info:cursos:seguridadinformatica

Diferències

Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.

Enllaç a la visualització de la comparació

Ambdós costats versió prèvia Revisió prèvia
Següent revisió		 Revisió prèvia
info:cursos:seguridadinformatica [13/11/2012 10:24] – [planificación estratégica] mateinfo:cursos:seguridadinformatica [15/11/2012 08:21] (actual) – [plan de seguridad, actores implicados] mate
Línia 5: Línia 5:
   * armengol@torres.net   * armengol@torres.net
   * 600.485.486   * 600.485.486
-== seguridad de la información en la empresa+== 1. seguridad de la información en la empresa
 === amenazas === amenazas
   * los sistemas información se convierten en un activo fundamental   * los sistemas información se convierten en un activo fundamental
Línia 80: Línia 80:
   * [[http://ca.wikipedia.org/wiki/Planificaci%C3%B3_de_sistemes_inform%C3%A0tics]]   * [[http://ca.wikipedia.org/wiki/Planificaci%C3%B3_de_sistemes_inform%C3%A0tics]]
  
 +== 2. Gestión de los sistemas de información
 === planificación estratégica === planificación estratégica
   * previsión de decrecimiento e implicaciones   * previsión de decrecimiento e implicaciones
Línia 138: Línia 139:
       * gestión de niveles de servicio       * gestión de niveles de servicio
        * ...        * ...
 +== 3.Gestión de la seguridad de la información
     * Gestión de la seguridad     * Gestión de la seguridad
       * disponibilidad sea donde sea: segurida perimetral, test de intrusión, politica de seguridad       * disponibilidad sea donde sea: segurida perimetral, test de intrusión, politica de seguridad
Línia 235: Línia 237:
         * coste 400 euros         * coste 400 euros
         * empresas catalanas         * empresas catalanas
 +
 +== 4. plan de continuidad de empresa
 +=== riesgos
 +  * Analisis: tipos de riesgos
 +    * amenazas: externas
 +    * vulnerabilidades: internas
 +    * probabilidad de ocurrir
 +    * impacto que tiene el suceso
 +    * evaluar coste económico
 +      * coste evitar un suceso
 +      * coste de minimizar los efectos
 +      * coste de recuperarse
 +      * coste de asumir el suceso
 +  * Gestión: diseño planes para evitar
 +    * minimizar el riesgo: controles
 +    * transferir el riesgo: externalizar
 +    * aceptar el riesgo: sin medidas, ser consciente
 +    * evitar el riesgo: acabar con la actividad que la origina
 +
 +=== interrupciones en los procesos de negocio
 +  * criticidad de los recursos
 +  * periodo de tiempo de recuperación limite
 +  * sistema de clasificación de riesgos
 +
 +=== recuperación
 +  * punto de recuperación: determinar % de funcionamiento
 +  * tiempo de recuperación: tolerancia
 +
 +=== estrategias de recuperación
 +  * medidas preventivas, detectivas, correctivas
 +  * ...
 +
 +=== validación del plan
 +  * pruebas de verificación del plan de continuidad
 +    * parte técnica
 +    * habilidad del personal
 +  * no tener validado el plan puede ser tan o más peligroso que no tenerlo
 +  * ...
 +== 5. plan de seguridad
 +Expresión gráfica del sistema de seguridad diseñado
 +  - caracterización del SI
 +  - resultado del analisis de riesgos
 +  - politicas de seguridad de la información
 +  - responsabilidad de los participantes
 +  - descripción detallada del sistema de seguridad
 +    * medios: humanos, materiales, técnicos
 +    * medidas y procedimientos de seguridad: fisico, técnico, lógico
 +nos ha de permitir prevenir, detectar y responder a las posibles amenazas
 +
 +=== 5.1.caracterización
 +  * ordenadores: servidores/clientes
 +  * sistemas de seguridad: hard y soft
 +  * dispositos auxiliares: impresoras, escaners, dispostivos de almacen portatil)
 +  * procedimientos: de tratamiento de la información
 +  * recursos y procesos subcontratados: listado de externos
 +  * formas de acceso: a y desde el exterior
 +  * topologia de red
 +  * dispositivos de red
 +  * sistemas operativos
 +  * aplicaciones
 +
 +=== 5.2.resultado del analisis de riesgos
 +  * riesgos más probables y de mayo impacto
 +  * aspectos centrados en la seguridad de sistema
 +  * detallar:
 +    * acciones a realizar
 +    * quien las realiza
 +    * en que momento se ralizan
 +    * ...
 +
 +=== 5.3.politicas de seguridad
 +  * normas que ha de cumplir el personal
 +  * adecuados a la legislación vigente
 +  * sencillo, el ABC
 +  * homogeneizar con respecto a normativa vigente:
 +    * LOPD para el uso de usuarios/contraseñas, p.e.
 +  * ...
 +
 +=== 5.4.responsabilidad de los particiapnetes
 +  * personal involucrado
 +  * responsabilidad de cada uno
 +  * comunicar adecuadamente
 +  * ...
 +
 +=== descripción del sistema de seguridad
 +  * forma de implementar las políticas de seguridad y resto de medidas de protección
 +  * elaborar:
 +    * programa de seguridad
 +    * planificación temporal
 +    * acciones necesarias para llegar a niveles de seguridad superior
 +  * detallar:
 +    * asignación de medios humanos en las tareas de seguridad
 +    * lista de medios técnicos y su configuración
 +
 +=== medidas y procedimientos de protección física
 +  * amenazas de daños a equipos o infraestructuras: incendios, inundaciones, agya, terremotos, sabotaje
 +  * en función de la probabilidad:
 +    * CPD (interno/externo) con protección de incendios, inundaciones, acceso restringido
 +    * Duplicar infraestructuras críticas (servidores y similares) en diferentes localizaciones
 +    * duplicidad de la red interna (por ejemplo, cable y red)
 +    * duplicidad de red externa (dos proveedores)
 +    * estoc de seguridad de equipos y componentes para cambios rápidos
 +    * no permitir uso de USBs y similares
 +
 +=== medidas y procedimientos de protección lógica
 +  * protección de la información por medio de programas o dispositivos específicos
 +    * identificación y autentificación de usuario
 +    * métodos de contro de acceso: mínimo privilegio necesario
 +    * métodos para garantizar la integridad de los ficheros y los datos: sistemas de alta disponibilidad, copias de seguridad, logs
 +
 +=== medidas y procedimientos de protección en operaciones
 +  * procedimientos que permitan minimizar los riesgos
 +    * metodologia de las copias de seguridad
 +      * periodicidad
 +      * responsables
 +      * números de versiones
 +      * tipos de copias
 +    * gestión de las claves de acceso
 +    * control de los equipos
 +      * con información sensible y la entrada/salida de tecnología
 +    * seguridad de las coneciones en la red interna (desde el exterior)
 +    * almacenar y analizar los logs
 +    * control de mantenimiento y reparación de los equipos
 +    * autorización y denegación de los servicios a usuarios
 +
 +=== medidas y procedimientos de recuperación ante contigencias
 +  * cualquier eventualidad que pueda parar total o parcialmente la actividad
 +
 +=== relaciones entre el plan de seguridad y el de continuidad de negocio
 +  * ...
 +
 +=== Plan de seguridad: metodologia ISO 27001
 +  * cuatro áreas de especialización
 +    - Gestión
 +    - Control de acceso
 +    - ...
 +    - ...
 +
 +=== plan de seguridad, actores implicados
 +  * dirección general
 +  * profesionales de la seguridad de los sistemas de información
 +  * propietarios de activos concretos
 +    * asegurarse de que se implementa la seguridad adecuada
 +    * niveles de sensibilidad de la información
 +    * determinar privilegios de acceso
 +  * administradores
 +  * ...
 +  * personal de los sistemas de información
 +  * auditor de los sitemas de información
 +
 +=== práctica
 +  * deficiencias detectadas:
 +    * sin control acceso físico
 +    * sin sistema de backup
 +    * sistema de refigeración
 +    * software:
 +      * windows vista -> obsoleto?
 +      * office pirata -> funcional?
 +      * antivirus -> obligado? centralizado?
 +      * administradores
  • info/cursos/seguridadinformatica.1352831074.txt.gz
  • Darrera modificació: 13/11/2012 10:24
  • (edició externa)