UNASAM Seguridad de La Información 2011

I JORNADA TECNOLGICA
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Introduccin a la
SEGURIDAD DE LA INFORMACIN
Ing. Delfor Chacn Cornejo

dchaconc@gmail.com
1
TEMARIO
Qu es la seguridad de la informacin? Riesgos, amenazas y vulnerabilidades Implementacin de la seguridad Normas relacionadas Los controles y las prcticas recomendables El sistema de gestin de la seguridad de la informacin (SGSI) Especializacin y aplicacin Conclusiones
Qu es la seguridad de la informacin?
Importancia de la informacin
Cambio de paradigma: De una economa industrial a una economa basada en la informacin
La era de la informacin
4
Importancia de la informacin
La informacin suele ser el activo ms subvalorado que una organizacin posee (especialmente en los negocios). La informacin puede afectar directamente el activo ms valioso que una organizacin posee: su IMAGEN
Informacin y seguridad
La informacin como activo a proteger: La informacin es un activo que, como otros activos de negocio importantes, tiene valor para una organizacin y en consecuencia necesita estar adecuadamente protegida. ISO/IEC 17799:2005
Formas de informacin
Datos almacenados electrnicamente en computadoras. Datos almacenados en medios digitales: discos, memorias USB. Registros, notas y documentos escritos o impresos en papel. Informacin transmitida por correo postal o electrnico. Contraseas, detalles de cuentas bancarias, resultados de exmenes, etc. Conversaciones habladas.
7
Objetivos generales de la seguridad de la informacin

Minimizar los riesgos y detectar posibles amenazas a la informacin. Limitar las prdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad. Garantizar la adecuada utilizacin de recursos y sistemas que manejan informacin. Cumplir con el marco legal regulatorio.
Objetivos especficos de la seguridad de la informacin

Mantener las siguientes caractersticas fundamentales de la informacin: Confidencialidad
La informacin no se revela a entidades no autorizadas. La informacin no debe ser alterada.
Integridad
La informacin debe estar accesible en el momento en que sea solicitada por las entidades autorizadas.
Disponibilidad
Otras caractersticas
Caractersticas adicionales de sistemas seguros: Autenticidad

Se asegura que las entidades reconocidas sean las que dicen ser.
Las entidades rinden cuentas a nivel individual por sus acciones y decisiones.
Responsabilidad
Las acciones realizadas no pueden ser negadas.
Irrefutable (no repudiable) Confiabilidad
Los resultados obtenidos son consistentes con el comportamiento esperado.

10
Seguridad de la informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la informacin.

ISO/IEC 27000:2009
Es la proteccin a la informacin de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.
ISO/IEC 17799:2005
11
Seguridad informtica
Conjunto de medidas que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
Enciclopedia de la Seguridad Informtica, Gmez Vieites
12
Riesgos, amenazas y vulnerabilidades
13
Definiciones
Amenaza: Acciones que pueden causar dao segn la severidad y posibilidad de ocurrencia Vulnerabilidad: puntos dbiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concrecin de una amenaza. Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza Incidente: Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
14
Definiciones
Activo: Cualquier cosa que tenga valor para una organizacin:

informacin; software, tal como un programa de computadora; hardware, como una computadora; servicios; personas, sus calificaciones, habilidades y experiencia; intangibles, como fama e imagen.
Ataque: Intento de destruir, descubrir, robar o ganar acceso no autorizado o hacer uso no autorizado de un activo.
15
ATAQUE
Exposicin a riesgos
INFORMATION INFORMACIN ATAQUE
AT AQ UE
UE AQ AT
UE AQ AT
TECNOLOGA ENTORNO
AT AQ UE
16
T IC AS Proteccin PR O
UE AQ AT
OL
contra riesgos
AT AQ UE
CE SO S
TECNOLOGA ENTORNO
ATAQUE
INFORMACIN
T ND AR ES
E
UE
UE AQ AT
AT AQ
AT AQ UE
E QU TA A
U AQ AT
AT TA CK
E TECNOLOGA DE SEGURIDAD PERSONAL CALIFICADOS
ATAQUE
EN TR EN AM
17
Implementacin de la seguridad
18
Implementar
Lo que implica proteger la informacin: identificacin de los activos de informacin anlisis de los riesgos: proceso sistemtico para identificar y estimar la magnitud del riesgo. gestin de los riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. Elaboracin de planes de seguridad Ejecucin de proyectos de seguridad. Control de incidentes y monitorizacin. Auditora de la seguridad.
La seguridad no es un producto, es un proceso.

19
Proceso de seguridad
Reducir la posibilidad de que se produzcan incidentes de seguridad Facilitar la rpida deteccin de los incidentes de seguridad Minimizar el impacto del incidente Conseguir la rpida recuperacin de los daos ocurridos Revisar y actualizar las medidas de seguridad implantadas
20
Controles
Control: Medio de manejo del riesgo, lo que incluye polticas, procedimientos, guas, prcticas o estructuras organizativas, las que pueden ser de naturaleza administrativa, tcnica, de gestin o legal. Tambin es sinnimo de salvaguarda o contramedida. Tipos de controles: Preventivos: eliminan la causa de un potencial incidente. Correctivos: eliminan la causa de un tipo de incidente. De deteccin: solo alertan sobre la ocurrencia de un incidente.
21
Tecnologas de seguridad

Identificacin de usuarios y gestin de contraseas Control lgico de acceso a recursos Copias de seguridad Centros de respaldo Encriptacin de transmisiones Sellado temporal de mensajes Firma digital Cortafuegos (firewall) Servidores proxy Sistemas de deteccin de intrusos (IDS) Sistemas de prevencin de intrusos (IPS)
22
Si no hay seguridad

Horas de trabajo perdidas en reparaciones Prdidas financieras por indisponibilidad de aplicaciones o servicios informticos Robo de informacin confidencial Filtracin de informacin personal de empleados, clientes, contactos comerciales, proveedores, etc. Retrasos en procesos de produccin, impacto en la calidad de servicios pblicos y privados. Posible dao a la salud Pago de indemnizaciones por daos y perjuicios a terceros.
23
Normas relacionadas
24
Familia 27000 de ISO


ISO/IEC 27000: introduccin, glosario. ISO/IEC 27001: requisitos de un sistema de gestin de la seguridad (SGSI). ISO/IEC 27002 (antes ISO/IEC 17799): gua de buenas prcticas. ISO/IEC 27003: gua para implementacin del SGSI. ISO/IEC 27004: gua para desarrollo de mtricas. ISO/IEC 27005: lineamientos para gestin de riesgos. ISO/IEC 27006: requisitos de acreditacin para entidades auditoras y certificadoras. muchas ms
25
Normas Tcnicas Peruanas

NTP-ISO/IEC 17799:2007 Equivalente a la ISO/IEC 27002. NTP-ISO/IEC 27001:2008 Equivalente a la ISO/IEC 27001. NTP-ISO/IEC 27006:2009 Equivalente a la ISO/IEC 27006. NTP-ISO/IEC 27005:2009 Equivalente a la ISO/IEC 27005. Disponibles en INDECOPI. Publicaciones no gratuitas.
26
Los controles y las prcticas recomendables
27
Controles en ISO 27002
28
El sistema de gestin de la seguridad de la informacin (SGSI)
29
Qu es un SGSI?
Es un conjunto de polticas (orientaciones de intencin y direccin), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin, bajo un enfoque de gestin de riesgos de negocio.
30
Modelo de calidad del SGSI

Adoptado del crculo de calidad P-D-C-A (Plan-DoCheck-Act) de Deming.
Planifi car
Actuar
Partes Interesadas
Hacer
Requisitos y expectativas
Partes Interesadas
Verificar
Seguridad Gestionada
31
Especializacin y aplicacin
32
reas de especializacin

Gestin de riesgos Seguridad del acceso fsico Seguridad de redes de cmputo y telecomunicaciones Control y monitorizacin de las operaciones Gestin de identidades y control de acceso a sistemas Proteccin contra cdigo malicioso Continuidad de las operaciones Modelos y arquitecturas de seguridad Gestin de la seguridad de la informacin Legislacin y regulacin
33
mbitos profesionales
Administradores / operadores de TI: sistemas de cmputo sistemas de informacin bases de datos redes y telecomunicaciones sistemas de seguridad Analistas / ingenieros de seguridad. Ejecutivos en seguridad (p.ej. CISO: Chief Information Security Officer). Auditores. Consultores. Peritos en informtica forense.
34
mbitos de aplicacin
La seguridad de la informacin es un factor crtico en organizaciones con diversos tipos de actividad: Banca y finanzas Aseguradoras Empresas industriales Empresas de servicios profesionales Administracin pblica Instituciones de salud Servicios de telecomunicaciones Servicios de suministro de energa
35
Conclusiones
Para estar a salvo nunca hay que sentirse seguro.
(Proverbio checoslovaco)
36
Resumen

La informacin es un activo valioso a proteger. La seguridad de la informacin requiere un proceso de planificacin, ejecucin, seguimiento y mejora continua. La tecnologa para la seguridad de la informacin es compleja.
37
Preguntas?
38

UNASAM Seguridad de La Información 2011

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

UNASAM Seguridad de La Información 2011

Caricato da

Copyright:

Formati disponibili

I JORNADA TECNOLGICA

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Ing. Delfor Chacn Cornejo

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Cambio de paradigma: De una economa industrial a una economa basada en la informacin

Objetivos generales de la seguridad de la informacin

Objetivos especficos de la seguridad de la informacin

Mantener las siguientes caractersticas fundamentales de la informacin: Confidencialidad

La informacin no se revela a entidades no autorizadas. La informacin no debe ser alterada.

Caractersticas adicionales de sistemas seguros: Autenticidad

Las acciones realizadas no pueden ser negadas.

Irrefutable (no repudiable) Confiabilidad

Los resultados obtenidos son consistentes con el comportamiento esperado.

Preservacin de la confidencialidad, integridad y disponibilidad de la informacin.

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Riesgos, amenazas y vulnerabilidades

Activo: Cualquier cosa que tenga valor para una organizacin:

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

INFORMATION INFORMACIN ATAQUE

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

E TECNOLOGA DE SEGURIDAD PERSONAL CALIFICADOS

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

La seguridad no es un producto, es un proceso.

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Familia 27000 de ISO

Normas Tcnicas Peruanas

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Los controles y las prcticas recomendables

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Controles en ISO 27002

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

El sistema de gestin de la seguridad de la informacin (SGSI)

Modelo de calidad del SGSI

Adoptado del crculo de calidad P-D-C-A (Plan-DoCheck-Act) de Deming.

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Para estar a salvo nunca hay que sentirse seguro.

Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil

Potrebbero piacerti anche