aci - 425 clase_01d planificación, normativas y delitos informáticos
TRANSCRIPT
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
1/12512007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
ACI 425
SEGURIDAD INFORMTICA
Unidad 1:
Principios de Seguridad Informtica
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
2/12522007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Objetivos Especficos de la Unidad
Conocer los conceptos y principios dela seguridad informtica, normativasactuales y diseo bsico de laspolticas de seguridad en base alestado del arte actual.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
3/12532007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Contenidos y Actividades
Caractersticas de la informacin. Seguridad informtica como proceso,
vulnerabilidades y amenazas. Anlisis de riesgos. Ataques, Hackers y crackers. Ciclo de vida de la seguridad informtica Polticas de seguridad. Planes de concientizacin y normas
internacionales.
Normas ISO 17799 y BS 7799-2 Legislacin actual internacional y nacional Delitos informticos
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
4/12542007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Recordemos que:
Activo: recurso del sistema de informacin o relacionado conste, necesario para que la organizacin funcionecorrectamente y alcance los objetivos propuestos.
Amenaza: evento que puede desencadenar un incidente en laorganizacin, produciendo daos materiales o prdidasinmateriales en sus activos.
Impacto: consecuencia de la materializacin de unaamenaza.
Riesgo: posibilidad de que se produzca un Impactodeterminado en un Activo, en un Dominio o en toda laOrganizacin.
Vulnerabilidad: posibilidad de ocurrencia de lamaterializacin de una amenaza sobre un Activo.
Ataque: evento, exitoso no, que atenta sobre el buenfuncionamiento del sistema.
La Vulnerabilidad est ligada a una Amenaza y el Riesgo a unImpacto
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
5/12552007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Sabemos que las amenazas
pueden ser causadas por:
un operador: causa del mayor problema ligado a la seguridadde un sistema informtico (por que no le importa, no se dacuenta o a propsito).
programas maliciosos: programas destinados a perjudicar oa hacer un uso ilcito de los recursos del sistema es instalado(por inatencin o maldad) en el ordenador abriendo una puerta
a intrusos o bien modificando los datos. Estos programaspueden ser un virus informtico, un gusano informtico, untroyano, una bomba lgica o un programa espa o Spyware
un intruso: persona que consigue acceder a los datos oprogramas de los cuales no tiene acceso permitido (cracker,defacer, script kiddie o Script boy, viruxer, etc.)
un siniestro(robo, incendio, inundacin, terremoto): unamala manipulacin o una mala intencin derivan a la prdidadel material o de los archivos.
el personal interno de Sistemas: Las pujas de poder quellevan a disociaciones entre los sectores y solucionesincompatibles para la seguridad informtica.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
6/12562007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Formas de atacar a un sistema:
Existen muchas, y cada da se crean otrasnuevas, pero a modo de clasificacin:
Intrusin
Negacin del servicio
Robo de informacin Hombreen el camino
De replicacin
Fallas y errores de programacin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
7/12572007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Intrusin
Es el ms comn de los ataques. Consiste en que de alguna forma, el atacante
entra en el computador y adquiere privilegios porsobre el software instalado.
Si los privilegios obtenidos son de administrador,
estamos en grave peligro, nuestros datos puedenser cambiados o borrados. Bsicamente, la tcnica consiste en conseguirse
la password de un usuario del computador.
La password puede ser conseguida a travs deprueba y error o utilizando paquetes de softwaresobre los archivos que contienen las password dela red.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
8/12582007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Negacin del servicio
Se trata de un ataque en contra de ladisponibilidad de algn servicio.
Por ejemplo, supongamos que nos envanuna gran cantidad de e-mails, saturando elespacio en disco que para tales efectostiene nuestro servidor de e-mail.
Afortunadamente, no son muy populares: seles encuentra poco deportivo.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
9/12592007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Robo de informacin
Se trata de obtener datos, estando o noconectados al computador.
En algunos casos, basta con suplantar aalguien que si tiene acceso a los datos(ataque activo) o colocar una oreja que
escuche el trfico y de cuenta de algunapassword que se transmiti (ataque pasivo).
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
10/125102007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Hombre en el camino
El atacante intercepta las comunicacionesentre dos partes, haciendo a cada una deellas creer que se comunica con la otra.
Ejemplo: En una comunicacin cliente-servidor, el usuario cree que se comunicacon un servidor cuando en realidad secomunica con el atacante y viceversa.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
11/125112007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
De reproduccin
Un atacante captura las comunicacionesentre dos partes y reproduce los mensajes.
Principalmente, se busca interceptar para
luego analizar la comunicacin.
La idea es que ni el transmisor ni el receptorsupo que alguien lo escucho.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
12/125122007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Fallas y errores de programas
Corresponde a una forma de ataque pasivao involuntaria.
Es una de las mayores amenazas a laseguridad, pues puede hacer que se "caiga"el servidor o el cliente, daar datos opermitir acceso no autorizado.
Los usuarios deben preocuparse de laseguridad asociada a los softwares queutilizan e informarse de los posiblesproblemas de seguridad que pueden tener.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
13/125132007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Tcnicas de ataque
Son muchas y cada da aparecen nuevas.Dentro de las ms conocidas estn:
Engao de IP (Spoofing)
Husmear la red (Sniffing) Negacin de servicios
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
14/125142007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Spoofing
Una mquina suplanta la identidad de otra. Se usa para persuadir a un sistema de que acepte
datos como si vinieran de la fuente original o bienpara recibir datos que debera ir a la mquinasuplantada.
Esta debilidad se debe a que los ruteadores, slomiran la direccin de destino del paquete. Cuando el paquete llega a destino, el receptor
revisa la IP de origen. Si el atacante cambio su IPpor una direccin legtima, ya esta lista la primeraparte del engao.
La segunda parte, consiste en incluir ordenes enla parte TCP del paquete. Estas ordenes puedenser desde bromas, a obtencin de informacin.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
15/125152007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Sniffing
Una mquina intermedia entre receptor ytransmisor, escucha los paquete.
En redes de medio compartido comoEthernet, las tarjetas de red tienen unsegmento de hardware encargado deacceder a todos los datos que viajan por elmedio.
Qu pasa si por la red viajan las passwordsin encriptacin ?
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
16/125162007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Tcnicas de Negacin del Servicio
En un esquema cliente servidor, el computador que hace de
servidor siempre responde a una determinada peticin. Si esta peticin se repite insistentemente, es posible que el
servidor se sature. Un ejemplo clsico es el servidor de e-mails:
Este servicio almacena los e-mails provenientes de otrasredes. El almacenamiento se realiza en un disco hasta que un
usuario interno leay borre su correo. Si llegan rfagas de correo (producto de correo spam
por ejemplo), el disco se satura y el servidor de e-mailsecae.
El problema se puede acrecentar si la saturacin del discoimpide el funcionamiento de otras aplicaciones.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
17/125172007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Seguridad como un proceso
Algunos elementos integrantes son: Software antivirus Controles de acceso Muros de fuego
Tarjetas inteligentes Biometra Deteccin de intrusos Administracin de polticas Exploracin de vulnerabilidades Encriptacin Mecanismos de seguridad fsica
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
18/125
182007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Principios de la seguridadinformtica
Recordemos los tres principios bsicos de laseguridad informtica:1. Acceso ms fcil: El intruso al sistema
utilizar el artilugio que haga ms fcil su
acceso y posterior ataque.2. Caducidad del secreto: Los datosconfidenciales deben protegerse slo hastaque ese secreto pierda su valor como tal.
3. Eficiencia de las medidas tomadas: Lasmedidas de control se implementan paraque tengan un comportamiento efectivo,eficiente, sean fciles de usar y apropiadasal medio.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
19/125
192007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
El anlisis y gestin de riesgos
Tiene como objetivo a proteger la misin de la Organizacin, teniendo encuenta las diferentes dimensiones de la seguridad:
Disponibilidad: o disposicin de los servicios a ser usados cuando seanecesario. La carencia de disponibilidad supone una interrupcin del servicio.La disponibilidad afecta directamente a la productividad de lasorganizaciones.
Integridad: o mantenimiento de las caractersticas de completitud ycorreccin de los datos. Contra la integridad, la informacin puede aparecermanipulada, corrupta o incompleta. La integridad afecta directamente al
correcto desempeo de las funciones de una Organizacin. Confidencialidad: o que la informacin llegue solamente a las personasautorizadas. Contra la confidencialidad o secreto pueden darse fugas yfiltraciones de informacin, as como accesos no autorizados.La confidencialidad es una propiedad de difcil recuperacin, pudiendo minarla confianza de los dems en la organizacin que no es diligente en elmantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes ycompromisos contractuales relativos a la custodia de los datos.
Autenticidad (de quin hace uso de los datos o servicios): o que nohaya duda de quin se hace responsable de una informacin o prestacin deun servicio, tanto a fin de confiar en l como de poder perseguirposteriormente los incumplimientos o errores. Contra la autenticidad se dansuplantaciones y engaos que buscan realizar un fraude. La autenticidad es labase para poder luchar contra el repudio y, como tal, fundamenta el comercioelectrnico o la administracin electrnica, permitiendo confiar sin papeles nipresencia fsica.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
20/125
202007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Pasos en un anlisis de riesgos
1.Identificacin costoposibles prdidas (L)
Identificar amenazas
2.Determinar susceptibilidad.La probabilidad de prdida (P)
3.Identificar posiblesacciones (gasto) y susimplicaciones (B).
Seleccionar acciones aimplementar.
B
P
L ?
Secierrael ciclo
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
21/125
212007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Polticas administrativasProcedimientos administrativos. Polticas de control de acceso
Privilegios de acceso del usuario oprograma.
Polticas de flujo de informacinNormas bajo las cuales se comunican los
sujetos dentro del sistema.
Algunas polticas de seguridad
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
22/125
222007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Polticas administrativasSe establecen aquellos procedimientos decarcter administrativo en la organizacincomo por ejemplo en el desarrollo de
programas: modularidad en aplicaciones,revisin sistemtica, etc.Se establecen responsabilidades
compartidas por todos los usuarios, cadauno en su nivel.
Se procede a la etapa de concienciacin.
Aspectos administrativos
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
23/125
232007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Polticas de control de accesoPoltica de menor privilegio
Acceso estricto a objetos determinados, conmnimos privilegios para los usuarios.
Poltica de compartir Acceso de mximo privilegio en el que cadausuario puede acceder a todos los objetos.
Granularidad
Nmero de objetos accesibles. Se hablaentonces de granularidad gruesa y fina.
Control de accesos
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
24/125
242007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Polticas de control de flujo La informacin a la que se accede, se enva y
recibe por: Canales claros o canales ocultos? Seguros o no?
Qu es lo que hay que potenciar?
La confidencialidad o la integridad? La disponibilidad? ... El no repudio?
Segn cada organizacin y su entorno de trabajo y
servicios ofrecidos, habr diferencias.En algunos sistemas primarn unos ms que otros,en funcin de lo secreta que sea la informacin queprocesan.
Control de flujo
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
25/125
252007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Modelo de Bell LaPadula (BLP)
Rgido. Confidencialidad y con autoridad.
Modelo de Clark-Wilson (CW)
Orientacin comercial: integridad.
Modelo de Take-Grant (TG) Derechos especiales: tomar y otorgar.
Otros: modelo de Goguen-Meseguer (no interferenciaentre usuarios); modelo de Matriz de Accesos (estados
y transiciones entre estados: tipo Graham-Dennig; tipoHarrison-Ruzzo-Ullman), Biba, Chinese Wall, etc.
Modelos de seguridad
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
26/125
262007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
La escritura hacia abajo est prohibida. La lectura hacia arriba est prohibida. Es el llamado principio de tranquilidad.
Lectura hacia arriba prohibida Secreto mximo
Usuario dado de altacon un nivel de secreto Secreto
Escritura hacia abajo prohibida No clasificado
Modelo de Bell y LaPadula
http://en.wikipedia.org/wiki/Bell-LaPadula_model
http://en.wikipedia.org/wiki/Bell-LaPadula_modelhttp://en.wikipedia.org/wiki/Bell-LaPadula_modelhttp://en.wikipedia.org/wiki/Bell-LaPadula_modelhttp://en.wikipedia.org/wiki/Bell-LaPadula_model -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
27/125
272007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Est basado en polticas de integridad Elementos de datos restringidos. sobre stos debe hacerse un chequeo de
consistencia.
Elementos de datos no restringidos. Procedimientos de transformacin.
trata los dos elementos. Procedimientos de verificacin de integridad.
Modelo de Clark Wilson (CW)
http://www.criptored.upm.es/guiateoria/gt_m248c.htm
http://www.criptored.upm.es/guiateoria/gt_m248c.htmhttp://www.criptored.upm.es/guiateoria/gt_m248c.htm -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
28/125
282007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Se describe mediante grafos orientados:
el vrtice es un objeto o sujeto. un arco es un derecho.
Se ocupa slo de aquellos derechos que pueden sertransferidos.
Modelo de Take - Grant (TG)
http://www.criptored.upm.es/guiateoria/gt_m248b.htm
http://www.criptored.upm.es/guiateoria/gt_m248b.htmhttp://www.criptored.upm.es/guiateoria/gt_m248b.htm -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
29/125
292007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Otros modelos:Documentos para lectura
Biba:http://www.criptored.upm.es/guiateoria/gt_m248a.htm
Harrison, Ruzzo y Ullman:
http://www.criptored.upm.es/guiateoria/gt_m248e.htmChinese Wall:
http://www.criptored.upm.es/guiateoria/gt
_m248d.htm Sea View: bases de datos -http://www.criptored.upm.es/guiateoria/gt
_m248f.htm
http://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248e.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htmhttp://www.criptored.upm.es/guiateoria/gt_m248a.htm -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
30/125
302007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Criterio de evaluacin TSEC Trusted Computer System Evaluation Criteria,tambin conocido como Libro naranja (Orange
Book). Criterio de evaluacin ITSEC
Information Technology Security Evaluation Criteria.
Criterio de evaluacin CC Common Criteria: incluye los dos anteriores. Normativa internacional 17799
Desarrolla un protocolo de condiciones mnimas deseguridad informtica de amplio espectro.
Criterios y normativas de seguridad
Encontrar una interesante lectura sobre aplicacin de criterios de seguridad en :
http://www.csi.map.es/csi/criterios/seguridad/index.html
http://www.csi.map.es/csi/criterios/seguridad/index.htmlhttp://www.csi.map.es/csi/criterios/seguridad/index.html -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
31/125
312007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Cadena de responsabilidades
Responsable de Archivo: es la entidad, institucin o
persona jurdica que posee datos de carcterpersonal y que por tanto debe velar por laseguridad de ellos.
Responsable de Tratamiento: es posible que laentidad anterior sea quien manipule los datos(gestin, copias de seguridad, etc.) o bien estatarea la ejecute otra empresa. De ah que sediferencie entre estos dos responsables.
Responsable de Seguridad: persona o personas en
las que el responsable de archivo ha asignadoformalmente la funcin de coordinar y controlar lasmedidas de seguridad aplicables.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
32/125
322007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
La norma ISO 17799 (27001)
Presenta normas, criterios y recomendaciones bsicas
para establecer polticas de seguridad. stas van desde los conceptos de seguridad fsica hasta
los de seguridad lgica. Parte de la norma elaborada por la BSI, British
Standards Institution, adoptada por InternationalStandards Organization ISO y la InternationalElectronic Commission IEC.
Documento de 70 pginas que NO es de libredistribucin.
http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799
Desde finales de 2005 estas normas se estn revisando ycambiando de numeracin a partir del nmero 27001.
P oblemtica q e atae a la
http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799http://www.aenor.es/desarrollo/normalizacion/normas/resultadobuscnormas.asp?campobuscador=17799 -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
33/125
332007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Problemtica que atae a lanorma 17799
Cmo establecer qu entendemos porseguridad?Diferentes criterios de evaluacin de la
seguridad: internos a una organizacin,sectoriales, nacionales, internacionales...
Multitud de estndares aplicables a diferentesniveles:TCSEC (Trusted Computer Security, militar, US, 1985).ITSEC (Information Technology Security, europeo, 1991).Common Criteria (internacional, 1986-1988).*7799 (britnico + internacional, 2000)....
Actualmente, tras adoptar *7799 como estndarinternacional, es el ms extendido y aceptado.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
34/125
342007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Qu es ISO 17799?
ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestin de laseguridad de la informacin dirigidas a losresponsables de iniciar, implantar o mantener laseguridad de una organizacin.
ISO 17799 define la informacin como un activoque posee valor para la organizacin y requierepor tanto de una proteccin adecuada. El objetivode la seguridad de la informacin es protegeradecuadamente este activo para asegurar la
continuidad del negocio, minimizar los daos a laorganizacin y maximizar el retorno de lasinversiones y las oportunidades de negocio.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
35/125
352007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Qu es ISO 17799? (2)
Para ISO 17799, la Seguridad de laInformacin se define como la preservacinde: Confidencialidad. Aseguramiento de que la
informacin es accesible slo para aquellos
autorizados a tener acceso. Integridad. Garanta de la exactitud y
completitud de la informacin y de los mtodosde su procesamiento.
Disponibilidad. Aseguramiento de que losusuarios autorizados tienen acceso cuando lorequieran a la informacin y sus activosasociados.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
36/125
362007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Objetivode la norma ISO 17799
Su objetivo es proporcionar una basecomn para desarrollar normas de seguridaddentro de las organizaciones y ser unaprctica eficaz de la gestin de la seguridad.
La adaptacin espaola de la norma sedenomina UNE-ISO/IEC 17799.
Se trata de una norma NO CERTIFICABLE,pero que recoge la relacin de controles aaplicar (o al menos, a evaluar) paraestablecer un Sistema de Gestin de laSeguridad de la Informacin (SGSI)segn la norma UNE 71502, CERTIFICABLE.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
37/125
372007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Historia
En 1995 el British Standard Institute publica la norma BS
7799, un cdigo de buenas prcticas para la gestin de laseguridad de la informacin. En 1998, tambin el BSI publica la norma BS 7799-2,
especificaciones para los sistemas de gestin de la seguridadde la informacin; se revisa en 2002.
Tras una revisin de ambas partes de BS 7799 (1999), la
primera es adoptada como norma ISO en 2000 y denominadaISO/IEC 17799: Conjunto completo de controles que conforman las buenas
prcticas de seguridad de la informacin. Aplicable por toda organizacin, con independencia de su tamao. Flexible e independiente de cualquier solucin de seguridad
concreta: recomendaciones neutrales con respecto a la tecnologa. En 2002 la norma ISO se adopta como UNE sin apenas
modificacin (UNE 17799), y en 2004 se establece la normaUNE 71502, basada en BS7799-2 (no existe equivalente ISO).
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
38/125
382007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Historia de la norma ISO 17799
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
39/125
392007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Norma UNE-ISO/IEC 17799
La norma UNE-ISO/IEC 17799 define la seguridadde la informacin como la preservacin de...... su confidencialidad. Slo quienes estn autorizados pueden acceder a
la informacin.... su integridad. La informacin y sus mtodos de proceso son
exactos y completos.... su disponibilidad.
Los usuarios autorizados tienen acceso a lainformacin y a sus activos asociados cuando lorequieran.
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
40/125
402007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Qu es gestionar?
Gestionar es llevar a cabo las diligenciasnecesarias para lograr un determinado fin. La gestin de la seguridad consiste en la
realizacin de las tareas necesarias para
garantizar los niveles de seguridad exigibles enuna organizacin.
Algunas consideraciones... Los problemas de seguridad no son nicamente
de ndole tecnolgica. Los riesgos no se eliminan... se gestionan. La seguridad no es un producto, es un proceso.
?
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
41/125
412007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Por qu gestionar?
Garantizar la confidencialidad, integridad ydisponibilidad de sus activos es crtico paracualquier organizacin.
Las nuevas tecnologas introducen nuevas
amenazas. La dependencia creciente de los recursos deTI aumenta los impactos.
No siempre se pueden eliminar los riesgos.
... Es necesario gestionar la seguridad de la
informacin.
C i ?
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
42/125
422007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Cmo gestionar?
PROBLEMA: Cmo establecer qu
entendemos por 'Seguridad'? Diferentes criterios de evaluacin de laseguridad: internos a una organizacin,sectoriales, nacionales, internacionales...
Multitud de estndares aplicables adiferentes niveles: TCSEC (Trusted Computer Security, militar, US,
1985). ITSEC (Information Technology Security,
europeo, 1991). Common Criteria (internacional, 1986-1988). *7799 (britnico + internacional, 2000).
E t t D i i d t l
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
43/125
432007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Estructura: Dominios de control
La norma UNE-ISO/IEC 17799 establece diez dominios de
control que cubren por completo la Gestin de la Seguridadde la Informacin:1. Poltica de seguridad.2. Aspectos organizativos para la seguridad.3. Clasificacin y control de activos.4. Seguridad ligada al personal.
5. Seguridad fsica y del entorno.6. Gestin de comunicaciones y operaciones.7. Control de accesos.8. Desarrollo y mantenimiento de sistemas.9. Gestin de continuidad del negocio.10.Conformidad con la legislacin.
De estos diez dominios se derivan 36 objetivos de control(resultados que se esperan alcanzar mediante laimplementacin de controles) y 127 controles (prcticas,procedimientos o mecanismos que reducen el nivel de riesgo).
E t t D i i d t l
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
44/125
442007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Estructura: Dominios de control
1 POLTICA DE SEGURIDAD
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
45/125
452007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
1. POLTICA DE SEGURIDAD
Dirigir y dar soporte a la gestin dela seguridad de la informacin.
La alta direccin debe definir una poltica querefleje las lneas directrices de la organizacin enmateria de seguridad, aprobarla y publicitarla de laforma adecuada a todo el personal implicado en laseguridad de la informacin.
La poltica se constituye en la base de todo el
sistema de seguridad de la informacin. La alta direccin debe apoyar visiblemente laseguridad de la informacin en la compaa.
2 ASPECTOS ORGANIZATIVOS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
46/125
462007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
2. ASPECTOS ORGANIZATIVOSPARA LA SEGURIDAD Gestionar la seguridad de la informacin dentro de la
organizacin. Mantener la seguridad de los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin
que son accedidos por terceros. Mantener la seguridad de la informacin cuando la
responsabilidad de su tratamiento se ha externalizado a otra
organizacin. Debe disearse una estructura organizativa dentro de la
compaa que defina las responsabilidades que en materiade seguridad tiene cada usuario o rea de trabajo relacionadacon los sistemas de informacin de cualquier forma.
Dicha estructura debe poseer un enfoque multidisciplinar:los problemas de seguridad no son exclusivamente tcnicos.
3 CLASIFICACI N Y CONTROL DE
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
47/125
472007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
3. CLASIFICACI N Y CONTROL DEACTIVOS
Mantener una proteccin adecuada sobrelos activos de la organizacin. Asegurar un nivel de proteccin adecuado a
los activos de informacin.
Debe definirse una clasificacin de losactivos relacionados con los sistemas deinformacin, manteniendo un inventario
actualizado que registre estos datos, yproporcionando a cada activo el nivel deproteccin adecuado a su criticidad en laorganizacin.
4 SEGURIDAD LIGADA AL
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
48/125
482007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
4. SEGURIDAD LIGADA ALPERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de
las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgosen el mbito de la seguridad de la informacin, y que estnpreparados para sostener la poltica de seguridad de la organizacinen el curso normal de su trabajo.
Minimizar los daos provocados por incidencias de seguridad y por elmal funcionamiento, controlndolos y aprendiendo de ellos.
Las implicaciones del factor humano en la seguridad de lainformacin son muy elevadas. Todo el personal, tanto interno como externo a la organizacin,
debe conocer tanto las lneas generales de la poltica de seguridadcorporativa como las implicaciones de su trabajo en el mantenimientode la seguridad global.
Diferentes relaciones con los sistemas de informacin: operador,administrador, guardia de seguridad, personal de servicios, etc.
Procesos de notificacin de incidencias claros, giles y conocidospor todos.
5 SEGURIDAD F SICA Y DEL
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
49/125
492007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
5. SEGURIDAD F SICA Y DELENTORNO Evitar accesos no autorizados, daos e
interferencias contra los locales y la informacin dela organizacin. Evitar prdidas, daos o comprometer los activos
as como la interrupcin de las actividades de laorganizacin.
Prevenir las exposiciones a riesgo o robos deinformacin y de recursos de tratamiento deinformacin.
Las reas de trabajo de la organizacin y susactivos deben ser clasificadas y protegidas enfuncin de su criticidad, siempre de una formaadecuada y frente a cualquier riesgo factible dendole fsica (robo, inundacin, incendio...).
6 GESTIN DE COMUNICACIONES
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
50/125
502007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
6. GESTIN DE COMUNICACIONESY OPERACIONES
Asegurar la operacin correcta y segura de los recursos de
tratamiento de informacin. Minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la informacin. Mantener la integridad y la disponibilidad de los servicios de
tratamiento de informacin y comunicacin. Asegurar la salvaguarda de la informacin en las redes y la
proteccin de su infraestructura de apoyo. Evitar daos a los activos e interrupciones de actividades de laorganizacin.
Prevenir la prdida, modificacin o mal uso de la informacinintercambiada entre organizaciones.
Se debe garantizar la seguridad de las comunicaciones y dela operacin de los sistemas crticos para el negocio.
7 CONTROL DE ACCESOS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
51/125
512007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
7. CONTROL DE ACCESOS
Controlar los accesos a la informacin.
Evitar accesos no autorizados a los sistemas de informacin. Evitar el acceso de usuarios no autorizados. Proteccin de los servicios en red. Evitar accesos no autorizados a ordenadores. Evitar el acceso no autorizado a la informacin contenida en
los sistemas. Detectar actividades no autorizadas. Garantizar la seguridad de la informacin cuando se usan
dispositivos de informtica mvil y teletrabajo.
Se deben establecer los controles de acceso adecuados
para proteger los sistemas de informacin crticos para elnegocio, a diferentes niveles: sistema operativo,aplicaciones, redes, etc.
8 DESARROLLO Y
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
52/125
522007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
8. DESARROLLO YMANTENIMIENTO DE SISTEMAS Asegurar que la seguridad est incluida dentro de los sistemas
de informacin. Evitar prdidas, modificaciones o mal uso de los datos deusuario en las aplicaciones.
Proteger la confidencialidad, autenticidad e integridad de lainformacin.
Asegurar que los proyectos de Tecnologa de la Informacin y
las actividades complementarias son llevadas a cabo de unaforma segura. Mantener la seguridad del software y la informacin de la
aplicacin del sistema.
Debe contemplarse la seguridad de la informacin en todas
las etapas del ciclo de vida del software en una organizacin:especificacin de requisitos, desarrollo, explotacin,mantenimiento...
9 GESTI N DE CONTINUIDAD
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
53/125
532007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
9. GESTI N DE CONTINUIDADDEL NEGOCIO
Reaccionar a la interrupcin de actividades del
negocio y proteger sus procesos crticos frentegrandes fallos o desastres. Todas las situaciones que puedan provocar la
interrupcin de las actividades del negocio debenser prevenidas y contrarrestadas mediante los
planes de contingencia adecuados. Los planes de contingencia deben ser probadosy revisados peridicamente.
Se deben definir equipos de recuperacin antecontingencias, en los que se identifiquenclaramente las funciones y responsabilidades decada miembro en caso de desastre.
10 CONFORMIDAD
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
54/125
542007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
10. CONFORMIDAD
Evitar el incumplimiento de cualquier ley, estatuto, regulacin u
obligacin contractual y de cualquier requerimiento deseguridad. Garantizar la alineacin de los sistemas con la poltica de
seguridad de la organizacin y con la normativa derivada de lamisma.
Maximizar la efectividad y minimizar la interferencia de o desde
el proceso de auditoria de sistemas.
Se debe identificar convenientemente la legislacin aplicablea los sistemas de informacin corporativos, integrndola en elsistema de seguridad de la informacin de la compaa y
garantizando su cumplimiento. Se debe definir un plan de auditora interna y ser ejecutadoconvenientemente, para garantizar la deteccin dedesviaciones con respecto a la poltica de seguridad de lainformacin.
Auditora
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
55/125
552007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Auditora
Somos seguros? Muy seguros?Poco seguros? Relativamenteseguros?...
Trabajo de auditora ISO 17799:valoracin del nivel de adecuacin,implantacin y gestin de cada control dela norma en la organizacin: Seguridad lgica.
Seguridad fsica. Seguridad organizativa. Seguridad legal.
Auditora (2)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
56/125
562007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Auditora (2)
Somos seguros? Muy seguros? Poco
seguros? Relativamente seguros?...
Referencia de la seguridad de la informacinestndar y aceptada internacionalmente.
Una vez conocemos el estado actual de laseguridad de la informacin en la organizacin,podemos planificar correctamente su mejora osu mantenimiento.
Una auditora ISO 17799 proporcionainformacin precisa acerca del nivel decumplimiento de la norma a diferentes niveles:global, por dominios, por objetivos y porcontroles.
Consultora
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
57/125
572007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Consultora
Conociendo el nivel de cumplimiento actual,es posible determinar el nivel mnimoaceptable y el nivel objetivo en laorganizacin:
Nivel mnimo aceptable. Estado con lasmnimas garantas de seguridad necesariaspara trabajar con la informacincorporativa.
Nivel objetivo. Estado de seguridad dereferencia para la organizacin, con un altogrado de cumplimiento ISO 17799.
Consultora (2)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
58/125
582007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Consultora (2)
A partir del nivel mnimo aceptable y elnivel objetivo, podemos definir un plan detrabajo para alcanzar ambos a partir delestado actual.
Nivel mnimo aceptable. Implantacin delos controles tcnicos ms urgentes, amuy corto plazo.
Nivel objetivo. Se desarrolla en el tiempodentro del Plan Director de Seguridadcorporativo, y es el paso previo a lacertificacin UNE 71502.
Consultora (3)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
59/125
592007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Consultora (3)
Implantacin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
60/125
602007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Implantacin
ISO 17799 no es una norma tecnolgica. Ha sido redactada de forma flexible e independiente decualquier solucin de seguridad especfica. Proporciona buenas prcticas neutrales con respecto a la
tecnologa y a las soluciones disponibles en el mercado.
Estas caractersticas posibilitan su implantacin en
todo tipo de organizaciones, sin importar sutamao o sector de negocio, pero al mismo tiemposon un argumento para los detractores de lanorma.
Cmo traducir especificaciones de alto nivel asoluciones concretas, para poder implantar ISO17799? Trabajo de consultora, interna o externa.
Implantacin: Un ejemplo
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
61/125
612007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Implantacin: Un ejemplo
Dominio de control: Gestin de comunicaciones y
operaciones Objetivo de control: proteger la integridad del softwarey de la informacin.
Control: Controles contra software malicioso.Se deberan implantar controles para detectar el
software malicioso y prevenirse contra l, junto aprocedimientos adecuados para concienciar a losusuarios.
Consultora Normativa de uso de software: definicin y
publicitacin en la Intranet. Filtrado de contenidos: X - Content Filtering v3.4. Antivirus de correo: Y Antivirus v2.0. Antivirus personal: Z - Antivirus v4.5.
Ventajas de la norma
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
62/125
622007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Ventajas de la norma
La adopcin de la norma ISO 17799 proporciona
diferentes ventajas a cualquier organizacin: Aumento de la seguridad efectiva de los sistemas
de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Mejora continua a travs del proceso de auditora
interna. Incremento de los niveles de confianza de
nuestros clientes ypartners.
Aumento del valor comercial y mejora de laimagen de la organizacin. ... CERTIFICACIN! (UNE 71502)
Norma UNE 71502
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
63/125
632007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Norma UNE 71502
Norma que contiene las especificacionespara los Sistemas de Gestin de laSeguridad de la Informacin (SGSI):Establecimiento
ImplantacinDocumentacinEvaluacin
Basada en los controles y objetivos de
control de la norma UNE-ISO/IEC 17799. Define la relacin de procedimientos para
establecer el SGSI: componente documentaldel sistema.
Norma UNE 71502 (2)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
64/125
642007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Norma UNE 71502 (2)
Sistema equivalente a otros sistemas degestin (ISO9000, ISO14000...) eintegrable con ellos.
Independiente del tipo, tamao o rea de
actividad de la organizacin. CERTIFICABLE. Limitaciones: no tiene equivalente ISO.
Actualmente se est estudiando la unificacininternacional de normas... a largo plazo.
Algo de resumen
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
65/125
652007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Algo de resumen
ISO 17799 es una norma internacional que ofrece
recomendaciones para realizar la gestin de laseguridad de la informacin, adoptada en Chile comonorma NCh2777-2003.
La norma se estructura en diez dominios de controlque cubren por completo todos los aspectos relativos ala seguridad de la informacin.
Implantar ISO 17799 requiere de un trabajo deconsultora que adapte los requerimientos de la normaa las necesidades de cada organizacin concreta.
La adopcin de ISO 17799 presenta diferentesventajas para la organizacin, entre ellas el primer
paso para la certificacin segn UNE 71502. Ni la adopcin de ISO 17799, ni la certificacinUNE 71502, ni... garantizan la inmunidad de laorganizacin frente a problemas de seguridad.
Gestin de la seguridad: SGSI
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
66/125
662007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Gestin de la seguridad: SGSI
Sistema de Gestin de la Seguridad dela Informacin (SGSI):
Sistema de gestin que comprende lapoltica, la estructura organizativa, losprocedimientos, los procesos y los recursos
necesarios para implantar la gestin de laseguridad de la informacin. Cubre aspectos organizativos, lgicos,
fsicos, legales...
Independiente de plataformas tecnolgicas ymecanismos concretos. Aplicacin en todo tipo de organizaciones.
Fuerte contenido documental.
Gestin de la seguridad:
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
67/125
672007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Gestin de la seguridad:estructura
Modelo de Gestin de la
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
68/125
682007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
ode o de Gest de aseguridad:
Modelo PDCA (Plan Do Check Act): Planificar, Hacer, Verificary Actuar.
Planificar
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
69/125
692007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Planificar
Tres preguntas clave: Cul es el estado actual de nuestra seguridad? Cul es el estado al que queremos llegar? Cmo queremos llegar a ese estado objetivo?
Las respuestas a estas preguntas permiten
definir el plan de actuacin para conseguirlos objetivos deseados. Piezas clave de esta fase:
Poltica de seguridad. Anlisis de riesgos. Seleccin de controles.
Aspecto crtico: implicacin del ms altonivel directivo.
Hacer
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
70/125
702007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Hacer
Dos grandes reas: implantacin delSGSI y explotacin del mismo.
Implantacin del SGSI: ejecucin delplan definido en la fase anterior.
Implantacin de controles (tanto tcnicoscomo no tcnicos).Control de controles: eficacia.
Explotacin del SGSI:Operacin de los sistemas implantados.Respuesta ante incidentes.
Verificar
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
71/125
712007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Verificar
Es necesario verificar la conveniencia, adecuacin
y eficacia del SGSI en la organizacin. Indicadores de rendimiento: valores objetivos
(Mucho?, Poco?, A veces?, Demasiado?...). Eficacia: El SGSI cumple los objetivos de direccin. Eficiencia: Lo hace con coste mnimo.
Fase de auditora del SGSI: Se ajusta a lo deseado? Ha sido implantado y se mantiene y ejecuta
correctamente?
Existen nuevos riesgos? Hay cambios que puedan afectar al SGSI?
Actuar
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
72/125
722007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Actuar
La organizacin debe mejorar de manera
continua la eficacia del SGSI: Revisin de objetivos de seguridad. Indicadores de eficacia de los procesos. Auditora peridica y revisiones de seguridad. ...
Es necesario tomar acciones correctivaspara eliminar la causa de las noconformidades en la implantacin,operacin y uso del SGSI.
Es necesario determinar accionespreventivas para eliminar la causa de noconformidades potenciales, previniendo suocurrencia.
Actualizacin ISO 17799 - 2005
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
73/125
732007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Actualizacin ISO 17799 2005
La nueva ISO/IEC 17799-2005 (15 de junio de 2005) esresultado del trabajo del grupo de trabajo 1 (WG1) delsubcomit 27 (SC27) del comit tcnico unificado (JCT) de laorganizacin internacional para la estandarizacin (ISO) y lacomisin electrotcnica internacional (IEC)
Este grupo est desarrollando una familia de estndaresinformacionales para Sistemas de Gestin de la Seguridad de
la informacin (ISMS) que incluye requerimientos de sistemasde gestin de informacin, gestin del riesgo, mtricas ymedidas, guias de implantacin, vocabulario y mejoracontinua.
Esta familia se agrupar bajo ISO/IEC 27000 As mismo, ISO 17799-2005 ser renombrada como ISO
27002. El primer componente de esta familia ISO 27000, es la normaISO 27001, equivalente a la BS 7799 Parte 2.
Relacin con otras normas
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
74/125
742007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Relacin con otras normas
NCh2777.Of2003 Tecnologa de la informacin Cdigo de prctica para la
gestin de seguridad de la informacin. Homologacin nacional de ISO/IEC 17799-2000
UNE En 2004 se establece UNE 71502, basada en BS7799-2
BS 7799 Parte 1: equivalente a ISO 17799-2000 Parte 2: Establece requerimientos para un ISMS y permite
certificacin.
ISO 27002 Nueva denominacin de la norma ISO 17799-2005
Cambios introducidos por ISO/IEC17799 2005(E)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
75/125
752007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
p /17799:2005(E)
Definiciones y trminos Controles esenciales Factores crticos de xito
Estructura de la norma Contenidos de los controles
La nueva versin introduce 11 reasde Control, 39 Objetivos de Control y133 Controles Especficos.
Novedades de 17799-2005
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
76/125
762007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Novedades de 17799 2005
Seguridad en los servicios externos youtsourcing
Gestin de vulnerabilidades tecnolgicas Foco en la gestin de incidentes Comunicaciones mviles, remotas y
distribuidas en el tratamiento de lainformacin Clarificacin en la evaluacin y tratamiento
del riesgo
Nuevos controles en gestin del personal Nuevos controles en relacin con clientes y
entrega de servicios
Clusulas de control en la normaISO 17799 2005
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
77/125
772007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
ISO 17799 - 2005
1. Poltica de seguridad
2. Organizacin de la seguridad de la informacin3. Gestin de activos4. Seguridad de los recursos humanos5. Seguridad fsica y ambiental
6. Gestin de comunicaciones y operaciones7. Control de acceso8. Adquisicin, desarrollo y mantenimiento de los
sistemas de informacin
9. Gestin de incidentes de seguridad de lainformacin
10. Gestin de la continuidad del negocio11. Cumplimiento
Algunos de los nuevos controles
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
78/125
782007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
g
Enfrentando la seguridad cuando se trata con
clientes (6.2.2) Propiedad de los bienes (7.1.2) Uso aceptable de los bienes (7.1.3) Responsabilidad e la administracin Durante el
empleo (8.2.1) Responsabilidad por la desvinculacin (8.3.1) Reintegro de bienes (8.3.2) Eliminacin de derechos de acceso (8.3.3)
Proteccin contra amenazas externas yambientales (9.1.4) Entrega de servicios de terceras partes- (10.2.1)
Nuevos controles (2)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
79/125
792007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
( )
Monitoreo y revisin de los servicios de terceras
partes (10.2.2) Gestin de cambios en el servicio de terceras
partes (10.2.3) Controles contra cdigo mvil (10.4.2)
Poltica y Procedimientos de intercambio deinformacin (10.8.1) Transacciones en lnea (10.9.2) Registros de auditora (10.10.1)
Proteccin de la informacin de LOGs (10.10.4) Control de vulnerabilidades tcnicas (10.6.1)
Comentarios
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
80/125
802007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Debemos prepararnos para la
estandarizacin de mtricas y mediciones deseguridad informtica. Debern modificarse las normas nacionales
homologadas.
Se deben re-evaluar los riesgos paraidentificar y desarrollar la implementacin delos nuevos controles.
Asegurarse que los requerimientos deseguridad estn alineados con los delnegocio.
Evaluacin y tratamiento delriesgo
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
81/125
812007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
riesgo
Destaca la importancia de desarrollaruna evaluacin de riesgo en ladeterminacin de los controlesapropiados.
Muestra la necesidad de un procesosistemtico de evaluacin ytratamiento del riesgo.
Destaca la importancia de involucrar ala administracin en eldireccionamiento adecuado del riesgo.
Certificacin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
82/125
822007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Una entidad independiente y competente afirma
que un sistema es correcto y compromete en ellosu palabra... por escrito. Garanta de 'calidad de la seguridad'. Aporta beneficios para...
... la propia organizacin. ... los inversores. ... los clientes. ... los empleados.
Adaptarse a la norma no garantiza la inmunidad
total de la organizacin frente a problemas deseguridad, pero reduce el riesgo y los costesasociados a tales problemas.
Certificacin: proceso
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
83/125
832007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
p
El proceso general de certificacin consta
de dos grandes etapas: consultora yauditora. En la primera de ellas, un equipo de
consultores con experiencia en la norma
ayuda a la organizacin a cumplir losrequisitos de certificacin: poltica deseguridad, procedimientos, controles...
Cuando la organizacin asesorada por losconsultores considera que cumple los
requisitos de la norma, solicita lacertificacin a un organismo acreditado,que ser el encargado de realizar laauditora.
Certificacin: proceso (2)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
84/125
842007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
p ( )
El proceso de auditora consta a su vez de
dos fases: una documental, en la que serevisan los procesos y procedimientos degestin de la seguridad, y otra de revisinde la implantacin de los controles
seleccionados. La credibilidad y garantas de la certificacinestn sujetas a la confianza depositada enla entidad que certifica.
La certificacin no debe ser un OBJETIVO deseguridad, sino un RECONOCIMIENTO altrabajo bien hecho.
NCh2777-2003
http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdf -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
85/125
852007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Establece las recomendaciones para la gestin de
seguridad de informacin por quienes sonresponsables de iniciar, implementar y mantener laseguridad en la organizacin.
Entrega una base comn para desarrollar lasnormas de seguridad de la organizacin y una
prctica efectiva de gestin de seguridad yestablecer confianza en las relaciones entre lasorganizaciones.
Las recomendaciones de esta norma se debenseleccionar y usar de acuerdo con las leyes yreglamentos aplicables.
Lala: http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdf
Planes de contingencia
http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.pumarino.cl/doc/leyes/NCh2777-2003.pdf -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
86/125
862007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Planes de contingencia
Un Plan de Contingencia consiste en un estudio y
anlisis pormenorizado de las reas que componen laorganizacin y que nos servir para establecer unapoltica de recuperacin ante un desastre. Es un conjunto de datos estratgicos de la empresa
y que se plasma en un documento con el fin deprotegerse ante eventualidades.
Adems de aumentar su seguridad, con un planestratgico la empresa tambin gana en el
conocimiento de sus fortalezas y sus debilidades. Pero si no lo hace, se expone a sufrir una prdidairreparable mucho ms costosa que laimplantacin de este plan.
Acciones a realizar en un SGSI
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
87/125
872007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
El Plan de Contingencia ser una herramienta imprescindible
en un Sistema de Gestin de la Seguridad Informtica(SGSI). Sus acciones estn fundamentadas por el modeloPDCA (Plan - Do - Check - Act):
Planificar:estudiar la implantacin de la poltica de seguridadadoptada, alcances que tendr la gestin, anlisis de riesgos que seharn, establecimiento de controles que activaremos, etc.
Hacer:implantar el sistema de gestin, poner y activar loscontroles, registros e indicadores. Toma de datos del estado de laseguridad.
Verificar:realizar una auditoria interna para comprobar el grado decumplimiento de nuestro sistema.
Actuar:realizar el seguimiento de la gestin y tomar las medidascorrectivas as como las acciones preventivas correspondientes.
Se cierra el ciclo ajustando las acciones planificadas si fuera el caso:
Recordemos el Ciclo PDCA:
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
88/125
882007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Poltica y Alcance del sistemaAnlisis de riesgos
Seleccin de controles
Acciones correctivasAcciones preventivasModificacin Plan
Implantacin del SGSIImplantacin controlesImplantacin indicadores
Auditoria internaNo conformidades
Grado de cumplimiento
Plan
Do
Check
Act
Desastres naturales y su prevencin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
89/125
892007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Desastres naturales Huracn Tormenta Inundacin Tornado Vendaval Incendio Terremoto Otros
Medidas prevencin Emplazamientos
adecuados Proteccin fachadas,
ventanas, puertas
Vandalismo informtico y su prevencin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
90/125
902007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Terrorismo Sabotaje Robo Virus Chantaje
informtico Programas
malignos
Medidas de prevencin
Fortificacin de entradas Guardias de seguridad Patrullas de seguridad Circuito cerrado TV Control fsico de accesos
Proteccin de software yhardware con antivirus,cortafuegos, deteccin deintrusos, etc.
Seguimiento de las polticas de
seguridad de la empresa.
Amenazas del agua y su prevencin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
91/125
912007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Amenazas Inundaciones por
causas propias dela empresa
Inundaciones por
causas ajenas Pequeos
incidentespersonales (la tpicabotella de agua otaza con caf quese cae sobre elteclado...)
Medidas prevencin Revisar conductos de
agua Emplazar la sala con
los equipos ms
caros en un sitio librede estos problemas Instalar sistemas de
drenaje deemergencia
Concienciar anuestros empleados
Amenazas del fuego y su prevencin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
92/125
922007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Amenazas Una mala instalacin
elctrica descuidos personales
como puede ser fumar
en sala decomputadores Papeleras mal
ubicadas en la que setira un cigarrillo no
apagado Vulnerabilidades del
sistema ante el humo
Medidas prevencin Detector humo y
calor Materiales ignfugos
Almacn de papelseparado demquinas
Estado del falsosuelo
Extintores revisados
Es la amenaza ms temida por su rpido poder destructor.
Qu sucede si se produceun desastre?
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
93/125
932007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Las empresas dependen hoy en da de los
equipos informticos y de todos los datosque hay all almacenados (nminas, clientes,facturas, ...).
Dependen tambin cada vez ms de las
comunicaciones a travs de las redes dedatos. Si falla el sistema informtico y ste no
puede recuperarse, la empresa puede
desaparecer porque no tiene tiempo de salirnuevamente al mercado con ciertasexpectativas de xito, aunque conserve atodo su personal.
un desastre?
Tiempos de recuperacin
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
94/125
942007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Segn diversos estudios el perodo mximo deinactividad que puede soportar una empresa sinponer en peligro su supervivencia es de:
Sector seguros: 5,6 das Sector fabricacin: 4,9 das
Sector industrial: 4,8 das Sector distribucin: 3,3 das Sector financiero: 2,0 das
Si nos dicen que nuestro banco tiene problemas de
seguridad y no podemos mover nuestras cuentas, loms seguro es que cambiemos de banco al da
siguiente.
Prdidas por no contar con plan estratgico:
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
95/125
952007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios.
Prdida de ingresos por ventas ycobros. Prdida de ingresos por produccin.
Prdida de competitividad en elmercado. Prdida de credibilidad en el sector.
Medidas bsicas ante un desastre
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
96/125
962007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Plan de emergenciaVidas, heridos, activos, evacuacin
personal. Inventariar recursos siniestrados.
Evaluar el coste de la inactividad.
Plan de recuperacinAcciones tendentes a volver a la situacin
que exista antes del desastre.
http://recovery-disaster.info/index.htm
Alternativas del plan de continuidad
http://recovery-disaster.info/index.htmhttp://recovery-disaster.info/index.htmhttp://recovery-disaster.info/index.htmhttp://recovery-disaster.info/index.htm -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
97/125
972007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Instalaciones alternativas Oficina de servicios propia Acuerdo con empresa vendedora de HW y SW Acuerdo recproco entre dos o ms empresas Arranque en fro: sala vaca propia Arranque en caliente: centro equipado Sistema Up Start: caravana, unidad mvil Sistema Hot Start: centro gemelo
Algunas soluciones pueden resultar de muy alto costo.
Su eleccin depender entonces de las caractersticas denuestra empresa y qu tan crtico debe ser ese plan decontinuidad acorde con ello.
Estos tpicos se profundizan en la Unidad 2.
HERRAMIENTAS LEGALES EN CHILE
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
98/125
982007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Ley 19.223, Delitos Informticos
Ley 17.336, Propiedad Intelectual
Ley 19.628, Proteccin Datos Personales
Ley 19.799, Firma Electrnica
Ley 18.168, General de Telecomunicaciones
Cdigo Penal
Cdigo de Procedimiento Penal
Cdigo Procesal Penal
CLASIFICACIN BSICA DE DELITOS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
99/125
992007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
DELITOS INFORMTICOS PROPIAMENTETAL.
OTROS DELITOS EN LOS HE SE HACENECESARIA LA PARTICIPACIN DE LABRIGADA INVESTIGADORA DEL CIBERCRIMEN.
LEGISLACINSOBRE DELITOSINFORMATICOS CHILE
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
100/125
1002007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
INFORMATICOS CHILELEY RELATIVA A DELITOS INFORMATICOS
Ley No.:19223Artculo 1.- El que maliciosamente destruya o inutilice un sistema de tratamiento de
informacin o sus partes o componentes, o impida, obstaculice o modifique sufuncionamiento, sufrir la pena de presidio menor en su grado medio a mximo.Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema,se aplicar la pena sealada en el inciso anterior, en su grado mximo.
Artculo 2.- El que con el nimo de apoderarse, usar o conocer indebidamente de lainformacin contenida en un sistema de tratamiento de la misma, lo intercepte, interfierao acceda a l, ser castigado con presidio menor en su grado mnimo a medio.
Artculo 3.- El que maliciosamente altere, dae o destruya los datos contenidos en unsistema de tratamiento de informacin, ser castigado con presidio menor en su gradomedio.
Artculo 4.- El que maliciosamente revele o difunda los datos contenidos en un sistema deinformacin, sufrir la pena de presidio menor en su grado medio. Si quien incurre enestas conductas es el responsable del sistema de informacin, la pena se aumentar enun grado.".
Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promlguese y llvese aefecto como Ley de la Repblica.
Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de laRepblica.- Francisco Cumplido Cereceda, Ministro de Justicia.
http://delitosinformaticos.com/legislacion/chile.shtml
DELITOS INFORMTICOS
http://delitosinformaticos.com/legislacion/chile.shtmlhttp://delitosinformaticos.com/legislacion/chile.shtml -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
101/125
1012007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
SABOTAJE INFORMTICO :
Destruccin o alteracin de un STI.
Destruccin o dao de la informacin contenida en un STI.
Alteracin de la informacin contenida en un STI.
Responsabilidad : Ley 19.223, Art. 1 y 3
Art. 1 : Destruya o inutilice un STI o sus partes ocomponentes u obstaculice o modifique su funcionamiento.
Presidio menor en grado medio a mximo.
Art. 3 : Altere, dae o destruya datos contenidos en un STI.Presidio menor en grado medio.
DELITOS INFORMTICOS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
102/125
1022007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
ESPIONAJE INFORMTICO :
Intrusin ilegtima o acceso indebido.
Divulgacin indebida o revelacin de datos.
Responsabilidad :
Ley 19.223, Art. 2 y 4 Art. 2 : nimo de apoderarse, usar o conocer indebidamente
la informacin contenida en un STI. Intercepte, interfiera oacceda a l. Presidio menor en un grado mnimo a medio.
Art. 4 : Maliciosamente revele o difunda datos contenidos enun STI. Presidio menor en grado medio. Responsable delSTI, aumenta en un grado.
OTROS DELITOS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
103/125
1032007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Informtica, ley 19.223.
1.-Destruya o inutilice un STI o sus partes ocomponentes, o impida, obstaculice o modifique sufuncionamiento.2.- El que con el nimo de apoderarse, usar o conocer,indebidamente de la informacin contenida en un STI, lointercepte, interfiera o acceda a l.3.- El que maliciosamente altere, dae o destruya losdatos contenidos en un STI.4.- El que maliciosamente revele o difunda los datoscontenidos en un STI.
Que castiga
Pornografa infantil, Ley 19.927.
1.-Produccin de material pornogrfico.2.-Comercializacin, importacin, exportacin, distribucin,difusin, exhibicin, adquisicin o almacenamiento.
OTROS DELITOS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
104/125
1042007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Propiedad Intelectual, ley 17.336.1.-Piratera
Amenazas. Homicidios.
Que castiga
Fraudes financieros.
OTROS DELITOS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
105/125
1052007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Trfico y venta de drogas.Evasin de impuestos.
Suicidios.Robo de especies (computadores).
Decreto 83
http://sdi.bcn.cl/boletin/publicadores/normas_publicadas/archivos/83.pdf/http://sdi.bcn.cl/boletin/publicadores/normas_publicadas/archivos/83.pdf/ -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
106/125
1062007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
NORMA TECNICA PARA LOS ORGANOS
DE LA ADMINISTRACION DEL ESTADOSOBRE SEGURIDAD YCONFIDENCIALIDAD DE LOS
DOCUMENTOS ELECTRONICOS.
Gobierno aplica normas anti SPAM
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
107/125
1072007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
El 28 de julio de 2006 entr en vigencia el DecretoSupremo N 93sobre regulacin del SPAM,estableciendo una serie de normas tcnicas paraminimizar la recepcin de mensajes electrnicosmasivos no deseados en las casillas electrnicas delos rganos de la Administracin del Estado y desus funcionarios.
Con esta regulacin, el Gobierno establece unadecidida lucha contra el SPAM, cuyos efectos sonconocidos: estos mensajes recarganinnecesariamente los sistemas informticosinstitucionales, pueden ser causa de virus, cdigos
malignos y, en general, de cualquier tipo deinformacin que puede poner en peligro laintegridad y de la documentacin electrnica deGobierno.
Decreto Supremo N 93(2)
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
108/125
1082007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
El Decreto establece las condiciones mnimas quedeben cumplir las instituciones para elprocesamiento y manejo de los mensajeselectrnicos.
Entre otras disposiciones, indica que los organismosdebern contar con los sistemas informticosadecuados para filtrar los mensajes electrnicos
entrantes a sus servidores de correo y realizarrevisiones y monitoreos peridicos de las redes decomunicacin.
Junto con lo anterior, cada organismo deberinstruir a sus funcionarios respecto del correcto uso
de la casilla de correo institucional que se lesasigna, quedando expresamente prohibido utilizarlapara fines personales o distintos de los relacionadoscon las competencias propias de la institucin.
Decreto Supremo N 93(3)
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
109/125
1092007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Para apoyar a las instituciones en la adopcin y ejecucin deesta normativa, el Ministerio del Interior elaborar una "Gua
Modelo de Proteccin de Casillas Electrnicas", quecontendr detalles tcnicos y recomendaciones. El documentoestar a disposicin de los organismos en un plazo de 120das a contar de la publicacin del Decreto en el Diario Oficial.
El Decreto Supremo N 93 se dict en el marco de la polticanacional de Gobierno Electrnico, para mejorar los servicios einformacin ofrecidos a los ciudadanos, aumentar la eficienciay la eficacia de la gestin pblica, e incrementarsustantivamente la transparencia del sector pblico y laparticipacin de los ciudadanos.
Ver Decreto Supremo N 93
REQUERIMIENTOS PARA INVESTIGACIN DELCRIMEN INFORMTICO
http://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.htmlhttp://www.modernizacion.cl/1350/article-126485.html -
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
110/125
1102007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Personal calificado.
Infraestructura adecuada.
Herramientas de software.
Herramientas de hardware.
Medios de acceso. Disponibilidad tcnica de los registros de auditoria.
Facultades legales.
Herramientas legales.
Coordinacin con fuentes de informacin (ISPs yotras empresas)
CRIMEN INFORMTICO
Conclusiones
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
111/125
1112007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Los problemas de seguridad no son
necesariamente tcnicos. La seguridad no es un producto, es unproceso.
Debemos gestionar nuestra seguridad.
Un sistema de gestin debe contemplar lamejora continua del sistema: todoevoluciona, especialmente la (in)seguridad.
La certificacin de seguridad es
beneficiosa, pero ni garantiza inmunidad nidebe ser un objetivo.
La seguridad total no existe!
Recordar lo ms importante:
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
112/125
1122007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Ningn sistema de control resultaefectivo hasta que debemos utilizarloal surgir la necesidad de aplicarlo.
Junto con la concienciacin de losusuarios, ste ser uno de los grandes
problemas de la Gestin de laSeguridad Informtica.
Sistemas de Almacenamiento yComunicacin de Imgenes (PACS)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
113/125
1132007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
Comunicacin de Imgenes (PACS)
ESTACIN DEADQUISICIN
ULTRASONIDO / RAYOS X
SCANNER
ESTACIN DEADQUISICIN
ESTACIN DEADQUISICIN
TOMOGRAFA AXIALRESONANCIA MAGNTICAMEDICINA NUCLEAR, ETC.
IMAGEN
IMAGEN
IMAGEN
ESTACIN DECONSULTA LOCAL
MODEM
MODEMSERVIDORREMOTO
ESTACIN DECONSULTA REMOTA
SERVIDOR
ARCHIVO HISTRICO
Tipos de estaciones de trabajo:1. Estacin de Adquisicin
2. Estacin de Consulta3. Servidor
Es mas seguro ahora?
Preguntas y ejercicios (1 de 2)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
114/125
1142007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
1. Qu es y qu significa hacer un anlisis de riesgos?
2. Explique el sentido de las ecuaciones B > P
L y B
P
L.3. Tras un estudio, obtenemos B > PL, podemos estartotalmente tranquilos al no utilizar medida alguna deprevencin?
4. Explique qu significan los factores L y P en la ecuacin B >
PL.5. Cules son los pasos a seguir en un anlisis de riesgo deacuerdo a los factores de la ecuacin de B > PL?
6. En algunos sistemas de gestin de informacin a vecesprima ms el elemento confidencialidad, en cambio en otros
ms el de integridad. D algunos ejemplos en que puedacumplirse al menos en parte este escenario. Qu opinarespecto a una transaccin electrnica?
7. Comente el modelo de seguridad de Bell Lapadula. Por quse le llama el modelo de la tranquilidad?
Preguntas y ejercicios (2 de 2)
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
115/125
1152007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
8. Ud. es el responsable de seguridad y detecta que un empleadoest robando informacin confidencial, cmo reaccionara?
9. Cules pueden ser las prdidas en una empresa si no se cuentacon un adecuado Plan de Contingencia y sucede un desastre?
10.Qu es un Plan de Contingencia y por qu es importante?11.Nuestra empresa est a medias entre el rubro distribucin y el
de las finanzas. Resulta estratgico tener aqu un Plan deContingencia?12.Qu soluciones tenemos para que un banco no se vea afectado
por un desastre y pueda seguir trabajando con sus clientes conun tiempo de recuperacin bajo o mnimo? Cmo sera su
coste?13.Se pueden prever situaciones extremas como lo acontecidocon las torres gemelas? En que tipo de empresas oinstituciones no deben descartarse estos extremos? En unaempresa que vende automviles?
INFORMACION DE NORMAS
-
5/25/2018 ACI - 425 Clase_01d Planificaci n, Normativas y Delitos Inform ticos
116/125
1162007 Universidad de Las Amricas - Escuela de Ingeniera - Seguridad Informtica - Dr. Juan Jos Aranda Aboy
OFICIALES CHILENAS NCh2777-2003Tecnologa de la informacin - Cdigo de
prctica para la gestin de seguridad de lainformacin
Tecnologa de la informacin - Seguridad yconfidencialidad de los documentos electrnicos
ISO/IEC ISO/IEC 27001:2005: Information technology --
Security techniques -- Information securitymanagement systems Requirements
Bibliografa
http://www.pumarino.cl/doc/leyes/NCh2777-2003.pdfhttp://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2777.Of2003http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.iso.org/iso/en/CatalogueDetailPage.CatalogueDetail?CSNUMBER=42103&ICS1=35&ICS2=40&ICS3=http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de_busqueda.asp?cd=NCh2989.Of2005http://www.inn.cl/busquedas/busqueda/detalle_de