Академический Документы
Профессиональный Документы
Культура Документы
Introducción a la
Seguridad Informá tica
Conceptos Bá sicos
La Seguridad Informá tica en
números
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 1
Conceptos bá sicos:
ISO 17799
¿ Qué
Qué es la seguridad de la informació
información?
“La informació
información es un recurso que, como el resto de los
importantes activos comerciales,
comerciales, tiene valor para una
organizació
organización y por consiguiente debe ser debidamente
protegida.
protegida.
La seguridad de la informació
información protege é sta de una
amplia gama de amenazas, a fin de garantizar la
continuidad comercial,
comercial, minimizar el dañ
dañ o al mismo y
maximizar el retorno sobre las inversiones y las
oportunidades”
oportunidades” . (ISO-
(ISO-IEC 17799 – Añ o 2000)
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 2
La informació
información puede existir en muchas formas.
Impresa o escrita en papel
Almacenada electró
electrónicamente
Transmitida por correo o utilizando medios electró
electrónicos
Presentada en imá
imá genes
Expuesta en una conversació
conversación
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 3
Conceptos bá sicos:
ISO 17799
Integridad
Confidencialidad
Disponibilidad
de los recursos y de la información
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 4
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 5
Conceptos bá sicos:
ISO 17799
Crecimiento:
A medida que la distancia entre procesos de administración,
negocio y tecnologías disminuye, el impacto de riesgos de
seguridad aumenta.
Convergencia de las Tecnologías de
la Información y los procesos de
Distancia entre las Tecnologías de
la Información y los procesos de
negocio
negocio Modelos Business to Business y
Modelos de negocio tradicionales Business to Consumer
Modelos e-business
Procesos
negocio Procesos mayores
negocio
riesgos
TI
TI (mayor necesidad de
confianza, privacidad y
seguridad)
Tecnologías de Tecnologías de
Clientes Organización Organización
la información Clientes la información
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 6
DISPONIBILIDAD
SEGURIDAD PERIMÉTRAL
ESCALABILIDAD SEGURIDAD EN
LAS
RENDIMIENTO APLICACIONES
PRIVACIDAD
NO REPUDIO
CONTINUDIAD DEL
NEGOCIO
SEGURIDAD FÍ
SICA
CONFIDENCIALIDAD
AUTENTICACIÓ N AUDITORÍ
AS
VALIDEZ LEGAL
GESTIÓ N DE USUARIOS
GESTIÓ N DE SISTEMAS
INTEGRIDAD
GESTIÓ N DE INCIDENCIAS
MONITORIZACIÓ N
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 7
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 8
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 9
ISO 17799
Introducción a la Norma
ISO 17.799
Tecnología de la información
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 11
Algunas premisas:
ISO 17799
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 12
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 13
ISO 17799
Algunas realidades:
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 14
en formato impreso
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 15
ISO 17799
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 16
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 17
los negocios:
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 18
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 19
los negocios:
Los soportes de la información pueden ser robados o
destruidos.
Se puede distribuir información alterada a socios,
accionistas, auditores y entes de contralor.
Se puede no disponer de la información en el momento
adecuado.
Puede haber envíos de mails “anónimos” con información
crítica o con agresiones.
Se pueden distribuir datos que atenten contra la privacidad
de los empleados.
Se puede obtener la documentación impresa de la basura.
Alguien puede acceder a la información no recogida de las
impresoras.
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 20
10
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 21
los negocios:
Se puede estar preparado para que ocurran lo menos
posible:
Tan solo:
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 22
11
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 23
ISO 17799
Normas aplicables:
Information Systems and Audit Control Association -
ISACA
COBIT
Control Objectives for Information and Related Technology
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 24
12
Planeación y organización
Adquisición e implementación
Entrega de servicios y soporte
Monitoreo
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 25
ISO 17799
Normas aplicables:
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 26
13
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 27
Normas aplicables:
ISO 17799
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 28
14
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 29
ISO 17799
Normas aplicables:
SANS Institute
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 30
15
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 31
ISO 17799
Gestión de Seguridad
Norma ISO 17799
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 32
16
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 33
Información
Dos partes:
17799 – 2 . CERTIFICACION
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 34
17
Alcance
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 35
Información
Preservar la:
confidencialidad:
accesible sólo a aquellas personas autorizadas a
tener acceso.
integridad:
exactitud y totalidad de la información y los
mé todos de procesamiento.
disponibilidad:
acceso a la información y a los recursos
relacionados con ella toda vez que se requiera.
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 36
18
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 37
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 38
19
Impresa,
escrita en papel,
almacenada electrónicamente,
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 39
ISO 17799
Políticas
Prá cticas
Procedimientos
Estructuras Organizacionales
Funciones del Software
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 40
20
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 41
ISO 17799
Selección de controles:
Riesgos
Controles implementados
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 42
21
documentación de la política
asignación de responsabilidades en materia de seguridad
instrucción y entrenamiento
comunicación de incidentes relativos a la seguridad
administración de la continuidad de la empresa
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 43
ISO 17799
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 44
22
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 45
ISO 17799
Dominio 1
Política de Seguridad
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 46
23
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 47
ISO 17799
Debe incluir:
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 48
24
Autorización
Protección Confiabilidad
Física
Confidencialidad
Propiedad
Política de Disponibilidad
Seguridad
Legalidad
Eficiencia
Integridad Eficacia
Exactitud
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 49
ISO 17799
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 50
25
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 51
ISO 17799
Legalidad:
Asegurar que toda la información y los medios físicos
que la contienen, procesen y/o transporten, cumplan
con las regulaciones legales vigentes en cada á mbito.
Confidencialidad:
Garantizar que toda la información está protegida del
uso no autorizado, revelaciones accidentales,
espionaje industrial, violación de la privacidad y otras
acciones similares de accesos de terceros no
permitidos.
Taller de Seguridad Informá tica Ing. Jorge Eterovic – Ing. Pablo Pomar 52
26
27