vi jornadas iberoamericanas sobre tecnología y mercados de ... · “conceptos y aspectos...
Post on 07-Oct-2020
9 Views
Preview:
TRANSCRIPT
“Conceptos y aspectos generales de la seguridad”
VI Jornadas Iberoamericanas sobre Tecnología y Mercados de Capitales.
SCE - IIMV
Quito, marzo de 2004
Francisco Javier Nozal Millán
Director de Sistemas de Información
CNMV. España
Objetivo
- Visión general del problema
- Marco de referencia para el debate
- Buscar la contribución y participación
Conceptos y aspectos generales de la seguridad
La SEGURIDAD de los sistemas de Información hoy (1/3):
- El principal reto de la profesión
- La mayor dedicación nuestra
* en tiempo
* en recursos físicos y lógicos
* en recursos económicos
- La mayor dedicación del mercado
Conceptos y aspectos generales de la seguridad
La SEGURIDAD de los sistemas de Información hoy (2/3):
- Involucra muy directamente a los “ajenos” a los S. I. y en especial a la Dirección
- Tiene importantes aspectos normativos y jurídicos
- Puede afectar a Derechos y Libertades fundamentales
Conceptos y aspectos generales de la seguridad
La SEGURIDAD de los sistemas de Información hoy (1/3):
- Mezcla la tecnología puntera, con la sociología y con el código penal
- La relación con el usuario evoluciona
+ dimos mal servicio
+ ahora damos buen servicio
+ pero después se lo cortamos...
- y ... es y será la fuente de nuestros disgustos
Conceptos y aspectos generales de la seguridad
¿ Que es SEGURIDAD ? (1/2)
- Aspecto subjetivo
+ ¿te sientes seguro?
+ ¿dónde, como, cuando?
+ Seguridad es Confianza
+ ¿Tener más Seguridad es estar más Seguro?
Conceptos y aspectos generales de la seguridad
¿ Que es SEGURIDAD ? (2/2)
- Cuantificable
+ Principio de proporcionalidad o de racionalidad
+ Nivel de seguridad asociado al coste y al perjuicio
+ Coste/beneficio en el ataque
+ Cuadro de mandos en base a índices
+ Acercamiento asintótico
Conceptos y aspectos generales de la seguridad
Seguridad en la CONTINUIDAD. Unos datos
- 1 fallo / año .......... 87 % de las empresas
- 5 fallos / año ........ 50 % de las empresas
- Tiempo de recuperación 5 veces el de parada
- Después de un desastre
+ 25 % cierran inmediatamente
+ 90 % cierran en dos años
+ 100 % cesa inmediatamente el Director de Sistemas de Inform. ¡¡¡¡¡
Conceptos y aspectos generales de la seguridad
Acercamiento asintótico en la SEGURIDAD
Conceptos y aspectos generales de la seguridad
0102030405060708090
100
coste1
coste2
coste3
coste4
coste5
coste6
Seguridad
La SEGURIDAD globalmente considerada en la Organización, tiene que dar respuesta:
- Continuidad de la actividad de la organización
- La privacidad de las personas
- La seguridad de las personas
- La seguridad de los bienes y activos de la Organización
Conceptos y aspectos generales de la seguridad
La SEGURIDAD debe enfocarse considerando tres entornos:
- La propia Organización y su entorno normativo
- La estrategia de actividad o de negocio
- La estrategia de las Tecnologías de la Información
Conceptos y aspectos generales de la seguridad
Gestión de la SEGURIDAD
- Análisis de los Riesgos
- Plan de Seguridad
- Medidas a implantar
- Mantenimiento de las medidas con Gestión del
Riesgo
Conceptos y aspectos generales de la seguridad
La ISO/IEC 17799, catálogo de recomendaciones y buenas prácticas, en 10 áreas claves:
- 1. Política de Seguridad
- 2. Organización de Seguridad
- 3. Control y Clasificación de Activos
- 4. Seguridad del Personal
- 5. Seguridad Física
- 6. Gestión de Sistemas y Comunicaciones
- 7. Control de Accesos a los Sistemas
- 8. Desarrollo y Mantenimiento de los Sistemas
- 9. Plan de Continuidad
- 10. Cumplimiento
Conceptos y aspectos generales de la seguridad
Medidas a implantar
- En el tiempo
+ proactivas
+ reactivas
- Por el tipo
+ físicas
+ lógicas
+ normativas - procedimentales
+ sociológicas
Conceptos y aspectos generales de la seguridad
Principios de la SEGURIDAD, a garantizar
- Autenticidad
- Confidencialidad
- Integridad
- Continuidad
- Conservación
Conceptos y aspectos generales de la seguridad
AUTENTICIDAD, que es?
- Función para el establecimiento de la validez de la supuesta identidad de un usuario, dispositivo u otra entidad en un sistema de información o comunicaciones (OCDE)
- Autenticación
+ Simple basada en mecanismos de Usuario y Contraseña
+ Fuerte basada en criptografía asimétrica y certificados. Combina lo que tienes con lo que conoces
Conceptos y aspectos generales de la seguridad
CONFIDENCIALIDAD, que es?
- El hecho de que los datos o informaciones estén únicamente al alcance del conocimiento de las personas, entidades o mecanismos autorizados, en los momentos autorizados y de una manera autorizada (OCDE)
- Condición que asegura que la información no puede estar disponible o ser descubierta por o para personas, entidades o procesos
- La Confidencialidad se relaciona con la Intimidad cuando se refiere a personas físicas
Conceptos y aspectos generales de la seguridad
INTEGRIDAD, que es?
- El hecho de que los datos o informaciones sean exactos y completos y no hayan sido modificados o alterados de forma no autorizada (OCDE)
- Condición que asegura que la información es modificada, incluyendo su creación y borrado, solo por personal autorizado.
- La Integridad está ligada a la Fiabilidadfuncional del sistema. A su eficacia para cumplir las funciones del sistema de información.
Conceptos y aspectos generales de la seguridad
DISPONIBILIDAD, que es?
- Propiedad que requiere que los recursos de un sistema abierto sean accesibles y utilizables a petición de una entidad autorizada
- Grado en el que un dato está en el lugar, momento y forma requerido por el usuario autorizado.
- La Disponibilidad está ligada a la Fiabilidadtécnica de los componentes del sistema de información
Conceptos y aspectos generales de la seguridad
CONSERVACION, que es?
- Propiedad que requiere que todo documento considerado como entidad identificada y estructurada que contiene texto, gráficos, sonidos, imágenes o cualquier otra clase de información, en soporte electrónico, puede ser almacenada, editada, extraída, intercambiada y recuperada, en igual estado, cuando se necesita.
- Concepto vinculado con el paso del tiempo, la degradación física y lógica y la evolución tecnológica.
Conceptos y aspectos generales de la seguridad
Análisis de Riesgos
- Auditoría
+ Interna
+ Externa
- Entorno
+ de las Aplicaciones
+ de las Infraestructuras y las Comunicaciones
+ de los Procedimientos
Conceptos y aspectos generales de la seguridad
La Información y la SEGURIDAD han de estar unidas en las actividades:
- Creación
- Acceso
- Modificación
- Almacenamiento
- Transmisión
- Destrucción
Conceptos y aspectos generales de la seguridad
Riesgos y Vulnerabilidades
- Intención humana ----------> CONFIDENCIALIDAD
+ Internas
+ Externas
- No intención. ERRORES ------> CONTINUIDAD
+ de conocimiento
+ de procedimiento
- Simplemente TECNICAS
Conceptos y aspectos generales de la seguridad
Análisis de Riesgos
- Las Vulnerabilidades y las correspondientes Medidas a implantar no suelen estar únicamente relacionadas con uno de los principios si no, al contrario, están relacionados con todos ellos
- La única “agrupación” relativamente posible es la de “Autenticidad y Confidencialidad” e “Integridad, Continuidad y Conservación”
Conceptos y aspectos generales de la seguridad
Análisis de Riesgos
- Autenticidad / Confidencialidad
+ Suplantación
+ Violación de control de accesos
- Físico y Lógico
- Virus y Troyanos, Spyware, ...
+ Violación de soportes, wireless y dispositivos portátiles
Conceptos y aspectos generales de la seguridad
Análisis de Riesgos
- Integridad / Continuidad / Conservación+ Alteración de la información
- Manual intencionada
- Derivada de procesos internos o externos
+ Ruptura de infraestructuras físicas y lógicas
+ Caída física y/o lógica de procesos o de datos
+ Infección-virus
+ Fallo energético
+ Fuego, Agua y catástrofe
+ Pérdida de Copia
Conceptos y aspectos generales de la seguridad
Plan de Seguridad
- Que. Determinar y describir todas las medidas a implantar
- Quien. Organizar la implantación, mantenimiento y seguimiento
- Como. Diseño y adquisición de las tecnologías y preparación de las normas
- Cuando. Planificar las fases de la implantación
- con Cuanto. Presupuestación
Conceptos y aspectos generales de la seguridad
Medidas a implantar
- Físico-Lógicas (1/3)
+ Autenticación segura de usuario
-Usuario y Contraseña
- Firma electrónica
- Biométricos
+ Gestión integral de Usuarios, Derechos y Accesos
+ Acceso físico local restringido
+ Acceso remoto limitado por Cortafuegos
- Barreras físicas
- Reglas lógicas
+ Cifrado de Datos, Transmisiones y soportes
Conceptos y aspectos generales de la seguridad
Medidas a implantar
- Físico-Lógicas (2/3)
+ Control de Integridad
- Pruebas completas de aplicación
- en la actualización
- en la transmisión
+ Redundancia física local y remota
- en los datos
- en las aplicaciones
- en los servidores
- en las líneas de comunicaciones
- en los cortafuegos
Conceptos y aspectos generales de la seguridad
Medidas a implantar
- Físico-Lógicas (3/3)
+ Antivirus
+ Copias de seguridad
- en local y en remoto
- revisión de soportes
+ Centro de Respaldo
- local o remoto
- probado
+ Seguridad en el suministro energético
- redundancia en la línea y/o compañía
- SAI y suministro propio
Conceptos y aspectos generales de la seguridad
Medidas a implantar
- Normativo-Procedimentales (1/2)
+ Documento de Organización
+ Documento de Seguridad
- Especial referencia a Protección de Datos de Carácter Personal
- Comité y/o Responsable de Seguridad
- Responsabilidades de Usuarios y de personal especializado
Conceptos y aspectos generales de la seguridad
Medidas a implantar
- Normativo-Procedimentales (2/2)
+ Normas Internas de utilización y manejo de los Sistemas de Información
+ Procedimientos de Desarrollo, Prueba y Explotación
+ Cumplimiento de estándares
+ Planes de Contingencias
- Manual de procedimientos ante situaciones
- Pruebas reales
Conceptos y aspectos generales de la seguridad
Medidas a implantar
- Sociológicas
+ Formación
+ Divulgación
+ Concienciación
+ Comunicación
Conceptos y aspectos generales de la seguridad
Mantenimiento de las Medidas
- Auditoría periódica
+ Interna
+ Externa
- Actualización física y lógica de las medidas
- Sistemas de ataque ético y otras pruebas de vulnerabilidades
- Revisión de Normas y Procedimientos
- Cumplimiento de Leyes y Normas jurídicas
Conceptos y aspectos generales de la seguridad
Y en conclusión...
Gestionar la SEGURIDAD de una Organización
es Gestionar el Riesgo de que algo ocurra
con los análisis Cualitativos y Cuantitativos de los parámetros involucrados en las posibles vulnerabilidades y sus correspondientes efectos en la Organización.
Conceptos y aspectos generales de la seguridad
top related