AS04006 Proyecto Integrador de TI Actividad 12. Planeación y organización de la función de seguridad. 1 Modelo de procesos de seguridad de información (ejemplo) Administración Desarrollo de de Normas y Políticas Continuidad de negocio Control de accesos Respuesta a incidentes 2 1
Nivel de Madurez Desarrollo del programa de seguridad de información Despliegue de estrategia (ejemplo) ++++ +++ Primera Evaluación ISO7799 Respuesta Incidentes Business Continuity Certificado IS027001 ++ Inicial Organización Política Normas Adm. Estrategia Incidentes Evaluaciones Control de Acceso Procesos Críticos de Seguridad de información tiempo 3 Desarrollo de Política Política Corporativa Directriz Políticas Específicas Email, Internet, Redes, Intranet,.. Políticas Estándares Externos (Tecnologías, RFC IEEE) Recomendaciones Best Practices SANS, CERT, AT&T Estándares Internos Guías Baselines Mec.Tec Normatividad Amenazas Específicas Procedimientos Procedimientos Procedimientos Procedimientos Procedim ientos 4 2
Emails Posters Inducción Campañas Medición (exámenes) Firmas de políticas Premios a los que reporten incidentes 5 Administración de Entradas Activos Amenazas (consecuancias) Vulnerabilidades Análisis, Evaluación y Tratamiento de Subprocesos Determinar probabilidad del escenario de riesgo Identificar impacto al negocio Identificar afectación en CID Validar estatus de amenazas Salidas iniciales Plan de tratamiento de Consolidar todo Calcular inciales y Tratamiento de Carta de aceptación de 6 3
Equipo de Respuesta a Incidentes 7 Control de Accesos He gastado medio día reseteando passwords Me tengo que firmar a 11 aplicaciones cada día Me han solicitado 42 accesos de usuarios y los auditores de SOX están acechando Me despidieron hace 4 meses y tengo todavía acceso al sistema de clientes Me contrataron hace dos semanas y todavía estoy esperando accesos a los sistemas 8 4
BCM (Business Continuity Management) Plan de Continuidad BCP (Business Continuity Plan) DRP (Disaster Recovery Plan) Transacciones No Capturadas Declaración De Desastre Recuperación de Registros Vitales Traslado Restauración Del Sistema IPL & Activación de la Red Restauración de BD s Recreación de Transacciones Recuperación Tradicional Recuperación a partir de Registros Vitales (Sist. Operativo, DBMS, Aplicaciones y Datos) Data Shadowing *Elimina los de la Recuperación de Datos (incluye Protección de Transacciones) Hot Standby *Restauración Inmediata (incluye Data Shadowing) 24 12 0 12 24 36 48 60 72 84 Tiempo (Hrs) 9 Incidente Orientación Técnica: Orientación de Procesos: Desarrollo de Política Administración de Respuesta a Incidentes Control de Accesos BCP BCP6 Porcentaje de BCP de procesos de negocios que son auditados Fórmula = X bcp9*100/x bcp7 IRM2 ERI7 CA6 Porcentaje de que son aceptados y que no les ha expirado la fecha de aceptación Fórmula = (X irm3*100/x irm1 Porcentaje de incidentes de Severidad 4 que ocurren en un tiempo determinado. Fórmula = (X eri10*100)/x eri5 Porcentaje de sistemas con restricciones al personal de acceso Fórmula = X ca12*100/x ca1 IRM1 Porcentaje de activos que se les aplicó un análisis de en un período de 1 año Fórmula = (X irm2*100)/x irm1 10 5