Académique Documents
Professionnel Documents
Culture Documents
Informacin
EDDY PREZ
UNEG. 2008
Objetivos
Comprender los conceptos bsicos de la Seguridad
Agenda
I.
Seguridad de la Informacin
I.
II.
III.
Definicin
Elementos a proteger
Importancia
Seguridad Fsica
Seguridad Lgica
Seguridad de Gestin
Confidencialidad
Integridad
Disponibilidad
Responsabilidad
Seguridad de la Informacin
Definicin
Medidas adoptadas para evitar el uso no autorizado, el mal uso, la
modificacin o la denegacin del uso de conocimientos, hechos datos o
capacidades.
Es la proteccin de la informacin de un rango amplio de amenazas
para poder asegurar la continuidad del negocio, minimizar el riesgo
comercial y maximizar el retorno de las inversiones y las
oportunidades comerciales. ISO/IEC 27002:2005
Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin; otras caractersticas tambien pueden estar involucradas,
tales como la autenticidad, responsabilidad, aceptabilidad y
confiabilidad. ISO/IEC 17799:2005
Elementos a proteger
Equipos de
soporte
Edificios
Hardware
Fsico
Informacin
Digital
Importancia
Las organizaciones utilizan la
informacin diariamente en sus
procesos de negocios.
Productos
Competencia
Clientes
Procesos
Negocio
cumplimientos de acuerdos
Empleados
Mercado
Contratos
reas de la Seguridad de la
Informacin
Seguridad Fsica
Proteccin de sus activos e informacin del acceso
fsico al personal no autorizado.
Como asegurar?
Seguridad Operacional
Se refiere a como la organizacin hace las cosas. Incluye personas, computadoras,
redes y sistemas de comunicacin.
La seguridad operacional trata asuntos sobre:
Control de acceso
Autenticacin
Topologas de seguridad
Planes de respaldo y recuperacin de datos y sistemas
Operaciones de las conexiones de las redes
Cmo asegurar?
Seguridad en la Gestin
Proporciona una gua, reglas y procedimientos para
implementar un ambiente seguro.
Para que las polticas tengan efecto, estas deben tener un
completo apoyo del equipo gerencial y de la organizacin.
Algunas polticas necesarias pueden ser:
Polticas administrativas
Requerimientos de diseo
Planes de recuperacin de desastres
Polticas de informacin
Polticas de uso
Polticas de administracin de usuarios
Metas de la seguridad
Metas
Respuesta
Prevencin
Deteccin
Metas
Confidencialidad:
la informacin no se pone a
disposicin ni se revela a
individuos, entidades o procesos
no autorizados
Integridad
mantenimiento de la
exactitud y completitud
de la informacin y de sus
mtodos de proceso
Disponibilidad
acceso y utilizacin de la
informacin y los
sistemas de tratamiento
de la misma por parte de
los
individuos, entidades o
procesos autorizados
cuando lo requieran
Confidencialidad
Prevenir o minimizar el acceso no autorizado y la
revelacin de data e informacin.
Integridad
Prevenir o minimizar la modificacin y destruccin no
autorizada de los activos de la organizacin
Disponibilidad
Prevenir o minimizar la denegacin no autorizada del
acceso a los activos y servicios.
Responsabilidad y Autenticacin
Debe definirse quien es el propietario o responsable de
la data.
Muchos de los recursos son compartidos por varias
personas y departamentos.
Cmo se determina que una informacin es correcta o
no?
Zonas de Seguridad
Mtodos de diseo que aslan sistemas de otros sistemas, redes
o personas.
Las zonas de seguridad ms conocidas son:
Internet
Intranet
Extranet
DMZ
rea donde se ubican servidores pblicos para que sean consultados por terceros de
escasa o nula confianza.
VPN
Tecnologas de apoyo
A nivel de las aplicaciones:
Anti-Virus (infeccin de archivos en la PC)
Anti-Spam (Correo basura)
Anti-Spyware (programas espas)
Filtros de contenidos (informacin no permitida)
A nivel de la Red
Segmentacin de las redes, VLAN, enrutamiento
Control del trfico (ACL, QoS),
Cifrado, Tneles Cifrados (VPN)
Control del acceso (Firewall)
Monitoreo del trfico (NMS, IDS, IPS)
ISO IEC 21827: SSE-CMM Systems Security Engineering - Capability Maturity Model
Seguridad de la Informacin
Evaluacin de Riesgos
Identificacin de Amenazas
Vulnerabilidades
Evaluacin de Riesgos
Identificacin y valoracin de los activos + Amenazas +
Vulnerabilidades = valor del riesgo
Identificacin de Amenazas
Fallas, errores, debilidades relacionadas a un activo
Vulnerabilidades