ISec Martin Vila

1
Academia Latinoamericana de Seguridad
Informática   Programa Integral de Formación
Profesional en IMPLEMENTACION PRACTICA de medidas
de Seguridad de la Información ISO17799 / BS7799
/ COBIT



Todos los derechos reservados
2005
2
(No Transcript)
3
(No Transcript)
4
DESCRIPCION GENERAL

• Este Programa Integral de Formación Profesional
  en IMPLEMENTACION PRACTICA de medidas de
  Seguridad de la Información está alineado con
  Normas Internacionales de aplicación en la
  materia y de acuerdo con Certificaciones
  Internacionales en Seguridad de la Información
• Normas Internacionales
• ISO177799
• BS7799
• ISO9001
• COBIT AUDIT GUIDELINES
• COSO
• ITIL
• SARBANES OXLEY ACT

5
DESCRIPCION GENERAL

• Alineado con Certificaciones Internacionales
• CISSP
• CISA
• CISM
• CIA
• ISEC
• COMPTia
• ETHICAL HACKER OSSTMM
• A su vez sus contenidos están alineados con los
  Diplomados Internacionales distintas
  Universidades en Latinoamérica brindan
  (Argentina, Ecuador, Bolivia, Perú, Chile, entre
  otros).

6
(No Transcript)
7
(No Transcript)
8
(No Transcript)
9
(No Transcript)
10
(No Transcript)
11
(No Transcript)
12
(No Transcript)
13
(No Transcript)
14
(No Transcript)
15
(No Transcript)
16
(No Transcript)
17
(No Transcript)
18

• Módulo Funcional 01
• La Seguridad Informática actual
• Riesgos e impacto en los negocios
• Normas, Metodologías y Legislaciones
• Enfoque ISO 17799

19
Paso 1 Por que? Reconocer los riesgos y su
impacto en los negocios CONSEGUIR EL APOYO DE LA
DIRECCION
20
(No Transcript)
21
Principales riesgos y el impacto en los negocios

• Se puede estar preparado para que ocurran lo
  menos posible
• sin grandes inversiones en software
• sin mucha estructura de personal
• Tan solo
• ordenando la Gestión de Seguridad
• parametrizando la seguridad propia de los
  sistemas
• utilizando herramientas licenciadas y libres en
  la web

22
Paso 2 Si igual voy a hacer algo, porque no lo
hago teniendo en cuenta las Normas, Metodologías
y Legislaciones Internacionales aplicables
23
(No Transcript)
24
Gestión de Seguridad Norma ISO 17799
25
Normas de Gestión ISO

• International Standards Organization Normas ISO
•   
• ISO 9001 Calidad
• ISO 14001 Ambiental
• ISO 17799 Seguridad de la Información
• La principal norma de Evaluación e Implementación
  de medidas de Seguridad en Tecnologías de la
  Información es la NORMA ISO 17799.
• Basada en el BRITISH STANDARD 7799.
• ISO (Europa) y NIST (USA).

26
(No Transcript)
27
Norma ISO 17799 Seguridad de la Información
Está organizada en diez capítulos en los que se
tratan los distintos criterios a ser tenidos en
cuenta en cada tema para llevar adelante una
correcta GESTION DE SEGURIDAD DE LA
INFORMACION Alcance Recomendaciones para la
gestión de la seguridad de la información Base
común para el desarrollo de estándares de
seguridad
28
Norma ISO 17799 Seguridad de la Información
Preservar la confidencialidad accesible sólo
a aquellas personas autorizadas a tener
acceso. integridad exactitud y totalidad de la
información y los métodos de procesamiento. dispo
nibilidad acceso a la información y a los
recursos relacionados con ella toda vez que se
requiera.
29
(No Transcript)
30
Factores críticos del éxito

• política de seguridad, objetivos y actividades
  que reflejen los objetivos de la empresa
• una estrategia de implementación de seguridad que
  sea consecuente con la cultura organizacional
• apoyo y compromiso manifiestos por parte de la
  gerencia
• un claro entendimiento de los requerimientos de
  seguridad, la evaluación de riesgos y la
  administración de los mismos
• comunicación eficaz de los temas de seguridad a
  todos los gerentes y empleados

31
Factores críticos del éxito

• distribución de guías sobre políticas y
  estándares de seguridad de la información a todos
  los empleados y contratistas
• instrucción y entrenamiento adecuados
• un sistema integral y equilibrado de medición que
  se utilice para evaluar el desempeño de la
  gestión de la seguridad de la información y para
  brindar sugerencias tendientes a mejorarlo.

32
(No Transcript)
33

• EJEMPLO
• Módulo Funcional 02
• Políticas de Seguridad
• Desarrollo de los temas a considerar
• Técnicas de implementación de Normas,
  Procedimientos y Estándares.
• Mecanismos de medición y mejora continua.

34
Paso 1 qué dicen las normas? Requerimiento
de Normativas Internacionales ISO 17799 Seguridad
de la Información
35
(No Transcript)
36
Paso 2 cómo lo llevo a la práctica? Etapas
Generales en el Desarrollo e Implementación de
un Manual de Gestión de Seguridad de la
Información
37
(No Transcript)
38
(No Transcript)
39
Microsoft Operations Framework MOF

• Modelo de Operación de Tecnología de Información
  - TI
• Desarrollado por Microsoft basado en las mejores
  prácticas de ITIL
• ITIL es el marco de procesos de gestión de
  servicios de TI más aceptado en la actualidad
• ITIL es independiente de la plataforma
  tecnológica y MOF como modelo también lo es
• MOF abarca la operación a lo largo del Ciclo de
  Vida de las Soluciones de Tecnología de
  Información

40
Conceptos fundamentales de MOF

• Servicio de Tecnología Unidad básica de trabajo

Procesos de Operación
El rol de las Personas
Manejo del Riesgo
41
MOF en el contexto de la Seguridad

• Importancia de un Servicio de TI ? Nivel de
  Seguridad
• Los procesos y la Seguridad
• Estándares, procedimientos, controles
• Las personas y la Seguridad
• Políticas o reglas, roles, responsabilidades,
  privilegios
• Los riesgos y la Seguridad
• Identificar, analizar, mitigar, controlar,
  contingencia

42
(No Transcript)