Cissp security training

Solo disponible en BuenasTareas
  • Páginas : 36 (8934 palabras )
  • Descarga(s) : 0
  • Publicado : 25 de octubre de 2010
Leer documento completo
Vista previa del texto
CISSP Security Training – Information Security and Risk Management

Information Security and Risk Management

Agenda
Aspectos Generales
Administración de la Seguridad Controles de InfoSec C-I-A (Confidencialidad, Integridad y Disponibilidad) Definiciones de Seguridad

Gestión del Riesgo
Análisis de Riesgos Tratamiento de Riesgos

Políticas, Procedimientos, Estándares, Baselines yGuidelines.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

2

Agenda (Cont.)
Clasificación de la Información Roles y Responsabilidades Políticas y Practicas de Empleo Information Security Awareness Referencias y Lecturas Complementarias Preguntas

CISSP Security Training – Information Security and Risk Management Copyright ©2004-2008 SICinformática S.R.L.

3

1

CISSP Security Training – Information Security and Risk Management

Information Security and Risk Management
Aspectos Generales

Aspectos Generales
Gestión de Seguridad de la Información
Proteger los activos de información de la organización. Comprende: Gestión de riesgos Normativas de seguridad: políticas, normas, procedimientos, estándares, guíasClasificación de la información Organización de la seguridad Educación en seguridad Definición e implantación de controles Seguimiento y mejora continuos
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

5

Aspectos Generales (Cont.)
Incumbencia
La Seguridad de la Información debe ser incumbencia de la alta gerencia de laorganización. Definitivamente NO debe circunscribirse al área de TI o al área de seguridad. Enfoque TOP-DOWN.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

6

2

CISSP Security Training – Information Security and Risk Management

Aspectos Generales (Cont.)
Función del Information Security Manager Establecer y mantener unPrograma Integral de Seguridad, el cual permita garantizar la existencia de tres requerimientos básicos: Confidencialidad, Integridad y Disponibilidad, sobre los activos de información de la organización.
Determinar Objetivos, alcance, políticas, prioridades, estándares y estrategias.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.7

Aspectos Generales (Cont.)
Ubicación dentro de la estructura
Independencia de otras áreas de la organización. Llegada a los altos mandos.
Alta Gerencia

Gerencia Administrativa

Gerencia Financiera

Gerencia Comercial

Gerencia de Producción

Gerencia de TI



Gerencia de Seguridad de la Información

Alta Gerencia Area de Seguridad de la Información Gerencia AdministrativaGerencia Financiera Gerencia Comercial Gerencia de Producción Gerencia de TI


8

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

Aspectos Generales (Cont.)
Posibles inconvenientes con la Alta Gerencia
Falta de entendimiento sobre la necesidad de seguridad. Concepción de la seguridad como costosa e innecesaria Incapacidadde identificar amenazas y vulnerabilidades. Incapacidad para estimar el impacto y probabilidad de los riesgos relacionados con los recursos. Creer que la implementación de seguridad interferirá con los objetivos de negocio. Creer que la seguridad es un tema de TI.

CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.

9

3

CISSPSecurity Training – Information Security and Risk Management

Aspectos Generales (Cont.)
Sistema Confiable (Trustworthy System) Un Sistema Confiable, suele ser definido como aquel que posee la combinación apropiada de Confidencialidad, Integridad y Disponibilidad a efectos de soportar los objetivos particulares de negocio fijados por la organización.

CISSP Security Training – Information...
tracking img