POLITICAS Y PROCEDIMIENTOS EN LA SEGURIDAD DE LA INFORMACION Unidad 1: Consideraciones generales (segn programa) 1.1 Qu es seguridad de la informacin? 1.

2 Por qu se necesita seguridad de la informacin 1.3 Cmo establecer los requerimientos de seguridad? 1.4Evaluando los riesgos de la seguridad 1.5 Seleccin de controles 1.6 Punto de inicio de la seguridad de la informacin. 1.7 Factores de xito crticos 1.8 Desarrollo de sus propios lineamientos Alcance 1.9 Trminos y definiciones 1.10 Estructura de este estndar 1.11 Clusulas 1.12 Categoras de seguridad principales 1.13 Evaluacin y tratamiento del riesgo 1.13.1 Evaluacin de los riesgos de seguridad 1.13.2 Tratamiento de los riesgos de seguridad 1.14 Poltica de seguridad 1.14.1 Poltica de seguridad de la informacin 1.14.2 Documento de la poltica de seguridad de la informacin 1.14.3 Revisin de la poltica de seguridad de la informacin Unidad I: Seguridad de la informacin (propuesta) 1.1 Qu es seguridad de la informacin? Son aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnolgicos que permitan resguardar y proteger la informacin buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma. Seguridad de la informacin no es lo mismo que seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas. 1.2 Por qu se necesita seguridad de la informacin ? Para responder a esta pregunta, generamos otras: En cuanto tiempo recupero la informacin perdida o robada ? Cuanto dinero cuesta la prdida de la informacin ? [ver video Costo de la prdida de informacin electrnica YouTube] Caso a mencionar: al perder una laptop (o un pen drive), se puede cuantificar el dao ?. Es mas costoso el equipo o la informacin contenida ? Una estadstica de consultora Gartner seala: 85 a 90% de las fugas de informacin son por accidente o resultado de procesos mal ejecutados. Leer: http://translate.google.com.py/translate?hl=es&langpair=en| es&u=http://www.deepspar.com/wp-data-loss.html http://translate.google.com.py/translate?hl=es&langpair=en| es&u=http://www.gartner.com/it/page.jsp%3Fid%3D495173 Trade off entre seguridad/burocracia y costos Cuanto mas seguro, generalmente ms lento, burocrtico y costoso 1.3 Cmo establecer los requerimientos de seguridad? Hay tres principales las fuentes: La primera fuente se deriva de la evaluacin de riesgos para la organizacin. A travs de la evaluacin de riesgos se identifican amenazas a los activos, la vulnerabilidad y la

probabilidad de ocurrencia de un evento es evaluado y se estima el impacto potencial. La segunda fuente son los requisitos legales, estatutarios, reglamentarios y contractuales que una organizacin, sus socios comerciales, contratistas y proveedores de servicios han de satisface. La tercera fuente es el conjunto de principios, objetivos y requisitos para informacin procesamiento que una organizacin ha desarrollado para apoyar sus operaciones.

1.4 Evaluando los riesgos de la seguridad La evaluacin del riesgo segn norma ISO 27005 determina el valor de los activos de informacin, identifica las amenazas aplicables y las vulnerabilidades que existen, as tambin identifica los controles existentes y sus efectos en el riesgo identificado, determina las consecuencias potenciales y finalmente prioriza los riesgos derivados y los ordena contra el conjunto de criterios de valoracin del riesgo en el contexto establecido. 1.6 El concepto real de seguridad vs. la falsa sensacin de seguridad Cuando una pc, mquina o sistema informtico es seguro ? 1.7 Niveles de seguridad en base al presupuesto Bajo costo: - Herramientas open source para cifrar las comunicaciones, crear VPN, etc. - Empleados que hacen de guardias civiles para el control de acceso de personas. Alto costo: - Dispositivos encargados del cifrado (para las comunicaciones) . - Secure Key para permitir el acceso informacin de ciertos equipos. - Autenticacin biomtricas (para apertura de puertas). - Tarjetas magnticas identificatorias. - Cmaras de seguridad con deteccin de movimiento, caras, etc. - Detector de metales y scanner para control de objetos portados (carteras, libros, etc.) Investigar mecanismos para el encriptado de datos para su almacenado y transmisin 1.8 Modelo ideal de comunicacin vs. Modelo real Origen <--> Destino vs Origen <--> Interceptor <--> Destino Modelo lgico vs. modelo fsico [insertar un grfico que muestre comunicacin origen destino y otro los mltiples saltos que hacen los paquetes] TAREA: usar algn simulador para montar una red y mostrar el funcionamiento de una LAN en la transmisin de informacin. Elaborar un informe (formato paper, no menor a 5 hojas) 1.9 COBIT, ISO, ITIL, semejanzas y diferencias 1.9.1. ISO 27001 y su implementacin en una organizacin

Unidad II: Polticas y procedimientos en seguridad de la informacin (segn programa) 2.1 Metodologa para el Desarrollo de Polticas y Procedimientos en Seguridad de Informacin 2.2 Elaborarse las polticas: 2.2.1 Recopilar material de apoyo 2.2.2 Definir un marco de referencia 2.2.3 Redactar la documentacin 2.3 Ejemplo de Polticas de Seguridad Organizacin de la seguridad de la informacin 2.3.1Organizacin interna. 2.3.2Compromiso de la gerencia con la de la seguridad de la informacin 2.3.3Coordinacin de la seguridad informacin 2.3.4Asignacin de las responsabilidades de la seguridad de la informacin 2.3.5 Autorizacin de proceso para facilidades procesadoras de informacin 2.3.6 Contacto con las autoridades 2.3.7Contacto con grupos de inters especial 2.3.8 Revisin independiente de la seguridad de la informacin 2.3.9 Grupos o personas externas 2.3.9.1Identificacin de los riesgos relacionados con los grupos externos 2.3.9.2 Tratamiento de la seguridad cuando se lidia con clientes 2.3.9.3Tratamiento de la seguridad en acuerdos con terceros 2.3.10 Seguridad fsica y ambiental . reas seguras 2.3.10.1 Permetro de seguridad fsica 2.3.10.2 Controles de ingreso fsico 2.3.10.3 Asegurar las oficinas, habitaciones y medios 2.3.10.4 Proteccin contra amenazas externas e internas 2.3.10.5 Trabajo en reas aseguradas 2.3.10.6 reas de acceso pblico, entrega y carga 2.3.10.7 Equipo de seguridad 2.3.10.8 Ubicacin y proteccin del equipo 2.3.10.9 Servicios pblicos de soporte 2.3.10.10 Seguridad del cableado 2.3.10.11 Mantenimiento de equipo 2.3.10.12 Seguridad del equipo fuera del local 2.3.10.13 Seguridad de la eliminacin o re-uso del equipo Unidad II: Polticas y procedimientos en seguridad de la informacin (propuesta) 2.1 Metodologa para el Desarrollo de Polticas y Procedimientos en Seguridad de Informacin - Ver el documento Seguridad de IT - Maestra UTIC 2.2 Teora del desconocimiento como sinnimo de seguridad - Esteganografa (buscar y probar software de Tanenbaum u otro y preparar un paper) 2.3 Conceptos acerca de encriptacin - Motivos que originan la necesidad de asegurar la informacin. - Sus inicios (cifrado cesar, transposicin, etc.) - Anlisis de cada tipo de cifrado. Programar cada uno de ellos en un lenguaje (Java, C, etc.) 2.4 TCP/IP - Porque estos protocolos inseguros ?. Anlisis de los RFC de TCP e IP y presentacin de un paper sobre los mismos. - IP spooffing, malware, zombies, scamming, Domain hijacking. Anlisis del DNSSec como alternativa de seguridad ante el Domain hijacking 2.5 Scaneo de puertos y servicios. - Exploit de servicios comunes

- Instalar un analizador de puertos y probar los exploit mas comunes. - Servicios inseguros vs. Seguros * TELNET vs. SSH * FTP vs. SCP * HTTP vs. HTTPS 2.6 Cifrados de clave pblica/privada y de clave secreta - Orgenes - semejanzas y diferencias - combinacin de ambos para lograr asegurar datos y comunicaciones - certificados digitales * cadena de confianza * costos * certificados autofirmados * revocacin de certificados 2.7 SSL - Descargar software necesario para generar un certificado digital y usar algn sniffer de red para ver los paquetes que pasan por la red. 2.8 Firmas Digitales - Lectura y anlisis de la ley que regula la firma digital el .PY - Hacer un anlisis comparativo con otros pases de la regin. Presentar paper - Instalacin de un CA (que problema habra con los certificados autofirmados) Requerimientos de hardware y software. - Instalar algn freeware que permita la generacin de claves privadas/pblicas y tambin secretas. - Cifrar un archivo y comparar los tiempos de proceso y transmisin por red (despreciando la idea de mltiples saltos) 2.9 PKI - Como montar una PKI local o global (Investigar sobre proyecto de Ministerio de Hacienda) - Manejo de claves y el problema de las revocaciones - Usar el DNS como repositorio de claves (bonus, encontrar tesis) 2.11 TSIG - Dns hijacking - IDN y sus problemas 2.12 VPN - Creacin de canales seguros - Instalar un software free y armar un tunel entre los mismos, luego instalar un sniffer y analizar el trfico. - Estudio de caso Redes Tor 2.13 Investigacin: diferencias entre los enfoques ITIL, COBIT, ISO, se contraponen o complementan ?

UNIDAD DIDCTICA III: Gestin de las comunicaciones y operaciones (segn programa) 3.1 Procedimientos y responsabilidades operacionales 3.2Procedimientos de operacin documentados 3.3 Gestin del cambio 3.4 Segregacin de los deberes 3.5 Separacin de los medios de desarrollo, prueba y operacin 3.6 Gestin de la entrega del servicio de terceros 3.7 Entrega del servicio 3.8 Monitoreo y revisin de los servicios de terceros 3.9 Manejo de cambios en los servicios de terceros 3.10 Planeacin y aceptacin del sistema 3.11Gestin de la capacidad 3.12 Aceptacin del sistema 3.13 Proteccin contra el cdigo malicioso y mvil 3.14 Controles contra cdigos maliciosos 3.15 Controles contra cdigos mviles 3.16 Respaldo o Back-Up 3.17 Gestin de seguridad de la red 3.18 Controles de redes 3.18.1 Seguridad de los servicios de la red 3.19 Gestin de medios UNIDAD DIDCTICA III: Intercambio electrnico de datos (propuesto) 3.1 Herramientas de monitoreo de red y accounting de equipos. - Porque monitorear la red ? - Modelado del ancho de banda disponible (traffic shapping) - Monitorear sinnimo de hurgar ?. Investigar acerca de leyes, nacionales o regionales que hablen sobre informacin de carcter pblico/privado. Ver caso de estudio ICANN y algn pas que desea cambiar la informacin facilitada por el WhoIS. - Investigacin y presentacin de un informe sugiriendo una herramienta de monitoreo y accouting open source. 3.2 Polticas de seguridad locales (manejo de la informacin) - Eslabn mas dbil de la cadena de seguridad ? (personas) - Contraseas dbiles/fuertes. - Uso de la fuerza bruta (trabajo de investigacin) - Ingeniera social: pelcula (o libro) de Kevin Mitnick, hacer una monografa. - Uso de equipos con permisos de administrador - Uso de antivirus (pagados o no, locales o centralizados). - Think client vs. Pc tradicionales (bloqueo de puertos USB, CD-ROM, etc.) 3.3 Sistemas Operativos y sus actualizaciones (parches). - Registros log de todo lo actuado. - Anlisis de los log, quien los hace ? Best practices: tomar parte de listas de discusin de temas relacionados a la informtica (programacin, diseo, seguridad, dns, etc. 3. Uso de IDS/IPS (Intrusion Detection System, Intrusion Prevention System) - Investigacin: herramientas open source vs. equipos especializados. 4. Backups Periodicidad y mecanismos de recuperacin de datos Documentacin 5. Acceso a web de manera segura Uso de proxy Filtrar contenido, por URL, por IP, por usuario

 6.

7. 8. 9.

Firewall local (en la pc) o un equipo que haga filtrado Denegar todo, permitir ciertos puertos. NAT SSL Uso de tunel (CyberGhost VPN) Surfeo annimo Cookies y recopilacin de informacin personal Uso de correo electrnico El spam y el robo de informacin el negocio de los datos personales venta de productos (algunos reales) relacin con los virus y zombies Investigacin: principales maneras de luchar contra el spam Net etiquet hotmail, gmail, etc; no somos dueos de los mensajes, se pueden leer, filtrar, analizar, etc. PGP Instalar un software de correo que soporte PGP y que tenga una billetera para almacenar las claves. Redes sociales Bitcoras de vida, exposicin de fotografas familiares, actividades Robo de identidad, datos Acceso a la intranet de la organizacin Computacin, teletrabajo y comunicaciones mviles

UNIDAD DIDCTICA IV: Control del acceso 4.1 Requerimiento del negocio para el control del acceso 4.1.1 Poltica de control del acceso 4.2 Gestin de acceso del usuario 4.2.1 Registro del usuario 4.2.2 Gestin de privilegios 4.2.3 Gestin de las claves secretas de los usuarios 4.2.4 Revisin de los derechos de acceso del usuario 4.3 Responsabilidades del usuario 4.3.1 Uso de claves secretas 4.3.2 Equipo del usuario desatendido 4.3.3 Poltica de escritorio y pantalla limpios 4.4 Control de acceso a la red 4.4.1 Poltica sobre el uso de los servicios de la red 4.4.2 Autenticacin del usuario para las conexiones externas 4.4.3 Identificacin del equipo en las redes 4.4. Proteccin del puerto de diagnstico y configuracin remoto 4.4.5 Segregacin en redes 4.4.6 Control de conexin a la red 4.4.7 Control de routing de la red 4.5 Control del acceso al sistema operativo 4.5.1 Procedimientos para un registro seguro 4.5.2 Identificacin y autenticacin del usuario 4.5.3 Sistema de gestin de claves secretas 4.5.4 Uso de las utilidades del sistema 4.5.5Cierre de una sesin por inactividad 4.5.6 Limitacin del tiempo de conexin 4.6 Control de acceso a la aplicacin y la informacin 4.6.1 Restriccin del acceso a la informacin 4.6.2 Aislar el sistema confidencial 4.7 Computacin y tele-trabajo mvil 4.7.1 Computacin y comunicaciones mviles 4.7.2 Tele-trabajo UNIDAD DIDCTICA IV: Control del acceso 1. Seguridad perimetral y de acceso fsico Cmaras (IP o analgicas) Reconocimiento facial Antiasalto Grabacin permanente o por horas ? Alarmar autogestionadas. Marcaciones biomtricas de entrada/salida de personas Sensores de movimiento Acceso restringido a sectores Preparan un trabajo de investigacin sobre los productos existentes en el mercado, entregar paper. 2. Uso de UPS y generadores de corriente Equipos terminales y equipos de comunicaciones (switch, firewall, etc.) Autonoma de equipos Mantenimiento y prueba de los equipos. Investigacin: como estimar o calcular el consumo de energa para dimensionar la potencia

de UPS/generador. 3. Gestin de acceso del usuario - Uso del superusuario (root), su, sudo, etc. Enfoque basado en el S.O. utilizado. - Uso de un sandbox. - Polticas de cambio de contrasea y almacenado de los mismos. - Registros log o vitcoras sobre todos los usuarios y todo lo actuado en el Sistema Operativo. Esto se extiende a los sistemas desarrollados. 4. Proteccin del puerto de diagnstico y configuracin remoto - Hacking tico. - Presentacin de un informe tcnico, asumiendo se han encontrado brechas de seguridad y las soluciones planteadas. 5. Computacin y tele-trabajo mvil - Consideraciones de seguridad para ofrecer acceso a una LAN desde otra red

UNIDAD DIDCTICA V: Gestin de un incidente en la seguridad de la informacin 5.1. Reporte de los eventos y debilidades de la seguridad de la informacin 5.1.1. Reporte de eventos en la seguridad de la informacin 5.1.2 Reporte de las debilidades en la seguridad 5.2. Gestin de los incidentes y mejoras en la seguridad de la informacin 5.2.1. Responsabilidades y procedimientos 5.2.2. Aprender de los incidentes en la seguridad de la informacin 5.2.3. Recoleccin de evidencia 5.3Gestin de la continuidad del negocio 5.3.1 Aspectos de la seguridad informacin de la gestin de la continuidad del negocio 5.3.1.1. Incluir la seguridad de la informacin en el proceso de gestin de continuidad del negocio 5.3.1.2. Continuidad del negocio y evaluacin del riesgo 5.3.1.3. Desarrollar e implementar los planes de continuidad incluyendo la seguridad de la informacin 5.3.1.4. Marco Referencial de la planeacin de la continuidad del negocio 5.3.1.5. Prueba, mantenimiento y re-evaluacin de los planes de continuidad de negocio 1. Reporte de los eventos y debilidades de la seguridad de la informacin - Identificacin de Activos, Evaluacin y Tratamiento del Riesgo - Riesgos Ambientales, Hechos por el hombre, Tecnolgicos, etc. - Descripcin General del Proceso de Gestin del Riesgo. (ISO27005) - Procesos SGSI (Planear, Hacer, Chequear, Actuar) - Identificacin de amenazas: - Elaboracin de matriz, ilustrando la probabilidad y la severidad de las amenazas identificadas. - Identificacin de los controles existentes. - Identificacin de las vulnerabilidades. - Identificacin de Impactos. 2 Elaboracin de un BCP (Business Continuity Plan) - Presentar un BCP macro para una empresa ficticia que busca asegurar su continuidad ante un eventual suceso, natural o provocado.

UNIDAD DIDCTICA VI: Cumplimiento 6.1 Cumplimiento de los requerimientos legales 6.1.1 Identificacin de la legislacin aplicable 6.1.2. Derechos de propiedad intelectual (IPR) 6.1.3. Proteccin de registros organizacionales 6.1.4. Proteccin de la data y privacidad de la informacin personal 6.1.5. Prevencin del mal uso de los medios de procesamiento de la informacin 6.1.6. Regulacin de controles criptogrficos 6.2. Cumplimiento de las polticas y estndares de seguridad, y cumplimiento tcnico 6.2.1 Cumplimiento con las polticas y estndares de seguridad 6.2.2. Chequeo del cumplimiento tcnico 6.3 Consideraciones de auditora de los sistemas de informacin 6.3.1Controles de auditora de los sistemas de informacin 6.3.2. Proteccin de las herramientas de auditora de los sistemas de informacin 1. Investigacin de la legislacin existente y una comparativa con algn pas de la regin. - La P.I y la piratera. - Uso de algoritmos o tecnologa que facilitan o incentivan la piratera (analizar caso MP3) - OMPI y su funcin. - Relacin P.I. y Plan Maestro TIC. Analizar y presentar un informe acerca de la Secretara TIC recientemente creada. - Regulacin de controles criptogrficos. Anlisis de caso EEUU y sus leyes que hacen referencia a los algoritmos de cifrado y sus claves.