Fundamentos de Seguridad de la

Informacin

EDDY PREZ
UNEG. 2008

Objetivos
Comprender los conceptos bsicos de la Seguridad

de la Informacin y sus implicaciones

Entender la Importancia de la Seguridad de la
Informacin en los diferentes sectores.
Identificar los diferentes tipos de seguridad de la
informacin de acuerdo a los activos a proteger.

Eddy Prez UNEG 2006

Agenda
I.

Seguridad de la Informacin
I.
II.

III.

Definicin
Elementos a proteger
Importancia

II. reas de la Seguridad Informacin

I.
II.
III.

Seguridad Fsica
Seguridad Lgica
Seguridad de Gestin

III. Metas de la Seguridad

I.
II.
III.
IV.

Confidencialidad
Integridad
Disponibilidad
Responsabilidad

Eddy Prez UNEG 2006

Seguridad de la Informacin

Definicin
Medidas adoptadas para evitar el uso no autorizado, el mal uso, la
modificacin o la denegacin del uso de conocimientos, hechos datos o
capacidades.
Es la proteccin de la informacin de un rango amplio de amenazas
para poder asegurar la continuidad del negocio, minimizar el riesgo
comercial y maximizar el retorno de las inversiones y las
oportunidades comerciales. ISO/IEC 27002:2005
Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin; otras caractersticas tambien pueden estar involucradas,
tales como la autenticidad, responsabilidad, aceptabilidad y
confiabilidad. ISO/IEC 17799:2005

Eddy Prez UNEG 2006

Elementos a proteger

Personas que Empleados

la utilizan
Clientes

Equipos de
soporte

Edificios
Hardware

Fsico
Informacin
Digital

Eddy Prez UNEG 2006

Importancia
Las organizaciones utilizan la
informacin diariamente en sus
procesos de negocios.

Productos

Competencia

Clientes

La informacin de los clientes permite ofrecerles

Procesos
Negocio

productos adaptados a sus necesidades

Los contratos definen el alcance y la garanta de

cumplimientos de acuerdos

Empleados

Mercado

La informacin es usada por la competencia para lanzar

nuevos productos al mercado

Finanzas

Contratos

reas de la Seguridad de la
Informacin

Seguridad Fsica
Proteccin de sus activos e informacin del acceso
fsico al personal no autorizado.

Sustraccin de equipos de su sitio

Daos de los equipos
Sustraccin de documentos de las oficinas
Sustraccin de documentos de las cestas de basuras

Como asegurar?

Implementar controles de acceso a las oficinas

Destruir documentos innecesarios
Instalar sistemas de seguridad: Cmaras de vdeos
Limitar el acceso a reas sensibles

Eddy Prez UNEG 2006

Seguridad Operacional
Se refiere a como la organizacin hace las cosas. Incluye personas, computadoras,
redes y sistemas de comunicacin.
La seguridad operacional trata asuntos sobre:

Control de acceso
Autenticacin
Topologas de seguridad
Planes de respaldo y recuperacin de datos y sistemas
Operaciones de las conexiones de las redes

Cmo asegurar?

Conmutacin y enrutamiento + Filtros + Control del Flujo

Definicin de permetros: Firewall
Instalacin estratgica de sensores: IDS + IPS
Prevencin y contramedidas: IPS + Anti-Cdigos maliciosos
Educacin !!!

Eddy Prez UNEG 2006

Seguridad en la Gestin
Proporciona una gua, reglas y procedimientos para
implementar un ambiente seguro.
Para que las polticas tengan efecto, estas deben tener un
completo apoyo del equipo gerencial y de la organizacin.
Algunas polticas necesarias pueden ser:

Polticas administrativas
Requerimientos de diseo
Planes de recuperacin de desastres
Polticas de informacin
Polticas de uso
Polticas de administracin de usuarios

Eddy Prez UNEG 2006

Metas de la seguridad

Metas

Respuesta

Prevencin

Deteccin

Metas

Confidencialidad:
la informacin no se pone a
disposicin ni se revela a
individuos, entidades o procesos
no autorizados

Integridad
mantenimiento de la
exactitud y completitud
de la informacin y de sus
mtodos de proceso

Disponibilidad
acceso y utilizacin de la
informacin y los
sistemas de tratamiento
de la misma por parte de
los
individuos, entidades o
procesos autorizados
cuando lo requieran

Confidencialidad
Prevenir o minimizar el acceso no autorizado y la
revelacin de data e informacin.

Eddy Prez UNEG 2006

Integridad
Prevenir o minimizar la modificacin y destruccin no
autorizada de los activos de la organizacin

Eddy Prez UNEG 2006

Disponibilidad
Prevenir o minimizar la denegacin no autorizada del
acceso a los activos y servicios.

Eddy Prez UNEG 2006

Responsabilidad y Autenticacin
Debe definirse quien es el propietario o responsable de
la data.
Muchos de los recursos son compartidos por varias
personas y departamentos.
Cmo se determina que una informacin es correcta o
no?

Eddy Prez UNEG 2006

Zonas de Seguridad
Mtodos de diseo que aslan sistemas de otros sistemas, redes
o personas.
Las zonas de seguridad ms conocidas son:
Internet

Red global y pblica que interconecta redes

Intranet

Redes privadas mantenidas por una organizacin

Extranet

Extiende las redes privadas a socios o terceros de confianza

DMZ

rea donde se ubican servidores pblicos para que sean consultados por terceros de
escasa o nula confianza.

VPN

Eddy Prez UNEG 2006

Tecnologas de apoyo
A nivel de las aplicaciones:
Anti-Virus (infeccin de archivos en la PC)
Anti-Spam (Correo basura)
Anti-Spyware (programas espas)
Filtros de contenidos (informacin no permitida)

A nivel de la Red
Segmentacin de las redes, VLAN, enrutamiento
Control del trfico (ACL, QoS),
Cifrado, Tneles Cifrados (VPN)
Control del acceso (Firewall)
Monitoreo del trfico (NMS, IDS, IPS)

Eddy Prez UNEG 2006

Normas, Metodologas y Leyes

ISO IEC 27000: Serie de normas relativas a desplegar SGSI

ISO IEC 7498-2: Modelo de referencia de SI

Ley sobre mensajes de datos y firmas electrnicas

Ley Orgnica de Ciencia Tecnologa e Innovacin.

Reglamento Parcial de Ley sobre Mensajes de Datos y Firmas Electrnicas

ISO IEC 13336: Serie de guas relativas a la gestin de la seguridad de IT y Comunicaciones

ISO IEC 18045: Metodologa para la evaluacin de seguridad TI

ISO IEC 21827: SSE-CMM Systems Security Engineering - Capability Maturity Model

CMMI-SSE: Arquitectura y marco de trabajo de Carnegie Mellon University relacionado con la

Seguridad de la Informacin

Que debemos hacer en SI?

Conocer la organizacin. - Objetivos del Negocio
Identificacin de activos de T.I.

Activos: todo aquello que tiene valor para la empresa

Evaluacin de Riesgos

Identificacin y valoracin de los activos + Amenazas + Vulnerabilidades =

valor del riesgo

Identificacin de Amenazas

Fallas, errores, debilidades relacionadas a un activo

Vulnerabilidades

Que debemos hacer en SI?

RESULTADO
Seguridad de la Informacin alineada a las necesidades
del Negocio, sus clientes y usuarios.

Requerimientos del negocio

Identificacin de activos
Activos: todo aquello que tiene valor para la empresa

Evaluacin de Riesgos
Identificacin y valoracin de los activos + Amenazas +
Vulnerabilidades = valor del riesgo
Identificacin de Amenazas
Fallas, errores, debilidades relacionadas a un activo
Vulnerabilidades

Eddy Prez UNEG 2006

Eddy Prez UNEG 2006