1��������������� ��

SISTEMA DE GESTION DE SEGURIDAD

NORMA ISO 27001(CORPEI)Jorge Ugarte Fajardo

8/10/2008Guayaquil -Ecuador

2��������������� ��

Descripción general de la sesión

Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001Objetivos de Control y Controles

3��������������� ��

Descripción general de la sesión

Conceptos de Seguridad de la Información

4��������������� ��

¿ Seguridad de la Información?

La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada

La información puede estar:

• Impresa o escrita en papel.• Almacenada electrónicamente.• Trasmitida por correo o medios electrónicos• Mostrada en filmes.• Hablada en conversación.

La información puede estar:

• Impresa o escrita en papel.• Almacenada electrónicamente.• Trasmitida por correo o medios electrónicos• Mostrada en filmes.• Hablada en conversación.

5��������������� ��

¿ Objetivos de la Seguridad de la información?

El objetivo de la seguridad de la información es proteger los intereses de los negocios que dependan de la información.

Los objetivos de la seguridad de la información se cumplen cuando se preserva:

• CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas.

• INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas.

• DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere.

Los objetivos de la seguridad de la información se cumplen cuando se preserva:

• CONFIDENCIALIDAD: La información es accedida solo por aquellas personas que están debidamente autorizadas.

• INTEGRIDAD: La información es completa, precisa y protegida contra modificaciones no autorizadas.

• DISPONIBILIDAD: La información esta disponible y utilizable cuando se requiere.

6��������������� ��

¿Contra qué se debe proteger la información?

� ����������� �������� ������� �� ��� ������������ ����� �� ������ ����������������� ������������ ���������������������������������������� ���������������������� ��������

��������������� ���� ���� �!� ����������"������ �������!���������������������� ��!������������#��$

7��������������� ��

¿Qué es una amenaza?

%�������#���������� ���� �������������������!� �����&����������� ��'������� ���� ������������'�����������#���( ����

��������

)�� � ����

&��)�� � ����

"�����

"��� � �

*������ +(����

"����� ��

,������

"������ ����

&������

8��������������� ��

¿amenazas?

Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

KeyloggingPort scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Violación de la privacidad de los empleados

Fraudes informáticos

Destrucción de equipamiento

9��������������� ��

Más amenazas

Captura de PC desde el exteriorViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación y violación de e-mails

VirusMails anMails anóónimos con agresionesnimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresosPropiedad de la información

Agujeros de seguridad de redes conectadasFalsificación de información

para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social

10��������������� ��

¿Qué es vulnerabilidad?

• Inadecuado compromiso de la dirección.• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.• Ausencia de políticas/ procedimientos.• Ausencia de controles

(físicos/lógicos)(disuasivos/preventivos/detectivos/correctivos)

• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles.

• Inadecuado compromiso de la dirección.• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.• Ausencia de políticas/ procedimientos.• Ausencia de controles

(físicos/lógicos)(disuasivos/preventivos/detectivos/correctivos)

• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles.

%��������� � ����������� � ����������� ��������� � ���'���������������!� ����������� �������������#�����(������ ������� � ������ � #������� �������!��������������(��� ��

11��������������� ��

¿y el Riesgo?

• Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad.

• Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia.

• Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.

• Activos.- cualquier cosa que necesite protección por lo que representa para una empresa, frente a una situación de pérdida de la confidencialidad, integridad o disponibilidad.

• Amenazas.- acciones que pueden causar daño según la severidad y posibilidad de ocurrencia.

• Vulnerabilidades.- puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.

����� �������� � � ���'����������#������������ �� �������!� ���������� ������ ����'������������������ � ������ �-������#��� ������������.�������$

12��������������� ��

Factores de riesgo

13��������������� ��

¿Qué es un incidente de seguridad?

Puede ser causado por:

• una falla en algún mecanismo de seguridad.• un intento o amenaza (concretada o no) de romper

mecanismos de seguridad, etc.

Puede ser causado por:

• una falla en algún mecanismo de seguridad.• un intento o amenaza (concretada o no) de romper

mecanismos de seguridad, etc.

Un incidente de seguridad, es un evento adverso quepuede afectar a un sistema o red de computadoras.

14��������������� ��

Algunos incidentes:

� �

��

15��������������� ��

Descripción general de la sesión

Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la Información

16��������������� ��

¿Qué es un Sistema de Gestión de Seguridad de la Información?

SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI)SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

El.. (SGSI) es la parte del sistema de gestiónde la empresa, basado en un enfoque de

riesgos del negocio, para: establecer,implementar, operar, monitorear, mantener y

mejorar la seguridad de la información.

El.. (SGSI) es la parte del sistema de gestiónde la empresa, basado en un enfoque de

riesgos del negocio, para: establecer,implementar, operar, monitorear, mantener y

mejorar la seguridad de la información.

17��������������� ��

¿Quiénes están involucrados en SI?

La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.

La administración efectiva de la seguridad de la información no es solamente un asunto de tecnología, es un requerimiento del negocio.

• Dirección• Alta gerencia• Personal de TI• Empleados• Auditores• Entidades reguladoras externas

• Dirección• Alta gerencia• Personal de TI• Empleados• Auditores• Entidades reguladoras externas

18��������������� ��

¿ Cómo se implementa un SGSI?

Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para establecer, implementar, monitorear y mejorar el SGSI

Planificar

VerificarActuar

Partes Interesadas

Mantener y Mejorar el SGSI

Establecer el SGSI

Monitorear y revisarel SGSI

Implementar y operar el SGSI

Partes Interesadas

Requisitos y expectativas

Seguridad Gestionada

Hacer

19��������������� ��

¿Cuál es la norma aplicable SI?

• La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI).• ISO 27001 es una norma certificable• Se creó en diciembre de 2005 a partir de la norma BS7799-2.• La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.

• La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información.• ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS).

• La norma ISO 27001 define el sistema de gestión de la seguridad de la información (SGSI).• ISO 27001 es una norma certificable• Se creó en diciembre de 2005 a partir de la norma BS7799-2.• La norma ISO 27001 adopta el modelo “Plan Do Check Act” (PDCA o PHVA), conocido también como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.

• La norma ISO 27002 es una guía de recomendaciones para garantizar la seguridad de la información.• ISO 27002 NO es certificable como tal, lo que se certifica es el SGSI (ISMS).

20��������������� ��

¿y toda la familia 27000?

21��������������� ��

Tipos de evaluaciones de seguridad

Exploraciones de vulnerabilidades:Exploraciones de vulnerabilidades:Se enfoca en las debilidades conocidas

Se puede automatizar

No requiere experiencia necesariamente

Se enfoca en las debilidades conocidas

Se puede automatizar

No requiere experiencia necesariamente

Pruebas de penetración:Pruebas de penetración:Se enfoca en las debilidades conocidas y desconocidas

Requiere probadores altamente capacitados

Lleva una carga legal tremenda en ciertos países/organizaciones

Se enfoca en las debilidades conocidas y desconocidas

Requiere probadores altamente capacitados

Lleva una carga legal tremenda en ciertos países/organizaciones

Auditoría en la seguridad de informática:Auditoría en la seguridad de informática:Se enfoca en las políticas y procedimientos de seguridad

Se utiliza para proporcionar evidencia para las normas de la industria

Se enfoca en las políticas y procedimientos de seguridad

Se utiliza para proporcionar evidencia para las normas de la industria

22��������������� ��

¿Cómo se relaciona con otras normas IT?IT Governance Model

CobITAudit Models

Quality Systems & Mgmt. Frameworks

Service M

gmt.

App. D

ev. (SD

LC)

Project M

gmt.

IT Planning

IT Security

Quality S

ystem

COSO

���� !!"#� !!�

$�%�&

ISO 10006

���'!!"(�!!!'!!!)(�!!*

��+���,�

-����

������.

��/�$

ISO_9126

0��

������/0(���1�� ���""

�-�/

1 �23444" 0�

54444$5443

<gugarte@espol.edu.ec>

IT OPERATIONS

23��������������� ��

Descripción general de la sesión

Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001

24��������������� ��

¿Por qué utilizar la norma ISO 27001?

ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad

ISO-27001 es un estándar aceptado internacionalmente para la administración de la seguridad de la información y aplica a todo tipo de organizaciones, tanto por su tamaño como por su actividad

se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo,

se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo,

Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a

aspectos netamente organizativos, es decir, permite“Organizar la seguridad de la información”.

Esta norma, no está orientada a despliegues tecnológicos o de infraestructura, sino a

aspectos netamente organizativos, es decir, permite“Organizar la seguridad de la información”.

25��������������� ��

Estructura de la Norma ISO 27001

0 Introduction 1 Scope2 Normative references 3 Terms and definitions 4 Information security management system 5 Management responsibility 6 Internal ISMS audits7 Management review of the ISMS8 ISMS improvementAnnex A (normative) Control objectives and controlsAnnex B (informative) OECD principles and this International Standard Annex C (informative) Correspondence between ISO 9001:2000, ISO 14001:2004 and thisInternational Standard

26��������������� ��

Aplicación de la norma ISO 27001

Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI

PHVA

Planificar

Verificar

Hacer

Actuar

Cláusulas: 4.2.1, 5

Definir la política de seguridad

Establecer el alcance del SGSI

Realizar los análisis de riesgos

Seleccionar los controles

Cláusulas; 4.2.2, 4.3

Implantar el plan de gestión de riesgos

Implantar el SGSI

Implantar los controles.

Implantar indicadores.

Cláusulas: 4.2.3,6,7Revisiones del SGSI por parte de la

Dirección.

Realizar auditorías internas del SGSI

Cláusulas: 4.2.4,8

Adoptar acciones correctivas

Adoptar acciones preventivas

27��������������� ��

Descripción general de la sesión

Conceptos de Seguridad de la InformaciónSistema de Gestión de Seguridad de la InformaciónLa norma ISO 27001Objetivos de Control y Controles

28��������������� ��

Objetivos de Control y controles (ISO 27002)

29��������������� ��

Controles

5. Política de Seguridad 5. Política de Seguridad

Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.

Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.

Conjunto coherente e internamente consistente de políticas, normas, procedimientos y directrices.

Determine la frecuencia de revisión de la política de seguridad de la información y las formas de comunicación a toda la organización.

30��������������� ��

Controles

6. Aspectos organizativos de la Seguridad 6. Aspectos organizativos de la Seguridad

Organización interna.-Establecer el compromiso de la Dirección , roles, responsabilidades, acuerdos de confidencialidad, etc.Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los controles de seguridad de información existentes

Organización interna.-Establecer el compromiso de la Dirección , roles, responsabilidades, acuerdos de confidencialidad, etc.Terceros.- Haga inventario de conexiones de red y flujos de información significativos con 3as partes y revise los controles de seguridad de información existentes

31��������������� ��

Controles

7. Gestión de Activos7. Gestión de Activos

Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia.

Elabore y mantenga un inventario de activos de información, mostrando los propietarios de los activos Realice una clasificación de los activos de con el nivel de importancia.

32��������������� ��

Controles

8. Seguridad de Recursos Humanos8. Seguridad de Recursos Humanos

Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante:

• Definición de roles y responsabilidad de seguridad de los activos.

• Verificación de antecedentes antes de la contratación • Asegurar que los usuarios conocen de las amenazas y las

inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario.

• Control de activos cuando finaliza el contrato.

Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información, mediante:

• Definición de roles y responsabilidad de seguridad de los activos.

• Verificación de antecedentes antes de la contratación • Asegurar que los usuarios conocen de las amenazas y las

inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Establecer el plan de formación necesario.

• Control de activos cuando finaliza el contrato.

33��������������� ��

Controles

9. Seguridad física y ambiental9. Seguridad física y ambiental

El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos.Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos periódicos.

El estándar parece centrarse en el CPD pero hay muchas otras áreas vulnerables a considerar, p. ej., armarios de cableado, "servidores departamentales" y archivos.Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Establecer procedimientos para prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información, mediante revisiones y chequeos periódicos.

34��������������� ��

Controles

10. Gestión de comunicaciones y operaciones 10. Gestión de comunicaciones y operaciones

Documente procedimientos, normas y directrices de seguridad de la información supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción.Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS.

…………….

Documente procedimientos, normas y directrices de seguridad de la información supervisión de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificación de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptación en producción.Combine controles tecnológicos (p. ej., software antivirus) con medidas no técnicas (educación, concienciación y formación). Implante procedimientos de backup y recuperación repare e implante estándares, directrices y procedimientos de seguridad técnicos para redes y herramientas de seguridad de red como IDS/IPS.

…………….

35��������������� ��

Controles

10. Gestión de comunicaciones y operaciones (2) 10. Gestión de comunicaciones y operaciones (2)

……………..Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encriptetodos los datos sensibles o valiosos antes de ser transportados.Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc.incorpore requisitos de seguridad de la información en los proyectos e-business.Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas.

……………..Asegure los medios y la información en tránsito no solo físico sino electrónico (a través de las redes). Encriptetodos los datos sensibles o valiosos antes de ser transportados.Considere las medidas necesarias para asegurar el intercambio de información como canales de comunicación, mensajería, utlilizando medios, etc.incorpore requisitos de seguridad de la información en los proyectos e-business.Auditar Logs que registren actividad, excepciones y eventos de seguridad y realizar revisiones periódicas.

36��������������� ��

Controles

11. Control de accesos 11. Control de accesos

Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios.Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares.definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.

………………

Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios.Un procedimiento de registro y revocación de cuentas de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada uno de ellos, realizar periódicas revisiones a intervalos regulares.definir y documentar las responsabilidades relativas a seguridad de la información en las descripciones o perfiles de los puestos de trabajo.Establecer una política de uso de contraseñas, de cuidado y protección de la información en sus escritorios, medios removibles y pantallas.

………………

37��������������� ��

Controles

11. Control de accesos 11. Control de accesos

……………….Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos remotos.Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones.Implante estándares de seguridad básica para todas las aplicaciones y middleware.Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.

……………….Establecer una política de uso de servicios de red. Establecer medidas de autenticación sobre los accesos remotos.Seguridad en la validación de usuarios del sistema operativo, empleo de identificadores únicos de usuarios, correcta administración de contraseñas, control y limitación de tiempos en las sesiones.Implante estándares de seguridad básica para todas las aplicaciones y middleware.Tenga políticas claramente definidas para la protección, no sólo de los propios equipos informáticos portátiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la información almacenada en ellos.

38��������������� ��

Controles

12. Adquisición, desarrollo y mantenimiento de los sistemas de información12. Adquisición, desarrollo y mantenimiento de los sistemas de información

Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información.Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etcUtilice estándares formales de encriptación.

…………….

Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la información.Utilice librerías y funciones estándar para necesidades corrientes como validación de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validación y chequeo cruzado (p. ej., sumas totalizadas de control). Desarrolle y use herramientas -y habilidades- de prueba automatizadas y manuales, para comprobar cuestiones habituales como desbordamientos de memoria, inyección SQL, etcUtilice estándares formales de encriptación.

…………….

39��������������� ��

Controles

12. Adquisición, desarrollo y mantenimiento de los sistemas de información12. Adquisición, desarrollo y mantenimiento de los sistemas de información

………………Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y controlar el acceso al código fuente.Incorpore la seguridad de la información al ciclo de vida de

desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios.Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible.

………………Definir directorios que deben y no deben cambiar, utilizar control de software operacional, test de esos datos y controlar el acceso al código fuente.Incorpore la seguridad de la información al ciclo de vida de

desarrollo de sistemas en todas sus fases en los procedimientos y métodos de desarrollo, operaciones y gestión de cambios.Haga un seguimiento de parches de seguridad mediante herramientas de gestión de vulnerabilidades y/o actualización automática siempre que sea posible.

40��������������� ��

Controles

13. Gestión de incidentes en la seguridad de la información 13. Gestión de incidentes en la seguridad de la información

• Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad.

• Analizar y tomar las medidas correctivas.

• Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad.

• Analizar y tomar las medidas correctivas.

41��������������� ��

Controles

14. Gestión de la continuidad del negocio 14. Gestión de la continuidad del negocio

• Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación / informática implementando un plan de continuidad del negocio.

• Contrarrestrar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistema(s) de comunicación / informática implementando un plan de continuidad del negocio.

42��������������� ��

Controles

15. Cumplimiento15. Cumplimiento

• Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.

• Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras).

• Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.

• Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO27002, ISO 9001 y otras).

43��������������� ��

Modelo con enfoque en la infraestructura

44��������������� ��

Entender la defensa a profundidad

Utilizar un enfoque dividido por etapas:Aumentar la detección de riesgo de un agresor Reduce la posibilidad de éxito de un agresor

Políticas de seguridad, procedimientos y educaciónPolíticas, procedimientos y concienciaPolíticas, procedimientos y conciencia

Protecciones, seguros, dispositivos de seguimientoSeguridad físicaSeguridad física

Fortalecimiento de la aplicaciónAplicaciónFortalecer el sistema operativo, autenticación administración de actualizaciones de seguridad, actualizaciones de antivirus, auditoría

Host

Segmentos de red, NIDSRed interna

Firewalls, enrutadores más amplios, VPNs con procedimientos de cuarentenaPerímetro

Contraseñas fuertes, ACLs, estrategia de respaldo y restauraciónDatos

45��������������� ��

¿Cómo conozco las vulnerabilidades en nuevos productos?

Entre las vulnerabilidades que encontramos:Entre las vulnerabilidades que encontramos:

Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and PersonnelApplication AbuseNetwork DevicesZero Day Attacks

Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and PersonnelApplication AbuseNetwork DevicesZero Day Attacks

Best Practices for Preventing Top 20 Riskshttp://www.sans.org/top20Best Practices for Preventing Top 20 Riskshttp://www.sans.org/top20