TEMA: SEMINARIO DE LA INFORMACIN EN INSTITUCIONES

FINANCIERAS.

ASESOR: ING.CARLOS AUGUSTO CORREA GARCA.

ALUMNO: FRANK ANTONIO PIIN ATO

LUGAR: SUM DE LA UNIVERSIDAD CESAR VALLEJO.

FECHA: 14/10/2017 - 27/10/2017.

0
ndice

1
 SEMINARIO DE LA INFORMACIN EN INSTITUCIONES
FINANCIERAS

1 Fundamentos de Seguridad de la Informacin

Informacin:

La informacin es un activo, que tal como otros importantes activos del negocio, tiene valor
para la compaa y consecuentemente requiere ser protegida adecuadamente.

La informacin adopta diversas formas y debera protegerse adecuadamente cualquiera que

sea la forma que tome o los medios por los que se comparta o almacene.

ISO/IEC 17799:2005 (ISO 27002)

Dnde se encuentra la Informacin?

Documentos, Recursos de Tecnologa de Informacin, Medios de Almacenamiento y

Conocimiento de las Personas. Pueden venderse escrita, electrnica y abalada.

Qu debo preguntarme al realizar mi trabajo como ingeniero de seguridad informtica?

-De qu informacin importante soy responsable?

-Cmo puedo contribuir a resguardar la informacin?

-Qu tipo de informacin se maneja en la empresa?

-Qu hago si encuentro una hueco de seguridad?

-Quines son perjudicados si se hace un mal uso de esta informacin?

-Qu sancin merecen estos infractores?

Seguridad de la Informacin y
Seguridad de TI

Seguridad de la Informacin

-Tiene como fin la proteccin de la informacin y de los sistemas de la informacin del

acceso, uso, divulgacin, interrupcin o destruccin no autorizada.

-Busca proteger la Confidencialidad, Integridad y Disponibilidad de la informacin y

datos, independientemente de la forma los datos pueden tener: electrnicos,
impresos, audio u otras formas.

Seguridad de TI

-Busca proteger la informacin desde una perspectiva tcnica.

2
 -Se centra en el uso de tecnologas de informacin.

Pilares de la Seguridad de la Informacin

CONFIDENCIALIDAD: Aseguramiento de que la informacin es accesible slo para aquellos

autorizados a tener acceso.

INTEGRIDAD: Garanta de la exactitud y completitud de la informacin y los mtodos de su

procesamiento.

DISPONIBILIDAD: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo

requieran a la informacin y sus activos asociados.

Ley de Transparencia y Acceso a la Informacin Pblica (Ley N 27806)

Informacin Pblica.- Informacin susceptible de poner a disposicin del pblico. Toda la

informacin que posea el Estado se presume pblica, salvo las excepciones expresamente
previstas por el Artculo 15 (Ley N 27806).

Informacin Secreta.- Informacin del mbito militar y de inteligencia. (Artculo 15 -

Excepciones al ejercicio del derecho: Informacin Secreta).

Informacin Reservada.- Informacin del mbito policial y de relaciones exteriores. (Artculo

15-A- Excepciones al ejercicio del derecho: Informacin reservada).

Informacin Confidencial.- Informacin referida a la intimidad, secreto bancario, reserva

tributaria, etc. (Artculo 15-B- Excepciones al ejercicio del derecho: Informacin confidencial).

Riesgos de Seguridad de la Informacin:

- Falsificacin

- Phishing

-Malware-Virus

- Riesgos de las Redes Sociales

- Fuga de Informacin

- Continuidad del Negocio

Qu pasa cuando falla la Gestin de la Seguridad de la Informacin?

Prdidas financieras

Denuncias de las autoridades y multas

Prdida de clientes y cuota de mercado

Dao a la imagen de la empresa

Interrupcin en las operaciones

3
Costo de recuperacin para volver a situacin inicial

Litigios civiles y laborales

2 Gobierno de Seguridad de la Informacin

Conjunto de responsabilidades, actividades y prcticas, ejercidas por la alta direccin, gerencia
y responsables de la Seguridad.

Con la finalidad de brindar una direccin estratgica, garantizar que se logren los objetivos,
monitorear el desempeo, administrar los riesgos en forma apropiada y verificar que los
recursos de la empresa se utilizan con responsabilidad.

Gobierno de Seguridad Efectivo:

Alineacin estratgica.- Alinear la seguridad de informacin con la estrategia de negocio.

Administracin del riesgo.- Administrar y ejecutar medidas apropiadas para mitigar los
riesgos.

Entrega de valor.- optimizar las inversiones en seguridad.

Administracin de recursos.- Utiliza los conocimientos y la infraestructura de seguridad de

informacin de manera eficiente y efectiva.

Medicin del desempeo.- Medir, monitorear y reportar sobre los procesos de seguridad de
informacin.

Integracin de procesos.- Integracin de la administracin de los procesos de aseguramiento

de la seguridad.

Seguridad de TI y Seguridad de la Informacin

Seguridad de TI

Los Jefes o Responsables de Seguridad TI cuentan con capacidades y conocimientos tcnicos.

Su responsabilidad es asegurar que la infraestructura tcnica que hace uso la organizacin sea
operada de manera segura y este centrada en la tecnologa

Seguridad de la Informacin

Los Gerentes, Oficiales o Responsables de Seguridad de la Informacin abarca un mayor

alcance en la organizacin, implica participacin en los procesos del negocio y sobre la
estrategia general de la seguridad.

Esta involucrado en el cumplimiento regulatorio, la administracin de riesgos y la

gobernabilidad, dentro de sus responsabilidades abarca tambin los aspectos tcnicos.

Conocimientos y Habilidades de los Oficiales, Jefes de Seguridad de la Informacin

Conceptos de Seguridad de la Informacin.

4
Relacionar la seguridad de informacin y las operaciones del negocio.

Tcnicas para asegurar el compromiso y patrocinio de la Gerencia.

Temas legales y regulatorios que rigen.

Funcin y contenido de elementos de un programa de seguridad.

Tcnicas para desarrollar un modelo del proceso de seguridad.

Conocimiento de normas y estndares internacionales.

Componentes claves de un anlisis de costo-beneficio.

Metodologas para valuar los recursos de informacin.

Mtodos de anlisis de riesgo y estrategias de mitigacin.

Mtodos y tcnicas para administrar proyectos.

Arquitecturas y tecnologas de Seguridad.

Conocimiento del diseo, desarrollo e implementacin de mtricas.

Mtodos y tcnicas de adquisicin.

Administracin de Presupuestos.

Actividades y coordinaciones con proveedores.

Mtodos y Tcnicas para la concienciacin y capacitacin sobre seguridad.

Conocimiento de componentes de capacidades de respuesta a incidentes.

Procesos de planes de recuperacin y Continuidad de Negocio.

Gestin de Incidentes.

Enfoques de la Gestin de Seguridad en las empresas

TOP-DOWN

Los gerentes encabezan los cambios en las empresas.

Regulaciones (Locales, Internacionales)

Buena prctica gerencial

Falsas percepciones del riesgo

Cuidado!

BOTTOM-UP

5
El personal de TI dirige el cambio mediante experiencias y evaluaciones.

Aprenda: Qu comunicar?, y Cmo comunicarlo?

Entrenarse, capacitarse para: Comprender el negocio, Detectar la amenaza, Reconocer el

riesgo

Cmo invertir en Seguridad?

Anlisis Costo-Beneficio debemos sacar nuestras cuentas de cuanto nos cuesta y cuanto
ganaremos.

Ejemplos de Inversin en Seguridad

Ms personal de seguridad

Delegarla a terceros

Implementar o comprar un firewall

Implementar single sign-on (SSO)

Abandonar sistemas legacy

Migrar a sistemas operativos nuevos

Asumir el despliegue de una regulacin o normativa de seguridad local, regional o global.

Contratar un Pen-Test (ethical hacking),Etc.

El Valor de la Seguridad de la Informacin

Una seguridad de informacin efectiva puede agregar valor a la organizacin:

Suministrando mayor confianza en las transacciones con clientes y terceros.

Mejorando la confianza en las relaciones con los clientes.

Protegiendo la reputacin de la organizacin.

Permitiendo nuevas y mejores formas de procesar las transacciones electrnicas.

Gobierno Efectivo de Seguridad de Informacin

Para lograr un gobierno efectivo de seguridad de informacin, la gerencia debe establecer y

mantener un marco para guiar el desarrollo y administracin de un programa completo de
seguridad de informacin que soporte los objetivos del negocio.

Este marco a su vez provee la base para el desarrollo de un programa eficiente en costo de
seguridad de informacin que soporta las metas de negocio de la organizacin.

Objetivos de Seguridad de la Organizacin

6
Ejemplos:

Reducir los tiempos de respuesta a los incidentes de seguridad, en relacin al mes anterior.

Capacitar el 90% del personal sobre las buenas prcticas de seguridad de informacin.

Minimizar la posibilidad de que los eventos se conviertan en incidentes en relacin al mes

anterior.

Reduccin del mantenimiento correctivo de las infraestructuras tecnolgicas de las empresas

por medio del cumplimiento del programa de mantenimiento preventivo,Etc.

7
3 Sistema de Gestin de Seguridad de la Informacin(SGSI)
El SGSI es un proceso que permite establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin en una organizacin, basado en un enfoque
de riesgo.

Este sistema esta conformado de una estructura organizativa de personas, procesos y

tecnologa. ISO 27001:2005

Consideraciones para implementar un SGSI

Compromiso y participacin de la Alta Direccin

Planificacin

Responsables

Tiempos

Recursos

Modelo de Implementacin de un SGSI

Especifica el marco referencial para establecer, implantar y documentar un SGSI en base al

modelo PDCA.

Establece requisitos para implantar controles ISO 17799 ISO 27002 (En Anexo A ISO 27001).

Es un estndar certificable

Beneficios de un SGSI

Gestin eficiente del Riesgo.

Establecimiento de metodologa de Gestin de la Seguridad estructurada

Confianza de los clientes y socios de negocio.

Aseguramiento de la continuidad de las operaciones del negocio

Conformidad con las leyes y legislaciones vigentes.

Reduccin de costos y mejora en los procesos y servicios de la organizacin

Mejora del clima laboral, aumentando la motivacin y satisfaccin del personal

Imagen y reputacin de la organizacin, siendo un elemento diferenciador del mercado

Se integra con otros sistemas de gestin como calidad, salud, etc.

Factores de Riesgo

8
EL SGSI No est alineada al negocio

Definicin imprecisa del Alcance del SGSI

Exceso de tiempo en la implementacin

Planes de formacin y concienciacin inadecuados

Delegacin completa de la responsabilidad a TI

Incumplimiento de planes

Falta de Comunicacin

Resistencia de las personas (temores)

Factores de xito

Compromiso de la Alta Direccin y Gerencias

Definicin clara y precisa del Alcance del SGSI

Educacin y Concienciacin de las personas de la organizacin

Buena y efectiva Gestin de Riesgos

Provisin de los recursos necesarios.

Organizacin y Comunicacin

Marketing Efectivo de la Seguridad de la Informacin.

Modelo de Seguridad

9
4 Estndares y Normatividad de Seguridad de la Informacin
COBIT : Objetivos de Control para la Informacin y Tecnologa de Informacin

ITIL: Information Technology Infrastructure Library

ISO/IEC 27001 y 27002: Estndares para la seguridad en Tecnologa de Informacin

NIST: Security Hands Book

CC: Common Criteria 1985-Red Book, en 1999 International Standard 15408

COSO : Committee of Sponsoring Organisations of the Treadway Commisssion Internal

Control-Integrated Framework.

Estndares de Seguridad de la Informacin

ISO/IEC 27001

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar

un Sistema de Gestin de la Seguridad de la Informacin (SGSI).

Information technology - Security techniques - Information security management

systems - Requirements.

ISO/IEC 27002

Information technology - Security techniques - Code of practice for information

security management (anterior ISO/IEC 17799:2005)

Gua de buenas prcticas que describe los objetivos de control y controles

recomendables en cuanto a seguridad de la informacin con 11 dominios, 39
objetivos de control y 133 controles.

5 Diseo de Polticas de Seguridad de la Informacin

Polticas de Seguridad

Porque se necesita Polticas de Seguridad de la Informacin?

Protege la informacin y a los usuarios.Conjunto de reglas que determina los lineamientos de

conducta y responsabilidades de los usuarios, administradores de los sistemas, gestin,
seguridad del personal.Autoriza al personal de seguridad para monitorear, probar e
investigar.Es de carcter obligatorio y por lo tanto sancionable.Permite el despliegue e
implementacin de controles de seguridad.

Poltica de Seguridad de la Informacin

Es una declaracin general que determina como la informacin es protegida, administrada y

distribuida.La poltica de seguridad es un documento que expresa exactamente cual es el nivel

10
de seguridad que deben tener los sistemas para cumplir con los mecanismos y controles de
seguridad.Especifican las condiciones, derechos y obligaciones sobre el uso de los activos de la
informacin.

Importancia de las Polticas de Seguridad

Demuestran el apoyo de la alta direccin.Aseguran las aplicaciones de las medidas

deseguridad en la organizacin.Guan el proceso de seleccin e implementacin de los
controles de seguridad.Evita responsabilidades legales. Logra efectividad de la Seguridad de la
Informacin.

Caractersticas de las Polticas de Seguridad

Estos documentos deben ser claros, exactos, precisos y concisos.

Debe tener una estructura bien definida Debe tener fecha de aprobacin y difusin, nmero
de versin y un control de cambios.Debe ser vigente y actualizado permanentemente.No debe
interferir con los procesos del negocio.Debe establecer las condiciones aceptables y no
aceptables Accesible al personal segn el alcance del documento Aprobado por la alta
direccin Documento oficial y de cumplimiento obligatorio, esta sujeto a sanciones ,RRHH y el
rea legal deben contemplar en los estatutos de la empresa y la ley.

Quines desarrollan las polticas de Seguridad de la Informacin?

Equipo de desarrollo de polticas

Equipo de seguridad de la informacin.

Personal Tcnico.

rea Legal

RRHH

Usuarios

Mtodo de Desarrollo de la Poltica

Se debe considerar lo siguiente:

1.- Definir el propsito de la poltica

2.- Escribir un borrador de la Poltica:

Determinar el nivel correcto entre realizar una poltica viable o intransigente/rgida.

Considerar que puede existir excepciones en algunas declaraciones de las polticas y se debe
evaluar sin dejar expuesta la seguridad.

Que sea clara y use trminos concretos, sin trminos abstractos.

Evitar usar declaraciones muy negativas como nunca

11
Usar un lenguaje fcilmente entendible.

Usar la palabra debe por debera

Si se necesita hacer referencias adicionales usar anexos

La longitud del documento no debe ser muy extenso, va depender de la organizacin y su

tamao.

3.- Revisin del documento

4.- Aprobacin

5.- Estrategia de difusin

6.- Publicacin

7.- Desarrollo de estrategia de comunicacin activa

8.- Asegurar que las polticas estn consideradas en la estrategia de

concienciacin/sensibilizacin

9.- Revisin y Actualizacin

Secciones de la Poltica

Cada poltica debe incluir lo siguiente:

1. Introduccin

2. Objetivo

Proporciona las principales metas de la poltica , explica las razones y ayuda a los
usuarios como debe ser usada.

3.- Alcance

Es el alcance de la aplicacin de la poltica y las personas que estn involucradas.

4.- Roles y Responsabilidades

Esta es una declaracin de la poltica a travs de la cual, se designa las

responsabilidades de la personas que van a aplicar la poltica.

5.- Fecha y versin

6.- Definicin / Glosario

7.- Declaracin de la poltica

Estructura de los documentosSe puede utilizar ISO 27001 e ISO 27002 como base para definir
las polticas de seguridad.

12
Deben ser documentos controlados.

Desarrolle una poltica considerando la siguiente estructura:

1. Introduccin

2. Objetivo

3.- Alcance

4.- Roles y Responsabilidades

5.- Fecha y versin

6.- Responsables de la poltica

7.- Definicin / Glosario

8.- Declaracin de la poltica

Considere los siguientes ejemplos:

Poltica de antivirus

Poltica de uso del correo electrnico

Poltica de contraseas

Poltica de clasificacin de la informacin

Poltica de control de acceso fsico

6 Gestin de Riesgos de Seguridad de la Informacin

Riesgo:

Se puede definir como el proceso de toma de decisiones en un ambiente de incertidumbre

sobre una accin que puede suceder y sobre las consecuencias que existirn si esta accin
ocurre.

Es la probabilidad de que suceda un evento, impacto o consecuencia adversos.

Riesgo: Combinacin de la probabilidad de un evento y sus consecuencias. [ISO/IEC Guide

73:2002] (ISO 17799 ISO 27002)

Evento que, de presentarse, puede alterar las actividades cotidianas.

El Anlisis de Riesgos implica:

Determinar qu se necesita proteger.

13
 De qu hay que protegerlo.

Cmo hacerlo.

ISO/IEC 27005

Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la Informacin
en una Organizacin. Sin embargo, no proporciona ninguna metodologa especfica para el
anlisis y la gestin del riesgo de la seguridad de la informacin.

Es aplicable a todo tipo de Organizacin:

Empresas Comerciales

Organismo Gubernamentales

Organismos sin fines de lucro

Entidades Financieras

Conceptos y Definiciones

Activos:

Recursos de los sistemas de informacin o relacionados con estos, necesarios para que la
organizacin funcione correctamente y alcance los objetivos propuestos por su direccin.

El valor puede ser:

Subjetivo: Tiene un valor subjetivo es decir ,cuanto vale para mi

Intrnseco u Objetivo: El objeto tiene un valor econmico.

Por ejemplo:

Si se robaran un CD de I+D , el cual contiene un desarrollo de un nuevo producto.

Tipos de activos:

Hardware Infraestructura tecnolgica de soporte

Software Programas

Organizacin Organizacin lgica y fsica del personal

Amenaza:

Se entiende por una amenaza una condicin del entorno del sistema de informacin (persona,
mquina, suceso o idea) que ante determinada circunstancia podra dar lugar a que se
produjese una violacin de seguridad (no cumplimiento de alguno de los aspectos
mencionados) afectando alguno de los activos de la organizacin.

Vulnerabilidad:

14
Es un hecho o actividad que permite concretar una amenaza.

Impacto:

Es el dao producido por la efectivizacin de una amenaza

Riesgo:

Es la posibilidad de que se produzca un impacto en la organizacin.

Contramedidas o Salvaguardas:

Protecciones u acciones que disminuyen el riesgo

Tipos de Riesgo Empresarial

Riesgo de Mercado

Riesgo de Liquidez

Riesgo de Crdito

Riesgo Operacional

Riesgo Estrategico

Riesgo Reputacional

Otros tipos de riesgo:

Riesgo Pas : Posibilidad de Prdidas debido a procesos inadecuados, fallas del personal, de
tecnologa de informacin o eventos externos.

Esta definicin incluye al riesgo legal, pero excluye al riesgo estratgico y de reputacin.

Categoras de Riesgos Operacionales

Riesgo tecnolgico

Riesgo de seguridad de la informacin

Riesgo de administracin de proyectos

Riesgo de actos ilcitos o delictivos

Riesgo de recursos humanos

Riesgo de proveedores

Riesgo de informacin gerencial

Riesgo de tica

Riesgo legal

15
Riesgo geopoltico

Riesgo cultural

Riesgo climtico

Inventario de Activos de Informacin

Clasificacin de Activos

Servicios.- Funcin que satisface una necesidad de los usuarios.

Datos/Informacin.- Elementos de informacin que, individualmente o agrupados de alguna

manera, representan conocimiento.

Aplicaciones.- Programas, aplicativos o software que permiten manejar los datos.

Equipos informticos.- (Hardware) Bienes materiales, fsicos, que permiten hospedar datos,
aplicaciones y servicios.

Soportes de Informacin.- Dispositivos de almacenamiento de datos. El equipamiento auxiliar

que complementa a los equipos informticos.

Redes de comunicaciones.- Medios de transporte propios o contratados a terceros que

permiten intercambiar datos.

Equipamiento Auxiliar.- Equipos que cumplen funciones auxiliares diferentes al tratamiento o

almacenamiento de informacin.

Instalaciones.- Lugares fsicos que acogen equipos informticos y de comunicaciones.

Personas.- Colaboradores que explotan u operan todos los elementos anteriormente citados.

Identificacin de Amenazas

Amenaza

Hecho que puede producir un dao. Una amenaza es un riesgo potencial

Naturales

Incendios

Terremotos

Inundaciones

Industriales

Fuego accidental o provocado

Averas

16
Corte de sumistro elctrico

Fallo en comunicaciones

Humanas

Error

Ataque: Externo, Interno

Vulnerabilidad

Vulnerabilidad es la medida de cun susceptible es un activo expuesto a las amenazas. Las

amenazas explotan vulnerabilidades

Identificacin de Vulnerabilidades

Posibles causas:

Inadecuado compromiso de la direccin.

Personal inadecuadamente capacitado y concientizado.

Inadecuada asignacin de responsabilidades.

Ausencia de polticas/ procedimientos.

Ausencia de controles (fsicos/lgicos)

(disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.

Impacto

Es la medida del dao sobre el activo derivado de la materializacin de una amenaza.

Nivel de Riesgo = Probabilidad de Ocurrencia x Impacto

17
18
19