INGENIERIA DE

SISTEMAS E
INFORMATICA CICLO X

Ing.

Su base de Datos est Protegida

De Manos criminales ?

Los activos de su empresa

se
Han sido inventariados y
y co tiene
p
n
Tasados?
De troles roced
i
s of
twa para p mient
os
re m
rot
alic ecci
ioso
n
s?

Sistemas de Gestin de Seguridad

de la Informacin (SGSI)
ISO 27001

ndice
01 Conceptos Bsicos
02 Sistema de Seguridad de la Informacin
03 Norma ISO 27001
04 Estructura de la ISO 27002
05 Esquema de Implementacin
06 Beneficios de la ISO 27001
07 Ejemplo
Gestin del Riesgo

01

Revisemos algunos Conceptos bsicos...

Dnde est la Informacin ?

Papel
USB
Verbal
Vdeo
Audio
Dispositivos pticos
Personas

01

Revisemos algunos Conceptos bsicos...

ACTIVO: Cualquier cosa que tenga valor para la

organizacin, incluyendo HW,SW, Bases de Datos, personas,

activos fsicos, intangibles como la imagen de la empresa.

AMENAZA: Causa potencial de un incidente

indeseado que puede resultar en dao para un
sistema o organizacin.

VULNERABILIDAD: Fragilidad de un activo o grupo

de activos que puede ser explorado por una o ms
amenazas.

01

Revisemos algunos Conceptos bsicos...

IMPACTO: El resultado de un incidente indeseado.

RIESGO: Combinacin de la probabilidad de un

evento y de sus consecuencias.

CONTROL: Formas de gestin del riesgo,

incluyendo polticas, procedimientos, directrices,
prcticas, estructuras organizacionales que
pueden ser de naturaleza administrativa, tcnica,
gestin o legal.

01

Revisemos algunos Conceptos bsicos...

Amenazas, vulnerabilidades y riesgos

...
Activos
Vulnerabilidades

Amenaza

Amenaza

Amenaza

Control

Activos

01

Revisemos algunos Conceptos bsicos...

Fsicas

Tipos de amenazas

Robo o destruccin de activos.

Medio ambiente

Sismos, inundaciones, incendios,

huracanes, etc.
Sociales

Huelgas, disturbios.
Humanas

Errores de operacin
Intencionales (Crmenes
informticos)
Robo de informacin.
Espionaje de datos.
Vandalismo (hackeo de pginas web).
Usurpacin de identidad (diversos tipos).
Diversos tipos de ataques .

01

Revisemos algunos Conceptos bsicos...

Vulnerabilidades ...
Asociadas a la gente
Contratacin de administradores de los
servidores sin una revisin profunda
de sus referencias (background
checking).
Costumbres relajadas de los
usuarios
P.ej. Tener visibles sus passwords.

Asociadas a la disciplina (procesospolticas-procedimientos)

Debilidad en el proceso de control de
cambios.
Carencia total de un procedimiento
rutinario de explotacin de bitcoras.

Amenazas
Password cracking

Escalamiento de privilegios

Puertos vulnerables abiertos

Man in the middle

Exploits

Violacin de la privacidad de los empleados

Fraudes informticos
Servicios de log inexistentes o que no son chequeados
Denegacin de servicio
ltimos parches no instalados

Backups inexistentes
Destruccin de equipamiento

Instalaciones default

DesactualizacinKeylogging

Port scanning

Hacking de Centrales Telefnicas

11

Ms Amenazas!!
Spamming

Intercepcin y modificacin y violacin de e-mails

Violacin de contraseas

Virus

Captura de PC desde el exterior

Incumplimiento de leyes y regulaciones

Mails annimos con agresiones

Ingeniera social

empleados deshonestos

Programas bomba, troyanos

Interrupcin de los servicios
Destruccin de soportes documentales

Acceso clandestino a redes

Robo o extravo de notebooks, palms

Propiedad de la informacin
Robo de informacin
Indisponibilidad de informacin clave
Intercepcin de comunicaciones voz y
wireless
Falsificacin de informacin
Agujeros de seguridad de redes conectadas
para terceros
Acceso indebido a documentos impresos

12

01

Revisemos algunos Conceptos bsicos...

Vulnerabilidades
Asociadas a la tecnologa
En sistemas operativos.
En aplicaciones-paquete.
En aplicaciones desarrolladas en casa.

Fuentes de informacin para

vulnerabilidades
Computer Emergency Response Team :
cert.org
Security Focus : securityfocus.com
Mitre Corp (CVE) : cve.mitre. org
X-Force (parte de ISS) :
iss.net/security_center
Microsoft : microsoft.com/security

Vulnerabilidades Comunes
Inadecuado compromiso de la direccin.
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles

(fsicos/lgicos)
(disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.

14

Tipos de Controles
PREVENTIVO
Cuando reduce
La probabilidad
De que el riesgo
se materialice.

DETECTIVO
Controles,
Medidas de
Seguridad o
salvaguardas

CORRECTIVO
Cuando nos permite
minimizar el impacto
una vez que un
riesgo se materializa.

Cuando nos
alerta en el
momento de que
un riesgo se
materializa.

01

Revisemos algunos Conceptos bsicos...

Seguridad de la informacin no es Seguridad Informtica

SEGURIDAD
INFORMATICA
Son medidas encaminadas a proteger el hard, soft y

comunicaciones de los equipos informticos. NO gestiona.

Tiene aspectos:
Fsicos
Telecomunicacione

s
De

acceso al
sistema
Copias

de
Seguridad

01

Revisemos algunos Conceptos bsicos...

Seguridad :
Certeza, Garanta, Cumplimiento... Mecanismos que previenen
algn riesgo o aseguran el buen funcionamiento...

Informacin :
Conjunto de datos sobre una actividad especfica...
Datos que poseen significado... ISO-standares
Es un Activo que tiene Valor, cualquiera sea el medio
que lo soporta ISO-17799

Seguridad de la Informacin
Es la proteccin y preservacin adecuada de la Informacin frente a las
amenazas, vulnerabilidades y/o riesgos; asegura la continuidad del negocio
y reduce los posibles daos o perjuicios a la Organizacin.. ISO-17799

01

Revisemos algunos Conceptos bsicos...

RIESGO
exposicin o proximidad
a un dao o peligro

AMENAZA

accin o evento que

puede atentar contra algo

VULNERABILIDAD

Seguridad de
la
Informacin

condicin de debilidad,
inseguridad o flaqueza

IMPACTO
resultado o consecuencia
de una accin crtica

Qu es un Sistema de Gestin de Seguridad de la

Informacin (SGSI)?
lid
ia
nc
de d
nf a
co

in
te
gr
id
a
d

02

INFORMACI
N

disponibilid
ad

INTEGRIDAD.- Salvaguarda la exactitud y totalidad de la informacin y sus

mtodos de almacenamiento y procesamiento
DISPONIBILIDAD.- Permite que los usuarios autorizados tengan acceso a la
informacin toda vez que se requiera
CONFIDENCIALIDAD.- Garantiza el acceso slo a aquellas personas autorizadas
y en el nivel definido por la organizacin

 Qu es el SGSI ?

SGSI : Sistema de Gestin de

Seguridad de la Informacin

Sistema de Gestin :
... Conjunto de procesos, procedimientos y/o

actividades que se desarrollan bajo una poltica

y objetivos definidos...

 Cmo evolucionaron las Normas ?

Agosto 2005
Seguridad
de la
Informacin

Abril 2005
2004

ISO27001

ISO 17799 versin

mejorada
NTP 821.101 copia BS7799.2

NTP-ISO 17799-2004

2002
2001
2000
1999
1998
1995

Nueva versin de BS
7799.2
revisada y corregida
Revisin de BS 7799 Parte
2
ISO 17799:2000

Estndar Sueco SS 62 77 99 Parte 1

Nueva versin de BS
y 27799 Parte 1
y2
BS 7799 Parte 2

BS 7799 Parte 1

 Cuales son las Normas Internacionales ?

Norma ISO-17799:2005 Cdigo de

Buenas Prcticas (para implementar
un SGSI)
Norma ISO-27001:2005 Requisitos
para el SGSI (para auditar y certificar
un SGSI)

Cules son las Normativas Peruanas?

Decreto Supremo

Normas Tcnicas
Peruanas

Presidencia del Consejo

de Ministros
------------------------------Resolucin Ministerial 224-2004-PCM
23 de Julio del 2004

03

La Norma ISO 27001

SGSI - Modelo P-H-V-A

METODOLOGA DE LA ISO/IEC 27001

24

SGSI
El sistema de gestin de la seguridad de la

informacin (SGSI) es la parte del sistema de

gestin de la empresa, basado en un enfoque de
riesgos del negocio, para:

establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la informacin.
Incluye.

25

Estructura, polticas, actividades, responsabilidades,

prcticas, procedimientos y procesos.

(Planificar /Hacer /Verificar /Actuar)

Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

Planificar
Establecer
el SGSI

Actuar
Mantener y
Mejorar el SGSI

Partes
Interesadas

Requisitos y
expectativas

26

Partes
Interesadas
Implementar y
operar el SGSI

Hacer

Monitorear
el SGSI

Verificar

Seguridad
Gestionada

(Planificar /Hacer /Verificar /Actuar)

El SGSI adopta el siguiente modelo:
Implantar el plan de gestin de
riesgos

Definir la poltica de
seguridad
Establecer el alcance del
SGSI

Planificar

Implantar el SGSI

Hacer

Realizar los anlisis de riesgos

Seleccionar los controles
Adoptar acciones correctivas
Adoptar acciones
preventivas

27

PHVA
Actuar
Verificar

Implantar los
controles.
Implantar indicadores.
Revisiones del SGSI por
parte de
la Direccin.
Realizar auditoras internas
del SGSI

Establecer el SGSI (Plan)

Establecer la poltica de seguridad, objetivos, metas, procesos y

procedimientos relevantes para manejar riesgos y mejorar la seguridad

de la informacin para generar resultados de acuerdo con una poltica y
objetivos marco de la organizacin.

Definir el alcance del SGSI a la luz de la organizacin.

Definir la Poltica de Seguridad.
Aplicar un enfoque sistmico para evaluar el riesgo.

28

No se establece una metodologa a seguir.

Establecer el SGSI (Plan)

Identificar y evaluar opciones para tratar el riesgo

Mitigar, eliminar, transferir, aceptar

Seleccionar objetivos de Control y controles a implementar (Mitigar).

A partir de los controles definidos por la ISO/IEC 17799

Establecer enunciado de aplicabilidad

29

Implementar y operar (Do)

Implementar y operar la poltica de seguridad, controles, procesos y

procedimientos.
Implementar plan de tratamiento de riesgos.

Transferir, eliminar, aceptar

Implementar los controles seleccionados.

Mitigar

Aceptar riesgo residual.

30

Firma de la alta direccin para riesgos que superan

el nivel definido.

Implementar y operar (Do)

Implementar

medidas para evaluar la eficacia de los

controles
Gestionar operaciones y recursos.
Implementar programas de Capacitacin y concientizacin.
Implementar procedimientos y controles de deteccin y respuesta a

incidentes.

31

Monitoreo y Revisin (Check)

Evaluar y medir la performance de los procesos contra la poltica de

seguridad, los objetivos y experiencia practica y reportar los

resultados a la direccin para su revisin.

Revisar el nivel de riesgo residual aceptable,

considerando:

32

Cambios en la organizacin.
Cambios en la tecnologas.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej. Regulaciones,
leyes).

Realizar auditorias internas.

Realizar revisiones por parte de la direccin del SGSI.

Monitoreo y Revisin (Check)

Se debe establecer y ejecutar procedimientos de monitoreo para:

Detectar errores.
Identificar ataques a la seguridad fallidos y exitosos.
Brindar a la gerencia indicadores para determinar la adecuacin
de los controles y el logro de los objetivos de seguridad.
Determinar las acciones realizadas para resolver brechas a la
seguridad.

Mantener registros de las acciones y eventos que pueden impactar al

SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.

33

Mantenimiento y mejora del SGSI (Act)

Tomar acciones correctivas y preventivas, basadas en los resultados de la

revisin de la direccin, para lograr la mejora continua del SGSI.

34

Medir el desempeo del SGSI.

Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las apropiadas acciones a implementar en el
ciclo en cuestin (preventivas y correctivas).
Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.

03

La Norma ISO 27001

Norma ISO 27001:2005

Norma ISO 27002:2009

Prcticas

Requisitos para el SGSI

Cdigos de Buenas

Tienen por objetivo proporcionar una base comn para la

elaboracin de las normas de seguridad de las
organizaciones, un mtodo de gestin eficaz de la
seguridad y establecer informes de confianza en las
transacciones y las relaciones entre empresas.

03

La Norma ISO 27001

Filosofa de la ISO 27002 ( Antes 17999)

Para qu sirve?

Qu es?
Una gua de

recomendaciones y
estructuradas, reconocida
internacionalmente y
dedicada a la seguridad de
la informacin.

Contiene un conjunto de
controles donde se
identifican las mejores
prcticas para la gestin de
la seguridad de la
informacin.

Sirve como consulta al

encargado de la seguridad
de la informacin de una
organizacin.

03

La Norma ISO 27001

Estructura de la ISO 27002

La ISO 17799 nos presenta con la forma de un cdigo de buenas prcticas y recomendacion
Dispone de:
11 reas de aplicacin
39 Objetivos (resultados que se esperan alcanzar

mediante la implementacin de controles)

133 controles (prcticas, procedimientos o

mecanismos que reducen el nivel de riesgo)

04

Estructura de la ISO 17799:2005

Poltica de
seguridad

1
11 Cumplimiento

in
te
gr
id
ad

Gestin
9 de Incidencias

INFORMACIN

Desarrollo y
8 mantenimiento

Control de
accesos

Organizacin de
la seguridad

ad
lid
ia
nc
de
nf
co

Gestin de
10 la Continuidad

disponibilidad

Clasificacin y
3 control de los
activos
Seguridad
4 de los RR HH

Seguridad fsica
5 y del entorno

Gestin de
6 comunicaciones
y operaciones

05 Esquema de Implantacin de un
SGSI

Claves para el xito en la implantacin de la ISO 27001

La implantacin de un SGSI, como el de cualquier

sistema de gestin requiere de la participacin

activa de la Direccin.
La adecuada formacin y mentalizacin del
personal con la seguridad agiliza no slo la
implantacin inicial sino tambin el mantenimiento y
la identificacin de nuevos riegos a gestionar.
El sistema de gestin de seguridad debe contemplar
su mejora continua para adaptarse a la evolucin
de los sistemas y sus amenazas y la organizacin debe
asumir un esfuerzo permanente en su mantenimiento.

05 Esquema de Implantacin de un SGSI

Planificar
Inicio del
Proyecto

Hacer
Anlisis
de
Riesgos

Definicin
SGSI

Planificacin
Entrevistas

Conocimiento
del entorno

Definicin de
Hitos

Definicin
Alcance SGSI

Inventario
Activos

Plan
de
Riesgos

Anlisis de
Riesgos
Identificacin y
Seleccin de
controles
Agrupar
Riesgos

Auditoria

Implantar Plan Revisin interna

De Riesgos
SGSI

Identificar
Implantar
Amenazas
controles
y vulnerabilidades

Definir/revisar
poltica SGSI

Verificar

Auditorias
Internas SGSI

Actuar
Mejora
Continua

Acciones
Correctivas

Acciones
Preventivas

GESTIN DEL RIESGO

Qu se muestra en la fgura?

Anlisis y Evaluacin del Riesgo

Identificacin
de Riesgos
Anlisis
de Riesgos
Plan de Tratamiento
de Riesgos

Implantar

Monitorear

Revisar

Esquema de Gestin de Riesgo Implementado

Poltica SGSI

Alcance del SGSI

Revisin Comit de
Seguridad

Identificacin de
informacin de Activos

Evaluacin de
Riesgos

Se cuenta con la Poltica

de Seguridad
corporativa

Identificacin y valorizacin
de activos(C,D.I)
BS 7799-3

Evaluacin de vulnerabilidades,
Amenazas. Niveles de Riesgos

Revisin Comit de
Seguridad

Proceso de Tratamiento de Riesgo,

definicin de NRA

Revisin Comit de
Seguridad

Declaracin de
Aplicabilidad
Monitoreo y revisin
de la efectividad de los controles.

44

Dueo de cada proceso,

feeback a revisar en el Comit
Seguridad.

Anlisis y Evaluacin del Riesgo

Identificacin de Riesgos
Paso 1: Identificacin de Activos

Hardware (PC, Terminales, Laptops, Servidores, etc.)

Software (Windows 2000, XP; de Gestin)
Infraestructura (Centro de Gestin de Surquillo,
Basadre, Data Center, Nodos)
Documentacin (Diagramas de Flujo, Procedimiento,
etc.)
Roles de personal (Puestos)
Terceros (Proveedores y reas Internas)

Anlisis y Evaluacin del Riesgo

Identificacin de Riesgos
Paso 2: Valoracin de los Activos
Los activos sern evaluados de acuerdo a su impacto en la prdida de:
Confidencialidad
Integridad
Disponibilidad
La escala definida para efectuar el anlisis de riesgos es la siguiente:
Critico
Alto
Medio
Bajo
El valor del activo de acuerdo al impacto de los criterios definidos estar
dado por la suma de lo valores en confidencialidad, integridad y
disponibilidad.

Anlisis y Evaluacin del Riesgo

Identificacin de Riesgos
Paso 3: Identificacin de las amenazas y vulnerabilidades
Se debe identificar para cada grupo de activo las vulnerabilidades
y amenazas. Se utiliza como referencia lo indicado a continuacin:
Recursos Humanos (BS ISO/IEC 17799:2005, Clusula 8)
Vulnerabilidad

La vulnerabilidad puede explotar por:

Insuficiente entrenamiento en seguridad

Error operacional del personal

Falta de advertencias de seguridad

Errores de usuario

Falta de mecanismos de monitoreo

Uso de aplicativos de manera no autorizada

Falta de una poltica para el correcto uso de

los elementos de red

Acceso a la red de manera no autorizada

Sesin sin cerrar luego de terminado el turno

Acceso no autorizado

Falta de procedimiento para la devolucin de

activos terminado los trabajos

Robo

Personal Desmotivado insatisfecho

Falta de uso de facilidades de procesamiento

de informacin

Falta de Supervisin de personal

Robo

Estructura del SGSI

SGSI

POLITICA

NIVEL ESTRATGICO

Documento de
Aplicabilidad

DOCUMENTOS DEL
SISTEMA

PROCEDIMIENTOS NORMATIVOS
PROCEDIMIENTOS OPERATIVOS

REGISTROS Y CONTROLES
ACCIONES PREVENTIVAS
ACCIONES CORRECTIVAS

NIVEL DE
GESTIN

NIVEL DE
OPERACIN

NIVEL DE
ASEGURAMIENTO

06 Por qu un Sistema de Gestin de Seguridad de la Informacin?

Por nuestras Infraestructuras:

Por nuestros clientes:

Respaldo

Continuidad

control.

efectivo de la gestin y

y confiabilidad para sus

comunicaciones

Control:

Las redes pueden

modernizar, crecer o cambiar

Valor

La

intrusin puede provenir de un

empleado confiable

Mejor

Podemos

cometer equivocaciones o
negligencias

Factor

La

Garanta

seguridad como un conjunto de

procesos operacionales

agregado y confianza en
nuestros servicios
calificacin en concursos y
licitaciones
diferencial ante nuestro
competidores
servicios

para los nuevos productos y

El SGSI ayuda a establecer polticas y procedimientos en relacin a los objetivos

de la organizacin, con objeto de mantener un nivel de exposicin siempre
menor al nivel de riesgo que la propia organizacin ha decidido asumir.

Con un SGSI, la organizacin conoce los riesgos a los que

est sometida su informacin y los asume, minimiza,
transfiere o controla mediante un sistema definido,
documentado y conocido por todos, que se revisa y
actualiza constantemente.

06 Beneficios de la ISO 27001

Organizacin

Aspecto Comercial

Compromiso: permite garantizar y

demostrar la eficacia de los esfuerzos
desarrollados para asegurar la
organizacin en todos sus niveles y
probar la diligencia razonable de sus
administradores.

Credibilidad y confianza: socios,

accionistas y clientes se tranquilizan al
constatar la importancia que la
organizacin concede a la proteccin de la
informacin. Una certificacin tambin
puede brindar una diferenciacin sobre
la competencia y en el mercado.

Cumplimiento

Aspecto Financiero

Legal:

Conformidad: el registro permite

demostrar a las autoridades
competentes que la organizacin
observa todas las leyes y normativas
aplicables.
Funcional:

Gestin de los riesgos: obtencin de

un mejor conocimiento de los
sistemas de informacin, sus
problemas y los medios de
proteccin..

Reduccin costos vinculados a los

incidentes y posibilidad de disminucin
de las primas de seguro.
Aspecto Humano

Mejora la sensibilizacin del personal a

la seguridad y a sus responsabilidades en la
organizacin.

EJEMPLO

 Cuales son los Objetivos del Proyecto ?

Implementar un Sistema de Gestin

de Seguridad de la Informacin : SGSI

Obtener una Certifcacin

Internacional en Seguridad de la
Informacin
Demostrar que se trabaja SEGURIDAD

Informacin a Proteger
Cual es la informacin ms valiosa que manejamos?

53

La informacin asociado a nuestros clientes.

La informacin asociado a nuestras ventas.
La informacin asociada a nuestro personal.
La informacin asociada a nuestros productos.
La informacin asociada a nuestras operaciones.

 Cul es el Alcance de la Certifcacin ?

Gestin de Redes y Servicios

de Telefnica Empresas Per S. A. A.

Alcance :
... mbito de los procesos que conforman el

SGSI, los cuales son definidos por la organizacin

para implementar y/o certificar el sistema ...

UN SGSI ES APLICABLE A PEQUEAS, MEDIANAS Y GRANDES

ORGANIZACIONES

 Nivel de Gestin ?
Capas OSI
7

Aplicacin

6 Presentacin
5

Sesin

Transporte

Red

Enlace

Fsico

Servicios a las aplicaciones

de usuario.
Representacin de los datos.
Manejo de sesiones
entre aplicaciones.
Conexin end to end
Direccionamiento y
eleccin del camino
Acceso al medio
Transmisin binaria

alcance

 Gestin ?
Nodo
Moterrico

Digired

Surco

Enlaces con otros clientes

V.35
BRI
V.35

Fibra
Oscura
8 PRIs

Nodo
Moterrico

391 Oficinas

Nodo
Washington

Lima

Miraflores

Mapa de Procesos
MANTENI
MIENTO

PROVI
SIN

DATA
CENTRO

Gestin
de Redes
y Servicios
RR HH

SERVI
CIOS

SISTE
MAS

LEGAL

CUMPLIMIENTO DE LA
SEGURIDAD DE LA
INFORMACIN

REQUERIMIENTOS DE
LA SEGURIDAD DE LA
INFORMACIN

PLANIFI
CACIN

 Por qu certifcar nuestra Gestin ?

1

Por nuestros Clientes :

Continuidad y confabilidad para sus
comunicaciones
Valor agregado y confanza en nuestros
servicios
Mejor califcacin en concursos y licitaciones
Factor diferencial ante nuestros competidores
Garanta para los nuevos productos y servicios

Por nuestras Redes y

Servicios :

Respaldo efectivo de la gestin y control de

nuestras redes
Control: Las redes pueden modernizar, crecer o
cambiar
La intruson puede provenir de alguien
confable
Las medidas y controles actuales son
insufcientes
Podemos cometer equivocaciones o negligencias
La seguridad como proceso operacional

 Donde est la Informacin del SGSI ?