![Page 1: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/1.jpg)
1��������������� ��
SISTEMA DE GESTION DE SEGURIDAD
NORMA ISO 27001(CORPEI)Jorge Ugarte Fajardo
8/10/2008Guayaquil -Ecuador
![Page 2: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/2.jpg)
2��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001Objetivos de Control y Controles
![Page 3: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/3.jpg)
3��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la Información
![Page 4: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/4.jpg)
4��������������� ��
¿ Seguridad de la Información?
La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada
La información puede estar:
• Impresa o escrita en papel.• Almacenada electrónicamente.• Trasmitida por correo o medios electrónicos• Mostrada en filmes.• Hablada en conversación.
La información puede estar:
• Impresa o escrita en papel.• Almacenada electrónicamente.• Trasmitida por correo o medios electrónicos• Mostrada en filmes.• Hablada en conversación.
![Page 5: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/5.jpg)
5��������������� ��
¿ Objetivos de la Seguridad de la información?
El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información.
Los objetivos de la seguridad de la información se cumplen cuando se preserva:
• CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas.
• INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas.
• DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere.
Los objetivos de la seguridad de la información se cumplen cuando se preserva:
• CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas.
• INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas.
• DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere.
![Page 6: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/6.jpg)
6��������������� ��
¿Contra qué se debe proteger la información?
� ����������� �������� ������� �� ��� ������������ ����� �� ������ ����������������� ������������ ���������������������������������������� ���������������������� ��������
��������������� ���� ���� �!� ����������"������ �������!���������������������� ��!������������#��$
![Page 7: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/7.jpg)
7��������������� ��
¿Qué es una amenaza?
%�������#���������� ���� �������������������!� �����&����������� ��'������� ���� ������������'�����������#���( ����
��������
)�� � ����
&��)�� � ����
"�����
"��� � �
*������ +(����
"����� ��
,������
"������ ����
&������
![Page 8: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/8.jpg)
8��������������� ��
¿amenazas?
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
KeyloggingPort scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
![Page 9: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/9.jpg)
9��������������� ��
Más amenazas
Captura de PC desde el exteriorViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
VirusMails anMails anóónimos con agresionesnimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresosPropiedad de la información
Agujeros de seguridad de redes conectadasFalsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
![Page 10: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/10.jpg)
10��������������� ��
¿Qué es vulnerabilidad?
• Inadecuado compromiso de la dirección.• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.• Ausencia de políticas/ procedimientos.• Ausencia de controles
(físicos/lógicos)(disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles.
• Inadecuado compromiso de la dirección.• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.• Ausencia de políticas/ procedimientos.• Ausencia de controles
(físicos/lógicos)(disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles.
%��������� � ����������� � ����������� ��������� � ���'���������������!� ����������� �������������#�����(������ ������� � ������ � #������� �������!��������������(��� ��
![Page 11: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/11.jpg)
11��������������� ��
¿y el Riesgo?
• Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad.
• Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia.
• Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.
• Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad.
• Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia.
• Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.
����� �������� � � ���'����������#������������ �� �������!� ���������� ������ ����'������������������ � ������ �-������#��� ������������.�������$
![Page 12: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/12.jpg)
12��������������� ��
Factores de riesgo
![Page 13: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/13.jpg)
13��������������� ��
¿Qué es un incidente de seguridad?
Puede ser causado por:
• una falla en algún mecanismo de seguridad.• un intento o amenaza (concretada o no) de romper
mecanismos de seguridad, etc.
Puede ser causado por:
• una falla en algún mecanismo de seguridad.• un intento o amenaza (concretada o no) de romper
mecanismos de seguridad, etc.
Un incidente de seguridad, es un evento adverso quepuede afectar a un sistema o red de computadoras.
![Page 14: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/14.jpg)
14��������������� ��
Algunos incidentes:
� �
��
![Page 15: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/15.jpg)
15��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la Información
![Page 16: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/16.jpg)
16��������������� ��
¿Qué es un Sistema de Gestión de Seguridad de la Información?
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI)SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
El.. (SGSI) es la parte del sistema de gestiónde la empresa, basado en un enfoque de
riesgos del negocio, para: establecer,implementar, operar, monitorear, mantener y
mejorar la seguridad de la información.
El.. (SGSI) es la parte del sistema de gestiónde la empresa, basado en un enfoque de
riesgos del negocio, para: establecer,implementar, operar, monitorear, mantener y
mejorar la seguridad de la información.
![Page 17: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/17.jpg)
17��������������� ��
¿Quiénes están involucrados en SI?
La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.
La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.
• Dirección• Alta gerencia• Personal de TI• Empleados• Auditores• Entidades reguladoras externas
• Dirección• Alta gerencia• Personal de TI• Empleados• Auditores• Entidades reguladoras externas
![Page 18: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/18.jpg)
18��������������� ��
¿ Cómo se implementa un SGSI?
Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para establecer, implementar, monitorear y mejorar el SGSI
Planificar
VerificarActuar
Partes Interesadas
Mantener y Mejorar el SGSI
Establecer el SGSI
Monitorear y revisarel SGSI
Implementar y operar el SGSI
Partes Interesadas
Requisitos y expectativas
Seguridad Gestionada
Hacer
![Page 19: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/19.jpg)
19��������������� ��
¿Cuál es la norma aplicable SI?
• La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI).• ISO 27001 es una norma certificable• Se creó en diciembre de 2005 a partir de la norma BS7799-2.• La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.
• La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información.• ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS).
• La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI).• ISO 27001 es una norma certificable• Se creó en diciembre de 2005 a partir de la norma BS7799-2.• La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.
• La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información.• ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS).
![Page 20: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/20.jpg)
20��������������� ��
¿y toda la familia 27000?
![Page 21: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/21.jpg)
21��������������� ��
Tipos de evaluaciones de seguridad
Exploraciones de vulnerabilidades:Exploraciones de vulnerabilidades:Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración:Pruebas de penetración:Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones
Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones
Auditoría en la seguridad de informática:Auditoría en la seguridad de informática:Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la industria
Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la industria
![Page 22: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/22.jpg)
22��������������� ��
¿Cómo se relaciona con otras normas IT?IT Governance Model
CobITAudit Models
Quality Systems & Mgmt. Frameworks
Service M
gmt.
App. D
ev. (SD
LC)
Project M
gmt.
IT Planning
IT Security
Quality S
ystem
COSO
���� !!"#� !!�
$�%�&
ISO 10006
���'!!"(�!!!'!!!)(�!!*
��+���,�
-����
������.
��/�$
ISO_9126
0��
������/0(���1�� ���""
�-�/
1 �23444" 0�
54444$5443
IT OPERATIONS
![Page 23: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/23.jpg)
23��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001
![Page 24: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/24.jpg)
24��������������� ��
¿Por qué utilizar la norma ISO 27001?
ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad
ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad
se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo,
se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo,
Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a
aspectos netamente organizativos, es decir, permite“Organizar la seguridad de la información”.
Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a
aspectos netamente organizativos, es decir, permite“Organizar la seguridad de la información”.
![Page 25: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/25.jpg)
25��������������� ��
Estructura de la Norma ISO 27001
0 Introduction 1 Scope2 Normative references 3 Terms and definitions 4 Information security management system 5 Management responsibility 6 Internal ISMS audits7 Management review of the ISMS8 ISMS improvementAnnex A (normative) Control objectives and controlsAnnex B (informative) OECD principles and this International Standard Annex C (informative) Correspondence between ISO 9001:2000, ISO 14001:2004 and thisInternational Standard
![Page 26: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/26.jpg)
26��������������� ��
Aplicación de la norma ISO 27001
Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI
PHVA
Planificar
Verificar
Hacer
Actuar
Cláusulas: 4.2.1, 5
Definir la política de seguridad
Establecer el alcance del SGSI
Realizar los análisis de riesgos
Seleccionar los controles
Cláusulas; 4.2.2, 4.3
Implantar el plan de gestión de riesgos
Implantar el SGSI
Implantar los controles.
Implantar indicadores.
Cláusulas: 4.2.3,6,7Revisiones del SGSI por parte de la
Dirección.
Realizar auditorías internas del SGSI
Cláusulas: 4.2.4,8
Adoptar acciones correctivas
Adoptar acciones preventivas
![Page 27: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/27.jpg)
27��������������� ��
Descripción general de la sesión
Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001Objetivos de Control y Controles
![Page 28: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/28.jpg)
28��������������� ��
Objetivos de Control y controles (ISO 27002)
![Page 29: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/29.jpg)
29��������������� ��
Controles
5. Política de Seguridad 5. Política de Seguridad
Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.
Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.
![Page 30: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/30.jpg)
30��������������� ��
Controles
6. Aspectos organizativos de la Seguridad 6. Aspectos organizativos de la Seguridad
Organización interna.-Establecer el compromiso de la Dirección , roles, responsabilidades, acuerdos de confidencialidad, etc.Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los controles de seguridad de información existentes
Organización interna.-Establecer el compromiso de la Dirección , roles, responsabilidades, acuerdos de confidencialidad, etc.Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los controles de seguridad de información existentes
![Page 31: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/31.jpg)
31��������������� ��
Controles
7. Gestión de Activos7. Gestión de Activos
Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia.
Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia.
![Page 32: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/32.jpg)
32��������������� ��
Controles
8. Seguridad de Recursos Humanos8. Seguridad de Recursos Humanos
Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante:
• Definición de roles y responsabilidad de seguridad de los activos.
• Verificación de antecedentes antes de la contratación • Asegurar que los usuarios conocen de las amenazas y las
inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario.
• Control de activos cuando finaliza el contrato.
Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante:
• Definición de roles y responsabilidad de seguridad de los activos.
• Verificación de antecedentes antes de la contratación • Asegurar que los usuarios conocen de las amenazas y las
inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario.
• Control de activos cuando finaliza el contrato.
![Page 33: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/33.jpg)
33��������������� ��
Controles
9. Seguridad física y ambiental9. Seguridad física y ambiental
El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos.Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos periódicos.
El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos.Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos periódicos.
![Page 34: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/34.jpg)
34��������������� ��
Controles
10. Gestión de comunicaciones y operaciones 10. Gestión de comunicaciones y operaciones
Documente procedimientos, normas y directrices de seguridad de la información supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción.Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS.
…………….
Documente procedimientos, normas y directrices de seguridad de la información supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción.Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS.
…………….
![Page 35: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/35.jpg)
35��������������� ��
Controles
10. Gestión de comunicaciones y operaciones (2) 10. Gestión de comunicaciones y operaciones (2)
……………..Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encriptetodos los datos sensibles o valiosos antes de ser transportados.Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc.incorpore requisitos de seguridad de la información en los proyectos e-business.Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas.
……………..Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encriptetodos los datos sensibles o valiosos antes de ser transportados.Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc.incorpore requisitos de seguridad de la información en los proyectos e-business.Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas.
![Page 36: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/36.jpg)
36��������������� ��
Controles
11. Control de accesos 11. Control de accesos
Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios.Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares.definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.
………………
Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios.Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares.definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.
………………
![Page 37: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/37.jpg)
37��������������� ��
Controles
11. Control de accesos 11. Control de accesos
……………….Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos remotos.Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones.Implante estándares de seguridad básica para todas las aplicaciones y middleware.Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.
……………….Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos remotos.Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones.Implante estándares de seguridad básica para todas las aplicaciones y middleware.Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.
![Page 38: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/38.jpg)
38��������������� ��
Controles
12. Adquisición, desarrollo y mantenimiento de los sistemas de información12. Adquisición, desarrollo y mantenimiento de los sistemas de información
Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información.Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etcUtilice estándares formales de encriptación.
…………….
Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información.Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etcUtilice estándares formales de encriptación.
…………….
![Page 39: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/39.jpg)
39��������������� ��
Controles
12. Adquisición, desarrollo y mantenimiento de los sistemas de información12. Adquisición, desarrollo y mantenimiento de los sistemas de información
………………Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y controlar el acceso al código fuente.Incorpore la seguridad de la información al ciclo de vida de
desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios.Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible.
………………Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y controlar el acceso al código fuente.Incorpore la seguridad de la información al ciclo de vida de
desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios.Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible.
![Page 40: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/40.jpg)
40��������������� ��
Controles
13. Gestión de incidentes en la seguridad de la información 13. Gestión de incidentes en la seguridad de la información
• Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad.
• Analizar y tomar las medidas correctivas.
• Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad.
• Analizar y tomar las medidas correctivas.
![Page 41: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/41.jpg)
41��������������� ��
Controles
14. Gestión de la continuidad del negocio 14. Gestión de la continuidad del negocio
• Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación / informática implementando un plan de continuidad del negocio.
• Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación / informática implementando un plan de continuidad del negocio.
![Page 42: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/42.jpg)
42��������������� ��
Controles
15. Cumplimiento15. Cumplimiento
• Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.
• Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras).
• Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.
• Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras).
![Page 43: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/43.jpg)
43��������������� ��
Modelo con enfoque en la infraestructura
![Page 44: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/44.jpg)
44��������������� ��
Entender la defensa a profundidad
Utilizar un enfoque dividido por etapas:Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor
Políticas de seguridad, procedimientos y educaciónPolíticas, procedimientos y concienciaPolíticas, procedimientos y conciencia
Protecciones, seguros, dispositivos de seguimientoSeguridad físicaSeguridad física
Fortalecimiento de la aplicaciónAplicaciónFortalecer el sistema operativo, autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría
Host
Segmentos de red, NIDSRed interna
Firewalls, enrutadores más amplios, VPNs con procedimientos de cuarentenaPerímetro
Contraseñas fuertes, ACLs, estrategia de respaldo y restauraciónDatos
![Page 45: Sistema De Gestion De Seguridad Norma Iso 27001 Corpei](https://reader034.vdocuments.site/reader034/viewer/2022042508/54c58d134a7959aa558b4790/html5/thumbnails/45.jpg)
45��������������� ��
¿Cómo conozco las vulnerabilidades en nuevos productos?
Entre las vulnerabilidades que encontramos:Entre las vulnerabilidades que encontramos:
Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and PersonnelApplication AbuseNetwork DevicesZero Day Attacks
Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and PersonnelApplication AbuseNetwork DevicesZero Day Attacks
Best Practices for Preventing Top 20 Riskshttp://www.sans.org/top20Best Practices for Preventing Top 20 Riskshttp://www.sans.org/top20