Aspectos Generales Sobre

Seguridad de la Informacin
M&T Consulting
Calle Las Begonias N 552, Ofi. 47
Centro Financiero San Isidro.
Central: (511) 719-5670 / 719-5671

www.myt.com.pe
Eric Morn Aazco
MBA, PMP, Lead Auditor ISO 27001

Consulting Division Manager
eric.moran@myt.com.pe
M&T Consulting
AGENDA
Por qu concientizar
Activo de informacin
Amenaza, vulnerabilidad y riesgo de SI
Qu es seguridad de la Informacin?
Objetivo de la seguridad de la informacin
Controles de seguridad de la informacin
Normas, estndares y buenas prcticas en
seguridad de la informacin
Incidentes de seguridad de la informacin
Ingeniera Social
Concienciacin en seguridad
Aspectos generales del SGSI
La Importancia de Concientizar
Un grupo de hackers
anunci que publicar
algunos correos
electrnicos del primer
ministro scar Valds
Dancuart,.La primera de
tres partes, que ya est en
Internet, contiene 1.000
documentos del Gobierno
Peruano, desde archivos
PDF y Power Point de
tratados del Gobierno, o de
simples manuales.
elcomercio.pe - Martes 07 de febrero de 2012 - 09:00 am
El impacto econmico, poltico y social de los ataques cibernticos ha
dejado de ser posible para convertirse en real.

Hacker rob 2. 000 registros de
clientes (mayo 2011)
http://www.computerworlduk.com/
Se propaga un malware en un
spam de Facebook
http://www.symantec.com/
2011
Informacin de 100
millones de usuarios se vio
comprometida
Computerworld (US) 2011


Hasta tres millones de
cuentas se vio
comprometida
The New York Times
2011


Estafas a jubilados por
tramitadores falsos, que
conocen los datos privados de
los empleados.
El Comercio 2011
Publican contraseas de
ms de 55.000 usuarios de
Twitter
El Comercio 2012
Celulares y documentos de altos
funcionarios diplomticos fueron
difundidos por hackers
El Comercio 2012

'Hacker' vulner portal
de la PNP
El Comercio 2010
Cable de Wikileaks revela
peligrosas infidencias en
SBS
El Comercio 2011
Incluso entidades preparadas con vastos controles tecnolgicos
de seguridad han sido vulneradas el ltimo ao
La Importancia de Concientizar
La Importancia de Concientizar
La Importancia de Concientizar
Elaboracin de programas
nicos.

Bombardeo de informacin a los
usuarios.

Falla en el seguimiento del
programa.


Errores Comunes
Los activos de informacin adoptan diversas formas:
Documentos en papel: contratos, guas
Software: aplicativos y software de sistemas
Dispositivos fsicos: computadoras, medios removibles
Personas: clientes, personal, etc.
Imagen y reputacin de la Institucin: marca
Servicios: comunicaciones, internet, energa.
Activo de Informacin es todo lo que es o contiene informacin y
tiene valor para la organizacin. Si la informacin no est contenida,
no es un activo de informacin. No confundir con activos fijos.
Activo de Informacin
Debo considerar a la caja fuerte como un activo?
Son activos de Informacin?
Clasificacin Marcado Ubicacin
Valorizacin Propietario Custodio
Propiedades de un Activo de Informacin
Causa potencial de un incidente no
deseado que puede resultar en dao al
sistema o a la organizacin o a sus activos
Puede ser accidental o intencional
Los activos estn sujetos a muchos tipos de
amenazas que explotan sus
vulnerabilidades:
Desastres naturales: terremoto,
inundacin, etc.
Humanas: errores de mantenimiento,
huelga, errores de usuario
Tecnolgicas: cada de red, sobre
trfico, falla de hardware

Amenazas
Amenazas por Desastres Naturales
Incendios
Terremotos
Avalancha / huayco
Inundaciones
Otros: tornado, viento, volcn,
tsunami, tormenta de invierno,
tormenta solar, tormenta
elctrica/relmpago
Amenazas Tecnolgicas
Fuga de informacin
Crecimiento de uso de equipos mviles
(laptops, PDAs, celulares)
Virus y malware
Aumento de complejidad y eficacia de
virus y herramientas de hacking.
Falla de sistemas de informacin (software
y hardware)
Amenazas causadas por Humanos
Divulgacin de
informacin por email
Sabotaje
Terrorismo
Hackers
Ingeniera Social

Vulnerabilidades
Una vulnerabilidad es una debilidad o
ausencia de control en la seguridad de
informacin de una organizacin
Por s sola no causa daos
Si no es administrada, permitir que una
amenaza se concrete
Ejemplo:
Ausencia de personal clave
Sistema de energa inestable
Cableado desprotegido
Falta de conciencia de seguridad
Ausencia de sistema extinguidor de
incendios
Riesgos en seres humanos
Amenaza Vulnerabilidad
Consecuencia
Riesgos en Documentos
Amenaza Vulnerabilidad
Consecuencia
Riesgos en Sistemas Informticos
Amenaza
Vulnerabilidad
Consecuencia
Riesgos en Activos Fsicos
Amenaza
Vulnerabilidad
Consecuencia
Riesgo de seguridad de la informacin
Posibilidad que una amenaza concreta pueda
explotar una vulnerabilidad para causar una
prdida o dao en un activo de informacin.
(ISO 27001).
Valor del activo Amenaza Vulnerabilidades
x
Impacto
Probabilidad de
ocurrencia
x
Seguridad de la informacin

Acceso cuando
sea requerido
Disponibilidad
Slo acceden
quienes estn
autorizados.
Confidencialidad

La informacin y su
procesamiento son
exactos y completos.
Integridad
Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin, as mismo, otras propiedades como la autenticidad, no rechazo,
contabilidad y confiabilidad tambin pueden ser consideradas
ISO/IEC 27002
Informacin
Objetivo de la Seguridad de Informacin
Asegurar la continuidad de las
operaciones de la Institucin
Minimizar los daos a la organizacin
en caso de prdida o revelacin no
autorizada de informacin.
Maximimar el retorno de las inversiones
y las oportunidades de negocio
La seguridad de la informacin no es un proceso tecnolgico, es un PROCESO DE GESTI ON
ISO/IEC 27002
Control de Seguridad de Informacin
Herramienta de la gestin del riesgo, incluido
polticas, pautas, estructuras organizacionales,
que pueden ser de naturaleza administrativa,
tcnica, gerencial o legal.

NOTA: Control es tambin usado como sinnimo de salvaguardia o contramedida

ISO/IEC 27002
NORMAS, MARCOS Y ESTANDARES
Control
Interno
COSO
CobIT
Sarbanex
Oxley
Gestin de
Riesgos
ASNZ 4360
ISO 27005
Octave
Magerit
Gestin de
Proyectos
PMBOK
CMMi
Seguridad de
la Informacin
ISO 27002
ISO 27001
NIST 800-14
ITIL
Continuidad
de Negocios
NIST 800-34
BS 25999
DRII
Historia de las Normas
1995 2000 1999 1998 1997 1996 2004 2003 2002 2001
BS 7799-1:1995
BS 7799-1:1999
BS ISO/IEC
17799:2000
BS 7799-1:2000
NTP -ISO/IEC
17799:2004
BS 7799-2:1998
BS 7799-2:1999
BS 7799-2:2002
CDIGO DE PRCTICAS
PARA LA GESTIN DE LA SEGURIDAD DE LA INFORMACIN
ESPECIFICACIONES
PARA SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN
UNE-ISO/IEC
17799:2002
2005
ISO/IEC
17799:2005
ISO/IEC
27001:2005
2006 2007
NTP -ISO/IEC
17799:2007
Normas ISO de Gestin de Seguridad de la Informacin
ISO/IEC 27000 es un conjunto de estndares
desarrollados -o en fase de desarrollo- por
ISO (International Organization for
Standardization) e IEC (International
Electrotechnical Commission), que
proporcionan un marco de gestin de la
seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o
privada, grande o pequea.
ISO 27001
ISO 27002
(antes 17799)
ISO 27000
ISO 27003 ISO 27004 ISO 27005
BREAK: de 10 minutos
Estratgico
Operativo
Poltica de Seguridad
Organizacin de la
Seguridad de Informacin
Seguridad de los Recursos
Humanos
Seguridad Fsica y
Ambiental
Gestin de activos Control de Accesos
Gestin de Operaciones y
Comunicaciones
Adquisicin, Desarrollo y
Mant. de Sistemas
Gestin de Continuidad de
Negocios
Gestin de Incidentes de
Seguridad
Cumplimiento

Controles para
la Gestin de
la Seguridad
de la
Informacin
SGSI - Sesin 01
ISO 27002 Cdigo de Buenas prcticas de seguridad de la Inf.
6 Aspectos Organizacionales
Aspectos Fsicos
Aspectos Tcnicos
Aspecto de Control
1
3
11 clusulas
39 categoras
133 controles
1
Poltica de Cdigo Mvil
Donde el uso de cdigo mvil es autorizado, la configuracin debe asegurar que dicho
cdigo mvil opera de acuerdo a una poltica de seguridad definida y que se debe
prevenir que ste sea ejecutado.
(ISO 27002 Control 10.4.2)
El cdigo mvil es un cdigo de software
que se transfiere desde una computadora a
otra y luego ejecuta automticamente y
realiza una funcin especfica con poco o
ninguna interaccin del usuario.
Poltica de Backup
Se deben hacer regularmente copias de seguridad de toda la informacin esencial del
negocio y del software, en concordancia con la poltica acordada de recuperacin
(ISO 27002 Control 10.5.1)
Poltica para el intercambio de informacin y software
Se deben establecer polticas, procedimientos y controles formales de intercambio con
el fin de proteger la informacin a travs de todos los tipos de instalaciones de
comunicacin.
(ISO 27002 Control 10.8.1)
Informacin
Correo electrnico
Voz
Fax
Video
Software
Descarga de
Internet
Proveedores
Poltica de Sistemas de Informacin de Negocios
Se deben desarrollar e implementar polticas y procedimientos con el fin de proteger la
informacin asociada con la interconexin de sistemas de informacin de negocios.
(ISO 27002 Control 10.8.5)
Los sistemas de informacin
permiten distribuir rpidamente y
compartir informacin de negocio.

Controles de acceso
Clasificacin de informacin
Identificacin de usuarios
Backup
Contingencias
Poltica de Control de Accesos
Considerar acceso fsico
y lgico.
Todo lo que no est
explcitamente permitido
debe estar prohibido
Una poltica de control de acceso debe ser establecida, documentada y revisada y debe
estar basada en los requerimientos de seguridad y del negocio
(ISO 27002 Control 11.1.1)
Poltica de Pantalla y Escritorio Limpio
Se debe adoptar una poltica de escritorio limpio para papeles y medios removibles de
almacenamiento as como una poltica de pantalla limpia para instalaciones de
procesamiento de informacin.
(ISO 27002 Control 11.3.3)
Poltica de uso de los servicios de la red
Los usuarios slo deben tener acceso directo a los servicios para los que estn
autorizados de una forma especfica.
(ISO 27002 Control 11.4.1)
Redes y servicios de red
permitidos
Web
Correo electrnico
Mensajera instantnea
VPN / Acceso remoto,
Poltica de informtica mvil y comunicaciones
Se debe adoptar una poltica formal y medidas de seguridad apropiadas con el fin de
protegernos contra los riesgos cuando se usan dispositivos de informtica
(ISO 27002 Control 11.7.1)
Laptops
Telfonos celulares
Agendas PDA
Dispositivos inalmbricos

Consideraciones:
Uso en reas pblicas
Software malicioso
Backup
Robo
Poltica de Teletrabajo
Se debe desarrollar e implementar una poltica, planes operacionales y procedimientos
para las actividades de teletrabajo.
(ISO 27002 Control 11.7.2)
Consideraciones:
Robo de equipos
Fuga de informacin
Propiedad intelectual
Auditoria a equipos
Licencia de software
Proteccin antivirus
Incidente de Seguridad de la Informacin
Una o varias series de eventos inesperados y no
deseados que tienen una gran probabilidad de
comprometer las operaciones de negocios y de
amenazar la seguridad de informacin

ISO/IEC 18044

Violacin de un control
Poltica de uso de los controles criptogrficos
La organizacin debe desarrollar e implementar una poltica de uso de las medidas
criptogrficas para proteger la informacin.
(ISO 27002 Control 12.3.1)
Consideraciones:
Situaciones en las que debe
utilizarse
Nivel de proteccin requerido
(tipo, algoritmo)
Responsabilidades
Regulaciones

Ingeniera Social un riesgo olvidado




Qu es Ingeniera Social?

Consiste en engaar a alguien para que
entregue informacin o permita el acceso no
autorizado o divulgacin no autorizada, que
usualmente no dara, a un Sistema de
Informacin, Aplicativo o Recurso
Informtico.
El Arte de engaar a las personas

Concienciacin en seguridad




Finalizar, de manera progresiva, con el
desconocimiento de la seguridad de la
informacin en toda la organizacin

Crear una cultura real de seguridad de la
informacin dentro de una organizacin
1. Inventariar
Personas Tecnologia
Procesos Ambiente
2. Anlisis
3. Evaluacin
4. Tratamiento
Basado en la
Norma

ISO 27005
Activos y sus
atributos
Controles
actuales
Amenazas
Vulnerabilidades
Riesgo Efectivo
Mecanismos
propuestos
Impacto
Probabilidad
Gestin de Riesgos
Relevancia
Modelo de Gestin de la Seguridad de la Informacin Modelo PDCA
P
A
R
T
E
S

I
N
T
E
R
A
S
A
D
A
S



E
x
p
e
c
t
a
t
i
v
a
s


y

r
e
q
u
i
s
i
t
o
s

d
e

s
e
g
u
r
i
d
a
d


d
e

I
n
f
o
r
m
a
c
i

n

P
A
R
T
E
S

I
N
T
E
R
S
A
D
A
S


S
e
g
u
r
i
d
a
d

d
e

I
n
f
o
r
m
a
c
i

n


G
e
s
t
i
o
n
a
d
a

Implementacin de
Poltica, controles y
procedimientos
Asignacin de recursos
(gente, tiempo y dinero)
Programa de
concientizacin
Tratamiento de riesgo
Medicin de
resultados
Anlisis de tendencias
Auditoria interna
Revin de la Gerencia
Definicin del alcance del
Sistema
Evaluacin de Riesgos.
Plan de Tratamiento de
Riesgos
Definicin de Polticas de
Seguridad
Tratamiento de no
conformidades
Acciones correctivas y
preventivas
ACTUAR
Mantener y
mejorar el
SGSI
PLANEAR
Establecer el
SGSI
HACER
Implementar
y operar el
SGSI

VERIFICAR
Monitorear y
revisar el
SGSI
Estructura de la norma ISO 27001
0. Introduccin
General
Enfoque de procesos
Compatibilidad con otros
sistemas de gestin
1. Alcance
General
Aplicacin
2. Referencias
normativa
3. Trminos y
definiciones
4. Sistema de gestin
de seguridad de
informacin
5. Responsabilidad de
la gerencia
6. Auditorias internas
del SGSI
7. Revisin por la
direccin del SGSI
8. Mejora del SGSI
Anexo A: Objetivos
de control y controles
Anexo B: Principios
OECD y la Norma
Internacional
Anexo C:
Correspondencia
entre ISO 9001:2000,
ISO 14001:2004 y la
Norma Internacional
Requisitos obligatorios de ISO 27001
Objetivos de control y controles (Desarrollado en ISO 17799)
Clusula 4: Sistema de Gestin de Seguridad
de la Informacin
Requerimientos Generales:
Indica que el proceso utilizado est basado en el modelo PDCA.

Estableciendo y Administrando el SGSI:
Establecer el SGSI (Plan)
Implementar y operar el SGSI. (Do)
Monitorear y revisar el SGSI. (Check)
Mantener y mejorar el SGSI. (Act)

Requerimientos de Documentacin:
Son parte del sustento del proceso de funcionamiento del SGSI.
Generales
Control de Documentos
Control de Registros
Clusula 5: Responsabilidad de la direccin
El Compromiso de la Direccin, se evidencia:
Estableciendo la poltica de seguridad de informacin
Garantizando el establecimiento de planes y objetivos de la seguridad
de informacin
Estableciendo reglas y responsabilidades
Comunicando a la organizacin la importancia de estar de acuerdo con
los objetivos de seguridad
Brindando recursos para planificar, implementar, operar y mantener el
SGSI
Decidiendo los niveles de riesgo aceptables.
Provisin de recursos
Capacitacin,
concientizacin y
competencia
Clusula 7: Revisin de la Gestin del SGSI
La direccin debe revisar el SGSI para asegurar su conveniencia,
suficiencia y efectividad continua.
Revisin
de la
Gestin
del SGSI
Resultados de auditoras y revisiones del SGSI
Retroalimentacin de terceras partes interesadas
Tcnicas, productos o procedimientos para mejorar el SGSI
Estado de las acciones preventivas y correctivas
Vulnerabilidades o amenazas no dirigidas adecuadamente
en la Evaluacin del Riesgo previa
Resultados de las mediciones de efectividad
Acciones de seguimiento de revisiones previas
Cambios que pudieran afectar el SGSI
Recomendaciones para la mejora
Mejora de la efectividad del SGSI
Actualizacin de la Evaluacin del
Riesgo y Plan de Tratamiento del
Riesgo
Modificacin de los procedimientos y
controles que afectan la seguridad de
la informacin
Necesidades de recursos
Mejora de la medicin de la
efectividad de los controles
Entradas Salidas
Al menos 1 vez
al ao
Debe realizarse
a intervalos
planificados
Clusula 8: Mejora del SGSI







Identificar las no-conformidades
Determinar las causas
Evaluar la necesidad de acciones para
que no vuelvan a ocurrir
Determinar e implementar acciones
correctivas
Registrar los resultados
Revisar la eficacia de las acciones
implementadas







Identificar las no conformidades
potenciales y sus causas
Determinar e implementar acciones
preventivas
Registrar los resultados
Revisar las acciones preventivas
tomadas
Identificar cambios en los riesgos
Controlar riesgos modificados
Acciones Correctivas
Eliminan las causas de las
no-conformidades, para
prevenir su repeticin
Acciones Preventivas
Acciones para protegerse
contra no-conformidades
futuras
Mejora Continua
Procedimientos del SGSI
SGSI
4.2.2 h
Procedimiento de
gestin y respuesta
a incidentes de
seguridad
4.2.3 a
Procedimiento de
gestin de riesgos de
seguridad
4.3.2
Procedimiento para
la gestin y control
de documentos
4.3.3
Procedimiento para
el control de
registros del SGSI
6
Procedimiento para
Auditorias Internas
8.2
Procedimiento para
Acciones
Correctivas
8.3
Procedimiento para
Acciones
Preventivas
Fuente: ISO 27001:2005
Estructura del SGSI
Poltica de Seguridad de la Informacin
Estructura
Organizacional
Comit de
Seguridad
Equipos de
Trabajo
Plan de Seguridad
Polticas
especficas de
seguridad
Capacitacin y
toma de
conciencia
Procedimientos
Guas,
Instructivos
Simulacros
Controles
Tcnicos
Estructura Organizacional del SGSI
Comit de Gestin de Seguridad
Gerencia General, Gerentes de lnea
Equipo de Trabajo
- Jefes de rea, Coordinadora
de Informtica
Oficial de Seguridad de la Informacin
GRACIAS !!!
Lic. Eric Morn Aazco
MBA, PMP, Lead Auditor ISO 27001
Consulting Manager
Eric.moran@myt.com.pe