Академический Документы
Профессиональный Документы
Культура Документы
SISTEMAS E
INFORMATICA CICLO X
Ing.
ndice
01 Conceptos Bsicos
02 Sistema de Seguridad de la Informacin
03 Norma ISO 27001
04 Estructura de la ISO 27002
05 Esquema de Implementacin
06 Beneficios de la ISO 27001
07 Ejemplo
Gestin del Riesgo
01
01
01
01
Amenaza
Amenaza
Amenaza
Control
Activos
01
Fsicas
Tipos de amenazas
Huelgas, disturbios.
Humanas
Errores de operacin
Intencionales (Crmenes
informticos)
Robo de informacin.
Espionaje de datos.
Vandalismo (hackeo de pginas web).
Usurpacin de identidad (diversos tipos).
Diversos tipos de ataques .
01
Vulnerabilidades ...
Asociadas a la gente
Contratacin de administradores de los
servidores sin una revisin profunda
de sus referencias (background
checking).
Costumbres relajadas de los
usuarios
P.ej. Tener visibles sus passwords.
Amenazas
Password cracking
Escalamiento de privilegios
Exploits
Fraudes informticos
Servicios de log inexistentes o que no son chequeados
Denegacin de servicio
ltimos parches no instalados
Backups inexistentes
Destruccin de equipamiento
Instalaciones default
DesactualizacinKeylogging
Port scanning
Ms Amenazas!!
Spamming
Violacin de contraseas
Virus
Ingeniera social
empleados deshonestos
Propiedad de la informacin
Robo de informacin
Indisponibilidad de informacin clave
Intercepcin de comunicaciones voz y
wireless
Falsificacin de informacin
Agujeros de seguridad de redes conectadas
para terceros
Acceso indebido a documentos impresos
12
01
Vulnerabilidades
Asociadas a la tecnologa
En sistemas operativos.
En aplicaciones-paquete.
En aplicaciones desarrolladas en casa.
Vulnerabilidades Comunes
Inadecuado compromiso de la direccin.
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles
(fsicos/lgicos)
(disuasivos/preventivos/detectivos/correctivos)
14
Tipos de Controles
PREVENTIVO
Cuando reduce
La probabilidad
De que el riesgo
se materialice.
DETECTIVO
Controles,
Medidas de
Seguridad o
salvaguardas
CORRECTIVO
Cuando nos permite
minimizar el impacto
una vez que un
riesgo se materializa.
Cuando nos
alerta en el
momento de que
un riesgo se
materializa.
01
SEGURIDAD
INFORMATICA
Son medidas encaminadas a proteger el hard, soft y
Tiene aspectos:
Fsicos
Telecomunicacione
s
De
acceso al
sistema
Copias
de
Seguridad
01
Informacin :
Conjunto de datos sobre una actividad especfica...
Datos que poseen significado... ISO-standares
Es un Activo que tiene Valor, cualquiera sea el medio
que lo soporta ISO-17799
Seguridad de la Informacin
Es la proteccin y preservacin adecuada de la Informacin frente a las
amenazas, vulnerabilidades y/o riesgos; asegura la continuidad del negocio
y reduce los posibles daos o perjuicios a la Organizacin.. ISO-17799
01
RIESGO
exposicin o proximidad
a un dao o peligro
AMENAZA
VULNERABILIDAD
Seguridad de
la
Informacin
condicin de debilidad,
inseguridad o flaqueza
IMPACTO
resultado o consecuencia
de una accin crtica
in
te
gr
id
a
d
02
INFORMACI
N
disponibilid
ad
Qu es el SGSI ?
Sistema de Gestin :
... Conjunto de procesos, procedimientos y/o
Abril 2005
2004
ISO27001
NTP-ISO 17799-2004
2002
2001
2000
1999
1998
1995
Nueva versin de BS
7799.2
revisada y corregida
Revisin de BS 7799 Parte
2
ISO 17799:2000
BS 7799 Parte 1
Normas Tcnicas
Peruanas
03
24
SGSI
El sistema de gestin de la seguridad de la
establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la informacin.
Incluye.
25
Planificar
Establecer
el SGSI
Actuar
Mantener y
Mejorar el SGSI
Partes
Interesadas
Requisitos y
expectativas
26
Partes
Interesadas
Implementar y
operar el SGSI
Hacer
Monitorear
el SGSI
Verificar
Seguridad
Gestionada
Definir la poltica de
seguridad
Establecer el alcance del
SGSI
Planificar
Implantar el SGSI
Hacer
27
PHVA
Actuar
Verificar
Implantar los
controles.
Implantar indicadores.
Revisiones del SGSI por
parte de
la Direccin.
Realizar auditoras internas
del SGSI
28
29
procedimientos.
Implementar plan de tratamiento de riesgos.
Mitigar
30
controles
Gestionar operaciones y recursos.
Implementar programas de Capacitacin y concientizacin.
Implementar procedimientos y controles de deteccin y respuesta a
incidentes.
31
32
Cambios en la organizacin.
Cambios en la tecnologas.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej. Regulaciones,
leyes).
Detectar errores.
Identificar ataques a la seguridad fallidos y exitosos.
Brindar a la gerencia indicadores para determinar la adecuacin
de los controles y el logro de los objetivos de seguridad.
Determinar las acciones realizadas para resolver brechas a la
seguridad.
SGSI.
33
34
03
Prcticas
03
Para qu sirve?
Qu es?
Una gua de
recomendaciones y
estructuradas, reconocida
internacionalmente y
dedicada a la seguridad de
la informacin.
Contiene un conjunto de
controles donde se
identifican las mejores
prcticas para la gestin de
la seguridad de la
informacin.
03
La ISO 17799 nos presenta con la forma de un cdigo de buenas prcticas y recomendacion
Dispone de:
11 reas de aplicacin
39 Objetivos (resultados que se esperan alcanzar
04
1
11 Cumplimiento
in
te
gr
id
ad
Gestin
9 de Incidencias
INFORMACIN
Desarrollo y
8 mantenimiento
Control de
accesos
Organizacin de
la seguridad
ad
lid
ia
nc
de
nf
co
Gestin de
10 la Continuidad
disponibilidad
Clasificacin y
3 control de los
activos
Seguridad
4 de los RR HH
Seguridad fsica
5 y del entorno
Gestin de
6 comunicaciones
y operaciones
05 Esquema de Implantacin de un
SGSI
Hacer
Anlisis
de
Riesgos
Definicin
SGSI
Planificacin
Entrevistas
Conocimiento
del entorno
Definicin de
Hitos
Definicin
Alcance SGSI
Inventario
Activos
Plan
de
Riesgos
Anlisis de
Riesgos
Identificacin y
Seleccin de
controles
Agrupar
Riesgos
Auditoria
Identificar
Implantar
Amenazas
controles
y vulnerabilidades
Definir/revisar
poltica SGSI
Verificar
Auditorias
Internas SGSI
Actuar
Mejora
Continua
Acciones
Correctivas
Acciones
Preventivas
Qu se muestra en la fgura?
Identificacin
de Riesgos
Anlisis
de Riesgos
Plan de Tratamiento
de Riesgos
Implantar
Monitorear
Revisar
Revisin Comit de
Seguridad
Identificacin de
informacin de Activos
Evaluacin de
Riesgos
Identificacin y valorizacin
de activos(C,D.I)
BS 7799-3
Evaluacin de vulnerabilidades,
Amenazas. Niveles de Riesgos
Revisin Comit de
Seguridad
Revisin Comit de
Seguridad
Declaracin de
Aplicabilidad
Monitoreo y revisin
de la efectividad de los controles.
44
Errores de usuario
Acceso no autorizado
Robo
Robo
POLITICA
NIVEL ESTRATGICO
Documento de
Aplicabilidad
DOCUMENTOS DEL
SISTEMA
PROCEDIMIENTOS NORMATIVOS
PROCEDIMIENTOS OPERATIVOS
REGISTROS Y CONTROLES
ACCIONES PREVENTIVAS
ACCIONES CORRECTIVAS
NIVEL DE
GESTIN
NIVEL DE
OPERACIN
NIVEL DE
ASEGURAMIENTO
Respaldo
Continuidad
control.
efectivo de la gestin y
Control:
Valor
La
Mejor
Podemos
cometer equivocaciones o
negligencias
Factor
La
Garanta
agregado y confianza en
nuestros servicios
calificacin en concursos y
licitaciones
diferencial ante nuestro
competidores
servicios
Aspecto Comercial
Cumplimiento
Aspecto Financiero
Legal:
EJEMPLO
Informacin a Proteger
Cual es la informacin ms valiosa que manejamos?
53
Alcance :
... mbito de los procesos que conforman el
Nivel de Gestin ?
Capas OSI
7
Aplicacin
6 Presentacin
5
Sesin
Transporte
Red
Enlace
Fsico
alcance
Gestin ?
Nodo
Moterrico
Digired
Surco
V.35
BRI
V.35
Fibra
Oscura
8 PRIs
Nodo
Moterrico
391 Oficinas
Nodo
Washington
Lima
Miraflores
Mapa de Procesos
MANTENI
MIENTO
PROVI
SIN
DATA
CENTRO
Gestin
de Redes
y Servicios
RR HH
SERVI
CIOS
SISTE
MAS
LEGAL
CUMPLIMIENTO DE LA
SEGURIDAD DE LA
INFORMACIN
REQUERIMIENTOS DE
LA SEGURIDAD DE LA
INFORMACIN
PLANIFI
CACIN