Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
El Information Security Forum
1. Conferencia FIST Enero/Madrid 2008 @
Sponsored by:
El Information Security Forum y el
Estándar de Buenas Prácticas
Rafael Rodríguez de Cora
2. Rafael Rodríguez de Cora
Licenciado en Informática por la Universidad de
Chile.
Varios años de experiencia con Arthur
Andersen, CORITEL, PWC, etc.
Director General de
Profesor en Master ALI / UPM de Auditoria y
Seguridad Informática
2
3. Computer Aided Logistics
CALS es es una empresa nacida en mayo de 1997 para
ofrecer soluciones tecnológicas para la logística, el
transporte y la seguridad informática.
Es Agente para España, Portugal y América Latina del
Information Security Forum (ISF)
Tiene la representación en España y Portugal de los
productos de Methodware para la Gestión de Riesgos y
Auditoría de Sistemas de Información, tales como el
producto software Enterprise Risk Assessor (ERA).
3
5. Horizonte de las Amenazas
Un mundo cambiante – Tipos de Amenazas
Políticas (Aumento de inestabilidades regionales, terrorismo,
problemas energéticos)
Legales (Aumento del cumplimiento, litigios por problemas con
manejo y gestión inadecuada de transacciones, etc.)
Económicas (e-economía, crimen organizado, continuidad del
negocio, cambio climático)
Socio-culturales (tecno-generación, trabajo remoto, ocio vs
trabajo)
Tecnológicas (Convergencia digital de medios, convergencia de
dispositivos, nuevos productos y arquitecturas)
5
6. Gestión de Riesgos
Un mundo cambiante – Tipos de Riesgos
La Gestión de Riesgos Operacionales y la gestión de Riesgos
Empresariales está en un proceso de redefinición y existen
cambios y orientaciones importantes en el concepto de la Gestión
de Riesgos en las Organizaciones.
El concepto del Riesgo se vincula ahora, cada vez más, al concepto
de valor añadido y objetivos de negocio de la Organización
La Gestión de Riesgos de la Información debe considerarse como
parte de la solución, o se convertirá como parte del problema.
En el fondo se trata de definir claramente y gestionar bien lo
siguiente, en ambos casos:
Impacto de los Riesgos sobre el Negocio
Amenazas y Vulnerabilidades
Controles
6
7. El Information Security Forum
Preguntas:
¿Qué aporta el Foro en el contexto anterior?
¿Cuál es su rentabilidad?
¿Cómo convencer a la Dirección General?
7
8. El Information Security Forum
Respuestas:
Aspectos Clave del ISF
Productos y Servicios. Proyectos
Encuestas de Situación
Gestión y Control de Riesgos
Programas de Sensibilización
8
9. ¿Qué es el ISF?
Una asociación internacional de más de 300
organizaciones de primer orden, que...
Se dedica a clarificar y resolver temas fundamentales
acerca de la seguridad de la información
Es independiente y sin fines de lucro
Financia y gestiona el desarrollo de soluciones
prácticas orientadas al negocio (herramientas y servicios)
Está conducida y gobernada por sus Miembros
Está gestionada por una organización gerencial
profesional
9
10. Aspectos Clave del Foro
Acceso independiente al “estado del arte”
Prestigio y reconocimiento internacional
Financiación de Proyectos (estudios
específicos)
No “re-inventar” la rueda (por tiempo y
coste)
Las “Mejores Prácticas” (por sectores)
Plataforma de intercambio de experiencias
Soluciones Prácticas y de Calidad
10
11. Aspectos Clave del Foro
Misión del Foro – Mission Statement:
‘ The Information Security Forum will strive to sustain its position as
the world’s leading independent authority on information risk
management . ’
11
12. Miembros actuales en:
Australia Italia • Suecia
Bélgica Latvia • Suiza
Canadá Luxemburgo • Holanda
Dinamarca Noruega • Emiratos Árabes Unidos
Finlandia Serbia • Reino Unido
Francia Singapur • Estados Unidos
Alemania Sur África
Irlanda España
12
13. Miembros por sectores (1 de 5):
Banca, Finanzas y Seguros (1) Dresdner Kleinwort Wasserstein Metavante Corporation
Euroclear MetLife
ABN-AMRO European Central Bank Metropolitan Holdings Limited
ABSA Bank European Investment Bank Mizuho Corporate Bank, Ltd
Aegon NV Fidelity Investments Munich Re Group
Alliance & Leicester First Rand Bank National Australia Bank Group
Allianz SE Fortis National Bank of Canada
ANZ Bank Friends Provident Nationwide Building Society
AXA Gjensidige Nordea Bank
Assurant GMAC-RFC Norges Bank
Bank for International Settlements Goldman Sachs & Co Nykredit A/S
Bank of America Great-West Life Assurance Company OP Bank Group
Bank of Ireland Group Guardian Life Insurance Company of Pemco Corporation + Pemco Mutual Insurance
Bank of Latvia America Prudential Plc
Bank of Tokyo-Mitsubishi UFJ Ltd. HBOS Group plc Rabobank Nederland
Barclays Bank HDFC Bank Reuters Ltd.
BBVA Bank HSBC Royal Bank of Canada
BEC ING Royal Bank of Scotland Group
BMO Financial Group Isabel NV/SA S.W.I.F.T
BNP Paribas JP Morgan Chase & Co Samlink
KBC Group Sanlam
Caja Madrid
La Caixa Schroders Investment Management Ltd.
Canadian Imperial Bank of Commerce
Scotiabank (Canada)
Capital One LCH. Clearnet
Secure Trading Group
Citigroup Legal and General PLC
Skandinaviska Enskilda Banken (SEB)
CLS Services Lehman Brothers
Societe Generale Group
Commerzbank AG Lloyds TSB
South African Reserve Bank
Crédit Agricole SA Man Group Plc
Standard Bank of South Africa
Credit Suisse Marsh & McLennan Companies Inc.
Standard Chartered Bank
Danske Bank A/S Mashreq Bank
Standard Life Assurance
Delta Lloyd Group (AVIVA) Merrill Lynch
State Farm Mutual Automobile Insurance Company
Deutsche Bank
DnB NOR
13
14. Miembros por sectores (2 de 5):
Ind. Química, Centrales, Energía
Banca, Finanzas y Seguros (2) Sanidad y y
Farmacéuticas Recursos Minerales
Sun Life Financial Akzo Nobel Air Liquide SA
Svenska Handelsbanken AstraZeneca Anglo American plc
The Co-operative Group BASF Aktiengesellschaft British Energy
The London Stock Exchange Baxter Healthcare Corporation British Nuclear Group
Toronto Dominion Bank Financial Bayer AG Centrica plc
Group Borealis Chevron
UBS AG Brenntag Holding GmbH & Co KG ConocoPhillips
USAA Bristol-Myers Squibb Dolphin Energy Limited
Vanguard Clariant International Ltd. DONG Energy
VP Securities Services DSM E.ON UK
Wachovia Corporation F Hoffmann La Roche AG EDF Energy plc
Wells Fargo Bank Henkel KGaA Eskom
WestLB AG ICI plc Fortum Oyj
Yorkshire Building Society Kaiser Permanente Neste Oil Oyj
Zurich Financial Services L’Oreal Nuon
Norsk Hydro ASA Repsol YPF SA
Novartis International AG RWE Npower pic
Novo Nordisk A/S Sasol Shared Services
Pfizer Saudi Aramco
Shire Pharmaceuticals Sellafield Ltd.
Smart Systems for Health Agency (SSHA) Severn Trent plc
StatoilHydro ASA Shell International
Syngenta International AG SUEZ
United Healthcare Services Inc. Syncrude Canada Ltd.
Thames Water
TransCanada
14
15. Miembros por sectores (3 de 5):
Electrónica, Ingeniería y Fabricación Agencias
Gubernamentales
ABB Information System Ltd. SAB Miller ACA (AAA Affiliate) Parliamentary Information
Aker Kvaerner ASA Sandvik AB Arbeids – og velferdsetaten Communications
Alcatel - Lucent SCA arivia.kom Technology
Arla Foods AMBA Scania ATP Region Hovedstaden
Ashok Leyland Ltd. Siemens AG Bundesamt für Sicherheit in der I. Royal Canadian Mounted Police (RCMP)
Bechtel Corporation SKF Centre for the Protection of National South African Revenue Service
Boeing ST Microelectronics Infrastructure (CPNI) State Information Technology Agency
British American Tobacco plc Stora Enso Oy Centrlink The Department for Works and Pensions
Cadbury Schweppes Tata Steel Corus Danish Tax and Custom Administration The Government of British Columbia
Canon Europa NV Tetra Pak Dept of Health & NHS The Government of Newfoundland &
Chrysler LLC Toyota Motor Sales Dept of Social & Family Affairs
Daimler AG USA Finnish Communications Regulatory Labrador
Essilor International SA Unilever Authority
Grampian Country Food Group Volvo AB Foreign & Commonwealth Office
Grundfos GOVCERT.NL
Honeywell International Government of Alberta
Infineon Technolgies AG Government of Ontario
Kimberly-Clark Corporation Government of Victoria
Kraft Foods HM Revenue & Customs
Michelin Group ICPO - Interpol
Motorola Informatikstrategieorgan Bund ISB
Nestlé KELA
Nokia Group Manitoba Provincial Government
Orkla ASA Maritime Provinces
Pitney Bowes MISA Ontario
Procter & Gamble Services Company National Board of Taxes (Finland)
Reliance Industries Limited National Institute of Standards &
Technology
National Policing Improvement Agency
(NPIA)
15
16. Miembros por sectores (4 de 5):
Medios, Correos, Telecom. Consultoras, IT y Servicios
y Educación
Adobe Systems, Inc
(ISC)2 Arabella (Arab Bank Group)
Bell Canada BDO Stoy Hayward LLP
British Broadcasting Corporation Brabeion Software
British Telecommunications plc Business Connexion (Pty) Ltd
Cable & Wireless Clifford Chance LLP
Canada Post Corporation Deloitte & Touche
COLT Telecommunications Det Norske Veritas
Danish Broadcasting Corporation EDB Business Partner ASA
De Post – N.V. Electronic Data Systems
Deutsche Telekom Elektron (P/F)
Itella Corporation Ernst & Young
KPN Royal Dutch Telecom Freshfields Bruckhaus Deringer
Mobile Telephone Networks Fujitsu Services
O2 IBM Global Services
Orange plc InfoSecure
Post Danmark KPMG
Posten Norge BA LogicaCMG
Royal Mail Group plc Microsoft Corporation
Swisscom IT Services AG PricewaterhouseCoopers
TDC Qualys
Telecom New Zealand Ltd SecureOps Inc.
SIA s.p.a
Telefónica España
Sun Microsystems Inc.
Telekom Srbija
Telenor AS Symantec Corporation
Telephone & Data Systems Inc. TietoEnator Corporation
TeliaSonera TNO ICT
Telkom SA Limited Towers Perrin
TNT Express Worldwide UK Ltd Unisys
Verizon VeriSign, Inc
Vodafone Ltd Vertex Data Science Limited
Yell Ltd
16
17. Miembros por sectores (5 de 5):
Líneas Aéreas y
Loterías y Comercio Minorista
Servicios de Transporte
A P Møller - Maersk Kesko Corporation
British Airways Marks & Spencer plc
Copenhagen Airports A/S Sainsbury’s Supermarkets Ltd
Córas Iompair Éireann Starwood Hotels & Resorts
DHL Exel Supplay Chain & DHL Target Corporation
Global Forwarding Tesco Stores Ltd
EADS
EUROCONTROL
KLM Royal Dutch Airlines
Network Rail Infrastructure Ltd.
SAS
Singapore Airlines Ltd.
The Emirates Group
Transnet Freight Rail
VR-Group Ltd.
17
18. ISF: Productos y Servicios
Red de Contactos / Intercambios de
Información
Programas de Trabajo Amplios
Servicios Encuestas de Situación sobre
las condiciones de seguridad
Estándar del Foro sobre Mejores Prácticas
Extranet segura
18
19. ISF: Red de Contactos
Reuniones Regionales del Capítulo (Tres
anuales)
Participación en Proyectos (Intercambios de
experiencias, diseño y alcance del proyecto,
formación)
Congreso Anual
(En Barcelona del 16 al 18 de Noviembre 2008)
19
20. ISF: Programas de Trabajo
El Foro lleva a cabo un amplio programa anual.
Cada proyecto...
Obtiene documentos y herramientas de alta calidad y fáciles
de usar:
Se basa en las necesidades de negocio de los Miembros
• Informes a Dirección.
• Documentos de Consulta
• Guías prácticas de implantación y metodologías
Incorpora experiencias de las organizaciones miembro
Representa la mejor práctica entre los miembros
20
21. ISF: Encuestas de Situación
Benchmarks: Encuestas de Situación del Foro – Evaluación
detallada sobre el estado de la seguridad
La participación en la Encuesta permite…
Ver la situación general del estado de la seguridad de
información a través de la organización
Comparar nuestro nivel con otros usuarios de IT en el
sector
Identificar áreas susceptibles de mejora para un mayor
análisis
Asignar presupuestos de seguridad donde sea más
Elemento rentable
fundamental para el
programa corporativo Documentar necesidades de mejoras sobre seguridad
de seguridad del ISF
Aumentar la sensibilización sobre la seguridad entre los
empleados
21
22. ISF: Extranet Segura
‘MX2’ – La extranet segura del Foro
El sistema MX2 permite participar a los Miembros, por medios
electrónicos, en las actividades del Foro. Posibilita ...
Acceder al conjunto completo de los productos del
Foro en formato electrónico
Registrarse para atender a las reuniones del Foro
Acceder a la información de los proyectos, del
Congreso y de las reuniones regionales
Participar en reuniones on-line, con otros Miembros
y con el Equipo de Gestión del Foro
22
23. ISF: Estándar sobre Mejores Prácticas
El Estándar del Foro sobre las Mejores Prácticas
Implantado en algunas de las organizaciones más
importantes del mudo, el Estándar está...
Diseñado para los requerimientos del negocio
Basado en experiencias prácticas
Orientado hacia los temas que pueden causar el mayor
daño
Posibilitado para llevarse a cabo en la práctica
Definido con un amplio alcance
Realizado con un enfoque independiente
Descrito usando un lenguaje familiar de buenas prácticas
23
24. ISF: Estándar sobre Mejores Prácticas
Cubre seis aspectos de la Seguridad de la Información:
Security Management (SM)
Critical Business Applications (CB)
Computer Installations (CI)
Networks (NW)
Systems Development (SD)
End User Environment (UE)
2007
24
25. ISF: Estándar sobre Mejores Prácticas
Security Management (SM)
Temas relativos a la gestión de la seguridad de la
información de alto nivel, a la disposición de la
seguridad de la información a través de la
organización, y al establecimiento de un entorno
seguro
2007
25
26. ISF: Estándar sobre Mejores Prácticas
Critical Business Applications (CB)
Temas relativos a los requerimientos para mantener
aplicaciones de negocios seguras, para identificar los
riesgos de la información y para determinar el nivel de
protección requerido con el objeto de mantener los
riesgos de la información dentro de límites aceptables.
2007
26
27. ISF: Estándar sobre Mejores Prácticas
Computer Installations (CI)
Temas relativos al diseño y configuración de los
sistemas informáticos, a la gestión de actividades
requeridas para establecer unas instalaciones
seguras y al mantenimiento y continuidad del servicio.
2007
27
28. ISF: Estándar sobre Mejores Prácticas
Networks (NW)
Temas relativos al diseño e implantación de la red, a
la gestión de actividades requeridas para el
funcionamiento y gestión de redes seguras, incluyendo
redes locales y corporativas, y redes de comunicación
de voz
2007
28
29. ISF: Estándar sobre Mejores Prácticas
Systems Development (SD)
Temas relativos a la aplicación de seguridad de la
información en todas las etapas de desarrollo de
sistemas, incluyendo el diseño, desarrollo, pruebas e
implantación.
2007
29
30. ISF: Estándar sobre Mejores Prácticas
End User Environment (UE)
Temas relativos a la gestión de la seguridad local, a la
protección de las aplicaciones corporativas y en
desktops, y a la seguridad de dispositivos portátiles.
2007
30
31. ISF: En resumen ….
Beneficios:
Acceso a las experiencias y conocimientos de organizaciones
mundiales destacadas
Obtención de soluciones útiles para problemas de seguridad de alta
prioridad
Obtención de estudios comparativos para analizar los niveles de
seguridad propios
Entendimiento de las mejores prácticas globales sobre seguridad de
la información
Establecimiento de una red de contactos para temas de seguridad
Rentabilidad: obtención de resultados por una fracción de los costes
reales
31
32. ISF: Contacto
Velázquez 86- B
28006 - MADRID
Tel: +34 91 432 14 15
Fax: +34 91 578 27 97
Rafael Rodríguez de Cora
E-mail: rrcora@calogistics.com
32
33. Creative Commons
Attribution-NoDerivs 2.0
You are free:
•to copy, distribute, display, and perform this work
•to make commercial use of this work
Under the following conditions:
Attribution. You must give the original author
credit.
No Derivative Works. You may not alter, transform, or
build upon this work.
For any reuse or distribution, you must make clear to others the license terms of
this work.
Any of these conditions can be waived if you get permission from the author.
Your fair use and other rights are in no way affected by the above.
This work is licensed under the Creative Commons Attribution-NoDerivs
License. To view a copy of this license, visit
http://creativecommons.org/licenses/by-nd/2.0/ or send a letter to Creative
Commons, 559 Nathan Abbott Way, Stanford, California 94305, USA. 33
34. @ with the sponsorship of:
Rafael Rodríguez de Cora
Madrid, Enero 2008
www.fistconference.org