Escolar Documentos
Profissional Documentos
Cultura Documentos
Sesin 2:
Polticas de seguridad y Gestin del riesgo
Taller 1: Polticas de seguridad
Sesin 3:
Estndares y Normativa en Seguridad de la
informacin
Taller 2: Anlisis de riesgos
Sesin 4:
Dominios de la Seguridad de la informacin (I)
2
Sesin 6:
Dominios de la Seguridad de la informacin (III)
Taller 3: Dominios de la Seguridad de la
informacin
Sesin 7:
Respuesta ante incidentes de seguridad
Taller 4: Respuesta ante incidentes de seguridad
Sesin 8:
Programa de Seguridad de la informacin
3
Introduccin a la Seguridad
de la Informacin
Sesin 1
Conceptos bsicos
A fin de conocer y comprender los conceptos
fundamentales
sobre
seguridad
de
la
informacin, su administracin y gobierno dentro
de una organizacin, as como los elementos y
el planteamiento de una estrategia revisaremos
una serie de conceptos relacionados a ella.
Conceptos bsicos
Arquitectura de la Seguridad de la informacin
Componentes de la ASI
Gobierno de la Seguridad de la informacin
La seguridad (I)
Hace unos aos asist a un curso de seguridad
del que, si algo aprend, fue una frase muy
clarificadora respecto de la seguridad: La
seguridad no es un producto, es un proceso
Y es un proceso continuo!!!)
Muchas veces, decimos que el software X es
seguro o que el protocolo Y es seguro,
siendo que lo correcto sera decir que tal
sistema ofrece tal o cual mecanismo que
permite asegurar la seguridad en tal o cual
sentido.
http://es.tldp.org/Tutoriales/doc-ssh-intro/intro-ssh/node3.html
La seguridad (II)
Es asombroso ver en la actualidad a supuestos
expertos en seguridad que venden soluciones
mgicas (seguridad en cajas).
Para que un sistema sea considerado seguro
en determinado grado, deben definirse,
respetarse y revisarse continuamente polticas y
procedimientos tendientes a lograr ese objetivo.
Qu es la seguridad?
Podemos entender como seguridad un estado
de cualquier sistema (informtico no) que nos
indica que ese sistema est libre de peligro,
dao riesgo.
Se entiende como peligro o dao todo aquello
que pueda afectar su funcionamiento directo
los resultados que se obtienen del mismo.
Informacin
La informacin puede definirse como "datos que
tienen significado y propsito".
La informacin se ha convertido en un
componente indispensable de la conduccin del
negocio.
En un creciente nmero de compaas, la
informacin es el negocio.
El
software
puede
considerarse
como
informacin para computadoras sobre cmo
operar procesar algo.
Activo de informacin
Recurso del sistema de informacin o
relacionado con ste, necesario para que la
organizacin funcione correctamente y alcance
los objetivos propuestos.
Seguridad de TI
14
15
Elementos de la seguridad
16
La Trada CIA
Confidenciality
(Confidencialidad)
Integrity (Integridad)
Availability
(Disponibilidad)
17
Confidencialidad,(Confidenciality)
Consiste en que la informacin sea vista,
manejada y/o difundida por los dueos de la
informacin las personas que estos hayan
autorizado para realizar dichas actividades.
De lograrse la confidencialidad, se garantiza
que la informacin llegar tambin slo a
personas autorizadas.
Ejemplos de Confidencialidad
La contrasea a nivel de administrador de un
servidor corporativo
Un plan de marketing
La planilla de la organizacin
Informacin de RRHH
Informacin mdica de carcter personal
Integridad, (Integrity)
La integridad consiste en que la informacin sea
creada y/o modificada solo por los dueos de
la informacin las personas que estos hayan
autorizado para realizar dichas actividades.
De lograrse la integridad, se garantiza que la
informacin ser generada y/o modificada slo
por personas autorizadas.
Ejemplos de Integridad
Disponibilidad (Availability)
Esta caracterstica se refiere a que la
informacin debe estar disponible y pueda ser
utilizada cuando se la necesite.
El concepto de disponibilidad se extiende a los
sistemas y activos de informacin de la
organizacin.
Al lograrse asegurar la disponibilidad, se
garantiza que los servicios ofrecidos por el
negocio operarn y podrn ser empleados
cuando sea preciso.
Ejemplos de Disponibilidad
Amenaza (a)
Es un evento que pueden desencadenar un
incidente en la organizacin, produciendo daos
materiales o prdidas inmateriales en sus
activos.
25
Hoax
26
Vulnerabilidad (a)
Posibilidad de ocurrencia de la materializacin
de una amenaza sobre un Activo de
informacin.
Servers
Firewall
Router
Network
E-Mail
Server
28
SAP
Peoplesoft
Firewall
E-Mail
Server
29
Web Browsers
Oracle
30
Microsoft
SQL Server
Sybase
Solaris
Windows XP
HP-UX
Solaris
Linux
31
TCP/IP
Netware
32
http://www-935.ibm.com/services/us/iss/xforce/trendreports/
33
Ataque
Evento, exitoso no, que atenta sobre el buen
funcionamiento del sistema.
Intento, exitoso no, de vulnerar un control de
seguridad del sistema.
Desastre Contingencia
Interrupcin de la capacidad de acceso a
informacin y procesamiento de la misma a
travs de computadoras necesarias para la
operacin normal de un negocio
Impacto
Consecuencia de la materializacin de una
amenaza.
Puede ser de carcter tangible intangible.
Puede estar limitado a un activo, un sistema, un
entorno operativo abarcar la organizacin y
comprometer el negocio (BIA, Business Impact
Analysis).
Prdida de ingresos
Reputacin daada
Dao a la confianza
de los inversionistas
Prdida de datos o
riesgo de los mismos
Interrupcin de los
procesos
empresariales
Dao a la confianza
de los clientes
Consecuencias
legales
37
38
No Repudio
Se logra la capacidad de No Repudio (No
rechazo de una transaccin) cuando se
despliegan mecanismo internos externos que
permiten asignar de manera inequvoca la
autora de una transaccin/operacin a
determinada persona
Usualmente
implica
mecanismos
de
autenticacin
Autenticacin
Es el proceso de validar verificar que alguien
es quien dice ser
Puede emplear diversas estrategias de un factor
multifactor:
Autorizacin
Una vez que se ha autenticado a un usuario,
se pasa a asignar permisos para el acceso a
los recursos y para determinar el nivel de
operaciones que puede llevarse a cabo.
La asignacin de permisos puede ser bastante
complicada por la cantidad de usuarios de
sistemas en operacin
Suele emplearse sistemas de manejo de
identidad para mejorar la autenticacin y la
autorizacin
Trazabilidad
Es la capacidad de poder establecer con un
nivel de confianza la procedencia, realizacin
autora de una transaccin/operacin en
determinado sistema
Requiere el despliegue de mecanismos de
registro de actividad, bitcoras, etc.
A fin de ser aceptable por terceros, debera ser
de carcter automtico, de difcil manipulacin
Riesgo
El Riesgo es la exposicin a una posible prdida
dao.
En la Seguridad de la Informacin, el riesgo es
que la informacin de su compaa sea presa
de fuerzas externas y cause a su compaa
prdidas en trminos de tiempo, dinero y
reputacin.
Ejemplo de riesgos
Amenaza (b)
Una Amenaza, para Seguridad de la
Informacin, es cualquier actividad, agente
entidad que represente un posible peligro para
su informacin.
Las amenazas pueden tomar diversas formas,
pero una amenaza constituye un peligro para la
trada C-I-A.
Ejemplo de amenaza
Un ladrn a la caza de laptops
La terminacin de un empleado
Vulnerabilidad (b)
Una Vulnerabilidad es una debilidad en la
seguridad de su informacin que podra ser
explotada por una amenaza; esto es, una
debilidad en la seguridad de su red, sistemas,
procesos y/o procedimientos.
Ejemplo de vulnerabilidad
Recurso
Vulnerabilidad
49
50
Arquitectura de la
Seguridad de la Informacin
Elementos de la Arquitectura de la
Seguridad de la Informacin
1) Organizacin de la seguridad / Infraestructura
2) Polticas, estndares y procedimientos de la
seguridad
3) Lnea base de la seguridad / Evaluacin de
riesgos
4) Programas de concientizacin y entrenamiento
en seguridad
5) Cumplimiento
Arquitectura de la Seguridad de la
Informacin (componentes)
Organizacin de la seguridad /
Infraestructura
Dentro del negocio debe haber una
organizacin con la responsabilidad de la
administracin de la seguridad de la informacin
En lo ms alto, el comit directivo de la
seguridad de la informacin, responsible de
proveer direccin estratgica y recursos para los
componentes necesarios de la ASI
La organizacin de la seguridad
El equipo que participa en la funcin de
seguridad depender de varios factores:
Tamao de la empresa
Entorno (centralizado vs. distribuido)
Estructura organizacional y administrativa
Cmo estn interconectadas las sedes?
Riesgo evaluado
Plan estratgico de TI
Presupuesto de TI
Madurez de la organizacin de la
seguridad (I)
La funcin principal del Gerente/Oficial de
seguridad no es llevar a cabo funciones
relacionadas a la seguridad, sino asegurar que
los esfuerzos de seguridad sean coordinados;
que las polticas, procedimientos y estndares
sean desarrollados y seguidos; y que el
programa de seguridad sea implementado
efectivamente y actualizado de acuerdo a los
cambios en el entorno de procesamiento y
negocio
Madurez de la organizacin de la
seguridad (II)
El Gerente/Oficial de seguridad debe reportar a
la administracin de nivel ejecutivo (miembro del
comit directivo de la seguridad de la
informacin
Cuando la arquitectura de seguridad de la
informacin ha madurado a travs de varios
ciclos de evaluacin, mitigacin, auditora y
cumplimiento efectivo, el rol de Gerente/Oficial
de seguridad debe ser retirado del rea de SI/TI
y reportar directamente al presidente, CEO,
Junta de directores
Qu es una Poltica?
Una poltica se disea para informar a todos los
individuos que operan en una organizacin
cmo deben comportarse con respecto a un
tpico especfico, cul es la posicin de la
direccin ejecutiva con respecto a ese tpico, y
qu acciones especficas est preparada para
tomar la organizacin en relacin a dicho tpico
Responden a las preguntas Quin?, Qu? y
Porqu?
Qu es un Estndar?
Un estndar consiste en un conjunto de reglas,
procedimientos convenciones que son
acordados y aceptados por varias partes a fin
de operar ms uniformemente y efectivamente.
Los estndares establecen un nivel de
expectativa que debe ser alcanzado superado
para cumplir con nuestras obligaciones y
responsabilidades.
Qu es un Procedimiento?
Los procedimientos son planes, procesos
operaciones que tratan el detalle de cmo llevar
a cabo una accin particular.
Permiten la transferencia de conocimiento entre
individuos que realizan el mismo trabajo, que
reemplazan a otros en perodos de ausencia,
permiten una transmisin ms suave y
controlado durante cambios permanentes del
staff.
Responden las preguntas Dnde?, Cundo?
y Cmo?
Programas de concientizacin y
entrenamiento en seguridad
La concientizacin y el entrenamiento son
quizs los elementos ms significativos en un
programa de seguridad de la informacin.
Estn diseados para ayudar a reducir el riesgo
de prdida de propiedad intelectual y recursos
de procesamiento.
La responsabilidad de proteger estos recursos
es transferida a cada individuo de la
organizacin a travs de estos programas.
Deben abarcar varios frentes y ser consistentes
con la cultura organizacional ( y ser divertidos!!!)
Cumplimiento
El cumplimiento mide el grado en el cual las
polticas, estndares y procedimientos definidos
estn siendo seguidos.
El cumplimiento incluye la auditora, monitoreo
investigacin en diferentes niveles de la
organizacin.
Ayuda a verificar que los controles preventivos y
detectores estn en su lugar y que estn siendo
empleados efectivamente.
Arquitectura de la Seguridad de la
Informacin (integracin)
Gobierno de la Seguridad
de la Informacin
Gobierno
"El conjunto de responsabilidades y prcticas,
ejercidas por el consejo de direccin y la
direccin ejecutiva, con la finalidad de brindar
una direccin estratgica, garantizar que se
logren los objetivos, determinar que los riesgos
se administran de forma apropiada y verificar
que los recursos de la empresa se utilizan con
responsabilidad."
Seguridad de TI
Alineacin estratgica
Gestin de riesgos
Entrega de valor
Gestin de recursos
Medicin del desempeo
Integracin
Alineacin estratgica
Alinear la seguridad de la informacin con la
estrategia de negocio para apoyar los objetivos
organizacionales, tales como:
Requerimientos
de
seguridad
dirigidos
por
requerimientos de la empresa
Ajuste de las soluciones de seguridad a los procesos
de la empresa que tomen en cuenta la cultura, estilo
de gobierno, la tecnologa y estructura de la
organizacin
Inversin en seguridad de la informacin que sea
congruente con la estrategia de la empresa
Gestin de riesgos
Ejecutar medidas apropiadas para mitigar los
riesgos y reducir el posible impacto que tendran
en los recursos de informacin a un nivel
aceptable, tales como:
Entendimiento colectivo del perfil de amenaza,
vulnerabilidad y riesgo de la organizacin
Entendimiento de la exposicin al riesgo
Conciencia de las prioridades
Suficiente mitigacin de riesgos
Aceptacin/transferencia del riesgo
Entrega de valor
Optimizar las inversiones en la seguridad en
apoyo a los objetivos de negocio, tales como:
la
Gestin de recursos
Utilizar el conocimiento y la infraestructura de
seguridad de la informacin con eficiencia y
efectividad para:
Asegurar que los conocimientos sean captados y
estn disponibles
Documentar los procesos y prcticas
Desarrollar arquitecturas de seguridad
Integracin
Integrar todos los factores de aseguramiento
relevantes para garantizar que los procesos
operan de acuerdo con lo planeado de principio
a fin
Determinar todas las funciones organizacionales de
aseguramiento
Desarrollar relaciones formales con otras funciones
de aseguramiento
Coordinar todas las funciones de aseguramiento
Coincidencia de roles y responsabilidades
Enfoque sistmico
El Gerente/Oficial de Seguridad de la
informacin
En la dcada pasada casi todas las
organizaciones crearon un puesto de gerente y
oficial de seguridad de la informacin en algn
nivel de la organizacin
Cada da es mayor el nmero de organizaciones
que crean departamentos centrales de
seguridad de la informacin con el fin de
resolver la creciente complejidad para proteger
no solo los sistemas de TI sino toda la
informacin sensible y crtica que de cualquier
forma se procesa y manipula
Tareas (I)
Desarrollar una estrategia de seguridad de la
informacin que est alineada con las metas y
los objetivos de negocio.
Alinear la estrategia de seguridad de la
informacin con el gobierno corporativo
Desarrollar casos de negocio que justifiquen la
inversin en seguridad de la informacin
Identificar requerimientos legales y regulatorios
tanto reales como posible que afecten la
Seguridad de la informacin
Tareas (II)
Identificar los factores que puedan afectar la
organizacin y su impacto sobre la seguridad de
la informacin
Obtener el compromiso de la alta direccin con
la seguridad de la informacin
Definir roles y responsabilidades relacionadas
con la seguridad de la informacin en toda la
organizacin
Establecer canales de comunicacin y de
presentacin de informacin, tanto internos
como externos, que apoyen la Seg_informacin
Valor de la Informacin.
La Informacin puede no variar, pero su valor
s, sobre todo en el tiempo.
Valor Percibido
87
88
Implementar
Politicas y
Controles
Enfoque
Integral
Promover la
Conciencia
89
Monitorear
y Evaluar