CASO 01:

Captulo 3 : Seguridad de la Informacin y Gestin de RiesgosSeguridad de redes

Profesor: JORGE PANTOJA COLLANTES

Integrantes:Daniel Munive Orbegoso11200209LUIS ROSAS ARCE 11200162Fredy romero sam11200212

Captulo 3Seguridad de la Informacin y Gestin de RiesgosMetodologas para la evaluacin de riesgos

NIST SP 800-66 Es comnmente utilizado por los consultores de seguridad, oficiales de seguridad y los departamentos de TI internos, y se centra principalmente en los sistemas informticos.

NIST SP 800-30 Es del tipo de metodologa que se pretende por una industria regulada pero que pueden ser adoptados y utilizados por otros.

Metodologas para la evaluacin de riesgos

FRAP (Proceso de Anlisis de Riesgos Facilitada)La intencin de esta metodologa es proporcionar a una organizacin los medios de decidir qu curso y las acciones deben ser tomadas en circunstancias especficas para hacer frente a diversas situaciones. Esto permitir, a travs de la utilizacin de un proceso de preseleccin, que los usuarios determinen las reas que realmente demandan y necesitan un anlisis de riesgos dentro de una organizacin.

Metodologas para la evaluacin de riesgos

OCTAVE (Amenaza, Activos y Evaluacin de Vulnerabilidad Operacionalmente Crtica)Es una metodologa que est destinada a ser utilizado en situaciones donde la gente gestiona y dirige la evaluacin del riesgo para la seguridad de la informacin dentro de la empresa. Esto coloca a las personas que trabajan dentro de la organizacin en posiciones donde son capaces de tomar las decisiones con respecto a cul es el mejor enfoque para la evaluacin de la seguridad de su organizacin.

TIPOS DE RIESGOSRIESGOS CUANTITATIVOS

RIESGOS CUALITATIVOS

Pasos para un anlisis de riesgo

1. Asignar Valor de los Activos.2. Estimar la prdida potencial por la amenaza.3. Realizar un anlisis de amenazas.4. Deducir la total prdida potencial por Amenaza Anual.5. Reducir, Transferencia, Evita, o aceptar el riesgoTcnica delphi

RIESGO TOTAL VS RIESGO RESIDUAL

POLITICA DE SEGURIDADEstablece las metas del programa.Asigna responsabilidades.Muestra el valor estratgico y tctico de la seguridad. Describe cmo la ejecucin debe llevarse a cabo. Aborda leyes relativas, reglamentos y cuestiones de responsabilidad.Proporciona alcance y la direccin de todas las actividades de seguridad del futuro de la organizacin. Tambin describe la cantidad de la alta gerencia de riesgo est dispuesto a aceptar.

EMRESAS PRIVADAS VS. ORGANIZACIONES MILITARESLas organizaciones militares estn ms preocupados que la mayora de las empresas del sector privado acerca de no revelar informacin confidencial.

Empresas del sector privado suelen estar ms interesados en la integridad y disponibilidad de los datos.

Controles de clasificacin

Tipos de control son implementados por clasificacin dependiendo del nivel de proteccin que la administracin y el equipo de seguridad han determinado.

Cifrado de datos al tiempo que almacena y en transmisin.Procedimientos de copia de seguridadRevisiones peridicasProcedimiento de clasificacin de datos

Definir los niveles de clasificacin.Especifique los criterios que determinarn cmo se clasifican los datos.Haga que el titular de los datos indican la clasificacin de los datos que ella es responsable.Identificar el custodio de datos que ser responsable del mantenimiento de los datos y su nivel de seguridad.Indicar los controles de seguridad, o los mecanismos de proteccin, requeridos para cada nivel de clasificacin.Documento de cualquier excepcin a las cuestiones de clasificacin anteriores.Indicar los mtodos que se pueden utilizar para transferir la custodia de la informacin a un dueo de datos diferente.Crear un procedimiento para examinar peridicamente la clasificacin y la propiedad. Comunicar cualquier cambio en la custodia de datos.Indique los procedimientos de desclasificacin de los datos.Integrar estas cuestiones en el programa de seguridad de la conciencia de lo que todos los empleados a entender cmo manejar los datos en los diferentes niveles de clasificacin.

Capas de Responsabilidad

Los miembros de la capa funcional deben entender como funcionan sus departamentos.

La capa mas baja debe entender los mecanismo de seguridad que se integran a los sistemas Algunos Roles

El Director de Informacin (CIO): Responsable de la utilizacin y gestin de los sistemas de informacin y tecnologa estratgica dentro de la organizacin.

El Responsable Principal de Seguridad (CSO):Es responsable de la comprensin de los riesgos que enfrenta la compaa y para mitigar estos riesgos a un nivel aceptable. Este papel es responsable de la comprensin de los impulsores del negocio de la organizacin y de crear y mantener un programa de seguridad que facilita estos controladores, adems de proporcionar la seguridad, el cumplimiento de una larga lista de reglamentos y leyes, y de las expectativas de los clientes u obligaciones contractuales.

-Hey, necesitamos un cordero de sacrificio por si las cosas van mal.-Ya tenemos uno. Se llama el jefe de seguridad.Algunos Roles

El Comit de Direccin es la seguridad: Es responsable de la toma de decisiones en cuestiones de seguridad tctica y estratgica dentro de la empresa como un todo y no debe estar atado a una o ms unidades de negocioEl Analista de Seguridad:-He analizado su seguridad y lo tienes todo mal- Qu sorpresa.El papel analista de seguridad trabaja en un nivel ms alto, ms estratgico que los roles descritos anteriormente y ayuda a desarrollar las polticas, normas y directrices, as como varias lneas de base establecidas

Algunos Roles

El analista de control de cambiosEl supervisorAnalista de datosPropietario de procesosUsuarioAuditor, etc.

Entrenamiento de Seguridad conciencia

- Nuestro CEO dijo que nuestra organizacin es seguro.- Respuesta: Se necesita ms formacin de la conciencia que nadie.

GRACIAS