NETWORK SECURITY

Mg. Ing. CÉSAR TORRES CECLÉN

Exámenes
La nota mínima aprobatoria es 12 (doce).
Temario Introducción Network Security
Principios fundamentales de seguridad en redes.

Logro

Al finalizar la Unidad, el alumno tendrá los conceptos

básicos de la seguridad en redes.
• ¿Cual es la información más valiosa que
manejamos?

– La información asociado a nuestros clientes.

– La información asociado a nuestras ventas.
– La información asociada a nuestro personal.
– La información asociada a nuestros productos.
– La información asociada a nuestras operaciones.
Riesgo

• Pero si nunca paso nada …………….

– Esto no real.

– Lo que sucede es que hoy sabemos muy poco.

• La empresa necesita contar con información

sobre la cual tomar decisiones a los efectos de
establecer controles necesarios y eficaces.
Amenazas ……………
Escalamiento de privilegios
Password cracking
Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Denegación de servicio Backups inexistentes

Destrucción de equipamiento
Últimos parches no instalados

Desactualización Keylogging Port scanning

Hacking de Centrales Telefónicas

Mas Amenazas ………..
Spamming
Violación de contraseñas
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones

Ingeniería social
Mails anónimos con agresiones
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms

Acceso indebido a documentos impresos Robo de información

Indisponibilidad de información clave
Intercepción de comunicaciones voz y
Falsificación de información wireless
para terceros
Agujeros de seguridad de redes conectadas
 Vulnerabilidades
• Personal inadecuadamente capacitado y concientizado.
• Inadecuada asignación de responsabilidades.
• Ausencia de políticas/ procedimientos.
• Ausencia de controles

– (físicos/lógicos)
– (disuasivos/preventivos/detectivos/correctivos)

• Ausencia de reportes de incidentes y vulnerabilidades.

• Inadecuado seguimiento y monitoreo de los controles.
¿ Seguridad de la Información ?
La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
protección adecuada.

La información puede estar:

• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.

Debe protegerse adecuadamente cualquiera que sea la forma que

tome o los medios por los que se comparte o almacene.
¿ Seguridad de la Información ?

La seguridad de la información se caracteriza aquí como

la preservación de:
su confidencialidad, asegurando que sólo quienes
estén autorizados pueden acceder a la
información.
su integridad, asegurando que la información y
sus métodos de proceso son exactos y
completos.

su disponibilidad, asegurando que los usuarios

autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran.
¿ Seguridad de la Información ?

La Seguridad de la Información (S.I.) es la disciplina

que se ocupa de diseñar las normas, procedimientos,
métodos y técnicas, orientados a proveer condiciones
seguras y confiables, para el procesamiento de datos
en sistemas informáticos
Normas Aplicables

Entre los distintos organismos relacionados comercial y/o

institucionalmente con los temas de Seguridad de la
Información, podemos encontrar los siguientes:

– ISACA: COBIT
– British Standards Institute: BSI
– International Standards Organization: Normas ISO
¿ Cómo establecer los requisitos ?

Es esencial que la Organización identifique sus requisitos

de seguridad.

Existen tres fuentes principales.

La primer fuente procede de la valoración de los riesgos

de la Organización. Con ella:
- Se identifican las amenazas a los activos,
- Se evalúa la vulnerabilidad y la probabilidad de su
ocurrencia.
- Se estima su posible impacto.
¿ Cómo establecer los requisitos ?
La segunda fuente es el conjunto de requisitos legales,
estatutarios, regulatorios y contractuales que debe
satisfacer:
- la Organización,
- sus socios comerciales,
- los contratistas
- los proveedores de servicios.

La tercera fuente está formada por los principios,

objetivos y requisitos que la Organización ha desarrollado
para apoyar sus operaciones.
Origen de la Norma
• Grupo de trabajo – enero 1993
• Emisión de código – Septiembre 1993
• Publicación de BS 7799-1 Febrero 1995

• Publicación de BS 7799-2 Febrero 1998

• Publicación BS7799: 1999 1 y 2 Abril 1999
• ISO 17799 (BS 7799-1) – Diciembre 2000

• BS 7799-2 - Publicado en Septiembre 2002.

• ISO 17799 - Publicado Julio 2005
• ISO 27001 – Publicado Noviembre 2005.
ISO/IEC 27001 – ISO/IEC 17799
British Standard 7799 Parte 1 – Es un código de mejores
prácticas que se sugieren: “....deberían...”

ISO/IEC 17799-2000 – Basado en la BS 7799 Parte 1.

– No hay una certificación.

– 10 Áreas de Control
– 36 Objetivos de Control
– 127 Controles
 ISO/IEC 27001 – ISO/IEC 17799
British Standard 7799 Parte 2 – Aporta conceptos de
implantación obligatorios para certificar: “...deben...”
– Requisitos para Sistemas de Gestión de Seguridad de la
información.
– Vinculada con la BS 7799-1 (ISO/IEC 17799)
– Proceso de Evaluación para Certificación.
– Obsoleta.

• ISO/IEC 27001.
– Basada en la BS 7799:2

• Versiones actuales:
– ISO/IEC 17799:2005 / ISO/IEC 27001: 2005
ISO/IEC 17799 : 2000
10 Áreas de Control
– Política de Seguridad
– Aspectos organizativos para la seguridad
– Clasificación y control de los activos
– Seguridad ligada al personal
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Desarrollo y mantenimiento de sistemas
– Gestión de continuidad del negocio
 ISO/IEC 17799 : 2005
• 11 Áreas de Control
– Política de Seguridad
– Organización de la Seguridad de la Información
– Gestión de Activos
– Seguridad en los Recursos Humanos
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones
– Control de accesos
– Adquisición, desarrollo y mantenimiento de sistemas
de información
 ISO/IEC 17799 – 2 27001
• 2800 Empresas Certificadas a nivel mundial.
– 1800 en Japón.
– 415 Reino Unido
– 11en Brasil.
– 3 en Argentina.

• Certificación ISO/IEC 27001.

– Implica la misma certificación, por parte de organismos
nivel mundial.
Publicaciones de Versiones ISO / IEC

ISO/IEC ISO/IEC

ISO/IEC 17799 ISO/IEC 17799

(2000) (2005)

BSI

ISO/IEC 27001
(2005)
BS 7799 - 2
(Revisión 2013)
SGSI
El sistema de gestión de la seguridad de la información
(SGSI) es la parte del sistema de gestión de la empresa,
basado en un enfoque de riesgos del negocio, para:
– establecer,
– implementar,
– operar,
– monitorear,
– mantener y mejorar la seguridad de la información.
Incluye.
– Estructura, políticas, actividades, responsabilidades,
prácticas, procedimientos, procesos y recursos.
SGSI - Modelo P-H-V-A
SGSI
Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

PlanificarEstablecer Mantener y
Actuar
el SGSI Mejorar el SGSI

Partes Partes
Interesadas Interesadas

Implementar y Monitorear
operar el SGSI el SGSI
Requisitos y Seguridad
expectativas Gestionada
Hacer Verificar

28
Planificar / Hacer / Verificar / Actuar
Planificar / Hacer / Verificar / Actuar
 Define Política de Continuidad y
Aprueba Estrategia

Depende
Plan de
Continuidad
Operativa de
Negocio (BCP)

Plan de
Contingencia
Controla Auditoría Tecnológico
(DRP)
Audita

Desarrolla y actualiza
Desarrolla, mantiene
y realiza seguimiento al
SGSI
Oficial de Seguridad de la Define y confecciona
Información (OSI)
Plan Anual de
Seguridad de
la Información
Impulsa y coordina
Comité de Seguridad
Información Aprueba
Plan Anual de
Riesgo
Operacional
Preguntas