Scribd
Cargar
78 vistas12 páginas

Evaluación de Seguridad ISO 27000 en Data Center

El documento propone evaluar la seguridad de la información de un Data Center mediante una metodología basada en las normas ISO 27000. Los objetivos son analizar las vulnerabilidades actuales, evaluar la confidencialidad, integridad y disponibilidad de los datos, y proponer mejoras a las políticas de seguridad. La metodología incluye identificar riesgos, definir políticas, medir controles e implementar acciones correctivas para mantener un sistema de gestión de seguridad de la información.

Cargado por

carlos caiza
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
78 vistas12 páginas

Evaluación de Seguridad ISO 27000 en Data Center

El documento propone evaluar la seguridad de la información de un Data Center mediante una metodología basada en las normas ISO 27000. Los objetivos son analizar las vulnerabilidades actuales, evaluar la confidencialidad, integridad y disponibilidad de los datos, y proponer mejoras a las políticas de seguridad. La metodología incluye identificar riesgos, definir políticas, medir controles e implementar acciones correctivas para mantener un sistema de gestión de seguridad de la información.

Cargado por

carlos caiza
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd

Justificación e Importancia

Encontrar las posibles debilidades de los mecanismos


de seguridad

Datos críticos (Confidencialidad, Integridad y


Disponibilidad)

Recomendaciones de las buenas prácticas de la ISO


27000
Objetivos

Objetivo General: Evaluar la seguridad


informática, acorde a una metodología y tomando
como referencia las buenas prácticas de las
normas internacionales ISO 27000
Objetivos
Objetivos Específicos:

 Analizar la situación actual del Data Center


 Determinar las posibles vulnerabilidades del Data
Center
 Evaluar en base a las buenas prácticas de las normas
internacionales ISO 27000, verificando la
confidencialidad, disponibilidad e integridad de los
datos
 Proponer una mejora para las políticas de seguridad
 Elaborar el informe final en donde se plasmará todas
las observaciones con los hallazgos obtenidos
Alcance

• Propuesta de mejora a las políticas de seguridad


• Determinación de vulnerabilidades
• Análisis de riesgos
• Cumplimiento regulatorio
Fundamentación Teórica
Delitos informáticos

Seguridad de la Información

Serie 27000

ISO 27001
Metodología
Planificación

Comunicación Análisis de
con el cliente riesgos

Evaluación del Ingeniería


cliente

Construcción y
Adaptación
Metodología
METODOLOGÍA EN
BUENAS PRÁCTICAS DE LAS NORMAS INTERNACIONALES ISO 27000
ESPIRAL DE 6 REGIONES MODELO
ACTIVIDADES PDCA ENTREGABLES
Comunicación con el
Inventariar los activos Inventario de activos
cliente Crear un
Planificación Definir el alcance Sistema de Alcance de la evaluación del proyecto
Analizar y evaluar los riesgos Plan Gestión de la Análisis de riesgos
Identificar amenzas y Información
Analizar los riesgos Lista de amenazas y vulnerabilidades
vulnerabilidades (SGSI)
Identificar impactos Identificación de impactos
Definir de políticas de seguridad Definición de políticas
Definir medidas de tratamiento de
Implementar y Definición de tratamiento de riesgos
Ingeniería riesgos Do
operar
Asignar recursos Asignación de recursos
Tratamiento de riesgos Analizar el tratamiento de riesgos
Medir eficacia de los controles Identificación de controles
Analizar las tendencias Análisis de tendencias
Construcción y Supervisar y
Evaluar Check Evaluación y entrega de informe
Adaptación revisar el SGSI
Revisar los resultados por parte Revisión por parte de los encargados de la
de la Dirección DIRSICOM
Conocer las no conformidades
Mantener y Recomendar acciones correctivas y
Evaluación del Cliente Indicar acciones correctivas y Act
mejorar el SGSI preventivas
preventivas
Evaluación del Data Center
Análisis de Resultados

Análisis de Riesgo promedio actual


Probabilidad de Amenaza

Criminalidad y Sucesos de Negligencia


Político origen físico Institucional

Datos e 6,0 5,7 10,3


Información

Magnitud Sistemas e 3,5 3,3 6,0


de Daño Infraestructura

Personal 2,7 2,5 4,6


Evaluación del Data Center
Análisis de Factores de Riesgo
Sucesos de origen físico

Negligencia Institucional
Datos
Sistemas
Personal
Criminalidad Común
Alto Riesgo
Riesgo Miedo

Riesgo Bajo
Evaluación del Data Center
FASE 3: CHEQUEAR
Medición de eficacia de controles
Nivel de
Controles
Cumplimiento

Procedimientos formales de planeación. Medio

Uso de estándares de programación, identificación, codificación. Bajo

Uso de mecanismos de autenticación. Bajo

Procedimientos documentados, divulgados y aplicados. Bajo

Uso de metodologías de desarrollo de software. Medio

Uso metodologías de definición de requerimientos. Medio

Procedimientos para el control de cambios. Bajo

Acuerdos explícitos de niveles de servicio (ANS). Bajo

Mecanismos de encriptación Bajo

Redundancia en dispositivos y recursos críticos. Medio

Clasificación de la información Medio

Sensores y alarmas de factores ambientales (humo, humedad, temperatura) Medio

Toma física de inventarios de recursos computacionales Medio

Verificadores de licencias Medio


Evaluación del Data Center
Análisis de Tendencias

Ciberamenazas y ataques dirigidos

Móviles, tablets, dispositivos personales


Evaluación del Data Center
FASE 4: ACTUAR
Acciones correctivas y preventivas

Capa de aplicación

Capa de presentación

Capa de sesión

Capa de transporte

Capa de red

Capa de vínculo de datos

Capa física

También podría gustarte