SGSI ISO/IEC 27001 - Consultoría colaborativa · Objetivos Comprender los aspectos fundamentales Entender el marco normativo Analizar y gestionar los ciberriesgos Documento público

Ciberseguridad

Introducción a la ciberseguridad

Objetivos

▪ Comprender los aspectos fundamentales▪ Entender el marco normativo▪ Analizar y gestionar los ciberriesgos

Documento público - 15/01/18 - 2

(c) 2010-2018 en Colaboración – Consultoría colaborativawww.encolaboracion.net (+34) 667840499

https://creativecommons.org/licenses/by-nc/4.0/deed.es_ES

Índice

▪ Introducción a la ciberseguridad▪ Marco normativo▪ Análisis de riesgos▪ Gestión de riesgos




Kahoot






Objetivos▪ Visión global▪ A quién afecta, cómo y por qué▪ Activos, vulnerabilidades y amenazas▪ Riesgos▪ Beneficios





Escenario actual▪ Necesidad de las nuevas tecnologías▪ Democracia de las nuevas tecnologías▪ Nivel global e individual▪ Ciberseguridad como un reto▪ Necesidad de confianza▪ No existe el riesgo 0▪ Puede afectar a cualquiera▪ El usuario es el eslabón más importante de la cadena de la

seguridad





Escenario actual▪ Deep Web, Darknethttps://www.youtube.com/watch?time_continue=3&v=crkPLzuysKE




https://www.youtube.com/watch?time_continue=3&v=crkPLzuysKE


Escenario actual▪ ¿por qué las redes sociales, los servicios de correo electrónico u

otros servicios ofrecidos a través de Internet, son gratuitos?https://youtu.be/PAvbYdsiNl8




https://youtu.be/PAvbYdsiNl8


Ciberespacio▪ Entorno complejo, resultante de la interacción de múltiples

elementos





Ciberseguridad▪ En la información del ciberespacio, preservación de:

▪ Confidencialidad▪ Integridad▪ Disponibilidad




Seguridad de la información

Protección infraestructuras críticas


Ciberseguridad




Seguridad de las aplicaciones

Ciberseguridad

Seguridad de internet

Seguridad de las redes


Amenazas▪ Desastres naturales▪ De origen industrial▪ Ataques intencionados (ciberataques)▪ Errores y fallos no intencionados





Ciberataques▪ Cryptolockerhttps://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html▪ Phishinghttps://www.incibe.es/protege-tu-empresa/avisos-seguridad/nuevo-phishing-agencia-tributaria-no-piques▪ Avisos del Incibehttps://www.incibe.es/protege-tu-empresa/avisos-seguridad




https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/nuevo-phishing-agencia-tributaria-no-piques

https://www.incibe.es/protege-tu-empresa/avisos-seguridad


Valor de los sistemas de la información▪ Activos▪ Hay que protegerlos





Valor de los sistemas de la información




ClienteCliente

PROCESOS ESTRATÉGICOS

PROCESOS DE APOYO

PROCESOS OPERATIVOS

Instalaciones

Proveedores

Personas

Tecnología

Información

Servicio

PROCESO

ACTIVOS


Vulnerabilidades▪ Debilidad de un activo o medida de seguridad▪ Permiten que las amenazas se materialicen





Vulnerabilidades





Amenazas▪ Elemento que aprovecha una vulnerabilidad para atentar contra la

seguridad de un activo de información▪ Ocasionan incidentes de seguridad





Amenazas





Riesgos▪ Gravedad e impacto





Medidas de seguridad▪ Medios para la gestión de riesgos▪ Políticas, procedimientos, directrices, prácticas o estructuras

organizativas, que pueden ser administrativas, técnicas, gestión o de naturaleza legal





Relación entre todos los elementos




Amenazas Vulnerabilidades

Controles

Requisitos de

seguridad

Activos

Valor de los activos

Riesgos

Imponen

Protegen de

Disminuyen

Aumentan

Aprovechan

Aumentan Exponen

TienenAumentaMarcan Impactansi se

materializan


Conclusiones▪ Dependencia de las TIC▪ Identificación de activos, amenazas y vulnerabilidades▪ Impacto▪ Mitigación




Marco normativo

Marco normativo

Objetivos▪ Conocer la legislación y normativa▪ Cumplir como vía para lograr confianza y mejorar el nivel de

ciberseguridad




Marco normativo




Obligatorio▪ Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de

carácter personal (LOPD) y su Reglamento de desarrollo ▪ Ley 34/2002 de servicios de la sociedad de la información y de

comercio electrónico (LSSI)▪ Ley General 9/2014, de 9 mayo, de telecomunicaciones (LGT)▪ Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto

3/2010, de 8 de enero (modificado por el Real Decreto 951/2015, de 23 de octubre)

▪ Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (PIC)

Marco normativoLOPD▪ Datos de carácter personal (personas identificadas o identificables)▪ Ficheros▪ Medidas de seguridad (básico, medio, alto)▪ Documento de seguridad▪ Propietario de los datos▪ Responsable del fichero▪ Encargado de tratamiento▪ Agencia Española de Protección de Datoshttps://www.agpd.es/




https://www.agpd.es/

Marco normativo

LOPD




• Una ley así lo dispone.• Cuando el tratamiento responde a la libre y legítimaaceptación de una rel. jurídica, …• Destinatarios: Defensor del Pueblo, Jueces,Tribunales, …• Datos relativos a la salud (urgencia, estudiosepidemiológicos, …)• Entre AA.PP. mismas competencias, fines históricos,científicos y estadísticos, …

RECOGIDA TRATAMIENTO COMUNICACIÓN/ACCESO A DATOS

Recogida de datospersonales

susceptibles de tratamiento

Calidad de losdatos

Información expresa, precisa e inequívoca

Seguridadde los datos

Deber desecreto

• Consentimiento del interesado• Funciones legítimas del cedente y cesionario• Disociación

Contrato

ENCARGADOTRATAMIENTO

Acceso a losdatos porterceros

CANCELACIÓN

Bloqueo

Tratamiento de los datos

Cancelación

Medidas técnicas y organizativas

Derecho de in-formación

Consentimiento

Consentimientodel afectado

Ejercicio de losDerechos ARCO

Interesado

Respuesta al ejercicio de losderechos ARCO

Cuando una ley así lo dispone.Cuando los datos son recogidos parael ejercicio de las funciones propiasde las Administraciones públicas en elámbito de sus competencias.

Interesado

Marco normativo

LOPD




Ficheros automatizadosMedidas de seguridad RDLOPD

Ficheros no automatizados

Básico Medio Alto Básico Medio Alto

Documento de seguridad

Funciones y obligaciones del personal

Registro de incidencias

Control de acceso

Gestión de soportes

Copias de seguridad y restauración

Identificación y autenticación

Responsable de seguridad

Control de acceso físico

Auditoría

Registro de acceso

Telecomunicaciones

Criterios de archivo

Dispositivos de almacenamiento

Custodia de soportes

Almacenamiento de la información

Control de copias de documentación

Acceso a la documentación

Traslado de documentación

Marco normativo

LSSI▪ Servicios de la sociedad de la información y comercio electrónico▪ Actividades económicas por internet u otros medios telemáticos▪ Página Web: información y cookies▪ Correo electrónico: consentimiento, “Publicidad”, baja gratuita y

sencilla▪ Comercio electrónico: protección del consumidor▪ Agencia Española de Protección de Datoshttp://www.lssi.gob.es/




http://www.lssi.gob.es/

Marco normativo

LGT▪ Explotación de las redes y la prestación de los servicios de

comunicaciones electrónicas y los recursos asociados▪ Garantizar un adecuado nivel de seguridad (disponibilidad,

integridad y confidencialidad)▪ Reducir el impacto de los incidentes de seguridad▪ Garantizar la protección de los datos personales▪ Ministro de Industria, Energía y Turismo




Marco normativo

ENS▪ Sistemas de información para derechos y deberes públicos▪ Administraciones Públicas y proveedores con impacto▪ Medidas de seguridad▪ Niveles▪ Autodeclaración o certificación▪ Centro Criptológico Nacionalhttps://www.ccn-cert.cni.es/ens.html




https://www.ccn-cert.cni.es/ens.html

Marco normativo

PIC▪ Electricidad, gas, petróleo, nuclear, financiero, agua, transporte

marítimo, transporte aéreo, transporte ferroviario, transporte por carretera, industria química e industria del espacio

▪ Planes: estratégico sectorial, de seguridad del operador y de protección específicos

▪ Centro Nacional para la Protección de las Infraestructuras Críticashttp://www.cnpic.es/




http://www.cnpic.es/

Marco normativo




Voluntario▪ ISO/IEC 27001:2013. Sistemas de Gestión de la Seguridad de la

Información. Requisitos▪ ISO/IEC 27032:2012. Guidelines for cybersecurity▪ ISO/IEC 27035:2016. Information security incident management▪ ISO 22301:2012. Sistema de gestión de la continuidad del negocio.

Especificaciones▪ Payment Card Industry Data Security Standard (PCI DSS)

Marco normativo




Voluntario

Marco normativo




ISO/IEC 27001▪ Requisitos ("debe") para establecer, implementar, documentar,

operar, monitorizar, revisar, mantener y mejorar▪ Certificable▪ Independiente del tipo, tamaño o actividad▪ Enfoque por procesos y mejora continua▪ Controles de seguridad (Anexo A)▪ No se pueden excluir requisitos en los capítulos 4 al 10http://www.iso27000.es/

http://www.iso27000.es/

Marco normativo




ISO/IEC 27032▪ Ciberespacio▪ Ciberseguridad▪ Partes interesadas▪ Activos, amenazas, vulnerabilidades y controles

Marco normativo




ISO/IEC 27035▪ Detectar, informar y evaluar los incidentes▪ Responder y gestionar los incidentes▪ Detectar, evaluar y gestionar las vulnerabilidades▪ Mejorar continuamente la seguridad de la información

Marco normativo




ISO 22301▪ Mejorar la continuidad de negocio▪ Gestión de la crisis y de la recuperación▪ Análisis de impacto de negocio▪ Planes de contingencia▪ Pruebas▪ Revisión y mejorahttps://www.youtube.com/watch?v=h7DdkUuqvY8

https://www.youtube.com/watch?v=h7DdkUuqvY8

Marco normativo




Número de organizaciones certificadas (2016)▪ ISO 9001 = 1.105.937▪ ISO 14001 = 346.147▪ ISO 27001 = 33.290▪ ISO 20000-1: 4.537▪ ISO 22301: 3.853

Marco normativo

PCI DSS▪ Procesan, almacenan y/o transmiten datos de titulares de tarjeta▪ Asegurar dichos datos, con el fin de evitar fraudes▪ Medidas de seguridadhttps://www.pcisecuritystandards.org/




https://www.pcisecuritystandards.org/

Marco normativo

Europa▪ Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6

de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (NIS)

▪ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD)




Marco normativo

NIS▪ Homogenización▪ Estrategia nacional en la materia▪ Red de Equipos de Respuesta a Incidentes de Seguridad Informática

(CSIRT)▪ Requisitos de seguridad para operadores de servicios esenciales y

proveedores de servicios digitales▪ Obligaciones para las autoridades nacionales competentes de cada

Estado miembro, de los puntos de contacto únicos y los CSIRT




Marco normativo

RGPD▪ Registro de actividades de tratamiento▪ Información clara y sencilla▪ Consentimiento expreso▪ Derechos (olvido, portabilidad)▪ Encargados de tratamiento▪ Análisis de riesgos▪ Evaluación de impacto▪ Violaciones de seguridad▪ Delegado de protección de datoshttps://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php




https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Marco normativo

Conclusiones▪ Mucha normativa▪ Obligatoria y voluntaria▪ Beneficios▪ Entidades de control




Análisis de riesgos


Objetivos▪ Inventario y valoración de activos▪ Impacto de las amenazas▪ Identificación de las vulnerabilidades▪ Identificación de las medidas de seguridad▪ Procedimiento del análisis de riesgos





Proceso1. Definir el alcance2. Identificar los activos3. Identificar las amenazas4.Identificar las vulnerabilidades5.Identificar las medidas de seguridad6.Evaluación del riesgo





1. Definir el alcance▪ ¿Qué vamos a proteger?





2. Identificar los activos▪ Información y todo lo que la maneja o contiene (hardware, software,

comunicaciones, personas, proveedores, personas y medios auxiliares)

▪ Valoración (impacto directo e indirecto)▪ Inventario





3. Identificar las amenazas▪ Magerit:

▪ Desastres naturales▪ De origen industrial▪ Errores y fallos no intencionados▪ Ataques intencionados

Ver “Amenazas-tipo de activo v.1.xls”. Magerit v.3




Análisis de riesgos3. Identificar las amenazas. En el ciberespacio▪ Malware o código malicioso (virus, gusanos, troyanos, spyware, scareware,

ransomware)▪ Botnets▪ Exploit (0 day)▪ Ataques DDoS▪ Phishing, spear phising▪ Spam▪ Ingeniería social▪ Sexting, grooming, cyberbullying▪ APT▪ RogeAP





3. Identificar las amenazas. Vectores de ataque▪ e-mail▪ Webs▪ Dispositivos infectados▪ Enlaces comprometidos▪ Redes sociales▪ P2P▪ Software▪ Conectividad





3. Identificar las amenazas. Actores▪ Amistosos:

▪ Agentes del orden▪ Hackers éticos▪ Investigadores

▪ Malintencionados:▪ Ciber vándalos (script kiddies), activistas, terroristas, criminales▪ Ciberactivistas▪ Empleados y ex▪ Estados▪ Empresas





3. Identificar las amenazas. Motivaciones▪ Beneficio económico▪ Venganza▪ Reconocimiento





4. Identificar las vulnerabilidades▪ Software no actualizado▪ Falta de concienciación▪ Desorganización▪ Carencia de procedimientos de control de acceso▪ Programación no segura▪ OWASP Top 10https://www.youtube.com/watch?v=6I0bcclJ8-A▪ No configuración adecuada, …




https://www.youtube.com/watch?v=6I0bcclJ8-A


5. Identificar las medidas de seguridad




Políticas

Organización

Recursos humanos

Activos

Acceso

Criptografía

Física y del entorno

Operaciones

Comunicaciones

Adquisición, desarrollo y mantenimiento

Proveedores

Incidentes

Continuidad del negocio

Cumplimiento


5. Identificar las medidas de seguridad. En el ciberespacio▪ Concienciación▪ Organización▪ Políticas, normativas y procedimientos▪ Cláusulas de confidencialidad▪ Antimalware y antifraude▪ Software actualizado y de confianza▪ Control de acceso lógico▪ Copias de seguridad▪ Conectividad de confianza y solo en caso de necesidad▪ Protección de la información▪ Uso diligente de dispositivos portátiles





6. Evaluación de riesgos▪ Riesgo = probabilidad x impacto▪ Riesgo tolerables y no tolerables





6. Evaluación de riesgos





6. Evaluación de riesgos





Conclusiones▪ https://www.youtube.com/watch?v=knxhzpNFWGI▪ Activos de información▪ Amenazas, vulnerabilidades y medidas de seguridad▪ Cadena tan fuerte como el eslabón más débil




https://www.youtube.com/watch?v=knxhzpNFWGI

Gestión de riesgos

Gestión de riesgos

Objetivos▪ Estrategias▪ Medidas de seguridad




Gestión de riesgos

Estrategias▪ Asunción▪ Eliminación▪ Mitigación▪ Transferencia




Gestión de riesgos

Mitigación. Medidas de seguridad▪ Selección▪ Diseño▪ Planificación▪ Implantación▪ Medición y mejora




Gestión de riesgos

Mitigación. Medidas de seguridad




Gestión de riesgos




Mitigación. Medidas de seguridad▪ 14 dominios, 35 objetivos de control y 114 controles

Políticas

Organización

Recursos humanos

Activos

Acceso

Criptografía

Física y del entorno

Operaciones

Comunicaciones

Adquisición, desarrollo y mantenimiento

Proveedores

Incidentes

Continuidad del negocio

Cumplimiento

Gestión de riesgos





5 Políticas de seguridad de la información5.1 Dirección de la gestión de la seguridad de la información5.1.1 Políticas de seguridad de la información5.1.2 Revisión de las políticas de seguridad de la información

Gestión de riesgos




Mitigación. Medidas de seguridad6 Organización de la seguridad de la información6.1 Organización interna6.1.1 Roles y responsabilidades relativas a la seguridad de la información6.1.2 Separación de tareas6.1.3 Contacto con las autoridades6.1.4 Contacto con grupos de especial interés6.1.5 Seguridad de la información en la gestión de proyectos6.2 Dispositivos móviles y teletrabajo6.2.1 Política de dispositivos móviles6.2.2 Teletrabajo

Gestión de riesgos




Mitigación. Medidas de seguridad7 Seguridad ligada a los recursos humanos7.1 Antes del empleo7.1.1 Investigación de antecedentes7.1.2 Términos y condiciones de contratación7.2 Durante el empleo7.2.1 Responsabilidades de la Dirección7.2.2 Concienciación, formación y capacitación en seguridad de la información7.2.3 Proceso disciplinario7.3 Cese del empleo y cambio de puesto de trabajo7.3.1 Terminación o cambio de responsabilidades laborales

Gestión de riesgos




Mitigación. Medidas de seguridad8 Gestión de activos8.1 Responsabilidad sobre los activos8.1.1 Inventario de activos8.1.2 Propiedad de los activos8.1.3 Uso aceptable de los activos8.1.4 Devolución de activos8.2 Clasificación de la información8.2.1 Clasificación de la información8.2.2 Etiquetado de la información8.2.3 Manejo de activos8.3 Manipulación de los soportes8.3.1 Gestión de soportes extraíbles8.3.2 Retirada de soportes8.3.3 Transferencia de soportes físicos

Gestión de riesgos




Mitigación. Medidas de seguridad9 Control de acceso9.1 Requisitos de negocio para el control de acceso9.1.1 Política de control de acceso9.1.2 Acceso a redes y servicios en red9.2 Gestión del acceso de usuario9.2.1 Altas y bajas de usuarios9.2.2 Gestión de derechos de acceso de los usuarios9.2.3 Gestión de derechos de acceso especiales9.2.4 Gestión de la información secreta de autenticación de usuarios9.2.5 Revisión de derechos de acceso de usuario9.2.6 Terminación o revisión de los privilegios de acceso9.3 Responsabilidades de usuario9.3.1 Uso de la información secreta de autenticación9.4 Control de acceso al sistema y a las aplicaciones9.4.1 Restricción del acceso a la información9.4.2 Procedimientos seguros de inicio de sesión9.4.3 Gestión de las contraseñas de usuario9.4.4 Uso de los recursos del sistema con privilegios especiales9.4.5 Control de acceso al código fuente de los programas

Gestión de riesgos





10 Criptografía10.1 Controles criptográficos10.1.1 Política de uso de los controles criptográficos10.1.2 Gestión de claves

Gestión de riesgos




Mitigación. Medidas de seguridad11 Seguridad física y del entorno11.1 Áreas seguras11.1.1 Perímetro de seguridad física11.1.2 Controles físicos de entrada11.1.3 Seguridad de oficinas, despachos e instalaciones11.1.4 Protección contra las amenazas externas y de origen ambiental11.1.5 Trabajo en áreas seguras11.1.6 Áreas de carga y descarga11.2 Equipos11.2.1 Emplazamiento y protección de equipos11.2.2 Instalaciones de suministro11.2.3 Seguridad del cableado11.2.4 Mantenimiento de los equipos11.2.5 Retirada de materiales propiedad de la empresa11.2.6 Seguridad de los equipos fuera de las instalaciones11.2.7 Reutilización o retirada segura de equipos11.2.8 Equipo de usuario desatendido11.2.9 Política de puesto de trabajo despejado y pantalla limpia

Gestión de riesgos




Mitigación. Medidas de seguridad12 Gestión de operaciones12.1 Responsabilidades y procedimientos de operación12.1.1 Documentación de los procedimientos de operación12.1.2 Gestión de cambios12.1.3 Gestión de capacidades12.1.4 Separación de los entornos de desarrollo, prueba y operación12.2 Protección contra el código malicioso12.2.1 Controles contra el código malicioso12.3 Copias de seguridad12.3.1 Copias de seguridad de la información12.4 Registro y monitorización12.4.1 Registro de eventos12.4.2 Protección de la información de los registros12.4.3 Registros de administración y operación12.4.4 Sincronización del reloj12.5 Control del software en explotación12.5.1 Instalación de software en sistemas operacionales12.6 Gestión de las vulnerabilidades técnicas12.6.1 Gestión de las vulnerabilidades técnicas12.6.2 Restricciones a la instalación de software12.7 Consideraciones sobre la auditoría de los sistemas de información12.7.1 Controles de auditoría de los sistemas de información

Gestión de riesgos




Mitigación. Medidas de seguridad13 Seguridad de las comunicaciones13.1 Gestión de la seguridad de las redes13.1.1 Controles de red13.1.2 Seguridad de los servicios de red13.1.3 Segregación de redes13.2 Transferencia de información13.2.1 Políticas y procedimientos de transferencia de información13.2.2 Acuerdos de transferencia de información13.2.3 Mensajería electrónica13.2.4 Acuerdos de confidencialidad o no divulgación

Gestión de riesgos




Mitigación. Medidas de seguridad14 Adquisición, desarrollo y mantenimiento de los sistemas14.1 Requisitos de seguridad de los sistemas de información14.1.1 Análisis y especificación de los requisitos de seguridad de la información14.1.2 Aseguramiento de los servicios de aplicaciones en las redes públicas14.1.3 Protección de las transacciones de servicios de aplicación14.2 Seguridad en los procesos de desarrollo y soporte14.2.1 Política de desarrollo seguro14.2.2 Procedimientos de control de cambios en el sistema14.2.3 Revisión técnica de las aplicaciones tras efectuar cambios en la plataforma14.2.4 Restricciones a los cambios en los paquetes de software14.2.5 Principios para la ingeniería de sistemas seguros14.2.6 Entorno de desarrollo seguro14.2.7 Externalización del desarrollo de software14.2.8 Pruebas de seguridad del sistema14.2.9 Pruebas de aceptación del sistema14.3 Datos de prueba14.3.1 Protección de los datos de prueba

Gestión de riesgos





https://www.youtube.com/watch?v=d44q98TkYnQ

15 Relaciones con proveedores15.1 Seguridad de la información en las relaciones con proveedores15.1.1 Política de seguridad de la información en las relaciones con proveedores15.1.2 Tratamiento de la seguridad en contratos con proveedores15.1.3 Cadena de suministro de tecnologías de la información y comunicaciones15.2 Gestión de los servicios prestados por terceros15.2.1 Supervisión y revisión de los servicios prestados por terceros15.2.2 Gestión del cambio en los servicios prestados por terceros

https://www.youtube.com/watch?v=d44q98TkYnQ

Gestión de riesgos





https://www.youtube.com/watch?v=-TtVDO0qc9M

16 Gestión de incidentes de seguridad de la información16.1 Gestión de incidentes de seguridad de la información y mejoras16.1.1 Responsabilidades y procedimientos16.1.2 Notificación de eventos de seguridad de la información16.1.3 Notificación de puntos débiles de seguridad16.1.4 Evaluación y decisión respecto de los eventos de seguridad de la información16.1.5 Respuesta a incidentes de seguridad de la información16.1.6 Aprendizaje de los incidentes de seguridad de la información16.1.7 Recopilación de evidencias

https://www.youtube.com/watch?v=-TtVDO0qc9M

Gestión de riesgos





https://www.youtube.com/watch?v=Mrw8lGd-1hY

17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio17.1 Continuidad de la seguridad de la información17.1.1 Planificación de la continuidad de la seguridad de la información17.1.2 Implementación de la continuidad de la seguridad de la información17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad de la información17.2 Redundancia17.2.1 Disponibilidad de los medios de procesamiento de información

https://www.youtube.com/watch?v=Mrw8lGd-1hY

Gestión de riesgos





18 Cumplimiento18.1 Cumplimiento de los requisitos legales y contractuales18.1.1 Identificación de la legislación aplicable y requisitos contractuales18.1.2 Derechos de propiedad intelectual (DPI)18.1.3 Protección de los documentos de la organización18.1.4 Protección de datos y privacidad de la información de carácter personal18.1.5 Regulación de los controles criptográficos18.2 Revisiones de seguridad de la información18.2.1 Revisión independiente de la seguridad de la información18.2.2 Cumplimiento de las políticas y normas de seguridad18.2.3 Comprobación del cumplimiento técnico

Gestión de riesgos




End point security▪ Antimalware▪ Cifrado▪ Backup▪ Identificación y autenticación (multifactor)▪ Bloqueo de dispositivos▪ Borrado remoto▪ Software autorizado y actualizado▪ Protección de conectividad inalámbrica▪ Políticas y normativas▪ Concienciación y formación

https://www.youtube.com/watch?v=HuwOrqqXz6U

https://www.youtube.com/watch?v=HuwOrqqXz6U

Gestión de riesgos




Comunicaciones▪ Internet▪ VPN▪ Firewall▪ e-mail. https://www.youtube.com/watch?v=7HjDyI4SCvA▪ Voz IP▪ IDS/IPS▪ Anti DDoS

https://www.youtube.com/watch?v=7HjDyI4SCvA

Gestión de riesgos




Seguridad en la nube▪ https://www.youtube.com/watch?v=froNtPljZpk

https://www.youtube.com/watch?v=froNtPljZpk

Gestión de riesgos




Incidentes▪ Evento que afecta a la seguridad▪ Cómo actuar:

▪ Preparación▪ Detección y análisis▪ Contención, resolución y recuperación▪ Acciones posteriores al cierre

▪ CERT/CSIRT

Gestión de riesgos




Auditorías▪ Internas▪ Hacking ético▪ Análisis forense

Gestión de riesgos

Conclusiones▪ Estrategias▪ Medidas de seguridad




Ciberseguridad, continuidad de negocio y calidad

[email protected]

Documents

SGSI ISO/IEC 27001 - Consultoría colaborativa · Objetivos Comprender los aspectos fundamentales Entender el marco normativo Analizar y gestionar los ciberriesgos Documento público