SlideShare una empresa de Scribd logo

Tesis r urbina_abril2012_v3_presentacion_pb

Ricardo Urbina Miranda
Ricardo Urbina Miranda

Propuesta para gestionar riesgos y visualizar de manera directa desde el panel de control los activos/procesos asociados.

Tecnología
1 de 31
Descargar para leer sin conexión
METODOLOGÍA PARA RELACIONAR LA EFECTIVIDAD DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LOS ELEMENTOS DEL NEGOCIO RICARDO MARIO URBINA MIRANDA MEMORIA PARA OPTAR AL TÍTULO DE INGENIERO EN INFORMÁTICA Y GESTIÓN ABRIL, 2012
Temario • Contexto • Objetivo • Problemática a resolver • Marco Conceptual • Metodología propuesta • Pasos definidos por metodología • Aplicación Práctica • Conclusiones Abril 2012
Contexto Dado el avance tecnológico que ha permitido uso masivo de las tecnologías de información se hace necesario definir metodologías y buenas prácticas para proteger que la información sea utilizada de manera correcta y no se haga mal uso de ésta, sea de manera accidental o intencionada. La Seguridad de la Información tiene como objetivo el aportar herramientas para proteger la información. Abril 2012
Objetivo Proponer una metodología para relacionar la efectividad de un Sistema de Gestión de la Seguridad de la Información (SGSI) con los elementos críticos del negocio de modo que la Administración pueda visualizar donde están los riesgos. Abril 2012
Marco Conceptual Año Norma Objetivo publicación Establece requerimientos a cumplir un Sistema de Gestión de ISO/IEC 27001 2005 Seguridad de la Información (SGSI). Es certificable. Código o Guía de buenas prácticas para la Seguridad de la ISO/IEC 27002 2005 Información, detalla los 133 controles reunidos en 11 grupos, más 39 “Objetivos de control”. Guía de Implementación. Describe los aspectos a tener en cuenta ISO/IEC 27003 2010 para la implantación de un SGSI. describe todos los aspectos de métricas, indicadores y ISO/IEC 27004 2009 mediciones que deben realizarse sobre un SGSI. ISO/IEC 27005 2008/2011 Trata los aspectos relacionados a la Gestión de riesgos. Especifica los requisitos que debe reunir cualquier organización que ISO/IEC 27006 2006 desee acreditarse como “Entidad certificadora” de ISO 27001. Es una guía de auditoría de un SGSI, como complemento a lo ISO/IEC 27007 2011 especificado en ISO 19011 Es una guía de auditoría de los controles seleccionados en el marco ISO/IEC TR 27008 2011 de implantación de un SGSI. Guía de implementación de un SGSI para el sector de ISO/IEC 27011 2008 Telecomunicaciones. Directrices para la preparación de las TIC en la Continuidad de ISO/IEC 27031 2011 Negocio. Seguridad en redes conceptos generales, corresponde a la parte 1 de ISO/IEC 27033-1 2009 7. Seguridad en aplicaciones informáticas, consistente en 5 partes, ISO/IEC 27034-1 2011 donde 27034-1 corresponde a los conceptos generales. Guía sobre la gestión de incidentes de seguridad en la información de ISO/IEC 27035 2011 grandes y medianas empresas Orientada a la aplicación de un SGSI en el ISO/IEC 27799 2008 ámbito sanitario. Abril 2012
Problemática a resolver La familia de normas ISO 27000 plantea qué se debe considerar para gestionar la Seguridad de la Información, sin embargo, no plantea cómo hacerlo. Luego la problemática consiste en presentar desde la visión del negocio los riesgos existentes a nivel técnico. P1 E S . Pj . . E S información Robo de Abril 2012
Metodología propuesta Proceso Entrada Salida Procesos SGSI = { P(1), … , P(m) } (m ≤ n) 5. POLÍTICA DE SEGURIDAD Procesos 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 7. GESTIÓN DE ACTIVOS 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS Indicadores Activos 9. SEGURIDAD FÍSICA Y DEL ENTORNO 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1 Cs(1,i) ==> I1, I2, …, Ia Activos(i) = { Act(1,i), Act(2,i), … , Act(j,i) } 11. CONTROL DE ACCESO 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Controles Riesgos Act(i,j)  R(i,j) 15. CUMPLIMIENTO R(i,j)  Cs(i,j) 5. POLÍTICA DE SEGURIDAD 5.1 Política de seguridad de la información. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 6.1 Organización interna. 6.2 Terceros. 7. GESTIÓN DE ACTIVOS 7.1 Responsabilidad sobre los activos. 7.2 Clasificación de la información. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 8.1 Antes del empleo. R = D * p(D) 8.2 Durante el empleo. 8.3 Cese del empleo o cambio de puesto de trabajo. 9. SEGURIDAD FÍSICA Y DEL ENTORNO 9.1 Áreas seguras. 9.2 Seguridad de los equipos. 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 10.1 Responsabilidades y procedimientos de operación. 10.2 Gestión de la provisión de servicios por terceros. 10.3 Planificación y aceptación del sistema. 10.4 Protección contra el código malicioso y descargable. 10.5 Copias de seguridad. Abril 2012
Metodología propuesta -continuación- P(i)  Act(j,i)  R(j,i)  Cs(j,i)  It, Is, In, … 5. POLÍTICA DE SEGURIDAD 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 7. GESTIÓN DE ACTIVOS ID Medida C_Act_P ID CONTROL Proceso Act P 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS Nombre Nombre Activo 9. SEGURIDAD FÍSICA Y DEL ENTORNO Equipamiento para diseñar Desarrollo 50 4 2 I1 Antivirus en servidores actualizado C50(4,2) 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES de parches críticos en servidores I2 Cantidad 1 C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 11. CONTROL DE ACCESO I3 Antivirus en estaciones actualizado C50(7,1) Detalle del producto vendido Venta 50 7 1 Detalle del producto vendido Desarrollo 50 1 2 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DEen estaciones actualizado I3 Antivirus SISTEMAS DE INFORMACIÓN C50(1,2) I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Diseño del producto Moldeo 50 1 3 I3 Antivirus en estaciones actualizado C50(1,3) 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIOAntivirus en estaciones actualizado I3 C50(6,1) Cotización Venta 50 6 1 15. CUMPLIMIENTO I4 Cantidad de parches críticos en estaciones de trabajo C50(7,1) Detalle del producto vendido Venta 50 7 1 I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2 I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3 I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1 I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1 I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3 I6 Perfilamiento de usuarios en aplicaciones C94(3,1) Ejecutivos de venta Venta 94 3 1 I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2 I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 Abril 2012 3 3
Pasos definidos por metodología 1. Identificación y ordenamiento de procesos (n) 2. Definición alcance del SGSI (m) 3. Identificación de activos por proceso 4. Asociación de relación Proceso <-> Activo 5. Evaluación de riesgos 6. Selección de controles 7. Definición de indicadores 8. Generación del Panel de Control Abril 2012
Aplicación Práctica Empresa productiva que fabrica envases de vidrio, dado que sólo tiene un objetivo académico todas las consideraciones serán simplificaciones de la realidad. 1. Identificación y ordenamiento de procesos  Venta  Desarrollo de productos  Generación de moldes  Producción del envase n=7  Embalaje  Distribución  Facturación Abril 2012
Aplicación Práctica 2. Definición alcance del SGSI Procesos SGSI={ 1 Venta, 2 Desarrollo de productos, 3 Proceso de moldeo} m=3 3. Identificación de activos por proceso P(1) venta ==> Activos={ Listado clientes (1,1), Listado productos (2,1), Ejecutivos (3,1), Estudios mercado (4,1), Planes venta (5,1), Cotización (6,1), Detalle producto (7,1)} P(2) desarrollo ==> Activos={ Detalle producto (1,2), Productos desarrollados (2,2), Equipo diseño (3,2), Equipamiento diseño (4,2), Diseño producto (5,2)} P(3) moldeo ==> Activos={ Diseño producto (1,3), Materias moldeo (2,3), Personal moldeo (3,3), Horno (4,3), Molde producto (5,3)} Existen 17 activos, solo 15 son distintos, por lo tanto, j=15. Abril 2012
Aplicación Práctica 4. Asociación de relación Proceso <-> Activo Abril 2012
Aplicación Práctica 5. Evaluación de riesgos Abril 2012
Aplicación Práctica 5. Evaluación de riesgos -continuación- Abril 2012
Aplicación Práctica 5. Evaluación de riesgos -continuación- Abril 2012
Aplicación Práctica 5. Evaluación de riesgos -continuación- Para el ejemplo se considera Mitigar los riesgos aplicando controles y se define nivel de aceptación para el valor 4,0 Abril 2012
Aplicación Práctica 6. Selección de controles Falla de los servicios de comunicaciones Fuga información – Virus - Gusanos Actos Malintencionados - Vandalismo Código malicioso -Malicioso Código Virus - Gusanos - Código malicioso - Virus - Gusanos - TRATAMIENTO Interrupción de las actividades y Acceso no autorizados a la red Falta / Ausencia de personal Acceso físico no autorizado RIESGO DEL ID Riesgo Control seleccionado Cod. # Fuga de información Fuga de información procesos de negocio Fallas del hardware Errores humanos Inundaciones Terremoto Troyanos Troyanos Incendio Proceso Activo ID CONTROL Desarrollo (2) Equipamiento para diseñar (4,2) MITIGAR 2 20 0 1 0 1 1 10.4.11Controles contra el código malicioso. 1 0 1 1 0 1 50 C50(4,2) (7,1) C50(7,1) Venta (1) Detalle del producto vendido 2 0 10.4.1 Controles contra el código malicioso. 50 (1,2) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1 C50(1,2) (5,2) C50(5,2) Desarrollo (2) Diseño del producto 2 0 10.4.1 Controles contra el código malicioso. 50 (1,3) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1 C50(1,3) 10.8.1 Políticas y procedimientos de intercambio de 59 C59(3,1) Venta (1) Ejecutivos de venta (3,1) MITIGAR 0 01 2 0 2 1 0 información. 1 0 0 1 0 0 0 94 C94(3,1) 11.6.1 Restricción del acceso a la información. 10.8.1 Políticas y procedimientos de intercambio de 59 C59(3,2) Desarrollo (2) Equipo de diseño (3,2) MITIGAR 0 01 2 0 2 0 0 información. 1 0 0 1 0 0 0 94 C94(3,2) 11.6.1 Restricción del acceso a la información. 10.8.1 Políticas y procedimientos de intercambio de 59 C59(3,3) Moldeo (3) Personal de moldeo (3,3) MITIGAR 0 01 2 0 2 0 0 información. 1 0 0 1 0 0 0 94 C94(3,3) 11.6.1 Restricción del acceso a la información. Venta (1) Cotización (6,1) MITIGAR 2 20 0 1 0 0 0 10.4.11Controles contra el código malicioso. 0 0 1 1 1 1 50 C50(6,1) Siete activos con riesgos a mitigar, considerando dos amenazas, se seleccionaron los controles 50, 59 y 94. Abril 2012
Aplicación Práctica 7. Definición de indicadores Nombre Id. Responsable de la Periodo de ID Activo Nombre Control seleccionado ID CONTROL Id. Indicador Indicador Medida medida Responsable de medición Descripción Periodo de Rango Activo Control seleccionado Medida > =98% bueno Descripción Rango CONTROL Equipamiento para diseñar malicioso. Indicador 10.4.1 Controles contra el código Indicador C50(4,2) Antivirus en servidores actualizado I1 Porcentaje de servidores con antivirus actualizado Administración servidores la medida Semanalmente Corresponde a la validación que el antivirus está actualizado a la última versión liberada por el fabricante medición 96% ó 97% Regular < =95% es malo > =98% bueno C50(4,2) Cantidad de parches críticos en servidores I2 Cantidad de parches críticos de seguridad instalados en los servidores Microsoft Administración servidores Por cada parche crítico El período de instalación considerado es 5 días luego de liberado el parche crítico de seguridad. 96% ó 97% Regular > =98% bueno Corresponde a la validación que < =95% es malo 10.4.1 Controles contra el código Antivirus en servidores Porcentaje de servidores Administración > =98% bueno Equipamiento para diseñar C50(4,2) Detalle del producto vendido 10.4.1 Controles contra el código malicioso. C50(7,1) C50(1,2) I1 Antivirus en estaciones actualizado I3 antivirus actualizadoSemanalmente el antivirus está actualizado a la 96% ó 97% Regular Porcentaje de estaciones con Administración estaciones Semanalmente Corresponde a la validación que el antivirus está actualizado a la última 96% ó 97% Regular malicioso. actualizado con antivirus actualizado servidores versión liberada por el fabricante última versión liberada por el < =95% es malo fabricante > =98% bueno Cantidad de parches Cantidad de estaciones de El período de instalación considerado es C50(7,1) Por cada parche Por cada parche C50(1,2) críticos en estaciones I4 trabajo actualizadas del último crítico crítico 5 días luego de liberado el parche crítico 96% ó 97% Regular < =95% es malo de trabajo parche crítico de MS de seguridad. < =95% es malo > =98% bueno 10.4.1 Controles contra el código C50(5,2) Antivirus en estaciones Porcentaje de estaciones con Administración Corresponde a la validación que el Diseño del producto malicioso. C50(1,3) actualizado I3 antivirus actualizado estaciones Semanalmente antivirus está actualizado a la última 96% ó 97% Regular > =98% bueno versión liberada por el fabricante < =95% es malo > =98% bueno El período de instalación Cantidad de parches Cantidad de estaciones de El período de instalación considerado es C50(5,2) C50(1,3) trabajo Cantidad de parches críticos en estaciones de I4 trabajo actualizadas del último parche crítico de MS Por cada parche crítico Por cada parche crítico 5 días luego de liberado el parche crítico de seguridad. 96% ó 97% Regular < =95% es malo Cantidad de parches críticos de seguridad Administración Por cada parche considerado es 5 días luego de C50(4,2) 10.8.1 Políticas y procedimientos de intercambio de información. críticos en servidores C59(3,1) I2 Política de intercambio de información con terceros I5 Revisión/actualización política OSI Trimestralmente servidores Corresponde a la verificación que la crítico liberado el parche crítico de SI 96% ó 97% Regular instalados en los política haya sido revisada y/o actualizada NO Ejecutivos de venta 11.6.1 Restricción del acceso a la Perfilamiento de servidores Microsoft Porcentaje de aplicaciones con Responsable de seguridad. Verificar existencia de perfiles de > = 96% bueno C94(3,1) usuarios en I6 perfilamiento de usuarios aplicaciones Trimestralmente usuarios dentro de las aplicaciones 90% al 95% Regular información. aplicaciones < =95% es malo < = 89% es malo 10.8.1 Políticas y procedimientos de Política de intercambio de intercambio de información. C59(3,2) información con terceros I5 Revisión/actualización política OSI Trimestralmente Corresponde a la verificación que la SI política haya sido revisada y/o actualizada NO Equipo de diseño > = 96% bueno 11.6.1 Restricción del acceso a la Verificar existencia de perfiles de Perfilamiento de usuarios Porcentaje de aplicaciones con Responsable de C94(3,2) I6 Trimestralmente usuarios dentro de las aplicaciones 90% al 95% Regular Política de intercambio información. en aplicaciones perfilamiento de usuarios aplicaciones 10.8.1 Políticas y procedimientos de Revisión/actualización < = 89% es malo Ejecutivos de venta intercambio de información. C59(3,1) de información con 10.8.1 Políticas y procedimientos de intercambio de información. C59(3,3) I5 Política de intercambio de información con terceros política I5 Revisión/actualización política OSI Trimestralmente OSI Trimestralmente Corresponde a la verificación Corresponde a la verificación que la política haya sido revisada y/o actualizada SI NO SI terceros Personal de moldeo 11.6.1 Restricción del acceso a la C94(3,3) Perfilamiento de usuarios I6 Porcentaje de aplicaciones con perfilamiento de usuarios Responsable de aplicaciones Trimestralmente Verificar existencia de perfiles de > = 96% bueno que la política haya sido revisada 90% al 95% Regular información. en aplicaciones usuarios dentro de las aplicaciones y/o actualizada < = 89% es malo NO > =98% bueno 10.4.1 Controles contra el código Antivirus en estaciones Porcentaje de estaciones con Administración Corresponde a la validación que el Cotización malicioso. C50(6,1) actualizado I3 antivirus actualizado estaciones Semanalmente antivirus está actualizado a la última 96% ó 97% Regular versión liberada por el fabricante < =95% es malo Para los 7 activos. C50(6,1) Cantidad de parches críticos en estaciones de I4 Cantidad de estaciones de trabajo actualizadas del último Por cada parche crítico Por cada parche crítico El período de instalación considerado es 5 días luego de liberado el parche crítico > =98% bueno 96% ó 97% Regular Se definen 6 indicadores del I1 al I6. trabajo parche crítico de MS de seguridad. < =95% es malo Tanto los controles como los indicadores asociados se aplican a dos o más activos. Abril 2012
Aplicación Práctica 8. Generación del Panel de Control 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1 10.4 Protección contra el código malicioso y descargable. 1 10.4.1 Controles contra el código malicioso. I1 Antivirus en servidores actualizado 2 I2 Cantidad de parches críticos en servidores 1 I3 Antivirus en estaciones actualizado 3 I4 Cantidad de parches críticos en estaciones de trabajo 2 10.8 Intercambio de información. 1 10.8.1 Políticas y procedimientos de intercambio de información. I5 Política de intercambio de información con terceros 1 11. CONTROL DE ACCESO 2 11.6 Control de acceso a las aplicaciones y a la información. 2 11.6.1 Restricción del acceso a la información. I6 Perfilamiento de usuarios en aplicaciones 2 Abril 2012
Aplicación Práctica Uso de Tabla de relación ID Medida C_Act_P ID CONTROL Proceso Act P Nombre Nombre Activo (Act,P) I1 Antivirus en servidores actualizado C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2) I2 Cantidad de parches críticos en servidores C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2) ID Medida Antivirus en estaciones actualizado I3 C50(7,1) C_Act_P Detalle del producto vendido Venta Proceso 50 ID CONTROL 7 Act 1 P (7,1) I3 Nombre Antivirus en estaciones actualizado C50(1,2) Detalle del productoActivo Nombre vendido Desarrollo 50 1 2 (Act,P) (1,2) I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2) I5 I3 Antivirus de intercambioactualizado Política en estaciones de información con terceros C59(3,1) C50(1,3) Ejecutivos de venta Diseño del producto Venta Moldeo 59 50 3 1 1 3 (3,1) (1,3) I5 I3 Antivirus de intercambioactualizado Política en estaciones de información con terceros C59(3,2) C50(6,1) Cotización diseño Equipo de Desarrollo Venta 59 50 3 6 2 1 (3,2) (6,1) I5 I4 Cantidadde intercambio de información con terceros Política de parches críticos en estaciones de trabajo C59(3,3) C50(7,1) Personal de moldeo Detalle del producto vendido Moldeo Venta 59 50 3 7 3 1 (3,3) (7,1) I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 (1,2) I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2) I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3 (1,3) I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1 (6,1) I5 I5 de intercambio de informaciónintercambio deEjecutivos de venta Política Política de con terceros C59(3,1) información con terceros Venta 59 3 1 1 (3,1) I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 (3,2) Política de intercambio I5 Política de intercambio de información con terceros Revisión/actualización C59(3,3) Personal de moldeo Moldeo 59 3 3 (3,3) I6 Perfilamiento I5 de información con de usuarios en aplicaciones política C94(3,1) OSI Trimestralmente Corresponde a la verificación Ejecutivos de venta Venta 94 3 SI 1 (3,1) terceros que la política haya sido revisada I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2 (3,2) y/o actualizada I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 3 3 NO (3,3) Abril 2012
Conclusiones La metodología presentada relaciona todos los elementos que forman parten del Sistema de Gestión de la Seguridad de la información. Se evidencio que es factible alcanzar el objetivo utilizando como herramienta una planilla Excel. Se puede concluir que la metodología propuesta permite relacionar la efectividad de un SGSI con los elementos del negocio y así apoyar la toma de decisiones para proteger los activos críticos de la Organización. Abril 2012
Abril 2012
Gracias Abril 2012
Abril 2012
ISO/IEC 27001:2005  Definir SGSI Abril 2012
ISO/IEC 27005:2008  Gestión de Riesgos Proceso Entrada Salida R = D * p(D) Evitar -- Mitigar -- Transferir -- Aceptar La norma no proporciona metodología alguna para la gestión de riesgos Cada Organización debe elegir la que le acomode Abril 2012
ISO/IEC 27002:2005  Controles (133)  Política de Seguridad (2)  Aspectos Organizativos de la Seguridad (11)  Gestión de activos (5)  Seguridad ligada a los RRHH (9)  Seguridad física y del entorno (13)  Gestión de comunicaciones y operaciones (32)  Control de acceso (25)  Adquisición, desarrollo y mantenimiento de sistemas de información (16)  Gestión de incidentes de seguridad de la información (5)  Gestión de la continuidad del negocio (5)  Cumplimiento (10) Abril 2012
ISO/IEC 27004:200  Indicadores  Evaluar la efectividad de la implementación de los controles de seguridad.  Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.  Verificar que los requerimientos de seguridad fueron logrados  Servir como entradas al plan de análisis y tratamiento de riesgos.  Proveer estados de seguridad que guíen las revisiones Gerenciales del SGSI, facilitando mejoras a la seguridad y nuevas entradas para el SGSI. Se debe desarrollar un programa de mediciones que considera: • Desarrollo de medidas y mediciones • Proceso de medición • Análisis y reporte de resultados • Evaluación y mejora del programa de medición de seguridad de la información Abril 2012
ISO/IEC 27004:200  Indicadores Abril 2012
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pb

Recomendados

Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 

Recomendados

Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)ClaudiaCano41
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Protiviti Peru
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001ISOTools Chile
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 

Más contenido relacionado

La actualidad más candente

Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)ClaudiaCano41
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Protiviti Peru
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001ISOTools Chile
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSIRamiro Cid
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 

La actualidad más candente (18)

Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgos
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Buenas prácticas ISO 27001
Buenas prácticas ISO 27001Buenas prácticas ISO 27001
Buenas prácticas ISO 27001
 
Auditoría del SGSI
Auditoría del SGSIAuditoría del SGSI
Auditoría del SGSI
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 

Similar a Tesis r urbina_abril2012_v3_presentacion_pb

Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012Iralix Raquel Garcia Marchant
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 

Similar a Tesis r urbina_abril2012_v3_presentacion_pb (20)

Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012La norma iso 27001 del sistema de gestión de la seguridad de información.2012
La norma iso 27001 del sistema de gestión de la seguridad de información.2012
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
ii
iiii
ii
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
ISO27000_estado_diciembre_2013
ISO27000_estado_diciembre_2013ISO27000_estado_diciembre_2013
ISO27000_estado_diciembre_2013
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 

Más de Ricardo Urbina Miranda

Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Ricardo Urbina Miranda
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 

Más de Ricardo Urbina Miranda (7)

Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Iso 27000 evolución_enero2013_pb
Iso 27000 evolución_enero2013_pbIso 27000 evolución_enero2013_pb
Iso 27000 evolución_enero2013_pb
 
Manejo de contraseñas_pb
Manejo de contraseñas_pbManejo de contraseñas_pb
Manejo de contraseñas_pb
 

Último

Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 

Último (20)

Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 

Tesis r urbina_abril2012_v3_presentacion_pb

  • 1. METODOLOGÍA PARA RELACIONAR LA EFECTIVIDAD DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LOS ELEMENTOS DEL NEGOCIO RICARDO MARIO URBINA MIRANDA MEMORIA PARA OPTAR AL TÍTULO DE INGENIERO EN INFORMÁTICA Y GESTIÓN ABRIL, 2012
  • 2. Temario • Contexto • Objetivo • Problemática a resolver • Marco Conceptual • Metodología propuesta • Pasos definidos por metodología • Aplicación Práctica • Conclusiones Abril 2012
  • 3. Contexto Dado el avance tecnológico que ha permitido uso masivo de las tecnologías de información se hace necesario definir metodologías y buenas prácticas para proteger que la información sea utilizada de manera correcta y no se haga mal uso de ésta, sea de manera accidental o intencionada. La Seguridad de la Información tiene como objetivo el aportar herramientas para proteger la información. Abril 2012
  • 4. Objetivo Proponer una metodología para relacionar la efectividad de un Sistema de Gestión de la Seguridad de la Información (SGSI) con los elementos críticos del negocio de modo que la Administración pueda visualizar donde están los riesgos. Abril 2012
  • 5. Marco Conceptual Año Norma Objetivo publicación Establece requerimientos a cumplir un Sistema de Gestión de ISO/IEC 27001 2005 Seguridad de la Información (SGSI). Es certificable. Código o Guía de buenas prácticas para la Seguridad de la ISO/IEC 27002 2005 Información, detalla los 133 controles reunidos en 11 grupos, más 39 “Objetivos de control”. Guía de Implementación. Describe los aspectos a tener en cuenta ISO/IEC 27003 2010 para la implantación de un SGSI. describe todos los aspectos de métricas, indicadores y ISO/IEC 27004 2009 mediciones que deben realizarse sobre un SGSI. ISO/IEC 27005 2008/2011 Trata los aspectos relacionados a la Gestión de riesgos. Especifica los requisitos que debe reunir cualquier organización que ISO/IEC 27006 2006 desee acreditarse como “Entidad certificadora” de ISO 27001. Es una guía de auditoría de un SGSI, como complemento a lo ISO/IEC 27007 2011 especificado en ISO 19011 Es una guía de auditoría de los controles seleccionados en el marco ISO/IEC TR 27008 2011 de implantación de un SGSI. Guía de implementación de un SGSI para el sector de ISO/IEC 27011 2008 Telecomunicaciones. Directrices para la preparación de las TIC en la Continuidad de ISO/IEC 27031 2011 Negocio. Seguridad en redes conceptos generales, corresponde a la parte 1 de ISO/IEC 27033-1 2009 7. Seguridad en aplicaciones informáticas, consistente en 5 partes, ISO/IEC 27034-1 2011 donde 27034-1 corresponde a los conceptos generales. Guía sobre la gestión de incidentes de seguridad en la información de ISO/IEC 27035 2011 grandes y medianas empresas Orientada a la aplicación de un SGSI en el ISO/IEC 27799 2008 ámbito sanitario. Abril 2012
  • 6. Problemática a resolver La familia de normas ISO 27000 plantea qué se debe considerar para gestionar la Seguridad de la Información, sin embargo, no plantea cómo hacerlo. Luego la problemática consiste en presentar desde la visión del negocio los riesgos existentes a nivel técnico. P1 E S . Pj . . E S información Robo de Abril 2012
  • 7. Metodología propuesta Proceso Entrada Salida Procesos SGSI = { P(1), … , P(m) } (m ≤ n) 5. POLÍTICA DE SEGURIDAD Procesos 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 7. GESTIÓN DE ACTIVOS 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS Indicadores Activos 9. SEGURIDAD FÍSICA Y DEL ENTORNO 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1 Cs(1,i) ==> I1, I2, …, Ia Activos(i) = { Act(1,i), Act(2,i), … , Act(j,i) } 11. CONTROL DE ACCESO 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Controles Riesgos Act(i,j)  R(i,j) 15. CUMPLIMIENTO R(i,j)  Cs(i,j) 5. POLÍTICA DE SEGURIDAD 5.1 Política de seguridad de la información. 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 6.1 Organización interna. 6.2 Terceros. 7. GESTIÓN DE ACTIVOS 7.1 Responsabilidad sobre los activos. 7.2 Clasificación de la información. 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS 8.1 Antes del empleo. R = D * p(D) 8.2 Durante el empleo. 8.3 Cese del empleo o cambio de puesto de trabajo. 9. SEGURIDAD FÍSICA Y DEL ENTORNO 9.1 Áreas seguras. 9.2 Seguridad de los equipos. 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 10.1 Responsabilidades y procedimientos de operación. 10.2 Gestión de la provisión de servicios por terceros. 10.3 Planificación y aceptación del sistema. 10.4 Protección contra el código malicioso y descargable. 10.5 Copias de seguridad. Abril 2012
  • 8. Metodología propuesta -continuación- P(i)  Act(j,i)  R(j,i)  Cs(j,i)  It, Is, In, … 5. POLÍTICA DE SEGURIDAD 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN 7. GESTIÓN DE ACTIVOS ID Medida C_Act_P ID CONTROL Proceso Act P 8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS Nombre Nombre Activo 9. SEGURIDAD FÍSICA Y DEL ENTORNO Equipamiento para diseñar Desarrollo 50 4 2 I1 Antivirus en servidores actualizado C50(4,2) 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES de parches críticos en servidores I2 Cantidad 1 C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 11. CONTROL DE ACCESO I3 Antivirus en estaciones actualizado C50(7,1) Detalle del producto vendido Venta 50 7 1 Detalle del producto vendido Desarrollo 50 1 2 12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DEen estaciones actualizado I3 Antivirus SISTEMAS DE INFORMACIÓN C50(1,2) I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN Diseño del producto Moldeo 50 1 3 I3 Antivirus en estaciones actualizado C50(1,3) 14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIOAntivirus en estaciones actualizado I3 C50(6,1) Cotización Venta 50 6 1 15. CUMPLIMIENTO I4 Cantidad de parches críticos en estaciones de trabajo C50(7,1) Detalle del producto vendido Venta 50 7 1 I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2 I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3 I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1 I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1 I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3 I6 Perfilamiento de usuarios en aplicaciones C94(3,1) Ejecutivos de venta Venta 94 3 1 I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2 I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 Abril 2012 3 3
  • 9. Pasos definidos por metodología 1. Identificación y ordenamiento de procesos (n) 2. Definición alcance del SGSI (m) 3. Identificación de activos por proceso 4. Asociación de relación Proceso <-> Activo 5. Evaluación de riesgos 6. Selección de controles 7. Definición de indicadores 8. Generación del Panel de Control Abril 2012
  • 10. Aplicación Práctica Empresa productiva que fabrica envases de vidrio, dado que sólo tiene un objetivo académico todas las consideraciones serán simplificaciones de la realidad. 1. Identificación y ordenamiento de procesos  Venta  Desarrollo de productos  Generación de moldes  Producción del envase n=7  Embalaje  Distribución  Facturación Abril 2012
  • 11. Aplicación Práctica 2. Definición alcance del SGSI Procesos SGSI={ 1 Venta, 2 Desarrollo de productos, 3 Proceso de moldeo} m=3 3. Identificación de activos por proceso P(1) venta ==> Activos={ Listado clientes (1,1), Listado productos (2,1), Ejecutivos (3,1), Estudios mercado (4,1), Planes venta (5,1), Cotización (6,1), Detalle producto (7,1)} P(2) desarrollo ==> Activos={ Detalle producto (1,2), Productos desarrollados (2,2), Equipo diseño (3,2), Equipamiento diseño (4,2), Diseño producto (5,2)} P(3) moldeo ==> Activos={ Diseño producto (1,3), Materias moldeo (2,3), Personal moldeo (3,3), Horno (4,3), Molde producto (5,3)} Existen 17 activos, solo 15 son distintos, por lo tanto, j=15. Abril 2012
  • 12. Aplicación Práctica 4. Asociación de relación Proceso <-> Activo Abril 2012
  • 13. Aplicación Práctica 5. Evaluación de riesgos Abril 2012
  • 14. Aplicación Práctica 5. Evaluación de riesgos -continuación- Abril 2012
  • 15. Aplicación Práctica 5. Evaluación de riesgos -continuación- Abril 2012
  • 16. Aplicación Práctica 5. Evaluación de riesgos -continuación- Para el ejemplo se considera Mitigar los riesgos aplicando controles y se define nivel de aceptación para el valor 4,0 Abril 2012
  • 17. Aplicación Práctica 6. Selección de controles Falla de los servicios de comunicaciones Fuga información – Virus - Gusanos Actos Malintencionados - Vandalismo Código malicioso -Malicioso Código Virus - Gusanos - Código malicioso - Virus - Gusanos - TRATAMIENTO Interrupción de las actividades y Acceso no autorizados a la red Falta / Ausencia de personal Acceso físico no autorizado RIESGO DEL ID Riesgo Control seleccionado Cod. # Fuga de información Fuga de información procesos de negocio Fallas del hardware Errores humanos Inundaciones Terremoto Troyanos Troyanos Incendio Proceso Activo ID CONTROL Desarrollo (2) Equipamiento para diseñar (4,2) MITIGAR 2 20 0 1 0 1 1 10.4.11Controles contra el código malicioso. 1 0 1 1 0 1 50 C50(4,2) (7,1) C50(7,1) Venta (1) Detalle del producto vendido 2 0 10.4.1 Controles contra el código malicioso. 50 (1,2) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1 C50(1,2) (5,2) C50(5,2) Desarrollo (2) Diseño del producto 2 0 10.4.1 Controles contra el código malicioso. 50 (1,3) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1 C50(1,3) 10.8.1 Políticas y procedimientos de intercambio de 59 C59(3,1) Venta (1) Ejecutivos de venta (3,1) MITIGAR 0 01 2 0 2 1 0 información. 1 0 0 1 0 0 0 94 C94(3,1) 11.6.1 Restricción del acceso a la información. 10.8.1 Políticas y procedimientos de intercambio de 59 C59(3,2) Desarrollo (2) Equipo de diseño (3,2) MITIGAR 0 01 2 0 2 0 0 información. 1 0 0 1 0 0 0 94 C94(3,2) 11.6.1 Restricción del acceso a la información. 10.8.1 Políticas y procedimientos de intercambio de 59 C59(3,3) Moldeo (3) Personal de moldeo (3,3) MITIGAR 0 01 2 0 2 0 0 información. 1 0 0 1 0 0 0 94 C94(3,3) 11.6.1 Restricción del acceso a la información. Venta (1) Cotización (6,1) MITIGAR 2 20 0 1 0 0 0 10.4.11Controles contra el código malicioso. 0 0 1 1 1 1 50 C50(6,1) Siete activos con riesgos a mitigar, considerando dos amenazas, se seleccionaron los controles 50, 59 y 94. Abril 2012
  • 18. Aplicación Práctica 7. Definición de indicadores Nombre Id. Responsable de la Periodo de ID Activo Nombre Control seleccionado ID CONTROL Id. Indicador Indicador Medida medida Responsable de medición Descripción Periodo de Rango Activo Control seleccionado Medida > =98% bueno Descripción Rango CONTROL Equipamiento para diseñar malicioso. Indicador 10.4.1 Controles contra el código Indicador C50(4,2) Antivirus en servidores actualizado I1 Porcentaje de servidores con antivirus actualizado Administración servidores la medida Semanalmente Corresponde a la validación que el antivirus está actualizado a la última versión liberada por el fabricante medición 96% ó 97% Regular < =95% es malo > =98% bueno C50(4,2) Cantidad de parches críticos en servidores I2 Cantidad de parches críticos de seguridad instalados en los servidores Microsoft Administración servidores Por cada parche crítico El período de instalación considerado es 5 días luego de liberado el parche crítico de seguridad. 96% ó 97% Regular > =98% bueno Corresponde a la validación que < =95% es malo 10.4.1 Controles contra el código Antivirus en servidores Porcentaje de servidores Administración > =98% bueno Equipamiento para diseñar C50(4,2) Detalle del producto vendido 10.4.1 Controles contra el código malicioso. C50(7,1) C50(1,2) I1 Antivirus en estaciones actualizado I3 antivirus actualizadoSemanalmente el antivirus está actualizado a la 96% ó 97% Regular Porcentaje de estaciones con Administración estaciones Semanalmente Corresponde a la validación que el antivirus está actualizado a la última 96% ó 97% Regular malicioso. actualizado con antivirus actualizado servidores versión liberada por el fabricante última versión liberada por el < =95% es malo fabricante > =98% bueno Cantidad de parches Cantidad de estaciones de El período de instalación considerado es C50(7,1) Por cada parche Por cada parche C50(1,2) críticos en estaciones I4 trabajo actualizadas del último crítico crítico 5 días luego de liberado el parche crítico 96% ó 97% Regular < =95% es malo de trabajo parche crítico de MS de seguridad. < =95% es malo > =98% bueno 10.4.1 Controles contra el código C50(5,2) Antivirus en estaciones Porcentaje de estaciones con Administración Corresponde a la validación que el Diseño del producto malicioso. C50(1,3) actualizado I3 antivirus actualizado estaciones Semanalmente antivirus está actualizado a la última 96% ó 97% Regular > =98% bueno versión liberada por el fabricante < =95% es malo > =98% bueno El período de instalación Cantidad de parches Cantidad de estaciones de El período de instalación considerado es C50(5,2) C50(1,3) trabajo Cantidad de parches críticos en estaciones de I4 trabajo actualizadas del último parche crítico de MS Por cada parche crítico Por cada parche crítico 5 días luego de liberado el parche crítico de seguridad. 96% ó 97% Regular < =95% es malo Cantidad de parches críticos de seguridad Administración Por cada parche considerado es 5 días luego de C50(4,2) 10.8.1 Políticas y procedimientos de intercambio de información. críticos en servidores C59(3,1) I2 Política de intercambio de información con terceros I5 Revisión/actualización política OSI Trimestralmente servidores Corresponde a la verificación que la crítico liberado el parche crítico de SI 96% ó 97% Regular instalados en los política haya sido revisada y/o actualizada NO Ejecutivos de venta 11.6.1 Restricción del acceso a la Perfilamiento de servidores Microsoft Porcentaje de aplicaciones con Responsable de seguridad. Verificar existencia de perfiles de > = 96% bueno C94(3,1) usuarios en I6 perfilamiento de usuarios aplicaciones Trimestralmente usuarios dentro de las aplicaciones 90% al 95% Regular información. aplicaciones < =95% es malo < = 89% es malo 10.8.1 Políticas y procedimientos de Política de intercambio de intercambio de información. C59(3,2) información con terceros I5 Revisión/actualización política OSI Trimestralmente Corresponde a la verificación que la SI política haya sido revisada y/o actualizada NO Equipo de diseño > = 96% bueno 11.6.1 Restricción del acceso a la Verificar existencia de perfiles de Perfilamiento de usuarios Porcentaje de aplicaciones con Responsable de C94(3,2) I6 Trimestralmente usuarios dentro de las aplicaciones 90% al 95% Regular Política de intercambio información. en aplicaciones perfilamiento de usuarios aplicaciones 10.8.1 Políticas y procedimientos de Revisión/actualización < = 89% es malo Ejecutivos de venta intercambio de información. C59(3,1) de información con 10.8.1 Políticas y procedimientos de intercambio de información. C59(3,3) I5 Política de intercambio de información con terceros política I5 Revisión/actualización política OSI Trimestralmente OSI Trimestralmente Corresponde a la verificación Corresponde a la verificación que la política haya sido revisada y/o actualizada SI NO SI terceros Personal de moldeo 11.6.1 Restricción del acceso a la C94(3,3) Perfilamiento de usuarios I6 Porcentaje de aplicaciones con perfilamiento de usuarios Responsable de aplicaciones Trimestralmente Verificar existencia de perfiles de > = 96% bueno que la política haya sido revisada 90% al 95% Regular información. en aplicaciones usuarios dentro de las aplicaciones y/o actualizada < = 89% es malo NO > =98% bueno 10.4.1 Controles contra el código Antivirus en estaciones Porcentaje de estaciones con Administración Corresponde a la validación que el Cotización malicioso. C50(6,1) actualizado I3 antivirus actualizado estaciones Semanalmente antivirus está actualizado a la última 96% ó 97% Regular versión liberada por el fabricante < =95% es malo Para los 7 activos. C50(6,1) Cantidad de parches críticos en estaciones de I4 Cantidad de estaciones de trabajo actualizadas del último Por cada parche crítico Por cada parche crítico El período de instalación considerado es 5 días luego de liberado el parche crítico > =98% bueno 96% ó 97% Regular Se definen 6 indicadores del I1 al I6. trabajo parche crítico de MS de seguridad. < =95% es malo Tanto los controles como los indicadores asociados se aplican a dos o más activos. Abril 2012
  • 19. Aplicación Práctica 8. Generación del Panel de Control 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1 10.4 Protección contra el código malicioso y descargable. 1 10.4.1 Controles contra el código malicioso. I1 Antivirus en servidores actualizado 2 I2 Cantidad de parches críticos en servidores 1 I3 Antivirus en estaciones actualizado 3 I4 Cantidad de parches críticos en estaciones de trabajo 2 10.8 Intercambio de información. 1 10.8.1 Políticas y procedimientos de intercambio de información. I5 Política de intercambio de información con terceros 1 11. CONTROL DE ACCESO 2 11.6 Control de acceso a las aplicaciones y a la información. 2 11.6.1 Restricción del acceso a la información. I6 Perfilamiento de usuarios en aplicaciones 2 Abril 2012
  • 20. Aplicación Práctica Uso de Tabla de relación ID Medida C_Act_P ID CONTROL Proceso Act P Nombre Nombre Activo (Act,P) I1 Antivirus en servidores actualizado C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2) I2 Cantidad de parches críticos en servidores C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2) ID Medida Antivirus en estaciones actualizado I3 C50(7,1) C_Act_P Detalle del producto vendido Venta Proceso 50 ID CONTROL 7 Act 1 P (7,1) I3 Nombre Antivirus en estaciones actualizado C50(1,2) Detalle del productoActivo Nombre vendido Desarrollo 50 1 2 (Act,P) (1,2) I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2) I5 I3 Antivirus de intercambioactualizado Política en estaciones de información con terceros C59(3,1) C50(1,3) Ejecutivos de venta Diseño del producto Venta Moldeo 59 50 3 1 1 3 (3,1) (1,3) I5 I3 Antivirus de intercambioactualizado Política en estaciones de información con terceros C59(3,2) C50(6,1) Cotización diseño Equipo de Desarrollo Venta 59 50 3 6 2 1 (3,2) (6,1) I5 I4 Cantidadde intercambio de información con terceros Política de parches críticos en estaciones de trabajo C59(3,3) C50(7,1) Personal de moldeo Detalle del producto vendido Moldeo Venta 59 50 3 7 3 1 (3,3) (7,1) I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 (1,2) I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2) I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3 (1,3) I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1 (6,1) I5 I5 de intercambio de informaciónintercambio deEjecutivos de venta Política Política de con terceros C59(3,1) información con terceros Venta 59 3 1 1 (3,1) I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 (3,2) Política de intercambio I5 Política de intercambio de información con terceros Revisión/actualización C59(3,3) Personal de moldeo Moldeo 59 3 3 (3,3) I6 Perfilamiento I5 de información con de usuarios en aplicaciones política C94(3,1) OSI Trimestralmente Corresponde a la verificación Ejecutivos de venta Venta 94 3 SI 1 (3,1) terceros que la política haya sido revisada I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2 (3,2) y/o actualizada I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 3 3 NO (3,3) Abril 2012
  • 21. Conclusiones La metodología presentada relaciona todos los elementos que forman parten del Sistema de Gestión de la Seguridad de la información. Se evidencio que es factible alcanzar el objetivo utilizando como herramienta una planilla Excel. Se puede concluir que la metodología propuesta permite relacionar la efectividad de un SGSI con los elementos del negocio y así apoyar la toma de decisiones para proteger los activos críticos de la Organización. Abril 2012
  • 23. Gracias Abril 2012
  • 25. ISO/IEC 27001:2005  Definir SGSI Abril 2012
  • 26. ISO/IEC 27005:2008  Gestión de Riesgos Proceso Entrada Salida R = D * p(D) Evitar -- Mitigar -- Transferir -- Aceptar La norma no proporciona metodología alguna para la gestión de riesgos Cada Organización debe elegir la que le acomode Abril 2012
  • 27. ISO/IEC 27002:2005  Controles (133)  Política de Seguridad (2)  Aspectos Organizativos de la Seguridad (11)  Gestión de activos (5)  Seguridad ligada a los RRHH (9)  Seguridad física y del entorno (13)  Gestión de comunicaciones y operaciones (32)  Control de acceso (25)  Adquisición, desarrollo y mantenimiento de sistemas de información (16)  Gestión de incidentes de seguridad de la información (5)  Gestión de la continuidad del negocio (5)  Cumplimiento (10) Abril 2012
  • 28. ISO/IEC 27004:200  Indicadores  Evaluar la efectividad de la implementación de los controles de seguridad.  Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.  Verificar que los requerimientos de seguridad fueron logrados  Servir como entradas al plan de análisis y tratamiento de riesgos.  Proveer estados de seguridad que guíen las revisiones Gerenciales del SGSI, facilitando mejoras a la seguridad y nuevas entradas para el SGSI. Se debe desarrollar un programa de mediciones que considera: • Desarrollo de medidas y mediciones • Proceso de medición • Análisis y reporte de resultados • Evaluación y mejora del programa de medición de seguridad de la información Abril 2012
  • 29. ISO/IEC 27004:200  Indicadores Abril 2012