Estándares de Seguridad
Seguridad de La Información.
SGSI.
Estandares de seguridad.
NORMAS
ORGANIZACIÓN
(personas)
Estándares
Políticas
Funciones
Procedimientos
Planes
METODOLOGÍAS
OBJETIVOS DE CONTROL
PROCEDIMIENTOS DE CONTROL
TECNOLOGÍA DE SEGURIDAD
HERRAMIENTAS
Informática
Usuarios
Hardware
Software
ISO / IEC 17799.
DESCRIPCIÓN.
CONTROLES.
NormasInternacionales sobre
seguridad de la información
Indice
Concepto de gestión de la seguridad de la
información.
Evolución histórica de la Norma.
Contenido de la Norma.
La certificacion en seguridad
Caso Práctico.
Concepto de gestión de la seguridad de la información
La seguridad se caracteriza como la preservación de la confidencialidad, integridad y disponibilidad de lainformación; adicionalmente pueden tenerse en consideración otras propiedades como autenticación,
responsabilidad, no repudio y fiabilidad (ISO 17799:2005)
SEGURIDAD
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
GESTIÓN DE LA SEGURIDAD
S
E
G
U
R
I
D
A
D
NECESIDADES
OPERATIVAS
AUTENTICACION
NO REPUDIO
TRAZABILIDAD
RESPONSABILIDAD
SEGURIDAD TOTAL
Concepto degestión de la seguridad de la información
Actualmente las
empresas y hasta la
propia sociedad
depende de los sistemas
de información
• La Sociedad de la
Información se está
convirtiendo en una
realidad, pero introduce
algunas complicaciones
La principal es que si los
sistemas se ven
comprometidos...
•
•
Servidores
corporativos
Oficina Principal
PCs de
empleadosServidores Web
Clientes
Usuarios de internet
La competencia
Hackers, etc.
Servidor
transaccional
CA Interna
Consola
antivirus
Balanceador
de carga
Servicios
externos
Firewall
Firewall
Switch
Router
IDS
Servidor
de correo
Gateway VPN
Monitorización
Actualización de antivirus
Mantenimiento de firewalls
Análisis de vulnerabilidades
Confianza y PKI, Etc.Servidor de
autorización y
autenticación
IDS
Firewall
Servicios críticos:
Financieros, ERPs,
CRMs, etc.
Consolas
de gestión
Túnel VPN
Túnel VPN
PCs de
empleados
Switch
Firewall
VPN
Router
Servidores
Delegación
Conexiones remotas
Concepto de gestión de la seguridad de la información
Ataques
Externos
Ataques
Internos
Interrupción de
suministrosErrores
Una cadena es tan fuerte como el
más débil de sus eslabones
Accidentes
Concepto de gestión de la seguridad de la información
Problemas más importantes de la seguridad
(Information Security Magazine)
Código malicioso
Vulnerabilidades del equipamiento
Gestión de la compañía
Usuarios autorizados
Usuarios no autorizados
Otros
11%
9%
31%
11%
15%
23%
Lastécnicas criptográficas
son seguras, pero los
usuarios ...
No usan passwords de
calidad
No quieren u olvidan cifrar
ficheros y correos
Los descifran y olvidan
borrar el fichero en claro
Los imprimen y los dejan en
la impresora, la mesa, la
papelera, el autobús, etc.
Aunque tecnológicamente se
consiguiera un sistema seguro,
el problema sigue existiendo
Evolución históricade la norma
Vulnerabilidades
7000
6000
5000
4000
3000
2000
1000
0
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
Evolución histórica de
la norma
Incidentes
160000
140000
120000
100000
80000
60000
40000
20000
0
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
Evolución histórica de la
Emailsatentidos
norma
800000
700000
600000
500000
400000
300000
200000
100000
0
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
Evolución histórica de
la norma
1995
1996
1999
2000
2002
BS7799:1995
ISO 14980:1996
BS7799- 1:1999
ISO/ IEC 17799:2000
UNE/ ISO 17799:2002
El proceso de revisión temprana
Evolución histórica de...
Regístrate para leer el documento completo.