I D A D E S D E LA S E G UR I D A D

GENERA L
INFORMÁTICA
PROCESOS DE TRABAJO
• IDENTIFICAR LOS ACTIVOS QUE NECESITAN PROTECCIÓN
• IDENTIFICAR LAS VULNERABILIDADES DE LA EMPRESA
• ESTIMACIÓN DE RIESGO
• ENTREGA DE REPORTE
 IDENTIFICAR LOS ACTIVOS QUE NECESITAN PROTECCIÓN

• IDENTIFICAR LOS ACTIVOS

1. BASE DE DATOS
2. SOFTWARE
3. APLICACIONES
4. EQUIPOS DE COMPUTO
 IDENTIFICAR LAS VULNERABILIDADES DE LA EMPRESA

• IDENTIFICACIÓN DE LAS AMENAZAS

 ESTIMACIÓN DE RIESGO

• IMPACTO DE AMENAZAS
• OCURRENCIA DE LAS AMENAZAS
• ESTIMACIÓN DE RIESGOS RESIDUALES
• EVALUACIÓN DE RIESGOS RESIDUALES
 ENTREGA DE REPORTE

• MATRIZ DE RIESGO
• MEDIDAS PREVENTIVAS
• MEDIDAS CORRECTIVA
SEGURIDAD INFORMÁTICA

• Seguridad -> “calidad de seguro” -> “exento de peligro” ,medidas, mecanismos, herramientas
para prevenir ,detectar, mitigar, corregir, recuperar, sancionar

• Informática = (almacenar + procesar + comunicar)información

DISCUTIR
• ¿ A quienes están orientados o afectan estos ataques?
• ¿Cuál es el objetivos de los atacantes cibernéticos?
• ¿Qué medidas debemos tomar proteger la información?
• Posibles vulnerabilidades que usted considera que pueden ocurrir en su empresa.
• Con qué frecuencia considera que puede contar el riesgo en los equipos de su empresa.
Con las interrogantes anteriores ejemplificar un caso real. Exponer las recomendaciones
CLASIFICACIÓN DE LA INFORMACIÓN

• CRÍTICA
• VALIOSA
• SENSIBLE
PILARES DE LA SEGURIDAD INFORMÁTICA
 PILARES DE LA SEGURIDAD INFORMÁTICA

• Confidencialidad. Requiere que la información sea accesible únicamente por las entidades
autorizadas.

• Integridad. Requiere que la información sólo pueda ser modificada por las entidades
autorizadas. La modificación incluye escritura, cambio, borrado, creación y reenvío de los
mensajes transmitidos.

• Disponibilidad. Requiere que los recursos del sistema informático estén disponibles a las
entidades autorizadas cuando los necesiten.
 COMPONENTES PRINCIPALES DE UN ÁREA DE
SEGURIDAD INFORMÁTICA

a. Normatividad
b. Operaciones (O producción)
c. Supervisión(o soporte)
d. Desarrollo
NORMATIVIDAD

• Es el área responsable de la documentación de políticas, procedimientos y estándares de

seguridad así como del cumplimiento con estándares internacionales y regulaciones que
apliquen a la organización.
OPERACIONES

• Es el área a cargo de llevar a cabo las acciones congruentes con la estrategia definida para lograr los objetivos del
área tales como lo siguiente:
1.Implementación, configuración y operación de los controles de seguridad informática (firewalls, antimalware, etc.)
2.Monitoreo de indicadores de controles de seguridad
3.Primer nivel de respuesta ante incidentes (típicamente a través de acciones en los controles de seguridad que
operan)
4.Soporte a usuarios
5.Alta, baja y modificación de accesos a sistemas y aplicaciones
6.Gestión de parches de seguridad informática (pruebas e instalación)
SUPERVISIÓN
• Es el área responsable de verificar el correcto funcionamiento de las medidas de seguridad así
como del cumplimiento de las normas y leyes correspondientes (en otras palabras, brazo derecho
del área de normatividad).
Funciones:
1. Evaluaciones de efectividad de controles
2. Evaluaciones de cumplimiento con normas de seguridad
3. Investigación de incidentes de seguridad y cómputo forense (2° nivel de respuesta ante incidentes)
4. Atención de auditores y consultores de seguridad
DESARROLLO
• Es el área responsable del diseño, desarrollo y adecuación de controles de
seguridad informática (típicamente controles de software).
Entre sus responsabilidades se encuentran:
1. Diseño y programación de controles de seguridad (control de acceso, funciones
criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.
2. Preparación de librerías con funciones de seguridad para su uso por parte del
área de desarrollo de sistemas
3. Soporte de seguridad para el área de desarrollo de sistemas
4. Consultoría de desarrollos seguros (integración de seguridad en aplicaciones
desarrolladas por sistemas)
OBJETIVOS DE LA SEGURIDAD INFORMÁTICA

“Es mantener la confidencialidad, integridad y disponibilidad de la información”

• Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad.
• Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.
• Limitar las perdidas y conseguir la adecuada recuperación del sistema en caso de un incidente
de seguridad.
AMENAZAS
¿QUE DEBEMOS PROTEGER?
• Desde el punto de vista informático, existen tres tipos de elementos que pueden sufrir
amenazas: hardware, software y datos.

• El más sensible ,y en el que se basa casi toda la literatura sobre seguridad, son los datos, ya
que es el único elemento que depende exclusivamente de la organización.

• Es decir, tanto el hardware como el software, si en la peor de las situaciones se pierden,

siempre se pueden adquirir y/o instalarlos; pero los datos pertenecen a la organización y nadie
puede, en el caso de pérdida, proporcionarlos.
HARDWARE
• MAL DISEÑO
• ERRORES DE FABRICACIÓN
• VARIACIONES DE VOLTAJE
• DESGASTE
• DESCUIDO
• MAL USO
SOFTWARE
• SOFTWARE DEL SISTEMA
• CODIGO MALICIOSO
• RED
• FILTRACION NO AUTORIZADA DE LA INFORMACIÓN
IMPACTO DE LAS AMENAZAS

• QUIENES SON LOS AFECTADOS

• COSTO DE LOS DAÑOS Y LA RECUPERACION
• REPUTACION Y CONFIANZA
• INCUMPLIMIENTO DE CONTRATOS DE CONFIDENCIALIDAD
 ¿DE QUÉ NOS DEBEMOS PROTEGER?
• Hay muchas clasificaciones, pero la mayoría tienen un punto de vista en común: nos
protegemos de las personas .

• Nuestros atacantes, podemos clasificar los como factores humanos y factores no

humanos.
FACTOR HUMANO
• “Las personas representan el eslabón mas débil dentro de la seguridad informática...”
• Cerca de un 75% de los problemas de seguridad informática se debe a un mal uso por parte del
personal.

• “... Si piensas que la tecnología puede resolver tus problemas de seguridad, entonces no
entiendes el problema y no entiendes la tecnología”
FACTOR HUMANO
• En mayor o menor medida todo factor humano puede ser punto critico de la seguridad informática.
• Administradores del sistema o de la red de datos
• Desarrolladores de aplicaciones
• Técnicos mesa de ayuda
• Usuarios finales
• Directivos
• Personal externo
 FACTOR HUMANO
Recomendaciones
• Socializar el SGSI
• Responsable del computador asignado
• Inicio y cierre de sesiones
• Protector de pantalla con inicio de sesión
• Responsable de sus credenciales
• No utilizar medio extraíbles
• No modificara el S.O. Del pc ni intentar arreglarlo ante fallas
• Solo herramientas corporativas
• Solo backups autorizados y correctamente almacenados.
• Notificar de toda incidencia o indicio
• No sacar equipos de las instalaciones de la organización
• Uso de internet solo para fines profesionales o actividades de la ORG.
 FACTORES NO HUMANOS

• Las amenazas ambientales, si bien dependiendo de la ubicación geográfica pueden tener

más o menos periodicidad catastrófica, no son hechos que ocurran frecuentemente.

• Las catástrofes más comunes son los terremotos, incendios, atentados, tormentas, etc.
TAMBIÉN DEBEMOS CONSIDERAR
• PROTEGER ACTIVOS INFORMÁTICOS
– Información ( datos )
– Infraestructura computacional
– Usuarios

• QUE SE DEBE TENER EN CUENTA:

– Leyes o marco legal
– Tipos de organización
– Servicios ofrecidos
– Derechos de autor
– Usuarios / control de acceso
DISCUTIR…

• PILARES DE LA SEGURIDAD INFORMÁTICA

• FACTORES DE LA SEGURIDAD INFORMÁTICA
• QUE DEBEMOS PROTEGER ?
• MENCIONE EJEMPLOS SOCIALES QUE HAN SIDO AFECTADOS POR NO APLICAR LA SEGURIDAD
INFORMÁTICA EN LAS EMPRESAS, FORMA INDIVIDUAL, GUBERNAMENTAL.
 ¿DE QUE DEPENDE QUE LA SI SEA EXITOSA?

• Directivos, ejecutivo o alta dirección sea consciente de la necesidad de la SI.

• Conocimientos y capacidades de los responsables de SI(SGSI)
• Socialización, aceptación, concientización de los usuarios.
• Equipos computacionales o sistemas de información (implementación de las políticas )
• Delimitación clara de permisos y responsabilidades
• Identificación clara de vulnerabilidades, riesgos, fronteras, posibles atacantes, puntos críticos,
amenazas, etc.
• SGSI debe ser ajustado a la realidad del negocio
PLANOS DE ACTUACIÓN DE LA S.I.
SERVICIOS DE LA S.I.
CONSECUENCIAS DE LA FALTA DE SEGURIDAD?
Principio de “Defensa en profundidad”
 EXIGENCIAS DE ISO 27001 PARA S.G.S.I.
• Implicación de la dirección.
• Alcance del SGSI y política de seguridad.
• Inventario de todos los activos de información.
• Metodología de evaluación del riesgo.
• Identificación de amenazas, vulnerabilidades e impactos.
• Análisis y evaluación de riesgos.
• Selección de controles para el tratamiento de riesgos.
• Aprobación por parte de la dirección del riesgo residual.
• Declaración de aplicabilidad.
• Plan de tratamiento de riesgos.
EXIGENCIAS DE ISO 27001 PARA S.G.S.I.
• Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo.
• Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo.
• Formación y concienciación en lo relativo a seguridad de la información a todo el personal.
• Monitorización constante y registro de todas las incidencias.
• Realización de auditorías internas.
• Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance.
• Mejora continua del SGSI
 HERRAMIENTAS PARA LA SEGURIDAD EN REDES
DE COMPUTADORES

1. Internet –redes externas

• Defensa equipo a equipo

• Defensa perimetral
2. Firewall

• Cliente
• Servidor
3. Red interna-> defensa en profundidad
4. Red interna -> VLAN
5. Proxy