Aspectos Estratégicos de La Seguridad de La Información

Modelo de Arquitectura de
Seguridad de la Información (MASI)

Angélica Flórez Abril, MSc.
Universidad Pontificia Bolivariana
Bucaramanga, Colombia
Octubre, 2011
Angélica FA- All rights reserved

Contenido
• Introducción
• IT Governance, Risk and Compliance
• Modelo de Arquitectura de Seguridad de la
Información - MASI
– Reconocimiento de la infraestructura
– Análisis de la infraestructura y su seguridad
– Análisis de riesgos
– Políticas de seguridad de la información
• Conclusiones
Introducción

Seguridad Informática vs. Seguridad de
la Información
Seguridad de la Información
Recurso
Humano
Seguridad
de la
Información
Procesos
Seguridad de
TI Negocio
Informática
July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la

Angélica FA- All rights reserved Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.
Qué es la Seguridad de la
Información?
“Es un proceso que busca proteger la información, contra un

compendio de amenazas, en pro de asegurar la continuidad del
negocio, disminuir los posibles daños y maximizar el retorno de
la inversión de la organización.
La Seguridad de la Información se tiene que preocupar por crear

estrategias que permitan proteger la información y el
conocimiento de la organización, bajo el control de un proceso
ordenado y secuencial que muestre un indicador positivo que
refleje el aumento del nivel de seguridad.”

Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.
Qué es la Seguridad Informática?
“Es un proceso continuo, donde la condición de los

controles de la institución es un indicador de su
postura de seguridad”
FFIEC Information Security IT Examination Handbook, Dec, 2002.

Qué es la Seguridad Informática?
“Disciplina del conocimiento donde se busca cerrar la brecha
de los eventos inesperados que puedan comprometer los
activos de una organización y así contar con estrategias
para avanzar ante cualquier eventualidad.”
Jeimy Cano. Inseguridad Informática:
Un concepto dual en seguridad informática. 2004 .

Concienciar los usuarios del
sistema de las políticas de
uso.
Preventivo Monitorización del sistema en

Revisiones constantes del
estado de la red y el búsqueda de manipulaciones
sistema. no autorizadas.
De De
Monitoreo detección
CONTROL
Repara daños al Correctivo De Acceso Privilegios de uso del

sistema atacado. sistema.

Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.
Qué es la Inseguridad Informática?
“Es una estrategia de reflexión y acción para

repensar la seguridad informática como una
disciplina que es al mismo tiempo concepto y
realidad”.
Un concepto dual en seguridad informática. 2004.

Dualismo de la Seguridad Informática
“Repensar la SI como un continuo entre técnicas de hacking y análisis de

riesgos, que permita a las organizaciones aprender de sus fallas de
seguridad y fortalecer sus esquemas de seguridad, no para contar con
mayores niveles de seguridad, sino para evidenciar el nivel de dificultad
que deben asumir los intrusos para ingresar a los sistemas.”

Vemos como podemos

saber qué tantas
“Aplicamos técnicas vulnerabilidades
de seguridad o tenemos que nos
informática para hacen inseguros,
reducir los riesgos
e implementar para tomar medidas
controles, correctivas.”

“Cuando ocurre una falla de seguridad las

personas se vuelven mas experimentadas y
saben qué hacer.”
“Sistemas mal diseñados (pensamiento natural

en SI) no están preparados para fallar
(pensamiento dual en inseguridad
informática).

Estándares de Seguridad Informática
 ISO/IEC 27002:2005 (Antes 17799) Information Security –
Security Techniques – Code of practice for information
security management.
◦ Hace recomendaciones sobre los controles.
◦ No establece requisitos que al cumplirse pudiese certificarse.
 ISO/IEC 27001:2006: Information Security – Security

Techniques – Information Security Management Systems –
Requirements.
◦ Planificar-Hacer-Verificar-Actuar
◦ Establecer, implementar, operar, hacer seguimiento, revisar,
mantener y mejorar el Sistema de Gestión de Seguridad de la
Información (SGSI)

IT Governance, Risk and
Compliance

Reflexión…
“Today, enterprises are acknowledging that a
mishmash of technologies and processes
working in silos inevitably leads to inefficiency,
increased costs and present higher risks to the
organization”.
Khalid Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining

disciplines for better enterprise security.
RISK MANAGEMENT STRATEGIES
IT Governance, Risk Management y Compliance
• IT governance establishes decision structures and
tracking mechanisms.
– ¿Cómo se toman las decisiones?
– ¿Quién toma las decisiones?
– ¿Quien mantiene la contabilidad?
– ¿Cómo los resultados de las decisiones son medidas y
monitorizadas?

• IT risk management helps mitigate adverse effects
and identifies opportunities.
– Adaptación al cambio en las necesidades del negocio.
– Una arquitectura tecnológica debe soportar los cambios
con flexibilidad, automatización y eficiencia.

• IT compliance establishes and monitors IT controls.
– Código de buenas prácticas
– Responsabilidades corporativas
– Cumplimiento regulatorio y legal

Modelo de Administración de la Inseguridad
Informática
Expectativas Objetivos del

Corporativas Negocio
Arquitectura de Cultura de Estándares y

seguridad Seguridad Buenas Prácticas
Infraestructura de
NIVEL ESTRATÉGICO seguridad Prácticas de Procedimientos
Seguridad de Operación
Informática
Configuración y
NIVEL TÁCTICO Adecuación
NIVEL OPERACIONAL
Jeimy Cano. Administrando la Inseguridad Informática. Abril, 2007.

Modelo de Arquitectura de
Seguridad de la Información -
MASI

¿Qué es Arquitectura de Seguridad
Informática?
“Organización lógica para los procesos,
estructuras y acuerdos de una corporación
que reflejan la integración y regulación de los
requerimientos del modelo operacional de la
misma”
Jeimy Cano, PhD.

¿Qué es Arquitectura de Seguridad
Informática?
“Correlación de los elementos que permiten
diseñar y construir un esquema gerencial que:
organice, administre y gestione los procesos
de la organización, bajo los fundamentos de
las buenas prácticas de la SI alineados con las
expectativas de la Alta Gerencia.”
July Calvo, Diego Parada, Angélica Flórez. Proyecto Metodología para la implementación
del Modelo de Arquitectura de Seguridad de la Información (MASI), 2010.
MASI
Estratégico • Formulación de la expectativas del negocio

• Lineamientos generales de la ASI
Táctico • Instrumentalización de la ASI a través de estándares y

normas
• Definición del comportamiento de los actores del negocio
Operacional (usuarios, alta gerencia, clientes, proveedores, entre otros)

en la ejecución de sus funciones, detallando el cómo se
realizan los procesos definidos en la ASI.
Modelo Arquitectura de Seguridad de
la Información (MASI)
Marco normativo
Gestión de la de seguridad de la
Arquitectura de información
Seguridad de la
Inforemación Acuerdos
Arquitectura de Infraestructura de
Negocio Seguridad de Seguridad de la
la Informacion Información
Método de MASI
• Conocer el Negocio:
– conocimiento detallado de las expectativas del negocio respecto a la SI.
• Definir el Marco Normativo de SI:

– plasmar en documentos las expectativas de la Alta Gerencia, así como los compromisos que
deberán ser adquiridos por los actores para dar cumplimiento a éstas.
• Gestión de la Arquitectura:
– Identificar las oportunidades de mejora de la ASI, es decir, evaluar si la ASI está alineada con los
elementos del MASI, los actores y los procesos de negocio.
• Definir los acuerdos:

– establecer las estrategias de comunicación entre el Área de seguridad de la información y la Alta
Gerencia.
•
• Establecer la Infraestructura de Seguridad:
– las medidas de protección existentes en las tecnologías de la información implantadas en los
diferentes sistemas de información de la organización, permitiendo mitigar los riesgos relacionados
con la confidencialidad, integridad y disponibilidad de la información.
MASI: Negocio
Misión
Negocio Visión
Metas
Balanced Scorecard
Plan de Desarrollo
MASI: Marco normativo de la SI
Marco Normativo
Política
Marco normativo
de seguridad de la Directrices
información Normativa
Corporativa
Normas
Procedimientos
MASI: Marco normativo de la SI
NORMATIVA DE LA SI
Marco normativo
de seguridad de la
información
MASI: Gestión de la Seguridad
Análisis de
Riesgo
Observación
Mantenimiento y Atención a
Incidentes
Gestión de la
Arquitectura de
Seguridad de la Gestión de la
Inforemación Arquitectura
de Seguridad
Evaluación
Actualización
y Revisión
Entrenamiento
MASI: Acuerdos
Determinan Físicas
Prioridades Lógicas
Competencias y
Acuerdos Habilidades
Administrativas
Nivel de Compromiso
Nivel de Inversión
Alinear la agenda interna
MASI: Infraestructura de Seguridad
Estudio de Caso: Política y
Directrices de SI de la Universidad
de la Excelencia - UE

Conclusiones (1)
Recomendación a la alta gerencia y a los

profesionales del área de tecnología: hacer de
la seguridad de la información parte
fundamental en el negocio, que les permita
ofrecer sus mejores oficios en el desarrollo de
estrategias para la protección de los recursos
informáticos y la información.

Conclusiones (2)
Los profesionales que trabajamos en seguridad

de la información, ¿qué tanto estamos
proponiendo y generando para que la alta
gerencia se preocupe por lo temas de
seguridad?.

Conclusiones (3)
La arquitectura de seguridad de la información

debe ser dinámica, de tal manera que cambie
a medida que el negocio lo hace, y debe ser
flexible permitiendo autoevaluación y ajuste
de acuerdo a los cambios e inconvenientes
encontrados.

Conclusiones (4)
Los profesionales de TI, ¿cómo estamos

“vendiendo” el concepto de seguridad de la
información y la importancia del mismo en el
proceso del negocio?.

Referencias
• CALVO, July. PARADA, Diego. Metodología para la implementación del Modelo de Arquitectura de Seguridad de la Información (MASI), 2010.
Directora: Angélica Flórez Abril.
• CALVO, July. PARADA, Diego. Diseño de la Arquitectura de la Red de la Universidad Pontificia Bolivariana Seccional Bucaramanga, 2008.
Directora: Angélica Flórez Abril.
• CANO, Jeimy. Arquitecturas de Seguridad Informática:
Entre la administración y el gobierno de la Seguridad de la Información. En: SEMINARIO DE ACTUALIZACION EN SEGUIDAD INFORMATICA. (2008:
Bucaramanga). Documento Modulo I Seminario de Actualización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática,
2008, p 28.
• CANO, Jeimy. InSeguridad Informática: Un concepto dual en Seguridad Informática [Colombia]: Junio de 2004. Disponible en Web:
http://www.acis.org.co/fileadmin/inseg-inf.pdf.
• Khalid, Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining disciplines for better enterprise security. Disponible en Web:
http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1294206,00.html.
• MINISTERIO DE ADMINISTRACIONES PÚBLICAS, España Metodología Magerit. Madrid: http://www.csi.map.es/csi/pg5m20.htm, 2005.
• CARVAJAL, Armando. Fundamentos de la Seguridad de la Información. En: ESPECIALIZACION EN SEGURIDAD INFORMATICA. (2008:
Bucaramanga). Documento Modulo II Especialización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 69.
• ALMANZA, Andrés. Seguridad en Redes y Sistemas Operativos. En: ESPECIALIZACION EN SEGURIDAD INFORMATICA. (2007: Bucaramanga).
Documento Modulo III Especialización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 231.
• ALVAREZ, Juan Rafael. Arquitectura de Seguridad [Medellín, Colombia]: Diciembre 11 de 2003. Disponible en Web:
http://www.fluidsignal.com/index.php?option=com_content&task=view&id=55&Itemid=107#20031112.
• ACOSTA, Mario. Estado actual de la Seguridad Informática en ITSON [Sonora, Mexico]: junio de 2006. Disponible en Web:
http://www.amereiaf.org.mx/4reuniondeverano/VIERNES_Seguridad_de_TI_en_ITSON_2006.pdf.
• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro I Método”, [España],
2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf.
• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro II Catalogo de
Elementos”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/catalogo_v11_final.pdf.
• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro III Guía de
Técnicas”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/tecnicas_v11_final.pdf.
• Information Security Management Cuarta Edición, Harold F. Tipton, Micki Krause AUERBACH, 1999.

Modelo de Arquitecrtura de
Seguridad de la Información - MASI
Angélica Flórez Abril, MSc.
Universidad Pontificia Bolivariana
Bucaramanga, Colombia
Octubre, 2011
MUCHAS GRACIAS!!!!

Aspectos Estratégicos de La Seguridad de La Información

Diunggah oleh

Informasi Dokumen

Hak Cipta

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Aspectos Estratégicos de La Seguridad de La Información

Diunggah oleh

Hak Cipta:

Modelo de Arquitectura de

Seguridad de la Información (MASI)

Angélica FA- All rights reserved

Angélica FA- All rights reserved

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la

“Es un proceso que busca proteger la información, contra un

La Seguridad de la Información se tiene que preocupar por crear

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la

“Es un proceso continuo, donde la condición de los

FFIEC Information Security IT Examination Handbook, Dec, 2002.

Angélica FA- All rights reserved

Jeimy Cano. Inseguridad Informática:

Un concepto dual en seguridad informática. 2004 .

Angélica FA- All rights reserved

Preventivo Monitorización del sistema en

Repara daños al Correctivo De Acceso Privilegios de uso del

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la

“Es una estrategia de reflexión y acción para

Angélica FA- All rights reserved

“Repensar la SI como un continuo entre técnicas de hacking y análisis de

Angélica FA- All rights reserved

Vemos como podemos

Jeimy Cano. Inseguridad Informática:

“Cuando ocurre una falla de seguridad las

“Sistemas mal diseñados (pensamiento natural

Jeimy Cano. Inseguridad Informática:

 ISO/IEC 27001:2006: Information Security – Security

Angélica FA- All rights reserved

Angélica FA- All rights reserved

Khalid Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining

Khalid Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining

Khalid Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining

Khalid Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining

Expectativas Objetivos del

Arquitectura de Cultura de Estándares y

Jeimy Cano. Administrando la Inseguridad Informática. Abril, 2007.

Angélica FA- All rights reserved

Jeimy Cano, PhD.

Angélica FA- All rights reserved

Estratégico • Formulación de la expectativas del negocio

Táctico • Instrumentalización de la ASI a través de estándares y

• Definición del comportamiento de los actores del negocio

Operacional (usuarios, alta gerencia, clientes, proveedores, entre otros)

• Definir el Marco Normativo de SI:

• Definir los acuerdos:

Alinear la agenda interna

Angélica FA- All rights reserved

Recomendación a la alta gerencia y a los

Angélica FA- All rights reserved

Los profesionales que trabajamos en seguridad

Angélica FA- All rights reserved

La arquitectura de seguridad de la información

Angélica FA- All rights reserved

Los profesionales de TI, ¿cómo estamos

Angélica FA- All rights reserved

Angélica FA- All rights reserved

Anda mungkin juga menyukai