1ra Jornadas de Actualizacin

Tecnolgica UNEFA

Estndares de Seguridad
Informtica

Prof. Manuel Mujica

17 de Julio 2009
 Contenido

ESTADSTICAS
ESTNDARES,METODOLOGASYBUENASPRCTICAS
PARALASEGURIDADINFORMTICA
ISO/IEC27001:2005
NATURALEZAYDINMICADELISO/IEC27001:2005
Su base de datos est protegida
de manos criminales?

Los activos de su empresa

han sido inventariados y
tasados?
 Estadsticas

La firma PriceWaterhouseCoopers entrevist a ms de

7.000 Ejecutivos CIO y CSO. Cuyos resultados se pre-
sentan a continuacin.
44% Planean aumentar los gastos de la seguridad en el
prximo ao.
59% Tienen una estrategia de seguridad de la informa-
cin.
Solo 24% clasifican el valor de los datos como parte de
las polticas de seguridad.

The Global State of Information Security 2008 - http://www.pwc.com

 Estadsticas
Plan de Continuidad

Cumplimiento Polticas

Cumplimiento Regulatorio

0 0,1 0,2 0,3 0,4 0,5 0,6

Plan de Continuidad del Negocio y Cumplimiento de Polticas

The Global State of Information Security 2008 - http://www.pwc.com

Quin est a cargo de seguridad de
la informacin?
En las grandes empresas el 44% inform que los
CIO
En las empresas medianas el 36% a mediados
inform que los CIO.

The Global State of Information Security 2008 - http://www.pwc.com

 Cmo aprenden las organizaciones
de incidentes de seguridad?
39 % Firewall o servidor de archivos y registros
37% Deteccin de intrusos / sistema de prevencin.
36% a travs de Colegas

The Global State of Information Security 2008 - http://www.pwc.com

Qu herramientas de seguridad de TI
utilizan las organizaciones?
Tecnologa 2007 2008

Maliciouscodedetectiontools 80% 84%

Applicationlevelfirewalls 62% 67%

Intrusiondetection 59% 63%

Intrusionprevention 52% 62%

EncryptionDatabase 45% 55%

EncryptionLaptop 40% 50%

EncryptionBackuptape 37% 47%

Automatedpasswordreset 40% 45%

Wirelesshandhelddevicesecurity 33% 42%

The Global State of Information Security 2008 - http://www.pwc.com

 No es la ignorancia !
OrigendeIncidentes 2007 2008

Empleados 48% 34%

Hackers 41% 28%

AntiguosEmpleados 21% 16%

SociosdeNegocios 19% 15%

Otros 20% 8%

Clientes 9% 8%

Terrorismo 6% 4%

The Global State of Information Security 2008 - http://www.pwc.com

Su organizacin como ve la seguridad de la
informacin.

Cmo proceso o cmo producto?

Estndares, Metodologas y Buenas Prcticas para
la Seguridad Informtica

IS0/IEC 27000
X.805 de UIT-T
TCSEC (Orange Book)
ITSEC (White Book)
FIPS 140 (Federal Information Precessing Systems 140)
CC (Common Criteria)
COBIT (Control Objectives for Information and Related Technology)
ITIL (Information Technology Infrastructure Library)
OSSTMM (Open Source Security Testing Methodology Manual)
ISO/IEC 27001:2005
 Joint Technical Committee 1
ISO/IEC JTC
1/SC 27/WG 1 ISO/IEC JTC 1

SC27 Sub Commite 27

WG1 WG2 WG3

Grupo de Trabajo 1 International Organization for Standardization

ISO 17799:2005
ISO 27000

International Electrotechnical Commission

 ISO / IEC 17799 : 2005
ISO 27001:2005- Cdigo de prctica de seguridad en la gestin de la
SISTEMA DE informacin Basado en BS 7799 1 : 2000.
GESTIN DE
SEGURIDAD DE .Recomendaciones para buenas prcticas
INFORMACIN No puede ser utilizado para certificacin

ISO 27001:2005
Especificacin para la gestin del sistema de seguridad
de informacin
.Es utilizado para la certificacin

Al inicio del 2009 haban 5190 empresas certificadas en el mundo.

Fuente: http://www.xisec.com http://www.iso27001certificates.com/

 ISO/IEC ISO/IEC ISO/IEC
FAMILIA DE 27000 27001:2005 27002:2007
ESTANDARES
SGSI Requerimientos (ISO 17799:2005)
ISO 27000
Fundamentos y
vocabulario

ISO/IEC ISO/IEC ISO/IEC

27003 27004 27005
Lineamientos para Lineamiento SGSI
la Implantacin Mtrica y Mediciones Lineamiento
Gestin del Riesgo
INFORMACIN La informacin es un activo, que tal como otros
importantes activos del negocio, tiene valor para
una empresa y consecuentemente requiere ser
protegida adecuadamente.

ISO 17799:2005
 La informacin puede ser:
CICLO DE VIDA
DE LA
INFORMACIN
CREADA ALMACENADA DESTRUIDA?

PROCESADA TRANSMITIDA

UTILIZADA Para propsitos apropiados o

inapropiados

PERDIDA CORROMPIDA
 TIPOS DE IMPRESA O ESCRITA
INFORMACIN ALMACENADA ELECTRNICAMENTE
TRANSMITIDA POR MEDIOS ELECTRNICOS

PRESENTADA EN VIDEOS CORPORATIVOS

VERBAL CONVERSADA FORMAL/INFORMALMENTE

. Cualquier forma que tome la informacin, o los medios que se utilicen para
compartirla o almacenarla, siempre debe estar apropiadamente protegida.

ISO 17799 : 2000

Qu es seguridad de la
Informacin?
 Seguridad de informacin es mucho ms que establecer firewalls,
aplicar parches para corregir nuevas vulnerabilidades en el sistema
de software, o guardar en la bveda los backups.
QU ES
SEGURIDAD DE
INFORMACIN? Seguridad de informacin es determinar qu requiere
ser protegido y por qu, de qu debe ser protegido y cmo protegerlo.

La seguridad de informacin se caracteriza por la preservacin

de:

CONFIDENCIALIDAD : La informacin est protegida

de personas no autorizadas.

INTEGRIDAD : La informacin est como se pretende,

sin modificaciones inapropiadas.

DISPONIBILIDAD : Los usuarios tienen acceso a la

informacin y a los activos asociados cuando lo requieran.
 Existen tres fuentes para que una organizacin identifique
sus requerimientos de seguridad:
ENFOQUE PARA
ESTABLECER La primera fuente deriva de la evaluacin de los riesgos que afectan
REQUERI- la organizacin. Aqu se determinan las amenazas de los activos,
MIENTOS DE luego se ubican las vulnerabilidades y se evala su posibilidad de
SEGURIDAD ocurrencia, y se estiman los potenciales impactos.
ISO
17799:2005

La segunda fuente es el aspecto legal.|

Aqu estn los requerimientos contractuales que deben cumplirse.

La tercera fuente es el conjunto particular de principios,

objetivos y requerimientos para procesar informacin,
que la empresa ha desarrollado para apoyar sus operaciones.
BS 7799-2:2002
ISO 27001:2005 ISO 27001:2005 BS 7799-2:2002

11 clusulas 10 clusulas

39 objetivos de control 36 objetivos de control

133 controles especficos 127 controles especficos

NATURALEZA Y DINMICA DEL
ISO 27001 : 2005

SISTEMA DE GESTIN DE
SEGURIDAD DE LA INFORMACIN
 PLAN

ESTABLECER
PARTES EL SGSI 4.2
INTERESA- PARTES
MODELO PDCA DAS INTERESA-
APLICADO A IMPLEMENTAR Desarrollar, MANTENER Y DAS
REQUERIMIEN- mantener
Y OPERAR EL MEJORAR
LOS PROCESOS TOS
EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 SEGURIDAD
Y
DEL SISTEMA EXPECTATIVAS el ciclo DE
DO ACT INFORMACIN
DE GESTIN DE DE LA
MANEJADA
SEGURIDAD
SEGURIDAD DE DE INFORMA- MONITOREAR
INFORMACIN CIN Y REVISAR
EL SGSI 4.2.3
SGSI
CHECK

4.3 Requerimientos de documentacin

4.3.2 Control de documentos
4.3.3 Control de registros
5.0 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestin de recursos
5.2.1 Provisin de recursos
5.2.2 Capacitacin, conocimiento y capacidad
7.0 Revisin gerencial
7.1 Auditorias internas
8.0 Mejoramiento del SGSI
8.1 Mejoramiento continuo
8.2 Accin correctiva
8.3 Accin preventiva
ESTRUCTURA Poltica,
DE LA alcance,
NIVEL I
DOCUMEN- evaluacin del
Enfoque de la gerencia Manual de Seguridad
riesgo
TACIN enunciado de
REQUERIDA aplicabilidad

NIVEL II
Descripcin de procesos, Procedimientos
quin hace qu y cundo

Describe cmo las tareas y actividades Instrucciones de

NIVEL III trabajo
especficas se realizan

NIVEL IV
Proveen evidencia objetiva de la conformidad con el SGSI Registros
POLTICAS
EN EL
SGSI Orientaciones o directrices que rigen la actuacin de
una persona o entidad en un asunto o campo determinado.
Real Academia Espaola.

Aspectos a considerar al elaborar polticas

Qu ser protegido Cmo ser gestionada

Quin es responsable Cundo toma efecto
Dnde en la organizacin Por qu ha sido creada
 La seguridad de la informacin protege la informacin de
RESUMEN una serie de amenazas para que as la empresa pueda
continuar operando, minimizar daos a la gestin comercial
y maximizar el retorno a la inversin y oportunidades de
negocios.
Cada organizacin tendr un conjunto de requerimientos
diferentes de control y de niveles de confidencialidad,
integridad y disponibilidad.
 Si t tienes una manzana, yo tengo una manzana y las
intercambiamos: ...seguiremos teniendo una manzana cada uno.
...Pero si t tienes una idea, yo tengo una idea y las
intercambiamos: cada uno de nosotros tendr dos ideas.
Bernard Shaw

El conocimiento aumenta con su uso,

se multiplica cuando se comparte

Gracias por su Atencin

 http://mmujica.wordpress.com

CONTACTO:
email: manuel@ubuntu.org.ve
Huella GPG: AD68 F6CC 76D1 EDA0 7BA4 130A 7DAE CCC0 B223 3B42

Ubuntu User #4728

Linux User #439689

Blog's: http://pide.wordpress.com
http://mmujica.wordpress.com
http://uclaredes.wordpress.com

http://www.ubuntu-ve.org

http://creativecommons.org/licenses/by/3.0/deed.es