Você está na página 1de 29

Seguridad de la Informacin

Seguridad
De la Informacin
Seguridad de la Informacin

Nuevos Escenarios:
Seguridad de la Informacin

Qu se debe asegurar ?
La informacin debe considerarse como un
recurso con el que cuentan las Organizaciones
y por lo tanto tiene valor para stas, al igual
que el resto de los activos, debe estar
debidamente protegida.
Seguridad de la Informacin

Contra qu se debe proteger la


Informacin ?
La Seguridad de la Informacin, protege a
sta de una amplia gama de amenazas,
tanto de orden fortuito como destruccin,
incendio o inundaciones, como de orden
deliberado, tal como fraude, espionaje,
sabotaje, vandalismo, etc.
Seguridad de la Informacin

Qu se debe garantizar ?

Confidencialidad: Se garantiza que la informacin es


accesible slo a aquellas personas autorizadas a tener
acceso a la misma.

Integridad: Se salvaguarda la exactitud y totalidad de la


informacin y los mtodos de procesamiento.

Disponibilidad: Se garantiza que los usuarios


autorizados tienen acceso a la informacin y a los recursos
relacionados con la misma toda vez que se requiera.
Seguridad de la Informacin

Por qu aumentan las amenazas ?


Las Organizaciones son cada vez mas
dependientes de sus Sistemas y Servicios
de Informacin, por lo tanto podemos
afirmar que son cada vez mas vulnerables
a las amenazas concernientes a su
seguridad.
Seguridad de la Informacin

Por qu aumentan las amenazas ?


Crecimiento exponencial de las Redes y
Usuarios Interconectados
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Algunas
Causas Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido
(Ej:DDoS)
Tcnicas de Ingeniera Social
Seguridad de la Informacin

Cules son las amenazas ?


Accidentes: Averas, Catstrofes,
Interrupciones, ...
Errores: de Uso, Diseo, Control, ....
Intencionales Presenciales: Atentado con acceso
fsico no autorizado
Intencionales Remotas: Requieren acceso al
canal de comunicacin
Seguridad de la Informacin

Amenazas Intencionales Remotas


Interceptacin pasiva de la informacin
(amenaza a la CONFIDENCIALIDAD).
Corrupcin o destruccin de la
informacin (amenaza a la INTEGRIDAD).
Suplantacin de origen (amenaza a la
AUTENTICACIN).
Seguridad de la Informacin

Acciones de la ONGEI
Seguridad de la Informacin

Actualmente la ONGEI apoya a las entidades


pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores
Web de las Entidades Publicas.
Boletines de Seguridad de la informacin
Boletines de Alertas de Antivirus.
Presentaciones tcnicas sobre seguridad.
Consultoras y apoyo en recomendaciones
tcnicas.
Seguridad de la Informacin

Poltica de Seguridad para el Sector


Pblico
Seguridad de la Informacin

Que se entiende por Politica de Seguridad ?

Conjunto de requisitos definidos por los responsables directos


o indirectos de un Sistema que indica en trminos generales
qu est permitido y qu no lo est en el rea de seguridad
durante la operacin general de dicho sistema

Diferencias entre Poltica, Estndar y Procedimiento

o Poltica: el porqu una organizacin protege la informacin

o Estndares: lo que la organizacin quiere hacer para


implementar y administrar la seguridad de la informacin

o Procedimientos: cmo la organizacin obtendr los


requerimientos de seguridad
Seguridad de la Informacin

Cmo establecer los requerimientos de seguridad?


Evaluar los riesgos que enfrenta la organizacin

o Se identifican las amenazas a los activos


o Se evalan las vulnerabilidades y probabilidades de
ocurrencia
o Se estima el impacto potencial

Tener en cuenta los requisitos legales, normativos,


reglamentarios y contractuales que deben cumplir:

o La organizacin
o Sus socios comerciales
o Los contratistas
o Los prestadores de servicios

Establecer un conjunto especfico de principios, objetivos y


requisitos para el procesamiento de la informacin
Seguridad de la Informacin

Qu se entiende por SGSI?

SGSI: Sistema de Gestin de la Seguridad de la Informacin


ISMS: Information Security Management Sytsem

Un modelo de gestin para la mejora continua de la calidad de


la seguridad de la informacin

oRealizacin de un anlisis de riesgos

oDefinicin de una poltica de seguridad

oEstablecimiento de controles
Seguridad de la Informacin

Con fecha 23 de julio del 2004 la PCM a travs


de la ONGEI, dispone el uso obligatorio de la
Norma Tcnica Peruana NTP ISO/IEC
17799:2004 EDI. Tecnologa de la Informacin:
Cdigo de Buenas Prcticas para la Gestin de
la Seguridad de la Informacin en entidades del
Sistema Nacional de Informtica.
Se Actualiz el 25 de Agosto del 2007 con la
Norma Tcnica Peruana NTP ISO/IEC
17799:2007 EDI.
Seguridad de la Informacin

Marco de las recomendaciones


La NTP-ISO 17799 es una compilacin de
recomendaciones para las prcticas exitosas de
seguridad, que toda organizacin puede aplicar
independientemente de su tamao o sector.
La NTP fue redactada para que fuera flexible y no
induce a las organizaciones que la cumplan al pie
de la letra, se deja a estas dar una solucin de
seguridad de acuerdo a sus necesidades.
Las recomendaciones de la NTP-ISO 17799 son
neutrales en cuanto a la tecnologa. La norma
discute la necesidad de contar con Firewalls, pero
no profundiza sobre los tipos de Firewalls y cmo
se utilizan.
Seguridad de la Informacin

En este sentido La Norma Tcnica Peruana ISO


17799, se emite para ser considerada en la
implementacin de estrategias y planes de
seguridad de la informacin de las Entidades
Pblicas.
La NTP NO exige la certificacin, pero si la
consideracin y evaluacin de los principales
dominios de acuerdo a la realidad de cada
organizacin.
Seguridad de la Informacin

Cules son los temas o dominios a


considerar dentro de un plan de
Seguridad?
Seguridad de la Informacin

Los 11 dominios de control de ISO 17799

1. Poltica de seguridad:
Se necesita una poltica que refleje las expectativas de
la organizacin en materia de seguridad, a fin de
suministrar administracin con direccin y soporte. La
poltica tambin se puede utilizar como base para el
estudio y evaluacin en curso.

2. Aspectos organizativos para la seguridad:


Sugiere disear una estructura de administracin
dentro la organizacin, que establezca la
responsabilidad de los grupos en ciertas reas de la
seguridad y un proceso para el manejo de respuesta a
incidentes.
Seguridad de la Informacin

3. Clasificacin y Control de Activos:


Inventario de los recursos de informacin de la
organizacin y con base en este conocimiento, debe
asegurar que se brinde un nivel adecuado de
proteccin.
4. Seguridad de Recursos Humanos:
Necesidad de educar e informar a los empleados
actuales y potenciales sobre lo que se espera de ellos
en materia de seguridad y asuntos de
confidencialidad. Implementa un plan para reportar
los incidentes.
5. Seguridad fsica y del Entorno:
Responde a la necesidad de proteger las reas, el
equipo y los controles generales.
Seguridad de la Informacin

6. Gestin de Comunicaciones y Operaciones: Los


objetivos de esta seccin son:
Asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informacin.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la informacin.
Conservar la integridad y disponibilidad del procesamiento y la
comunicacin de la informacin.
Garantizar la proteccin de la informacin en las redes y de la
infraestructura de soporte.
Evitar daos a los recursos de informacin e interrupciones en
las actividades de la institucin.
Evitar la prdida, modificacin o uso indebido de la
informacin que intercambian las organizaciones.
Seguridad de la Informacin

7. Control de accesos:
Establece la importancia de monitorear y
controlar el acceso a la red y los recursos de
aplicacin como proteccin contra los abusos
internos e intrusos externos.

8. Adquisicin, Desarrollo y Mantenimiento de los


sistemas:
Recuerda que en toda labor de la tecnologa de la
informacin, se debe implementar y mantener la
seguridad mediante el uso de controles de
seguridad en todas las etapas del proceso.
Seguridad de la Informacin

9. Gestin de Incidentes de la Seguridad de la


informacin
Asegurar que los eventos y debilidades en la
seguridad de la informacin sean comunicados de
manera que permitan una accin correctiva a tiempo.
10. Gestin de Continuidad del Negocio
Aconseja estar preparado para contrarrestar las
interrupciones en las actividades de la organizacin y
para proteger los procesos importantes de la
organizacin en caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,
estatutos, obligaciones regulatorias o contractuales y
de cualquier requerimiento de seguridad.
Seguridad de la Informacin

Implementando Seguridad
de la Informacin
Enfoque General
Seguridad de la Informacin
3.- Aplicacin de ISO 17799
Ejemplo de Implantacin

ISO 17799 no es una norma tecnolgica.


Esta redactada de forma flexible.
Se adapta a cualquier implantacin en todo tipo de
organizaciones sin importar su tamao o sector de
negocio.

26
Seguridad de la Informacin
3.- Aplicacin de ISO 17799
Ejemplo de Implantacin

Dominio de control: Gestin de comunicaciones y


operaciones

Objetivo de control: proteger la integridad del software y de la


informacin.
Control: Controles contra software malicioso.

Se deberan implantar controles para detectar el


software malicioso y prevenirse contra l, junto a
procedimientos adecuados para concienciar a los
usuarios. 27
Seguridad de la Informacin
3.- Aplicacin de ISO 17799
Ejemplo de Implantacin

Tras un trabajo de Consultora se establecera:

Normativa de uso de software: definicin y


publicitacin en la Intranet.
Filtrado de contenidos: X - Content Filtering
Antivirus de correo: Y Antivirus
Antivirus personal: Z Antivirus

28
Seguridad de la Informacin

Este material podr obtenerlo en


http://www.pecert.gob.pe/pecert-lecturas.html
en la Seccin Lecturas
Tambin encontrar all plantillas para la
implementacin de polticas especificas

Tarea
Implementar polticas de seguridad de la
informacin de un departamento de TI
local.(evidencias fotos, videos)