SESION 3: Seguridad de la

Información
 AGENDA
■ Auditoría de la Seguridad informática
– Concepto e Importancia
– Administración de la Seguridad
– Seguridad Física
– Seguridad Lógica
■ Visión Global del Enfoque de Seguridad
■ Qué es Seguridad de Información
■ El Porqué de la Seguridad de la Información
■ Establecimiento de Requerimientos de Seguridad
■ Evaluación de Riesgos
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Informática:
Es la estructura establecida para administrar la
integridad, confidencialidad y disponibilidad
de los sistemas de información, datos y recursos
T.I. utilizados.
Actualmente se trabaja el concepto de
Seguridad Integral para contrarrestar el riesgo
de afectar la Continuidad del Negocio.
 Seguridad de la Información
Prevenir
Información Divulgación no autorizada de
Activos de Información

Confidencialidad
Escrita
Digital

Transmitida

Prevenir Prevenir
Cambios no autorizados en Información Destrucción no autorizada de
Activos de Información Activos de Información

Integridad Disponibilidad
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Importancia de la Seguridad
Informática:
Sustenta la viabilidad de todos los
procesos automatizados, inclusive el de la
misma empresa.
Equipos, sistemas y datos deben ser
valorizados y registrados como activos
para que se pueda dimensionar cualquier
eventualidad que los afecte.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Los datos deben ser valorizados por las
siguientes razones:
■ Importancia estratégica de los datos: Los SI
contienen datos de importancia estratégica
que por su contenido y valor garantizan la
ventaja competitiva de la organización
Estos datos sustentan la toma de decisiones,
sean estas financieras u operativas
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
■Confidencialidad de los datos: Pertenecen a la
organización y pueden tener requerimiento
legal
■Expectativa de clientes, proveedores,....:
Mantener la confianza en el manejo de su
información
■Requerimientos externos: Leyes, Normas y
estándares (p.e.: Transferencia de fondos -
EFT, intercambio electrónico de datos - EDI)
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Clasificación de los datos: en función de
su seguridad, facilita su tratamiento a
los usuarios y dueños de la información
■ Razones de clasificación

Eficiencia
Implicancia Legal
Costos
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Criterios de clasificación:

Sensibles a la destrucción
Sensibles a la modificación
Sensibles a la intromisión
■ Categorías de clasificación: Niveles
(jerarquías), categorías (agrupaciones
independientes) y mixtas
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Determinación de responsabilidades
entre los usuarios propietarios de los
datos
■ Criterios de acceso: de lectura, borrado,
modificación/cambios, combinación de
fuentes separadas, ejecución de versión
compilada
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■Políticas operacionales: relativas al:

Personal: contrato de trabajo, beneficios,

trato al personal, remuneración
Conectividad entre empresas
Datos compartidos
Violación de la seguridad
Pistas de auditoría
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Organización y recursos:

Cartilla de seguridad: alcance, autoridad,

objetivos y responsabilidades
Organización establecida: ubicación para
mantener nivel de independencia, definir
función centralizada o descentralizada
Asignar personal: nivel de staff, calificaciones,
entrenamiento
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Administración de los procedimientos de
seguridad:
Diseño de la estructura de seguridad: refleja
los asignamientos a los datos y recursos en
función de la organización
Creación y desactivación de usuarios: sistema
de acceso estandarizado, asignamiento y
revocación, identificación del user ID que
está inactivo y del que realiza una cantidad
inusual de actividad
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
Controlar el acceso a los datos y otros recursos:
procedimiento estandarizado de requerimiento
de cambios y asignamiento o revocación de
accesos a datos y recursos específicos
Reporte y monitoreo: procedimiento de reporte
de ocurrencias (intentos de violación de
seguridad, logon inválidos, accesos a datos y
recursos con privilegio de usuarios,
modificaciones hechas por el personal de
seguridad)
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Física:
Control básico de una instalación informática.
Los puntos de mayor vulnerabilidad son:
■Acceso Físico: se clasifica al personal
autorizado a ingresar al ambiente de máquinas
de acuerdo a la tarea que realizará y el tiempo
que le dedicará. También se establece el
procedimiento de acceso de los visitantes.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Física:
■Peligros del ambiente: se refiere a la
amenazas naturales como terremotos
incluyendo disturbios civiles y
terrorismo.
■Protección contra el fuego e
inundaciones: son las causas mas
comunes de pérdidas de las instalaciones
IS en el mundo.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA

Seguridad Lógica
Son los controles del software que
permiten identificar individualmente a
los usuarios, limitar los accesos y
establecer pistas de la actividad del
sistema y de los usuarios en el sistema
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
■ Caminos de Acceso - Rutas:

Punto vital de la seguridad. Requiere

clasificar al software para establecer los
ingresos (Puntos de control) a las
operaciones del sistema y cubrir el libre
acceso a programas y datos.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
■ Identificación de usuarios y
autenticación: Este control es cada vez mas
utilizado por las acciones delictivas que debe
prevenir.
El proceso de identificación permite
distinguir a un usuario de los otros y la
autenticación permite reconocer al individuo
que está efectuando la operación como el
autorizado a hacerlo.
 Herramientas de Autenticación de una persona

Posesión Conocimiento Característica

Manual
Ticket Información s
biográfica Físicas
Llave
Cuenta de ahorros Voz telefónica
Brevete
PIN (ATM) Firma
Pasaporte
Código clave Huella digital
Automatizado Tarjeta del
Banco Password Foto
Tarjeta de Biométricas
Acceso

Las herramientas se han clasificado de acuerdo a 3 métodos básicos y

pueden combinarse para dar mayor nivel de seguridad
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
■Identificación de usuarios y
autenticación: Este control es cada vez
mas utilizado por las acciones delictivas
que debe prevenir.
■Control de Acceso al Software
■Seguridad en las PC’s
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
■Control de Acceso al Software

Se realiza al instalar el software (define la

protección de los recursos, los ID’s y los
passwords) y se crean las tablas de
seguridad (pueden ser encriptadas). Cada
usuario tiene accesos limitados y los
recursos tienen niveles de protección.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
Consideraciones adicionales:
Telecomunicaciones: control de invocación de
programas, transmisión completa de las
transacciones, restricción de uso de funciones,
accesos restringidos.
Monitores de teleproceso: acceso restringido,
activan aplicaciones completas y mantienen un
registro de las claves inválidas.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
Administración de librerías: generalmente los
mismos software controlan el acceso y llevan el
registro de la actividad realizada en logs. Los
procedimientos a seguir deben estar
documentados y al alcance del administrador.
Administración de la Base de datos: el sistema
debe identificar al usuario y a la sesión.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
Asimismo debe haber control de la obtención de
respaldos y de su administración.
Procedimiento de restore, reorganización,
estadísticas, listas de chequeo interno.
Utilitarios: usuarios con privilegios
Sistemas Operativos: debe customizarse para el
uso de Exits, los programadores deben ser
seleccionados, uso de ID y passwords, límite de
accesos, logs.
 AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
■ Seguridad en las PC’s:

Independientes: protegerla contra robos, uso de

mecanismos de seguridad física, password de
acceso al uso del equipo, controlar uso de
software pirata, protegerla contra virus,..
En red: controles anteriores, más control de
acceso a transmisión de datos y recepción.
 Análisis de Riesgos
Análisis de Impacto
Evaluación de
Riesgos Visión Global del
Análisis de Necesidades
Enfoque de Seguridad
Interpretación y Clasificación de Riesgos
Identificación y Estimación de acciones para:
Elaboración de •Actividades Preventivas
Planes •Actividades Correctivas
•Actividades para la Reanudación y Continuidad
del negocio

1-8 9
Plan de Plan de
Seguridad Plan de Continuidad
de la Contingencias del
Información Negocio

•Identificación y Selección de
•Respuestas inmediatas ante eventos •Inventario de Procesos del
los Mejores Mecanismos de
que originen pérdida de datos o Negocio.
Seguridad
interrupción de las operaciones. •Identificación de Procesos
•Especificaciones de los
•Especificaciones del Plan de Acción a Críticos
Mecanismos de seguridad a
tomar de acuerdo al tipo de evento: •Especificaciones de los
Implantar.
•Planificación del proceso de Grupos de Trabajo y responsabilidades, mecanismos de Acción a
definición de Recursos, niveles de seguir para la continuidad
Implantación
Contingencia, escenarios de •Plan de Recuperación de los
•Concientización del personal
Contingencia. Activación de la estados de Seguridad
en la Seguridad.
Contingencia.
Revisión de Revisión del
la Estrategia 10 Plan Actual

Mejora
Continua
Revisión de
Pruebas del
Programas
Plan Actual
El Porqué de la Seguridad de la Información
Preocupación por Seguridad : en primer nivel

Riesgo y exposiciones a riesgos se están incrementando:

• Mas del 40 % de empresas encuestadas (2001) detectaron que sus
sistemas fueron penetrados desde el exterior
• Casi un 85 % detectaron “rupturas de su seguridad”
• 90 % de organizaciones fueron infectadas por virus (> 85% con Antivirus)
• Empresas que sufrieron ataques a sus Web sites se duplicaron (2000 a 2001)
Preocupación de usuarios por “privacía” afectan negocios en línea
• Mas del 36 % de consumidores en línea declararon que comprarían mas
si no tuvieran preocupaciones por la privacidad de sus datos
• 34 % que no compran en línea declararon que lo harían si no tuvieran
preocupación por su privacía
Noticias al respecto
• Historias de virus en primeras planas
• Preocupaciones sobre privacidad regularmente publicadas
El Porqué de la Seguridad de la Información
ANTES Proceso de
Separación entre TI y Proc. Negocio Negocio
SEGURIDAD COMPRADA (componente)

Consumidor Organización TI
TI
SD

PROLIA NT 8000

ESC

SD

RIESGO
DLT

Building 2

AHORA
Proceso de
Convergencia de TI y Proc. Negocio
Negocio
Negocios interorganizacionales (B2B; B2C)
TI
Modelos e-Business
SEGURIDAD COMO NECESIDAD AMPLIA DE LA EMPRESA
Necesidad de >
Análisis de Riesgos y Continuidad de Negocio
Mayor necesidad de entrenamiento de personal TI en Prácticas de Seguridad •Confianza
ESGO RI •Privacía
Consumidor TI
PROLIANT
8000
SD

Organización •Seguridad
ESC

SD

DLT

Building 2
Establecimiento de Requerimientos de Seguridad
ORIGENES PRINCIPALES:

1.- Evaluación de Riesgos = Identificar amenazas

+ Evaluar vulnerabilidades
+ Estimar impacto potencial

2.- Requerimientos Legales, regulatorios y contractuales

3.- Principios, objetivos y requerimientos específicos desarrollados
por la empresa de acuerdo a su Cultura Organizacional

4.- Incidente de seguridad

5.- Lecturas, o intuición de que algo está mal

 Evaluación de Riesgos......
....es la consideración sistemática de:
1.- Identificar el daño que pueda ocurrirle a la empresa en
caso
de vulnerarse su seguridad
2.- Probabilidad real que esta falla ocurra
NECESIDAD de invertir en forma balanceada en controles
y contramedidas para protegerse de estos riesgos

AMENAZA: circunstancia o VULNERABILIDAD: debilidad

evento con el potencial de en un sistema de información
causar daño o interrupción al que podría ser explotada
servicio
PROBABILIDAD: que una
amenaza particular pueda
explotar una vulnerabilidad
 Evaluación de Riesgos......
Se requiere seleccionar e implementar cuidadosamente una
contramedida apropiada y de costo-efectivo que reduzca el
nivel de riesgo

Contramedida= acción, dispositivo, procedimiento,

técnica u otra medida que reduzca la vulnerabilidad o
amenaza a un sistema

REDUCIR VULNERABILIDAD
REDUCIR AMENAZA
COSTO-EFECTIVO
 Proceso de Evaluación de Riesgos
Los 7 pasos:
1.- Identificar Activos
2.- Evaluar Amenazas (internas y externas)
3.- Evaluar Vulnerabilidades (Aplicaciones, BD, Red, Sw.
Base, Procesos)
4.- Determinar Impacto
5.- Evaluar Riesgos
6.- Seleccionar contramedidas
7.- Documento de Riesgo Residual
 Proceso de Evaluación de Riesgos
Enfoques para evaluar riesgos:
1.- Cuantitativo: objetivo, basado en datos y fórmulas e
intensivo en tiempo y recursos
2.- Cualitativo: subjetivo, basado en experiencia y de
menor esfuerzo
Selección de controles: “basados en costo de
implementación en relación a riesgos a ser reducidos y a
pérdidas potenciales si ocurriera una ruptura a la
seguridad
LAS MEJORES PRACTICAS:
1.- Elaborar documento de políticas de seguridad
2.- Asignar responsabilidades en seguridad de información
3.- Entrenamiento al personal sobre conciencia en la seguridad
4.- Reportes y respuestas a incidentes de seguridad
5.- Gestión de Continuidad del negocio
 CASO a desarrollar
• Grupos de 3 o 4
• Seleccionar la empresa objetivo (de uno de los participantes)
• Definir el problema o problemas de seguridad
(B2B, B2C, e-Business, etc)
• Evaluación del riesgo

Control de Avance 14/05/03

Sustentación 9/07/03