Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Control de acceso y seguridad: 07 Controles de la ISO/IEC 27002
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 07
Controles de la ISO/IEC 27002
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Caso: cómo construir una red segura
Mediante el uso de hospedajes externos, las empresas son capaces de
aprovechar bien el espacio tradicional o la potencia del modelo
(también llamado colocación) en un entorno físicamente seguro en el
proveedor de alojamiento, mientras gestionan el sistema ellos mismos,
o compran los servicios gestionados de hosting del proveedor, que
incluyen servicios de redes, de sistemas y de seguridad.
Estos entornos suelen estar diseñados para albergar los sistemas de
acceso públicos de una empresa, que podrían variar desde los servicios
de correo o de transferencia de archivos para usuarios corporativos,
hasta la plataforma de comercio electrónico de la empresa.
A nivel de cliente, los datos almacenados localmente son
especialmente vulnerables. Si se roba un equipo portátil, es posible
realizar copias de seguridad, restaurar y leer los datos en otro equipo,
aunque el delincuente no pueda conectarse al sistema.
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Utilidad + Garantía = Valor
Requerimientos
Soluciones
Monitoreo
Control
Juicio de valor
Auditoria
Retroalimentación
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría, enfoque moderno
La imagen que la auditoría tiene hoy es la de una actividad consultiva y
docente que añade valor a la empresa.
Incrementar la eficiencia
Mejorar la efectividad
Gestionar los riesgos
Lograr los objetivos trazados
Cumplimiento regulatorio
Optimizar la calidad
Fuente: Hevia, E., “Concepto moderno de auditoria interna”, 1999
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ATRIBUTOS
• Definidos
• Documentados
• Comunicados
• Entendidos
• Repetibles
• Seguidos consistentemente
• Capacidad de realización
Recordatorio: proceso
Entradas
PROVEEDOR
PROCESO
(Conjunto de
actividades
mutuamente
relacionadas o que
interactúan, las cuales
transforman
elementos de entrada
en resultados –
ISO9000)
Salidas
CLIENTE
Mecanismos y controles
Recursos
Requisitos Requisitos
• Datos
• Materia prima
• Materiales
• Servicios
• Sistemas de información útil y usable
• Producto terminado
• Servicio implementado
• Hardware instalado y configurado
ATRIBUTOS
• Predecibles
• Estables
• Consistentes
• Medidos
• Controlados
• Alcanzar resultados esperados
En un proceso las cosas deben
hacerse:
- En el momento preciso
- Por quien debe hacerlas
- De manera correcta
–> desde la primera vez
Procesos
anteriores
Procesos
posteriores
necesidad o expectativa
establecida, generalmente
implícita u obligatoria
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Adquisición, desarrollo
y mantenimiento de
sistemas de
información
Gestión de
comunicaciones y
operaciones
Gestión de la
continuidad del
negocio
Seguridad
lógica
Seguridad
organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Aspectos
organizativos dela
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y del
entorno
Control de
acceso
Cumplimiento
Seguridad legal
11 dominios
39 objetivos de control
133 controles
Controles
ISO27002:2005
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Línea base sobre la
que empezaremos
las auditorías
internas y externas
Mejora
evidente
resultante de
sincerar el
trabajo
necesario para
acortar el GAP
Primer nivel
de madurez
alcanzado
Ámbito de la mejora
continua (madurar
cada vez más)
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Trabajo práctico
Una software factory local contrata su empresa de seguridad para que
analice y evalúe el nivel de seguridad de la información que ha logrado
implementar para sus entregables (Dominio: Adquisición, desarrollo y
mantenimiento de sistemas de información)
¿Cómo plantearía realizar esta consultoría?
Grupos de tres.
60 minutos.
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Para la siguiente práctica
Traer relación solicitada en sesiones previas sobre modos o
métodos de acceso
11. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?