Académique Documents
Professionnel Documents
Culture Documents
Curso de Seguridad de la
Informacin
Tercer nivel
Cuarto nivel
Quinto nivel
Agenda
Estructura y Organizacin de Gestin de Seguridad
El rea de Seguridad
Introduccin a la Administracin de Riesgos
Administracin de Riesgos de Seguridad de la Informacin
Pgina 1
El rea de Seguridad
Cuarto nivel
Quinto nivel
Seguridad de la Informacin
La seguridad no es un conjunto de medidas que se toman
por nica vez, sino un proceso dinmico en el que todos los
actores juegan un rol permanente.
La seguridad debe abarcar las tres reas de incumbencia:
Gente
Procesos
Tecnologa
Pgina 3
La trada de la seguridad
La C-I-A
Confidencialidad
(Confidentiality)
Integridad
(Integrity)
Disponibilidad
(Availability)
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Pgina 4
Confidencialidad
Caractersticas:
La informacin debe ser accedida solo por personal
autorizado.
Prevenir el acceso no autorizado a informacin o datos.
Se deber acompaar de algn tipo de cifrado de la
informacin
Amenazas:
Hackers/ Crakers
Accesos no autorizados
Sniffing de red
Ingeniera Social
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Pgina 5
Integridad
Toda modificacin o destruccion de datos o informacin es realizada
por personas autorizadas utilizando procedimientos autorizados.
Tenemos:
Integridad de datos/ informacin
Integridad del proceso de manipulacin de datos/ informacin
Se deber establecer a travs de tres principios bsicos:
Need to know Access
Separacin de responsabilidades
Rotacin de roles
Pgina 6
Disponibilidad
Pgina 7
Seguridad de la Informacin
Se ocupa de proteger la informacin de la organizacin en cualquier
forma en que se encuentre.
Debe velar por la transmisin, procesamiento y almacenamiento de la
misma.
Pgina 8
Seguridad de la Informacin
Su lugar en la organizacin
Gerencia
General
Gerencia
General
Auditoria
Gerencia
General
Auditoria
Auditoria
Sistemas / IT Gerencia 2
Seguridad
de la
Informacin
Gerencia 3
Seguridad
de la
Informacin
Seguridad
de la
Informacin
Sistemas / IT Gerencia 2
Gerencia 3
Sistemas / IT
Gerencia 2
Gerencia 3
Pgina 9
Pgina 10
Principales Funciones
Operaciones de
Seguridad -
Administracin de Accesos
y Soporte
Pgina 11
Principales Funciones
Administracin de Matrices de Riesgo, mantenimiento de la
clasificacin de activos de informacin
Monitoreo del cumplimiento regulatorio / de polticas y
procedimientos
Mantenimiento de Mtricas de seguridad y Tablero de
Comando
Desarrollo del Programa de Concientizacin y Capacitacin
en seguridad
Desarrollo y Mantenimiento de polticas y procedimientos de
seguridad
Mantenimiento de las matrices de Roles Funcionales de las
Aplicaciones
Desarrollo y Mantenimiento del Plan de Contingencia / Plan
de Continuidad de Negocio
Revisin trimestre/semestral/anual de los accesos a
sistemas y recursos
Validacin de accesos para sistemas / recursos con
administracin de seguridad delegada
Seguimiento de la Resolucin de Issues / Problemas de
Seguridad identificados por Auditora
Pgina 12
Principales Funciones
Anlisis de Riesgo y Aspectos de Seguridad en Nuevos
Proyectos (de Sistemas y/o de Negocio)
Desarrollo y Mantenimiento de estndares tcnicos de
seguridad
Diseo de infraestructura de seguridad (redes, Internet,
etc.)
Administracin matrices de flujos de informacin de
Aplicaciones y Procesos crticos.
Investigaciones de seguridad sobre nuevos productos y/o
sistemas implementados por la Gerencia de Sistemas
Investigacin sobre nuevos productos / sistemas que
permitan mejorar la gestin de seguridad
Investigaciones de seguridad y respuesta ante incidentes
Soporte a Comunicaciones y a Desarrollo de Aplicaciones
Definicin de Estrategias de Resolucin de Vulnerabilidades
Mantenimiento y definicin de eventos de seguridad a
registrar en LOGs
Pgina 13
Roles y Responsabilidades
Gerencia General
Pgina 14
Roles y Responsabilidades
Custodio
Pgina 15
Background checks
De que puede, potencialmente, prevenirnos un
background check:?
Juicios de parte de empleados despedidos.
Juicios de 3ra partes o clientes por negligencia a la hora de
contratacin de personal.
Empleados no calificados.
Prdida de negocios y de ganancias.
Prdida de tiempo de reclutamiento y entrenamiento.
Robo, dao a propiedad de la compaa, fraude.
Prdida de dinero (relacionada con la contratacin del empleado).
Disminucin de la moral de los empleados.
Juicios por violencia o acoso sexual.
Pgina 16
Background checks
Quin debe ser evaluado?
Background checks deben ser realizados para toda posicin sensitiva en
la compaa.
Dentro del rea de seguridad informtica se incluyen:
Administradores de Firewalls
Administradores de e-commerce
Administradores de Kerberos/ SSO
Administradores de SecurID y operadores de cuentas de usuarios
Etc.
Pgina 17
Contratos de Empleo
Pgina 18
Contratacin y Despido
Polticas y Procedimientos definidos por RR.HH.
Deben contemplar:
Cmo manejar la salida del empleado
Deshabilitacin/ borrado de cuentas de usuarios
Reenvo del e-mail y del voice-mail
Cambios en las cerraduras y cdigos de acceso
Modificacin de contraseas de sistemas relacionadas
Pgina 19
Separacin de Tareas
Pgina 20
Separacin de Tareas
Separar:
Desarrollo de Produccin
Seguridad de Auditora
Cuentas a Cobrar de Cuentas a Pagar
Administracin de Claves de Encripcin de Cambio de Claves
Conocimiento distribuido
Claves de encripcin separadas en dos componentes, cada uno de los
cuales no permiten la obtencin del otro
Pgina 21
Preguntas?
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Pgina 22
Introduccin a la Administracin de
Riesgos
Cuarto nivel
Quinto nivel
Naturales
Ambientales
Bsicamente:
Pgina 24
Hackers, Virus
Intrusos
Humanas
Fuego
Falla elctrica
Falta de electricidad
Corte de suministro
Humedad, temperatura
Ambientales
Equipos arruinados
Inundacin
Instalaciones arruinadas
Terremoto
Alerta meteorolgica
Naturales
Pgina 25
Contagio de Virus
Ausencia de UPS
Pgina 26
amenaza?
Motivacin
Habilidad
de la
amenaza
Controles
Existentes
Pgina 27
Infeccin de virus.
Falta de entrenamiento o de
estandarizacin. Falta de auditora o
monitoreo.
Proveedor
Intruso
Hacker
Administrador
Fuego
Empleado
Pgina 28
Pgina 29
Tcnicos
Fsicos: (Lgicos):
Administrativos:
9acceso
lgico,
9Proteccin
de las
9polticas,
instalaciones,
9encriptacin,
9procedimientos,
9guardias de
9dispositivos
deseguridad,
9estndares,
seguridad,
9candados,
9lineamientos,
etc.
9etc
9etc.
Controles Fsicos
Controles Tcnicos
Controles Administrativos
Datos y activos de la Compaa
Pgina 30
Controles de Seguridad
Controles de Seguridad: Son acciones llevadas a cabo
o mecanismos implementados para reducir o eliminar
vulnerabilidades.
Se pueden diferenciar los siguientes categoras de controles:
Preventivos: Utilizados para evitar la materializacin de una
amenaza.
9Firewall
9Candado
Pgina 31
Pgina 32
Disuasivo
Preventivo
Detectivo
Correctivo
Recuperacin
Compensatorio
Administrativo
Polticas
Procedimiento de
registracin de
usuarios
Anlisis de
reportes de
violaciones de
seguridad
Despido
DRP
Rotacin de
funciones,
supervisin
Tcnico
Banner
(mensaje) de
advertencia
Login utilizando
contraseas, IPS
Logs, IDS
Desconexin
de un
dispositivo,
aislamiento
Cintas de backups
Logging, CCTV
Fsico
Seal de no
traspasar
Cerca perimetral
CCTV, alarma
Extinguidor de
fuego
Reconstruccin
Diferentes niveles
de control de
acceso al edificio
Tipo de
Control
Pgina 33
Preguntas?
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Administracin de Riesgos de
Seguridad de la Informacin
Cuarto nivel
Quinto nivel
Pgina 34
Aspectos Generales
Los riesgos de seguridad existen desde el mismo
momento en que un sistema es creado. La nica manera
de tratarlo es a travs de la Administracin de Riesgos.
No existe un ambiente 100% seguro, todos tienen un
cierto nivel de vulnerabilidades y amenazas.
Los riesgos pueden ser reducidos, transferidos o
aceptados, pero nunca eliminados. Los responsables de
administrarlos deben ser capaces de reconocerlos, analizar su
probabilidad de ocurrencia, su impacto, analizar las
medidas de control posibles para mitigarlos y finalmente,
priorizar la implementacin de dichas medidas, en base a las
necesidades del negocio.
No importa cuan seguro sea un sistema, siempre podr ser vulnerado si se
utilizan suficientes:
Recursos
- Tiempo
- Motivacin
Pgina 36
Pgina 37
Monitoreo y evaluacin
de los Controles
Implementados:
Revisar / Monitorear la
efectividad de los
controles
Administracin
de
Riesgos
Seleccin e Implementacin de
Controles:
Seleccionar contramedidas
Priorizar la implementacin de las
contramedidas
Planificar la implementacin /
Asignar Responsables
Implementar Controles
Determinar Riesgo Residual
Pgina 38
Administracin de Riesgos
Anlisis de Riesgos:
Es una herramienta para la Administracin de Riesgos.
Representa el mtodo utilizado para identificar las
vulnerabilidades y las amenazas, derivar el posible dao o
prdida y determinar donde implementar medidas de seguridad.
Pgina 39
Administracin de Riesgos
Pgina 40
Administracin de Riesgos
Pgina 41
Administracin de Riesgos
Pgina 42
Administracin de Riesgos
Pgina 43
Administracin de Riesgos
Pgina 44
Administracin de Riesgos
La probabilidad de
ocurrencia de un
evento
Dao o Prdida
potencial en caso de
ocurrencia.
Pgina 45
Administracin de Riesgos
Prdida Simple Estimada (SLE Simple Loss Expectancy): Es un monto ($) que
representa la prdida ocasionada sobre un activo ante la ocurrencia de una amenaza.
Prdida Estimada Anual (ALE Annualized loss expectancy): Es un monto ($) que
representa la prdida anual estimada por la ocurrencia de una amenaza determinada.
Amenaza
Valor
Factor de
Exposicin
Single Loss
Expectancy
Annualized rate of
ocurrence
Annual Loss
Expectancy
(EF)
(SLE)
(ARO)
(ALE)
File Server
Fuego
20.000
25%
5.000
0,1
500
Clave transaccional de
cliente
Robo
50.000
50%
25.000
75.000
Pgina 46
Administracin de Riesgos
Pgina 47
Administracin de Riesgos
Etc.
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Pgina 48
Administracin de Riesgos
Pgina 49
Administracin de Riesgos
Pgina 50
Administracin de Riesgos
Pgina 51
Administracin de Riesgos
Mtodo
Cuantitativo
Mtodo
Cualitativo
X
Es ms fcil de evaluar.
X
X
Pgina 52
Administracin de Riesgos
Pgina 53
Administracin de Riesgos
Pgina 54
Administracin de Riesgos
Pgina 55
Administracin de Riesgos
Pgina 56
Preguntas?
Curso de Seguridad de la Informacin - Mdulo 1II Estructura y Organizacin de Gestin de Seguridad
Pgina 57