auditoria - seguridad

7/28/2019 Auditoria - Seguridad

1/26

Seguridad de la Informacin

Seguridad

InformacinDe la

Ing. Max LazaroOficina Nacional de Gobierno

Electrnico e Informtica


2/26


Nuevos Escenarios:


3/26


La informacin debe considerarse como un

recurso con el que cuentan las Organizacionesy por lo tanto tiene valor para stas, al igual

que el resto de los activos, debe estar

debidamente protegida.

Qu se debe asegurar ?


4/26


La Seguridad de la Informacin, protege asta de una amplia gama de amenazas,

tanto de orden fortuito como destruccin,

incendio o inundaciones, como de ordendeliberado, tal como fraude, espionaje,

sabotaje, vandalismo, etc.

Contra qu se debe proteger la

Informacin ?


5/26


Confidencialidad:Se garantiza que la informacin esaccesible slo a aquellas personas autorizadas a tener

acceso a la misma.

Integridad:Se salvaguarda la exactitud y totalidad de la

informacin y los mtodos de procesamiento.

Disponibilidad:Se garantiza que los usuariosautorizados tienen acceso a la informacin y a los recursos

relacionados con la misma toda vez que se requiera.

Qu se debe garantizar ?


6/26


Las Organizaciones son cada vez mas

dependientes de sus Sistemas y Serviciosde Informacin, por lo tanto podemosafirmar que son cada vez mas vulnerables

a las amenazas concernientes a suseguridad.

Por qu aumentan las amenazas ?


7/26


Por qu aumentan las amenazas ?

Crecimiento exponencial de las Redes yUsuarios Interconectados

Profusin de las BD On-Line

Inmadurez de las Nuevas Tecnologas

Alta disponibilidad de HerramientasAutomatizadas de Ataques

Nuevas Tcnicas de Ataque Distribuido(Ej:DDoS)

Tcnicas de Ingeniera Social

AlgunasCausas


8/26


Accidentes: Averas, Catstrofes,

Interrupciones, ...Errores: de Uso, Diseo, Control, ....

Intencionales Presenciales: Atentado con acceso

fsico no autorizadoIntencionales Remotas: Requieren acceso alcanal de comunicacin

Cules son las amenazas ?


9/26


Interceptacin pasiva de la informacin

(amenaza a la CONFIDENCIALIDAD).Corrupcin o destruccin de lainformacin (amenaza a la INTEGRIDAD).

Suplantacin de origen (amenaza a laAUTENTICACIN).

Amenazas Intencionales Remotas


10/26


Poltica de Seguridad para el SectorPblico


11/26


Conjunto de requisitos definidos por los responsables directos

o indirectos de un Sistema que indica en trminos generales

qu est permitido y qu no lo est en el rea de seguridad

durante la operacin general de dicho sistema

Que se entiende por Politica de Seguridad ?

o Poltica: el porqu una organizacin protege la informacin

o Estndares: lo que la organizacin quiere hacer para

implementar y administrar la seguridad de la informacin

o Procedimientos: cmo la organizacin obtendr los

requerimientos de seguridad

Diferencias entre Poltica, Estndar y Procedimiento


12/26


Evaluar los riesgos que enfrenta la organizacin

o Se identifican las amenazas a los activos

o Se evalan las vulnerabilidades y probabilidades de

ocurrencia

o Se estima el impacto potencial

Tener en cuenta los requisitos legales, normativos,

reglamentarios y contractuales que deben cumplir:

o La organizacin

o Sus socios comercialeso Los contratistas

o Los prestadores de servicios

Establecer un conjunto especfico de principios, objetivos y

requisitos para el procesamiento de la informacin

Cmo establecer los requerimientos de seguridad?


13/26


Un modelo de gestin para la mejora continua de la calidad de

la seguridad de la informacin

oRealizacin de un anlisis de riesgos

oDefinicin de una poltica de seguridad

oEstablecimiento de controles

SGSI: Sistema de Gestin de la Seguridad de la Informacin

ISMS: Information Security Management Sytsem

Qu se entiende por SGSI?


14/26


Con fecha 23 de julio del 2004 la PCM a travsde la ONGEI, dispone el uso obligatorio de la

Norma Tcnica Peruana NTP ISO/IEC

17799:2004 EDI. Tecnologa de la Informacin:

Cdigo de Buenas Prcticas para la Gestin de

la Seguridad de la Informacin en entidades del

Sistema Nacional de Informtica.

Se Actualiz el 25 de Agosto del 2007 con laNorma Tcnica Peruana NTP ISO/IEC

17799:2007 EDI.


15/26


Marco de las recomendaciones La NTP-ISO 17799 es una compilacin de

recomendaciones para las prcticas exitosas deseguridad, que toda organizacin puede aplicarindependientemente de su tamao o sector.

La NTP fue redactada para que fuera flexible y noinduce a las organizaciones que la cumplan al piede la letra, se deja a estas dar una solucin deseguridad de acuerdo a sus necesidades.

Las recomendaciones de la NTP-ISO 17799 sonneutrales en cuanto a la tecnologa. La normadiscute la necesidad de contar con Firewalls, perono profundiza sobre los tipos de Firewalls y cmose utilizan.


16/26


En este sentido La Norma Tcnica Peruana ISO 17799, se emite para ser considerada en laimplementacin de estrategias y planes deseguridad de la informacin de las EntidadesPblicas.

La NTP NO exige la certificacin, pero si laconsideracin y evaluacin de los principalesdominios de acuerdo a la realidad de cadaorganizacin.


17/26


Cuales son los temas o dominios a

considerar dentro de un plan deSeguridad?


18/26


Los 11 dominios de control de ISO 17799

1. Poltica de seguridad:

Se necesita una poltica que refleje las expectativas dela organizacin en materia de seguridad, a fin de

suministrar administracin con direccin y soporte. Lapoltica tambin se puede utilizar como base para elestudio y evaluacin en curso.

2. Aspectos organizativos para la seguridad:

Sugiere disear una estructura de administracindentro la organizacin, que establezca laresponsabilidad de los grupos en ciertas reas de laseguridad y un proceso para el manejo de respuesta aincidentes.


19/26


20/26


6. Gestin de Comunicaciones y Operaciones: Losobjetivos de esta seccin son:

Asegurar el funcionamiento correcto y seguro de lasinstalaciones de procesamiento de la informacin.

Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la informacin.

Conservar la integridad y disponibilidad del procesamiento y lacomunicacin de la informacin.

Garantizar la proteccin de la informacin en las redes y de la

infraestructura de soporte. Evitar daos a los recursos de informacin e interrupciones en

las actividades de la institucin.

Evitar la prdida, modificacin o uso indebido de lainformacin que intercambian las organizaciones.


21/26


7. Control de accesos:Establece la importancia de monitorear ycontrolar el acceso a la red y los recursos deaplicacin como proteccin contra los abusosinternos e intrusos externos.

8. Adquisicin, Desarrollo y Mantenimiento de lossistemas:

Recuerda que en toda labor de la tecnologa de la

informacin, se debe implementar y mantener laseguridad mediante el uso de controles deseguridad en todas las etapas del proceso.


22/26


9. Gestin de Incidentes de la Seguridad de lainformacin

Asegurar que los eventos y debilidades en laseguridad de la informacin sean comunicados demanera que permitan una accin correctiva a tiempo.

10. Gestin de Continuidad del NegocioAconseja estar preparado para contrarrestar lasinterrupciones en las actividades de la organizacin ypara proteger los procesos importantes de laorganizacin en caso de una falla grave o desastre.

11. Cumplimiento:

Evitar brechas de cualquier ley civil o criminal,estatutos, obligaciones regulatorias o contractuales yde cualquier requerimiento de seguridad.


23/26


Implementando Seguridad

de la Informacin

Enfoque General


24/26


24

3.- Aplicacin de ISO 17799

ISO 17799 no es una norma tecnolgica.

Esta redactada de forma flexible. Se adapta a cualquier implantacin en todo tipo de

organizaciones sin importar su tamao o sector de

negocio.

Ejemplo de Implantacin


25/26


25


Dominio de control: Gestin de comunicaciones y

operaciones

Objetivo de control: proteger la integridad del software y de la

informacin.

Control: Controles contra software malicioso.

Se deberan implantar controles para detectar el

so ftw are malicio so y preven irse con tra l, jun to a

proc edim ientos adecuados para con cienc iar a los

usuarios.



26/26


26


Tras un trabajo de Consultora se establecera:

Normativa de uso de software: definicin y

publicitacin en la Intranet.

Filtrado de contenidos: X - Content Filtering

Antivirus de correo: Y Antivirus

Antivirus personal: Z Antivirus


auditoria - seguridad

Documents