metodologia de la seguridad ing

Upload: kurosaki-gutierrez

Post on 17-Oct-2015

18 views

Category:

Documents


0 download

TRANSCRIPT

  • METODOLOGIAS DE LA SEGURIDAD INFORMATICA

    Integrantes: Doris Mera

    Liliana Arteaga Carlos Villamarin

    Roberth Sosa

  • Introduccin

    La seguridad informtica es el rea de la informtica que se enfoca en la proteccin de la

    infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin

    contenida).

    DORIS

  • Metodologa

    La metodologa de la seguridad es una disciplina que permite a travs de pasos, modelos, etc.

    seguirlos para con su ayuda por medio de una auditoria tratando de evitar los riesgos, amenazas

    brindando de esta manera una manera de asegurar los entornos.

    DORIS

  • Diferentes Metodologas

    OCTAVE

    CORAS

    NIST SP 800-30.NV

    MAGERIT

    DORIS

  • Metodologa MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de IT)

    Es una metodologa que se esfuerza por enfatizarse en dividir los activos

    de la organizacin en variados grupos, para identificar ms riesgos y poder tomar contramedidas para evitar as cualquier inconveniente.

    DORIS

  • Objetivos Directos

    Concienciar a los responsables de los sistemas de informacin de la existencia

    de riesgos y de la necesidad de atajarlos a tiempo.

    Ofrecer un mtodo sistemtico para analizar tales riesgos

    Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo

    control

    DORIS

  • Objetivos Indirectos

    Preparar a la Organizacin para procesos de

    evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada

    caso..

    LILIANA

  • Submodelos Submodelo de

    elementos

    Submodelo de eventos

    Submodelo de procesos

    Es este submodelo se clasifican 6 elementos bsicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda.

    Aqu se clasifican los elementos anteriores en tres formas: dinmico fsico, dinmico organizativo y esttico.

    Se definen en 4 etapas: anlisis de riesgo, planificacin, gestion de riesgo y seleccin de salvaguardas.

    LILIANA

  • Volmenes

    Volumen I - Mtodo Volumen II Catalogo

    de elementos

    Volumen III Gua de tcnicas

    Es el volumen principal en el que se explica detalladamente la metodologa

    Complementa el volumen principal proporcionando diversos inventarios de utilidad en la aplicacin de la metodologa.

    Complementa el volumen principal proporcionando una introduccin de algunas de tcnicas a utilizar en las distintas fases del anlisis de riesgos.

    LILIANA

  • Volumen III Gua de tcnicas

    LAS TECNICAS QUE RECOGEN SON: Anlisis mediante tablas Anlisis algortmico rboles de ataque Tcnicas generales o Anlisis coste-beneficio Diagramas de flujo de datos (DFD) Diagramas de procesos Tcnicas grficas Planificacin de proyectos Sesiones de trabajo: entrevistas, reuniones y presentaciones Valoracin Delphi

    LILIANA

  • Desarrollado a partir de 2001 por SINTEF, un grupo de investigacin noruego financiado por

    organizaciones del sector pblico y privado.

    Metodologa CORAS (Construct a platform for Risk Analysis of Security critical system)

    Construir una plataforma para el anlisis de riesgos del sistema de seguridad crtica

    ROBERTH

  • Proporciona:

    Una metodologa de anlisis de riesgos basado en la elaboracin de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos.

    Un lenguaje grfico basado en UML Un editor grfico para soportar la elaboracin de los

    modelos, basado en Microsoft Visio. Una biblioteca de casos reutilizables. Una herramienta de gestin de casos, que permite su

    gestin y reutilizacin.

    ROBERTH

  • PASOS Presentacin: Reunin inicial, para presentar los objetivos y el

    alcance del anlisis y recabar informacin inicial. Anlisis de alto nivel: Entrevistas para verificar la comprensin

    de la informacin obtenida y la documentacin analizada. Se identifican amenazas, vulnerabilidades, escenarios e incidentes.

    Aprobacin: Descripcin detallada de los objetivos, alcance y consideraciones, para su aprobacin por parte del destinatario del anlisis de riesgos.

    Identificacin de riesgos: Identificacin detallada de amenazas, vulnerabilidades, escenarios e incidentes.

    Estimacin de riesgo: Estimacin de probabilidades e impactos de los incidentes identificados en el paso anterior.

    Evaluacin de riesgo: Emisin del informe de riesgos, para su ajuste fino y correcciones.

    Tratamiento del riesgo: Identificacin de las salvaguardas necesarias, y realizacin de anlisis coste/beneficio.

    ROBERTH

  • Metodologa NIST SP 800-30 (National Institute of Standards and Technology)

    Esta serie incluye una metodologa para el anlisis

    y gestin de riesgos de seguridad de la informacin, alineada y complementaria con el resto de documentos

    de la serie.

    ROBERTH

  • P R O C E S O D E G E S T I O N

    VILLA

  • 9 pasos bsicos para el anlisis de riesgo:

    Caracterizacin del sistema. Identificacin de amenazas. Identificacin de vulnerabilidades. Control de anlisis. Determinacin del riesgo. Anlisis de impacto. Determinacin del riesgo. Recomendaciones de control. Resultado de la implementacin o documentacin.

    VILLA

  • Metodologa OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)

    Es un mtodo de evaluacin y de gestin de los riesgos para garantizar la seguridad del sistema informativo, desarrollado

    por el estndar internacional ISO270001.

    VILLA

  • OBJETIVOS

    Desmitificar la falsa creencia: La Seguridad Informtica es un asunto meramente tcnico

    Presentar los principios bsicos y la estructura de las mejores prcticas internacionales que guan los asuntos no tcnicos.

    VILLA

  • FASES

    VILLA