SlideShare une entreprise Scribd logo

La seguridad alineada con necesidades de negocio

Javier Cao Avellaneda
Javier Cao Avellaneda

Esta presentación pretende mostrar cómo la seguridad debe alinearse con las necesidades de negocio y cómo un SGSI es el mejor mecanismo para hacerlo.

1  sur  37
GESTIÓN DE LA SEGURIDAD ORIENTADA A NEGOCIO Javier Cao Avellaneda Ingeniero en Informática Director técnico del Área de Seguridad de la Información javier.cao@firma-e.com
Presentación: ¿Quiénes somos Firma-e? Seguridad de la Protección de Datos Información Personales Expediente Factura y Firma Electrónico y Gestión Electrónica Documental Segura
Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
¿Qué está pasando? Estamos en el Siglo XXI, la era de la información digital.
Nuevos modelos TI: Virtualización y Cloud Datos Datos Soft Soft Soft-Hard 1.- Nuevos entornos = nuevos riesgos. Hard CPD 2.- Complejidad en aumento. CPD
Seguridad sobre lo que vemos. FISICO LÓGICO
Escenarios de riesgo TI • En este nuevo marco hay diferentes tipologías de riesgos: – Riesgos propios: Controlados por la Organización. – Riesgos transferidos: Delegados en subcontratas. – Riesgos indirectos: Los ocasionados por la delegación que hacen de nuestros riesgos las subcontratas en otros terceros. – Riesgos invisibles: Ocasionados por situaciones que aparentemente no nos tendrían que afectar pero que generan incidentes.
¿Quiénes son los enemigos? ENEMIGO 1: • EL FAMOSO "ERROR INFORMÁTICO" ENEMIGO 2: • FRAUDE CON ÁNIMO DE LUCRO (desde DENTRO o desde FUERA) ENEMIGO 3: • FALTA DE RECURSOS o MANTENIMIENTO TI Y DESCONOCIMIENTO LEGISLACIÓN TI.
Nuevas amenazas: espionaje industrial. Autobús MAN y coche Smart Presuntos plagio chino
¿Por dónde entran? DOMINIOS CON PROBLEMAS DIFERENTES: Dominio de cliente final (end point o medio de acceso) • Usb y medios de almacenamiento portatiles. • Usuarios remotos. • Tablets, portátiles y equipos PC. • Y una nueva moda BYOD, Bring you own device. Protección perimetral y frontend. • Firewalls y equipos de protección perimetral. • Elementos de red e infraestructura. • Servidores de correo. Backend. (Donde están los datos y el valor.) • Servidores de BB.DD. y aplicaciones. • Servidores de directorio.
¿Cómo entran?
¿Por qué entran? Proporcionalidad defensa-ataque Hace unos años la vigilancia pasiva Ahora se habla de labores de era viable. “inteligencia de red” y SIEM.
Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
Procesos o Servicios
Seguridad de la información: A C I D FLUJO NORMAL DISPONIBILIDAD CONFIDENCIALIDAD INTERRUPCIÓN INTERCEPTACIÓN MODIFICACIÓN SUPLANTACIÓN INTEGRIDAD AUTENTICACIÓN
Elementos de la seguridad de la información Medidas de seguridad Salvaguardas Amenazas Incendio Corte Eléctrico Fallecimiento empleado ACTIVO Virus Avería hardware Impacto Vulnerabilidades
Modelo de seguridad del negocio C I D 1 Compras Diseño Producción Financiero Dirección RR.HH. 2 3 3 3 3 2 1 3 5 4 5 1 5 3 2 4 4 1 3 3 5 5 5 1 4 3 2 5 5 2 3 3 5 4 3 2 3 3 5 5 5 1 4 3 2 3 3 5 5 5 2
Dependencias afectan a procesos
Gestión del riesgo • Airbag REDUCIR • Alarma anti robo • Revisiones periódicas EVITAR ACEPTAR • No tener • No hacer nada • Contratar seguro TRANSFERIR “a todo riesgo”
¿Qué se puede hacer? Estrategia del control RIESGO Prevención Detección INCIDENTE Represión DAÑOS Corrección RECUPERACIÓN Recuperación
Gestión del riesgo ANÁLISIS DEL RIESGO TRATAMIENTO DEL RIESGO ACEPTAR REDUCIR EVITAR TRASFERIR ¿ACEPTABLE POR DIRECCIÓN? ACEPTACIÓN DEL RIESGO
Gestión del riesgo. Costo del impacto si Costo de las se produce medidas de un incidente seguridad
¿Qué seguridad debemos buscar? ¿Inestable? ¿Estable? Nunca ha pasado nada pero sabríamos reacciona y resistir. ¡ RESILIENCIA ! Nunca ha pasado nada pero no sabríamos cómo nos afectaría.
Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
Servicios de FIRMA-E: Diseño de la seguridad OBJETIVO 1: Construir el modelo de seguridad. OBJETIVO 2: Obtener diagnóstico de riesgos. Actividades: 1. Identificar procesos de negocio y dependencias. 2. Valorar la información según negocio. 3. Análisis holístico de amenazas. 4. Cálculo de riesgo potencial. 5. Decidir el criterio de aceptación de riesgo. RESULTADOS: Toma de decisiones de seguridad
Marco de normas ISO 27000 • ISO 27001: Especificación para la construcción de un SGSI. – Especifica los REQUISITOS para ESTABLECER, IMPLANTAR, DOCUMENTAR y EVALUAR un SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN de acuerdo con la Norma ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS identificados por la ORGANIZACIÓN. • ISO 27002: Buenas prácticas para la gestión de la seguridad. – Define los objetivos de control (finalidades) y controles de seguridad (contramedidas) a utilizar para reducir y/o mitigar riesgos. – Define 11 bloques de control, 39 objetivos y 133 controles.
Elementos del SGSI SGSI ESPECIFICACIÓN ISO 27001 ISO 27001:2005 Procedimientos Documentos SGSI SGSI Auditorias R P D A Registros SGSI CONTROLES ISO 27002 ISO 27002:2005 Procedimientos Procesos Medidas seguridad P D M R Registros seguridad ACTIVOS
Planificar-Hacer-Verificar-Revisar - Definir la Política de Seguridad - Ejecutar el plan de - Establecer el alcance del SGSI gestión de riesgos - Realizar el análisis de riesgos - Implantar el SGSI - Seleccionar los controles - Implantar los controles - Adoptar acciones correctivas - Revisar internamente el SGSI - Adoptar acciones preventivas - Realizar auditorias del SGSI
Objetivos de seguridad de la Organización • Las necesidades quedan determinadas por tres aspectos: Propios del modelo Análisis de de negocio riesgos Cumplimiento legal 29
Objetivos de operación del SGSI • OBJ-S1: Garantizar 99,671% de disponibilidad de servicios críticos. • OBJ-S2: Nº Intentos acceso no autorizados no superen el 5% accesos totales. • OBJ-S3: Tiempo medio de respuesta para incidencias de seguridad < 4 horas. • OBJ-S4: 95% de éxito en ejecución de copias de seguridad y sus pruebas.
Basada en objetivos y evidencias, no creencias. OS-1 OS-2 OS-3 OS-4 OS-5 … OG-1 OG-2 OG-3 Axioma de la inseguridad: IND1 IND2 IND3 IND4 IND5 IND10 IND11 IND12 “La mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, lo inverso de lo que sugiere una aproximación razonable”.
Madurez del SGSI Madurez Nivel 5 Nivel 4 Optimizado Nivel 3 Definido y gestionado SGSI Nivel 2 Definido y documentado Nivel 1 Implantado pero no supervisado Nivel 0 Iniciado 5 No existe control 4 3 2 1 0 32 Tiempo
Documentación para certificación ISO 27001:2005 • Documentación del SGSI: D– Política de seguridad D– Objetivos del SGSI. D – Descripción del alcance del SGSI. D – Metodología utilizada para la realización del análisis y gestión D del riesgo. D– Informe de análisis de riesgo D– Plan de tratamiento del riesgo. D– Declaración de aplicabilidad • Procedimientos generales del SGSI: P – Control de la documentación y registros P – Procedimiento de auditoría P – Procedimiento de gestión de la mejora continua. P – Procedimiento de revisión por la Dirección.
Beneficios de un SGSI • Conocimiento de riesgos • Calidad en seguridad= Confianza • Cumplimiento legal • Competitividad en el mercado
Resumen de ideas
Siempre seguridad basada en riesgo. El ENS establece un conjunto suficiente de garantías si: – Se implanta ANTES de poner en marcha las sedes electrónicas. – Se audita su correcto funcionamiento por personal cualificado. – Se diferencia
Basada en hechos, no en sensaciones.

Recommandé

Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Presentación seguridad teasa
Presentación seguridad teasaPresentación seguridad teasa
Presentación seguridad teasaJulio Tea
 
Riesgo seguridad
Riesgo seguridadRiesgo seguridad
Riesgo seguridadALEXANDRA MURCIA CAMACHO
 
Seguridad privada
Seguridad privadaSeguridad privada
Seguridad privadaIsrael Angeles Razo
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones EstratégicasIntegración de Soluciones Estrategicas
 
Póster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalPóster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalGonzalo Espinosa
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 

Recommandé

Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Presentación seguridad teasa
Presentación seguridad teasaPresentación seguridad teasa
Presentación seguridad teasaJulio Tea
 
Riesgo seguridad
Riesgo seguridadRiesgo seguridad
Riesgo seguridadALEXANDRA MURCIA CAMACHO
 
Seguridad privada
Seguridad privadaSeguridad privada
Seguridad privadaIsrael Angeles Razo
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones EstratégicasIntegración de Soluciones Estrategicas
 
Póster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalPóster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalGonzalo Espinosa
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica miguel911
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Seguridad de edificios control de acccesos
Seguridad de edificios control de acccesosSeguridad de edificios control de acccesos
Seguridad de edificios control de acccesososwaldo chomba
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemasAlexander Velasque Rimac
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Marcos Harasimowicz
 
Seguridad fisica simulacros en operaciones mineras
Seguridad fisica simulacros en operaciones minerasSeguridad fisica simulacros en operaciones mineras
Seguridad fisica simulacros en operaciones minerasoswaldo chomba
 
Modelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosModelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosAsociación de Marketing Bancario Argentino
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasGabriel Marcos
 
Seguridad de Minas comportamiento preventivo en seguridad um cmb
Seguridad de Minas comportamiento preventivo en seguridad um cmbSeguridad de Minas comportamiento preventivo en seguridad um cmb
Seguridad de Minas comportamiento preventivo en seguridad um cmboswaldo chomba
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGabriel Marcos
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informaticaG Hoyos A
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informaticaguest8b9e6c
 
Gestion de la seguridad
Gestion de la seguridadGestion de la seguridad
Gestion de la seguridadJosé Ramón Pernía Reyes
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad GlobalInternet Security Auditors
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Maricarmen García de Ureña
 
ISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZDaniel Martínez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001mar778
 

Contenu connexe

Tendances

Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica miguel911
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Seguridad de edificios control de acccesos
Seguridad de edificios control de acccesosSeguridad de edificios control de acccesos
Seguridad de edificios control de acccesososwaldo chomba
 
Seguridad fisica simulacros en operaciones mineras
Seguridad fisica simulacros en operaciones minerasSeguridad fisica simulacros en operaciones mineras
Seguridad fisica simulacros en operaciones minerasoswaldo chomba
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasGabriel Marcos
 
Seguridad de Minas comportamiento preventivo en seguridad um cmb
Seguridad de Minas comportamiento preventivo en seguridad um cmbSeguridad de Minas comportamiento preventivo en seguridad um cmb
Seguridad de Minas comportamiento preventivo en seguridad um cmboswaldo chomba
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGabriel Marcos
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informaticaG Hoyos A
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informaticaguest8b9e6c
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaReuniones Networking TIC
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Maricarmen García de Ureña
 

Tendances (20)

Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
 
Seguridad de edificios control de acccesos
Seguridad de edificios control de acccesosSeguridad de edificios control de acccesos
Seguridad de edificios control de acccesos
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Seguridad fisica simulacros en operaciones mineras
Seguridad fisica simulacros en operaciones minerasSeguridad fisica simulacros en operaciones mineras
Seguridad fisica simulacros en operaciones mineras
 
Modelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicosModelo de prevención de fraude en canales electrónicos
Modelo de prevención de fraude en canales electrónicos
 
Evento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadasEvento Capital - Estrategias de seguridad para amenazas avanzadas
Evento Capital - Estrategias de seguridad para amenazas avanzadas
 
Seguridad de Minas comportamiento preventivo en seguridad um cmb
Seguridad de Minas comportamiento preventivo en seguridad um cmbSeguridad de Minas comportamiento preventivo en seguridad um cmb
Seguridad de Minas comportamiento preventivo en seguridad um cmb
 
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - Bogotá
 
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Guía de implementación, integración de la seguridad en el ciclo de vida del s...
Guía de implementación, integración de la seguridad en el ciclo de vida del s...
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informatica
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Red segura
Red seguraRed segura
Red segura
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
Gestion de la seguridad
Gestion de la seguridadGestion de la seguridad
Gestion de la seguridad
 
Seguridad Global
Seguridad GlobalSeguridad Global
Seguridad Global
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
 

En vedette

Iso 27001
Iso 27001Iso 27001
Iso 27001mar778
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

En vedette (6)

ISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZ
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Similaire à La seguridad alineada con necesidades de negocio

Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Gestion de la seguridad con Software Libre
Gestion de la seguridad con Software LibreGestion de la seguridad con Software Libre
Gestion de la seguridad con Software LibreToni de la Fuente
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01garridooyola201224
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Ricardo Cañizares Sales
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Manuel Santander
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONHOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONCristian Garcia G.
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 

Similaire à La seguridad alineada con necesidades de negocio (20)

Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)
 
Gestion de la seguridad con Software Libre
Gestion de la seguridad con Software LibreGestion de la seguridad con Software Libre
Gestion de la seguridad con Software Libre
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISO
 
La Convergencia de la Seguridad
La Convergencia de la SeguridadLa Convergencia de la Seguridad
La Convergencia de la Seguridad
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
Infosecu
InfosecuInfosecu
Infosecu
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integral
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Lopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valorLopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valor
 
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONHOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 

La seguridad alineada con necesidades de negocio

  • 1. GESTIÓN DE LA SEGURIDAD ORIENTADA A NEGOCIO Javier Cao Avellaneda Ingeniero en Informática Director técnico del Área de Seguridad de la Información javier.cao@firma-e.com
  • 2. Presentación: ¿Quiénes somos Firma-e? Seguridad de la Protección de Datos Información Personales Expediente Factura y Firma Electrónico y Gestión Electrónica Documental Segura
  • 3. Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
  • 4. ¿Qué está pasando? Estamos en el Siglo XXI, la era de la información digital.
  • 5. Nuevos modelos TI: Virtualización y Cloud Datos Datos Soft Soft Soft-Hard 1.- Nuevos entornos = nuevos riesgos. Hard CPD 2.- Complejidad en aumento. CPD
  • 6. Seguridad sobre lo que vemos. FISICO LÓGICO
  • 7. Escenarios de riesgo TI • En este nuevo marco hay diferentes tipologías de riesgos: – Riesgos propios: Controlados por la Organización. – Riesgos transferidos: Delegados en subcontratas. – Riesgos indirectos: Los ocasionados por la delegación que hacen de nuestros riesgos las subcontratas en otros terceros. – Riesgos invisibles: Ocasionados por situaciones que aparentemente no nos tendrían que afectar pero que generan incidentes.
  • 8. ¿Quiénes son los enemigos? ENEMIGO 1: • EL FAMOSO "ERROR INFORMÁTICO" ENEMIGO 2: • FRAUDE CON ÁNIMO DE LUCRO (desde DENTRO o desde FUERA) ENEMIGO 3: • FALTA DE RECURSOS o MANTENIMIENTO TI Y DESCONOCIMIENTO LEGISLACIÓN TI.
  • 9. Nuevas amenazas: espionaje industrial. Autobús MAN y coche Smart Presuntos plagio chino
  • 10. ¿Por dónde entran? DOMINIOS CON PROBLEMAS DIFERENTES: Dominio de cliente final (end point o medio de acceso) • Usb y medios de almacenamiento portatiles. • Usuarios remotos. • Tablets, portátiles y equipos PC. • Y una nueva moda BYOD, Bring you own device. Protección perimetral y frontend. • Firewalls y equipos de protección perimetral. • Elementos de red e infraestructura. • Servidores de correo. Backend. (Donde están los datos y el valor.) • Servidores de BB.DD. y aplicaciones. • Servidores de directorio.
  • 12. ¿Por qué entran? Proporcionalidad defensa-ataque Hace unos años la vigilancia pasiva Ahora se habla de labores de era viable. “inteligencia de red” y SIEM.
  • 13. Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
  • 15. Seguridad de la información: A C I D FLUJO NORMAL DISPONIBILIDAD CONFIDENCIALIDAD INTERRUPCIÓN INTERCEPTACIÓN MODIFICACIÓN SUPLANTACIÓN INTEGRIDAD AUTENTICACIÓN
  • 16. Elementos de la seguridad de la información Medidas de seguridad Salvaguardas Amenazas Incendio Corte Eléctrico Fallecimiento empleado ACTIVO Virus Avería hardware Impacto Vulnerabilidades
  • 17. Modelo de seguridad del negocio C I D 1 Compras Diseño Producción Financiero Dirección RR.HH. 2 3 3 3 3 2 1 3 5 4 5 1 5 3 2 4 4 1 3 3 5 5 5 1 4 3 2 5 5 2 3 3 5 4 3 2 3 3 5 5 5 1 4 3 2 3 3 5 5 5 2
  • 19. Gestión del riesgo • Airbag REDUCIR • Alarma anti robo • Revisiones periódicas EVITAR ACEPTAR • No tener • No hacer nada • Contratar seguro TRANSFERIR “a todo riesgo”
  • 20. ¿Qué se puede hacer? Estrategia del control RIESGO Prevención Detección INCIDENTE Represión DAÑOS Corrección RECUPERACIÓN Recuperación
  • 21. Gestión del riesgo ANÁLISIS DEL RIESGO TRATAMIENTO DEL RIESGO ACEPTAR REDUCIR EVITAR TRASFERIR ¿ACEPTABLE POR DIRECCIÓN? ACEPTACIÓN DEL RIESGO
  • 22. Gestión del riesgo. Costo del impacto si Costo de las se produce medidas de un incidente seguridad
  • 23. ¿Qué seguridad debemos buscar? ¿Inestable? ¿Estable? Nunca ha pasado nada pero sabríamos reacciona y resistir. ¡ RESILIENCIA ! Nunca ha pasado nada pero no sabríamos cómo nos afectaría.
  • 24. Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
  • 25. Servicios de FIRMA-E: Diseño de la seguridad OBJETIVO 1: Construir el modelo de seguridad. OBJETIVO 2: Obtener diagnóstico de riesgos. Actividades: 1. Identificar procesos de negocio y dependencias. 2. Valorar la información según negocio. 3. Análisis holístico de amenazas. 4. Cálculo de riesgo potencial. 5. Decidir el criterio de aceptación de riesgo. RESULTADOS: Toma de decisiones de seguridad
  • 26. Marco de normas ISO 27000 • ISO 27001: Especificación para la construcción de un SGSI. – Especifica los REQUISITOS para ESTABLECER, IMPLANTAR, DOCUMENTAR y EVALUAR un SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN de acuerdo con la Norma ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS identificados por la ORGANIZACIÓN. • ISO 27002: Buenas prácticas para la gestión de la seguridad. – Define los objetivos de control (finalidades) y controles de seguridad (contramedidas) a utilizar para reducir y/o mitigar riesgos. – Define 11 bloques de control, 39 objetivos y 133 controles.
  • 27. Elementos del SGSI SGSI ESPECIFICACIÓN ISO 27001 ISO 27001:2005 Procedimientos Documentos SGSI SGSI Auditorias R P D A Registros SGSI CONTROLES ISO 27002 ISO 27002:2005 Procedimientos Procesos Medidas seguridad P D M R Registros seguridad ACTIVOS
  • 28. Planificar-Hacer-Verificar-Revisar - Definir la Política de Seguridad - Ejecutar el plan de - Establecer el alcance del SGSI gestión de riesgos - Realizar el análisis de riesgos - Implantar el SGSI - Seleccionar los controles - Implantar los controles - Adoptar acciones correctivas - Revisar internamente el SGSI - Adoptar acciones preventivas - Realizar auditorias del SGSI
  • 29. Objetivos de seguridad de la Organización • Las necesidades quedan determinadas por tres aspectos: Propios del modelo Análisis de de negocio riesgos Cumplimiento legal 29
  • 30. Objetivos de operación del SGSI • OBJ-S1: Garantizar 99,671% de disponibilidad de servicios críticos. • OBJ-S2: Nº Intentos acceso no autorizados no superen el 5% accesos totales. • OBJ-S3: Tiempo medio de respuesta para incidencias de seguridad < 4 horas. • OBJ-S4: 95% de éxito en ejecución de copias de seguridad y sus pruebas.
  • 31. Basada en objetivos y evidencias, no creencias. OS-1 OS-2 OS-3 OS-4 OS-5 … OG-1 OG-2 OG-3 Axioma de la inseguridad: IND1 IND2 IND3 IND4 IND5 IND10 IND11 IND12 “La mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, lo inverso de lo que sugiere una aproximación razonable”.
  • 32. Madurez del SGSI Madurez Nivel 5 Nivel 4 Optimizado Nivel 3 Definido y gestionado SGSI Nivel 2 Definido y documentado Nivel 1 Implantado pero no supervisado Nivel 0 Iniciado 5 No existe control 4 3 2 1 0 32 Tiempo
  • 33. Documentación para certificación ISO 27001:2005 • Documentación del SGSI: D– Política de seguridad D– Objetivos del SGSI. D – Descripción del alcance del SGSI. D – Metodología utilizada para la realización del análisis y gestión D del riesgo. D– Informe de análisis de riesgo D– Plan de tratamiento del riesgo. D– Declaración de aplicabilidad • Procedimientos generales del SGSI: P – Control de la documentación y registros P – Procedimiento de auditoría P – Procedimiento de gestión de la mejora continua. P – Procedimiento de revisión por la Dirección.
  • 34. Beneficios de un SGSI • Conocimiento de riesgos • Calidad en seguridad= Confianza • Cumplimiento legal • Competitividad en el mercado
  • 36. Siempre seguridad basada en riesgo. El ENS establece un conjunto suficiente de garantías si: – Se implanta ANTES de poner en marcha las sedes electrónicas. – Se audita su correcto funcionamiento por personal cualificado. – Se diferencia
  • 37. Basada en hechos, no en sensaciones.