Seguridad Informática

gracielaa203
Mind Map by gracielaa203, updated more than 1 year ago
gracielaa203
Created by gracielaa203 over 6 years ago
25
0

Description

mapa de seguridad informática

Resource summary

Seguridad Informática
  1. Concepto
    1. Medidas
      1. Sistema seguro y confiable
      2. Necesitamos para
        1. Información
          1. Infraestructura
            1. usuarios
            2. Metas
              1. Disponibilidad
                1. Redundancia
                  1. Copias de seguridad
                  2. Integridad
                    1. Hashing
                    2. Confidencialidad
                      1. Autenticación
                        1. Autoridad
                          1. Auditoría
                        2. Programa Organizacional
                          1. 1) Seguridad Organizativa
                            1. Comité de seguridad
                              1. Apoyo $,l negocio y políticas
                              2. 2) Seguridad lógica
                                1. Uso correcto de datos
                                  1. Restricción acceso
                                    1. Independencia usuarios
                                    2. 3) seguridad física
                                      1. Control de acceso físico
                                        1. Alteraciones externas
                                          1. Desastres naturales
                                          2. 4) Seguridad legal
                                            1. uso de software
                                              1. Restricción de acceso
                                                1. uso de software
                                                2. 5) Seguridad pasiva
                                                  1. No pertenece ISO
                                                    1. Mitigar pérdidas de info
                                                    2. 6) Ejemplos pasivos
                                                      1. No pertenece ISO
                                                        1. No break y backup
                                                      2. Ètica
                                                        1. Informática
                                                          1. Uso de la información
                                                            1. Privacidad y confidencial
                                                              1. Info como bien o propiedad
                                                              2. Vida real
                                                                1. 1) identificar problemas morales y dilemas
                                                                  1. 2) Identificar consecuencias
                                                                    1. 3) Considerar acciones alternativas
                                                                      1. 4) Escoger opción que promueva moralidad
                                                                    2. ISO 27001
                                                                      1. 1) Política de segurdad
                                                                        1. 2) Org de la SI
                                                                          1. 3) Activos $
                                                                            1. 4) Seguridad de RH
                                                                              1. 5) Incidentes
                                                                                1. 6) Continuidad del negocio
                                                                                2. Ataque informático
                                                                                  1. Atractivo por:
                                                                                    1. Objeto pequeño
                                                                                      1. Contacto físico (anonimato)
                                                                                        1. Alto valor información
                                                                                        2. Etapas
                                                                                          1. 1) Reconocimiento
                                                                                            1. Obtener info de potencial víctima
                                                                                              1. * Ingeniería social
                                                                                                1. * Snifting/olfato
                                                                                                2. 2) Exploración
                                                                                                  1. Escanéo puertos
                                                                                                    1. Análisis vulnerabilidades
                                                                                                      1. Escanéo de red
                                                                                                      2. 3) Obtener acceso
                                                                                                        1. Brute force attack (Hydra)
                                                                                                          1. Negación de servicios (DOS)
                                                                                                            1. Session Hacking
                                                                                                            2. 4) Garantizar un acceso futuro
                                                                                                              1. *Mantener acceso
                                                                                                                1. Puertas traseras
                                                                                                                  1. Rootkits/control Kernel
                                                                                                                  2. 5) Borrar huellas
                                                                                                                    1. *Eliminar evidencia
                                                                                                                      1. LOGS/Bitácora
                                                                                                                        1. IDS/Sist detección intrusos
                                                                                                                    2. Principios
                                                                                                                      1. 1) Acceso + fácil
                                                                                                                        1. sistema seguro, eslabón + débil
                                                                                                                        2. 2) Caducidad del secreto
                                                                                                                          1. Valor de la info temporal
                                                                                                                          2. 3) Eficiencia de las medidas
                                                                                                                            1. 4) Mínimo privilegio
                                                                                                                              1. Privilegios limitados
                                                                                                                              2. 5) Dinamismo
                                                                                                                                1. Seg Info: proceso NO producto
                                                                                                                              3. Certificaciones
                                                                                                                                1. Nivel individuo
                                                                                                                                  1. GISF
                                                                                                                                    1. CompTia
                                                                                                                                      1. CEH
                                                                                                                                        1. CISSP
                                                                                                                                          1. CISM
                                                                                                                                          2. Nivel sistema
                                                                                                                                            1. TCSEC
                                                                                                                                              1. ITSEC
                                                                                                                                              2. ISO-15408
                                                                                                                                              3. Nivel organizacional
                                                                                                                                                1. ISO/IEC
                                                                                                                                                  1. NIST
                                                                                                                                                    1. ISF
                                                                                                                                              4. Políticas de seguridad informática
                                                                                                                                                1. Características
                                                                                                                                                  1. 1) Instrucciones generales
                                                                                                                                                    1. 2) Adecuada a necesidades y recursos
                                                                                                                                                      1. 3) Lenguaje sencillo
                                                                                                                                                        1. 4) Cumplir regulación local
                                                                                                                                                          1. 5) Ejecutados por toda la org.
                                                                                                                                                          2. Elementos generales
                                                                                                                                                            1. 1) Concienciación
                                                                                                                                                              1. 2) Responsabilidad
                                                                                                                                                                1. 3) Objetivos de la política
                                                                                                                                                                  1. 4) Responsabilidades (responsable-activo)
                                                                                                                                                                    1. 5) Descripción explícita
                                                                                                                                                                      1. 6) Definición de violaciones
                                                                                                                                                                      2. Beneficios
                                                                                                                                                                        1. 1) Identificar obsolencia
                                                                                                                                                                          1. 2) Planear evolución
                                                                                                                                                                            1. 3) Profesionaliza a la organización
                                                                                                                                                                              1. 4) Reducción de riesgos
                                                                                                                                                                              2. Niveles
                                                                                                                                                                                1. Políticas
                                                                                                                                                                                  1. Norma
                                                                                                                                                                                    1. Mejor práctica, guía y procedimientos
                                                                                                                                                                                    2. Implementación
                                                                                                                                                                                      1. DIME 4 etapas 11 fases
                                                                                                                                                                                        1. 1) Desarrollo
                                                                                                                                                                                          1. 1) Creación
                                                                                                                                                                                            1. 2) Revisión
                                                                                                                                                                                              1. 3)Aprobación
                                                                                                                                                                                              2. 2) Implementación
                                                                                                                                                                                                1. 4) Comunicación
                                                                                                                                                                                                  1. 5) Cumplimiento
                                                                                                                                                                                                    1. 6) Excepciones
                                                                                                                                                                                                    2. 3) Mantenimiento
                                                                                                                                                                                                      1. 7) Concienciación
                                                                                                                                                                                                        1. 8) Monitoreo
                                                                                                                                                                                                          1. 9) Garantía de cumplimiento
                                                                                                                                                                                                            1. 10) Mantenimiento
                                                                                                                                                                                                            2. 4) Eliminación
                                                                                                                                                                                                              1. 11) Retiro
                                                                                                                                                                                                        2. Gobierno de TI
                                                                                                                                                                                                          1. Àreas
                                                                                                                                                                                                            1. Alineación estratégica
                                                                                                                                                                                                              1. Administración del riesgo
                                                                                                                                                                                                                1. Medición del desempeño
                                                                                                                                                                                                                2. Entrega de valor
                                                                                                                                                                                                                  1. Gestión de recursos
                                                                                                                                                                                                                  2. Marcos de referencia
                                                                                                                                                                                                                    1. 1) Desarrollo de Apps
                                                                                                                                                                                                                      1. CMMI
                                                                                                                                                                                                                      2. 2) Seguridad de la info
                                                                                                                                                                                                                        1. ISO 27000
                                                                                                                                                                                                                        2. 3) Admon de Proyectos
                                                                                                                                                                                                                          1. PMI
                                                                                                                                                                                                                          2. 4) Admon de Servicios
                                                                                                                                                                                                                            1. ITIL
                                                                                                                                                                                                                            2. 5) Calidad de sistemas
                                                                                                                                                                                                                              1. Six Sigma
                                                                                                                                                                                                                          3. Políticas y Arquitectura
                                                                                                                                                                                                                            1. Bienes, riesgos y amenazas
                                                                                                                                                                                                                              1. Agente
                                                                                                                                                                                                                                1. Amenaza
                                                                                                                                                                                                                                  1. Vulnerabilidad
                                                                                                                                                                                                                                    1. Riesgo
                                                                                                                                                                                                                                      1. Activo
                                                                                                                                                                                                                                        1. Exposición
                                                                                                                                                                                                                                          1. Mecanismo de control
                                                                                                                                                                                                                                2. Metodología análisis riesgos
                                                                                                                                                                                                                                  1. ISO/IEC 27005
                                                                                                                                                                                                                                    1. 9 pasos
                                                                                                                                                                                                                                      1. 1) Identificación de activos
                                                                                                                                                                                                                                        1. 2) Tasación de activos
                                                                                                                                                                                                                                          1. 3) Identificación amenazas
                                                                                                                                                                                                                                            1. 4) Posib. de ocurrencias amenazas
                                                                                                                                                                                                                                              1. 5) Identificación vulnerabilidades
                                                                                                                                                                                                                                                1. 6) Posible explotación vulnerabilidades
                                                                                                                                                                                                                                                  1. 7) Estimación del valor activos en riesgo
                                                                                                                                                                                                                                                    1. 8) Posibilidad ocurrencia riesgo
                                                                                                                                                                                                                                                      1. 9) Valor riesgo activos
                                                                                                                                                                                                                                                2. Metodología ISO/IEC 27005
                                                                                                                                                                                                                                                  1. Activos
                                                                                                                                                                                                                                                    1. Primarios
                                                                                                                                                                                                                                                      1. Procesos de negocio, activ. de negocio,, información
                                                                                                                                                                                                                                                      2. Soporte
                                                                                                                                                                                                                                                        1. Hardware, soporte, redes de comuni, personal, instalaciones.
                                                                                                                                                                                                                                                    2. Metodología !
                                                                                                                                                                                                                                                      1. 1) Valor del activo
                                                                                                                                                                                                                                                        1. Muy alto-4 alto-3 medio-2 bajo-1 muy bajo-0
                                                                                                                                                                                                                                                        2. 2) probabilidad ocurrencia
                                                                                                                                                                                                                                                          1. Bajo Media Alta
                                                                                                                                                                                                                                                          2. 3) Vulnerabilidad
                                                                                                                                                                                                                                                            1. Baja Media Alta
                                                                                                                                                                                                                                                          3. Metodología 2
                                                                                                                                                                                                                                                            1. 1) Valor del activo
                                                                                                                                                                                                                                                              1. Muy alto-4 alto-3 medio-2 bajo-1 muy bajo-0
                                                                                                                                                                                                                                                              2. 2) probabilidad ataque
                                                                                                                                                                                                                                                                1. * Muy poco Probable *Poco probable * Posible *Probable *Frecuente
                                                                                                                                                                                                                                                                2. 3) Impacto en el negocio
                                                                                                                                                                                                                                                                  1. Muy bajo Bajo Mediano Alto Muy Alto
                                                                                                                                                                                                                                                                3. Tratamiento del riesgo
                                                                                                                                                                                                                                                                  1. ¿Cómo?
                                                                                                                                                                                                                                                                    1. Reducir o controlar
                                                                                                                                                                                                                                                                      1. Asumir
                                                                                                                                                                                                                                                                        1. Evitar
                                                                                                                                                                                                                                                                          1. Compartir
                                                                                                                                                                                                                                                                          2. Protección bienes y servicios
                                                                                                                                                                                                                                                                            1. Mecanismos
                                                                                                                                                                                                                                                                              1. Controles
                                                                                                                                                                                                                                                                                1. Medida
                                                                                                                                                                                                                                                                                2. Controles de seguridad
                                                                                                                                                                                                                                                                                  1. Administrativos
                                                                                                                                                                                                                                                                                    1. Técnicos
                                                                                                                                                                                                                                                                                      1. Físicos
                                                                                                                                                                                                                                                                                      2. Riesgo Residual (RR)
                                                                                                                                                                                                                                                                                        1. RR= (10-Riesgo)*10
                                                                                                                                                                                                                                                                                          1. Muy Adecuado Adecuado Moderado Débil Muy débil
                                                                                                                                                                                                                                                                                          2. Defensa a fondo
                                                                                                                                                                                                                                                                                            1. Múltiples controles de seguridad
                                                                                                                                                                                                                                                                                      Show full summary Hide full summary

                                                                                                                                                                                                                                                                                      Similar

                                                                                                                                                                                                                                                                                      Seguridad Informática
                                                                                                                                                                                                                                                                                      M Siller
                                                                                                                                                                                                                                                                                      Seguridad en la red
                                                                                                                                                                                                                                                                                      Diego Santos
                                                                                                                                                                                                                                                                                      Salud y seguridad
                                                                                                                                                                                                                                                                                      Rafa Tintore
                                                                                                                                                                                                                                                                                      Seguridad alimenticia
                                                                                                                                                                                                                                                                                      Rafa Tintore
                                                                                                                                                                                                                                                                                      Informática I, Primer Semestre, Bloque 1: Funciones básicas del sistema operativo y la seguridad de la información.
                                                                                                                                                                                                                                                                                      Paulo Barrientos
                                                                                                                                                                                                                                                                                      INTELIGENCIA
                                                                                                                                                                                                                                                                                      MARCIA VISTIN TERAN
                                                                                                                                                                                                                                                                                      delitos informáticos
                                                                                                                                                                                                                                                                                      Fernando Hdez
                                                                                                                                                                                                                                                                                      SEGURIDAD INFORMÁTICA
                                                                                                                                                                                                                                                                                      ERNESTO GARCIA CASTORENA
                                                                                                                                                                                                                                                                                      Seguridad informática
                                                                                                                                                                                                                                                                                      Rodrigo Vázquez Ramírez
                                                                                                                                                                                                                                                                                      PASOS PARA la CREACION DE UN MANUAL DE SEGURIDAD
                                                                                                                                                                                                                                                                                      Michael Murillo