Cissp security training
Páginas: 36 (8934 palabras)
Publicado: 25 de octubre de 2010
CISSP Security Training – Information Security and Risk Management
Information Security and Risk Management
Agenda
Aspectos Generales
Administración de la Seguridad Controles de InfoSec C-I-A (Confidencialidad, Integridad y Disponibilidad) Definiciones de Seguridad
Gestión del Riesgo
Análisis de Riesgos Tratamiento de Riesgos
Políticas, Procedimientos, Estándares, Baselines yGuidelines.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
2
Agenda (Cont.)
Clasificación de la Información Roles y Responsabilidades Políticas y Practicas de Empleo Information Security Awareness Referencias y Lecturas Complementarias Preguntas
CISSP Security Training – Information Security and Risk Management Copyright ©2004-2008 SICinformática S.R.L.
3
1
CISSP Security Training – Information Security and Risk Management
Information Security and Risk Management
Aspectos Generales
Aspectos Generales
Gestión de Seguridad de la Información
Proteger los activos de información de la organización. Comprende: Gestión de riesgos Normativas de seguridad: políticas, normas, procedimientos, estándares, guíasClasificación de la información Organización de la seguridad Educación en seguridad Definición e implantación de controles Seguimiento y mejora continuos
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
5
Aspectos Generales (Cont.)
Incumbencia
La Seguridad de la Información debe ser incumbencia de la alta gerencia de laorganización. Definitivamente NO debe circunscribirse al área de TI o al área de seguridad. Enfoque TOP-DOWN.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
6
2
CISSP Security Training – Information Security and Risk Management
Aspectos Generales (Cont.)
Función del Information Security Manager Establecer y mantener unPrograma Integral de Seguridad, el cual permita garantizar la existencia de tres requerimientos básicos: Confidencialidad, Integridad y Disponibilidad, sobre los activos de información de la organización.
Determinar Objetivos, alcance, políticas, prioridades, estándares y estrategias.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.7
Aspectos Generales (Cont.)
Ubicación dentro de la estructura
Independencia de otras áreas de la organización. Llegada a los altos mandos.
Alta Gerencia
Gerencia Administrativa
Gerencia Financiera
Gerencia Comercial
Gerencia de Producción
Gerencia de TI
…
Gerencia de Seguridad de la Información
Alta Gerencia Area de Seguridad de la Información Gerencia AdministrativaGerencia Financiera Gerencia Comercial Gerencia de Producción Gerencia de TI
…
8
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
Aspectos Generales (Cont.)
Posibles inconvenientes con la Alta Gerencia
Falta de entendimiento sobre la necesidad de seguridad. Concepción de la seguridad como costosa e innecesaria Incapacidadde identificar amenazas y vulnerabilidades. Incapacidad para estimar el impacto y probabilidad de los riesgos relacionados con los recursos. Creer que la implementación de seguridad interferirá con los objetivos de negocio. Creer que la seguridad es un tema de TI.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
9
3
CISSPSecurity Training – Information Security and Risk Management
Aspectos Generales (Cont.)
Sistema Confiable (Trustworthy System) Un Sistema Confiable, suele ser definido como aquel que posee la combinación apropiada de Confidencialidad, Integridad y Disponibilidad a efectos de soportar los objetivos particulares de negocio fijados por la organización.
CISSP Security Training – Information...
Information Security and Risk Management
Agenda
Aspectos Generales
Administración de la Seguridad Controles de InfoSec C-I-A (Confidencialidad, Integridad y Disponibilidad) Definiciones de Seguridad
Gestión del Riesgo
Análisis de Riesgos Tratamiento de Riesgos
Políticas, Procedimientos, Estándares, Baselines yGuidelines.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
2
Agenda (Cont.)
Clasificación de la Información Roles y Responsabilidades Políticas y Practicas de Empleo Information Security Awareness Referencias y Lecturas Complementarias Preguntas
CISSP Security Training – Information Security and Risk Management Copyright ©2004-2008 SICinformática S.R.L.
3
1
CISSP Security Training – Information Security and Risk Management
Information Security and Risk Management
Aspectos Generales
Aspectos Generales
Gestión de Seguridad de la Información
Proteger los activos de información de la organización. Comprende: Gestión de riesgos Normativas de seguridad: políticas, normas, procedimientos, estándares, guíasClasificación de la información Organización de la seguridad Educación en seguridad Definición e implantación de controles Seguimiento y mejora continuos
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
5
Aspectos Generales (Cont.)
Incumbencia
La Seguridad de la Información debe ser incumbencia de la alta gerencia de laorganización. Definitivamente NO debe circunscribirse al área de TI o al área de seguridad. Enfoque TOP-DOWN.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
6
2
CISSP Security Training – Information Security and Risk Management
Aspectos Generales (Cont.)
Función del Information Security Manager Establecer y mantener unPrograma Integral de Seguridad, el cual permita garantizar la existencia de tres requerimientos básicos: Confidencialidad, Integridad y Disponibilidad, sobre los activos de información de la organización.
Determinar Objetivos, alcance, políticas, prioridades, estándares y estrategias.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.7
Aspectos Generales (Cont.)
Ubicación dentro de la estructura
Independencia de otras áreas de la organización. Llegada a los altos mandos.
Alta Gerencia
Gerencia Administrativa
Gerencia Financiera
Gerencia Comercial
Gerencia de Producción
Gerencia de TI
…
Gerencia de Seguridad de la Información
Alta Gerencia Area de Seguridad de la Información Gerencia AdministrativaGerencia Financiera Gerencia Comercial Gerencia de Producción Gerencia de TI
…
8
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
Aspectos Generales (Cont.)
Posibles inconvenientes con la Alta Gerencia
Falta de entendimiento sobre la necesidad de seguridad. Concepción de la seguridad como costosa e innecesaria Incapacidadde identificar amenazas y vulnerabilidades. Incapacidad para estimar el impacto y probabilidad de los riesgos relacionados con los recursos. Creer que la implementación de seguridad interferirá con los objetivos de negocio. Creer que la seguridad es un tema de TI.
CISSP Security Training – Information Security and Risk Management Copyright © 2004-2008 SICinformática S.R.L.
9
3
CISSPSecurity Training – Information Security and Risk Management
Aspectos Generales (Cont.)
Sistema Confiable (Trustworthy System) Un Sistema Confiable, suele ser definido como aquel que posee la combinación apropiada de Confidencialidad, Integridad y Disponibilidad a efectos de soportar los objetivos particulares de negocio fijados por la organización.
CISSP Security Training – Information...
Leer documento completo
Regístrate para leer el documento completo.