Semanas 08, 09, 10, 11 Desarrollo ISO27001

Seguridad de la Informacin
Ingeniera de Sistemas Facultad de Ingeniera de Sistemas Universidad Tecnolgica del Per

Ing. CIP Jack Daniel Cceres Meza

2011-III V1

Dominio 03: Administracin de Activos/Gestin de Activos 3.1. Responsabilidad sobre los activos

3.2. Clasificacin de la informacin

Segn Metodologa Magerit

Ing. CIP Jack Daniel Cceres Meza

Dominio 03: Administracin de Activos/Gestin de Activos

3.1. Responsabilidad sobre los activos

Objetivo.- Lograr y mantener una proteccin adecuada de los activos de la Organizacin

Subobjetivos:
3.1.1. Inventario de activos. 3.1.2. Responsable de los activos. 3.1.3. Acuerdos sobre el uso aceptable de los activos.

Ing. CIP Jack Daniel Cceres Meza

Dominio 03: Administracin de Activos/Gestin de Activos

3.2 Clasificacin de la informacin

Objetivo.apropiada

Asegurar que la informacin reciba un nivel de proteccin

Subobjetivos:
3.2.1. Directrices de clasificacin. 3.2.2. Marcado y tratamiento de la informacin.

Ing. CIP Jack Daniel Cceres Meza

Dominio 06: Tcnicas y herramientas para seguridad de la informacin

Ing. CIP Jack Daniel Cceres Meza

Servicios de Seguridad
6

Autenticacin:

Asegura que el origen y destino son los que dicen ser. de acceso: Elimina el acceso no autorizado.
Previene la lectura y copia

Control

Confidencialidad:

de los datos.
Integridad

de los Datos: alteracin de los datos.

Repudio: Firmas digitales
Ing. CIP Jack Daniel Cceres Meza

Previene

la

No

Amenazas Externas
7

Amenazas Externas

A travs de la conexin a Internet

Virus

Escaneo de puertos

Phishing
Spam Troyanos

Sabotaje de datos o de red

Robo de ordenador Software pirata

Keyloggers
Rootkits Smishing Spyware

Denegacin de servicios
Intrusin en la red Fraude financiero Fraude de telecomunicaciones Robo de informacin protegida por copyright Robo de banda de red wifi Hackeo de sitio web

Ing. CIP Jack Daniel Cceres Meza

Amenazas Internas
8

Amenazas Internas

Propios usuarios de la red: trabajadores

Falta de formacin

En 30 das de bsqueda, hay casi un 100%

de posibilidades de visitar un sitio peligroso

97% internautas no sabe detectar programas espa

Con premeditacin

81% ataques con el fin de obtener

beneficios econmicos
83% en el interior de la organizacin y durante el horario de trabajo

22% antiguos empleados

14% empleados en el momento del ataque 7% relacin cliente o proveedor

Ing. CIP Jack Daniel Cceres Meza

Realidad?
9

Ing. CIP Jack Daniel Cceres Meza

10

3 principio de la Seguridad Informtica

Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fciles de usar y apropiadas al medio.

Que funcionen en el momento oportuno. Que lo hagan optimizando los recursos del sistema. Que pasen desapercibidas para el usuario.

Ing. CIP Jack Daniel Cceres Meza

Modelo de Seguridad de la Informacin

11

Information States

Information Security Properties

Security Measures
NSTISSI 4011: National Training Standard for Information Systems Security Professionals, 1994

Ing. CIP Jack Daniel Cceres Meza

Propiedades de la Seguridad de la Informacin

12

Confidentiality

Integrity

Availability

Ing. CIP Jack Daniel Cceres Meza

Estados de la Informacin
13

Processing Storage Transmission

Ing. CIP Jack Daniel Cceres Meza

Mtricas de la Seguridad de la Informacin

14

Policy and Procedures Technology Education, Training, and Awareness

Ing. CIP Jack Daniel Cceres Meza

Modelo de Seguridad de la Informacin

15

Processing

Storage
Transmission

Confidentiality
Integrity Availability

Policy and Procedures

Technology

Education, Training, and Awareness

Ing. CIP Jack Daniel Cceres Meza

Amenazas del sistema

16

Las amenazas pueden deberse a las siguientes acciones:

Flujo Normal

Interrupcin Interceptacin Modificacin

Interrupcin Interceptacin

Generacin
Modificacin Generacin

Ing. CIP Jack Daniel Cceres Meza

Modelo OSI
17

Ing. CIP Jack Daniel Cceres Meza

Evaluacin: identificar amenazas de seguridad - STRIDE

18

Tipos de amenazas

Ejemplos

Suplantacin
AlTeracin

Repudio
DIvulgacin de informacin

Falsificar mensajes de correo electrnico Reproducir paquetes de autenticacin Alterar datos durante la transmisin Cambiar datos en archivos Eliminar un archivo esencial y denegar este hecho Adquirir un producto y negar posteriormente que se ha adquirido Exponer la informacin en mensajes de error Exponer el cdigo de los sitios Web Inundar una red con paquetes de sincronizacin Inundar una red con paquetes ICMP falsificados Explotar la saturacin de un bfer para obtener privilegios en el sistema Obtener privilegios de administrador de forma ilegtima

Denegacin
de servicio

Elevacin
privilegios

de

Ing. CIP Jack Daniel Cceres Meza

Evaluacin: anlisis y establecimiento de prioridades de los riesgos de seguridad: DREAD

19

Dao Capacidad de Reproduccin Capacidad de Explotacin

Usuarios Afectados Capacidad de Descubrimiento

Ing. CIP Jack Daniel Cceres Meza

Defensa en profundidad
20

El uso de una solucin en niveles:

Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos su propsito

logren

Datos Aplicacin
Host

ACL, cifrado
Refuerzo de las aplicaciones, antivirus

Refuerzo del sistema operativo, administracin de revisiones, autenticacin, HIDS Segmentos de red, IPSec, NIDS
Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento

Red interna
Permetro Seguridad fsica Directivas, procedimientos y concientizacin

Ing. CIP Jack Daniel Cceres Meza

Programas de aprendizaje para los usuarios

ADMINISTRAR LA SEGURIDAD ANTE UNA COMPLEJIDAD TIPICA

21

QU HACER ????

Ing. CIP Jack Daniel Cceres Meza

22

Ing. CIP Jack Daniel Cceres Meza

Gracias por su atencin Preguntas?

Ing. CIP Jack Daniel Cceres Meza jack_caceres@hotmail.com