Metodologías de Seguridad de la

Información

Dr. Erbert Osco M.

¿Qué es la seguridad?

La situación ó estado de algo, que se adquiere al estar libre de riesgo

o peligro.

Se logra por que algo nos da o asegura nuestra protección

Un departamento o grupo de guardias

Medidas adoptadas por el gobierno para evitar un ataque externo

Medidas adoptadas por una empresa para prevenir el robo en sus

propiedades.

Medidas adoptadas para prevenir el escape de una prisión.

Un seguro.

Se puede definir la seguridad Informática como cualquier

medida que impida la ejecución de operaciones no

autorizadas sobre un sistema o red informática, cuyos efectos

puedan conllevar daños sobre la información, comprometer

su confiabilidad, autenticidad o integridad, disminuir el

rendimiento de los equipos o bloquear el acceso de usuarios

autorizados al sistema.

Seguridad

de la

Información

Confidencialidad

Disponibilidad Integridad

Seguridad de la Información

Los objetivos de Seguridad que cumplen los requerimientos de negocio

incluyen:

• Preservar la Confidencialidad de la información sensible.

• Asegurar la Integridad de la informacionalmacenada en los

sistemas de información.

• Asegurar la Disponibilidad(Availability)continua de los sistemas de información.

• Asegurar la Conformidad de leyes, regulaciones y estandares.• Preservar la Confidencialidad de los datos sensitivos almacenados y en

transito.

INFORMACION VS SEGURIDAD

El riesgo permanente

Los recursos informáticos se encuentran de manera continua

sujeto a numerosos riesgos que, de materializarse, podrían

afectar la continuidad de las operaciones, el cumplimiento de

las metas y el patrimonio de las empresas. Por esta razón es

importante protegerlos.

¿Hay un sistema seguro?

"El único sistema seguro es aquel que está apagado y desconectado,

enterrado en un refugio de concreto, rodeado por gas venenoso y

custodiado por guardianes bien pagados y muy bien armados. Aun así, yo

no apostaría mi vida por él".

Gene Spafford

CISSP: Certified Information System Security ProfessionalCCNA: Cisco Certified Network AssociateCCSE: Check Point Certified Security ExpertMCSE: Microsoft Certified System EngineerGSEC: GIAC Security Essentials CertifiedRT-PKI-C: Rainbow Technologies PKI CertificationIBM Certified Professional Server ExpertTICSA TruSecure International Computer Security Association Trend Micro InterScan VirusWallCPP Certified Protection ProfessionalCIA Certified Internal AuditorCISA Certified Information System AuditorCISM: Certified Information Security ManagerCGEIT: Certified Governance OF Enterprise ITCRISC: Certified in Risk and Information Systems Control

CSX: Cybersegurity fundamentals Certificacate

Certificaciones en Seguridad TI

Seguridad de la información

Que es la seguridad de la información?

Es la protección de la confidencialidad, integridad y disponibilidad de los activos de

información según sea necesario para alcanzar los objetivos de negocio de la

organización.

NTP ISO/IEC 27001 – 2014. Tecnología de la Información, Técnicas de seguridad. Sistemas

de gestión de seguridad de la Información. Requisitos

Familia Estándares ISO

27000 Visión general y vocabulario seguridad información

27001 Gestión de Seguridad Información - Req. Certificable (Perú NTP SGSI -2014)

27002 Código de Practicas para controles de seguridad de Información

27003 Gestión Seguridad de Sistemas Información – Guía Implementación

27004 Gestión Seguridad de Información - Métricas

27005 Seguridad Información Gestión de riesgos

27006 Requisitos para acreditación de entidades de auditoria y certificación de SGSI

27007 Directrices para Auditoria de Sistemas de Información y Gestión de

Seguridad

27008 Directrices para Auditores en Controles de Seguridad de Información

27010 Gestión de seguridad de Información para comunicaciones de gestión

intersectorial y interinstitucional

27032 : Lead Manager Cybersecurity

ISO 27032 Lead manager Cybersecurity

La Gestión del Riesgo es el proceso de asegurar que elimpacto de las amenazas que pudieran explotar lasvulnerabilidades estén dentro de los limites aceptables y acostos aceptables. En este nivel, esto se logra mediante unequilibrio entre la exposición al riesgo y los costos demitigación, así como mediante la implementación deacciones preventivas y controles apropiados.

Riesgo es estimación de las probabilidades

de que una amenaza se materialice sobre

los activos de la organización, causando

efectos negativos o perdidas.

16

Relación Causa y Efecto

AmenazaVulnera-

bilidadRiesgo

Causa Probabilidad Efecto

Activos

Impacto

RIESGO POTENCIAL DE QUE UNA AMENAZA

EXPLOTE LAS VULNERABILIDADES DE

UN ACTIVO

AMENAZA (PELIGRO)

VULNERABILIDADIMPACTO

Evento que puede

desencadenar un

incidente en la

organización,

produciendo

perdidas

craker, virus

Posibilidad de

ocurrencia de

materialización de una

amenaza sobre un

activo.

Grado de destrucción

(magnitud), hueco,

debilidad, brecha

Medir las

consecuencias

al materializar

una amenaza

18

Panorama General

El riesgo puede ser categorizado en muchos tipos diferentes:

Riesgo de Procesos

Riesgo operativo

Riesgo ambiental

Riesgo Financiero

Riesgo de T.I.

Riesgo de Integridad

Riesgo comercial

etc.

TRATAMIENTO DEL RIESGO

4 OPCIONES

ESTRATEGICAS

Transferir

Eliminar

Reducir

Aceptar

Metodologías

MAGERIT CRAMM OCTAVE

Se utiliza mucho en España, sobre

todo en instituciones públicas, ya

que fue desarrollado por el

congreso superior de

administración electrónica. A nivel

internacional no es muy

conocida, aunque su utilización

puede ser interesante en

cualquier tipo de empresa.

Tuvo su origen en el Reino Unido,

ya que fue desarrollado por el

CCTA (Central Computer and

Telecomunications Agency), tiene

reconocimiento a nivel

internacional y su desarrollo es de

los más simples, identificación y

valoración de activos, valoración

de amenazas, vulnerabilidades y

selección de contramedidas.

Desarrollado por el SEI (Software

Engineering Institute) en los Estados

Unidos. Tiene un gran

reconocimiento internacional.

buena aceptación a nivel

mundial, aunque las fases que la

componen son un poco diferentes

de las metodologías habituales, lo

cual suele implicar mayor

dificultad en su utilización.

NIST 800-30 ISO 27005 ISO 31000

Fue desarrollado por el NIST

(National Institute of Standards

and Technology) en los EEUU y

aunque tiene reconocimiento

internacional, su uso se limita

sobre todo a EEUU

(administraciones públicas), se

compone de un mayor número

de fases que las anteriores

metodologías, es muy intuitiva,

sencilla de utilizar.

27005 Norma internacional, no

especifica ningún método de análisis

de riesgo concreto, sino que contiene

recomendaciones y directrices

generales para la gestión de riesgos,

por tanto, puede utilizarse como guía

para elaborar una metodología de

gestión de riesgos propia.

Contiene la Guía de Gestión del riesgo

de la seguridad de la información y la implantación de SGSI . Incluye partes de la ISO 13335

Al igual que la anterior es una ISO

internacional que contiene una

serie de buenas prácticas para

gestionar riesgos, aunque la

diferencia con respecto a la ISO

27005 es que esta no aplica

solamente a la Seguridad de la

Información sino que aplica a

cualquier tipo de riesgo.

NIST 800-30

Instituto Nacional de Normas y tecnología EEUU

Información para conocer activos, funciones

PASOS SEGÚN METODOLOGIA NIST 800-30 Instituto Nacional de Normas y tecnología EEUU

Ejemplo de vulnerabilidades y amenazas que podrían ser explotadas

MATRIZ DEL NIVEL DE RIESGO

METODOLOGIA MAGERIT V3 Metodología de análisis y gestión de riesgos

I. Detalle como se desarrolla

II. Complemento del I, ejemplos

III. Complemento del I, describe

técnicas que pueden usarse

para cada fase.

Metodología MAGERIT

CAPITULOS

I. INTRODUCCION Importancia del riesgo

II. VISION DE CONJUNTO Conceptos de gestión de riesgos

III. METODO DE ANALISIS DE RIESGOS Activos, vulnerabilidades, amenazas, salvaguardas. Estimar el riesgo

IV. PROCESO DE GESTION DE RIESGOS Evaluar niveles de impacto y riesgo residual, niveles aceptables de riesgo, C/B,

tratamiento del riesgo, documentación del proceso

V. PROYECTOS DE ANALISIS DE RIESGOS Cuando la organización desarrolla su primer proyecto, revisiones,

actualizaciones

VI. PLAN DE SEGURIDAD Una vez finalizada el análisis y gestión de riesgos, recomendaciones

VII. DESARROLLO DE S.I. Reducción de riesgos en los S.I.

VIII. CONSEJOS PRACTICOS Recomendaciones

MATRIZ DE RIESGOS

EJM.2

CONCLUSIONES

1. La seguridad de la información es un aspecto muy importante en cualquier organización

2. Es un tema que necesita ser abordado de manera responsable, procedimental y

orientada al cumplimiento de estándares mínimos requeridos para la tecnología

implementada en la Empresa.

3. Las metodologías, son estándares de seguridad de información en la organización tanto

privadas como publicas.

4. Estas guías y directrices son documentos muy elaborados y de reconocido prestigio,

cubren múltiples aspectos relacionados con seguridad de la información y sirven de

apoyo para desarrollar políticas, procedimientos y controles.

Referencias Bibliográficas

Chicano Tejada, Ester. Auditoría de seguridad informática (MF0487_3).

Madrid, ESPAÑA: IC Editorial, 2014. ProQuest ebrary. Web. 7 June 2017.

Copyright © 2014. IC Editorial. All rights reserved.

ISO NTP 27001 Sistema de gestión de seguridad de informacion

ISO 31000: 2009 Gestión de riesgos Principios y lineamientos

Instituto Nacional de Normas y Tecnología NIST 800-30

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

MAGERIT Metodología de análisis y gestión de riesgos

Guía de control interno. Resolución de contraloría 458-2008-CG

ISACA. www.isaca.Gob.pe