cómo fijar controles de seguridad corporativa (y no morir
TRANSCRIPT
Cómo Fijar Controles de
Seguridad Corporativa
(y no morir en el intento)
Cuando iniciamos un
proceso de
implementación de
seguridad en una
empresa, muchas
veces no tenemos en
claro por donde
comenzar.
Lo importante es
tener en claro qué
vamos a proteger
Lo importante es
tener en claro qué
vamos a proteger
Lo importante es
tener en claro qué
vamos a proteger
Lo importante es
tener en claro qué
vamos a proteger
Lo importante es
tener en claro qué
vamos a proteger
No hay una única
formula para
establecer controles
adecuados
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
Propone un catálogo de 20
grupos de control de
seguridad y privacidad para
ayudar a las agencias y
organizaciones federales de
los EE.UU.
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
PCI-DSS
Propone un catálogo de 20
grupos de control de
seguridad y privacidad para
ayudar a las agencias y
organizaciones federales de
los EE.UU.
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
PCI-DSS
Propone un catálogo de 20
grupos de control de
seguridad y privacidad para
ayudar a las agencias y
organizaciones federales de
los EE.UU.
Describe 12 puntos de
seguridad para implementar
mejores prácticas para
organizaciones que
procesan y almacenan
detalles de tarjetas de pago.
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
SANS
(20 CIS Critical
Security Controls)
PCI-DSS
Propone un catálogo de 20
grupos de control de
seguridad y privacidad para
ayudar a las agencias y
organizaciones federales de
los EE.UU.
Describe 12 puntos de
seguridad para implementar
mejores prácticas para
organizaciones que
procesan y almacenan
detalles de tarjetas de pago.
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
SANS
(20 CIS Critical
Security Controls)
PCI-DSS
Propone un catálogo de 20
grupos de control de
seguridad y privacidad para
ayudar a las agencias y
organizaciones federales de
los EE.UU.
Describe 12 puntos de
seguridad para implementar
mejores prácticas para
organizaciones que
procesan y almacenan
detalles de tarjetas de pago.
Describe 20 controles de
seguridad críticos
proporcionando un enfoque
prioritario y bastante técnico
para obtener resultados
inmediatos de alto impacto.
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
SANS
(20 CIS Critical
Security Controls)
PCI-DSS
ISO/IEC 27001:2013
Propone un catálogo de 20
grupos de control de
seguridad y privacidad para
ayudar a las agencias y
organizaciones federales de
los EE.UU.
Describe 12 puntos de
seguridad para implementar
mejores prácticas para
organizaciones que
procesan y almacenan
detalles de tarjetas de pago.
Describe 20 controles de
seguridad críticos
proporcionando un enfoque
prioritario y bastante técnico
para obtener resultados
inmediatos de alto impacto.
No hay una única
formula para
establecer controles
adecuados
NIST
(800-53 Rev 3)
SANS
(20 CIS Critical
Security Controls)
PCI-DSS
ISO/IEC 27001:2013
Propone un catálogo de 20
grupos de control de
seguridad y privacidad para
ayudar a las agencias y
organizaciones federales de
los EE.UU.
Describe 12 puntos de
seguridad para implementar
mejores prácticas para
organizaciones que
procesan y almacenan
detalles de tarjetas de pago.
Describe 20 controles de
seguridad críticos
proporcionando un enfoque
prioritario y bastante técnico
para obtener resultados
inmediatos de alto impacto.Presenta un enfoque menos
técnico basado en la
gestión de riesgos. Propor-
cionando recomendaciones
en seis fases definidas.
No hay una única
formula para
establecer controles
adecuados
CoBIT v5
Control Objectives
for Information and
related Technology
No hay una única
formula para
establecer controles
adecuados
CoBIT v5
Control Objectives
for Information and
related Technology
Es una guía de mejores
prácticas presentada como
framework, dirigida al
control y supervisión de
tecnología de la información
(TI).
No hay una única
formula para
establecer controles
adecuados
CoBIT v5
Control Objectives
for Information and
related Technology
MGCTI
Manual de Gobierno
y Control de
Tecnologías de
Información
Es una guía de mejores
prácticas presentada como
framework, dirigida al
control y supervisión de
tecnología de la información
(TI).
No hay una única
formula para
establecer controles
adecuados
CoBIT v5
Control Objectives
for Information and
related Technology
MGCTI
Manual de Gobierno
y Control de
Tecnologías de
Información
Es una guía de mejores
prácticas presentada como
framework, dirigida al
control y supervisión de
tecnología de la información
(TI).
Ha sido elaborado con el
objetivo de ofrecer un
framework común para
Entidades Financieras,
fiscalizadas por el Banco
Central del Paraguay.
Integra: CoBIT, ISO 27001,
COSO, ITIL, Prince.
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
8.
Backup y
Recuperación de la Inf.
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
8.
Backup y
Recuperación de la Inf.
9.
Monitoreo y medición
de la seguridad
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
8.
Backup y
Recuperación de la Inf.
9.
Monitoreo y medición
de la seguridad
10.
Protección de Datos
(evite la fuga de inf.)
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
8.
Backup y
Recuperación de la Inf.
9.
Monitoreo y medición
de la seguridad
10.
Protección de Datos
(evite la fuga de inf.)
11.
Respuesta a Incidentes
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
8.
Backup y
Recuperación de la Inf.
9.
Monitoreo y medición
de la seguridad
10.
Protección de Datos
(evite la fuga de inf.)
11.
Respuesta a Incidentes
12.
Seguridad Física
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
8.
Backup y
Recuperación de la Inf.
9.
Monitoreo y medición
de la seguridad
10.
Protección de Datos
(evite la fuga de inf.)
11.
Respuesta a Incidentes
12.
Seguridad Física
13.
Concientización
de Usuarios
Si tuviéramos realizar
un compendio de
todos estos marcos,
estándares y
regulaciones,
podemos identificar
14 controles más
críticos
1.
Gestión de Activos
de TI
2.
Gestión de parches
y actualizaciones
3.
Gestión de Hardening
4.
Gestión de
Vulnerabilidades
5.
Controles de Acceso
6.
Monitoreo de
Registros (logs)
7.
Monitoreo de
recursos de TI
8.
Backup y
Recuperación de la Inf.
9.
Monitoreo y medición
de la seguridad
10.
Protección de Datos
(evite la fuga de inf.)
11.
Respuesta a Incidentes
12.
Seguridad Física
13.
Concientización
de Usuarios
14.
Control de
Regulaciones
1° Conclusión:
No hay un único
camino a seguir
para fijar controles
de seguridad.
2° Conclusión:
Mida el pulso de la
seguridad en su
empresa
permanentemente.
¿Como LNXnetwork
puede ayudar a su
empresa?
¿Como LNXnetwork
puede ayudar a su
empresa?
Consultoría
en Seguridad
¿Como LNXnetwork
puede ayudar a su
empresa?
Consultoría
en Seguridad
Pruebas de Seguridad
(Pentest)
¿Como LNXnetwork
puede ayudar a su
empresa?
Consultoría
en Seguridad
Pruebas de Seguridad
(Pentest)
Auditoría Externa
en Seguridad y TI
¿Como LNXnetwork
puede ayudar a su
empresa?
Consultoría
en Seguridad
Pruebas de Seguridad
(Pentest)
Auditoría Externa
en Seguridad y TI
Auditoría Forense
¿Como LNXnetwork
puede ayudar a su
empresa?
Consultoría
en Seguridad
Pruebas de Seguridad
(Pentest)
Auditoría Externa
en Seguridad y TI
Auditoría Forense
Control de
Cumplimiento
MGCTI, ISO 27001, etc.
¿Como LNXnetwork
puede ayudar a su
empresa?
Consultoría
en Seguridad
Pruebas de Seguridad
(Pentest)
Auditoría Externa
en Seguridad y TI
Auditoría Forense
Control de
Cumplimiento
MGCTI, ISO 27001, etc.
Securización de
Procesos críticos
¿Como LNXnetwork
puede ayudar a su
empresa?
Consultoría
en Seguridad
Pruebas de Seguridad
(Pentest)
Auditoría Externa
en Seguridad y TI
Auditoría Forense
Control de
Cumplimiento
MGCTI, ISO 27001, etc.
Securización de
Procesos críticos
Capacitación
LNXnetwork SRL - Centro de Ethical Hacking & Security
Manuel Ortíz Guerrero nro. 838 e/Tacuarí y Parapití,
Asunción, Paraguay. TEL: (+595 21) 327 4568
WhatsApp (+595 982) 127 524
www.lnxnetwork.com [email protected]