Curso de especializacinGestin, Seguridad y Auditora de las
Tecnologas dede las Tecnologas de InformacinMdulo: Seguridad de la
InformacinAgenda del mdulo (I) Sesin 1: Introduccin a la Seguridad
de la informacin. Sesin 2: Polticas de seguridad y Gestin del
riesgo Taller 1: Polticas de seguridad Taller 1: Polticas de
seguridad Sesin 3: Estndares y Normativa en Seguridad de la
informacin Taller 2: Anlisis de riesgos Sesin 4: Dominios de la
Seguridad de la informacin (I)2Agenda del mdulo (II) Sesin 5:
Dominios de la Seguridad de la informacin (II) Sesin 6: Dominios de
la Seguridad de la informacin (III) Taller 3: Dominios de la
Seguridad de la Taller 3: Dominios de la Seguridad de la informacin
Sesin 7: Respuesta ante incidentes de seguridad Taller 4: Respuesta
ante incidentes de seguridad Sesin 8: Programa de Seguridad de la
informacin3Introduccin a la Seguridad de la Informacin de la
InformacinSesin 1Conceptos bsicos A fin de conocer y comprender los
conceptosfundamentales sobre seguridad de lainformacin, su
administracin y gobierno dentrode una organizacin, as como los
elementos yel planteamiento de una estrategia revisaremos el
planteamiento de una estrategia revisaremosuna serie de conceptos
relacionados a ella.Agenda de la sesin (I) La Seguridad de la
informacin Conceptos bsicos Arquitectura de la Seguridad de la
informacin Componentes de la ASI Gobierno de la Seguridad de la
informacin Gobierno de la Seguridad de la informacin6La seguridad
(I) Hace unos aos asist a un curso de seguridaddel que, si algo
aprend, fue una frase muyclarificadora respecto de la seguridad:
Laseguridad no es un producto, es un proceso Y es un proceso
continuo!!!) Y es un proceso continuo!!!) Muchas veces, decimos que
el software X esseguro o que el protocolo Y es seguro,siendo que lo
correcto sera decir que talsistema ofrece tal o cual mecanismo
quepermite asegurar la seguridad en tal o
cualsentido.http://es.tldp.org/Tutoriales/doc-ssh-intro/intro-ssh/node3.htmlLa
seguridad (II) Es asombroso ver en la actualidad a supuestos
expertos en seguridad que venden soluciones mgicas (seguridad en
cajas). Para que un sistema sea considerado seguro Para que un
sistema sea considerado seguro en determinado grado, deben
definirse, respetarse y revisarse continuamente polticas y
procedimientos tendientes a lograr ese objetivo.Qu es la seguridad?
Podemos entender como seguridad un estadode cualquier sistema
(informtico no) que nos indica que ese sistema est libre de
peligro, dao riesgo. Se entiende como peligro o dao todo aquello
que pueda afectar su funcionamiento directo los resultados que se
obtienen del mismo.Informacin La informacin puede definirse como
"datos quetienen significado y propsito". La informacin se ha
convertido en uncomponente indispensable de la conduccin del
componente indispensable de la conduccin delnegocio. En un
creciente nmero de compaas, lainformacin es el negocio. El software
puede considerarse comoinformacin para computadoras sobre cmooperar
procesar algo.Activo de informacin Recurso del sistema de
informacin orelacionado con ste, necesario para que laorganizacin
funcione correctamente y alcancelos objetivos propuestos.Relacin
entre la Seguridad de la informacin y la Seguridad de TI La
seguridad de TI trata la seguridad de latecnologa y, por lo
general, se maneja desde elnivel del director de informacin (CIO).
La seguridad de la informacin abarca la La seguridad de la
informacin abarca latotalidad de riesgos, beneficios y procesos
queestn relacionados con la informacin y debeser impulsada por la
direccin ejecutiva yrespaldada por el consejo de direccinRelacin
entre la Seguridad de la informacin y la Seguridad de TISeguridad
de la informacin Seguridad de TIEs una funcin de negocio Es una
funcin tcnicaInstaura las polticas de seguridad y elementos de
control en materia de seguridad de informacinIncorpora trata a los
sistemas de informacin y telecomunicacionesSe encarga de los
aspectos fsico, lgico y legal de la seguridad de informacin de la
empresaAsegura que los sistemas carezcan de riesgos
perniciososBusca garantizar la trada CIA,la autenticidad,
auditabilidad y no repudio de la informacinGarantiza que los
sistemas y sus activos de informacin asociados se empleen para lo
que fueron concebidosLa Seguridad Informtica (I) La Seguridad
Informtica generalmenteconsiste en asegurar que los recursos
delSistema de Informacin (material informtico programas) de una
organizacin sean utilizadosde la manera que se decidi y que la de
la manera que se decidi y que lainformacin que se considera
importante no seafcil de acceder por cualquier persona que nose
encuentre acreditada .14La Seguridad Informtica (II) Para la mayora
de los expertos el conceptoexpertos el concepto de seguridad en la
informtica es utpico porque no existe un sistema 100% seguro.
15Elementos de la seguridad16 Confidenciality (Confidencialidad)
Integrity (Integridad)La Trada CIA Integrity (Integridad)
Availability (Disponibilidad)17Confidencialidad,(Confidenciality)
Consiste en que la informacin sea vista,manejada y/o difundida por
los dueos de lainformacin las personas que estos hayanautorizado
para realizar dichas actividades. De lograrse la confidencialidad,
se garantizaque la informacin llegar tambin slo apersonas
autorizadas.Ejemplos de Confidencialidad La contrasea a nivel de
administrador de unservidor corporativo Un plan de marketing La
planilla de la organizacin La planilla de la organizacin Informacin
de RRHH Informacin mdica de carcter personalIntegridad, (Integrity)
La integridad consiste en que la informacin seacreada y/o
modificada solo por los dueos dela informacin las personas que
estos hayanautorizado para realizar dichas actividades. De lograrse
la integridad, se garantiza que lainformacin ser generada y/o
modificada slopor personas autorizadas.Ejemplos de Integridad Una
transaccin financiera (ATM) Un registro de notas Un registro de BD
Una orden de compra Una orden de compra Una
declaracinDisponibilidad (Availability) Esta caracterstica se
refiere a que lainformacin debe estar disponible y pueda
serutilizada cuando se la necesite. El concepto de disponibilidad
se extiende a los El concepto de disponibilidad se extiende a
lossistemas y activos de informacin de laorganizacin. Al lograrse
asegurar la disponibilidad, segarantiza que los servicios ofrecidos
por elnegocio operarn y podrn ser empleadoscuando sea
preciso.Ejemplos de Disponibilidad El servicio de correo electrnico
Los datos almacenados en un disco duro Una impresora de lnea La
central telefnica privada La central telefnica privada El
suministro de energa comercialAmenaza (a) Es un evento que pueden
desencadenar unincidente en la organizacin, produciendo
daosmateriales o prdidas inmateriales en susactivos.Mejores
Herramientas (Hacking) =Mayor incremento de amenazas...25Gestin
Integral de las AmenazasHoax26Vulnerabilidad (a) Posibilidad de
ocurrencia de la materializacinde una amenaza sobre un Activo
deinformacin.Infraestructura de RedFirewallWeb
ServerRouterServersNetworkQu puede ser Vulnerable?E-Mail
ServerClients & WorkstationsNetwork28ApplicationsE-CommerceWeb
ServerSAP PeoplesoftFirewallQu puede ser Vulnerable?E-Mail
ServerWeb Browsers29Bases de DatosOracleMicrosoftSQL ServerSybaseQu
puede ser Vulnerable?30Sistemas OperativosSolaris Windows XP
HP-UXQu puede ser Vulnerable?LinuxWindows 2K &
2K3Solaris31NetworksTCP/IPQu puede ser
Vulnerable?TCP/IPNetware32... Y las vulnerabilidades se
Incrementanhttp://www-935.ibm.com/services/us/iss/xforce/trendreports/33Ataque
Evento, exitoso no, que atenta sobre el buenfuncionamiento del
sistema. Intento, exitoso no, de vulnerar un control deseguridad
del sistema. seguridad del sistema.Desastre Contingencia
Interrupcin de la capacidad de acceso a informacin y procesamiento
de la misma a travs de computadoras necesarias para la operacin
normal de un negocioImpacto Consecuencia de la materializacin de
una amenaza. Puede ser de carcter tangible intangible. Puede estar
limitado a un activo, un sistema, un Puede estar limitado a un
activo, un sistema, un entorno operativo abarcar la organizacin y
comprometer el negocio (BIA, Business ImpactAnalysis). Impacto de
las infracciones de seguridadPrdida de ingresos Reputacin
daadaPrdida de datos o riesgo de los mismosDao a la confianza de
los inversionistasPrdida de datos o riesgo de los mismosDao a la
confianza de los inversionistasConsecuencias legalesInterrupcin de
los procesos empresarialesDao a la confianza de los clientes37Cules
son las Consecuencias?38No Repudio Se logra la capacidad de No
Repudio (Norechazo de una transaccin) cuando sedespliegan mecanismo
internos externos quepermiten asignar de manera inequvoca laautora
de una transaccin/operacin a autora de una transaccin/operacin
adeterminada persona Usualmente implica mecanismos
deautenticacinAutenticacin Es el proceso de validar verificar que
alguien es quien dice ser Puede emplear diversas estrategias de un
factor multifactor: multifactor: Algo que sabe Algo que tiene Algo
que es Cmo efecta determinada accin? Etc.Autorizacin Una vez que se
ha autenticado a un usuario, se pasa a asignar permisos para el
acceso a los recursos y para determinar el nivel de operaciones que
puede llevarse a cabo. La asignacin de permisos puede ser bastante
complicada por la cantidad de usuarios de sistemas en operacin
Suele emplearse sistemas de manejo de identidad para mejorar la
autenticacin y la autorizacinTrazabilidad Es la capacidad de poder
establecer con un nivel de confianza la procedencia, realizacin
autora de una transaccin/operacin en determinado sistema Requiere
el despliegue de mecanismos de registro de actividad, bitcoras,
etc. A fin de ser aceptable por terceros, debera ser de carcter
automtico, de difcil manipulacinRiesgo El Riesgo es la exposicin a
una posible prdida dao. En la Seguridad de la Informacin, el riesgo
esque la informacin de su compaa sea presa que la informacin de su
compaa sea presade fuerzas externas y cause a su compaaprdidas en
trminos de tiempo, dinero yreputacin.Ejemplo de riesgos Robo de un
computador porttil Prdida de un USB Olvido de documentacin
confidencial Incendio en las instalaciones de la organizacin
Incendio en las instalaciones de la organizacin SabotajeAmenaza (b)
Una Amenaza, para Seguridad de laInformacin, es cualquier
actividad, agente entidad que represente un posible peligro parasu
informacin. Las amenazas pueden tomar diversas formas,pero una
amenaza constituye un peligro para latrada C-I-A.Ejemplo de amenaza
Un ladrn a la caza de laptops La terminacin de un
empleadoVulnerabilidad (b) Una Vulnerabilidad es una debilidad en
la seguridad de su informacin que podra ser explotada por una
amenaza; esto es, una debilidad en la seguridad de su red,
sistemas, procesos y/o procedimientos. procesos y/o
procedimientos.Ejemplo de vulnerabilidad Un programa con buffer
overrun Una contrasea tpica Un sistema operativo que no ha sido
parchado Un antivirus con firmas desactualizadas Un antivirus con
firmas desactualizadas Un Access point instalado por un
empleadoAmenazaConcurrencia de los conceptos
(I)RecursoVulnerabilidad49Tcnicas demitigacinConcurrencia de los
conceptos (II)50Responsabilidad del Gerente/Oficial de seguridad de
la informacin La Informacin de su compaa es valiosa, ytiene que
estar disponible, donde y cuando searequerida, para ser usada por
el personalautorizado. Como Gerentes/Oficiales de Seguridad,NUESTRO
trabajo es minimizar lasposibilidades de que la trada C-I-A
colapse.Arquitectura de la Seguridad de la Informacin Seguridad de
la InformacinPorqu hablar de la Arquitectura de la Seguridad de la
Informacin? Es necesario trabajar este concepto ya que a travs de l
se alcanza la comprensin de la necesidad de un plan integrado de
Seguridad de la Informacin as como los requerimientos del mismo.
mismo.Elementos de la Arquitectura de la Seguridad de la
Informacin1) Organizacin de la seguridad / Infraestructura2)
Polticas, estndares y procedimientos de la seguridad3) Lnea base de
la seguridad / Evaluacin de3) Lnea base de la seguridad / Evaluacin
de riesgos4) Programas de concientizacin y entrenamiento en
seguridad5) CumplimientoArquitectura de la Seguridad de la
Informacin (componentes)Organizacin de la seguridad /
Infraestructura Dentro del negocio debe haber una organizacin con
la responsabilidad de la administracin de la seguridad de la
informacin En lo ms alto, el comit directivo de la En lo ms alto,
el comit directivo de la seguridad de la informacin, responsible de
proveer direccin estratgica y recursos para los componentes
necesarios de la ASILa organizacin de la seguridad El equipo que
participa en la funcin deseguridad depender de varios factores:
Tamao de la empresa Entorno (centralizado vs. distribuido)
Estructura organizacional y administrativa Cmo estn interconectadas
las sedes? Riesgo evaluado Plan estratgico de TI Presupuesto de
TIUbicacin del Gerente/Oficial de seguridad (tpica)Madurez de la
organizacin de la seguridad (I) La funcin principal del
Gerente/Oficial deseguridad no es llevar a cabo
funcionesrelacionadas a la seguridad, sino asegurar quelos
esfuerzos de seguridad sean coordinados;que las polticas,
procedimientos y estndares que las polticas, procedimientos y
estndaressean desarrollados y seguidos; y que elprograma de
seguridad sea implementadoefectivamente y actualizado de acuerdo a
loscambios en el entorno de procesamiento ynegocioMadurez de la
organizacin de la seguridad (II) El Gerente/Oficial de seguridad
debe reportar ala administracin de nivel ejecutivo (miembro
delcomit directivo de la seguridad de lainformacin Cuando la
arquitectura de seguridad de lainformacin ha madurado a travs de
variosciclos de evaluacin, mitigacin, auditora ycumplimiento
efectivo, el rol de Gerente/Oficialde seguridad debe ser retirado
del rea de SI/TIy reportar directamente al presidente, CEO, Junta
de directoresUbicacin del Gerente/Oficial de seguridad (con
madurez)Polticas, estndares y procedimientos de la seguridad Se
tiene que discutir los requerimientos,desarrollo implementacin de
polticas,estndares y procedimientos de seguridadQu es una Poltica?
Una poltica se disea para informar a todos losindividuos que operan
en una organizacincmo deben comportarse con respecto a untpico
especfico, cul es la posicin de ladireccin ejecutiva con respecto a
ese tpico, y direccin ejecutiva con respecto a ese tpico, yqu
acciones especficas est preparada paratomar la organizacin en
relacin a dicho tpico Responden a las preguntas Quin?, Qu?
yPorqu?Qu es un Estndar? Un estndar consiste en un conjunto de
reglas,procedimientos convenciones que sonacordados y aceptados por
varias partes a finde operar ms uniformemente y efectivamente. Los
estndares establecen un nivel deexpectativa que debe ser alcanzado
superadopara cumplir con nuestras obligaciones
yresponsabilidades.Diferencia entre una poltica y un estndarQu es
un Procedimiento? Los procedimientos son planes, procesos
operaciones que tratan el detalle de cmo llevara cabo una accin
particular. Permiten la transferencia de conocimiento entre
Permiten la transferencia de conocimiento entreindividuos que
realizan el mismo trabajo, quereemplazan a otros en perodos de
ausencia, permiten una transmisin ms suave ycontrolado durante
cambios permanentes delstaff. Responden las preguntas Dnde?,
Cundo?y Cmo?Lnea base de la seguridad / Evaluacin de riesgos Para
comprender el nivel de riesgo que existeen un ambiente operativo,
se deben llevar acabo evaluaciones peridicas de riesgo. Tanto
vulnerabilidades como agujeros de Tanto vulnerabilidades como
agujeros deseguridad y puertas traseras son
descubiertasfrecuentemente. Cuando se implementa un nuevo sistema
sedebe hacer una evaluacin preliminar,denominada lnea base de
seguridad. Estabrinda un punto de medida para los cambios
enconfiguracin y mejoras del sistema.Programas de concientizacin y
entrenamiento en seguridad La concientizacin y el entrenamiento
sonquizs los elementos ms significativos en unprograma de seguridad
de la informacin. Estn diseados para ayudar a reducir el riesgo
Estn diseados para ayudar a reducir el riesgode prdida de propiedad
intelectual y recursosde procesamiento. La responsabilidad de
proteger estos recursoses transferida a cada individuo de
laorganizacin a travs de estos programas. Deben abarcar varios
frentes y ser consistentescon la cultura organizacional ( y ser
divertidos!!!)Cumplimiento El cumplimiento mide el grado en el cual
laspolticas, estndares y procedimientos definidosestn siendo
seguidos. El cumplimiento incluye la auditora, monitoreo El
cumplimiento incluye la auditora, monitoreo investigacin en
diferentes niveles de laorganizacin. Ayuda a verificar que los
controles preventivos ydetectores estn en su lugar y que estn
siendoempleados efectivamente.Arquitectura de la Seguridad de la
Informacin (integracin)Gobierno de la Seguridad de la Informacin de
la InformacinGobierno "El conjunto de responsabilidades y prcticas,
ejercidas por el consejo de direccin y la direccin ejecutiva, con
la finalidad de brindar una direccin estratgica, garantizar que se
logren los objetivos, determinar que los riesgoslogren los
objetivos, determinar que los riesgos se administran de forma
apropiada y verificar que los recursos de la empresa se utilizan
con responsabilidad."Porqu hablar del gobierno de la Seguridad de
la informacin El objetivo es garantizar que el Gerente/Oficialde
seguridad de la informacin comprenda losamplios requerimientos para
un gobiernoefectivo de la seguridad de la informacin, ascomo los
elementos y las acciones que se como los elementos y las acciones
que serequieren para desarrollar una estrategia deseguridad de la
informacin y un plan de accinpara implementarla.Relacin entre la
Seguridad de la informacin y la Seguridad de TISeguridad de la
informacin Seguridad de TIEs una funcin de negocio Es una funcin
tcnicaInstaura las polticas de seguridad y elementos de control en
materia de seguridad de informacinIncorpora trata a los sistemas de
informacin y telecomunicacionesSe encarga de los aspectos fsico,
lgico y legal de la seguridad de informacin de la empresaAsegura
que los sistemas carezcan de riesgos perniciososBusca garantizar la
trada CIA,la autenticidad, auditabilidad y no repudio de la
informacinGarantiza que los sistemas y sus activos de informacin
asociados se empleen para lo que fueron concebidosRelacin entre la
Seguridad de la informacin y la Seguridad de TI La seguridad de TI
trata la seguridad de latecnologa y, por lo general, se maneja
desde elnivel del director de informacin (CIO). La seguridad de la
informacin abarca la La seguridad de la informacin abarca
latotalidad de riesgos, beneficios y procesos queestn relacionados
con la informacin y debeser impulsada por la direccin ejecutiva
yrespaldada por el consejo de direccinResultados del Gobierno de la
Seguridad de la informacin El objetivo de la seguridad de la
informacin esdesarrollar y gestionar un programa que alcancelos
siguientes resultados: Alineacin estratgica Gestin de riesgos
Entrega de valor Gestin de recursos Medicin del desempeo
IntegracinAlineacin estratgica Alinear la seguridad de la
informacin con laestrategia de negocio para apoyar los
objetivosorganizacionales, tales como: Requerimientos de seguridad
dirigidos porrequerimientos de la empresa requerimientos de la
empresa Ajuste de las soluciones de seguridad a los procesosde la
empresa que tomen en cuenta la cultura, estilode gobierno, la
tecnologa y estructura de laorganizacin Inversin en seguridad de la
informacin que seacongruente con la estrategia de la empresaGestin
de riesgos Ejecutar medidas apropiadas para mitigar losriesgos y
reducir el posible impacto que tendranen los recursos de informacin
a un nivelaceptable, tales como: Entendimiento colectivo del perfil
de amenaza,vulnerabilidad y riesgo de la organizacin Entendimiento
de la exposicin al riesgo Conciencia de las prioridades Suficiente
mitigacin de riesgos Aceptacin/transferencia del riesgoEntrega de
valor Optimizar las inversiones en la seguridad enapoyo a los
objetivos de negocio, tales como: Un conjunto estndar de prcticas
de seguridad Un esfuerzo debidamente priorizado y distribuido
Soluciones institucionalizadas y estandarizadas Soluciones
completas que abarquen a laorganizacin, el proceso y la tecnologa
Una cultura de mejora continuaGestin de recursos Utilizar el
conocimiento y la infraestructura deseguridad de la informacin con
eficiencia yefectividad para: Asegurar que los conocimientos sean
captados yestn disponibles estn disponibles Documentar los procesos
y prcticas Desarrollar arquitecturas de seguridadMedicin del
desempeo Monitorear y reportar procesos de seguridad dela
informacin para garantizar que se alcancenlos objetivos, entre
otros: Un conjunto de medidas definidas, acordadas ysignificativas
significativas Un proceso de medicin que identifique deficiencias
ybrinde realimentacin de avances Aseguramiento independiente por
evaluaciones yauditoras externasIntegracin Integrar todos los
factores de aseguramientorelevantes para garantizar que los
procesosoperan de acuerdo con lo planeado de principioa fin
Determinar todas las funciones organizacionales deaseguramiento
Desarrollar relaciones formales con otras funcionesde aseguramiento
Coordinar todas las funciones de aseguramiento Coincidencia de
roles y responsabilidades Enfoque sistmicoEl Gerente/Oficial de
Seguridad de la informacin En la dcada pasada casi todas
lasorganizaciones crearon un puesto de gerente yoficial de
seguridad de la informacin en algnnivel de la organizacin Cada da
es mayor el nmero de organizacionesque crean departamentos
centrales deseguridad de la informacin con el fin deresolver la
creciente complejidad para protegerno solo los sistemas de TI sino
toda lainformacin sensible y crtica que de cualquierforma se
procesa y manipulaTareas (I) Desarrollar una estrategia de
seguridad de lainformacin que est alineada con las metas ylos
objetivos de negocio. Alinear la estrategia de seguridad de la
Alinear la estrategia de seguridad de lainformacin con el gobierno
corporativo Desarrollar casos de negocio que justifiquen lainversin
en seguridad de la informacin Identificar requerimientos legales y
regulatoriostanto reales como posible que afecten laSeguridad de la
informacinTareas (II) Identificar los factores que puedan afectar
laorganizacin y su impacto sobre la seguridad dela informacin
Obtener el compromiso de la alta direccin conla seguridad de la
informacin la seguridad de la informacin Definir roles y
responsabilidades relacionadascon la seguridad de la informacin en
toda laorganizacin Establecer canales de comunicacin y
depresentacin de informacin, tanto internoscomo externos, que
apoyen la Seg_informacinCun importante y valiosa es la informacin
de la compaa? Cul es la prdida en activo si los datos de lacompaa
son comprometidos? Cunto vale la prdida de propiedad
intelectualpara mi compaa? para mi compaa? Cul es la prdida en
ingresos participacindel mercado? En cunto se valora la prdida de
privacidad? Cunto vale el dao a la reputacin de micompaa?Naturaleza
del Valor Valor Real Valor de la Informacin. La Informacin puede no
variar, pero su valor s, sobre todo en el tiempo. s, sobre todo en
el tiempo. Valor Percibido Si se contase con acceso a la
Informacinsera valioso, pero es un valor intangible.87Cmo se
relacionan el Valor,las Amenazas y el Riesgo?88Ciclo de Gestin del
RiesgoEvaluarRiesgos y DeterminarNecesidadesMonitorear y
EvaluarPromover la ConcienciaImplementar Politicas y
ControlesEnfoque Integral89
![1 Muestreo Tipos s[1]](https://img.pdfslide.es/doc/110x75/577cddb01a28ab9e78ad8400/1-muestreo-tipos-s1.jpg)
