Seguridad de La Información-Sesion 1-v1

SEGURIDAD DE LA INFORMACIN
Mdulo 1: Sesin N1
Elaborado por: JC Pacheco
26/08/2011
Instituto de Ingeniera de Software - IISoft - UNI
AGENDA
1. La Seguridad, Conceptos y definiciones 2. Seguridad Informtica vs Seguridad de la Informacin 3. Riesgos: Conceptos y definiciones 4. Relacin entre seguridad y riesgo 5. Componentes del riesgo. 6. Qu es un modelo de gestin de la seguridad
jcpacheco@computer.org
26/08/2011
Seguridad: Conceptos y definiciones

1. Cualidad de seguro. (Libre y exento de todo peligro, dao o riesgo)
Segn el RAE
2. Certeza (conocimiento cierto y claro de algo).
26/08/2011
Seguridad: Conceptos y definiciones

Requerimi entos de Seguridad
Confidencialidad Integridad Disponibilidad
Poltica de Seguridad
Qu est y Qu NO est permitido.
Depende de
Mecanismos de Seguridad
Refuerza la poltica Meta: Nunca en estado no permitido
Aseguramiento de Seguridad
Requerimientos vs Necesidades Polticas vs Requerimientos Mecanismos vs Polticas
26/08/2011
Seguridad, Conceptos y definiciones
Deja hacer acciones no permitidas
Deja hacer solo acciones permitidas
INSEGURO
Componente HUMANO:
SISTEMA
SEGURO
Sin personas que logren esto NO HABR SISTEMA SEGURO
Conocer y comprender principios de seguridad Cmo esos principios se aplican en una situacin dada Cmo definir requerimientos y su poltica adecuada Cmo utilizar la tecnologa para implementar la poltica
26/08/2011
Seguridad de la Informacin vs Seguridad Informtica
Seguridad de la Informacin
Informacin documental y biolgica Procesos de Negocio Informacin en computadoras Procesos informticos
Polticas
Anlisis de Riesgos
Mecanismos y Procedimientos
Seguridad Informtica
26/08/2011
Riesgo: Conceptos y definiciones

(Del it. risico o rischio, y este del r. cls. rizq, lo que depara la providencia). (RAE) 1. m. Contingencia o proximidad de un dao. (RAE) 2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro. (RAE) Dao potencial que puede surgir por un proceso presente o evento futuro. (Wikipedia) Evento o situacin incierta, que de suceder, tiene un efecto en los objetivos del proyecto (PMBOK)
Riesgo
26/08/2011 9
Riesgo: otras definiciones

La exposicin a la posibilidad de
ocurrencia de ciertas cosas tales

como prdida o ganancia econmica, dao fsico, retrasos, dao a la salud pblica, etc. que surgen como consecuencia de seguir un curso particular de accin. (Aduanas de Chile)
Posibilidad de que se produzca

un impacto dado en la organizacin (Magerit)
26/08/2011
10
Riesgos, Conceptos y definiciones
Amenaza Vs Riesgo
Riesgo es: Amenaza es: I. Efecto de la incertidumbre sobre los objetivos (ISO31000) I. Todo lo que tenga probabilidad de ocurrir, causando dao. (Wikipedia) II. El resultado de la posibilidad de una amenaza explotando la vulnerabilidad de un activo. II. Causa potencial de un incidente no deseado, (ISO27000) el que puede ocasionar un dao al sistema o a la organizacin (ISO27000) Sin la ocurrencia de amenazas el riesgo sera cero.
Tomado de: www.scienceinthebox.com/es_ES/safety/pic /risk_assessment.jpg jcpacheco@computer.org
26/08/2011 11
Elementos del riesgo

Situaciones inciertas, no controlables, no previstas (amenazas).
Impacto como resultado del riesgo
RIESGO
Deficiencias en los procesos o en la gestin. (vulnerabili dades).
Activos de la organizacin
26/08/2011
12
Consecuencias probables de un riesgo

Naturaleza
Indica los problemas probables P.E. Interfaz mal definida para el HW (riesgo tcnico)
Alcance
Combina la severidad (cun serio es el problema?) Con su distribucin general (que proporcin del proceso o de la organizacin se afecta?)
Cuando ocurre
Cundo y por cunto tiempo se dejar sentir el impacto
26/08/2011 13
Resumiendo.
La Amenaza La Vulnerabilidad Estrategia de Mitigacin
El Activo
El Impacto del Riesgo El Riesgo es posibilidad de la destruccin de la casa
26/08/2011
14
Relacin entre seguridad y riesgo

Riesgo Seguridad
26/08/2011
15
Modelo de gestin de la seguridad

Modelo:
(Del it. modello).
1. m. Arquetipo o punto de referencia para imitarlo o reproducirlo. Representacin en pequeo de algo.
Gestin (Del it. gesio).

1. Accin o efecto de gestionar o administrar
2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar.
2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar.
Concrecin de acciones para el logro de un objetivo
3. m. Esquema terico, generalmente en forma matemtica, de un sistema o de una realidad compleja
Entonces, Modelo de Gestin de la Seguridad es el entorno o marco de referencia para la administracin de la SEGURIDAD en una organizacin
26/08/2011
16
Gestin de la seguridad: ISO27000
.en el tiempo
26/08/2011
17
ISO27000: La Familia: Publicadas

Descripcin
Gestin de la seguridad de la Informacin: Overview Sistema de Gestin de la informacin de seguridad Cdigo de buenas prcticas para GSI (ISO17799) Gua para la implementacin del SGSI Mtricas para la gestin de seguridad Gestin de riesgos en SI Requisitos para los organismos de acreditacin de SGSI Gua para la GSI en Telecomunicaciones c/ISO/IEC 27002 Gua para habilitar las TIC para la Continuidad de Negocio Conceptos y revisin general de Seguridad en Redes GSI en el sector salud utilizando ISO/IEC27002
Cdigo del estndar

ISO/IEC 27000:2009 ISO/IEC 27001:2005 ISO/IEC 27002:2007 ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2008 ISO/IEC 27006:2007 ISO/IEC 27011:2008 ISO/IEC 27031:2011 ISO/IEC 27033-1:2009 ISO 27799:2008
26/08/2011
18
ISO27000: La Familia: en Desarrollo

Descripcin
Gua para la Auditoria de un SGSI (foco en el sistema de gestin) Gua para auditores de los controles del SGSI (foco en los controles de seguridad de la informacin) Gua para la implementacin integrada de ISO/IEC 20000-1 and ISO/IEC 27001 Marco de referencia para el gobierno de seguridad de informacin Gua para la Gestin de SI en los sectores financiero y seguros Gua para la seguridad en Internet (del buen vecino en Internet) Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada) Gua para la seguridad de aplicaciones Gestin de Incidentes de Seguridad Gua para la seguridad con Terceros (outsourcing)
Cdigo del estndar

ISO/IEC 27007 ISO/IEC 27008 ISO/IEC 27013 ISO/IEC 27014 ISO/IEC 27015 ISO/IEC 27032 ISO/IEC 27033 ISO/IEC 27034 ISO/IEC 27035 ISO/IEC 27036
Gua para la identificacin, recoleccin, y/o adquisicin y preservacin de evidencia ISO/IEC 27037 digital.
26/08/2011
19
ISO27005: Gestin del Riesgo en SI
Establecimiento del Contexto
Evaluacin del Riesgo
Tratamiento del Riesgo
Monitoreo y Revisin del Riesgo
Comunicacin del riesgo y plan de tratamiento
Aceptacin del Riesgo
26/08/2011
20
Gestin de la seguridad: ISO27001

Diseo del SGSI, Evaluacin de riesgos de los activos de la informacin Seleccin de controles adecuados. Envuelve la implantacin y operacin de los controles.
Plan
(plani ficar)
Do
(hacer)
Act
Realiza los cambios necesarios para llevar al SGSI a mximo rendimiento.
Check
(contro lar )
Revisa y evala el desempeo (eficiencia y eficacia) del SGSI.
(actuar )
26/08/2011
21
ISO27000: en Cifras al 2009

Nro. Certificados 27001 emitidos
12934 14000 12000 10000 8000 6000 4000 2000 0 2008 2009 9246
2008 2009
Nro. Pases solicitantes

117 120 100 80 60 40 20 0 2008 jcpacheco@computer.org 2009 82
2008 2009
Fuente: www.iso.org
26/08/2011
22
Gestin de la seguridad: SOGP del ISF

El Estndar de Buenas Prcticas (SoGP)
del Foro de Seguridad de Informacin (ISF) es una referencia prctica sobre
SM
Gestin de Seguridad
UE
Ambiente de Usuario Final
seguridad de la informacin y temas

relacionados con los riesgos de informacin; con un enfoque de negocios.
Est
alineado
con como
los ITIL,
principales CMM,
CB
Aplicaciones de Negocio Crticas
SD
Desarrollo de Sistemas
estndares ISO20000,
ISO9001,
ISO/IEC2700x,
NIST, PCI DSS e informacin general de conceptos de gobierno de la seguridad.

Se
INSTALACIONES DE TI
complementa con la experiencia
recogida por el ISF durante la realizacin de sus proyectos.
NW
Redes
CI
Ambiente de Cmputo
26/08/2011
23
SOGP del ISF: Aspectos principales

1. Cumplimiento de estndares.
i.
SOGP como herramienta que apoya la certificacin ISO27001. Alineada a toda la familia ISO2700, incluyendo: la 27014 (gobernanza de seguridad) y 27036 (Terceros externos) Incluye tpicos como : Delitos Informticos (Cibercrime), Computacin en la Red (Cloud Computing) y Seguridad en dispositivos mviles. Proporciona informacin detallada y propone controles para Infraestructura Crtica y Acceso Inalmbrico. Es una herramienta para habilitar el cumplimiento de los estndares COBIT y PCI DSS.
ii.
iii.
iv.
26/08/2011
24

2. Validacin de proveedores
i.
Asegura que los requerimientos de seguridad de la informacin sean las premisas para trabajar con terceros. Sirven como base para la comprensin y evaluacin del nivel de seguridad de la
ii.
informacin implementada por los

proveedores
iii. Asegura que la cadena de suministro
est sujeta a un nivel de seguridad de la informacin que puede responder a los riesgos.
26/08/2011
25

3. Evaluacin de Riesgos
i.
La evaluacin de riesgos ayuda a reducir la frecuencia e impacto de los incidentes de seguridad, y mejora la seguridad de la informacin SOGP complementa a cualquier
ii.
metodologa de evaluacin de riesgos

que se utilice, incluyendo la metodologa de anlisis de riesgos de la informacin de ISF (IRAM)
iii. Ofrece 50 tipos de amenazas y los
controles potenciales para aplicacin

26/08/2011
26

4. Polticas, Controles y Procedimientos
i.
Puede ser adoptado como base de una poltica de seguridad de la informacin general.
ii.
Es una herramienta efectiva para la identificacin de brecha existentes en la
poltica, los controles y procedimientos de

seguridad de la informacin, entre lo que tenemos y lo que queremos ser.
iii.
Reduce el esfuerzo necesario en una organizacin para la implementacin de un SGSI

26/08/2011
27

5. Toma de conciencia
i.
Contiene tpicos especficos que ayudarn al mejoramiento de la toma de conciencia en seguridad y soportarn actividades correspondientes dentro de la organizacin. Dirige cmo se podra aplicar la seguridad de la informacin en un ambiente local, lo que representa una actividad de concientizacin en seguridad. Lograr que la organizacin tome conciencia del rol de la seguridad de la informacin, de manera consistente a travs de la propia organizacin generar altos niveles de proteccin y evitar potenciales daos costosos para la reputacin de la organizacin.
ii.
iii.
26/08/2011
28

6. Evaluacin de la seguridad de la Informacin
i.
SOGP est integrada con la herramienta de Benchmarking de ISF, lo que
proporciona una base para la realizacin

de una evaluacin, detallada o de alto nivel, de las fortalezas de los controles de seguridad de la informacin a lo largo y ancho de la organizacin.
ii.
Ayuda a mejorar la gestin de los ejecutivos y la confianza de los
interesados, por la capacidad de anlisis

objetivos del nivel real de seguridad
26/08/2011
29

7. Mejora de la seguridad
i.
SOGP se constituye en una completa herramienta de referencia para atender a nuevos requerimientos de seguridad de la informacin o a la mejora de los controles existentes.
ii.
EL estar basado en tpicos intuitivos de seguridad permiten versatilidad en su aplicacin.
iii. Evitar tener que identificar controles desde
cero, ahorrando costo y tiempo

26/08/2011
30
Gestin de la seguridad: ISM3

Modelo de Madurez de la Gestin de la Seguridad de la Informacin (Information Security Management Maturity Model) Especificar, Implementar, Operar y Evaluar SGSIs Aplicable a cualquier organizacin independientemente de su tamao y giro
Ayuda a mejorar los sistemas ISM de la organizacin, resaltando diferencias entre el nivel actual y el nivel deseado de madurez
Evala cuantitativamente la madurez del SGSI de una organizacin y su ambiente de control de seguridad de la informacin
til como gua para priorizar inversiones. Comparando los objetivos de seguridad y los objetivos de madurez.
26/08/2011
31

MODELO ORIENTADO AL PROCESO
Modelo de GSI Procesos ISM
Modelo de Seguridad Contextual
Modelo Organizativo
Estratgico
Tctico
Operativo
Nivel de Madurez
ISM3-0: existe riesgo, inversin impredecible ISM3-1: Reduccin de riesgo, inversin mnima ISM3-2: Mayor reduccin de riesgo, inversin moderada ISM3-3: Alta reduccin de riesgo tcnico, inversin seria ISM3-4: Alta reduccin de riesgo tcnico e interno, inversin seria
Modelo de Sistemas de Informacin
26/08/2011
32

MODELO FLEXIBLE, SE ADAPTA AL NEGOCIO
Sentido Comn
Polticas Procedimientos
Buenas Prcticas
Contraseas nico Acceso
Para elegir un Control
Lecciones de Incidentes
Mejorar el firewall Mejorar el Antivirus
Especfico Anlisis de riesgos
OCTAVE Magerit
Segn Cliente
Personal del proyecto A no tenga acceso al proyecto B
26/08/2011
33
Information Security Management Maturity Model ("ISM3") est construido con base en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de
gobierno de la seguridad. Mientras que la ISO/IEC 27001 est basada

en controles. ISM3 basado en procesos, incluye mtricas de proceso.
26/08/2011
34
Modelo de gestin de la seguridad

Organizacin
Aplica Pone valor
Controles Activos
Reduce
Enfrenta
Riesgo
Afecta
Vulnerabilida des
Explota
Genera
Agente de amenaza
Provoca
Amenazas
Desea apropiarse, abusar o daar
26/08/2011
35
Roles y Responsabilidades en SGSI
26/08/2011
36
Implementacin y Certificacin de un SGSI
26/08/2011
37
Consecuencias del Riesgo

ROI como Reduccin del Riesgo. ROI mide mejora esperada contra costo de la mejora. P.e. Reduccin en 50% de riesgos, frente a comprar un FW
Prdida de productividad
Horas hombre perdidas por una brecha de seguridad?. Equipos que no producen
Prdida de ventas por fuera de Sitio WEB fuera por un incidente de seguridad? Prdida de acceso a INTERNET? servicio Prdida de Datos Compromiso de Datos por divulgacin o modificacin Costos de reparacin Prdida de imagen
Restaurar datos de un backup puede ser muy costoso. Qu si se destruyen los backups? Planes estratgicos revelados, Informacin financiera sensible Se podra necesitar comprar un nuevo equipo Servicios de recuperacin de datos. Hacer noticia como vctimas de una brecha de seguridad. Fuga de clientes, etc
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011
38
Ejemplo de ataque: Phishing Ing. Social

De: Banco de Credito <banco_de_credito_bcp@bcp.com.pe> Fecha: 18 de agosto de 2011 13:14 Asunto: Estimado Cliente Verificacion Urgente Para: *********@gmail.com
Cliente de Banco de Credito Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a traves de Banca en la Red han sido realizados desde diferentes direcciones IP. Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta. Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros sistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011. Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo le recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya que no lo hacemos. De ante mano le agradecemos su cooperacion en este aspecto. Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar el siguiente enlace:
http://bcpzonasegura.viabcperu.in/bcp/
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011
39
Ejemplos posibles ataques a una red
26/08/2011
40
Preguntas?

Seguridad de La Información-Sesion 1-v1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Seguridad de La Información-Sesion 1-v1

Transféré par

Droits d'auteur :

Formats disponibles

SEGURIDAD DE LA INFORMACIN

Instituto de Ingeniera de Software - IISoft - UNI

Instituto de Ingeniera de Software - IISoft - UNI

Seguridad: Conceptos y definiciones

2. Certeza (conocimiento cierto y claro de algo).

Instituto de Ingeniera de Software - IISoft - UNI

Seguridad: Conceptos y definiciones

Qu est y Qu NO est permitido.

Requerimientos vs Necesidades Polticas vs Requerimientos Mecanismos vs Polticas

Instituto de Ingeniera de Software - IISoft - UNI

Seguridad, Conceptos y definiciones

Deja hacer acciones no permitidas

Deja hacer solo acciones permitidas

Instituto de Ingeniera de Software - IISoft - UNI

Seguridad de la Informacin vs Seguridad Informtica

Instituto de Ingeniera de Software - IISoft - UNI

Riesgo: Conceptos y definiciones

Instituto de Ingeniera de Software - IISoft - UNI

Riesgo: otras definiciones

ocurrencia de ciertas cosas tales

Posibilidad de que se produzca

Instituto de Ingeniera de Software - IISoft - UNI

Riesgos, Conceptos y definiciones

Tomado de: www.scienceinthebox.com/es_ES/safety/pic /risk_assessment.jpg jcpacheco@computer.org

Instituto de Ingeniera de Software - IISoft - UNI

Elementos del riesgo

Impacto como resultado del riesgo

Deficiencias en los procesos o en la gestin. (vulnerabili dades).

Instituto de Ingeniera de Software - IISoft - UNI

Consecuencias probables de un riesgo

Cundo y por cunto tiempo se dejar sentir el impacto

Instituto de Ingeniera de Software - IISoft - UNI

El Impacto del Riesgo El Riesgo es posibilidad de la destruccin de la casa

Instituto de Ingeniera de Software - IISoft - UNI

Relacin entre seguridad y riesgo

Instituto de Ingeniera de Software - IISoft - UNI

Modelo de gestin de la seguridad

Gestin (Del it. gesio).

3. m. Esquema terico, generalmente en forma matemtica, de un sistema o de una realidad compleja

Instituto de Ingeniera de Software - IISoft - UNI

Gestin de la seguridad: ISO27000

Instituto de Ingeniera de Software - IISoft - UNI

ISO27000: La Familia: Publicadas

Cdigo del estndar

Instituto de Ingeniera de Software - IISoft - UNI

ISO27000: La Familia: en Desarrollo

Cdigo del estndar

Instituto de Ingeniera de Software - IISoft - UNI

ISO27005: Gestin del Riesgo en SI

Establecimiento del Contexto

Evaluacin del Riesgo

Tratamiento del Riesgo

Monitoreo y Revisin del Riesgo

Comunicacin del riesgo y plan de tratamiento

Aceptacin del Riesgo

Instituto de Ingeniera de Software - IISoft - UNI

Gestin de la seguridad: ISO27001

Instituto de Ingeniera de Software - IISoft - UNI

ISO27000: en Cifras al 2009

Nro. Pases solicitantes

Instituto de Ingeniera de Software - IISoft - UNI

Gestin de la seguridad: SOGP del ISF

del Foro de Seguridad de Informacin (ISF) es una referencia prctica sobre