Академический Документы
Профессиональный Документы
Культура Документы
Agenda
Contexto
Aspectos Generales
Normas Internacionales
Alcance de la ISO 17799/27001
Riesgo
INFORMACIÓN = ACTIVO
La información en cualquiera de sus formas (escrita,
oral, electrónica) es un importante activo de negocios,
y como tal debe ser protegida.
Debe asegurarse:
Confidencialidad
– Asegurar que la información es accesible por las personas debidamente
autorizadas.
Integridad
– Proteger la exactitud y la totalidad de la información y de los métodos de
procesamiento.
Disponibilidad
– Asegurar que los usuarios autorizados tengan acceso a la información y
activos asociados cada vez que sean necesarios.
Normas Aplicables
– Information Systems and Audit Control Association - ISACA:
COBIT (Auditoría de Centro de Cómputos)
– British Standards Institute: BS
– International Standards Organization: Normas ISO
– Departamento de Defensa de USA: Orange Book
– ITSEC – Information Technology Security Evaluation Criteria:
White Book
– Sans Institute
– ITIL “IT Infraestructure Library”, tiene 10 años. Libros específicos
de Seguridad Informática (performance, calidad de servicios)
Seguridad de la Información
Otras
– Sarbones Oxley Act, target algunas empresas y algunos
aspectos Seguridad Interna (SOX 404 IT)
– Banco Central 3198 pub. A
– COSO (Objetivos de Control de Organización)
– CMM (Gestión de Ingeniería de Software y Sistemas)
– ISO 9001: Calidad
– ISO 14001: Ambiental
– BS 18001: Seguridad y Salud
BS7799
1. Política de Seguridad
2. Organización de la Seguridad de la Información
3. Administración de Activos
4. Seguridad de los Recursos Humanos
5. Seguridad Física y Ambiental
6. Administración de las Comunicaciones y Operaciones
7. Administración de Accesos
Seguridad de la Información
ISO 17799 / 27001
(cont.)
8. Adquisición , Desarrollo y Mantenimiento de Sistemas de
Información
9. Administración de Incidentes de Seguridad de la
Información
10. Administración de la Continuidad del Negocio
11. Cumplimiento
Seguridad de la Información
ISO 17799
Política de Seguridad
Características:
Organización de Seguridad
Organización Interna
Terceras Partes
– Sponsoreo y seguimiento
Dirección de la Compañía
– Autorización
Dueño de datos
– Definición
Área de Seguridad Informática
Área de Legales
– Administración
Administrador de Seguridad
Seguridad de la Información
ISO 17799
– Cumplimiento directo
Usuarios finales
Área de sistemas
– Control
Auditoría Interna
Auditoría Externa
Seguridad de la Información
ISO 17799
Control de Accesos
Controles Criptográficos
– Política de utilización de controles criptográficos
– Administración de claves
Seguridad de la Información
ISO 17799
Principales etapas
– Clasificación de los distintos escenarios de desastres
– Evaluación de impacto en el negocio
– Desarrollo de una estrategia de recupero
– Implementación de la estrategia
– Documentación del plan de recupero
– Testeo y mantenimiento del plan
Seguridad de la Información
ISO 17799
Cumplimiento
Recolección de evidencia
– Reglas para la recolección de evidencia
– Validez de la evidencia
– Calidad y Totalidad de la evidencia
Seguridad de la Información
ISO 17799
Auditoria de sistemas
Valor de la Certificación
Organizaciones Certificantes
Vulnerabilidad
Es un problema o error que puede ser utilizado maliciosamente para que un
sistema realice funciones para los que no fue diseñado.
Seguridad de la Información
Consideraciones técnicas
Fuente Cisco
Seguridad de la Información
Consideraciones técnicas
Seguridad de la Información
Consideraciones técnicas
Política de Seguridad
“Es una declaración formal de reglas de acceso a la tecnología de la
organización y sus activos de información”. RFC 2196, Site Security
Handbook
¿Porqué es necesaria?
– autoridad y alcance
– política de uso aceptable
– política de identificación y autenticación
– política de uso de internet
– política de uso en campus
– política de uso remoto
– procedimientos para el manejo de incidentes
Seguridad de la Información
Consideraciones técnicas
Ataques
Pasos de un ataque
Reconocimiento
– pasivo
– activo
Consolidación de la información
– ¿qué encontré?
– ¿qué herramientas dispongo?
Ataque práctico
– explotación
– búsqueda del objetivo
Seguridad de la Información
Consideraciones técnicas
Worm
Programa que infecta una PC explotando una vulnerabilidad existente;
se disemina e instala código que permite al atacante tomar el control del
equipo afectado.
Virus
Programa malicioso, adosado a otro programa o correo, que es
ejecutado por el usuario y realiza una función no deseada.
Troyano
Similar a un virus, pero imita funciones mientras en la práctica realiza
otras.
Seguridad de la Información
Consideraciones técnicas
Resultados
– Pérdida de reputación
– Interrupción no planeada de negocios, servicios, producción
– Pérdidas financieras y de tiempo
– Robo de información sensible
Impacto
Se produce pérdida económica al concretarse la amenaza .
Impacto económico
Reposición del sistema + costo horas técnicas + parches + costo
pérdida imagen + costo de no operar
Determinación del impacto
Es preciso:
– Contar con la información de cada sistema
– Criticidad
– Sensibilidad de la información
Seguridad de la Información
Cadena de Vulnerabilidad
– Recursos Humanos
– Recursos LAN
– Recursos WAN
– Infraestructura
– Aplicativos
– Sistema Operativo
– Contratistas
– Centrales Telefónicas
– Ingeniería Social
– Otros
Seguridad de la Información
¿ Qué hacer ?
Resumen de Preocupaciones
Seguridad de la Información
Consideraciones técnicas / remedios
Vulnerability Assessment
Penetration Test
Evaluación de
Riesgos
1) Activos (físicos e
intangibles) Los 1) tienen 2)
2) Valor de los activos y Las 3) aprovechan 4)
potenciales impactos 5) incrementan 2), 3), 4)
3) Amenazas Las 4) exponen 1)
4) Vulnerabilidades Los 7) protegen contra 3)
5) Nivel de Seguridad
6) Requisitos de
Seguridad
7) Controles
Seguridad de la Información
Enfoque de Riesgos
Como dirigir la inversión para mitigarlos:
Administración de Riesgo
Administración de riesgos
Acciones:
Diseñar un tablero de mandos de Seguridad de la
Información
– Identificación y evaluación de amenazas/vulnerabilidades y sus
efectos
– Ponderar la probabilidad de ocurrencia y su impacto
Clasificar la información y los distintos recursos
informáticos
Realizar revisiones periódicas – nivelación
Establecer mecanismos de mitigación y remediación
Ejecución periódica de evaluaciones propias e
independientes
Seguridad de la Información
Análisis de Riesgo / Etapas
Seguridad de la Información
Análisis de Riesgo / Etapas
Seguridad de la Información
Análisis de Riesgo / Etapas
Seguridad de la Información
Cultura de Seguridad
Objetivo:
Promover la “valoración” de la información (activos intangibles
ligados a imagen, prestigio, etc)
Incrementar la concientización sobre el riesgo de los sistemas y
redes de información
Promover la cooperación y el intercambio de información sobre
el desarrollo y ejecución de políticas de seguridad
Minimizar incidentes de seguridad (evitar divulgación de
información comercial, ataques, virus, etc.)
Seguridad de la Información
Cultura de Seguridad
Acciones:
Proceso Continuo
Seguridad de la Información
Fuente SegurInfo
Seguridad de la Información
Fuente SegurInfo
Seguridad de la Información
Enlaces de interés Políticas de seguridad
http://www.sans.org/resources/policies Modelos de políticas/procedimientos de SANS
Estándares
http://www.standards.ieee.org Buscador de OUI
http://www.ietf.org/The Internet Engineering Task Force
http://www.iso.org International Organization for Standarization
http://www.isecom.org Institute for Security and Open Methodologies
http://www.isaca.org/ Information Systems audit. And Control Association
http://www.isaca.org/cobit.htm Cobit (Control Objectives for Information and related
Technology)
http://www.nist.gov National Institute of Standards and Technology .Reglamentaciones
http://www.jus.gov.ar Ministerio de Justicia y Derechos Humanos de la Nación Argentina
http://infoleg.mecon.gov.ar Información Legislativa - Ministerio de Economía y
Producción
http://www.secyt.gov.ar/ Secretaría de Ciencia, Tecnología e Innovación Productiva
(http://www.secyt.gov.ar/11723.htm)
http://www.softwarelegal.org.ar/ Software Legal
http://www.pki.gov.ar Firma Digital