Seguridad g

De la

I f Informacin i

Ing. Max Lazaro

Oficina Nacional de Gobierno Electrnico e Informtica

Seguridad de la Informacin

Nuevos Escenarios:

Seguridad de la Informacin

Q se d Qu debe b asegurar ?
La informacin debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual que el l resto t de d los l activos activos, ti , debe d b estar t debidamente protegida.

Seguridad de la Informacin

Contra qu se debe proteger la Informacin ?

Seguridad de la Informacin

Amenazas Password cracking

Man in the middle

Escalamiento de privilegios

Fraudes d informticos f Puertos vulnerables abiertos

E l it Exploits

Violacin de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados Denegacin de servicio

ltimos parches no instalados

Backups inexistentes
Destruccin de equipamiento

Instalaciones default

Desactualizacin

Keylogging

P t scanning Port i

Hacking de Centrales Telefnicas

Seguridad de la Informacin

Ms Amenazas!!
Spamming
Violacin de contraseas

Intercepcin y modificacin y violacin de e-mails

Captura de PC desde el exterior

Virus

Incumplimiento de leyes y regulaciones

Mails annimos con agresiones

Ingeniera social

empleados deshonestos

Interrupcin de los servicios

Programas bomba, troyanos Destruccin de soportes documentales

Robo o extravo de notebooks notebooks, palms

Acceso clandestino a redes

Acceso indebido a documentos impresos

Propiedad de la informacin Robo de informacin Indisponibilidad de informacin clave Intercepcin de comunicaciones voz y wireless Falsificacin de informacin Agujeros de seguridad de redes conectadas para terceros

Seguridad de la Informacin

P Por qu aumentan t l las amenazas ?

Crecimiento exponencial de las Redes y Usuarios Interconectados Dependencia. Dependencia Profusin de las BD On On-Line
Algunas Causas

Inmadurez de las Nuevas Tecnologas Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Tcnicas c cas de Ataque taque Distribuido st bu do (Ej:DDoS) Tcnicas de Ingeniera Social

Seguridad de la Informacin

Vulnerabilidades Comunes
Inadecuado compromiso de la direccin. Personal inadecuadamente capacitado y concientizado. Inadecuada asignacin de responsabilidades. responsabilidades Ausencia de polticas/ procedimientos. Ausencia de controles
(fsicos/lgicos) (disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades. Inadecuado seguimiento y monitoreo de los controles.

Seguridad de la Informacin

Qu se debe garantizar ?

Dimensiones crticas de la informaci n Seguridad de la Informacin

Informacin
E D T
E-commerce
Prevenir Cambios no autorizados en Activos de Informacin Prevenir Divulgacin no autorizada de Activos de Informacin

Secreto impuesto de acuerdo con polticas de seguridad SINO: Fugas y filtraciones de informacin; accesos no autorizados; prdida de confianza de los dems (incumplimiento de leyes y Autenticidad de compromisos) quien hace uso de datos o
servicios

Trazabilidad del uso de servicios (quin, cundo) o datos (quien y que hace)
Informacin (dimensiones)

No repudio
(Compromisos)

Confiabilidad I
6 +5

7x24x365

Prevenir Destruccin no autorizada de Activos de Informacin

Validez y Precisin de informacin y Acceso en tiempo correcto y confiable a sistemas. rec rsos SINO: Informacin manipulada, incompleta,datos y recursos. corrupta y por lo tanto mal desempeo de SINO: Interrupcin de Servicios o Baja Productividad funciones

Seguridad de la Informacin

Acciones de la ONGEI

Seguridad de la Informacin

Actualmente la ONGEI apoya p y a las entidades pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores Web de las Entidades Publicas Publicas. Boletines de Seguridad de la informacin Boletines de Alertas de Antivirus. Presentaciones tcnicas sobre seguridad. Consultoras y apoyo en recomendaciones tcnicas. tcnicas

Seguridad de la Informacin

ONGEI

Estaciones de Trabajo Firewall

Red Intena

Servidores

Anlisis de Vulnerabilidades

Web Server

E-Mail Server

Seguridad de la Informacin

Anlisis de Vulnerabilidades en nmeros al 2009

Mes Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Total 40 62 24 Alto 2 14 10 9 5 Bajo 4 20 9 15 14 Info 2 5 3 7 7

126

Seguridad de la Informacin

Estadstica General

Info; 24; 19%

Alto; 40; 32%

Alto Bajo

Bajo; 62; 49%

Info

Seguridad de la Informacin

Poltica de Seguridad para el Sector Pblico

Seguridad de la Informacin

Que se entiende por Politica de Seguridad ?

Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en trminos generales qu est permitido y qu no lo est en el rea de seguridad durante la operacin g general de dicho sistema

Diferencias entre Poltica, Estndar y Procedimiento

o Poltica: P lti el l porqu una organizacin i i protege t l informacin la i f i o Estndares: lo que la organizacin quiere hacer implementar p y administrar la seguridad g de la informacin o Procedimientos: cmo requerimientos de seguridad la organizacin obtendr para

los

Seguridad de la Informacin

Con fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC 17799 2004 EDI 17799:2004 EDI. Tecnologa T l de d l la I Informacin: f i Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin Informacin en entidades del Sistema Nacional de Informtica. Se Actualiz el 25 de Agosto del 2007 con la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI.

Seguridad de la Informacin

Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?

Los 11 Dominios de la NTP ISO 17799 - 2007

Cumplimiento
Gestin de la continuidad

Seguridad de la Informacin

Poltica de seguridad

Organizacin de la Seguridad
Gestin de Activos

Gestin de i id t incidentes
Desarrollo y mantenimiento

integridad

Confidencialidad

Informacin
Seguridad del personal disponibilidad
Seguridad fsica y medioambiental

Control de accesos Gestin de comunicaciones y operaciones

Seguridad de la Informacin

Los 11 dominios de control de ISO 17799 1. Poltica de seguridad: Se necesita una poltica que refleje las expectativas de la organizacin g en materia de seguridad, g , a fin de suministrar administracin con direccin y soporte. La poltica tambin se puede utilizar como base para el estudio y evaluacin en curso. Aspectos organizativos para la seguridad: Sugiere g disear una estructura de administracin dentro la organizacin, que establezca la responsabilidad de los grupos en ciertas reas de la seguridad segu dad y u un p proceso oceso pa para ae el manejo a ejo de respuesta espues a a incidentes.

2.

Seguridad de la Informacin

3.

4 4.

Clasificacin y Control de Activos: Inventario de los recursos de informacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de proteccin. S Seguridad id d de d Recursos R Humanos: H Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.

5.

Seguridad g fsica y del Entorno: Responde a la necesidad de proteger las reas, el equipo y los controles generales.

Seguridad de la Informacin

6.

Gestin de Comunicaciones y Operaciones: p Los objetivos de esta seccin son:

Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la informacin. Conservar la integridad y disponibilidad del procesamiento y la comunicacin de la informacin. Garantizar la proteccin de la informacin en las redes y de la p infraestructura de soporte. Evitar daos a los recursos de informacin e interrupciones en las actividades de la institucin. Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones.

Seguridad de la Informacin

7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin como proteccin contra los abusos internos e intrusos externos. externos 8. 8 Adquisicin, dqu s c , Desarrollo esa o o y Mantenimiento a te e to de los os sistemas: Recuerda que en toda labor de la tecnologa de la informacin, , se debe implementar p y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

Seguridad de la Informacin

9.

Gestin de Incidentes de la Seguridad de la informacin Asegurar que los eventos y debilidades en la seguridad de la informacin sean comunicados de manera q que p permitan una accin correctiva a tiempo. p

10. Gestin de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interr pciones en las actividades interrupciones acti idades de la organizacin organi acin y para proteger los procesos importantes de la organizacin en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, , obligaciones g regulatorias g o contractuales y estatutos, de cualquier requerimiento de seguridad.

Seguridad de la Informacin

SGSI - Modelo P-H-V-A

Metodologa M t d l de d la l ISO/IEC 27001

Seguridad de la Informacin

SGSI
El sistema de gestin de la seguridad de la informacin (SGSI) es la parte del sistema de gestin de la empresa, basado en un enfoque de riesgos del negocio, para:
establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin.

Incluye.
Estructura, polticas, actividades, responsabilidades, prcticas, procedimientos procesos y recueros. procedimientos, recueros

(Planificar /Hacer /Verificar /Actuar) Seguridad de la Informacin

Modelo utilizado para establecer, implementar, p p monitorear y mejorar el SGSI.
Planificar
Establecer el SGSI Mantener y Mejorar el SGSI

Actuar

Partes Interesadas
Implementar y operar el SGSI Monitorear el SGSI

Partes Interesadas

Requisitos y expectativas

Hacer

Verificar

Seguridad Gestionada

(Planificar /Hacer /Verificar /Actuar) Seguridad de la Informacin El SGSI adopta el siguiente modelo:
Definir la poltica de seguridad Establecer el alcance del SGSI Realizar los anlisis de riesgos Seleccionar los controles Implantar el plan de gestin de riesgos Implantar el SGSI

Planificar

Implantar los controles.

Hacer Implantar indicadores.

PHVA
Actuar
Adoptar acciones correctivas Adoptar acciones preventivas

Verificar

Revisiones del SGSI por parte de la Direccin.

Realizar auditoras internas del SGSI

Establecer el SGSI (Plan) Seguridad de la Informacin

Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin. Definir el alcance del SGSI a la luz de la organizacin. Definir la Poltica de Seguridad. Aplicar un enfoque sistmico para evaluar el riesgo riesgo.

Establecer el SGSI (Plan) Seguridad de la Informacin

Identificar y evaluar opciones p p para tratar el riesgo g Mitigar, eliminar, transferir, aceptar Seleccionar objetivos de Control y controles a implementar (Mitigar). A partir ti de d l los controles t l d definidos fi id por l la ISO/IEC 17799 Establecer enunciado de aplicabilidad

Implementar y operar (Do) Seguridad de la Informacin

Implementar y operar la poltica de seguridad, controles, procesos y procedimientos. Implementar plan de tratamiento de riesgos. riesgos Transferir, eliminar, aceptar Implementar los controles seleccionados. Mitigar Aceptar riesgo residual. Firma de la alta direccin para riesgos que superan el nivel definido.

Implementar y operar (Do) Seguridad de la Informacin

Implementar medidas para evaluar la eficacia de los controles Gestionar operaciones y recursos. Implementar programas de Capacitacin y concientizacin. Implementar procedimientos y controles de deteccin y respuesta a incidentes.

Monitoreo y Revisin (Check)

Seguridad de la Informacin

Evaluar y medir la performance de los procesos contra la poltica de seguridad, id d l los objetivos bj i y experiencia i i practica i y reportar los l resultados a la direccin para su revisin. Revisar el nivel de riesgo residual aceptable, considerando: Cambios en la organizacin. Cambios en la tecnologas. Cambios en los objetivos del negocio. Cambios en las amenazas. Cambios en las condiciones externas (ej. Regulaciones, leyes). Realizar auditorias internas. Realizar revisiones por parte de la direccin del SGSI.

Monitoreo y Revisin (Check) Seguridad de la Informacin

Se debe establecer y ejecutar procedimientos de monitoreo para: Detectar errores. Identificar ataques a la seguridad fallidos y exitosos. gerencia indicadores p para determinar la Brindar a la g adecuacin de los controles y el logro de los objetivos de seguridad. Determinar las acciones realizadas para resolver brechas a l seguridad. la id d Mantener registros de las acciones y eventos que pueden impactar al SGSI. g a la eficiencia del SGSI. Realizar revisiones regulares

Mantenimiento y mejora Seguridad del SGSI (Act) de la Informacin

Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI. Medir el desempeo del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

Seguridad de la Informacin

PECERT

Seguridad de la Informacin

Con fecha 22 de Agosto del 2009 2009, en el diario oficial el Peruano la Resolucin Ministerial 360-2009-PCM 360 2009 PCM, que crea el Grupo de Trabajo denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformticas de la Administracin Pblica del Per PECERT

Seguridad de la Informacin

ONGEI sera un csirt de coordinacion Cada Ministerio creara un csirt operativo.

Seguridad de la Informacin

Este material podr obtenerlo en p p g p http://www.pecert.gob.pe en la Seccin Documentos Tambin encontrar all plantillas para la implementacin de polticas especificas