Upload
juan-ricardo-nique-zambrano
View
37
Download
0
Embed Size (px)
DESCRIPTION
Seguridad de la información
Citation preview
5/24/2018 Introduccin a La Seguridad de La Informacin1
1/22
27/08/2
Introduccin a laseguridad de la
informacin
Ing. Maurice Frayssinet Delgado
Instructor
Maurice Frayssinet Delgado Ing. de Sistemas e Informtica
Instructor Seguridad de la Informacin en Telefnica (TIS)
Ex Jefe de Sistemas de la Municipalidad Metropolitana de Lima
Asesor UNMSM, Marina de Guerra del Peru (DHN), ESSALUD CNSR
Docente Inictel-Uni, ISIL, Cibertec, Universidad Sipan, Universidad Continental
Instructor de academia Cisco en CCNA, CCNP y CCNA security.
Instructor Ethical Hacking, Metodologas Anlisis de Riesgo (ISO 31000 y 27005) y
vulnerabilidades
Instructor Seguridad en Redes Linux y Unix (Sun Solaris)
Instructor Seguridad en Firewall e IDS, IPS, ISO 27001, 27002
Manejo de Metodologas Cobit, COSO ERM, CISA y AS-NZS 4360-2004 Risk Management,
Penetration Test (OSSTMM)
Conocimiento de Seguridad de Aplicaciones Visual Studio 2010/2008 DBA Oracle, SQL Server 2008
Inteligencia de Negocios Qlikview, Microstrategy, OLAP
implementacin y Gestin de las normas ISO 17799, 12207, 9001, 14000 y 27001
Estudios de Derecho Informtico
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
GESTIN DE SEGURIDADDE LA INFORMACIN
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
2/22
27/08/2
Gestin de Seguridad de la Informacin
Mostrar los fundamentos de la seguridad de la informacin y
normatividad, con el fin de conocer los estndares aceptadosmundialmente.
Proveer las bases tericas y prcticas de la seguridad de lainformacin poder proponer e implementar un plan de seguridad de la
informacin
Fortalecer habilidades y competencias en los asistentes para
optimizar ejercicio de seguridad a las tecnologas de informacin y
comunicaciones.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
OBJETIVOS
Gestin de Seguridad de la Informacin
Profesionales y tcnicos en TI
Analistas programadores
Jefes de proyectos
Administradores, Abogados
Profesionales de seguridad de la informacin
Personal informtico del sector estado
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
DIRIGIDO
Gestin de Seguridad de la Informacin
1. Introduccin a la seguridad de la Informacin (24 horas)
2. Seguridad Perimetral y de las comunicaciones(32 horas)
3. Oficial de Seguridad de la Informacin(24 horas)
4. Proteccin de Servidores en Windows Server(32 horas)
5. Proteccin de Servidores en Linux(32 horas)
TOTAL : 144 HORAS
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
DURACION
5/24/2018 Introduccin a La Seguridad de La Informacin1
3/22
27/08/2
Gestin de Seguridad de la Informacin
Introduccin a la seguridad. Seguridad de la Informacin.
Orgenes Normas de Seguridad de la Informacin.
Familia ISO 27000.
Norma ISO 27001.
Norma ISO 27002 (antes ISO 17799).
Casos Prcticos
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Modulo 1 Introduccin a la seguridad de la Informacin
Gestin de Seguridad de la Informacin
Seguridad Perimetral.
El Router
El Firewall
El Proxy
Detector de Intrusos.
Cifrado
VPN
Seguridad con Switches
Seguridad con redes inalmbricas Access Point
Casos Prcticos
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Modulo 2Seguridad Perimetral y de las comunicaciones
Gestin de Seguridad de la Informacin
Qu es un oficial de seguridad?
Roles del Oficial de seguridad
Gestin de Riesgos ISO 27005
Polticas de Seguridad
Plan de Seguridad
Plan de Continuidad de Negocio
Casos Prcticos
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Modulo 3Oficial de Seguridad de la Informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
4/22
27/08/2
Gestin de Seguridad de la Informacin
Instalacin Windows 2008 Server Servipack y Parches de Seguridad
Windows Server Update Services
Seguridad de cuentas, Polticas de Passwords.
Encriptacin
Windows Server 2008 como Fileserver
Windows Server 2008 como Directorio Activo
Definicin de Polticas GPO
Auditoria del Windows 2008 Server
Certificados Digitales
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Modulo 4Proteccin de Servidores en Windows Server
Gestin de Seguridad de la Informacin
Instalacin Linux Centos
Parchado del sistema Linux Centos
Comando yum para actualizacin en lnea
Seguridad de cuentas, Polticas de Passwords.
Encriptacin de sesin con SSH
Linux Centos como Fileserver
Herramientas seguridad de la red
Monitoreo de la Red
Auditoria del Linux Centos
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Modulo 5Proteccin de Servidores en Linux
Otros Cursos
Seguridad Redes Wireless
Informtica Forense
Ethical Hacking
Auditoria del estado de seguridad de lainformacin
Cobit
ITIL
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
5/22
27/08/2
MODULO 1INTRODUCCIN A LA SEGURIDAD
DE LA INFORMACIN
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
www.themegallery.com Company Logo
Temario
Introduccin a la seguridad.
Seguridad de la Informacin.
Orgenes Normas de Seguridad de laInformacin.
Familia ISO 27000 (Normas de Seguridad de laInformacin).
Norma ISO 27001.
Norma ISO 27002 (antes ISO 17799).Casos Prcticos
INTRODUCCIN A LA SEGURIDAD
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
6/22
27/08/2
El Arte del Engao Kevin Mitnick
Una compaa puede hacer comprado las mejores
tecnologas de seguridad que el dinero pueda comprar,
entrenado a su personal tan bien que aseguren todos sus
secretos comerciales antes de irse a casa en la noche, y
contratar guardias de seguridad de la mejor firma de
seguridad del entorno.
ESA COMPAA AN ES TOTALMENTEVULNERABLE.
El Arte del Engao Kevin Mitnick
Las personas pueden seguir cada una de las mejores
prcticas de seguridad recomendadas por expertos,
instalar diligentemente cada producto de seguridad
recomendado, revisar minuciosamente las configuraciones
correctas de los sistemas, y aplicar parches de seguridad.
ESAS PERSONAS AN ESTNCOMPLETAMENTE VULNERABLES.
Por qu debemos pensar en seguridad de la informacion?
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
7/22
27/08/2
Seguridad es unanecesidad bsica.Estando interesada enla prevencin de la vidalas posesiones, es tanantigua como ella
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
La maquina Enigma
Enigma era el nombre
de una mquina que
dispona de un
mecanismo de cifrado
rotatorio, que permita
usarla tanto para cifrar
como para descifrar
mensajes. Varios de
sus modelos fueron
muy utilizados enEuropa desde inicios
de los aos 1920
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Enigma
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
8/22
27/08/2
ARPANET
El Departamento de Avanzada dela Defensa Agencia de Proyectosde Investigacin (ARPA), comenza examinar la viabilidad de unsistema redundante decomunicaciones, en red paraapoyar el intercambio de losmilitares de la informacin. LarryRoberts, conocido como elfundador de la Internet, hadesarrollado el proyecto desde susinicios. Este proyecto, llamadoARPANET, es el origen de laactual Internet
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Internet
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Informe de Rand R-609
Es un documento quetrata de definir losmltiples controles ymecanismos necesariospara la proteccin de unsistema informticomultinivel. El documentofue clasificado por casidiez aos, y ahora seconoce como el papelque se inici el estudiode la seguridad en lascomputadoras.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
9/22
27/08/2
Preguntas y Respuestas
SEGURIDADDE LA
INFORMACIN
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
La valoracin de la seguridad por parte de laspersonas es una preocupacin en alza. Lasociedad de consumo en la que vivimos nosgenera nuevas necesidades, ms all de lasque siempre se han considerado bsicas, loque conlleva a la poblacin a buscar los caucesadecuados para cubrir holgadamente lasnecesidades de seguridad y mejorar, por tanto,su calidad de vida.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
10/22
27/08/2
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Modelo de seguridad de McCumber
John R. McCumber expuso en la decimocuartaedicin de la National Computer SecurityConference un modelo fcil y completo deseguridad, independiente del entorno, arquitecturao tecnologa que gestiona nuestra informacin. Suaplicacin es universal y no est restringido pordiferencias organizacionales.
El modelo de tres dimensiones se convierte en uncubo con 27 celdillas como marco de actuacin.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Modelo de seguridad de McCumber
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
11/22
27/08/2
Los sistemas de informacin se han constituido como unabase imprescindible para el desarrollo de cualquier actividad
empresarial; estos sistemas han evolucionado de formaextraordinariamente veloz, aumentando la capacidad degestin y almacenamiento.
El crecimiento ha sido constante a lo largo de las ltimasdcadas, sin embargo, esta evolucin tecnolgica tambinha generado nuevas amenazas y vulnerabilidades para lasorganizaciones.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Pilares de la Seguridad de la Informacion
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Difusion del virus sapphire en 30 minutos
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
12/22
27/08/2
Dimensiones de la seguridad
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Dimensiones de la seguridad
Disponibilidad:asegurar que los usuarios autorizados tienen acceso cuando lo
requieran en los tiempos adecuados.
Integridad: garanta de la exactitud y de que la informacin sea completa, as como
los mtodos de su procesamiento.
Confidencialidad:asegurar que la informacin es slo accesible para aquellos
autorizados.
Autenticidad de los usuarios del servicio: asegurar la identidad de los usuarios que
manejan o acceden al activo.
Autenticidad del origen de los datos: asegurar la identidad u origen de los datos.
Trazabilidad del servicio: asegurar que en todo momento se podr determinar quin
hizo qu y en qu momento.
Trazabilidad de los datos: asegurar que en todo momento se podr determinar
quin ha accedido a los datos.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Lo importante no es tanto la ausencia de
incidentes si no conocer los riesgos para poderafrontarlos y controlarlos.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
13/22
27/08/2
Gestin de la seguridad
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
De forma habitual, los datos delos clientes pueden llegar a laorganizacin a travs de mail,
fax, correo, telfono, y suelen
ser recabados por iniciativa del
cliente
que solicita un servicio. Es
importante informar y solicitar
el consentimiento del cliente
(si ste es necesario) parallevar a cabo el tratamiento de
los datos de carcter personal.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
14/22
27/08/2
Caso prctico: Gestin de Clientes
Una vez capturadoslos datos, el cliente
pasa a formar parte delcircuito comercial de laempresa, realizando
pedidos a los que se
asocian entregas dematerial y emisin de
facturas.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
La captura y mecanizacin de los datos delcliente en el sistema de informacin, que enla mayor parte de los casos est informatizadoy cuyos datos estn almacenados en unservidor central, se debe considerar comosubproceso de la gestin de cliente.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
15/22
27/08/2
Caso prctico: Gestin de Clientes
Una vez recibida la solicitud de
alta del cliente, el personal
encargado de su gestin debe
realizar una consulta de la base
de datos de clientes. Para ello
accede a un ordenador,
normalmente personal de
administracin, y utiliza la
aplicacin de gestin de la
empresa que permite acceder a
los datos de los clientes o crear
nuevos clientes. Este anlisispermite concluir que son
necesarios seis elementos en el
sistema de informacin para
llevar a cabo las altas y
consultas sobre clientes de la
empresa
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
Adicionalmente, se debeconsiderar que estoselementos dependen asu vez de otros demenor nivel, peroindispensables en elproceso, como son elsuministro elctrico, la
red de rea local, etc.Todos estos elementosson importantes por darsoporte al procesogeneral de consulta declientes.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
16/22
27/08/2
Caso prctico: Gestin de Clientes
Se puede ver el rbol de dependencias como un castillo, dondeel fallo de cualquier elemento de la base genera la cada parcial o
total del edificio.Esta forma grfica evidencia que los fallos en elementos de bajo
nivel pueden ser arrastrados y producir paradas en los
principales servicios de la empresa.
Estas relaciones son las que producen los efectos bola de
nieve o avalancha, donde un incidente, menor sobre unelemento poco importante, puede tener consecuencias graves en
funcin de la importancia general que tenga el elemento afectado
en la continuidad de los procesos de negocio a los que dasoporte.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
17/22
27/08/2
Caso prctico: Gestin de Clientes
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Caso prctico: Gestin de Clientes
La gestin de la seguridad de lainformacin debe atender un
objetivo claro: reducir el nivel de
riesgo al que la organizacin se
encuentra expuesta.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
18/22
27/08/2
Autoevaluacin
Seguridad es parte de la estrategia denegocios?
Est involucrada la alta gerencia de laorganizacin en aspectos de seguridad?
Existe un responsable de la seguridad?(CSO, CISO) A quin reporta en laorganizacin?
En qu porcentaje depende suorganizacin de la tecnologa?
Autoevaluacin
Existe una adecuada administracin de
riesgos? Existen planes de continuidad de
negocios y recuperacin de desastres?Con qu frecuencia se actualizan?
Est la organizacin cumpliendo conlas leyes y reglamentos de su pas y/ointernacionales?
Autoevaluacin
5/24/2018 Introduccin a La Seguridad de La Informacin1
19/22
27/08/2
Preguntas y Respuestas
ORGENES NORMAS DESEGURIDAD DE LA INFORMACIN.
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
Revisin por: NCC (Centro
Nacional deComputacin)
Consorciousuarios
1993
Estndar nacionalbritnico
1995
Estndar Internacional(Fast Track)
1999 2000
Revisin peridica(5 aos)
2005
Nuevoestndarnacionalcertificable
EstndarInternacional
1998 2002
Revisinconjunta de laspartes 1 y 2
Revisin yacercamiento a:ISO 9001ISO 14001OCDE
1999 2005
Centro deSeguridad deInformticaComercial delReino Unido(CCSC/DTI)
1989
Revisinconjunta de laspartes 1 y 2
Certificable
Cdigo deprcticasparausuarios
PD0003Cdigo deprcticaspara lagestin dela seguridadde lainformacin
BS 7799
BS 7799-1
:1999
ISO/IEC 17799
:2000
ISO/IEC 17799
:2005
BS 7799-2:2002
BS 7799-2 BS 7799-2:1999
ISO/IEC 27001:2005
Historia de ISO 27001 e ISO 17799
No certificable
ISO/IEC 27002
http://www.dti.gov.uk/index.html5/24/2018 Introduccin a La Seguridad de La Informacin1
20/22
27/08/2
Que es BSI?La British Standards Institution, cuyas siglas
corresponden a BSI, es una multinacional cuyo finse basa en la creacin de normas para laestandarizacin de procesos. BSI es unorganismo colaborador de ISO y proveedor deestas normas, son destacables la ISO 9001, ISO14001 e ISO 27001. Entre sus actividadesprincipales se incluyen la certificacin, auditora yformacin en las normas.
Es uno de los principales organismos decertificacin del mundo con 60.000 clientescertificados en ms de 100 pases.
que hace BSI?
Opera en todo el mundo y ofrece a las
organizaciones auditora y certificacinindependientes de sus sistemas degestin. Asimismo, ofrece una serie deservicios de formacin que ayudan a todotipo de organizaciones a mejorar sueficacia empresarial y a reducir susriesgos.
5/24/2018 Introduccin a La Seguridad de La Informacin1
21/22
27/08/2
Visin y Misin de BSI
VisinUna empresa de servicios profesionales
independiente, global y comercial queinspira confianza y proporciona seguridada los clientes por medio de solucionesbasadas en estndares.
MisinPoner de manifiesto las mejorescualidades de su organizacin.
Pasos para alcanzar lacertificacin
1. Elegir el estndar
2. Contactar
3. Cita con el equipo de auditora
4. Considerar la posibilidad deformacin
5. Pre-auditora
6. La auditora formal
7. Certificacin y mucho ms
5/24/2018 Introduccin a La Seguridad de La Informacin1
22/22
27/08/2
Preguntas y Respuestas