Seguridad Informática

Concepto
1. Medidas
2. Sistema seguro y confiable
Necesitamos para
1. Información
2. Infraestructura
3. usuarios
Metas
1. Disponibilidad
  1. Redundancia
  2. Copias de seguridad
2. Integridad
  1. Hashing
3. Confidencialidad
  1. Autenticación
  2. Autoridad
  3. Auditoría
Programa Organizacional
1. 1) Seguridad Organizativa
  1. Comité de seguridad
  2. Apoyo $,l negocio y políticas
2. 2) Seguridad lógica
  1. Uso correcto de datos
  2. Restricción acceso
  3. Independencia usuarios
3. 3) seguridad física
  1. Control de acceso físico
  2. Alteraciones externas
  3. Desastres naturales
4. 4) Seguridad legal
  1. uso de software
  2. Restricción de acceso
  3. uso de software
5. 5) Seguridad pasiva
  1. No pertenece ISO
  2. Mitigar pérdidas de info
6. 6) Ejemplos pasivos
  1. No pertenece ISO
  2. No break y backup
Ètica
1. Informática
  1. Uso de la información
  2. Privacidad y confidencial
  3. Info como bien o propiedad
2. Vida real
  1. 1) identificar problemas morales y dilemas
  2. 2) Identificar consecuencias
  3. 3) Considerar acciones alternativas
  4. 4) Escoger opción que promueva moralidad
ISO 27001
1. 1) Política de segurdad
2. 2) Org de la SI
3. 3) Activos $
4. 4) Seguridad de RH
5. 5) Incidentes
6. 6) Continuidad del negocio
Ataque informático
1. Atractivo por:
  1. Objeto pequeño
  2. Contacto físico (anonimato)
  3. Alto valor información
2. Etapas
  1. 1) Reconocimiento
    1. Obtener info de potencial víctima
    2. * Ingeniería social
    3. * Snifting/olfato
  2. 2) Exploración
    1. Escanéo puertos
    2. Análisis vulnerabilidades
    3. Escanéo de red
  3. 3) Obtener acceso
    1. Brute force attack (Hydra)
    2. Negación de servicios (DOS)
    3. Session Hacking
  4. 4) Garantizar un acceso futuro
    1. *Mantener acceso
    2. Puertas traseras
    3. Rootkits/control Kernel
  5. 5) Borrar huellas
    1. *Eliminar evidencia
    2. LOGS/Bitácora
    3. IDS/Sist detección intrusos
Principios
1. 1) Acceso + fácil
  1. sistema seguro, eslabón + débil
2. 2) Caducidad del secreto
  1. Valor de la info temporal
3. 3) Eficiencia de las medidas
4. 4) Mínimo privilegio
  1. Privilegios limitados
5. 5) Dinamismo
  1. Seg Info: proceso NO producto
Certificaciones
1. Nivel individuo
  1. GISF
  2. CompTia
  3. CEH
  4. CISSP
  5. CISM
2. Nivel sistema
  1. TCSEC
    1. ITSEC
  2. ISO-15408
3. Nivel organizacional
  1. ISO/IEC
    1. NIST
      1. ISF
Políticas de seguridad informática
1. Características
  1. 1) Instrucciones generales
  2. 2) Adecuada a necesidades y recursos
  3. 3) Lenguaje sencillo
  4. 4) Cumplir regulación local
  5. 5) Ejecutados por toda la org.
2. Elementos generales
  1. 1) Concienciación
  2. 2) Responsabilidad
  3. 3) Objetivos de la política
  4. 4) Responsabilidades (responsable-activo)
  5. 5) Descripción explícita
  6. 6) Definición de violaciones
3. Beneficios
  1. 1) Identificar obsolencia
  2. 2) Planear evolución
  3. 3) Profesionaliza a la organización
  4. 4) Reducción de riesgos
4. Niveles
  1. Políticas
  2. Norma
  3. Mejor práctica, guía y procedimientos
5. Implementación
  1. DIME 4 etapas 11 fases
    1. 1) Desarrollo
      1. 1) Creación
      2. 2) Revisión
      3. 3)Aprobación
    2. 2) Implementación
      1. 4) Comunicación
      2. 5) Cumplimiento
      3. 6) Excepciones
    3. 3) Mantenimiento
      1. 7) Concienciación
      2. 8) Monitoreo
      3. 9) Garantía de cumplimiento
      4. 10) Mantenimiento
    4. 4) Eliminación
      1. 11) Retiro
Gobierno de TI
1. Àreas
  1. Alineación estratégica
    1. Administración del riesgo
    2. Medición del desempeño
  2. Entrega de valor
  3. Gestión de recursos
2. Marcos de referencia
  1. 1) Desarrollo de Apps
    1. CMMI
  2. 2) Seguridad de la info
    1. ISO 27000
  3. 3) Admon de Proyectos
    1. PMI
  4. 4) Admon de Servicios
    1. ITIL
  5. 5) Calidad de sistemas
    1. Six Sigma
Políticas y Arquitectura
1. Bienes, riesgos y amenazas
  1. Agente
    1. Amenaza
      1. Vulnerabilidad
        Riesgo
        Activo
        Exposición
        Mecanismo de control
  2. Metodología análisis riesgos
    1. ISO/IEC 27005
      1. 9 pasos
        1) Identificación de activos
        2) Tasación de activos
        3) Identificación amenazas
        4) Posib. de ocurrencias amenazas
        5) Identificación vulnerabilidades
        6) Posible explotación vulnerabilidades
        7) Estimación del valor activos en riesgo
        8) Posibilidad ocurrencia riesgo
        9) Valor riesgo activos
2. Metodología ISO/IEC 27005
  1. Activos
    1. Primarios
      1. Procesos de negocio, activ. de negocio,, información
    2. Soporte
      1. Hardware, soporte, redes de comuni, personal, instalaciones.
3. Metodología !
  1. 1) Valor del activo
    1. Muy alto-4 alto-3 medio-2 bajo-1 muy bajo-0
  2. 2) probabilidad ocurrencia
    1. Bajo Media Alta
  3. 3) Vulnerabilidad
    1. Baja Media Alta
4. Metodología 2
  1. 1) Valor del activo
    1. Muy alto-4 alto-3 medio-2 bajo-1 muy bajo-0
  2. 2) probabilidad ataque
    1. * Muy poco Probable *Poco probable * Posible *Probable *Frecuente
  3. 3) Impacto en el negocio
    1. Muy bajo Bajo Mediano Alto Muy Alto
5. Tratamiento del riesgo
  1. ¿Cómo?
    1. Reducir o controlar
    2. Asumir
    3. Evitar
    4. Compartir
  2. Protección bienes y servicios
    1. Mecanismos
    2. Controles
    3. Medida
  3. Controles de seguridad
    1. Administrativos
    2. Técnicos
    3. Físicos
  4. Riesgo Residual (RR)
    1. RR= (10-Riesgo)*10
      1. Muy Adecuado Adecuado Moderado Débil Muy débil
    2. Defensa a fondo
      1. Múltiples controles de seguridad

Next up

Seguridad Informática

Description

Resource summary

Similar

	Created by gracielaa203 over 8 years ago