Wondershare EdrawMind
Galería de mapas mentales CISSP-1-Seguridad y Gestión de Riesgos
CISSP-1-Seguridad y Gestión de Riesgos
Mapa mental de certificación profesional de seguridad de sistemas de información CISSP, los contenidos principales incluyen la base de gestión de gestión de riesgos y seguridad de la información, el marco del sistema de seguridad y gobernanza de la seguridad, la estrategia de seguridad de la información, la gestión de riesgos de seguridad organizacional y del personal, la ley, la ética, el cumplimiento, los requisitos de BCP y DRP.
Editado a las 2021-11-10 12:10:04,
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- 科学者-銭雪仙
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
CISSP-1-Seguridad y Gestión de Riesgos
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- プロジェクト管理プロセステンプレート
プロジェクトマネジメントとは、専門的な知識、スキル、ツール、方法論をプロジェクト活動に適用し、限られたリソースの制約の中で、プロジェクトが設定された要件や期待を達成、またはそれ以上にできるようにするプロセスである。 この図は、プロジェクトマネジメントプロセスの8つの構成要素を包括的に示したものであり、一般的なテンプレートとして利用することができる。
- 科学者-銭雪仙
世界的に著名な科学者、航空力学者、中国有人宇宙飛行の創始者、中国科学院および中国工程院の院士、「二元一星勲章」受章者、「中国宇宙飛行の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケットの王」として知られる。 中国宇宙の父」、「中国ミサイルの父」、「中国自動制御の父」、「ロケット王」として知られる。
- Recomendados
- Resumen
![Establecimiento e implementación de un sistema de gestión de seguridad de elementos de gestión de seguridad [Versión práctica]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-17/1715972819/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Establecimiento e implementación de un sistema de gestión de seguridad de elementos de gestión de seguridad [Versión práctica]
![Establecimiento e implementación de un sistema de gestión de seguridad de elementos de gestión de seguridad [Versión práctica]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-17/1715977926/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Establecimiento e implementación de un sistema de gestión de seguridad de elementos de gestión de seguridad [Versión práctica]
![Discos de ruptura para instalaciones de seguridad [Resumen Normativo]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-17/1715978685/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Válvula de seguridad del dispositivo de seguridad [versión principio de funcionamiento]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-17/1715978802/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Válvula de seguridad del dispositivo de seguridad [versión principio de funcionamiento]
![Válvulas de seguridad para instalaciones de seguridad [Resumen Normativa]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-17/1715978827/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
![Elaboración de procedimientos operativos [Versión integrada de leyes y reglamentos]](https://edrawcloudpublicus.s3.amazonaws.com/work/5169481/2024-5-18/1716003150/thumb.png?x-oss-process=image/resize,w_300,m_lfit)
Elaboración de procedimientos operativos [Versión integrada de leyes y reglamentos]
Gobernanza de la seguridad de la información y gestión de riesgos
seguridad de la información y Conceptos básicos de gestión de riesgos
información
definición
Manejo del ciclo de vida
seguridad de información El principio básico
Confidencialidad (confidencialidad)
Garantizar que la información se almacene, utilice y transmita. No será divulgado a usuarios o entidades no autorizados.
integridad (integridad)
Prevenir la manipulación no autorizada;
Evitar que los usuarios autorizados modifiquen información de forma inapropiada
Mantener la coherencia interna y externa de la información.
interno
externo
Disponibilidad (disponibilidad)
Asegurar el uso normal de la información y los recursos por parte de usuarios o entidades autorizadas. No se negarán excepciones, permitiendo el acceso confiable y oportuno a la información.
Triplete opuesto PAPÁ
Divulgación
Modificación
Destrucción
seguridad de información Tecnologías relacionadas con la CIA
Confidencialidad,C
Cifrado de datos (disco completo, cifrado de base de datos)
Cifrado de datos de transmisión (IPSec, SSL, PPTP, SSH)
Control de acceso (controles físicos y técnicos)
integridad, yo
Hash (datos completos)
firma de código
Gestión de configuración (sistema completo)
Control de cambios (proceso completo)
Control de acceso (controles físicos y técnicos)
firma digital de software
Función de verificación CRC de la transmisión (se puede utilizar para múltiples capas de transmisión de red)
Disponibilidad,A
Matriz redundante de discos (RAID)
grupo
balanceo de carga
Datos redundantes y líneas eléctricas
Copia de seguridad de software y datos
imagen de disco
Ubicación e instalaciones fuera del sitio.
función de reversión
Configuración de conmutación por error
controlar de forma segura
Maneras y medios
control administrativo
Desarrollar estrategias, estándares, medidas y directrices.
Gestión de riesgos
seguridad del personal
Capacitación en concientización sobre seguridad.
control técnico (Control lógico)
Implementar y mantener mecanismos lógicos de control de acceso.
Gestión de contraseñas y recursos.
Métodos de identificación y autenticación.
equipo de seguridad
Control físico
Medidas para controlar el acceso individual a las instalaciones y a los diferentes departamentos (control de acceso, seguridad, cerraduras)
Perímetro de protección (vallas, muros, iluminación)
Detección física de intrusiones
control ambiental
efecto
función de control
Prevención (disuasión), detección, corrección/recuperación (copia de seguridad, BCP, DRP) Compensación (Control)
Conceptos básicos de gestión de riesgos de seguridad de la información
Gobernanza, Gestión de Riesgos y Cumplimiento (GRC)
Garantía
marco de gestión de riesgos
Gobernanza de la seguridad y marco del sistema de seguridad
Marco de referencia de control de seguridad
Control de TI, COBIT
"Control Interno - Marco General", COSO Marco de gestión del control interno empresarial
definido para satisfacer la presentación de informes financieros y Cinco tipos de elementos de control interno para objetivos de divulgación
control medioambiental
Evaluación de riesgos
actividades de control
Información y comunicación
monitor
Un marco para que muchas organizaciones aborden el cumplimiento de SOX 404
Gestión de Servicios de TI, ITIL (Marco de Mejores Prácticas)
ITIL es un marco de gestión de servicios de TI personalizable
Estándar de gestión de servicios de tecnología de la información (ISO/IEC 20000)
5 etapas principales
estrategia de servicio
diseño de servicio
transición de servicio
Operación de servicio
Mejora continua del servicio
Zachman
Marco empresarial TOGAF
Marco de arquitectura de seguridad de SABSA
Referencia de controles de seguridad, NIST SP 800-53r4
Marco de control de seguridad de infraestructura crítica de 2014: Marco de seguridad cibernética del NIST
Gestión del desarrollo de software CMMI (Capítulo 8)
MMC
Inicial, Repetible, Definido, Gestionado, Optimizando
CMMI
Inicial, Gestionado, Definido, Gestionado Cuantitativamente, Optimizando
Gestión de seguridad de la información.
Dos factores para el éxito o el fracaso de la seguridad de la información: tecnología y gestión
ISO27001 (seguridad de información estándares del sistema de gestión)
Derivado de BS7799, BS7799-1 corresponde a ISO27002, BS7799-2 corresponde a ISO27001
Un conjunto integral de controles que consta de las mejores prácticas de seguridad de la información.
Versión 2013, 14 dominios, 35 categorías, 114 controles
Modelo de Gestión de Seguridad de la Información
modelo PDCA
Plan
Con base en los resultados de la evaluación de riesgos, los requisitos legales y reglamentarios y el negocio organizacional, Determinar los objetivos de control y las medidas de control en función de las necesidades operativas.
Implementar, hacer
Implementar controles de seguridad seleccionados.
Controlar
De acuerdo con las políticas, procedimientos, normas y leyes y reglamentos, Realizar controles de cumplimiento sobre la implementación de medidas de seguridad.
Medidas, Ley
Tomar contramedidas basadas en los resultados de la inspección para mejorar las condiciones de seguridad.
rendimiento de seguridad de la información
ISO27004
Política de seguridad de la información, seguridad organizacional y del personal.
estrategia de seguridad
Jerarquía de documentos de seguridad
política (Las políticas cambian con menos frecuencia, los procedimientos cambian con más frecuencia)
Declaración más general sobre seguridad de la información
Un compromiso de la alta dirección de asumir la responsabilidad de la seguridad de la información.
Describir qué y objetivos proteger
estándar
Establecer un mecanismo de cumplimiento para la implementación de políticas.
guía
Al igual que los estándares, los métodos para fortalecer la seguridad del sistema son recomendaciones.
Línea de base de seguridad
Cumplir con el nivel mínimo de requisitos de seguridad requeridos por la política.
Procedimiento (trámite/pasos/trámites)
Pasos detallados para realizar una tarea específica (específica)
El procedimiento es una descripción detallada (CÓMO) de los pasos específicos para realizar la tarea de protección.
organización de seguridad
Alta Dirección (Dirección Ejecutiva/CEO, CFO, COO)
Totalmente responsable de la seguridad de la información y responsable final de la seguridad de la información.
Planificar la seguridad de la información, determinar objetivos y secuencias limitadas y delegar responsabilidades de seguridad de la información.
Aclarar los objetivos y políticas de seguridad de la información para guiar la dirección de las actividades de seguridad de la información.
Proporcionar recursos para actividades de seguridad de la información.
Tomar decisiones sobre asuntos importantes.
Coordinar la relación entre diferentes eslabones en diferentes unidades de la organización.
experto en seguridad de la información
Responsable de implementar y mantener la seguridad según lo delega la alta dirección (normalmente al CIO)
Diseñar, implementar, gestionar y revisar las políticas, estándares, directrices y procedimientos de seguridad de la organización.
Coordinar todas las interacciones relacionadas con la seguridad entre unidades dentro de la organización.
Director de información, CIO
Supervisar y ser responsable de las operaciones técnicas diarias de la empresa.
Director de seguridad, CSO
Garantizar que los activos de información empresarial estén debidamente protegidos
Desempeñar el rol de coordinador y facilitador interno de seguridad de la información.
Necesidad de comprender los objetivos comerciales de la organización y guiar el proceso de gestión de riesgos. Garantizar el equilibrio adecuado entre las operaciones comerciales y los riesgos aceptables.
Responsabilidades específicas:
Presupuesto para actividades de seguridad de la información.
Elaboración de estrategias de desarrollo, procedimientos, líneas base, estándares y lineamientos.
Desarrollar un programa de concientización sobre seguridad.
Participar en reuniones de gestión.
Ayudar con auditorías internas y externas.
Comité Directivo de Seguridad
Los miembros están compuestos por personas de todos los departamentos de la organización, incluidos los líderes del CEO, el CFO, el CIO, los gerentes de departamento y los auditores internos principales.
Reunirse al menos una vez al trimestre con una agenda clara
Responsabilidades:
Definir el nivel de riesgo aceptable de una organización.
Determinar objetivos y estrategias de seguridad.
Abordar las necesidades empresariales determina la prioridad de las actividades de seguridad
Revisar la evaluación de riesgos y los informes de auditoría.
Supervisar el impacto empresarial de los riesgos de seguridad
Examen de los accidentes nucleares que implican graves violaciones de la seguridad
Aprobar cualquier cambio significativo en las políticas y planes de seguridad.
El comité de auditoría
Nombrado por el Consejo de Administración para ayudarle a revisar y evaluar las operaciones internas de la empresa, los sistemas de auditoría interna y la transparencia y exactitud de los estados financieros.
Responsable:
La integridad de los estados financieros y la información financiera de la empresa.
El sistema de control interno de la empresa.
Empleo y desempeño de auditores independientes
Desempeño de la función de auditoría interna
Cumplir con los requisitos legales y políticas de la empresa relacionados con la ética.
comité de gestión de riesgos
Comprender los riesgos de la organización en su conjunto y ayudar a la alta dirección a reducir los riesgos a niveles aceptables.
Estudie los riesgos comerciales generales, no solo los riesgos de seguridad de TI
plan de seguridad
La construcción de seguridad de la información de la organización debe llevarse a cabo de acuerdo con el plan y el plan de gestión de seguridad debe ser de arriba hacia abajo.
Responsabilidades:
La alta dirección define la política de seguridad organizacional
La capa intermedia completa las políticas de seguridad con estándares, líneas base, directrices y procedimientos, y monitorea su ejecución.
Los gerentes comerciales y especialistas en seguridad son responsables de implementar allí las configuraciones desarrolladas en la documentación de la unidad de seguridad.
Los usuarios finales son responsables de cumplir con todas las políticas de seguridad de la organización.
tipo
Plan estratégico, Plan estratégico
Plan a largo plazo, por ejemplo 5 años.
, relativamente estable, define los objetivos y la misión de la organización
plan táctico, plan táctico
Plan a mediano plazo, por ejemplo 1 año
Una descripción detallada de las tareas y avances hacia el logro de las metas establecidas en el plan estratégico, Como planes de empleo, planes presupuestarios, etc.
plan de operación, plan operativo
Planes a corto plazo, muy detallados y actualizados con frecuencia.
Actualizaciones mensuales o trimestrales como planes de formación, planes de implementación de sistemas, etc.
Seguridad del personal (Capítulo 7)
Responsabilidades del personal
propietario de los datos
Responsable de gestionar un determinado departamento comercial y responsable de la protección y aplicación de información específica.
Tener el deber de “debido cuidado”
Responsabilidades
Determinar la clasificación de los datos.
Definir los requisitos de seguridad y los requisitos de respaldo para cada clasificación.
Definir pautas de acceso de usuarios
Rol empresarial en lugar de rol técnico
Responsable de datos (custodio)
El papel del departamento de TI o de seguridad
Responsabilidades
Realizar copias de seguridad periódicas de los datos
Verifique periódicamente la integridad de los datos
Copia de seguridad para restaurar datos
Implementar políticas, estándares y directrices de seguridad de la información de la empresa para la seguridad de la información y la protección de datos.
propietario del sistema
Responsable de uno o más sistemas, cada uno de los cuales puede contener y procesar datos propiedad de diferentes propietarios de datos.
Responsable de integrar factores de seguridad en aplicaciones y sistemas.
Garantizar que se evalúen las vulnerabilidades del sistema.
Adoptar medidas de seguridad adecuadas para garantizar la seguridad del sistema.
administrador de seguridad
Responsable de implementar, monitorear y hacer cumplir las regulaciones y políticas de seguridad.
Informe al Comité de Seguridad y Oficial de Seguridad de la Información
Auditor de Sistemas de Información
Verificar el sistema para determinar si se cumplen los requisitos de seguridad y si los controles de seguridad son efectivos.
Proporcionar garantía independiente para la gestión de objetivos de seguridad.
analista de seguridad
Ayudar a desarrollar políticas, estándares y directrices y establecer puntos de referencia.
Principalmente a nivel de diseño, no a nivel de implementación.
usuario
Tener conciencia de seguridad de las aplicaciones, cumplir con las políticas de seguridad, utilizar el sistema de manera adecuada y reportar incidentes de seguridad.
Control de contratación de personal
verificación de antecedentes
Reduzca los riesgos, reduzca los costos de contratación y reduzca la rotación de empleados
Evaluación de habilidades
acuerdo de confidencialidad
Proteja la información confidencial de la empresa
Control de personal en el puesto de trabajo.
Segregación de deberes
Ninguna persona debería tener control total de una tarea sensible, valiosa o crítica de principio a fin.
Propósito: Menos oportunidades de fraude o error
Ejemplo:
En las transacciones financieras, una persona es responsable de ingresar, la segunda es responsable de verificar y la tercera es responsable de confirmar la transacción final.
Desarrollo/Mantenimiento de Producción, Gestión de Seguridad/Operaciones/Auditoría, Gestión de claves de cifrado/cambios de claves
segmentación del conocimiento
privilegios mínimos
Permisos mínimos necesarios para asignar responsabilidades
Rotación de trabajo
No permita que una persona mantenga una posición fija durante demasiado tiempo para evitar que las personas obtengan demasiado control.
Configurar respaldo de personal para facilitar la capacitación cruzada y detectar fraude
licencia obligatoria
Obligar al personal sensible del departamento a tomar licencia puede detectar eficazmente fraude, modificación de datos, abuso de recursos, etc.
Control de salida de personal
Deshabilitar los derechos de acceso para el personal dimitido
Reciclaje de artículos identificables.
Control de personal de terceros
Si el tercero no está presente pero tiene derechos de administrador
Se deben firmar acuerdos de confidencialidad con organizaciones e individuos de terceros.
Monitorear todas las actividades laborales de terceros.
Asegúrese de que la identidad del personal externo se verifique al acceder
Si un tercero está presente y tiene derechos de administrador
Sobre la base de las medidas anteriores, se realizarán verificaciones adicionales de antecedentes del personal.
El personal externo abandona el sitio y necesita recuperar los permisos pertinentes.
Agregue requisitos de confidencialidad y términos comerciales relacionados a los términos del contrato con terceros.
Concientización, capacitación y educación en materia de seguridad.
Educación
Dotar a los profesionales de la seguridad de las competencias profesionales necesarias para trabajar.
Forma:
Orientación teórica, seminarios, lectura y estudio, investigación.
conocimientos de seguridad
"Por qué"
Capacitación
Enseñar habilidades laborales relacionadas con la seguridad, principalmente al personal de gestión y mantenimiento de sistemas de información.
Forma:
Orientación práctica, conferencias, estudios de casos, experimentos.
adquirir conocimientos
"Cómo hacer"
Conciencia
La conciencia colectiva general entre los empleados de una organización sobre la importancia de la seguridad y los controles.
Forma:
Vídeo, medios, carteles, etc.
Enviar mensaje
"Qué es"
Gestión de riesgos
concepto:
Identificar y evaluar riesgos, reducir los riesgos a niveles aceptables, Implementar mecanismos apropiados para mantener este nivel de proceso.
Un entorno 100% seguro no existe, la gestión de riesgos sí lo es. Equilibrio beneficio/coste, seguridad/usabilidad
Riesgo = Amenaza * Vulnerabilidad * Valor del activo
Riesgo = posibilidad * impacto
Elementos relacionados
Activos: Activos de información que tienen valor para la organización.
Puede causar daños a los activos o a la organización. Posibles causas de un incidente de seguridad
amenazar
Modelado de amenazas (PASO)
El modelado de amenazas tiene un enfoque estructurado para Las amenazas que pueden afectar al sistema se identifican y evalúan sistemáticamente.
Para ver quién es más probable que quiera atacarnos, puedes empezar con una lluvia de ideas. Piensa violentamente en cómo pueden lograr sus objetivos y luego Proponer contramedidas para prevenir este tipo de ataques.
vulnerabilidad (vulnerabilidad)
Una vulnerabilidad o debilidad que existe en un activo o grupo de activos que puede ser explotada por una amenaza. Debilidades que, una vez explotadas, pueden causar daños a los activos
riesgo
La posibilidad de que una amenaza específica cause daño a un activo o grupo de activos al explotar las debilidades de un activo.
posibilidad
Influencia
Consecuencias, daños o perjuicios directos o indirectos causados a una organización por un evento inesperado
medidas de seguridad
Controles o contramedidas que limitan eventos inesperados previniendo amenazas y minimizando vulnerabilidades. Mecanismos, métodos y medidas para reducir los riesgos a través del impacto y otros medios.
riesgo residual
Riesgos que persisten después de que se han implementado las medidas de seguridad
Evaluación de riesgos (Evaluación)
misión principal:
Identificar elementos que suponen riesgos.
Evaluar la probabilidad y el impacto de un riesgo y, en última instancia, evaluar el nivel o tamaño del riesgo.
Determinar la capacidad de la organización para resistir el riesgo.
Determinar estrategias, objetivos y prioridades para la reducción y control de riesgos.
Recomendar contramedidas de mitigación de riesgos para su implementación.
método
Evaluación de riesgos (ISO27005)
Identificar riesgos
Analizar riesgos
Evaluar el riesgo
NIST SP800-30 y SP800-66
Enfoque cualitativo de RA, centrado en el riesgo de TI
1. Clasificación del sistema; 2. Identificación de debilidades; 3. Identificación de amenazas; 4. Identificación de contramedidas; 5. Evaluación de posibilidades; 6. Evaluación de impacto; 7. Evaluación de riesgos; 8. Recomendación de nuevas contramedidas; 9. Informe documental;
OCTAVA
Una especificación autónoma de evaluación de riesgos de seguridad de la información basada en los riesgos de los activos de información. Hace hincapié en estar impulsado por activos y consta de 3 etapas y 8 procesos.
El enfoque OCTAVE implementa programas de gestión de riesgos en toda la organización y se integra con los planes de seguridad.
Abarrotar
Procesos básicos: identificación y evaluación de activos; evaluación de amenazas y vulnerabilidades; selección y recomendaciones de contramedidas;
FRAP
Preseleccionados para centrarse solo en aquellos sistemas que realmente requieren evaluación para reducir costos y tiempo.
Situación presupuestaria limitada
STA
Cree un árbol de todas las amenazas que puede enfrentar un sistema. Las ramas pueden representar cosas como amenazas cibernéticas. Categorías como amenazas físicas y fallas de componentes requieren podar las ramas no utilizadas al realizar RA.
FEMA
Derivado del análisis de hardware. Examinar el fallo potencial de cada componente o módulo y examinar el impacto del fallo.
AS/Nueva Zelanda 4360
Un método australiano de evaluación de riesgos que no se utiliza específicamente para fines de seguridad.
proceso de evaluación
Identificar activos de información
Identificar al propietario, custodio y usuario de cada activo.
Establecer una lista de activos e identificar activos de información basados en procesos de negocio.
La forma en que existen los activos de información.
Datos electrónicos: bases de datos y archivos de datos, manuales de usuario, etc.
Contratos escritos: contratos, directrices estratégicas, documentos archivados, resultados comerciales importantes.
Activos de software: software de aplicación, software de sistema, herramientas de desarrollo, programas de software
Activos físicos: medios magnéticos, energía y aire acondicionado, infraestructura de red, servidores, etc.
Personal: una persona o función con capacidades y responsabilidades específicas.
Servicios: servicios de informática y comunicaciones, servicios de subcontratación, otros servicios técnicos
Imagen y reputación organizacional: activos intangibles
Evaluar activos de información
Factores de evaluación
pérdida directa causada por daño
El costo de recuperación de activos, incluidos los costos físicos y de mano de obra de detección, control y reparación.
Pérdida de imagen pública y reputación de la organización, pérdida de ventaja competitiva.
Otras pérdidas, como el aumento de los costos de seguro.
Clasificar los activos según su importancia (impacto o consecuencias), Considere también las posibles consecuencias de comprometer la confidencialidad, integridad y disponibilidad.
Identificar y evaluar amenazas.
Un activo puede enfrentar múltiples amenazas y una amenaza puede afectar múltiples activos.
Identificar fuentes de amenazas
Amenaza al personal
Amenazas del sistema
amenazas ambientales
amenazas naturales
La evaluación de la probabilidad de una amenaza tiene en cuenta la motivación y las capacidades de la fuente de la amenaza.
Identificar y evaluar las debilidades.
Posibles vulnerabilidades explotables para cada activo
debilidad técnica
debilidades operativas
debilidad gerencial
vía de identificación
Informes de auditoría, informes de prácticas, informes de inspección de seguridad, informes de prueba y evaluación de sistemas.
Herramientas automatizadas de escaneo de vulnerabilidades
Evaluación de riesgos (Evaluación)
Impacto del riesgo
probabilidad de riesgo
estrategia de gestión de riesgos
Métodos de tratamiento de riesgos.
Mitigar/reducir/debilitar el riesgo (Mitigar/Reducir el Riesgo) (medidas de control superior)
reducir las amenazas
Implementar controles de código malicioso
reducir las debilidades
Fortalecer las capacidades de operación segura a través de capacitación en concientización sobre seguridad.
reducir el impacto
Planificación de recuperación ante desastres y continuidad del negocio planificar y hacer copias de seguridad
evitar riesgos (Evitar/Riesgo)
riesgo de transferencia (Riesgo de transferencia) (subcontratación/compra de seguro)
aceptar riesgo (Aceptar riesgo)
Estrategias de selección de medidas de control de riesgos.
Análisis coste-beneficio
Principio básico: el costo de implementar medidas de seguridad No debe ser mayor que el valor del bien a proteger.
Costo de las contramedidas: costo de compra, impacto en la eficiencia empresarial , mano de obra y recursos materiales adicionales, costes de formación, costes de mantenimiento, etc.
Valor del control = ALE antes del control - ALE después del control - Costo anual del control
Restricciones
limitaciones de tiempo, limitaciones técnicas, limitaciones ambientales
restricciones legales, restricciones sociales
Funciones básicas y eficacia de las medidas de protección.
Evaluar el riesgo residual
Riesgos que permanecen o permanecen después de implementar controles de seguridad
Riesgo residual Rr = riesgo original R0 - efectividad del control R
Riesgo residual <= riesgo aceptable Rt
Evaluación de riesgos cuantitativa
El análisis de riesgos cuantitativo intenta proporcionar todos los elementos del proceso de análisis de riesgos. se les dan números específicos y significativos
Costo de las medidas de protección, valor de los activos, impacto comercial, frecuencia de las amenazas Cada elemento, incluida la eficacia de las medidas de protección y la probabilidad de explotación de la vulnerabilidad, Se cuantifican y finalmente se calculan el riesgo total y el riesgo residual.
Pasos del análisis cuantitativo:
Asignar valor a los activos
Estimar las pérdidas potenciales para cada amenaza.
Evaluar amenazas y vulnerabilidades y evaluar amenazas específicas El impacto en un activo específico, es decir, EF (0% ~ 100%)
Realizar análisis de amenazas
Calcular la proporción anual de ocurrencia (ARO)
Frecuencia de ocurrencia: ARO (Tasa Anual de Ocurrencia)
Calculado para cada activo y amenaza. Expectativa de pérdida única (SLE) de
SLE (expectativa de pérdida única) = valor del activo (valor del activo) × EF (factor de exposición)
Calcule las pérdidas anuales potenciales para cada amenaza
Expectativa de pérdida anual (ALE) calculada por amenaza
ALE = SLE × ARO
Evaluación cualitativa de riesgos
Considere varios escenarios en los que pueden ocurrir riesgos y evalúelos en función de diferentes perspectivas. Clasificación de la gravedad de diversas amenazas y la eficacia de diversas contramedidas
técnicas de análisis cualitativo
Juicio, mejores prácticas, intuición y experiencia.
Técnicas de análisis cualitativo para la recogida de datos.
Métodos de toma de decisiones en grupo, Delphi.
preguntas de la encuesta
examinar
Entrevista
Comparación de métodos cualitativos y cuantitativos.
Los métodos y resultados cualitativos son relativamente subjetivos.
Los métodos cualitativos no pueden establecer un valor monetario para el análisis de costo/beneficio
Los métodos cuantitativos requieren muchos cálculos y son difíciles de implementar.
Clasificación de la información y gestión jerárquica.
Propósito: Describir el nivel de protección de confidencialidad, integridad y disponibilidad requerido para cada conjunto de datos.
Dependiendo de la sensibilidad de la información, la empresa adopta diferentes medidas de control de seguridad. Garantizar que la información esté protegida adecuadamente y priorizar la protección de seguridad (evitando al mismo tiempo la sobreprotección)
compañía de negocios
confidencial
privacidad
sensible
público
establecimiento militar
ultra secreto (Ultra secreto)
Secreto
confidencial (Confidencial)
Sensible pero no clasificado
sin categoría
Legal, Ética, Cumplimiento
Crimen informático
Características del delito informático:
Es difícil investigar y recopilar pruebas, y éstas se destruyen fácilmente.
Las leyes pertinentes están incompletas
Características interregionales
Estadísticamente hablando, los insiders tienen más probabilidades de cometer delitos.
Las instituciones victimizadas a veces no informan por temor a afectar las operaciones normales de la institución y dañar la confianza de los usuarios en la institución.
Tipos de delitos informáticos
crimen asistido por computadora
Uso de una computadora como herramienta para ayudar en la comisión de un delito; Las computadoras no son un factor necesario en la delincuencia, pero sirven como herramientas para ayudar a los delincuentes.
Crimen dirigido por computadora
Delitos contra los ordenadores, las redes y la información almacenada en estos sistemas
Crimen relacionado con computadora
La computadora no es necesariamente el atacante o la víctima, Simplemente estaba involucrado en el ataque cuando ocurrió.
leyes relacionadas con la informática
Sistema legal
ley común
ley civil
derecho penal
ley administrativa
sistema de derecho civil
sistema de derecho común
sistema legal religioso
sistema jurídico mixto
Ley de Propiedad Intelectual
Secreto comercial
La capacidad de la empresa para competir o comercializar es fundamental.
No muy conocida, la empresa invirtió recursos y esfuerzos relevantes para desarrollar
Recibir la protección adecuada de la empresa para evitar la divulgación o el uso no autorizado.
Ejemplo:
la distribución del producto
Código fuente del programa
Algoritmo de cifrado
Derechos de autor
Derechos legalmente protegidos para publicar, copiar, exhibir y modificar públicamente la mayoría de las obras.
No protege la creatividad de la obra, sino la expresión de la creatividad.
Ejemplo:
Código de programa, código fuente y archivos ejecutables, incluso interfaces de usuario.
literatura
cuadro
melodía de la canción
marca comercial
Protege palabras, nombres, símbolos, formas, sonidos, colores que representan la imagen de la empresa.
Las marcas comerciales generalmente se registran en una agencia de registro de marcas.
Una marca registrada es una marca de calidad y credibilidad establecida por una empresa en sus operaciones de mercado.
patentar
Reconocimiento legal de la propiedad de una patente por parte de un solicitante de registro de patente o de una empresa, prohibiendo el uso no autorizado por parte de otros o empresas
La patente tiene una validez de 20 años.
Ejemplo:
formulaciones de medicamentos
Algoritmo de cifrado
Clasificación de software
software libre
shareware
software de código abierto
software comercial
software académico
privacidad
objetivo de procesamiento
Busca proteger proactivamente la información de identificación personal (PII) de los ciudadanos
Buscar de manera proactiva equilibrar las necesidades gubernamentales y empresariales con las preocupaciones de seguridad relacionadas con la recopilación y el uso de PII.
privacidad personal
tipo:
derecho a ser dejado solo
Protección contra derechos irrazonables contra individuos
El derecho a decidir qué información personal se puede difundir y a quién.
Cuestiones a tener en cuenta:
Para evitar infracciones irrazonables, lo fundamental es el consentimiento informado y las medidas de protección adecuadas.
Para evitar la falta de métodos adecuados, lo fundamental es "imparcialidad y justicia" y existe un mecanismo de corrección de errores.
Principios de uso de información personal
Obligaciones del Responsable del Tratamiento de Datos Personales
La recopilación de datos personales requiere el consentimiento del interesado y la notificación de la finalidad.
Solo recopile datos relacionados con el propósito y uso y guárdelos solo por el período requerido para el propósito.
Métodos de recopilación de datos Métodos para la finalidad de los datos
Tomar medidas razonables, técnicas, administrativas y operativas para evitar que la información personal sea infringida maliciosamente, Garantice la integridad y confidencialidad de los datos y borre los datos obsoletos para evitar el acceso de quienes no necesitan realizar un trabajo relevante.
Obligaciones y derechos de los interesados
Revisar la información recopilada y corregir errores.
Filtración de datos
Cada incidente de seguridad debe ir seguido de una investigación para determinar si hubo una violación de datos.
ética
Código de Ética ISC2
Proteger la sociedad, los intereses públicos y la infraestructura, y ganarse la confianza pública necesaria. Ser honesto, honesto, justo, responsable y respetuoso de la ley. Promover el desarrollo de la industria y mantener la reputación profesional. Diligente, responsable y profesional.
Asociación de ética informática
Comité de Investigación de Arquitectura de Internet
mito del crimen informático
Requisitos de BCP y DRP
Descripción general de BCP/DRP (Capítulo 7)
¿Qué es el desastre?
Accidentes repentinos y desafortunados que provocan grandes pérdidas.
incluir:
Desastres naturales, como terremotos, inundaciones, incendios naturales, erupciones volcánicas y clima convectivo severo.
Sistema/técnico, como hardware, interrupciones de software, errores de sistema/programación
Sistemas de suministro, cortes de comunicaciones, fallas en el sistema de distribución, roturas de tuberías
Provocado por el hombre, explosión, incendio, vandalismo, contaminación química, código dañino
Actividades políticas, terroristas, disturbios, huelgas.
desastre organizacional
Para una organización, cualquier cosa que resulte en la ejecución de funciones comerciales críticas. Se consideran desastres los eventos que no pueden llevarse a cabo dentro de un período de tiempo determinado.
Características:
Corte de servicio no planificado
Interrupción prolongada del servicio
La interrupción no se puede resolver mediante los procedimientos normales de gestión de problemas.
Las perturbaciones causan pérdidas importantes
dos elementos
La criticidad de las funciones comerciales afectadas por la interrupción.
duración de la interrupción
Plan de Recuperación de Desastres, DRP
Objetivos de recuperación ante desastres
Reducir el impacto de un desastre o interrupción del negocio
Tome las medidas necesarias para garantizar que los recursos, las personas y los procesos comerciales se restablezcan lo más rápido posible.
tienden a prestar más atención al nivel de TI
Plan de Continuidad del Negocio, BCP
objetivos de continuidad del negocio
Garantizar que la organización aún pueda mantener las operaciones comerciales frente a diversas situaciones.
Resolver problemas desde una perspectiva a más largo plazo, proporcionando principalmente métodos y medidas para paradas de producción a largo plazo y eventos de desastre.
Objetivo objetivo
Proporcionar una respuesta oportuna y adecuada en caso de emergencia.
Proteger vidas y garantizar la seguridad
Reducir el impacto en los negocios
Restaurar funciones comerciales críticas
Reducir el caos durante los desastres
Garantizar la viabilidad empresarial
Póngase en marcha rápidamente después de un desastre
BCP debe ser coherente con los objetivos comerciales de la organización y ser parte del proceso general de toma de decisiones.
El BCP debe ser parte del programa de seguridad de la organización y coordinarse con otros elementos del programa de seguridad.
Estándares y mejores prácticas
NISTSP800-34
Desarrollar una estrategia (política) de planificación de la continuidad.
Realizar análisis de impacto empresarial (BIA)
Determinar métodos de control preventivo.
Desarrollar una estrategia de recuperación.
Desarrollar BCP
Prueba BCP
Mantener el plan de continuidad del negocio.
ISO27031
ISO22301
Planificación de proyectos BCP
Actividades preparatorias antes del lanzamiento del proyecto BCP
Determinar las necesidades de BCP, que pueden incluir análisis de riesgos específicos. para identificar posibles interrupciones en los sistemas críticos
Comprender las leyes, regulaciones, normas de la industria y el negocio de la organización relevantes. y requisitos de planificación técnica para garantizar que el BCP sea consistente con
Designar un líder de proyecto de BCP y establecer un equipo de BCP que incluya representantes de los departamentos comerciales y técnicos.
Desarrollar un plan para la dirección del proyecto, que debe definir claramente el alcance, los objetivos y Métodos, responsabilidades, tareas y avances.
Celebrar una reunión de inicio del proyecto para obtener apoyo de la dirección.
Determinar las herramientas de automatización necesarias para recopilar datos.
Capacitación en habilidades necesarias y actividades de sensibilización para las instalaciones.
Líder de proyecto BCP
Como líder del proyecto BCP, el coordinador de continuidad del negocio es totalmente responsable de la planificación del proyecto, Preparación, formación y otros trabajos.
tareas de trabajo
Comunicación y enlace entre el equipo de desarrollo del programa y la dirección.
El derecho al contacto directo y la comunicación con todos los involucrados en el plan.
Comprender completamente el impacto de la interrupción del negocio en el negocio de la organización.
Familiarizado con las necesidades y operaciones de la organización y la capacidad de equilibrar las diferentes necesidades de los departamentos relevantes de la organización.
Acceso más fácil a la alta dirección
Comprender la dirección comercial de la organización y las intenciones de la alta dirección.
Capacidad para influir en las decisiones de la alta dirección.
Funciones clave en el proyecto BCP
Equipo de recuperación, múltiples equipos que realizan evaluación, recuperación, restauración y otros trabajos relacionados después de un desastre.
Los representantes de las unidades de negocios identifican las funciones comerciales críticas de la organización y ayudan en la selección y el desarrollo de estrategias de recuperación.
Departamento de TI
departamento de comunicaciones
Departamento de Seguridad de la Información
representante legal
estrategia BCP
En última instancia, el plan BCP debería formar un marco estratégico de continuidad del negocio. Los términos registrados en el BCP
objetivos, alcance, necesidades
Principios y directrices básicos
Deberes y responsabilidades
Requisitos básicos para enlaces clave
Los términos de la política deben ser aprobados formalmente por la alta dirección y publicados como política organizacional para guiar los esfuerzos de continuidad del negocio.
Análisis de impacto empresarial BIA
Descripción general del análisis de impacto empresarial
Identificar áreas que podrían causar daños significativos o interrupciones operativas en un desastre.
Método de análisis BIA
Análisis cualitativo para determinar el impacto de un desastre o evento de interrupción en términos de gravedad.
Análisis cuantitativo del impacto de un desastre o evento perturbador en términos monetarios
Propósito de BIA
Ayudar a la gerencia a comprender los posibles impactos de la interrupción.
Identificar funciones comerciales clave y los recursos de TI que respaldan estas funciones.
Ayudar a los gerentes a identificar brechas en el apoyo funcional organizacional.
Secuenciar la recuperación de los recursos TI
Analizar el impacto de las interrupciones
Determine las ventanas de recuperación para cada función empresarial
proceso BIA
Identificar técnicas de recopilación de información.
Seleccionar encuestados
Identificar funciones comerciales críticas y sus recursos de apoyo.
Determinar cuánto tiempo sobrevivirían estas características si se perdiera el apoyo de estos recursos.
Identificar debilidades y amenazas.
Calcule el riesgo para cada función empresarial
Prepárese para enviar el informe BIA
Problemas
Sugerencias de respuesta
Análisis de información BIA
Organizar, correlacionar, analizar y confirmar
Herramientas automatizadas cualitativas y cuantitativas. Ayudar en la integración y análisis de la información.
Representante de la empresa verifica y confirma los resultados del análisis de la información.
Determinar el tiempo de interrupción permitido MTD
La tarea principal del análisis de impacto empresarial es identificar funciones empresariales clave y El tiempo de interrupción máximo permitido MTD de sus recursos admitidos.
Los recursos que respaldan múltiples funciones comerciales son más críticos
El tiempo de interrupción excede el tiempo de interrupción máximo permitido (Tiempo de inactividad máximo tolerable) dificultará la restauración del negocio, las funciones o recursos más críticos
Secuenciar la recuperación de funciones comerciales críticas y sus recursos de soporte en función de los MTD.
Determinación de recursos de apoyo
Identificar todos los recursos de soporte para funciones críticas (incluidos los recursos no informáticos), El período de uso del recurso y el impacto de la falta del recurso en la función. e interdependencias entre recursos
Métricas de recuperación ante desastres
Tiempo de recuperación del trabajo, WRT
El tiempo de recuperación del trabajo es relativamente fijo.
Objetivo de tiempo de recuperación, objeto de tiempo de recuperación, RTO
Antes de que la indisponibilidad del sistema afecte gravemente a la organización El tiempo máximo permitido para ser consumido.
Objetivos de punto de recuperación, Objetivos de punto de recuperación, RPO
El punto en el que se deben recuperar los datos para continuar con el procesamiento. Es decir, la cantidad máxima de pérdida de datos permitida.
RTO WRT=MTD