Seguridad de los

Sistemas de Informacin

Jorge Eterovic

Programa analtico
Unidad 1: Introduccin a la Gestin de la Seguridad de la
Informacin.
Conceptos de Confidencialidad, Integridad y Disponibilidad. Evolucin
de la Seguridad de la Informacin. Elementos de la Seguridad. Norma
IRAM-ISO/IEC 27001. Sistema de Gestin de la Seguridad de la
Informacin. Ciclo de vida de un SGSI.
Unidad 2: Gestin de Riesgos de TI y Continuidad del Negocio.
Definicin de Propietario de la Informacin. Clasificacin de la
Informacin. Criterios. Amenazas y Vulnerabilidades. Impacto y
Probabilidad de ocurrencia. Matriz de Riesgos. Gestin de Riesgos.
Controles y contramedidas. Plan de contingencia. Plan de continuidad
del negocio. Plan de recuperacin.

Programa analtico
Unidad 3: Amenazas y Vulnerabilidades.
Amenazas naturales y humanas. El agente de amenaza. Historia y
evolucin del Malware. Ingeniera social. Vulnerabilidades de los
sistemas de informacin. Amenazas y vulnerabilidades en redes
cableadas, Wi-Fi, Bluetooth y RFID.
Unidad 4: Controles Lgicos.
Firewall e IDS/IPS. Evolucin y caractersticas. Tipos y principios de
funcionamiento. Arquitectura de las redes y la seguridad. Defensa en
profundidad, Cmo elegir el mejor producto. Firewall para dispositivos
mviles. Sniffers. Dispositivos UTM. Herramientas SIEM. Web
Application Firewall. La Seguridad y las personas.

Programa analtico
Unidad 5: Controles Fsicos.
Componentes de la Seguridad fsica. Principales Amenazas. Controles
administrativos. Controles fsicos y tcnicos. Diseo y configuracin del
Centro de Cmputos. Proteccin perimetral. Seguridad desde el diseo
seguro. Consideraciones medioambientales.
Unidad 6: Controles Funcionales y Legales.
Principales normas aplicables. ISO y la serie 27000. Marco regulatorio
en Argentina. Ley de Delitos Informticos. Marco regulatorio en el
Estado y para entidades financieras. Ley de Habeas Data y la
proteccin de los datos personales.

Programa analtico
Unidad 7: Controles Criptogrficos.
Definicin de un sistema criptogrfico. Clasificacin. Historia y
evolucin. Comparacin de los criptosistemas modernos. Algoritmos
de cifrado simtrico. Cifrado Asimtrico. Hash. Firma digital. La
criptografa y los protocolos de seguridad en las comunicaciones de
datos.
Unidad 8: Seguridad en Redes de Datos.
Principales amenazas. Componentes de las redes de datos.
Vulnerabilidades. Redes LAN y WAN. Topologas. Protocolos. Criterios
de seguridad para configurar los componentes de una red. Topologa y
configuracin del Firewall. Honey Pots.

Programa analtico
Unidad 9: Anlisis Forense Informtico.
Concepto y definiciones. Procedimientos formales. Adquisicin de
evidencias. Uso de herramientas para plataformas Windows y Linux.
Hardware para anlisis forense. Bloqueadores de escritura y
Duplicadores de discos. Uso de Live CD.

Criterios de evaluacin:

Exposiciones individuales o en grupo que debern realizar todos los

alumnos del curso sobre las Actividades Prcticas.
Una evaluacin tipo Mltiple Choice sobre los temas tericos de la
materia.
Una evaluacin al final de la cursada que consiste en la defensa de un
Trabajo de Investigacin. La defensa del mismo, se realizara en forma
oral previamente aprobada la instancia escrita.

Temas de Investigacin
7

Esteganografa
Seguridad en Smartphones
Seguridad en Cloud Computing
Firma Digital y PKI
Seguridad en wireless
Seguridad en Bluetooth
Seguridad en RFID
Seguridad en Virtualizacin
Spyboot/BotNets
Sistemas Criptogrficos de curvas elpticas
Anlisis Forense Informtico
Ethical Hacking - OSSTMM
Seguridad de Aplicaciones WEB OWASP
Seguridad de Productos Software Common Criteria

Apuntes de la materia

Apuntes de la materia:

http://ar.groups.yahoo.com/group/unlam06-si/

Para solicitar el alta, por favor mandarme un mail a:

jorge_eterovic@yahoo.com.ar
8

Bibliografa
Buchmann Johannes A., Karatsioli Evangelos s and Wiesmaier Alexander. (2013).
Introduction to Public Key Infrastructures. Ed. Springer.
Incotec- (2011). Sistema de Gestin de la Seguridad de la Informacin (SGSI), Ed.
Incotec.
Norma IRAM-ISO/IEC 27002. (2008). Tecnologa de la informacin. Cdigo de
Buenas Prcticas en la Gestin de la Seguridad de la Informacin, Ed. IRAM.
Norma IRAM-ISO/IEC 27001. (2014). Tecnologa de la informacin. Sistema de
Gestin de la Seguridad de la Informacin, Ed. IRAM.
Norma IRAM-ISO/IEC 27005. (2009). Tecnologa de la informacin. Gestin del
riesgo. Principios y guas, Ed. IRAM.
Norma IRAM-ISO/IEC 31000. (2013). Gestin del riesgo de seguridad de la
informacin, Ed. IRAM.
O'Hanley Richard and Tiller James S. (2013). Information Security Management
Handbook, Sixth Edition, Ed. CRC Press.
Stallings William. (2013). Cryptography and Netware Security. Principles and
Practice. 6 edition, Prentice Hall.
Shon Harris. (2012). CISSP All-in-One Exam Guide, 6 Edition, Ed. McGraw-Hill.
9

Sitios WEB

10

National Institue of Standards and Technologies (NIST):

www.nist.gov

Certified Information Systems Security Professional (CCCure):

www.cccure.org

Computer Emergency Response Team, Carnegie Mellon University

(CERT): www.cert.org

Instituto Argentino de Normalizacin y Certificacin (IRAM):

www.iram.org.ar

IT Governance Institute (ITGI): www.itgi.org

Asociacin de Auditora y Control de Sistemas de Informacin

(ADACSI): www.adacsi.org.ar / www.isaca.org

Seguridad de la Informacin?

11

Conceptos bsicos

Informacin: Se refiere a toda comunicacin o representacin de

conocimiento como datos, en cualquier forma, con inclusin de
formas textuales, numricas, grficas, cartogrficas, narrativas o
audiovisuales, y en cualquier medio, ya sea magntico, en papel,
en pantallas de computadoras, audiovisual u otro.

Sistema de Informacin: Se refiere a un conjunto independiente de

recursos de informacin organizados para la recopilacin,
procesamiento, mantenimiento, transmisin y difusin de
informacin segn determinados procedimientos, tanto
automatizados como manuales.

Tecnologa de la Informacin: Se refiere al hardware y software

operados por la organizacin o por un tercero que procese
informacin en su nombre, para llevar a cabo una funcin propia
de la compaa, sin tener en cuenta la tecnologa utilizada, ya se
trate de computacin de datos o telecomunicaciones.

Seguridad de la Informacin: Se refiere a cmo asegurar la

informacin de la organizacin.

12

Qu es la seguridad?
Es un concepto abstracto
Es la confianza en algo o en alguien
Es la ausencia de RIESGO
Segn Maslow:

13

Principios de la seguridad
Confidencialidad
Los componentes del sistema sern accesibles slo por aquellos
usuarios autorizados.

Integridad
Los componentes del sistema slo pueden ser creados y
modificados por los usuarios autorizados.

Disponibilidad
Los usuarios deben tener disponibles todos los componentes del
sistema cuando as lo deseen.
14

Informacin segura
Si se cumplen estos principios, diremos en general
que la informacin est protegida y segura.

INFORMACION

Confidencialidad

INFORMACION

Integridad

INFORMACION

Informacin Segura

INFORMACION

Disponibilidad

Conceptos adicionales
Autenticidad: busca asegurar la validez de la informacin en tiempo, forma y
distribucin. Asimismo, se garantiza el origen de la informacin, validando el
emisor para evitar suplantacin de identidades.
Auditabilidad: define que todos los eventos de un sistema deben poder ser
registrados para su control posterior.
Proteccin a la duplicacin: consiste en asegurar que una transaccin slo se
realiza una vez, a menos que se especifique lo contrario. Impedir que se
grabe una transaccin para luego reproducirla, con el objeto de simular
mltiples peticiones del mismo remitente original.
No repudio: se refiere a evitar que una entidad que haya enviado o recibido
informacin alegue ante terceros que no la envi o recibi.
Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones
o disposiciones a las que est sujeta la empresa.

16

Confiabilidad de la Informacin: es decir, que la informacin generada sea

adecuada para sustentar la toma de decisiones y la ejecucin de las misiones
y funciones.

Evolucin de la Seguridad
REACTIVO

Etapa 1

Seguridad es un mal necesario

Etapa 2

Seguridad es como el aire acondicionado

Etapa 3

Seguridad es como un seguro

Etapa 4

Seguridad es Administrar los Riesgos

PROACTIVO
17

PROGRAMATICO

CULTURAL

Ataques a la Seguridad

18

Elementos de la Seguridad
Backup

Seguridad
de la
Informacin

Personas
Developer
19

USER

Kerberos

Descripcin de los elementos

Tecnologa

Procesos

Personas
20

Estndares, cifrado y proteccin datos

Caractersticas de seguridad en los productos

Productos y herramientas de seguridad

Gestin de la seguridad

Prevencin

Deteccin

Reaccin y recuperacin

Personal dedicado

Entrenamiento / Awareness

Cultura de Seguridad de la Informacin

Relacin con clientes y proveedores

Sofisticacin del Ataque vs.

Conocimientos del Intruso
binary encryption
stealth / advanced
scanning techniques

Alto
Conocimiento
del Intruso

Tools

denial of service

packet spoofing
sniffers

GUI

distributed
attack tools
www attacks
automated probes/scans

back doors
network mgmt. diagnostics

disabling audits

hijacking
burglaries sessions
Sofisticacin
del Ataque

Fuente: CERT/CC

exploiting known vulnerabilities

password cracking

Bajo
21

Atacantes

password guessing

1980

1985

1990

1995

2005

2010

IRAM-ISO/IEC 27001

Sistema de Gestin de la Seguridad de la Informacin

22

IRAM-ISO/IEC 27001
IRAM-ISO/IEC 27005
IRAM-ISO/IEC 20000

Entregables ISO 27001

23

Aplicacin del SGSI

IRAM 27001

Paso 1

Definir la Poltica

Documentar la Poltica

Paso 2

Definir el alcance del SGSI

Alcance del SGSI

Activos de Informacin

Paso 3

Paso 4

Amenazas,
Vulnerabilidades,
Impactos
Enfoque de la
organizacin para
administrar el riesgo,

Evaluar e identificar
los riesgos

Resultados y Conclusiones

Administrar el riesgo

Nivel de evaluacin
requerido

Paso 5

Paso 6
24

Seccin 3 de ISO 27001,

objetivos de control
y controles

Evaluacin del riesgo

Opciones de control seleccionadas

Seleccionar objetivos de control

y controles a implementar

Controles adicionales
no incluidos
en ISO 27001

Objetivos de control y control seleccionados

Preparar las
normas de aplicacin

Normas de aplicacin

Evaluacin e Identificacin de riesgos

Relacin entre los elementos

Fuente: ISO 27001 / 27002 Gestin de la Seguridad de la Informacin

ISO 27005 Risk Assessment & Risk Management

aprovechan

25

3. Amenazas

protegen
contra

4. Vulnerabilidades

incrementan

5. Riesgos
de Seguridad

7. Controles

cubiertos por

6. Requisitos
de seguridad

incrementan

indican

Impacto sobre la
Organizacin

exponen

1. Activos

incrementan

tienen

2. Valor de los activos y

Potenciales impactos

Administracin de Riesgos

Evaluacin de riesgos

Identificacin y seleccin
de controles de
seguridad

Reducir los Riesgos

Aceptacin de los
Riesgos residuales
Proceso de Administracin de Riesgos

26

Es el proceso por el cual se identifican y aplican los controles de seguridad a un sistema de

informacin, en concordancia y justificado por los riesgos evaluados e identificados.

27

Establecer el Contexto
Identificacin de Riesgos
Anlisis del Riesgo
Evaluacin del Riesgo
Tratamiento del Riesgo

Monitoreo y Revisin

Comunicacin y Consulta

Necesitamos un proceso para administrar

riesgos: IRAM-ISO/IEC 27005

Criterios para administrar el riesgo

IRAM-ISO/IEC 27005
Establecer el contexto
estratgico

COMUNICACIN Y CONSULTA

ESTABLECER EL CONTEXTO

IDENTIFICACIN DE RIESGOS

ANLISIS DE RIESGOS

EVALUACIN DEL RIESGO

Establecer el contexto
Organizacional
Establecer el contexto de
administracin del riesgo
Definir los criterios de
evaluacin de riesgos

TRATAR EL RIESGO

Definir la estructura de riesgos

28

El respaldo de la alta gerencia es un elemento clave

Criterios para administrar el riesgo

IRAM-ISO/IEC 27005
Realizar un anlisis de lo que
puede suceder

COMUNICACIN Y CONSULTA

ESTABLECER EL CONTEXTO

Analizar cmo puede suceder

IDENTIFICACIN DE RIESGOS

ANLISIS DE RIESGOS

EVALUACIN DEL RIESGO

Definir las herramientas y

tcnicas para la identificacin

Listas de verificacin
Experiencia
Registros
Tormenta de ideas, etc.

TRATAR EL RIESGO

29

La identificacin requiere un proceso amplio, sistemtico y estructurado

Criterios para administrar el riesgo

IRAM-ISO/IEC 27005
Definir las herramientas y
tcnicas para el anlisis.

COMUNICACIN Y CONSULTA

ESTABLECER EL CONTEXTO

IDENTIFICACIN DE RIESGOS

ANLISIS DE RIESGOS

EVALUACIN DEL RIESGO

Analizar los controles

existentes
Realizar un anlisis de impacto
y probabilidad de ocurrencia
Definir el tipo de anlisis
(cualitativo y/o cuantitativo)

TRATAR EL RIESGO

30

El anlisis resulta de la combinacin de clculos de probabilidad de

ocurrencia e impacto en el contexto de las medidas de control existentes.

Matriz cualitativa de anlisis de

riesgos nivel de riesgos
PROBABILIDAD
de
OCURRENCIA

CONSECUENCIAS / IMPACTO
Insignificantes
1

Menores
2

Moderadas
3

Significativas
4

Catastrficas
5

A (casi total)

B (probable)

C (posible)

D (improbable)

E (excepcional)

Referencias

31

E: Riesgo extremo

Requiere atencin inmediata

A: Riesgo alto

Requiere la atencin de la alta gerencia

M: Riesgo medio

Debe especificarse la responsabilidad de su administracin

B: Riesgo bajo

Se administra segn procedimientos de rutina

Criterios para administrar el riesgo

IRAM-ISO/IEC 27005
Realizar anlisis:

COMUNICACIN Y CONSULTA

ESTABLECER EL CONTEXTO

IDENTIFICACIN DE RIESGOS

ANLISIS DE RIESGOS

EVALUACIN DEL RIESGO

Cualitativo
Semi cuantitativo
Cuantitativo
Anlisis de sensibilidad

Comparar contra los criterios

de evaluacin de riesgos
Establecer las prioridades

TRATAR EL RIESGO

32

Las decisiones del anlisis deben dar cuenta de la consideracin

de tolerancia de los riesgos asumidos.

Criterio para administrar el riesgo

IRAM-ISO/IEC 27005
Identificar opciones para el
tratamiento de riesgos:

COMUNICACIN Y CONSULTA

ESTABLECER EL CONTEXTO

IDENTIFICACIN DE RIESGOS

ANLISIS DE RIESGOS

Evitar
Reducir: - probabilidad
- impacto
Transferir
Retener / Asumir

Evaluar opciones de tratamiento

(costo / beneficio)

EVALUACIN DEL RIESGO

Preparar planes de tratamiento

TRATAR EL RIESGO

Implementar
33

Si los riesgos no encajan en la categora medios o bajos,

se deber analizar el tratamiento apropiado

Gestin del riesgo - Documentacin

Razones para la documentacin

Las razones para la documentacin son las siguientes:

a) demostrar que el proceso es conducido apropiadamente;
b) proveer evidencia de un enfoque sistemtico de identificacin y
anlisis de riesgos;
c) proveer un registro de los riesgos y desarrollar la base de datos de
conocimientos de la organizacin;
d) proveer a los tomadores de decisin relevantes de un plan de
administracin de riesgos para aprobacin y subsiguiente
implementacin;
e) proveer un mecanismo y herramienta de responsabilidad;
f) facilitar el continuo monitoreo y revisin;
g) proveer una pista de auditoria; y
h) compartir y comunicar informacin.

Las decisiones concernientes al alcance de la documentacin

pueden involucrar costos y beneficios y se deberan tomar en
consideracin los factores mencionados anteriormente.
34

Objetivo de las Metodologas de

Administracin de Riesgo
Identificar los activos bajo riesgos
Ayuda a mitigar el riesgo
identificando y priorizando los
recursos en base a las
vulnerabilidades y amenazas.

Permite optimizar las inversiones

de seguridad y proteger en forma
proactiva los activos de
informacin ms importantes.

ACTIVOS
VULNERABILIDADES

AMENAZAS
Fuente: FoundStone, Risk Management Lifecycle

35

Ciclo de vida de la implementacin de

un SGSI
La evaluacin de
riesgos y el
sistema de
administracin
necesitan dirigirse
mediante un ciclo
de vida completo
de las
vulnerabilidades
que vaya desde su
identificacin
hasta la
remediacin.

POLITICA

Establecer proceso, normas y estndares

INVENTARIO

Identificar todos los activos de TI

PRIORIZAR

Asignar a los activos el valor para el negocio

VULNERABILIDADES

Determinar las vulnerabilidades de los activos

AMENAZAS

ACTIVOS

Visualizar las amenazas potenciales

RIESGO

Determinar el nivel de riesgo

REMEDIACION MEDIANTE CONTROLES

Tratamiento proactivo de vulnerabilidades.

Fuente: FoundStone, Risk Management Lifecycle

MEDICION

Medir el impacto de las decisiones y acciones de seguridad

36

CUMPLIMIENTO

Revisin del cumplimiento de la poltica

Algunos Estndares

Fuente: Information Security Harmonization IT Governance Institute, 2005

BS 7799
COBIT: Control Objetives for
Information and related
Technology
Systems Security EngineeringCapabality Maturity Model (SSECMM) 3.0
Generally Accepted Information
Security Principles (GAISP)
ISF-Standard of Good Practice for
Information Security
ISO 13335 Guidelines for
Management of IT Security
ISO 13659:1997 Banking and
Related Financial Services
ISO 15408:1999 Security
Techniques- Evaluation Criteria
for IT Security
ISO 27001
37

ITIL Security Management

NIST 800-12 An Introduction to
Computer Security
NIST 800-14 Generally Accepted
Principles and Practices for
Securing IT Systems
NIST 800-18 Guide for Developing
Security Plans for Information
Technology
NIST 800-53 Recommended
Security Control for Federal IS
OCTAVE - Operationally Critical
Threat, Asset and Vulnerability
Evaluation
OEDC Guidelines for Security of
IS and Networks
Open Groups Managers Guide to
Information Security
ISO 27005

Cunta Seguridad desea su organizacin?

Pero en definitiva, la nica

computadora segura era sta...

38

Para ir terminando ...

39