LA SEGURIDAD DE LA INFORMACIN Y LAS COMUNICACIONES

Informacin: Concepto

LA INFORMACION ES UN BIEN VALIOSO. Su valor es tan importante como para determinar el poder relativo de un grupo de personas sobre otro. LA INFORMACION ES FRAGIL. Su fragilidad est dada, por los medios que la sustentan, los problemas tcnicos que presentan dichos medios y por su exposicin al alcance de personas que quieran daarla y/o robarla. En la informacin digital, la fragilidad est dada por las amenazas asociadas a las debilidades y vulnerabilidades de los medios de almacenamiento, procesamiento y transmisin. Ejemplos: fallas tcnicas, catstrofes, impericias, intrusos, etc.

Seguridad de la Informacin: Concepto

Consiste en la deteccin y control de riesgos. EL BIEN PROTEGIDO ES LA INFORMACION Trata de la preservacin de sus propiedades de inters en cada caso, fundamentalmente: CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD.
Adems, la preservacin de la confiabilidad, autenticidad, control y auditabilidad, el no-repudio, proteccin a la rplica y legalidad, pueden estar involucradas y ser necesario mantenerlas.

Trata de la proteccin de la informacin de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno sobre las inversiones y las oportunidades 3 comerciales.

Seguridad de la Informacin: Propiedades de la Informacin

CONFIDENCIALIDAD (O PRIVACIDAD): Propiedad de que esta
se mantiene secreta y no revelada a entidades (individuos o procesos) no autorizados a conocerla. Al preservar dicha propiedad, se garantiza que la informacin es conocida y accedida slo por aquellas personas autorizadas a hacerlo.

INTEGRIDAD: Propiedad de que esta permanece coherente,

completa e inalterada, a menos, en este ltimo caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en forma pertinente y correcta. La preservacin de dicha propiedad garantiza la exactitud, coherencia y totalidad de la informacin y los mtodos de procesamiento.

DISPONIBILIDAD (U OPERATIVIDAD): Propiedad de que esta

se mantiene accesible y usable cada vez que una entidad autorizada a hacerlo lo requiera. La preservacin de dicha propiedad garantiza que la informacin estar siempre disponible para ser usada bajo demanda, ya sea para su consulta 4 y/o procesamiento, por las personas o procesos autorizados.

Seguridad de la Informacin: Propiedades de la Informacin

AUTENTICIDAD: Propiedad que permite asociarla a una entidad
(proceso o usuario). La preservacin de esta propiedad permite asegurar el origen de la informacin, validando a la entidad emisora de la misma, evitndose el acceso descontrolado a la informacin y a los recursos, y la suplantacin de identidades. La aplicacin mas evidente de la autenticacin es en el control de accesos. En general, el proceso de control de accesos consiste tpicamente de dos etapas: identificacin y autenticacin. En la identificacin, la entidad (proceso o usuario) dice quin es, y en la autenticacin, la entidad demuestra ser quin dice ser. identificar y autenticar no es lo mismo. Autenticacin verifica Identificacin. autorizados pueden decidir quin accede a la informacin, cundo y cmo.

CONTROL: Propiedad que permite asegurar que slo los usuarios

AUDITABILIDAD: Propiedad que garantiza que todos los eventos de

un sistema sean registrados para posteriores controles o auditorias.
5

Seguridad de la Informacin: Propiedades de la Informacin

CONFIABILIDAD: Propiedad que garantiza que la informacin
generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones. Garantiza que la informacin es vlida y utilizable en tiempo, forma y distribucin.

PROTECCION A LA REPLICA (O A LA DUPLICACION): Propiedad que garantiza que una transaccin slo puede realizarse una vez, a menos que se especifique lo contrario. La preservacin de dicha propiedad garantiza que si un intruso logra atrapar y copiar una transaccin con el propsito de reproducirla simulando ser el remitente original, no pueda hacerlo. NO REPUDIO: Propiedad que garantiza que cualquier entidad que envi o recibi informacin, no pueda alegar ante terceros, que no la envi o no la recibi. LEGALIDAD: Propiedad que garantiza que la informacin se ajusta 6 al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que est sujeto la organizacin.

Seguridad de la Informacin: Necesidad

Necesitan algn grado de seguridad de la informacin, personas y organizaciones que: - manejen informacin, - hagan uso de la tecnologa informtica y de comunicaciones, y - se interconecten a travs de redes y sistemas no confiables.

Seguridad de la Informacin: Como Lograrla

La seguridad que puede lograrse solo por medios tcnicos es insuficiente: no tienen la posibilidad de brindar cobertura a la totalidad de aspectos a tener en cuenta, y an en los casos donde las soluciones puedan apoyarse en medios tcnicos, estos son insuficientes por si solos. Enfoque adecuado: los medios tcnicos deben encontrarse en el marco de un Sistema Integral de Gestin de Seguridad de la Informacin (SGSI), al cul complementan y respaldan, y sin el cual no son satisfactorios. Los medios tcnicos son la herramienta con que se implementan determinados procesos de seguridad 8 informtica

Seguridad de la Informacin: Como Lograrla - NORMAS

Norma ISO-IEC 27000:2009 Fundamentos y Vocabulario Norma ISO-IEC 27001:2008 Tecnologa de la Informacin Tcnicas de seguridad Sistema de Gestin de Seguridad de la Informacin Requerimientos Norma ISO-IEC 27002:2005 Tecnologa de la Informacin Tcnicas de seguridad Cdigo para la prctica de la gestin de la seguridad de la informacin Norma ISO-IEC 27003:2009 Gua de Implementacin Norma ISO-IEC 27004:2007 Mtricas y Medidas Norma ISO-IEC 27005:2008 Gestin de Riesgos en Seguridad de la Informacin Norma ISO-IEC 27006:2008 9 Requisitos de Auditora SGSI

Seguridad de la Informacin: reas

Las normas, procedimientos y herramientas que se utilizan en seguridad de la informacin se pueden clasificar en las siguientes reas, de acuerdo con el tipo de funcin que cumplen: Seguridad Organizativa (o Funcional o Administrativa): Asegura el cumplimiento de normas, estndares y procedimientos fsico-tcnicos. Seguridad Lgica (o Tcnica): Actan directa o indirectamente sobre la informacin procesada por los equipos. Seguridad Fsica: Actan directamente sobre la parte tangible. Seguridad Legal: Evita las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier requerimiento 10 de seguridad.

Seguridad de la Informacin: reas SEGN ISO/IEC 27002/27001

.

11- Cumplimiento 10- Gestin de la Cont. de las Actividades

11 Dominios 9- Gestin de Incidentes 39 Puntos 8- Adquisicin, Desa. y 133 Manten. de Sist. Controles 7- Control
de Accesos

1- Poltica de Seguridad 2- Organizacin de la Seguridad 3- Gestin de Activos 4- Seguridad del RRHH

5- Seguridad Fsica y Ambiental 6- Gestin de Operac. y Comunic. 11

Seguridad de la Informacin: reas SEGN ISO/IEC 27002/27001

12

Seguridad de la Informacin: Sistema de Gestin de . Seguridad de la Inform. (SGSI)

13

Seguridad de la Informacin: SGSI

PLANIFICAR (Plan): Establecer el ISMS
Establecer las polticas, los objetivos y procedimientos del ISMS pertinentes a la gestin de riesgos y la mejora de la seguridad de la informacin para entregar resultados de acuerdo con las polticas y objetivos generales de la organizacin. HACER (Do): Implementar y operar el ISMS Implementar y operar polticas, controles y procedimientos del ISMS.

EVLUAR (Check): monitorear y examinar (revisar) el ISMS

Evaluar y medir el rendimiento de los procesos en contraste con las polticas y los objetivos del ISMS y la experiencia prctica, e informar resultados a la gerencia para su examen.

ACTUALIZAR (Act): Mantener y mejorar el ISMS

Tomar acciones correctivas y preventivas, sobre la base de los resultados de la auditoria interna del ISMS y del examen de14 la gestin o de otra informacin relevante, para lograr la mejora continua del SGSI.

Seguridad de la Informacin: SGSI Requerimientos de Seguridad

Es esencial que una organizacin identifique sus requerimientos de seguridad. Existen tres fuentes principales:
EVALUAR RIESGOS que enfrenta la organizacin, tomando en cuenta la estrategia general y los objetivos de la organizacin. La evaluacin de riesgos es una consideracin sistemtica de los siguientes puntos: a) Impacto potencial en los negocios de una falla de seguridad, teniendo en cuenta las potenciales consecuencias por una prdida de la confidencialidad, integridad o disponibilidad de la informacin; b) Probabilidad de ocurrencia de dicha falla, tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados. REQUERIMIENTO LEGALES, NORMATIVOS, Y CONTRACTUALES que debe cumplir la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios (proveedores), y su ambiente socio-cultural. CONJUNTO ESPECIFICO DE PRINCIIOS, OBJETIVOS Y REQUISITOS COMERCIALES para el procesamiento de la informacin que la organizacin ha desarrollado para respaldar sus operaciones.
15

Seguridad de la Informacin: SGSI

16

Seguridad de la Informacin: SGSI .

17

Seguridad de la Informacin y las Comunicaciones

BS ISO/IEC 27001:2005 techniques. Information Requirements Information technology. security management Security systems.

This international standard will provide a specification for ISMS within the context of the organizations overall business risks and the foundation for third party audit and certification. It will also ensure effective information security management is established and maintained through a continual improvement process, and will implement the OECD principles governing the security of information systems and networks.

BS ISO/IEC 27002:2005 Information technology. Security techniques. Code of practice for information security management
Recognized and adopted by industry professionals worldwide, this universal code of practice provides a complete set of guidelines and principles for an effective information security management system (ISMS) and information security policy. This standard takes into account changes in technology, working practices and security techniques which will enable 18 organizations to develop, implement and measure effective security management practice.

Seguridad de la Informacin y las Comunicaciones

BS ISO/IEC 27005:2008 Information technology. Security techniques. Information security risk management This international standard provides guidelines for information security risk management (ISMS) in an organization, supporting in particular the requirements of ISO/IEC 27001. BS ISO/IEC 27011 Information technology. Information security management guidelines for telecommunications This international standard provides guidelines to support the implementation of information security management (ISM) in telecommunications organizations. It will enable them to meet baseline ISM requirements of confidentiality, integrity, availability and any other relevant security property of telecommunications.
19

Seguridad de la Informacin y las Comunicaciones

BS ISO/IEC 18028-1:2006 Information technology. Security techniques. IT network security. Network security management This standard provides guidance which supports the identification and analysis of the communications related factors that should be taken into account to establish network security requirements. It also provides an overview of the possible control areas including those technical design and implementation topics dealt with in detail in BS ISO/IEC 18028 parts 2 to 5. BS ISO/IEC 18028-2:2006 Information technology. Security techniques. IT network security. Network security architecture This standard defines network security architecture for providing end-to-end network security. The objective of this part of ISO/IEC 18028 is to serve as a foundation for developing the detailed recommendations for the end-to-end network security
20

Seguridad de la Informacin y las Comunicaciones

BS ISO/IEC 18028-3:2005 Information technology. Security techniques. IT network security. Securing communications between networks using security gateways This standard provides an overview of different techniques of security gateways, components and different types of security gateway architectures. It also provides guidelines for selection and configuration of security gateways BS ISO/IEC 18028-4:2005 Information technology. Security techniques. IT network security. Securing remote access This standard provides guidance for accessing networks remotely either for using email, file transfer or simply working remotely. This part looks specifically at different types and techniques of remote access connection, and securing access and the connection.
21

Seguridad de la Informacin y las Comunicaciones BS ISO/IEC 18028-5:2006 Information technology. Security techniques. Securing communications across networks using Virtual Private Networks This part provides detailed direction with respect to the security aspects of using Virtual Private Network (VPN) connections to interconnect networks, and also to connect remote users to networks.
22

Seguridad de la Informacin y las Comunicaciones

BS ISO/IEC 20000-1:2005 Information technology. Service management. Specification This specification defines the requirements for a service provider to deliver managed services. This standard promotes the adoption of an integrated process approach to effectively deliver managed services to meet business and customer requirements. BS ISO/IEC 20000-2:2005 Information technology. Service management. Code of practice. This code of practice describes the best practices for service management processes within the scope of BS ISO/IEC 20000-1. BS ISO/IEC 20000-2 recommends that service providers should adopt common terminology and a more consistent approach to service management.
23

Seguridad de la Informacin y las Comunicaciones

BS ISO/IEC 18043: 2006 Information technology. Security techniques. Selection, deployment and operations of intrusion detection systems This international standard provides guidelines for effective intrusion detection system (IDS) selection, deployment and operation, as well as fundamental knowledge about IDS. It is also applicable to those organizations that are considering outsourcing their intrusion detection capabilities. Information about outsourcing service level agreements can be found in the IT Service Management (ITSM) processes based on ISO/IEC 20000. It is intended to be helpful to: a) An organization in satisfying the following requirements of ISO/IEC 27001: b) An organization implementing controls that meet the following security objectives of ISO/IEC 17799. 24

Seguridad de la Informacin y las Comunicaciones

BS ISO/IEC 24762: 2008 Information technology. Security techniques. Guidelines for information and communications technology disaster recovery services This new standard describes the basic practices which ICT document recovery service providers, both inhouse and outsourced, should consider. It covers the requirements that service providers should meet, recognizing that individual organizations may have additional requirements that are specific to them (which would have to be addressed in the agreements/contracts with service providers).
25