Estándares de seguridad informática
Tecnológica UNEFA
Estándares de Seguridad
Informática
Prof. Manuel Mujica
17 de Julio 2009
Contenido
●
●
●
●
ESTADÍSTICAS
ESTÁNDARES, METODOLOGÍAS Y BUENAS PRÁCTICAS
PARA LA SEGURIDAD INFORMÁTICA
ISO/IEC 27001:2005
NATURALEZA Y DINÁMICA DEL ISO/IEC 27001 : 2005
¿Su base de datos está protegida
de manos criminales?
¿Los activosde su empresa
han sido inventariados y
tasados?
Estadísticas
La firma PriceWaterhouseCoopers entrevistó a más de
7.000 Ejecutivos CIO y CSO. Cuyos resultados se presentan a continuación.
44% Planean aumentar los gastos de la seguridad en el
próximo año.
59% Tienen una estrategia de seguridad de la información.
Solo 24% clasifican el valor de los datos como parte de
las políticas deseguridad.
The Global State of Information Security – 2008 - http://www.pwc.com
Estadísticas
Plan de Continuidad
Cumplimiento Políticas
Cumplimiento Regulatorio
0
0,1
0,2
0,3
0,4
0,5
0,6
Plan de Continuidad del Negocio y Cumplimiento de Políticas
The Global State of Information Security – 2008 - http://www.pwc.com
¿Quién está a cargo de seguridad de
lainformación?
En las grandes empresas el 44% informó que los
CIO
En las empresas medianas el 36% a mediados
informó que los CIO.
The Global State of Information Security – 2008 - http://www.pwc.com
¿Cómo aprenden las organizaciones
de incidentes de seguridad?
39 % Firewall o servidor de archivos y registros
37% Detección de intrusos / sistema de prevención.
36% a través de Colegas
TheGlobal State of Information Security – 2008 - http://www.pwc.com
Qué herramientas de seguridad de TI
utilizan las organizaciones?
Tecnología
2007
2008
Maliciouscode detection tools
80%
84%
Applicationlevel firewalls
62%
67%
Intrusion detection
59%
63%
Intrusion prevention
52%
62%
Encryption Database
45%
55%
Encryption Laptop 40%
50%
Encryption Backup tape
37%
47%
Automated password reset
40%
45%
Wireless handheld device security
33%
42%
The Global State of Information Security – 2008 - http://www.pwc.com
¡No es la ignorancia !
Origen de Incidentes
2007
2008
Empleados
48%
34%
Hackers
41%
28%
Antiguos Empleados
21%
16%
Socios de Negocios
19%15%
Otros
20%
8%
Clientes
9%
8%
Terrorismo
6%
4%
The Global State of Information Security – 2008 - http://www.pwc.com
Su organización como ve la seguridad de la
información.
¿Cómo proceso o cómo producto?
Estándares, Metodologías y Buenas Prácticas para
la Seguridad Informática
IS0/IEC 27000
X.805 de UIT-T
TCSEC (Orange Book)
ITSEC (White Book)FIPS 140 (Federal Information Precessing Systems 140)
CC (Common Criteria)
COBIT (Control Objectives for Information and Related Technology)
ITIL (Information Technology Infrastructure Library)
OSSTMM (Open Source Security Testing Methodology Manual)
ISO/IEC 27001:2005
Joint Technical Committee 1
ISO/IEC JTC
1/SC 27/WG 1
ISO/IEC JTC 1
…
SC27
…
WG1
WG2
WG3
Grupode Trabajo 1
ISO 17799:2005
ISO 27000
Sub Commite 27
International Organization for Standardization
International Electrotechnical Commission
ISO 27001:2005SISTEMA DE
GESTIÓN DE
SEGURIDAD DE
INFORMACIÓN
ISO / IEC 17799 : 2005
Código de práctica de seguridad en la gestión de la
información – Basado en BS 7799 – 1 : 2000.
.Recomendaciones para buenas prácticas
No puede serutilizado para certificación
ISO 27001:2005
Especificación para la gestión del sistema de seguridad
de información
.Es utilizado para la certificación
Al inicio del 2009 habían 5190 empresas certificadas en el mundo.
Fuente: http://www.xisec.com
http://www.iso27001certificates.com/
FAMILIA DE
ESTANDARES
ISO 27000
ISO/IEC
27000
SGSI
“Fundamentos y
vocabulario”
ISO/IEC...
Regístrate para leer el documento completo.