Curso de especializacin

Gestin, Seguridad y Auditora

de las Tecnologas de
Informacin
Mdulo: Seguridad de la Informacin

Agenda del mdulo (I)

Sesin 1:
Introduccin a la Seguridad de la informacin.

Sesin 2:
Polticas de seguridad y Gestin del riesgo
Taller 1: Polticas de seguridad

Sesin 3:
Estndares y Normativa en Seguridad de la
informacin
Taller 2: Anlisis de riesgos

Sesin 4:
Dominios de la Seguridad de la informacin (I)
2

Agenda del mdulo (II)

Sesin 5:
Dominios de la Seguridad de la informacin (II)

Sesin 6:
Dominios de la Seguridad de la informacin (III)
Taller 3: Dominios de la Seguridad de la
informacin

Sesin 7:
Respuesta ante incidentes de seguridad
Taller 4: Respuesta ante incidentes de seguridad

Sesin 8:
Programa de Seguridad de la informacin
3

Introduccin a la Seguridad
de la Informacin
Sesin 1

Conceptos bsicos
A fin de conocer y comprender los conceptos
fundamentales
sobre
seguridad
de
la
informacin, su administracin y gobierno dentro
de una organizacin, as como los elementos y
el planteamiento de una estrategia revisaremos
una serie de conceptos relacionados a ella.

Agenda de la sesin (I)

La Seguridad de la informacin

Conceptos bsicos
Arquitectura de la Seguridad de la informacin

Componentes de la ASI
Gobierno de la Seguridad de la informacin

La seguridad (I)
Hace unos aos asist a un curso de seguridad
del que, si algo aprend, fue una frase muy
clarificadora respecto de la seguridad: La
seguridad no es un producto, es un proceso
Y es un proceso continuo!!!)
Muchas veces, decimos que el software X es
seguro o que el protocolo Y es seguro,
siendo que lo correcto sera decir que tal
sistema ofrece tal o cual mecanismo que
permite asegurar la seguridad en tal o cual
sentido.
http://es.tldp.org/Tutoriales/doc-ssh-intro/intro-ssh/node3.html

La seguridad (II)
Es asombroso ver en la actualidad a supuestos
expertos en seguridad que venden soluciones
mgicas (seguridad en cajas).
Para que un sistema sea considerado seguro
en determinado grado, deben definirse,
respetarse y revisarse continuamente polticas y
procedimientos tendientes a lograr ese objetivo.

Qu es la seguridad?
Podemos entender como seguridad un estado
de cualquier sistema (informtico no) que nos
indica que ese sistema est libre de peligro,
dao riesgo.
Se entiende como peligro o dao todo aquello
que pueda afectar su funcionamiento directo
los resultados que se obtienen del mismo.

Informacin
La informacin puede definirse como "datos que
tienen significado y propsito".
La informacin se ha convertido en un
componente indispensable de la conduccin del
negocio.
En un creciente nmero de compaas, la
informacin es el negocio.
El
software
puede
considerarse
como
informacin para computadoras sobre cmo
operar procesar algo.

Activo de informacin
Recurso del sistema de informacin o
relacionado con ste, necesario para que la
organizacin funcione correctamente y alcance
los objetivos propuestos.

Relacin entre la Seguridad de la

informacin y la Seguridad de TI
La seguridad de TI trata la seguridad de la
tecnologa y, por lo general, se maneja desde el
nivel del director de informacin (CIO).
La seguridad de la informacin abarca la
totalidad de riesgos, beneficios y procesos que
estn relacionados con la informacin y debe
ser impulsada por la direccin ejecutiva y
respaldada por el consejo de direccin

Relacin entre la Seguridad de la

informacin y la Seguridad de TI
Seguridad de la informacin

Seguridad de TI

Es una funcin de negocio

Es una funcin tcnica

Instaura las polticas de seguridad

y elementos de control en materia
de seguridad de informacin

Incorpora trata a los sistemas de

informacin y telecomunicaciones

Se encarga de los aspectos fsico,

lgico y legal de la seguridad de
informacin de la empresa

Asegura que los sistemas

carezcan de riesgos perniciosos

Busca garantizar la trada CIA, la

autenticidad, auditabilidad y no
repudio de la informacin

Garantiza que los sistemas y sus

activos de informacin asociados
se empleen para lo que fueron
concebidos

La Seguridad Informtica (I)

La Seguridad Informtica generalmente
consiste en asegurar que los recursos del
Sistema de Informacin (material informtico
programas) de una organizacin sean utilizados
de la manera que se decidi y que la
informacin que se considera importante no sea
fcil de acceder por cualquier persona que no
se encuentre acreditada .

14

La Seguridad Informtica (II)

Para la mayora de los

expertos el concepto
de seguridad en la
informtica es utpico
porque no existe un
sistema 100% seguro.

15

Elementos de la seguridad

16

La Trada CIA
Confidenciality
(Confidencialidad)
Integrity (Integridad)
Availability
(Disponibilidad)

17

Confidencialidad,(Confidenciality)
Consiste en que la informacin sea vista,
manejada y/o difundida por los dueos de la
informacin las personas que estos hayan
autorizado para realizar dichas actividades.
De lograrse la confidencialidad, se garantiza
que la informacin llegar tambin slo a
personas autorizadas.

Ejemplos de Confidencialidad
La contrasea a nivel de administrador de un
servidor corporativo
Un plan de marketing
La planilla de la organizacin
Informacin de RRHH
Informacin mdica de carcter personal

Integridad, (Integrity)
La integridad consiste en que la informacin sea
creada y/o modificada solo por los dueos de
la informacin las personas que estos hayan
autorizado para realizar dichas actividades.
De lograrse la integridad, se garantiza que la
informacin ser generada y/o modificada slo
por personas autorizadas.

Ejemplos de Integridad

Una transaccin financiera (ATM)

Un registro de notas
Un registro de BD
Una orden de compra
Una declaracin

Disponibilidad (Availability)
Esta caracterstica se refiere a que la
informacin debe estar disponible y pueda ser
utilizada cuando se la necesite.
El concepto de disponibilidad se extiende a los
sistemas y activos de informacin de la
organizacin.
Al lograrse asegurar la disponibilidad, se
garantiza que los servicios ofrecidos por el
negocio operarn y podrn ser empleados
cuando sea preciso.

Ejemplos de Disponibilidad

El servicio de correo electrnico

Los datos almacenados en un disco duro
Una impresora de lnea
La central telefnica privada
El suministro de energa comercial

Amenaza (a)
Es un evento que pueden desencadenar un
incidente en la organizacin, produciendo daos
materiales o prdidas inmateriales en sus
activos.

Mejores Herramientas (Hacking) =

Mayor incremento de amenazas...

25

Gestin Integral de las Amenazas

Hoax

26

Vulnerabilidad (a)
Posibilidad de ocurrencia de la materializacin
de una amenaza sobre un Activo de
informacin.

Qu puede ser Vulnerable?

Infraestructura de Red
Web
Server

Servers
Firewall

Router

Network

E-Mail
Server

28

Clients & Workstations

Qu puede ser Vulnerable?

Applications
E-Commerce
Web Server

SAP

Peoplesoft

Firewall

E-Mail
Server

29

Web Browsers

Qu puede ser Vulnerable?

Bases de Datos

Oracle

30

Microsoft
SQL Server

Sybase

Qu puede ser Vulnerable?

Sistemas Operativos

Solaris

Windows XP

HP-UX

Solaris
Linux

31

Windows 2K & 2K3

Qu puede ser Vulnerable?

Networks

TCP/IP
Netware

32

... Y las vulnerabilidades se Incrementan

http://www-935.ibm.com/services/us/iss/xforce/trendreports/
33

Ataque
Evento, exitoso no, que atenta sobre el buen
funcionamiento del sistema.
Intento, exitoso no, de vulnerar un control de
seguridad del sistema.

Desastre Contingencia
Interrupcin de la capacidad de acceso a
informacin y procesamiento de la misma a
travs de computadoras necesarias para la
operacin normal de un negocio

Impacto
Consecuencia de la materializacin de una
amenaza.
Puede ser de carcter tangible intangible.
Puede estar limitado a un activo, un sistema, un
entorno operativo abarcar la organizacin y
comprometer el negocio (BIA, Business Impact
Analysis).

Impacto de las infracciones de seguridad

Prdida de ingresos

Reputacin daada

Dao a la confianza
de los inversionistas

Prdida de datos o
riesgo de los mismos

Interrupcin de los
procesos
empresariales

Dao a la confianza
de los clientes
Consecuencias
legales

37

Cules son las Consecuencias?

38

No Repudio
Se logra la capacidad de No Repudio (No
rechazo de una transaccin) cuando se
despliegan mecanismo internos externos que
permiten asignar de manera inequvoca la
autora de una transaccin/operacin a
determinada persona
Usualmente
implica
mecanismos
de
autenticacin

Autenticacin
Es el proceso de validar verificar que alguien
es quien dice ser
Puede emplear diversas estrategias de un factor
multifactor:

Algo que sabe

Algo que tiene
Algo que es
Cmo efecta determinada accin?
Etc.

Autorizacin
Una vez que se ha autenticado a un usuario,
se pasa a asignar permisos para el acceso a
los recursos y para determinar el nivel de
operaciones que puede llevarse a cabo.
La asignacin de permisos puede ser bastante
complicada por la cantidad de usuarios de
sistemas en operacin
Suele emplearse sistemas de manejo de
identidad para mejorar la autenticacin y la
autorizacin

Trazabilidad
Es la capacidad de poder establecer con un
nivel de confianza la procedencia, realizacin
autora de una transaccin/operacin en
determinado sistema
Requiere el despliegue de mecanismos de
registro de actividad, bitcoras, etc.
A fin de ser aceptable por terceros, debera ser
de carcter automtico, de difcil manipulacin

Riesgo
El Riesgo es la exposicin a una posible prdida
dao.
En la Seguridad de la Informacin, el riesgo es
que la informacin de su compaa sea presa
de fuerzas externas y cause a su compaa
prdidas en trminos de tiempo, dinero y
reputacin.

Ejemplo de riesgos

Robo de un computador porttil

Prdida de un USB
Olvido de documentacin confidencial
Incendio en las instalaciones de la organizacin
Sabotaje

Amenaza (b)
Una Amenaza, para Seguridad de la
Informacin, es cualquier actividad, agente
entidad que represente un posible peligro para
su informacin.
Las amenazas pueden tomar diversas formas,
pero una amenaza constituye un peligro para la
trada C-I-A.

Ejemplo de amenaza
Un ladrn a la caza de laptops
La terminacin de un empleado

Vulnerabilidad (b)
Una Vulnerabilidad es una debilidad en la
seguridad de su informacin que podra ser
explotada por una amenaza; esto es, una
debilidad en la seguridad de su red, sistemas,
procesos y/o procedimientos.

Ejemplo de vulnerabilidad

Un programa con buffer overrun

Una contrasea tpica
Un sistema operativo que no ha sido parchado
Un antivirus con firmas desactualizadas
Un Access point instalado por un empleado

Concurrencia de los conceptos (I)

Amenaza

Recurso

Vulnerabilidad

49

Concurrencia de los conceptos (II)

Tcnicas de
mitigacin

50

Responsabilidad del Gerente/Oficial de

seguridad de la informacin
La Informacin de su compaa es valiosa, y
tiene que estar disponible, donde y cuando sea
requerida, para ser usada por el personal
autorizado.
Como
Gerentes/Oficiales
de
Seguridad,
NUESTRO
trabajo
es
minimizar
las
posibilidades de que la trada C-I-A colapse.

Arquitectura de la
Seguridad de la Informacin

Porqu hablar de la Arquitectura de la

Seguridad de la Informacin?
Es necesario trabajar este concepto ya que a
travs de l se alcanza la comprensin de la
necesidad de un plan integrado de Seguridad de
la Informacin as como los requerimientos del
mismo.

Elementos de la Arquitectura de la
Seguridad de la Informacin
1) Organizacin de la seguridad / Infraestructura
2) Polticas, estndares y procedimientos de la
seguridad
3) Lnea base de la seguridad / Evaluacin de
riesgos
4) Programas de concientizacin y entrenamiento
en seguridad
5) Cumplimiento

Arquitectura de la Seguridad de la
Informacin (componentes)

Organizacin de la seguridad /
Infraestructura
Dentro del negocio debe haber una
organizacin con la responsabilidad de la
administracin de la seguridad de la informacin
En lo ms alto, el comit directivo de la
seguridad de la informacin, responsible de
proveer direccin estratgica y recursos para los
componentes necesarios de la ASI

La organizacin de la seguridad
El equipo que participa en la funcin de
seguridad depender de varios factores:

Tamao de la empresa
Entorno (centralizado vs. distribuido)
Estructura organizacional y administrativa
Cmo estn interconectadas las sedes?
Riesgo evaluado
Plan estratgico de TI
Presupuesto de TI

Ubicacin del Gerente/Oficial de

seguridad (tpica)

Madurez de la organizacin de la
seguridad (I)
La funcin principal del Gerente/Oficial de
seguridad no es llevar a cabo funciones
relacionadas a la seguridad, sino asegurar que
los esfuerzos de seguridad sean coordinados;
que las polticas, procedimientos y estndares
sean desarrollados y seguidos; y que el
programa de seguridad sea implementado
efectivamente y actualizado de acuerdo a los
cambios en el entorno de procesamiento y
negocio

Madurez de la organizacin de la
seguridad (II)
El Gerente/Oficial de seguridad debe reportar a
la administracin de nivel ejecutivo (miembro del
comit directivo de la seguridad de la
informacin
Cuando la arquitectura de seguridad de la
informacin ha madurado a travs de varios
ciclos de evaluacin, mitigacin, auditora y
cumplimiento efectivo, el rol de Gerente/Oficial
de seguridad debe ser retirado del rea de SI/TI
y reportar directamente al presidente, CEO,
Junta de directores

Ubicacin del Gerente/Oficial de

seguridad (con madurez)

Polticas, estndares y procedimientos

de la seguridad
Se tiene que discutir los requerimientos,
desarrollo implementacin de polticas,
estndares y procedimientos de seguridad

Qu es una Poltica?
Una poltica se disea para informar a todos los
individuos que operan en una organizacin
cmo deben comportarse con respecto a un
tpico especfico, cul es la posicin de la
direccin ejecutiva con respecto a ese tpico, y
qu acciones especficas est preparada para
tomar la organizacin en relacin a dicho tpico
Responden a las preguntas Quin?, Qu? y
Porqu?

Qu es un Estndar?
Un estndar consiste en un conjunto de reglas,
procedimientos convenciones que son
acordados y aceptados por varias partes a fin
de operar ms uniformemente y efectivamente.
Los estndares establecen un nivel de
expectativa que debe ser alcanzado superado
para cumplir con nuestras obligaciones y
responsabilidades.

Diferencia entre una poltica y un

estndar

Qu es un Procedimiento?
Los procedimientos son planes, procesos
operaciones que tratan el detalle de cmo llevar
a cabo una accin particular.
Permiten la transferencia de conocimiento entre
individuos que realizan el mismo trabajo, que
reemplazan a otros en perodos de ausencia,
permiten una transmisin ms suave y
controlado durante cambios permanentes del
staff.
Responden las preguntas Dnde?, Cundo?
y Cmo?

Lnea base de la seguridad / Evaluacin

de riesgos
Para comprender el nivel de riesgo que existe
en un ambiente operativo, se deben llevar a
cabo evaluaciones peridicas de riesgo.
Tanto vulnerabilidades como agujeros de
seguridad y puertas traseras son descubiertas
frecuentemente.
Cuando se implementa un nuevo sistema se
debe hacer una evaluacin preliminar,
denominada lnea base de seguridad. Esta
brinda un punto de medida para los cambios en
configuracin y mejoras del sistema.

Programas de concientizacin y
entrenamiento en seguridad
La concientizacin y el entrenamiento son
quizs los elementos ms significativos en un
programa de seguridad de la informacin.
Estn diseados para ayudar a reducir el riesgo
de prdida de propiedad intelectual y recursos
de procesamiento.
La responsabilidad de proteger estos recursos
es transferida a cada individuo de la
organizacin a travs de estos programas.
Deben abarcar varios frentes y ser consistentes
con la cultura organizacional ( y ser divertidos!!!)

Cumplimiento
El cumplimiento mide el grado en el cual las
polticas, estndares y procedimientos definidos
estn siendo seguidos.
El cumplimiento incluye la auditora, monitoreo
investigacin en diferentes niveles de la
organizacin.
Ayuda a verificar que los controles preventivos y
detectores estn en su lugar y que estn siendo
empleados efectivamente.

Arquitectura de la Seguridad de la
Informacin (integracin)

Gobierno de la Seguridad
de la Informacin

Gobierno
"El conjunto de responsabilidades y prcticas,
ejercidas por el consejo de direccin y la
direccin ejecutiva, con la finalidad de brindar
una direccin estratgica, garantizar que se
logren los objetivos, determinar que los riesgos
se administran de forma apropiada y verificar
que los recursos de la empresa se utilizan con
responsabilidad."

Porqu hablar del gobierno de la

Seguridad de la informacin
El objetivo es garantizar que el Gerente/Oficial
de seguridad de la informacin comprenda los
amplios requerimientos para un gobierno
efectivo de la seguridad de la informacin, as
como los elementos y las acciones que se
requieren para desarrollar una estrategia de
seguridad de la informacin y un plan de accin
para implementarla.

Relacin entre la Seguridad de la

informacin y la Seguridad de TI
Seguridad de la informacin

Seguridad de TI

Es una funcin de negocio

Es una funcin tcnica

Instaura las polticas de seguridad

y elementos de control en materia
de seguridad de informacin

Incorpora trata a los sistemas de

informacin y telecomunicaciones

Se encarga de los aspectos fsico,

lgico y legal de la seguridad de
informacin de la empresa

Asegura que los sistemas

carezcan de riesgos perniciosos

Busca garantizar la trada CIA, la

autenticidad, auditabilidad y no
repudio de la informacin

Garantiza que los sistemas y sus

activos de informacin asociados
se empleen para lo que fueron
concebidos

Relacin entre la Seguridad de la

informacin y la Seguridad de TI
La seguridad de TI trata la seguridad de la
tecnologa y, por lo general, se maneja desde el
nivel del director de informacin (CIO).
La seguridad de la informacin abarca la
totalidad de riesgos, beneficios y procesos que
estn relacionados con la informacin y debe
ser impulsada por la direccin ejecutiva y
respaldada por el consejo de direccin

Resultados del Gobierno de la Seguridad

de la informacin
El objetivo de la seguridad de la informacin es
desarrollar y gestionar un programa que alcance
los siguientes resultados:

Alineacin estratgica
Gestin de riesgos
Entrega de valor
Gestin de recursos
Medicin del desempeo
Integracin

Alineacin estratgica
Alinear la seguridad de la informacin con la
estrategia de negocio para apoyar los objetivos
organizacionales, tales como:
Requerimientos
de
seguridad
dirigidos
por
requerimientos de la empresa
Ajuste de las soluciones de seguridad a los procesos
de la empresa que tomen en cuenta la cultura, estilo
de gobierno, la tecnologa y estructura de la
organizacin
Inversin en seguridad de la informacin que sea
congruente con la estrategia de la empresa

Gestin de riesgos
Ejecutar medidas apropiadas para mitigar los
riesgos y reducir el posible impacto que tendran
en los recursos de informacin a un nivel
aceptable, tales como:
Entendimiento colectivo del perfil de amenaza,
vulnerabilidad y riesgo de la organizacin
Entendimiento de la exposicin al riesgo
Conciencia de las prioridades
Suficiente mitigacin de riesgos
Aceptacin/transferencia del riesgo

Entrega de valor
Optimizar las inversiones en la seguridad en
apoyo a los objetivos de negocio, tales como:

Un conjunto estndar de prcticas de seguridad

Un esfuerzo debidamente priorizado y distribuido
Soluciones institucionalizadas y estandarizadas
Soluciones completas que abarquen a
organizacin, el proceso y la tecnologa
Una cultura de mejora continua

la

Gestin de recursos
Utilizar el conocimiento y la infraestructura de
seguridad de la informacin con eficiencia y
efectividad para:
Asegurar que los conocimientos sean captados y
estn disponibles
Documentar los procesos y prcticas
Desarrollar arquitecturas de seguridad

Medicin del desempeo

Monitorear y reportar procesos de seguridad de
la informacin para garantizar que se alcancen
los objetivos, entre otros:
Un conjunto de medidas definidas, acordadas y
significativas
Un proceso de medicin que identifique deficiencias y
brinde realimentacin de avances
Aseguramiento independiente por evaluaciones y
auditoras externas

Integracin
Integrar todos los factores de aseguramiento
relevantes para garantizar que los procesos
operan de acuerdo con lo planeado de principio
a fin
Determinar todas las funciones organizacionales de
aseguramiento
Desarrollar relaciones formales con otras funciones
de aseguramiento
Coordinar todas las funciones de aseguramiento
Coincidencia de roles y responsabilidades
Enfoque sistmico

El Gerente/Oficial de Seguridad de la
informacin
En la dcada pasada casi todas las
organizaciones crearon un puesto de gerente y
oficial de seguridad de la informacin en algn
nivel de la organizacin
Cada da es mayor el nmero de organizaciones
que crean departamentos centrales de
seguridad de la informacin con el fin de
resolver la creciente complejidad para proteger
no solo los sistemas de TI sino toda la
informacin sensible y crtica que de cualquier
forma se procesa y manipula

Tareas (I)
Desarrollar una estrategia de seguridad de la
informacin que est alineada con las metas y
los objetivos de negocio.
Alinear la estrategia de seguridad de la
informacin con el gobierno corporativo
Desarrollar casos de negocio que justifiquen la
inversin en seguridad de la informacin
Identificar requerimientos legales y regulatorios
tanto reales como posible que afecten la
Seguridad de la informacin

Tareas (II)
Identificar los factores que puedan afectar la
organizacin y su impacto sobre la seguridad de
la informacin
Obtener el compromiso de la alta direccin con
la seguridad de la informacin
Definir roles y responsabilidades relacionadas
con la seguridad de la informacin en toda la
organizacin
Establecer canales de comunicacin y de
presentacin de informacin, tanto internos
como externos, que apoyen la Seg_informacin

Cun importante y valiosa es la

informacin de la compaa?
Cul es la prdida en activo si los datos de la
compaa son comprometidos?
Cunto vale la prdida de propiedad intelectual
para mi compaa?
Cul es la prdida en ingresos participacin
del mercado?
En cunto se valora la prdida de privacidad?
Cunto vale el dao a la reputacin de mi
compaa?

Naturaleza del Valor

Valor Real

Valor de la Informacin.
La Informacin puede no variar, pero su valor
s, sobre todo en el tiempo.
Valor Percibido

Si se contase con acceso a la Informacin

sera valioso, pero es un valor intangible.

87

Cmo se relacionan el Valor,

las Amenazas y el Riesgo?

88

Ciclo de Gestin del Riesgo

Evaluar
Riesgos y
Determinar
Necesidades

Implementar
Politicas y
Controles

Enfoque
Integral

Promover la
Conciencia

89

Monitorear
y Evaluar