Escolar Documentos
Profissional Documentos
Cultura Documentos
Introduccin
LA INFORMACION ES UN BIEN VALIOSO. El valor de la informacin es tan importante como para determinar el poder relativo de un grupo de personas sobre otro. LA INFORMACION ES FRAGIL. La fragilidad de la informacin est dada, en general, por los medios que la sustentan, por los problemas tcnicos que presentan dichos medios y por su exposicin al alcance de personas que quieran daarla y/o robarla. En el caso particular de la informacin manejada por computadoras, su fragilidad est dada por las amenazas asociadas a las debilidades y vulnerabilidades de los medios de almacenamiento, procesamiento y transmisin, siendo las fallas tcnicas, las catstrofes, las impericias y los intrusos (como saboteadores y hackers), solo unos pocos ejemplos de dichas amenazas.
2
INFORMACIN
Informacin: Concepto
EXISTE EN MUCHAS FORMAS:
RESPECTO AL TIPO DE REPRESENTACION, puede estar dada en: o Nmeros, letras o smbolos en general, combinados segn las reglas de algn lenguaje de representacin, constituyendo as datos o mensajes inteligibles. o Imgenes, por ejemplo, fotografas, esquemas, planos, mapas cartogrficos, etc., o Sonidos, como la voz hablada, tonos, msica, etc., o Medios audiovisuales, por ejemplo, programas de televisin, pelculas, etc. RESPECTO AL SOPORTE, puede estar almacenada: o en papel, ya sea escrita, dibujada, impresa, etc., o en forma electrnica, magntica, o de forma de ser recuperada por medios pticos. RESPECTO AL MEDIO DE COMUNICACION, la informacin puede ser transmitida: o en forma coloquial, por ej. en una exposicin o conversacin (directa o telefnicamente) o por correo postal, o por medios electromagnticos en general, ya sea: Medios guiados: conductores elctricos formando lneas de transmisin, (guas de ondas, cables coaxiales, cables paralelos, cables de par trenzado, etc.), conductores pticos (las fibras pticas) Medios no guiados: informacin transmitida por OEM en el aire o vaco (i.e. redes wireless)
CUALQUIERA SEA LA FORMA QUE ADQUIERA O LOS MEDIOS POR LOS CULES SE 4 DISTRIBUYE O ALMACENA, SIEMPRE DEBE ESTAR PROTEGIDA
Informacin: Propiedades
La informacin en buen estado, goza de ciertas propiedades que deben ser preservadas para mantenerla as.
Las propiedades fundamentales de la informacin son: CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD La informacin puede tener tambin otras propiedades que sern de inters segn el caso. Ests son: AUTENTICIDAD CONTROL AUDITABILIDAD CONFIABILIDAD Adicionalmente pueden considerarse algunos otros aspectos, relacionados con los anteriores, pero que incorporan algunas consideraciones particulares. Estos son: PROTECCION A LA REPLICA NO REPUDIO 5 LEGALIDAD
Informacin: Propiedades
CONFIDENCIALIDAD (O PRIVACIDAD):
Propiedad de que esta se mantiene secreta y no revelada a entidades (individuos o procesos) no autorizados a conocerla. Al preservar dicha propiedad, se garantiza que la informacin es conocida y accedida slo por aquellas personas autorizadas a hacerlo.
INTEGRIDAD:
Propiedad de que esta permanece coherente, completa e inalterada, a menos, en este ltimo caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en forma pertinente y correcta. La preservacin de dicha propiedad garantiza la exactitud, coherencia y totalidad de la informacin y los mtodos de procesamiento. Integridad de un sistema: Propiedad de que los recursos del mismo permanecen inalterados, ya sean recursos de almacenamiento, procesamiento o distribucin. La integridad de un activo es la propiedad que salvaguarda su exactitud y totalidad.
DISPONIBILIDAD (U OPERATIVIDAD):
Propiedad de que esta se mantiene accesible y usable cada vez que una entidad autorizada a hacerlo lo requiera. La preservacin de dicha propiedad garantiza que la informacin estar siempre disponible para ser usada bajo demanda, ya sea para su consulta y/o procesamiento, por las personas o procesos autorizados. Disponibilidad de de un sistema: Propiedad de que los recursos del mismo se mantiene operativos, cada vez que una entidad autorizada los necesite. La preservacin de esta propiedad requiere que la informacin se mantenga correctamente almacenada, en los formatos preestablecidos para su recuperacin en forma satisfactoria, 6 con el hardware que la contiene y el software correspondiente funcionando normalmente.
Informacin: Propiedades
AUTENTICIDAD:
Propiedad que permite asociarla a una entidad (proceso o usuario). La preservacin de esta propiedad permite asegurar el origen de la informacin, validando a la entidad emisora de la misma, evitndose el acceso descontrolado a la informacin y a los recursos, y la suplantacin de identidades. La aplicacin mas evidente de la autenticacin es en el control de accesos. En general, el proceso de control de accesos consiste tpicamente de dos etapas: identificacin y autenticacin. En la identificacin, la entidad (proceso o usuario) dice quin es, y en la autenticacin, la entidad demuestra ser quin dice ser. Hay varios mtodos para autenticar y se abordarn en el captulo correspondiente. identificar y autenticar no es lo mismo. Autenticacin verifica Identificacin.
CONTROL:
Propiedad que permite asegurar que slo los usuarios autorizados pueden decidir quin accede a la informacin, cundo y cmo.
AUDITABILIDAD:
Propiedad que garantiza que todos los eventos de un sistema sean registrados para posteriores controles o auditorias.
CONFIABILIDAD:
Propiedad que garantiza que la informacin generada sea adecuada para sustentar la toma de decisiones y la ejecucin de las misiones y funciones. Garantiza que la informacin es vlida y utilizable en tiempo, forma y distribucin. 7
Informacin: Propiedades
PROTECCION A LA REPLICA (O A LA DUPLICACION): Propiedad que garantiza que una transaccin slo puede realizarse una vez, a menos que se especifique lo contrario. La preservacin de dicha propiedad garantiza que si un intruso logra atrapar y copiar una transaccin con el propsito de reproducirla simulando ser el remitente original, no pueda completar satisfactoriamente dichas transacciones. NO REPUDIO: Propiedad que garantiza que cualquier entidad que envi o recibi informacin, no pueda alegar ante terceros, que no la envi o no la recibi. LEGALIDAD: Propiedad que garantiza que la informacin se ajusta al cumplimiento de las leyes, normas, reglamentaciones o 8 disposiciones a las que est sujeto la organizacin.
SEGURIDAD DE LA INFORMACIN
11
12
15
16
Seguridad Organizativa (o Funcional o Administrativa) Seguridad Lgica (o Tcnica) Seguridad Fsica DATOS Seguridad Legal
SEGURIDAD LOGICA SEGURIDAD FISICA
19
En concordancia con la norma ISO/IEC 27002, la Seguridad de la Informacin puede pensarse formada por once dominios o clusulas. Cada clusula contiene un nmero de categoras o temas de seguridad principales, que suman 39 en total. As, los tpicos que se deben contemplar en una solucin efectiva y eficiente de Seguridad de la Informacin son 39.
21
11- Cumplimiento
9- Gestin de Incidentes
11 dominios 39 puntos
6- Gestin de Operac. y Comunic.
3- Gestin de Activos
29
30
ACTIVOS
ACTIVOS (ASSET) Un activo, es cualquier cosa que tenga valor para la organizacin. Existen muchos tipos de activos, incluyendo: a) Informacin: Toda representacin o comunicacin de conocimiento propio o de inters para la organizacin, en cualquier forma. b) Recursos de Informacin: Toda entidad que le brinda soporte al almacenamiento, procesamiento o transmisin de informacin (o a los datos a partir de los cules dicha informacin se puede construir). Son recursos de informacin las Bases de datos, archivos de datos, mensajes en una red de comunicaciones (sea de datos o de telefona), documentacin de los sistemas, manuales de usuario, material de capacitacin, procedimientos operativos o de soporte, planes de continuidad, acuerdos para contingencias, informacin archivada, contratos y acuerdos, informacin de investigaciones, rastros de auditoria, el cdigo de programacin de programas creados por la organizacin, etc. RECURSOS DE INFORMACION a) Activos o recursos software: Todo programa de computador creado o adquirido por la organizacin. Son recursos software los sistemas operativos y software del sistema de quipos en general (computadores, equipos de red, equipos de seguridad), herramientas de desarrollo y utilidades, software de aplicacin, suites ofimticas, etc. b) activos o recursos fsicos: equipo de cmputo, de comunicacin, medios removibles. Etc. c) servicios: servicios de computacin y comunicacin, servicios generales; por ejemplo, calefaccin, iluminacin, energa y aire acondicionado; d) personal, y sus calificaciones, capacidades y experiencia; e) intangibles, tales como la reputacin y la imagen de la organizacin.
El inventariado de activos ayuda a asegurar que se realice una proteccin efectiva de los mismos. El proceso de compilar un inventario de activos es un pre33 requisito importante de la gestin del riesgo.
SISTEMA DE INFORMACION
Es posible encontrar diversas formas de definir el concepto tradicional de sistema de informacin. La siguiente es una posible: Sistema de Informacin se refiere a un conjunto de Recursos de Tecnologas de la Informacin independientes pero organizados para el manejo de la informacin segn determinados procedimientos, tanto automatizados como manuales. Se entiende por manejo de la informacin la recopilacin, almacenamiento, procesamiento, mantenimiento, transmisin o difusin de informacin. Se entiende por Recursos de Tecnologa de la Informacin, todo recurso utilizado para el manejo de la informacin. Son recursos de tecnologa de la informacin (o recursos IT) los siguientes: Informacin, Recursos de Informacin, Recursos de software, Recursos de hardware, Recursos Humanos, Servicios 34
35
36
Se logra la siguiente sentencia, siempre valida: select * from tblUsers where user_id= administrador or 1=1 or 1=1 and passwd= cualquier_valor
38
39
Identificacin del Sistema de Informacin de la organizacin Identificacin de los Requerimientos y Expectativas de Seguridad de la Informacin Realizar la Valoracin del Riesgo (risk assessment) Disear un Sistema de Gestin (o Administracin) de Seguridad de la Informacin (o SGSI, o ISMS por las siglas de Information Security Management System) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el ISMS, en forma continua.
40
Requerimientos de Seguridad
Es esencial que una organizacin identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos de seguridad: Una fuente deriva de evaluar los riesgos que enfrenta la organizacin, tomando en cuenta la estrategia general y los objetivos de la organizacin. Mediante la evaluacin de riesgos se identifican las amenazas a los activos, se evalan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. Otra fuente son los requerimientos legales, normativos, reglamentarios, estatuitarios y contractuales que debe cumplir la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios (proveedores), y su ambiente socio-cultural. Otra fuente es el conjunto especfico de principios, objetivos y requisitos comerciales para el procesamiento de la informacin que la 41 organizacin ha desarrollado para respaldar sus operaciones.
La evaluacin de riesgos
La evaluacin de riesgos es una consideracin sistemtica de los siguientes puntos: a) impacto potencial en los negocios de una falla de seguridad, teniendo en cuenta las potenciales consecuencias por una prdida de la confidencialidad, integridad o disponibilidad de la informacin y otros recursos; b) probabilidad de ocurrencia de dicha falla, tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados. La evaluacin del riesgo debiera incluir el enfoque sistemtico de calcular la magnitud de los riesgos (anlisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluacin del riesgo). Los resultados de esta evaluacin ayudarn a: orientar y a determinar las prioridades y las acciones de gestin adecuadas para la administracin de los riesgos concernientes a seguridad de la informacin, y para la implementacin de los controles seleccionados a fin de brindar proteccin contra dichos riesgos. Los resultados de la evaluacin del riesgo debieran ayudar a: guiar y determinar las acciones de gestin apropiadas para la administracin de los riesgos concernientes a seguridad de la informacin, y establecer las prioridades para manejar los riesgos de la seguridad de la informacin y para implementar los controles seleccionados para protegerse contra estos riesgos.
42
SGSI
Planificar (Plan): Establecer el ISMS
Establecer las polticas, los objetivos, los procesos y procedimientos del ISMS pertinentes a la gestin de riesgos y la mejora de la seguridad de la informacin para entregar resultados de acuerdo con las polticas y objetivos generales de la organizacin.
SGSI
44
SGSI
45
SGSI
.
46
SGSI
.
47
SGSI
.
48
Gestin de la Seguridad
. 2) ASEGURAR Cortafuegos Software fiable IPsec PKI
1) POLITICA de SEGURIDAD
Modelo de Seguridad
.
50