Diferències
Ací es mostren les diferències entre la revisió seleccionada i la versió actual de la pàgina.
| Ambdós costats versió prèvia Revisió prèvia Següent revisió | Revisió prèvia | ||
| info:cursos:seguridadinformatica [13/11/2012 10:31] – mate | info:cursos:seguridadinformatica [15/11/2012 08:21] (actual) – [plan de seguridad, actores implicados] mate | ||
|---|---|---|---|
| Línia 239: | Línia 239: | ||
| == 4. plan de continuidad de empresa | == 4. plan de continuidad de empresa | ||
| + | === riesgos | ||
| + | * Analisis: tipos de riesgos | ||
| + | * amenazas: externas | ||
| + | * vulnerabilidades: | ||
| + | * probabilidad de ocurrir | ||
| + | * impacto que tiene el suceso | ||
| + | * evaluar coste económico | ||
| + | * coste evitar un suceso | ||
| + | * coste de minimizar los efectos | ||
| + | * coste de recuperarse | ||
| + | * coste de asumir el suceso | ||
| + | * Gestión: diseño planes para evitar | ||
| + | * minimizar el riesgo: controles | ||
| + | * transferir el riesgo: externalizar | ||
| + | * aceptar el riesgo: sin medidas, ser consciente | ||
| + | * evitar el riesgo: acabar con la actividad que la origina | ||
| + | |||
| + | === interrupciones en los procesos de negocio | ||
| + | * criticidad de los recursos | ||
| + | * periodo de tiempo de recuperación limite | ||
| + | * sistema de clasificación de riesgos | ||
| + | |||
| + | === recuperación | ||
| + | * punto de recuperación: | ||
| + | * tiempo de recuperación: | ||
| + | |||
| + | === estrategias de recuperación | ||
| + | * medidas preventivas, | ||
| + | * ... | ||
| + | |||
| + | === validación del plan | ||
| + | * pruebas de verificación del plan de continuidad | ||
| + | * parte técnica | ||
| + | * habilidad del personal | ||
| + | * no tener validado el plan puede ser tan o más peligroso que no tenerlo | ||
| + | * ... | ||
| == 5. plan de seguridad | == 5. plan de seguridad | ||
| + | Expresión gráfica del sistema de seguridad diseñado | ||
| + | - caracterización del SI | ||
| + | - resultado del analisis de riesgos | ||
| + | - politicas de seguridad de la información | ||
| + | - responsabilidad de los participantes | ||
| + | - descripción detallada del sistema de seguridad | ||
| + | * medios: humanos, materiales, técnicos | ||
| + | * medidas y procedimientos de seguridad: fisico, técnico, lógico | ||
| + | nos ha de permitir prevenir, detectar y responder a las posibles amenazas | ||
| + | |||
| + | === 5.1.caracterización | ||
| + | * ordenadores: | ||
| + | * sistemas de seguridad: hard y soft | ||
| + | * dispositos auxiliares: impresoras, escaners, dispostivos de almacen portatil) | ||
| + | * procedimientos: | ||
| + | * recursos y procesos subcontratados: | ||
| + | * formas de acceso: a y desde el exterior | ||
| + | * topologia de red | ||
| + | * dispositivos de red | ||
| + | * sistemas operativos | ||
| + | * aplicaciones | ||
| + | |||
| + | === 5.2.resultado del analisis de riesgos | ||
| + | * riesgos más probables y de mayo impacto | ||
| + | * aspectos centrados en la seguridad de sistema | ||
| + | * detallar: | ||
| + | * acciones a realizar | ||
| + | * quien las realiza | ||
| + | * en que momento se ralizan | ||
| + | * ... | ||
| + | |||
| + | === 5.3.politicas de seguridad | ||
| + | * normas que ha de cumplir el personal | ||
| + | * adecuados a la legislación vigente | ||
| + | * sencillo, el ABC | ||
| + | * homogeneizar con respecto a normativa vigente: | ||
| + | * LOPD para el uso de usuarios/ | ||
| + | * ... | ||
| + | |||
| + | === 5.4.responsabilidad de los particiapnetes | ||
| + | * personal involucrado | ||
| + | * responsabilidad de cada uno | ||
| + | * comunicar adecuadamente | ||
| + | * ... | ||
| + | |||
| + | === descripción del sistema de seguridad | ||
| + | * forma de implementar las políticas de seguridad y resto de medidas de protección | ||
| + | * elaborar: | ||
| + | * programa de seguridad | ||
| + | * planificación temporal | ||
| + | * acciones necesarias para llegar a niveles de seguridad superior | ||
| + | * detallar: | ||
| + | * asignación de medios humanos en las tareas de seguridad | ||
| + | * lista de medios técnicos y su configuración | ||
| + | |||
| + | === medidas y procedimientos de protección física | ||
| + | * amenazas de daños a equipos o infraestructuras: | ||
| + | * en función de la probabilidad: | ||
| + | * CPD (interno/ | ||
| + | * Duplicar infraestructuras críticas (servidores y similares) en diferentes localizaciones | ||
| + | * duplicidad de la red interna (por ejemplo, cable y red) | ||
| + | * duplicidad de red externa (dos proveedores) | ||
| + | * estoc de seguridad de equipos y componentes para cambios rápidos | ||
| + | * no permitir uso de USBs y similares | ||
| + | |||
| + | === medidas y procedimientos de protección lógica | ||
| + | * protección de la información por medio de programas o dispositivos específicos | ||
| + | * identificación y autentificación de usuario | ||
| + | * métodos de contro de acceso: mínimo privilegio necesario | ||
| + | * métodos para garantizar la integridad de los ficheros y los datos: sistemas de alta disponibilidad, | ||
| + | |||
| + | === medidas y procedimientos de protección en operaciones | ||
| + | * procedimientos que permitan minimizar los riesgos | ||
| + | * metodologia de las copias de seguridad | ||
| + | * periodicidad | ||
| + | * responsables | ||
| + | * números de versiones | ||
| + | * tipos de copias | ||
| + | * gestión de las claves de acceso | ||
| + | * control de los equipos | ||
| + | * con información sensible y la entrada/ | ||
| + | * seguridad de las coneciones en la red interna (desde el exterior) | ||
| + | * almacenar y analizar los logs | ||
| + | * control de mantenimiento y reparación de los equipos | ||
| + | * autorización y denegación de los servicios a usuarios | ||
| + | |||
| + | === medidas y procedimientos de recuperación ante contigencias | ||
| + | * cualquier eventualidad que pueda parar total o parcialmente la actividad | ||
| + | |||
| + | === relaciones entre el plan de seguridad y el de continuidad de negocio | ||
| + | * ... | ||
| + | |||
| + | === Plan de seguridad: metodologia ISO 27001 | ||
| + | * cuatro áreas de especialización | ||
| + | - Gestión | ||
| + | - Control de acceso | ||
| + | - ... | ||
| + | - ... | ||
| + | |||
| + | === plan de seguridad, actores implicados | ||
| + | * dirección general | ||
| + | * profesionales de la seguridad de los sistemas de información | ||
| + | * propietarios de activos concretos | ||
| + | * asegurarse de que se implementa la seguridad adecuada | ||
| + | * niveles de sensibilidad de la información | ||
| + | * determinar privilegios de acceso | ||
| + | * administradores | ||
| + | * ... | ||
| + | * personal de los sistemas de información | ||
| + | * auditor de los sitemas de información | ||
| + | |||
| + | === práctica | ||
| + | * deficiencias detectadas: | ||
| + | * sin control acceso físico | ||
| + | * sin sistema de backup | ||
| + | * sistema de refigeración | ||
| + | * software: | ||
| + | * windows vista -> obsoleto? | ||
| + | * office pirata -> funcional? | ||
| + | * antivirus -> obligado? centralizado? | ||
| + | * administradores | ||