Mdulo V

Administracin de Riesgos y
Vulnerabilidades en la nube

Pre-especializacin:
DISEO DE SOLUCIONES DE CLOUD
COMPUTING Y SEGURIDAD
Ing. Jos Rodrigo Torres, MBA, PMP
TEMA 1:

PRINCIPIOS DE SEGURIDAD DE
INFORMACIN (INTRO)
 PROTEGER QUE?
En un sentido amplio las empresas protegen
sus ACTIVOS
 Activos es el conjunto de bienes
tangibles o intangibles que posee
una empresa. Se considera activo a
aquellos bienes que tienen una alta
probabilidad de generar un beneficio
econmico a futuro y se pueda gozar
de los beneficios econmicos que el
bien otorgue.
 LA INFORMACION COMO UN
ACTIVO DE LA EMPRESA
La informacin de una empresa es
un activo intangible de gran
VALOR en la compaa.

Su PROTECCIN es vital para la

supervivencia de la empresa y
para asegurar la continuidad de
las operaciones.
 La Informacin es un activo el cual,
como cualquier otro activo de negocios,
tiene VALOR para una organizacin, y
consecuentemente necesita ser
adecuadamente protegida

BS ISO 27002:2005

9/10/201
6
Mohan Kamat 6
KNOWLEDGE IS POWER (Sir Francis Bacon)
 Seguridad de la Informacin
La cualidad o estado de estar libre de peligro
La seguridad se logra mediante el uso de varias
estrategias, usadas simultaneamente o en combinacin
de unas con otras.
La seguridad es reconocida como algo esencial para
proteger procesos vitales y a los sistemas que proveen
esos procesos
La Seguridad no es algo que ud. Compraes algo que
USTED HACE!!!
 EL PROBLEMA

Existe consenso en que La falta

de control sobre la informacin es
un riesgo latente, pero muchos
ven difcil la materializacin del
mismo en un momento dado.
(Angel Ripoll, Detective Espaol,
criminologo experto.)
 Fugas de Informacin

Una fuga representa un costo

elevado y una realidad que
puede traer como
consecuencia la cada en los
precios de las acciones,
demandas, prdida de la
reputacin y confianza de los
clientes.
 Intrusiones o Violaciones a la
Seguridad de la Informacin

Intruso: Persona que intenta acceder a un

sistema informtico sin autorizacin haciendo
uso de diferentes tcnicas como son el
engao, robo de identidad, explotacion de
vulnerabilidades, uso de herramientas de
software especiales (Malware), etc.
TIPOS DE HACKERS
 Glosario (1) * TOMADO DE NIMS - MITRE

Amenaza: cualquier circunstancia o evento con el potencial de

causar dao al sistema de informacin tal como su
destruccin, revelacin o modificacin adversa de datos, o
negacin del servicio (NSTISSI, 1992)

Agente de amenaza: Un mtodo usado para explotar una

vulnerabilidad en un sistema, su operacin o sus instalaciones
(NCSC TG-004)
 Glosario (2)
Ataque: Intento de ganar acceso no autorizado a los servicios,
recursos o informacin, o de comprometer la integridad,
disponibilidad o confidencialidad de un sistema de
informacin (NIST ISSI, 1992)

Vulnerabilidad: Debilidad en los procesos de seguridad, el

diseo, la implementacin , controles internos, etc. de un
sistema de informacin que puede ser explotada para violar
las polticas de seguridad del sistema (NCSC TG-004, 1988)
 Glosario (3)
Riesgo: La prdida esperada, o debida al impacto de
amenazas anticipadas a la luz de vulnerabilidades del sistema
y la fuerza o determinacin de agentes de amenazas
relevantes (NIST, 1992)

Administracin de riesgos: el proceso relacionado con la

identificacin, medicin, control y minimizacin de los riesgos
de seguridad en los sistemas de informacin conmensurado
con el valor de los activos protegidos (NSTISSI, 1992)
 INFORMATION SECURITY

1. Proteger la informacion de un rango variado

de amenazas (threats)
2. Asegurar la Continuidad del Negocio.
3. Minimizar la perdida financiera
4. Optimizar retorno de la inversin
5. Incrementar las oportunidades de Negocios.

La supervivencia de los Negocios depende de

la Seguridad de la INFORMACION.

9/10/2016 Mohan Kamat 17

 OBJETIVOS DE LA SEGURIDAD DE LA
INFORMACIN
Se busca garantizar que la informacin cumpla con los siguientes atributos:

La confidencialidad. Slo las personas autorizadas acceden a la informacin

La integridad. Los usuarios autorizados obtienen datos que son precisos y de que
no fueron modificados de forma inadecuada.

La disponibilidad. Los usuarios autorizados deben tener acceso a la informacin

que necesiten, en cualquier momento.

18
Requerimientos de la Proteccin
de la Informacin.
 Normativa Internacional En
Seguridad de Informacin
ISO / IEC 17799 : Information technology - Security
techniques - Code of practice for information security
management.
Tiene su origen en la norma britnica BS 7799-1.
La versin mas reciente de este esta norma es la ISO/IEC
17799 :2005.
Proporciona recomendaciones de las mejores prcticas en la
gestin de la seguridad de la informacin.

20
 SERIE ISO 27000
En el ao 2005 se reservo la numeracin 27000 para la
seguridad de la informacin. Los estndares ya existentes
sern migrados a este nuevo conjunto de estndares en
desarrollo.

ISO 27000: Trminos y definiciones de Seguridad

ISO 27001: Norma de certificacin sobre requisitos a cumplir
para implantar un SGSI. Basada en BS 7799-2.
ISO 27002: Sustituye a la ISO 17799:2005
ISO 27003: Gua de Implementacin de SGSI basado en el
modelo Planear, Hacer Verificar y Actuar (PDCA)

21
 CONTROLES ISO 27000
Anlisis y gestin de riesgos
Poltica de seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de activos de informacin
Seguridad ligada al personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de incidentes de seguridad de la informacin
Gestin de continuidad de negocio
Conformidad

22
 Industry Standards Supporting
BCP and DRP
ISO 27001: Requirements for Information
Security Management Systems. Section 14
addresses business continuity management.
ISO 27002: Code of Practice for Business
Continuity Management.
ISO 22301:2012 Sistemas de Gestin de la
Continuidad de Negocios