Date post: | 26-Jan-2015 |
Category: |
Technology |
Upload: | gugarte |
View: | 133 times |
Download: | 3 times |
1��������������� ��
SISTEMA DE GESTION DE SEGURIDAD
NORMA ISO 27001(CORPEI)Jorge Ugarte Fajardo
8/10/2008Guayaquil -Ecuador
2��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001Objetivos de Control y Controles
3��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la Información
4��������������� ��
¿ Seguridad de la Información?
La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada
La información puede estar:
• Impresa o escrita en papel.• Almacenada electrónicamente.• Trasmitida por correo o medios electrónicos• Mostrada en filmes.• Hablada en conversación.
La información puede estar:
• Impresa o escrita en papel.• Almacenada electrónicamente.• Trasmitida por correo o medios electrónicos• Mostrada en filmes.• Hablada en conversación.
5��������������� ��
¿ Objetivos de la Seguridad de la información?
El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información.
Los objetivos de la seguridad de la información se cumplen cuando se preserva:
• CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas.
• INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas.
• DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere.
Los objetivos de la seguridad de la información se cumplen cuando se preserva:
• CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas.
• INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas.
• DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere.
6��������������� ��
¿Contra qué se debe proteger la información?
� ����������� �������� ������� �� ��� ������������ ����� �� ������ ����������������� ������������ ���������������������������������������� ���������������������� ��������
��������������� ���� ���� �!� ����������"������ �������!���������������������� ��!������������#��$
7��������������� ��
¿Qué es una amenaza?
%�������#���������� ���� �������������������!� �����&����������� ��'������� ���� ������������'�����������#���( ����
��������
)�� � ����
&��)�� � ����
"�����
"��� � �
*������ +(����
"����� ��
,������
"������ ����
&������
8��������������� ��
¿amenazas?
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
KeyloggingPort scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
9��������������� ��
Más amenazas
Captura de PC desde el exteriorViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
VirusMails anMails anóónimos con agresionesnimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresosPropiedad de la información
Agujeros de seguridad de redes conectadasFalsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
10��������������� ��
¿Qué es vulnerabilidad?
• Inadecuado compromiso de la dirección.• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.• Ausencia de políticas/ procedimientos.• Ausencia de controles
(físicos/lógicos)(disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles.
• Inadecuado compromiso de la dirección.• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.• Ausencia de políticas/ procedimientos.• Ausencia de controles
(físicos/lógicos)(disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles.
%��������� � ����������� � ����������� ��������� � ���'���������������!� ����������� �������������#�����(������ ������� � ������ � #������� �������!��������������(��� ��
11��������������� ��
¿y el Riesgo?
• Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad.
• Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia.
• Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.
• Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad.
• Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia.
• Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.
����� �������� � � ���'����������#������������ �� �������!� ���������� ������ ����'������������������ � ������ �-������#��� ������������.�������$
12��������������� ��
Factores de riesgo
13��������������� ��
¿Qué es un incidente de seguridad?
Puede ser causado por:
• una falla en algún mecanismo de seguridad.• un intento o amenaza (concretada o no) de romper
mecanismos de seguridad, etc.
Puede ser causado por:
• una falla en algún mecanismo de seguridad.• un intento o amenaza (concretada o no) de romper
mecanismos de seguridad, etc.
Un incidente de seguridad, es un evento adverso quepuede afectar a un sistema o red de computadoras.
14��������������� ��
Algunos incidentes:
� �
��
15��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la Información
16��������������� ��
¿Qué es un Sistema de Gestión de Seguridad de la Información?
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI)SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
El.. (SGSI) es la parte del sistema de gestiónde la empresa, basado en un enfoque de
riesgos del negocio, para: establecer,implementar, operar, monitorear, mantener y
mejorar la seguridad de la información.
El.. (SGSI) es la parte del sistema de gestiónde la empresa, basado en un enfoque de
riesgos del negocio, para: establecer,implementar, operar, monitorear, mantener y
mejorar la seguridad de la información.
17��������������� ��
¿Quiénes están involucrados en SI?
La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.
La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.
• Dirección• Alta gerencia• Personal de TI• Empleados• Auditores• Entidades reguladoras externas
• Dirección• Alta gerencia• Personal de TI• Empleados• Auditores• Entidades reguladoras externas
18��������������� ��
¿ Cómo se implementa un SGSI?
Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para establecer, implementar, monitorear y mejorar el SGSI
Planificar
VerificarActuar
Partes Interesadas
Mantener y Mejorar el SGSI
Establecer el SGSI
Monitorear y revisarel SGSI
Implementar y operar el SGSI
Partes Interesadas
Requisitos y expectativas
Seguridad Gestionada
Hacer
19��������������� ��
¿Cuál es la norma aplicable SI?
• La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI).• ISO 27001 es una norma certificable• Se creó en diciembre de 2005 a partir de la norma BS7799-2.• La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.
• La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información.• ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS).
• La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI).• ISO 27001 es una norma certificable• Se creó en diciembre de 2005 a partir de la norma BS7799-2.• La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.
• La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información.• ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS).
20��������������� ��
¿y toda la familia 27000?
21��������������� ��
Tipos de evaluaciones de seguridad
Exploraciones de vulnerabilidades:Exploraciones de vulnerabilidades:Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración:Pruebas de penetración:Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones
Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones
Auditoría en la seguridad de informática:Auditoría en la seguridad de informática:Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la industria
Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la industria
22��������������� ��
¿Cómo se relaciona con otras normas IT?IT Governance Model
CobITAudit Models
Quality Systems & Mgmt. Frameworks
Service M
gmt.
App. D
ev. (SD
LC)
Project M
gmt.
IT Planning
IT Security
Quality S
ystem
COSO
���� !!"#� !!�
$�%�&
ISO 10006
���'!!"(�!!!'!!!)(�!!*
��+���,�
-����
������.
��/�$
ISO_9126
0��
������/0(���1�� ���""
�-�/
1 �23444" 0�
54444$5443
IT OPERATIONS
23��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001
24��������������� ��
¿Por qué utilizar la norma ISO 27001?
ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad
ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad
se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo,
se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo,
Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a
aspectos netamente organizativos, es decir, permite“Organizar la seguridad de la información”.
Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a
aspectos netamente organizativos, es decir, permite“Organizar la seguridad de la información”.
25��������������� ��
Estructura de la Norma ISO 27001
0 Introduction 1 Scope2 Normative references 3 Terms and definitions 4 Information security management system 5 Management responsibility 6 Internal ISMS audits7 Management review of the ISMS8 ISMS improvementAnnex A (normative) Control objectives and controlsAnnex B (informative) OECD principles and this International Standard Annex C (informative) Correspondence between ISO 9001:2000, ISO 14001:2004 and thisInternational Standard
26��������������� ��
Aplicación de la norma ISO 27001
Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI
PHVA
Planificar
Verificar
Hacer
Actuar
Cláusulas: 4.2.1, 5
Definir la política de seguridad
Establecer el alcance del SGSI
Realizar los análisis de riesgos
Seleccionar los controles
Cláusulas; 4.2.2, 4.3
Implantar el plan de gestión de riesgos
Implantar el SGSI
Implantar los controles.
Implantar indicadores.
Cláusulas: 4.2.3,6,7Revisiones del SGSI por parte de la
Dirección.
Realizar auditorías internas del SGSI
Cláusulas: 4.2.4,8
Adoptar acciones correctivas
Adoptar acciones preventivas
27��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001Objetivos de Control y Controles
28��������������� ��
Objetivos de Control y controles (ISO 27002)
29��������������� ��
Controles
5. Política de Seguridad 5. Política de Seguridad
Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.
Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.
30��������������� ��
Controles
6. Aspectos organizativos de la Seguridad 6. Aspectos organizativos de la Seguridad
Organización interna.-Establecer el compromiso de la Dirección , roles, responsabilidades, acuerdos de confidencialidad, etc.Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los controles de seguridad de información existentes
Organización interna.-Establecer el compromiso de la Dirección , roles, responsabilidades, acuerdos de confidencialidad, etc.Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los controles de seguridad de información existentes
31��������������� ��
Controles
7. Gestión de Activos7. Gestión de Activos
Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia.
Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia.
32��������������� ��
Controles
8. Seguridad de Recursos Humanos8. Seguridad de Recursos Humanos
Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante:
• Definición de roles y responsabilidad de seguridad de los activos.
• Verificación de antecedentes antes de la contratación • Asegurar que los usuarios conocen de las amenazas y las
inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario.
• Control de activos cuando finaliza el contrato.
Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante:
• Definición de roles y responsabilidad de seguridad de los activos.
• Verificación de antecedentes antes de la contratación • Asegurar que los usuarios conocen de las amenazas y las
inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario.
• Control de activos cuando finaliza el contrato.
33��������������� ��
Controles
9. Seguridad física y ambiental9. Seguridad física y ambiental
El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos.Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos periódicos.
El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos.Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos periódicos.
34��������������� ��
Controles
10. Gestión de comunicaciones y operaciones 10. Gestión de comunicaciones y operaciones
Documente procedimientos, normas y directrices de seguridad de la información supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción.Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS.
…………….
Documente procedimientos, normas y directrices de seguridad de la información supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción.Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS.
…………….
35��������������� ��
Controles
10. Gestión de comunicaciones y operaciones (2) 10. Gestión de comunicaciones y operaciones (2)
……………..Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encriptetodos los datos sensibles o valiosos antes de ser transportados.Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc.incorpore requisitos de seguridad de la información en los proyectos e-business.Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas.
……………..Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encriptetodos los datos sensibles o valiosos antes de ser transportados.Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc.incorpore requisitos de seguridad de la información en los proyectos e-business.Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas.
36��������������� ��
Controles
11. Control de accesos 11. Control de accesos
Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios.Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares.definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.
………………
Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios.Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares.definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.
………………
37��������������� ��
Controles
11. Control de accesos 11. Control de accesos
……………….Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos remotos.Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones.Implante estándares de seguridad básica para todas las aplicaciones y middleware.Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.
……………….Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos remotos.Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones.Implante estándares de seguridad básica para todas las aplicaciones y middleware.Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.
38��������������� ��
Controles
12. Adquisición, desarrollo y mantenimiento de los sistemas de información12. Adquisición, desarrollo y mantenimiento de los sistemas de información
Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información.Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etcUtilice estándares formales de encriptación.
…………….
Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información.Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etcUtilice estándares formales de encriptación.
…………….
39��������������� ��
Controles
12. Adquisición, desarrollo y mantenimiento de los sistemas de información12. Adquisición, desarrollo y mantenimiento de los sistemas de información
………………Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y controlar el acceso al código fuente.Incorpore la seguridad de la información al ciclo de vida de
desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios.Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible.
………………Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y controlar el acceso al código fuente.Incorpore la seguridad de la información al ciclo de vida de
desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios.Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible.
40��������������� ��
Controles
13. Gestión de incidentes en la seguridad de la información 13. Gestión de incidentes en la seguridad de la información
• Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad.
• Analizar y tomar las medidas correctivas.
• Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad.
• Analizar y tomar las medidas correctivas.
41��������������� ��
Controles
14. Gestión de la continuidad del negocio 14. Gestión de la continuidad del negocio
• Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación / informática implementando un plan de continuidad del negocio.
• Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación / informática implementando un plan de continuidad del negocio.
42��������������� ��
Controles
15. Cumplimiento15. Cumplimiento
• Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.
• Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras).
• Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.
• Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras).
43��������������� ��
Modelo con enfoque en la infraestructura
44��������������� ��
Entender la defensa a profundidad
Utilizar un enfoque dividido por etapas:Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor
Políticas de seguridad, procedimientos y educaciónPolíticas, procedimientos y concienciaPolíticas, procedimientos y conciencia
Protecciones, seguros, dispositivos de seguimientoSeguridad físicaSeguridad física
Fortalecimiento de la aplicaciónAplicaciónFortalecer el sistema operativo, autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría
Host
Segmentos de red, NIDSRed interna
Firewalls, enrutadores más amplios, VPNs con procedimientos de cuarentenaPerímetro
Contraseñas fuertes, ACLs, estrategia de respaldo y restauraciónDatos
45��������������� ��
¿Cómo conozco las vulnerabilidades en nuevos productos?
Entre las vulnerabilidades que encontramos:Entre las vulnerabilidades que encontramos:
Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and PersonnelApplication AbuseNetwork DevicesZero Day Attacks
Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and PersonnelApplication AbuseNetwork DevicesZero Day Attacks
Best Practices for Preventing Top 20 Riskshttp://www.sans.org/top20Best Practices for Preventing Top 20 Riskshttp://www.sans.org/top20