Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Sistemas de Informacin
Jorge Eterovic
Programa analtico
Unidad 1: Introduccin a la Gestin de la Seguridad de la
Informacin.
Conceptos de Confidencialidad, Integridad y Disponibilidad. Evolucin
de la Seguridad de la Informacin. Elementos de la Seguridad. Norma
IRAM-ISO/IEC 27001. Sistema de Gestin de la Seguridad de la
Informacin. Ciclo de vida de un SGSI.
Unidad 2: Gestin de Riesgos de TI y Continuidad del Negocio.
Definicin de Propietario de la Informacin. Clasificacin de la
Informacin. Criterios. Amenazas y Vulnerabilidades. Impacto y
Probabilidad de ocurrencia. Matriz de Riesgos. Gestin de Riesgos.
Controles y contramedidas. Plan de contingencia. Plan de continuidad
del negocio. Plan de recuperacin.
Programa analtico
Unidad 3: Amenazas y Vulnerabilidades.
Amenazas naturales y humanas. El agente de amenaza. Historia y
evolucin del Malware. Ingeniera social. Vulnerabilidades de los
sistemas de informacin. Amenazas y vulnerabilidades en redes
cableadas, Wi-Fi, Bluetooth y RFID.
Unidad 4: Controles Lgicos.
Firewall e IDS/IPS. Evolucin y caractersticas. Tipos y principios de
funcionamiento. Arquitectura de las redes y la seguridad. Defensa en
profundidad, Cmo elegir el mejor producto. Firewall para dispositivos
mviles. Sniffers. Dispositivos UTM. Herramientas SIEM. Web
Application Firewall. La Seguridad y las personas.
Programa analtico
Unidad 5: Controles Fsicos.
Componentes de la Seguridad fsica. Principales Amenazas. Controles
administrativos. Controles fsicos y tcnicos. Diseo y configuracin del
Centro de Cmputos. Proteccin perimetral. Seguridad desde el diseo
seguro. Consideraciones medioambientales.
Unidad 6: Controles Funcionales y Legales.
Principales normas aplicables. ISO y la serie 27000. Marco regulatorio
en Argentina. Ley de Delitos Informticos. Marco regulatorio en el
Estado y para entidades financieras. Ley de Habeas Data y la
proteccin de los datos personales.
Programa analtico
Unidad 7: Controles Criptogrficos.
Definicin de un sistema criptogrfico. Clasificacin. Historia y
evolucin. Comparacin de los criptosistemas modernos. Algoritmos
de cifrado simtrico. Cifrado Asimtrico. Hash. Firma digital. La
criptografa y los protocolos de seguridad en las comunicaciones de
datos.
Unidad 8: Seguridad en Redes de Datos.
Principales amenazas. Componentes de las redes de datos.
Vulnerabilidades. Redes LAN y WAN. Topologas. Protocolos. Criterios
de seguridad para configurar los componentes de una red. Topologa y
configuracin del Firewall. Honey Pots.
Programa analtico
Unidad 9: Anlisis Forense Informtico.
Concepto y definiciones. Procedimientos formales. Adquisicin de
evidencias. Uso de herramientas para plataformas Windows y Linux.
Hardware para anlisis forense. Bloqueadores de escritura y
Duplicadores de discos. Uso de Live CD.
Criterios de evaluacin:
Temas de Investigacin
7
Esteganografa
Seguridad en Smartphones
Seguridad en Cloud Computing
Firma Digital y PKI
Seguridad en wireless
Seguridad en Bluetooth
Seguridad en RFID
Seguridad en Virtualizacin
Spyboot/BotNets
Sistemas Criptogrficos de curvas elpticas
Anlisis Forense Informtico
Ethical Hacking - OSSTMM
Seguridad de Aplicaciones WEB OWASP
Seguridad de Productos Software Common Criteria
Apuntes de la materia
Apuntes de la materia:
http://ar.groups.yahoo.com/group/unlam06-si/
Bibliografa
Buchmann Johannes A., Karatsioli Evangelos s and Wiesmaier Alexander. (2013).
Introduction to Public Key Infrastructures. Ed. Springer.
Incotec- (2011). Sistema de Gestin de la Seguridad de la Informacin (SGSI), Ed.
Incotec.
Norma IRAM-ISO/IEC 27002. (2008). Tecnologa de la informacin. Cdigo de
Buenas Prcticas en la Gestin de la Seguridad de la Informacin, Ed. IRAM.
Norma IRAM-ISO/IEC 27001. (2014). Tecnologa de la informacin. Sistema de
Gestin de la Seguridad de la Informacin, Ed. IRAM.
Norma IRAM-ISO/IEC 27005. (2009). Tecnologa de la informacin. Gestin del
riesgo. Principios y guas, Ed. IRAM.
Norma IRAM-ISO/IEC 31000. (2013). Gestin del riesgo de seguridad de la
informacin, Ed. IRAM.
O'Hanley Richard and Tiller James S. (2013). Information Security Management
Handbook, Sixth Edition, Ed. CRC Press.
Stallings William. (2013). Cryptography and Netware Security. Principles and
Practice. 6 edition, Prentice Hall.
Shon Harris. (2012). CISSP All-in-One Exam Guide, 6 Edition, Ed. McGraw-Hill.
9
Sitios WEB
10
Seguridad de la Informacin?
11
Conceptos bsicos
12
Qu es la seguridad?
Es un concepto abstracto
Es la confianza en algo o en alguien
Es la ausencia de RIESGO
Segn Maslow:
13
Principios de la seguridad
Confidencialidad
Los componentes del sistema sern accesibles slo por aquellos
usuarios autorizados.
Integridad
Los componentes del sistema slo pueden ser creados y
modificados por los usuarios autorizados.
Disponibilidad
Los usuarios deben tener disponibles todos los componentes del
sistema cuando as lo deseen.
14
Informacin segura
Si se cumplen estos principios, diremos en general
que la informacin est protegida y segura.
INFORMACION
Confidencialidad
INFORMACION
Integridad
INFORMACION
Informacin Segura
INFORMACION
Disponibilidad
Conceptos adicionales
Autenticidad: busca asegurar la validez de la informacin en tiempo, forma y
distribucin. Asimismo, se garantiza el origen de la informacin, validando el
emisor para evitar suplantacin de identidades.
Auditabilidad: define que todos los eventos de un sistema deben poder ser
registrados para su control posterior.
Proteccin a la duplicacin: consiste en asegurar que una transaccin slo se
realiza una vez, a menos que se especifique lo contrario. Impedir que se
grabe una transaccin para luego reproducirla, con el objeto de simular
mltiples peticiones del mismo remitente original.
No repudio: se refiere a evitar que una entidad que haya enviado o recibido
informacin alegue ante terceros que no la envi o recibi.
Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones
o disposiciones a las que est sujeta la empresa.
16
Evolucin de la Seguridad
REACTIVO
Etapa 1
Etapa 2
Etapa 3
Etapa 4
PROACTIVO
17
PROGRAMATICO
CULTURAL
Ataques a la Seguridad
18
Elementos de la Seguridad
Backup
Seguridad
de la
Informacin
Personas
Developer
19
USER
Kerberos
Procesos
Personas
20
Gestin de la seguridad
Prevencin
Deteccin
Reaccin y recuperacin
Personal dedicado
Entrenamiento / Awareness
Alto
Conocimiento
del Intruso
Tools
denial of service
packet spoofing
sniffers
GUI
distributed
attack tools
www attacks
automated probes/scans
back doors
network mgmt. diagnostics
disabling audits
hijacking
burglaries sessions
Sofisticacin
del Ataque
Fuente: CERT/CC
Bajo
21
Atacantes
password guessing
1980
1985
1990
1995
2005
2010
IRAM-ISO/IEC 27001
22
IRAM-ISO/IEC 27001
IRAM-ISO/IEC 27005
IRAM-ISO/IEC 20000
23
Paso 1
Definir la Poltica
Documentar la Poltica
Paso 2
Activos de Informacin
Paso 3
Paso 4
Amenazas,
Vulnerabilidades,
Impactos
Enfoque de la
organizacin para
administrar el riesgo,
Evaluar e identificar
los riesgos
Resultados y Conclusiones
Administrar el riesgo
Nivel de evaluacin
requerido
Paso 5
Paso 6
24
Controles adicionales
no incluidos
en ISO 27001
Preparar las
normas de aplicacin
Normas de aplicacin
aprovechan
25
3. Amenazas
protegen
contra
4. Vulnerabilidades
incrementan
5. Riesgos
de Seguridad
7. Controles
cubiertos por
6. Requisitos
de seguridad
incrementan
indican
Impacto sobre la
Organizacin
exponen
1. Activos
incrementan
tienen
Administracin de Riesgos
Evaluacin de riesgos
Identificacin y seleccin
de controles de
seguridad
26
27
Establecer el Contexto
Identificacin de Riesgos
Anlisis del Riesgo
Evaluacin del Riesgo
Tratamiento del Riesgo
Monitoreo y Revisin
Comunicacin y Consulta
COMUNICACIN Y CONSULTA
ESTABLECER EL CONTEXTO
IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
Establecer el contexto
Organizacional
Establecer el contexto de
administracin del riesgo
Definir los criterios de
evaluacin de riesgos
TRATAR EL RIESGO
COMUNICACIN Y CONSULTA
ESTABLECER EL CONTEXTO
ANLISIS DE RIESGOS
Listas de verificacin
Experiencia
Registros
Tormenta de ideas, etc.
TRATAR EL RIESGO
29
COMUNICACIN Y CONSULTA
ESTABLECER EL CONTEXTO
IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
TRATAR EL RIESGO
30
CONSECUENCIAS / IMPACTO
Insignificantes
1
Menores
2
Moderadas
3
Significativas
4
Catastrficas
5
A (casi total)
B (probable)
C (posible)
D (improbable)
E (excepcional)
Referencias
31
E: Riesgo extremo
A: Riesgo alto
M: Riesgo medio
B: Riesgo bajo
COMUNICACIN Y CONSULTA
ESTABLECER EL CONTEXTO
IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
Cualitativo
Semi cuantitativo
Cuantitativo
Anlisis de sensibilidad
TRATAR EL RIESGO
32
COMUNICACIN Y CONSULTA
ESTABLECER EL CONTEXTO
IDENTIFICACIN DE RIESGOS
ANLISIS DE RIESGOS
Evitar
Reducir: - probabilidad
- impacto
Transferir
Retener / Asumir
Implementar
33
ACTIVOS
VULNERABILIDADES
AMENAZAS
Fuente: FoundStone, Risk Management Lifecycle
35
POLITICA
INVENTARIO
PRIORIZAR
VULNERABILIDADES
AMENAZAS
ACTIVOS
RIESGO
MEDICION
36
CUMPLIMIENTO
Algunos Estndares
BS 7799
COBIT: Control Objetives for
Information and related
Technology
Systems Security EngineeringCapabality Maturity Model (SSECMM) 3.0
Generally Accepted Information
Security Principles (GAISP)
ISF-Standard of Good Practice for
Information Security
ISO 13335 Guidelines for
Management of IT Security
ISO 13659:1997 Banking and
Related Financial Services
ISO 15408:1999 Security
Techniques- Evaluation Criteria
for IT Security
ISO 27001
37
38
39