unasam seguridad de la información 2011
Post on 03-Dec-2014
64 Views
Preview:
TRANSCRIPT
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
1
I JORNADA TECNOLÓGICA
Ing. Delfor Chacón Cornejodchaconc@gmail.com
Introducción a laSEGURIDAD DE LA
INFORMACIÓN
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
2
TEMARIO
• ¿Qué es la seguridad de la información?
• Riesgos, amenazas y vulnerabilidades
• Implementación de la seguridad
• Normas relacionadas
• Los controles y las prácticas recomendables
• El sistema de gestión de la seguridad de la información (SGSI)
• Especialización y aplicación
• Conclusiones
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
3
¿Qué es la seguridad de la información?
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
4
Cambio de paradigma:
De una economía industrial a una economía basada en la información
Importancia de la información
“La era de la información”
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
5
La información suele ser el activo más subvalorado que una organización posee (especialmente en los negocios).
La información puede afectar directamente el activo más valioso que una organización posee:
su IMAGEN
Importancia de la información
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
6
La información como activo a proteger:
“La información es un activo que, como otros activos de negocio importantes, tiene valor para una organización y en consecuencia necesita estar adecuadamente protegida.”
ISO/IEC 17799:2005
Información y seguridad
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
7
• Datos almacenados electrónicamente en computadoras.
• Datos almacenados en medios digitales: discos, memorias USB.
• Registros, notas y documentos escritos o impresos en papel.
• Información transmitida por correo postal o electrónico.
• Contraseñas, detalles de cuentas bancarias, resultados de exámenes, etc.
• Conversaciones habladas.
Formas de información
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
8
• Minimizar los riesgos y detectar posibles amenazas a la información.
• Limitar las pérdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad.
• Garantizar la adecuada utilización de recursos y sistemas que manejan información.
• Cumplir con el marco legal regulatorio.
Objetivos generales de la seguridad de la información
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
9
Mantener las siguientes características fundamentales de la información:• Confidencialidad
La información no se revela a entidades no autorizadas.
• IntegridadLa información no debe ser alterada.
• DisponibilidadLa información debe estar accesible en el momento en que sea solicitada por las entidades autorizadas.
Objetivos específicos de la seguridad de la información
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
10
Características adicionales de sistemas seguros:• Autenticidad
Se asegura que las entidades reconocidas sean las que dicen ser.
• ResponsabilidadLas entidades rinden cuentas a nivel individual por sus acciones y decisiones.
• Irrefutable (no repudiable)Las acciones realizadas no pueden ser negadas.
• ConfiabilidadLos resultados obtenidos son consistentes con el comportamiento esperado.
Otras características
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
11
Preservación de la confidencialidad, integridad y disponibilidad de la información.
ISO/IEC 27000:2009
Es la protección a la información de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.
ISO/IEC 17799:2005
Seguridad de la información
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
12
Conjunto de medidas que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
“Enciclopedia de la Seguridad Informática”, Gómez Vieites
Seguridad informática
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
13
Riesgos, amenazas y vulnerabilidades
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
14
Amenaza: Acciones que pueden causar daño según la severidad y posibilidad de ocurrencia
Vulnerabilidad: puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.
Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza
Incidente: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.
Definiciones
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
15
Activo: Cualquier cosa que tenga valor para una organización:• información;• software, tal como un programa de computadora;• hardware, como una computadora;• servicios;• personas, sus calificaciones, habilidades y experiencia;• intangibles, como fama e imagen.
Ataque: Intento de destruir, descubrir, robar o ganar acceso no autorizado o hacer uso no autorizado de un activo.
Definiciones
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
16
Exposición a riesgos
INFORMATIONINFORMACIÓN
ATA
QU
EATAQUE
ATAQ
UE
ATAQ
UE
ATAQUE
ATA
QU
E
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
17
Protección contra riesgos
ATA
QU
E
ATAQUE
ATAQ
UE
ATAQ
UE
ATAQUE
ATA
QU
E
ATTACK
ATAQUE
ATAQUE
ATAQUE
INFORMACIÓN
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
18
Implementación de la seguridad
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
19
Lo que implica proteger la información:• identificación de los activos de información• análisis de los riesgos: proceso sistemático para
identificar y estimar la magnitud del riesgo.• gestión de los riesgos: selección e implantación de
salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados.
• Elaboración de planes de seguridad• Ejecución de proyectos de seguridad.• Control de incidentes y monitorización.• Auditoría de la seguridad.
La seguridad no es un producto, es un proceso.
Implementar…
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
20
• Reducir la posibilidad de que se produzcan incidentes de seguridad
• Facilitar la rápida detección de los incidentes de seguridad
• Minimizar el impacto del incidente• Conseguir la rápida recuperación de los daños
ocurridos• Revisar y actualizar las medidas de seguridad
implantadas
Proceso de seguridad
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
21
Control: Medio de manejo del riesgo, lo que incluye políticas, procedimientos, guías, prácticas o estructuras organizativas, las que pueden ser de naturaleza administrativa, técnica, de gestión o legal.
También es sinónimo de salvaguarda o contramedida.
Tipos de controles:• Preventivos: eliminan la causa de un potencial
incidente.• Correctivos: eliminan la causa de un tipo de incidente.• De detección: solo alertan sobre la ocurrencia de un
incidente.
Controles
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
22
• Identificación de usuarios y gestión de contraseñas• Control lógico de acceso a recursos• Copias de seguridad• Centros de respaldo• Encriptación de transmisiones• Sellado temporal de mensajes• Firma digital• Cortafuegos (firewall)• Servidores proxy• Sistemas de detección de intrusos (IDS)• Sistemas de prevención de intrusos (IPS)
Tecnologías de seguridad
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
23
• Horas de trabajo perdidas en reparaciones• Pérdidas financieras por indisponibilidad de
aplicaciones o servicios informáticos• Robo de información confidencial• Filtración de información personal de empleados,
clientes, contactos comerciales, proveedores, etc.• Retrasos en procesos de producción, impacto en la
calidad de servicios públicos y privados.• Posible daño a la salud• Pago de indemnizaciones por daños y perjuicios a
terceros.
Si no hay seguridad…
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
24
Normas relacionadas
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
25
• ISO/IEC 27000: introducción, glosario.• ISO/IEC 27001: requisitos de un sistema de gestión
de la seguridad (SGSI).• ISO/IEC 27002 (antes ISO/IEC 17799): guía de
buenas prácticas.• ISO/IEC 27003: guía para implementación del SGSI.• ISO/IEC 27004: guía para desarrollo de métricas.• ISO/IEC 27005: lineamientos para gestión de riesgos.• ISO/IEC 27006: requisitos de acreditación para
entidades auditoras y certificadoras.• … muchas más
Familia 27000 de ISO
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
26
• NTP-ISO/IEC 17799:2007
Equivalente a la ISO/IEC 27002.• NTP-ISO/IEC 27001:2008
Equivalente a la ISO/IEC 27001.• NTP-ISO/IEC 27006:2009
Equivalente a la ISO/IEC 27006.• NTP-ISO/IEC 27005:2009
Equivalente a la ISO/IEC 27005.
Disponibles en INDECOPI. Publicaciones no gratuitas.
Normas Técnicas Peruanas
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
27
Los controles y las prácticas recomendables
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
28
Controles en ISO 27002
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
29
El sistema de gestión de la seguridad de la información (SGSI)
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
30
Es un conjunto de políticas (orientaciones de intención y dirección), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información, bajo un enfoque de gestión de riesgos de negocio.
¿Qué es un SGSI?
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
31
Adoptado del círculo de calidad P-D-C-A (Plan-Do-Check-Act) de Deming.
Modelo de calidad del SGSI
Planificar
Verificar
Hacer
Actuar
Partes Interesadas
Partes Interesadas
Requisitos y expectativas
Seguridad Gestionada
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
32
Especialización y aplicación
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
33
• Gestión de riesgos• Seguridad del acceso físico• Seguridad de redes de cómputo y telecomunicaciones• Control y monitorización de las operaciones• Gestión de identidades y control de acceso a sistemas• Protección contra código malicioso• Continuidad de las operaciones• Modelos y arquitecturas de seguridad• Gestión de la seguridad de la información• Legislación y regulación
Áreas de especialización
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
34
• Administradores / operadores de TI: sistemas de cómputo sistemas de información bases de datos redes y telecomunicaciones sistemas de seguridad
• Analistas / ingenieros de seguridad.• Ejecutivos en seguridad (p.ej. CISO: Chief Information
Security Officer).• Auditores.• Consultores.• Peritos en informática forense.
Ámbitos profesionales
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
35
La seguridad de la información es un factor crítico en organizaciones con diversos tipos de actividad:• Banca y finanzas• Aseguradoras• Empresas industriales• Empresas de servicios profesionales• Administración pública• Instituciones de salud• Servicios de telecomunicaciones• Servicios de suministro de energía
Ámbitos de aplicación
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
36
Conclusiones
“Para estar a salvo nunca hay que sentirse seguro.”(Proverbio checoslovaco)
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
37
• La información es un activo valioso a proteger.• La seguridad de la información requiere un
proceso de planificación, ejecución, seguimiento y mejora continua.
• La tecnología para la seguridad de la información es compleja.
Resumen
Un
iver
sid
ad N
acio
nal
San
tiag
o A
ntú
nez
de
May
olo
IEE
E –
Ram
a E
stu
dia
nti
l
38
¿Preguntas?
top related