Quines somos
Factores de xito
Introduccin
Pero, Qu es para ti seguridad?
Se necesita una base comn que propicie el entendimiento
Entonces me dices que puedo estar tranquilo, que ya tienes claro lo que quiero para mis datos
Cuenta con ello, mi compaa tiene el sistema perfecto y seguro para cubrir tus expectativas
Introduccin
Seguridad, de qu estamos hablando?
La seguridad de la informacin se caracteriza como la preservacin de su Confidencialidad, su Integridad y su Disponibilidad
SEGURIDAD
CONFIDENCIALIDAD
AUTENTICACION
INTEGRIDAD
NO REPUDIO
DISPONIBILIDAD
TRAZABILIDAD
RESPONSABILIDAD
GESTIN DE LA SEGURIDAD
SEGURIDAD TOTAL
Oficina Principal
Servidores Web PCs de empleados Servidor transaccional
Servidores corporativos
CA Interna
Consola antivirus
Servicios externos
Router
Balanceador de carga Firewall Firewall Switch IDS Servidor de correo Gateway VPN Servidor de autorizacin y autenticacin
Monitorizacin Actualizacin de antivirus Mantenimiento de firewalls Anlisis de vulnerabilidades Confianza y PKI, Etc.
PCs de empleados
Switch
Router
Servidores
Delegacin
Conexiones remotas
11% 15%
23%
Gestin de la Seguridad
Evolucin de la seguridad de la informacin
Negocio
Aplicaciones
Sistema
Com
Entorno
Terceros
Personal
Operacin
Desarrollo
Productos
Estructura de la Norma
Seccin
8.- Gestin de comunicaciones y operaciones
Objetivo
8.2.- Planificacin y aceptacin del sistema
Minimizar el riesgo de fallos de los sistemas
Control
8.2.2.- Aceptacin de Sistemas
Se establecern criterios de aceptacin para sistemas y versiones nuevos o mejorados y se desarrollarn con ellos las pruebas adecuadas antes de su aceptacin
Poltica de seguridad
(7 Objetivo, 23 Controles)
(8 Objetivo, 31 Controles)
(1 Objetivo, 3 Controles)
(5 Objetivo, 18 Controles)
Control de acceso
Comunicaciones Y operaciones
Mantenimiento De sistemas
(1 Objetivo, 5 Controles)
Seguridad fsica
(3 Objetivo, 13 Controles)
Estructura organizativa
(3 Objetivo, 10 Controles)
Clasificacin de activos
(1 Objetivo, 3 Controles)
ndice
Motor de bsquedas
Procedimientos genricos
Organizacin
Mapa de Procesos
Control documental Control de registros Gestin de incidentes Acciones preventivas Acciones correctivas
Parmetros
ISO 17799
Seccin 3: Poltica de seguridad
Documento de poltica
Revisin y evaluacin
Trata de que se disponga de una normativa comn de seguridad que regule las lneas maestras sobre como va a trabajar toda la organizacin
ISO 17799
Seccin 4: Estructura organizativa
Infraestructura de seguridad de informacin
Comit Coordinacin Responsabilidad Autorizacin Asesoramiento Cooperacin Revisin Identificacin De riesgos Requerimientos De seguridad En los contratos Requerimientos De seguridad En los contratos
Externalizacin
Establece la estructura organizativa (terceros, responsables, comits, colaboraciones, etc.) y su funcionamiento de cara a gestionar la seguridad de la informacin
ISO 17799
Seccin 5: Clasificacin y control de activos
Responsabilidades Sobre los activos Clasificacin De la informacin
Marcado y tratamiento
Incorpora las herramientas para establecer qu debe ser protegido, qu nivel de proteccin requiere y quin es el responsable principal de su proteccin
ISO 17799
Seccin 6: Seguridad relacionada con el personal
Seguridad en la definicin de los puestos de trabajo
Seguridad en la definicin de puestos Seleccin y poltica de personal
Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la informacin
ISO 17799
Seccin 7: Seguridad fsica y del entorno
reas seguras Seguridad de los Equipos Controles generales
Permetro de seguridad Control de accesos Oficinas y despachos El trabajo en reas seguras Zonas de carga y descarga
Instalacin y proteccin Electricidad Cableado Mantenimiento Seguridad fuera De la oficina Reutilizacin o eliminacin
Incluye las medidas de seguridad fsica (edificios, salas, cableado, armarios, etc.) que se deben tomar para proteger los sistemas y la informacin
ISO 17799
Seccin 8: Gestin de comunicaciones y operaciones
Procedimientos y responsabilidades Planificacin del sistema Planificacin de capacidad Aceptacin de sistemas Proteccin cdigo malicioso Medidas y controles Copias Logs Registro de fallos Gestin de respaldos
Determina las medidas de seguridad que la organizacin debe contemplar en sus operaciones y en el uso de las comunicaciones
ISO 17799
Seccin 8: Gestin de comunicaciones y operaciones
Gestin de redes Controles de redes Intercambios de informacin Acuerdos Soportes en trnsito Uso y seguridad de soportes eCommerce eMail Informacin publica Otras formas De intercambio
ISO 17799
Seccin 9: Control de accesos
Requerimientos Responsabilidad usuarios
Uso de passwords Equipos desatendidos
Routing Autenticacin usuarios externos Autenticacin de nodos Puertos de diagnostico Segregacin de redes Control de conexin Control de routing Seguridad de los servicios de red
Poltica
Establece las medidas de control de acceso a la informacin a los distintos niveles en los que se puede plantear
ISO 17799
Seccin 9: Control de accesos
Control de Acceso al SO
Identificacin de terminales Logon Identificacin de usuarios Gestin de passwords Utilidades del sistema Alarma bajo coaccin Desconexin de terminales Ventanas de conexin
ISO 17799
Seccin 10: Desarrollo y mantenimiento de sistemas
Requerimientos de seguridad
Anlisis y especificaciones
Controles criptogrficos
Poltica de criptografa Cifrado Firma digital No repudio
Seguridad en aplicaciones
Validacin de entrada Control proceso interno Autenticacin mensajes Validacin de salida
Gestin claves
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
ISO 17799
Seccin 11: Gestin de continuidad de negocio
Aspectos de la Gestin de continuidad Proceso de gestin Anlisis de impactos Redaccin e Implantacin de PCN Planificacin Pruebas y mantenimiento
Incorpora los aspectos que la organizacin debe tener en consideracin para evitar interrupciones en la continuidad de su negocio
ISO 17799
Seccin 12: Conformidad
Cumplimiento de los requerimientos legales Identificacin la legislacin aplicable D.P.I. Registros de organizacin Proteccin DCP Evitar mal uso de recursos Controles de cifrado Recogida de pruebas Conformidad con poltica de seguridad Comprobacin conformidad tcnica Controles Auditora Sistemas Proteccin de herramientas auditora Revisiones de la poltica de seguridad y de conformidad tcnica Consideraciones sobre la auditora de sistemas
Por ltimo la organizacin debe cumplir con los requerimientos legales, regulatorios y contractuales que le son de aplicacin