Aplicación de ciclo Deming para la ... - datos.unjfsc.edu.pe
¿Qué hace un técnico de ciberseguridad en una...
Transcript of ¿Qué hace un técnico de ciberseguridad en una...
![Page 1: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/1.jpg)
https://cybercamp.es
¿Qué hace un técnico de
ciberseguridad en una empresa?
Gonzalo Sánchez Delgado
![Page 3: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/3.jpg)
3
¿Qué hace un técnico de
seguridad de la información
en una empresa?
![Page 4: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/4.jpg)
¿ QUÉ ?
4
¿ PARA QUÉ ?
¿ CÓMO ?
![Page 5: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/5.jpg)
5
“El comercio no trata sobre
mercancías, trata sobre información.
Las mercancías se sientan en el
almacén hasta que la información las
mueve.”
Caroline J. Cherryh
![Page 6: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/6.jpg)
6
Integridad
Disponibilidad
Confidencialidad
![Page 7: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/7.jpg)
¿ QUÉ ?
7
![Page 8: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/8.jpg)
8
SGSISistema de Gestión de la
Seguridad de la Información
![Page 9: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/9.jpg)
9
Ciclo de mejora continua. Ciclo Deming
![Page 10: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/10.jpg)
La seguridad no es un
resultado, es un procesoen sí mismo.
10
![Page 11: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/11.jpg)
11
¿ CÓMO ?
![Page 12: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/12.jpg)
12
SGSISistema de Gestión de la
Seguridad de la Información
ISO/IEC 27001
ISO/IEC 27002
![Page 13: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/13.jpg)
ISO/IEC 27001
Cualquier tipo de organización
13
Especifica requisitos a cumplir no cómo hacerlo.
ISO/IEC 27002
Versatilidad
Guía para la gestión de la SI
Adopción gradual
![Page 14: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/14.jpg)
ISO/IEC 27001
14
• Política de seguridad: directrices generales
• Inventario de activos: propietario/valoración
• Análisis de riesgos: amenazas y vulnerabilidades
Mitigar / Asumir / Transferir / Eliminar
• Gestión de riesgos: aprobada por Dirección
• Documento de aplicabilidad: controles
![Page 15: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/15.jpg)
ISO/IEC 27002
15
Lista de puntos de control:
![Page 16: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/16.jpg)
CASO PRÁCTICO
16
![Page 17: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/17.jpg)
CASO PRÁCTICO
17
1- Identificación de activos:
Nombre Descripción Categoría Ubicación Propietario
Srv-mad-rrhh Servidor
RRHH Madrid
Hardware Madrid Dep TI
2- Valoración del activo (0-4):
Nombre Confidencialidad Integridad Disponibilidad Total
Srv-mad-rrhh 4 3 2 9
![Page 18: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/18.jpg)
CASO PRÁCTICO
18
3- Gestión de riesgos:
Amenaza: nivel de daño de la amenaza sobre el activo
Vulnerabilidad: posibilidad de que ocurra la amenaza sobre
dicho activo
Riesgo Valor activo Nivel de
amenaza (0-3)
Vulnerabilidad
(0-3)
Nivel
Riesgo
Fuego 7 3 3 63
Robo 7 3 1 21
(…) (…) (…) (…) (…)
![Page 19: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/19.jpg)
CASO PRÁCTICO
19
4- Identificación de activos:
Activo Riesgo Tratamiento
Servidor 30 Se asume el riesgo
Servidor 50 Mitigarlo
9. Seguridad física del entorno
9.2 Seguridad de los equipos
9.2.1 Emplazamiento y protección de los equipos
5- ISO/IEC 27002:
![Page 20: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/20.jpg)
PARA QUÉ
Puntos de mejora:
20
Instalar sistemas de extinción por detección
de humo
Instalar sistemas de monitorización de
temperatura
• Revisión de datos periódica de registros
• Revisión de proveedor periódica
![Page 21: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/21.jpg)
PARA QUÉ
Resultado:
21
Riesgo Valor activo Nivel de
amenaza (0-3)
Vulnerabilidad
(0-3)
Nivel
Riesgo
Fuego 7 3 1 21
![Page 22: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/22.jpg)
OTROS CASOS
22
![Page 23: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/23.jpg)
23
Activo: Servidor Web
Riesgo: Ataque hacking
ISO 27002: 10.6.2. Seguridad de los servicios de red
Punto de mejora: Instalación de firewall web
Activo: Red de datos cableada
Riesgo: Intrusión no permitida
ISO 27002: 11.4.6 Control de conexión a las redes
Punto de mejora: Instalación de un IDS/IPS
![Page 24: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/24.jpg)
CONCLUSIÓN
24
![Page 25: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/25.jpg)
¿ Preguntas ?
25
![Page 26: ¿Qué hace un técnico de ciberseguridad en una …securityinside.info/wp-content/uploads/gonzalo_sanchez_delgado.pdf · Ciclo de mejora continua. Ciclo Deming. La seguridad no es](https://reader030.fdocuments.net/reader030/viewer/2022021517/5ba68d1609d3f2ea4f8c2c10/html5/thumbnails/26.jpg)
https://cybercamp.es @CyberCampEs#CyberCamp15