Add to collection(s) Add to saved
  1. No category
Uploaded by Lyam

Clase1 GRC

advertisement 
ASIGNATURA:
GESTIÓN DE RIESGOS EN REDES
CORPORATIVAS
➢ Total Horas: 72 Horas
➢ Créditos: 8
Víctor Araneda Serrano
Ing. En Telecomunicaciones, Conectividad y Redes – Instructor ITQ
Estudiante Magister en Seguridad de la Información y Ciberseguridad
Diplomado Ethical Hacking / Pentesting y Consultor TI
CCNP Enterprise – CCNA CyberOps – CCNA Devnet- CCNA – Fortinet NS1-NS2-NS3
Huawei HCIA/HCSA Datacom-R&S, Storage, Digital Power
varaneda@duoc.cl
Competencia de Especialidad
“Gestionar mecanismos de seguridad y procedimientos de protección contra
amenazas externas e internas para resguardar la confidencialidad, integridad y
disponibilidad del tráfico de datos según necesidades de la organización
asegurando continuidad operacional de la organización considerando políticas
de ciberseguridad, normativa legal y protocolos de la industria”
Unidad de Competencia
Implementa políticas de seguridad en servidores y equipos de usuario final según
las necesidades de uso, requerimientos de la organización y protocolos de la
industria.
Experiencias de Aprendizaje
1. Gestión de Riesgo y Continuidad Operativa
2. Arquitectura de Ciberseguridad
3. Evaluación de controles de Ciberseguridad
20 hrs.
24 hrs.
24 hrs.
Examen Transversal
04 hrs.
2
Bibliografía
Álvarez, M. C, & Gonzalez, P. (2017). Hardening de servidores GNU/Linux.
Madrid: OxWord Computing.
González, P, Sanchez, G & Soriano, C (2017). Pentesting con Kali Linux Roling
Release 2017. Móstoles: OxWord.
Santos, S. (2017). Máxima seguridad en Windows: Secretos Técnicos. Móstoles,
Madrid: ZeroXword Computing.
Material Disponible Alumnos
Bibliografía será entregada por el docente.
Máquinas Virtuales tales como Kali-Linux, Metasploitable, Easy IDS, Servidores
y Clientes (Windows y Linux).
3
Evaluaciones
➢ Nº de Evaluaciones: 3
- Evaluación Nº 1: 30 % → Semana del 04 al 09 de Sep.
Evaluación Teórica y Práctica
- Evaluación Nº 2: 35 % → Semana del 09 al 14 de Oct.
Evaluación Teórica y Práctica
- Evaluación Nº 3: 35 % → Semana del 27 Nov al 02 de Dic.
Evaluación Teórica y Práctica
60 %
- Examen Transversal →
40 %
Fecha por Definir
•
La inasistencia a una prueba parcial es evaluada con nota 1,0, salvo que
presente justificativo médico, dentro de los 3 días hábiles contado de la fecha
de la evaluación (Articulo 32, Reglamento Académico).
•
Se exige como mínimo una asistencia del 75%, además de cumplir con la
calificación minina para la aprobación.
4
Consideraciones en las Clases
5
ASIGNATURA:
GESTIÓN DE RIESGOS EN REDES
CORPORATIVAS
Experiencia 1: Gestión de Riesgo y Continuidad Operativa
Clase 1: Gobierno de la Seguridad de la Información
Objetivos: - Comprender el concepto de gobierno de la seguridad de la información.
- Comprender sobre las métricas, estrategias y objetivos del SGSI.
- Reconocer los marcos de gobierno de seguridad de la información.
6
Introducción
Hoy en día las empresas han entendido la criticidad que tiene la información dentro de los
procesos del negocio, entendiéndose como información todo aquellos datos dotados de
significado y propósito.
Esto hace que el riesgo, al cual puede estar expuesta la información, al ser considerador un
recurso critico, deba ser tratado a nivel corporativo y desde la más altas esfera. La
información están critica como cualquier otro recurso de la empresa.
Por lo tanto, el procesamiento y el manejo de la información debe contar con una
protección adecuada.
7
Objetivos de la Seguridad de la Información
La criticidad está directamente relacionada con la importancia que tiene la
información para la compañía, tanto así, que hoy en día no se conocen empresas que
puedan llevar adelante su negocio sin un adecuado Sistema de Gestión de Seguridad de
la Información.
Los objetivos del Gobierno de Seguridad de la Información son:
✓
✓
✓
✓
✓
✓
Alineación Estratégica.
Gestión de Riesgo
Entrega de Valor
Gestión de Recursos
Medición de Desempeño
Integración.
8
Modelo Negocio Seguridad de Información
Una organización es una red de personas, activos y procesos que interactúan entre sí
en roles definidos y trabajan hacían un objetivo común.
La estrategia de una empresa especifica sus metas comerciales y los objetivos a
alcanzar, así como los valores y misiones a perseguir. Establece la dirección básica de la
empresa. La estrategia debe adaptarse a factores externos e internos.
El diseño define cómo la organización implementa su estrategia. Los procesos, la
cultura y la arquitectura son importante para determinar el diseño.
9
Modelo Negocio Seguridad de Información
A. Personas:
Los recursos humanos y los problemas de seguridad que lo rodean. Define quien
implementa (a través del diseño) cada parte de la estrategia.
Internamente, es fundamental que el gerente de seguridad de la información trabaje
con los departamentos de recursos humanos y legales para abordar temáticas, tales
como:
• Estrategias de Contratación (acceso, verificación de antecedentes, entrevistas, roles y
responsabilidades).
• Problemas de Empleo (ubicación de la oficina, acceso a herramientas y datos,
capacitación y concientización, movimiento dentro de la empresa).
• Terminación (motivos de la salida, roles y responsabilidades, acceso a los sistemas,
acceso a otros empleados).
• Externamente, clientes, proveedores, medios de comunicación, partes interesadas y
otros puede tener una gran influencia en la empresa y debe tenerse en cuenta
dentro de la postura de seguridad.
10
Modelo Negocio Seguridad de Información
B. Procesos:
Incluye mecanismos formales e informales (grandes y pequeños, simples y
complejos) para hacer las cosas y proporciona un vínculo vital para todas las
interconexiones dinámicas. Derivan de la estrategia e implementan la parte operativa
del elemento de organización. Para ser ventajosos para la empresa, los procesos deben:
• Cumplir con los requisitos comerciales y alinearse con la política de la empresa.
• Considerar la aparición y ser adaptables a los requisitos cambiantes.
• Estar bien documentados y comunicados a los recursos humanos apropiados.
• Ser revisados periódicamente, una vez que estén implementados, para asegurar
eficiencia y eficacia.
11
Modelo Negocio Seguridad de Información
C. Tecnología:
Compuesta por todas las herramientas, aplicaciones e infraestructura que hacen que
los procesos sean más eficientes. Dada la dependencia de la tecnología de la empresa
típica, la tecnología constituye una parte central de la infraestructura de la empresa y
un componente critico para lograr su misión.
El equipo de gestión de la empresa suele considerar la tecnología como una forma
de resolver las amenazas y los riesgos de seguridad. Si bien los controles técnicos son
útiles para mitigar algunos tipos de riesgo, la tecnología no debe verse como una
solución de seguridad de la información.
La tecnología se ve muy afectada por los usuarios y por la cultura organizacional.
Algunas personas aún desconfían de la tecnología; algunos no han aprendido a utilizarla
y otros sienten que los frena.
12
Roles Gobierno Seguridad de la Información
Entre los roles que podemos mencionar dentro del Gobierno de Seguridad de la
Información de una organización, tenemos:
• Directorio
• Gerente de Riesgo
• Gerente de Tecnología
• Oficial de Seguridad (CISO)
• Gerente Seguridad de la Información
• Gerentes de Negocio
• Personal Técnico
13
Gobierno de la Seguridad de la Información
Por otro lado, en un mercado con altos niveles de regulación, hace que la dirección
ejecutiva de la empresa esté involucrada en los procesos de Gestión de la Información,
tanto como cualquier proceso critico de negocio.
Es por esta razón que, dentro del Gobierno de cada empresa, debe estar inserto el
proceso de Gestión de la Seguridad de la Información al más alto nivel posible.
Esto no solo abarca a los sistemas de Tecnologías de Información, sino que a todos
los procesos de negocio.
14
Sistema de Gestión de la Seguridad de la
Información
A continuación, se muestra de forma representativa, el sistema de gestión de la
seguridad de la información.
15
Marco de Trabajo de Políticas
A continuación se muestra el marco de trabajo de política, en un Gobierno de
Seguridad de la Información.
16
Métrica en el SGSI
La métrica es la medida de alguna variable considerada significativa, respecto de
alguna referencia válida.
Hoy en día, la mayoría de las organizaciones concentran sus esfuerzos en mediciones
técnicas, las cuales, sin el adecuado marco de referencia tienen poco valor desde el punto
de vista del SGSI.
Por lo tanto, las métricas deben ser diseñadas respectos de los activos de información
que son críticos para el negocio y cuales son las variables que afectan su normal
funcionamiento. Una métrica bien diseñada, debe ser al menos, capaz de responder las
siguientes preguntas:
✓
✓
✓
✓
✓
✓
✓
✓
✓
¿Cuán segura es la organización?
¿Cuánta seguridad se requiere?
¿Cómo saber cuando se alcanza un nivel adecuado de seguridad?
¿Qué solución de seguridad es más efectiva?
¿Cómo determinar el riesgo?
¿Se alcanzaron los objetivos del programa de seguridad?
¿Cómo impacta la falta de seguridad en el negocio?
¿Cuál es el impacto al negocio de un incidente de seguridad?
¿Existe algún impacto de los controles de seguridad sobre el negocio?
17
Métrica en el SGSI
Dentro de las métricas de la seguridad de la información, lo que no se mide, no se
puede mejorar.
Algunas métricas utilizadas en seguridad son:
✓
✓
✓
✓
✓
✓
✓
Tiempo de Inactividad producida por un virus.
Cantidad de Incidentes por unidad de tiempo.
Tiempo de Recuperación
Cantidad de Vulnerabilidades
Nivel de Criticidad de vulnerabilidades
Tasa de Parchado
Cantidad de estaciones con virus actualizado.
18
Ejemplo de Métrica de SGSI
Tenemos una compañía que se dedica al comercio electrónico:
✓ El 80% de sus ventas se realiza a través de Página Web.
✓ Por lo tanto, el sitio web es critico para el negocio, cualquier indisponibilidad
afectaría a la empresa.
✓ Dado esto, una métrica importante es el uptime de la aplicación desde Internet.
✓ Además, determinar las amenazas que podrían afectar esta métrica, por ejemplo un
ataque DDoS.
19
Estrategia de la Seguridad Información
Se debe definir los objetivos a desarrollar una estrategia de seguridad de la
información y desarrollar métricas para determinar si esos objetivos se están logrando.
Normalmente los seis resultados definidos de la gobernanza de la seguridad son:
• Alineación Estratégica
• Gestión de Riesgos eficaz
• Entrega de Valor
• Optimización de Recursos
• Medición del Desempeño
• Integración del proceso de aseguramiento
20
Estrategia de la Seguridad Información
En resumen, no será posible desarrollar una estrategia de seguridad rentable que esté
alineada con los requisitos comerciales antes de:
•
•
•
•
•
•
Definir los requisitos comerciales para la seguridad de la información.
Determinar los objetivos de seguridad de la información que satisfagan los requisitos.
Ubicar e identificar los activos de información y recursos
Valorar los activos y recursos de información
Clasificar los activos de información según su criticidad y sensibilidad
Implementar un proceso para asegurar que todos los activos tengan un propietario
definido.
21
Cuadro de Mando Integral
El cuadro de mando integral es un sistema de gestión (no sólo un sistema de medición)
que permite a las organizaciones aclarar su visión y estrategia para traducirlas en
acciones.
Proporciona información sobre los procesos comerciales internos y los resultados
externos para mejorar continuamente el desempeño.
Cuando está completamente implementado, el cuadro de mando integral, transforma
la planificación estratégica de un ejercicio académico en el centro neurálgico de una
empresa.
El cuadro de mando integral, utiliza cuatro perspectiva, desarrolla métricas, recopila
datos y analiza los datos relativos a cada una de estas perspectivas:
•
•
•
•
Aprendizaje y Crecimiento
Proceso Empresarial
Cliente
Financiamiento
22
Objetivos de Riesgo
Una entrada importante para definir el estado deseado es el enfoque de la
organización al riesgo, su apetito por el riesgo y la tolerancia al riesgo, es decir, lo que la
gerencia considera un riesgo aceptable y las desviaciones tolerables de los niveles de
riesgos aceptables.
Este es otro paso crítico, ya que el riesgo aceptable definido se transfiere a los
objetivos de control u otras medidas de mitigación de riesgos empleadas, así como a los
criterios por los cuales se puede evaluar la aceptabilidad del riesgo.
La definición de los objetivos de control es fundamental para determinar el tipo, la
naturaleza y el alcance de los controles y contramedidas que la organización emplea para
gestionar el riesgo.
23
Marco Gobierno Seguridad de Información
El Marco de Gobierno de la Seguridad de la Información debe poder cumplir con los
siguientes puntos:
• Una estrategia de seguridad integral intrínsecamente vinculada con los objetivos
comerciales.
• Políticas de seguridad que rigen que expresen claramente la intención de la
administración y aborden cada aspecto de la estrategia, los controles y la regulación.
• Un conjunto completo de estándares para cada una de las políticas para garantizar tanto
a las personas como los procedimientos.
• Una estructura organizativa de seguridad eficaz con suficiente autoridad y recursos
adecuados, sin conflictos de interés.
• Flujos de trabajo definidos y estructuras que ayuden en la definición de
responsabilidades.
• Métrica institucionalizadas y procesos de monitoreo para garantizar el cumplimiento.
24
Marco de Gobierno COBIT
COBIT es un marco de gobierno de las tecnologías de la información que proporciona
una serie de herramientas para que la gerencia pueda conectar los requerimientos de
control con los aspectos técnicos y los riesgos del negocio.
COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las
tecnologías en toda la organización.
COBIT enfatiza el cumplimiento regulatorio, ayuda las organizaciones a incrementar su
valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio.
25
Separación de Funciones en COBIT
• Gobierno: Asegura el logro de los objetivos de la Organización, al evaluar las
necesidades de las partes interesadas, así como las condiciones y opciones; fijando
directivas al establecer prioridades y tomar decisiones; así como monitorear el
desempeño, cumplimiento y progreso, comparándolas contra las directivas y objetivos
acordadas.
• Gestión: Planifica, construye, ejecuta y monitorea las actividades conforme a las
directivas fijadas por el ente de Gobierno para lograr los objetivos de la Organización.
26
Separación de Funciones en COBIT
A continuación, se muestra la separación de funciones en COBIT 5.
27
Metodología CMM de Madurez de Procesos
A continuación, se muestra la metodología de CMM de Madurez de Procesos,
contemplando los diferentes niveles.
28
Mapas de Controles
A continuación, se muestra el mapa de controles de Krag Brotby.
Defensa
Prevención
Control
Autenticación
Autorización
Cifrado
Cortafuegos
Contención
Segmentación de redes
Seguridad Física
Detección
Monitoreo
Auditoria
IDS
Reacción
Respuesta a incidentes
Mejoras de control
29
Impacto Plan de Seguridad
A continuación, se muestra el impacto de la capacidad sobre el plan de seguridad.
30
Resumen sobre el SGSI
A continuación, sobre el Sistema de Gestión de Seguridad de la Información.
31
Preguntas ¿?
32
Related documents
Gestión de la Calidad
Gestión de la Calidad
Recomendaciones y concluSiones
Recomendaciones y concluSiones
entel the-essential-guide-to-mitre-round-4-evaluations.en.es (1) (1)
entel the-essential-guide-to-mitre-round-4-evaluations.en.es (1) (1)
Ciencia de datos en la ciberseguridad
Ciencia de datos en la ciberseguridad
Plan 10 al 14 de mayo de 2021
Plan 10 al 14 de mayo de 2021
El Análisis de Criticidad
El Análisis de Criticidad
Download
advertisement