Normas de Seguridad de la Información

Seguridad en Redes

Ing. Jerdy Sotelo Marticorena

NORMAS DE SEGURIDAD EN TI

OBJETIVOS DEL CURSO• Desarrollar la terminología y los conceptos necesarios

para realizar una adecuada Gestión de la Seguridad de la Información.

• Desarrollar el conocimiento para diseñar, implementar, operar y mantener la seguridad de los diferentes componentes de una arquitectura TI.

• Comprender los principales modelos, normas y estándares de Seguridad de la Información.

• Conocer e implementar técnicas para gestionar los riesgos de Seguridad de la Información basados en normas y estándares internacionales.

CONTENIDO DEL DOMINIO• D1: Gobierno de Seguridad de la Información y Gestión de

Riesgos.

• D2: Seguridad de Operaciones.

• D3: Control de Accesos.

• D4: Diseño y Arquitectura de Seguridad.

• D5: Legislación, Regulación, Cumplimiento e Investigación.

• D6: Seguridad Física.

• D7: Seguridad de Aplicaciones.

• D8: Seguridad de Red y Telecomunicaciones.

• D9: Plan de Continuidad de Negocios y Recuperación de Desastres.

• D10: Criptografía.

PRESENTACIÓN DE LOS ALUMNOS

• Nombres.

• Nombre de la empresa (trabaja y/o práctica pre profesionales)

• Puesto.

• Experiencia en Seguridad de la Información.

• Conocimiento de GNU/Linux.

• Pasatiempos / Aficiones.

• Expectativas del curso.

INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD Y GESTIÓN DE RIESGOS

GESTIÓN CENTRALIZADA

Análisis de Riesgos y determinación de controles

Evaluación y MonitoreoImplementación de Políticas

y Controles

Promover la Concientización

CICLO DE VIDA DE LA INFORMACIÓN

1.

CLASIFICACIÓN

DESTRUCCIÓN

DISPOSICIÓN

3.

MIGRACIÓN

2.

ALMACENAMIENTO

Seguridad y Recuperación

Seguridad y Recuperación

Seguridad y Recuperación

Seguridad y Recuperación

SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA

Tecnología

ProcesosPersonas

LA SEGURIDAD INFORMÁTICA: Se refiere a laprotección de las infraestructuras de lastecnologías de la información y comunicación quesoportan nuestro negocio.

SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de informaciónfundamentales para el éxito de cualquier organización.

Que es la Seguridad de la Información (video)

CIA / CID – PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN

• Confidencialidad: Es la propiedad porla que la información, no se pone adisposición o se revela a individuos,entidades o procesos no autorizados.

• Integridad: Es la propiedad desalvaguardar la exactitud ycompletitud de los activos.

• Disponibilidad: Es la propiedad deser accesible y utilizable por unaentidad autorizada.

• Confidencialidad:• Mínimo privilegios.• Basado en la función del usuario• Se soporta en clasificación de información.• Cifrado de información.

• Integridad: • Cambios no autorizados, intencionales o accidentales.• Información almacenada en diversos medios• Información modificada solo por el personal y controles

autorizados.

• Disponibilidad: • Disponible y accesible por personal autorizado y cuando lo

necesiten.• Se ve afectada por ataques de DoS.• Pérdida o paralización de servicio por la presencia de incidente o

desastre.

OTROS ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN

Porqué es necesaria la Seguridad de la Información?

La información y los procesos que la apoyan, lossistemas y las redes son activos importantes para laorganización, por lo tanto, es esencial definir, realizar,mantener y mejorar la seguridad de la informaciónpara:

• Mantener la competitividad de la empresa.

• lograr el flujo de liquidez requerido.

• Lograr el cumplimiento legal de la normatividadvigente a nivel nacional.

Somos conscientes de nuestras debilidades?

• Internas o Externas.

OSSTM – MAPA DE SEGURIDAD

NOTA: LOS ATAQUES

INTERNOS REPRESENTAN UN 60% DE TOTAL DE ATAQUES

RECIBIDOS

AMENAZAS PARA LA SEGURIDAD

DE QUIEN DEBEMOS PROTEGERNOS: EXTERNAS

DE QUIEN DEBEMOS PROTEGERNOS: INTERNAS

Categorización de usuarios

OPERATIVIDAD VS SEGURIDAD

TERMINOLOGÍA Y CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN

Terminología en Seguridad de la Información

• Activos de información

• Amenaza

• Vulnerabilidad

• Riesgo

• Exposición

• Salvaguarda

• Impacto

• Activo: Recurso relacionado al sistema de informaciónnecesario para el funcionamiento correcto y para elcumplimiento de los objetivos de una organización.

• Amenaza: Cualquier evento que ocasione incidencias ,produciendo daños materiales o inmateriales sobre un activo deal organización.

• Vulnerabilidad: Es una posibilidad de ocurrencia de lamaterialización de una amenaza hacia la seguridad de laorganización.

• Riesgo: Es la posibilidad de que se produzca un impactodeterminado en la organización

• Exposición: Es un caso de exponer la organización o parte deella, a riesgos que causen daño posibles.

• Salvaguarda: Es un proceso que elimina o minimiza los riesgosde seguridad, desde antes que se active una vulnerabilidad.

• Impacto: Consecuencia de la materialización de una amenaza.

Activos de Información• Documentos en papel: Contratos, guías, etc.• Software: aplicativos y software de sistemas.• Dispositivos físicos: computadoras, medios removibles

(USB, DVD, etc).• Personas: clientes, personal, etc.• Imagen y reputación de la empresa: Marca, logotipo,

razón social.• Servicios: Comunicaciones, internet, energía.

ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible ointangible que genera, procesa o almacena información al cual unaorganización directamente le atribuye un valor y por tanto requiereuna adecuada protección y cuidado.

DOCUMENTOS

• En papel:

• Electrónico:

ACTIVOS DE SOFTWARE

• Sistemas

• Aplicaciones

• Herramientas y programas

ACTIVOS FÍSICOS

• Procesamiento

• Comunicación

• Medios de almacenamiento

• Otros

SERVICIOS (Terceros)

• Procesamiento y comunicaciones.

• Servicios generales.

• Otros proveedores.

FRECUENCIA MARCADO

UBICACIÓN

CUSTODIO VALORACIÓN

CLASIFICACIÓN

PROPIETARIO

USUARIOACTIVO DE

INFORMACIÓN

CLASIFICACIÓN DE LA INFORMACIÓN

Restringida

Confidencial

Interna

Pública

Ubicación (Física o Lógica)

• Lugares donde se almacena los Activos de información más importantes:

• Oficinas.

• Archivos.

• Centro de cómputo.

• Bóvedas.

• Custodio de información

(Proveedor).

PropietarioEl propietario de los activos debe ser responsable pordefinir apropiadamente la clasificación de seguridad ylos derechos de acceso a los activos y establecer lossistemas de control.

Ejemplo:

• Activo de información: Sistema Contabilidad.

• Propietario del activo: Gerente de Contabilidad y Finanzas.

• Custodio de la Base de Datos: Gerencia de TI.

• Derecho de propietario del activo: Empresa.

Amenazas• Potencial para causar un incidente indeseado que

puede resultar en daño al sistema, a la empresa o a sus activos.

• Puede ser accidental o intencional

• Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades:

• Desastres Naturales: Terremoto, incendio, etc.

• Humanas: Errores de mantenimiento, huelgas, etc

• Tecnológicas: Caída de Red, Sobretráfico, etc

Ingeniería Social

• Consiste en engañar a alguien para que entregueinformación o permita el acceso no autorizado odivulgación no autorizada, que usualmente nos daríaacceso a un sistema de información, aplicativo orecurso informático.

«EL ARTE DE ENGAÑAR A LAS PERSONAS»

Video de Ing. Social

SGSI(Sistema de Gestión de la Seguridad de la Información)

Sistema de Gestión de la Seguridad de la Información

SGSI son las siglas utilizadas para referirsea un Sistema de Gestión de la Seguridadde la Información, una herramienta degran utilidad y de importante ayuda para lagestión de las organizaciones. Además delconcepto central sobre el que se construyela norma ISO 27001.

ISO 27000

A semejanza de otras normas ISO, la

27000 es realmente una serie de

estándares. A continuación se

incorpora una relación con la serie de

normas ISO 27000 y una descripción

de las más significativas.

ISO 27001

• Esta norma es la definición delos procesos de gestión de laseguridad, por lo tanto, es unaespecificación para un SGSI y, eneste momento, es la única normaCertificable, dentro de lafamilia ISO 27000.

ISO 27002• La ISO 27002 viene a ser un código de buenas

prácticas en el que se recoge un catálogo de loscontroles de seguridad y una guía para la implantaciónde un SGSI.

• Se compone de 11 dominios, 39 objetivos de seguridady 133 controles de seguridad.

• Cada uno de los dominios conforma un capítulo de lanorma y se centra en un determinado aspecto de laseguridad de la información.

Distribución de los dominios de la Norma ISO 27002

ISO 27002 (documentación)La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.

GESTIÓN DE RIESGOS

Requerimientos del Negocio

• Los modelos de seguridad deben adaptarse a las necesidades y objetivos de las organizaciones.

• No es posible aplicar un mismo modelo de seguridad para organizaciones de diferentes rubros.

Requerimientos del Negocio

• En una organizaciónprivada los servicios dedisponibilidad eintegridad de lainformación, cobranmayor valor que laconfidencialidad, ya quesus objetivos, apuntanhacía la competencia enmarketing y ventas.

• En una organización militar,el servicio deconfidencialidad cobramayor valor que ladisponibilidad e integridadde la información, ya queadministra informacióncrítica que NO PUEDE NIDEBE tener accesosdesautorizados.

Introducción al Análisis de Riesgos

• Es necesario recordar que:

• No existe SEGURIDAD AL 100%.

• No existe 0% de Riesgos.

• Ningún control es infalible.

• Cada organización tiene vulnerabilidades y riesgos diferentes.

• Los riesgos no se puede eliminar pero si darle un tratamiento

Análisis de Riesgos Métodos para analizar los riesgos:

• Cuantitativo.

• Cualitativo.

Existen algunas metodologías para el análisis y gestión de riesgos:

Magerit

Octave

ISO 27005

RISK IT

ISO 31000

AS/NZS 4360

Que persigue con el Análisis de Riesgos

• Identificar y clasificar los activos críticos de la organización.

• Determinar a que amenazas están expuestas.

• Determinar que salvaguardas existen y cuan eficaces son frente al riesgo.

• Estimar el impacto.

• Estimar el riesgo.

1. Inventariar 2. Análisis

4. Tratamiento 3. Evaluación

Basado en la Norma ISO

27005

Ciclo del Análisis y Evaluación de Riesgos

Proceso de evaluación del Riesgo

Nivel de Riesgo Aceptable• Es el Riesgo que queda en la organización

luego de implementar controles.

• Cuando el nivel de Riesgo que queda se asume y acepta, entonces podemos decir que tenemos un Riesgo Residual.

• Siempre existirán Riesgos Residual.

• ¿Cuál es el nivel de Riesgo Residual aceptable en su organización?

- La alta dirección debe decidir.

OPCIONES PARA EL TRATAMIENTO DE LOS RIESGOS

Tratando los Riesgos de Seguridad

• Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no, los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización.

Tratando los Riesgos de Seguridad

Posibles opciones para el tratamiento del riesgo incluye:

a) Aplicar controles apropiados para reducir el riesgo.

b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización.

c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran.

d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.

Dirección de Tratamiento del Riesgo

Opciones:

• ACEPTAR el riesgo efectivo.

• TRANSFERIR el Riesgo.

• REDUCIR el Riesgo a un nivel aceptado.

• EVITAR Riesgos.

Aceptando el Riesgo

CONDICIONES:

• La organización no encuentra controles para mitigar el riesgo efectivo.

• La implementación de controles tiene un costo superior que las consecuencias del riesgo.

• Cuando las organizaciones toman está decisión de aceptar el riesgo, se debe documentar y definir con precisión el criterio utilizado para la aceptación del riesgo.

Transferir el Riesgo

CONDICIONES:

• Cuando para la organización es difícil reducir o controlar el riesgo a un nivel aceptable.

• La alternativa de trasferir el riesgo a una tercera parte es más económica ante estas circunstancias.

• Las transferencia del riesgo no elimina el riesgo residual.

Reducir el Riesgo

CONDICIONES:

• Se debe reducir el riesgo al nivel que se haya definido como riesgo aceptable.

• Los controles a implementar pueden reducir el riesgo estimado en dos maneras:

Reduciendo la probabilidad de ocurrencia de la amena.

Minimizando el impacto que podría causar si el riesgo logra ocurrir sobre el activo.

Evitar el Riesgo

GENERALIDADES:

• Cualquier acción o control propuesto que permita cambiar el rumbo de las actividades, para así evitar la presencia del riesgo.

• El riesgo se puede evitar por medio de:

• No continuar desarrollando una actividad en particular.

• Trasladar nuestros activos a otro lugar o área segura.

• Decidir no procesar cierta información considerada muy sensitiva.

Resultados del Análisis de Riesgos

• Asignación de valores monetarios a los activos.

• Lista de todos los posibles y potenciales amenazas.

• Probabilidad de cantidad de ocurrencias por cada amenaza.

• Potencial que la organización pueda aguantar en un lapso de 12 meses, frente a la amenaza.

• Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.

Inventario de Activos

• Relación de todos los activos importantes.

• Cada activo debe tener un propietario y custodio (responsabilidades definidas)

• Los activos se identifican, no se inventan.

Seguridad de Redes

Ing. Jerdy Sotelo Marticorena