Introducci贸n a la norma ISO 27001

1

Qu茅 aprender谩s sobre la norma ISO 27001

2

Historia de la norma ISO27001

3

Principios generales de la seguridad de la informaci贸n

4

El Sistema de Gesti贸n de Seguridad de la Informaci贸n

Contenido de la norma

5

T茅rminos y definiciones

6

驴En qu茅 consiste la ISO27001?

7

Liderazgo y planificaci贸n

8

Soporte, operaci贸n, evaluaci贸n y mejora

9

Introducci贸n al anexo A

10

脷ltimos elementos del anexo A

Gesti贸n de Riesgos

11

Clasificaci贸n de los activos de informaci贸n

12

Inventario de activos de informaci贸n

13

Laboratorio: construyendo una matriz de activos de informaci贸n

14

Finalizar la revisi贸n de la matriz de activos de informaci贸n

15

Niveles de riesgo

16

Tratamiento de riesgo

17

Los controles

18

Laboratorio: construyendo una matriz de riesgos

19

Revisi贸n de los controles y mapa de calor de la matriz de riesgos

20

Las tres l铆neas de defensa

21

ISO 27001: declaraci贸n de aplicabilidad

Controles de seguridad: Pol铆ticas y controles de acceso

22

Pol铆tica de seguridad de la informaci贸n y gesti贸n de activos

23

Controles de acceso

Controles de seguridad: Operaciones y Comunicaciones

24

Seguridad f铆sica y del entorno, de las operaciones y las comunicaciones

25

Seguridad de las operaciones

26

Seguridad de las comunicaciones

Controles de seguridad: Sistemas de informaci贸n

27

Requisitos de seguridad en sistemas de informaci贸n

28

Laboratorio: aplicar una lista de verificaci贸n

29

Relaci贸n con proveedores

30

Cumplimiento

Auditor铆a

31

驴Qu茅 es auditor铆a?

32

T茅rminos de la auditor铆a

33

Fases de una auditor铆a

34

Resultados de la auditor铆a

35

Laboratorio: realizar el reporte de algunas no conformidades

Gesti贸n de la Continuidad del Negocio

36

BCP, BIA, RTO y RPO

37

Laboratorio: construyendo un BCP para un solo proceso

Cierre del curso

38

Simulacro del examen de certificaci贸n para Auditor Interno ISO 27001

39

Conclusiones y cierre del curso

A煤n no tienes acceso a esta clase

Crea una cuenta y contin煤a viendo este curso

Requisitos de seguridad en sistemas de informaci贸n

27/39
Recursos

Aportes 12

Preguntas 3

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

A14 Adquisici贸n, desarrollo y mantenimiento de los sistemas de informaci贸n
A14.1 Requisitos de seguridad en los sistemas de informaci贸n
A14.1.1 An谩lisis de requisitos y especificaciones de seguridad de la informaci贸n
A14.1.2 Asegurar los servicios de aplicaciones en redes p煤blicas
A14.1.3 Protecci贸n de las transacciones de servicios de aplicaciones
A14.2 Seguridad en el desarrollo y en los procesos de soporte
A14.2.1 Pol铆tica de desarrollo seguro
A14.2.2 Procedimiento de control de cambios en sistemas
A14.2.3 Revisi贸n t茅cnica de las aplicaciones tras efectuar cambios en el sistema operativo
A14.2.4 Restricciones a los cambios en los paquetes de software
A14.2.5 Principios de ingenier铆a de sistemas seguros
A14.2.6 Entorno de desarrollo seguro
A14.2.7 Externalizaci贸n del desarrollo de software
A14.2.8 Pruebas funcionales de seguridad de sistemas
A14.2.9 Pruebas de aceptaci贸n de sistemas
A14.3 Datos de prueba
A14.3.1 Protecci贸n de los datos de prueba

Catalogo de controles de seguridad.
Relacionado con el desarrollo de software.
Debemos de tener en cuneta los siguientes puntos.
Son trece controles, encaminados en el desarrollo de software y apruebas.
1.Debes de tener todo documentado.
2.Estar siempre involucrado.
3. Asegura las redes de todos lados, utiliza mecanismos de seguridad.
4. Protege las transacciones y documentarlas."Utiliza la triada de seguridad"
5.Haz las pol铆ticas de desarrollo."Documento base para auditorias"
6.驴Que gu铆a se debe seguir cuando suceda un cambio?
7.驴Que tipo de restricciones tenemos en las aplicaciones?
8.Optimiza los recursos del 谩rea de desarrollo.
9.A nivel de seguridad hay que desarrollar conciencia en los desarrolladores de c贸digo.
10.Busca un entorno de desarrollo seguro, el desarrollador debe de no tener 鈥渢anta libertad鈥 ojo con los ambientes restrictivos para que sirva el software.
11.Sigue aprendiendo.

T茅cnicas de programaci贸n Segura

  • Validaci贸n de entrada:

    • Verificar que el tipo de dato introducido coincide con el dato que esperamos.
    • Verificar que se ha introducido informaci贸n en aquellos casos que sea obligatorio.
    • Verificar el contenido de la informaci贸n introducida en busca de estructuras que puedan romper nuestro c贸digo.
  • Advertencias del compilador:

    • Verificar que no existen.
    • Solucionar todos los conflictos antes de pasar el programa a producci贸n.
  • Usar pol铆ticas de seguridad:

    • Aplicar niveles de acceso a las secciones de la aplicaci贸n que as铆 lo requieran
  • Sencillez:

    • Evitar estructuras de datos complejas.
    • Evitar clases y m茅todos complejos.
    • Cada clase debe tener una 煤nica funcionalidad.
    • Cada m茅todo debe tener una 煤nica funcionalidad.
    • Los m茅todos deben ser de reducido tama帽o.
  • Denegar acceso por defecto:

    • Aplicar permisos partiendo de la negaci贸n de todos los permisos.
    • Conceder permisos 煤nicamente a los usuarios que tengan derecho a dicho permiso.
  • Sanear datos:

    • Antes de pasar datos a otro sistema verificar el contenido de los mismos.
    • Escapar caracteres especiales antes de almacenar en bases de datos.
  • Aplicar capas de seguridad:

    • Estructurar la aplicaci贸n en capas.
  • Usar t茅cnicas que garanticen la calidad:

    • Realizar test de aplicaci贸n.
    • Auditar el c贸digo fuente.
  • Est谩ndar de codificaci贸n segura:

  • Patrones de dise帽o

Pr谩cticas de programaci贸n Segura

  • A帽adir trazas al c贸digo:

    • Logs que informen de los errores que se pueden ir produciendo.
  • Eliminaci贸n del c贸digo muerto:

    • Verificar las secciones de c贸digo que no se usan en el programa para eliminarlas.
    • No incluir clases que no se usan.
    • No declarar variables que no se utilicen.
  • Independencia de la base de datos:

    • Programar usando alguna librer铆a que permita cambiar de base de datos sin que el c贸digo sufra alteraci贸n alguna.
  • Alto rendimiento:

    • Realizar pruebas de carga.
    • Realizar pruebas de uso de recursos.
  • Limitar el uso de objetos mutables.

  • Limitar la herencia de clases.

  • Limitar el uso de variables y m茅todos p煤blicos:

    • Exponer 煤nicamente los m茅todos y variables estrictamente necesarios para el desempe帽o de la funcionalidad de la clase.
  • Ayudar al recolector de basura:

    • Establecer a null aquellas variables que sepamos que no se van a volver a usar.
    • Cerrar las conexiones de forma manual.
    • Destruir los objetos de forma manual.
  • Uso de bloques try/catch de forma consciente

    • Controlar todas las excepciones que puedan aparecer en una aplicaci贸n.
    • Dar un tratamiento adecuado a cada tipo de excepci贸n.
    • Registrar los errores para ayudar con el proceso de detecci贸n de fallos.
    • Limitar la informaci贸n que se muestra al usuario sobre la excepci贸n ocasionada.
  • Hacer un uso responsable de la serializaci贸n y deserializaci贸n

    • Evitar serializar datos sensibles.
  • Limitar el uso de librer铆as escritas en otros lenguajes.

  • Requisitos de seguridad en sistemas de informaci贸n (software obtenido por un tercero o software de tu misma creada por tu misma organizaci贸n, asegurar el correcto mantenimiento):
    A14. Adquisici贸n, desarrollo y mantenimiento de los sistemas de informaci贸n
    A14.1 Requisitos de seguridad en los sistemas de informaci贸n
    A14.1.1 An谩lisis de requisitos y especificaciones de seguridad de la informaci贸n (dejar en claro los requerimientos y lineamientos para el correcto desarrollo del software, se debe incorporar desde el inicio la seguridad)
    A14.1.2 Asegurar los servicios de aplicaciones en redes p煤blicas (mecanismo de seguridad ante servicios de web services o demas exteriores)
    A14.1.3 Protecci贸n de las transacciones de servicios de aplicaciones (resguardar registros y asegurar la eficiencia)
    A14.2 Seguridad en el desarrollo y en los procesos de soporte
    A14.2.1 Pol铆tica de desarrollo seguro
    A14.2.2 Procedimiento de control de cambios en sistemas (todo debidamente documentado, cuando se solicito y cuando se efectuara)
    A14.2.3 Revisi贸n t茅cnica de las aplicaciones tras efectuar cambios en el sistema operativo (pruebas de estres, pruebas de carga de transaccionalidad)
    A14.2.4 Restricciones a los cambios en los paquetes de software (tener en cuenta las APIs o DLL, deben tener la debida revision tecnica que no genere vulnerabilidades)
    A14.2.5 Principios de ingenier铆a de sistemas seguros
    A14.2.6 Entorno de desarrollo seguro
    A14.2.7 Externalizaci贸n del desarrollo de software (si se hace a nivel de house se debe aplicar todo esto, si se hace a nivel de terceros, se debe asegurar que tambi茅n se aplique)
    A14.2.8 Pruebas funcionales de seguridad de sistemas
    A14.2.9 Pruebas de aceptaci贸n de sistemas
    A14.3 Datos de prueba
    A14.3.1 Protecci贸n de los datos de prueba (el desarrollador no puede estar desarrollando con datos reales ya que pueden suceder algunos incidentes como fuga de informaci贸n rompiendo la integridad)

Muy buena clase, con muchas preguntas aun sin contestar del todo pero ya toca hacer investigacion por nuestra cuenta. Gracias

Es abrumador toda esta informaci贸n鈥 Me gustar铆a conocer la opinion de los encargados de 鈥淢etodolog铆as Agiles鈥濃

Buena clase 鉂わ笍

Este tema es muy importante ya que es la base principal de muchas empresas

A14. Adquisici贸n, desarrollo y mantenimiento de los sistemas de informaci贸n.
A.14.1 Requisitos de seguridad en los sistemas de informaci贸n.
A.14.1.1 An谩lisis de requisitos y especificaciones de seguridad de la informaci贸n.
A.14.1.2 Asegurar los servicios de aplicaciones en redes p煤blicas.
A.14.1.3 Protecci贸n de las transacciones de servicios de aplicaciones.
A.14.2 Seguridad en el desarrollo y en los procesos de soporte.
A.14.2.1 Pol铆tica de desarrollo seguro.
A.14.2.2 Procedimiento de control de cambios en sistemas.
A.14.2.3 Revisi贸n t茅cnica de las aplicaciones tras efectuar cambios en el sistema operativo.
A.14.2.4 Restricciones a los cambios en los paquetes de software
A.14.2.5 Principios de ingenier铆a de sistemas seguros
A.14.2.6 Entorno de desarrollo seguro.
A.14.2.7 Externalizaci贸n del desarrollo de software.
A.14.2.8 Pruebas funcionales de seguridad de sistemas.
A.14.2.9 Pruebas de aceptaci贸n de sistemas
A.14.3 Datos de prueba.
A.14.3.1 Protecci贸n de los datos de prueba