Mantener y mejorar el SGSI.UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN54Modelo de Implementacin de un SGSIISO 27001 Sistema de Gestin de Seguridad de la Informacin:Especifica el marco referencial para establecer, implantar y documentar un SGSI en base al modelo PDCA.Establece requisitos para implantar controles ISO 17799 ISO 27002 (En Anexo A ISO 27001).Es un estndar certificableUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN55Consideraciones para implementar un SGSIConsideraciones para Iniciar la Implementacin:Compromiso y participacin de la Alta DireccinPlanificacinResponsablesTiemposRecursos

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN56Factores de xitoCompromiso de la Alta Direccin y GerenciasDefinicin clara y precisa del Alcance del SGSIEducacin y Concienciacin de las personas de la organizacinBuena y efectiva Gestin de RiesgosProvisin de los recursos necesarios.Organizacin y ComunicacinMarketing Efectivo de la Seguridad de la Informacin.

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN57Factores de RiesgoEL SGSI No est alineada al negocioDefinicin imprecisa del Alcance del SGSIExceso de tiempo en la implementacinPlanes de formacin y concienciacin inadecuadosDelegacin completa de la responsabilidad a TIIncumplimiento de planesFalta de ComunicacinResistencia de las personas (temores)

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN58Sistema de Gestin de Seguridad de la InformacinDOCUMENTACIN DE UN SGSI

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN59Modelo de Seguridad

UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN60Estndares y Normatividad de Seguridad de la InformacinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN61Normas y Estndares de Control y Seguridad COBIT : Objetivos de Control para la Informacin y Tecnologa de Informacin ITIL: Information Technology Infrastructure Library ISO/IEC 27001 y 27002: Estndares para la seguridad en Tecnologa de Informacin NIST: Security Hands Book CC: Common Criteria 1985-Red Book, en 1999 International Standard 15408 COSO : Committee of Sponsoring Organisations of the Treadway Commisssion Internal Control-Integrated Framework UNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN62Estndares de Seguridad de la InformacinConfidencialidadintegridadDisponibilidadISO/IEC27001Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).Information technology - Security techniques - Information security management systems - Requirements.ISO/IEC 27002Information technology - Security techniques - Code of practice for information security management (anterior ISO/IEC 17799:2005)Gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin con 11 dominios, 39 objetivos de control y 133 controles. Seguridad de la InformacinTextUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN63

Estndares de Seguridad de la InformacinUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN64ISO/IEC 27001

PersonasProcesosTecnologaUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN65Familia de estndares ISO 27000ISO 27000SGSIFundamentos y vocabularioISO/IEC27001:2005RequerimientosISO/IEC27002:2005(ISO 17799:2005)

ISO/IEC27003Lineamientos para la ImplantacinISO/IEC27004Lineamiento Mtrica y MedicionesISO/IEC27005:2008SGSILineamientoGestin del RiesgoISO/IEC 27006Requerimientos para entes que proveen auditora y certificacin a un SGSIUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN66Muchas Gracias!Mdulo I: Gestin de la Seguridad de la Informacin Diplomado en Auditora de Sistemas y Seguridad de la InformacinUniversidad Nacional de PiuraEscuela de Post-GradoPrograma del Doctorado en Ingeniera IndustrialUNIVERSIDAD NACIONAL DE PIURAAUDITORA DE SISTEMAS Y SEGURIDAD DE LA INFORMACIN67


Modulo 10 MIDP 2.0 y MMAPI 1.1

Modulo i presentacion2007

UNITA 1.1 I MICRORGANISMI MODULO 1. Pag. 2 I microrganismi S ono organismi visibili al microscopio Principali microrganismi rilevanti in campo alimentare:

Apostila Calandra-Modulo I e Modulo II

Modulo Mercadeo I

Modulo 1.1

Presentacion Modulo I

Modulo 1.1 introducción a la web 2.0

DEFENSA CIVIL COLOMBIANA I PRIMEROS AUXILIOS DEFENSA CIVIL MODULO I C.P.A I MODULO I

UNITÀ 1.1 FATTORI TOSSICI E CONTAMINAZIONE ALIMENTARE 1 MODULO

Modulo 1.1 ejemplos si

Modulo 1.1 si y adl

Livro Modulo 1.1

Actores Modulo 1.1

INSTRUCTIVO – SLIDE SHOW CK 1.1 Modulo Slide Show CK

MODULO INGLES CICLO IV GRADO OCTAVO - …cardenascentro.edu.co/nocturno/ciclo iv-1/MODULO INGLES CICLO I… · 4 PRIMERO Y SEGUNDO PERÍODOS 1. GRAMMAR 1.1. SIMPLE PRESENT & PRESENT

WindowsXP Modulo I

Modulo i Tesis i

1. MODULO DE CONTROL PLANEACION Y GESTION 1.1 …

Modulo 1.1 Diabetes

Corso ECDL/EIPASS 7 Moduli - Modulo 1.1 - Syllabus 5

1. Modelo político criminal actual. 1.1 Modelo Garantista. · 1 LECTURA 1 MODULO I PRINCIPIOS DEL SISTEMA ACUSATORIO MODULO I 1. Modelo político criminal actual. La política criminal

Modulo i Submodulo i

MODULO I.-,

Modulo I Unidad

Modulo 1.1 Gestión de la Creatividad en la empresa

Modulo i Segmentacion

A.M.Marco Modulo I

MODULO I 1. TRASTORNOS PSICOLÓGICOS Y PSIQUIÁTRICOS … 1.1.pdf · ! 1! MODULO I 1. TRASTORNOS PSICOLÓGICOS Y PSIQUIÁTRICOS MÁS FRECUENTES 1.1 Trastornos afectivos Roberto era

Modulo I: Introducción 1€¦ · Modulo I: Introducción 3 Q 1.1. Introducción: Interés por la GCT. • Interés por la GCT: – Aumento creciente de la competitividad: globalización

I modulo i anno

Modulo 1.1-Concetti Baseold 1.1-Concetti Base.pdf3 European Computer Driving Licence Modulo 1 13 L’Elaboratore elettronico •Il sistema di elaborazione è l'insieme costituito dalle

Modulo Algoritmos I

Modulo Programacion I

RESUMEN MODULO I