conceptos y principios de la seguridad...
TRANSCRIPT
Conceptos y Principios de la Conceptos y Principios de la
Seguridad Informática Seguridad Informática
Calidad y Seguridad Informática ISO IEC 27001Calidad y Seguridad Informática ISO IEC 27001
Ing. Henry Eduardo Bastidas Paruma
Servicio Nacional de Aprendizaje SENA
Centro de Teleinformática y Producción Industrial
Regional Cauca
Temática• Fundamentos de Seguridad Informática
• Definiciones y Conceptos
• Los Pilares de la seguridad Informática
• Tipos de Ataques
• Terminología
• ISO 27000
• Origen
• La Serie ISO 27000
Ing. Henry Eduardo Bastidas Paruma
• La Serie ISO 27000
• Sistema de Gestión de Seguridad de la Información SGSI (ISO/IEC 27001)
• Que es un SGSI
• Que Incluye
• Como Implementar un SGSI (ISO/IEC 270002)
• Aspectos Clave Fundamentales al Adaptarse al Estándar
• Factores de éxito en la Adopción de este Estándar
• Riesgos en la Adopción
Fundamentos de Seguridad Informática La Seguridad Informática:
Consiste en asegurar que los
recursos del sistema de
información(material informático
(Hardware y Software) de una
organización sean utilizados de la
manera que se decidió y que el
acceso a la información allí
Ing. Henry Eduardo Bastidas Paruma
acceso a la información allí
contenida así como su modificación
sólo sea posible a las personas que
se encuentren acreditadas y dentro
de los límites de su autorización.
Aunque el concepto de seguridad
en Informática es algo utópico,
porque no existe un sistema 100%
seguro.
Fundamentos de Seguridad Informática Hay Conciencia de las debilidades?:
El activo más importante que se posee en toda
organización es la información.
Seguridad Física: puede asociarse a la
protección del sistema ante las amenazas
físicas, incendios, inundaciones, edificios,
cables, control de accesos de personas, etc.
Ing. Henry Eduardo Bastidas Paruma
Seguridad Lógica: protección de la información
en su propio medio, mediante el
enmascaramiento de la misma usando técnicas
de protección como: passwords, permisos,
privilegios, etc.
La gestión de la seguridad está en medio de los
dos
Pilares de la Seguridad Informática
Confidencialidad: La información puede ser accedida únicamente por las personas que
tienen autorización para hacerlo.
Integridad: La información no ha sido borrada, copiada o alterada, no sólo en su
trayecto, sino también desde su origen.
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del
Ing. Henry Eduardo Bastidas Paruma
Disponibilidad: Los usuarios deben tener disponibles todos los componentes del
sistema cuando así lo deseen.
Autenticidad: La integridad nos informa que el archivo, por ejemplo, no ha sido
retocado ni editado, y autenticidad nos informa que el archivo en cuestión es el real.
¿Que debemos Proteger?
Cuando hablamos de seguridad informática muchas veces se confunde diciendo
seguridad en Internet, y estos términos no son sinónimos. Informática comprende otro
contexto, como es el de la seguridad física y lógica, mientras que el otro sólo se limita a
hablar del entorno que a Internet se refiere. Por tales motivos, la seguridad informática
intenta proteger cuatro elementos:
• Hardware
Ing. Henry Eduardo Bastidas Paruma
• Hardware
• Software
• Datos
• Elementos Consumibles
Tipos de Ataques
Interrupción: Ataque contra la disponibilidad.
Interceptación: Ataque contra la confidencialidad
Generación: Ataque contra la autenticidad.
Modificación: Ataque contra la integridad.
¿De qué nos Protegemos?
Ing. Henry Eduardo Bastidas Paruma
¿De qué nos Protegemos?
Esta pregunta es tan amplia como su respuesta. Hay muchas clasificaciones, pero la
mayoría tienen un punto de vista en común: nos protegemos de las personas.
Términos Relacionados con la S.I.
Activo: recurso del sistema de información o relacionado con éste, necesario para que
la organización funcione correctamente y alcance los objetivos propuestos.
Amenaza: es un evento que puede desencadenar un incidente en la organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
Impacto: medir la consecuencia al materializarse una amenaza.
Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un
Dominio o en toda la Organización.
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre
Ing. Henry Eduardo Bastidas Paruma
Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre
un Activo.
Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.
Desastre o Contingencia: interrupción de la capacidad de acceso a información y
procesamiento de la misma a través de computadoras necesarias para la operación
normal de un negocio.
ISOISO (International Organization for Standardization) es
una federación internacional con sede en Ginebra
(Suiza) de los institutos de normalización de 157 países
(uno por cada país).
Es una organización no gubernamental (sus miembros
no son delegados de gobiernos nacionales), puesto
que el origen de los institutos de normalización
nacionales es diferente en los distintos países (público,
privado…). ISO desarrolla estándares requeridos por el
Ing. Henry Eduardo Bastidas Paruma
privado…). ISO desarrolla estándares requeridos por el
mercado que representen un consenso de sus
miembros (previo consenso nacional entre industrias,
expertos, gobierno, usuarios, consumidores…) acerca
de productos, tecnologías, métodos de gestión.
por naturaleza, son de aplicación voluntaria, ya que el
carácter no gubernamental de ISO no le da autoridad
legal para forzar su implantación.
ISO 27001
Es un estándar ISO que proporciona un modelo para
establecer, implementar, utilizar, monitorizar, revisar,
mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI).
Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act;
o ciclo de Deming) de mejora continua, al igual que
otras normas de sistemas de gestión (ISO 9001 para
Ing. Henry Eduardo Bastidas Paruma
otras normas de sistemas de gestión (ISO 9001 para
calidad, ISO 14001 para medio ambiente, etc.).
Es un estándar certificable, es decir, cualquier
organización que tenga implantado un SGSI según
este modelo puede solicitar una auditoría externa por
parte de una entidad acreditada y, tras superar con
éxito la misma, recibir la certificación en ISO 27001.
ORIGEN ISO 27000 Una de las entidades normalizadoras más antiguas (British Standards Institution)
publicó en 1995 la norma (BS-7799-1) con objeto de dar un conjunto de buenas
prácticas en Seguridad para las Empresas Británicas.
Posteriormente realizaron la segunda parte de la norma en 1998, en la que
establecieron los requisitos, para realizar un sistema de Gestión de la Seguridad de la
Información (SGSI).
Ing. Henry Eduardo Bastidas Paruma
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que
no se establece un esquema de certificación.
Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece
los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable
por una entidad independiente.
ORIGEN ISO 27000 Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por
ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó
por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta
última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el
contenido así como el año de publicación formal de la revisión.
Ing. Henry Eduardo Bastidas Paruma
La Serie ISO 27000
ISO ha reservado la serie de numeración 27000 para las normas relacionadas con
sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera
de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas
normas que supongan un apoyo para las organizaciones que implanten y certifiquen
un SGSI según ISO 27001.
Entre otras, se encuentran:
•27000 (términos y definiciones).
Ing. Henry Eduardo Bastidas Paruma
•27000 (términos y definiciones).
• 27002 (objetivos de control y controles, Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios.)
•27003 (guía de implantación de un SGSI)
•27004 (métricas y técnicas de medida de la efectividad de un SGSI)
•27005 (guía para la gestión del riesgo de seguridad de la información)
•27006 (proceso de acreditación de entidades de certificación y el registro de SGSIs).
Sistema de Gestión de Seguridad de la
Información SGSI¿Qué es un SGSI(Information Security Management System)?
En el contexto aquí tratado, se entiende por
información todo aquel conjunto de datos
organizados en poder de una entidad que posean
valor para la misma, independientemente de la
forma en que se guarde o transmita (escrita, en
Ing. Henry Eduardo Bastidas Paruma
forma en que se guarde o transmita (escrita, en
imágenes, oral, impresa en papel, almacenada
electrónicamente, proyectada, enviada por correo,
fax o e-mail, transmitida en conversaciones, etc.), de
su origen (de la propia organización o de fuentes
externas) o de la fecha de elaboración.
Sistema de Gestión de Seguridad de la
Información SGSI¿Para qué sirve un SGSI?
El Sistema de Gestión de la Seguridad de la
Información (SGSI) ayuda a establecer las políticas y
procedimientos en relación a los objetivos de negocio
de la organización, con objeto de mantener un nivel de
exposición siempre menor al nivel de riesgo que la
Ing. Henry Eduardo Bastidas Paruma
exposición siempre menor al nivel de riesgo que la
propia organización ha decidido asumir.
Con un SGSI, la organización conoce los riesgos a los
que está sometida su información y los asume,
minimiza, transfiere o controla mediante una
sistemática definida, documentada y conocida por
todos, que se revisa y mejora constantemente.
Sistema de Gestión de Seguridad de la
Información SGSI
Ing. Henry Eduardo Bastidas Paruma
Sistema de Gestión de Seguridad de la
Información SGSI
Ing. Henry Eduardo Bastidas Paruma
Documentación del SGSI
De manera específica, ISO 27001 indica que un SGSI debe estar formado por los
siguientes documentos (en cualquier formato o tipo de medio):
• Alcance del SGSI
• Política y objetivos de seguridad
•Procedimientos y mecanismos de control que soportan al SGSI
•Enfoque de evaluación de riesgos
• Informe de evaluación de riesgos
Ing. Henry Eduardo Bastidas Paruma
• Informe de evaluación de riesgos
• Plan de tratamiento de riesgos.
• Procedimientos documentados.
• Registros: documentos que proporcionan evidencias de la conformidad con los
requisitos y del funcionamiento eficaz del SGSI.
• Declaración de aplicabilidad: (SOA -Statement of Applicability-, ISO/IEC 27002).
¿Cómo Implementar un SGSI?
SGSI esta basado en la norma ISO27001, nos permite establecer políticas, procedimientos
y controles con el objeto de disminuir los riesgos de la empresa.
Para la implantación de un SGSI se define 4 aspectos fundamentales:
� Alcance
� Política de seguridad a seguir.
Ing. Henry Eduardo Bastidas Paruma
� Política de seguridad a seguir.
� La organización de la seguridad
� Programas de concienciación y formación del personal.
¿Cómo Implementar un SGSI?PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a
la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no
tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber
actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no
han finalizado; o que se monitoricen controles que aún no están implantados en su
totalidad.
Ing. Henry Eduardo Bastidas Paruma
• Plan (planificar): establecer el SGSI.
• Do (hacer): implementar y utilizar el SGSI.
• Check (verificar): monitorizar y revisar el SGSI.
• Act (actualizar): mantener y mejorar el SGSI.
Arranque Del Proyecto
Compromiso de la Dirección: una de las bases
fundamentales sobre las que iniciar un proyecto
de este tipo es el apoyo claro y decidido de la
Dirección de la organización.
Planificación, fechas, responsables: como en
Ing. Henry Eduardo Bastidas Paruma
Planificación, fechas, responsables: como en
todo proyecto de envergadura, el tiempo y el
esfuerzo invertidos en esta fase multiplican sus
efectos positivos sobre el resto de fases.
Etapas del ProyectoPLANEAR HACER
Ing. Henry Eduardo Bastidas Paruma
Aspectos Clave Fundamentales al Adaptarse al Estándar
•Compromiso y apoyo de la Dirección de la organización.
•Definición clara de un alcance apropiado.
•Concienciación y formación del personal.
•Evaluación de riesgos exhaustiva y adecuada a la organización.
•Compromiso de mejora continua.
Ing. Henry Eduardo Bastidas Paruma
•Compromiso de mejora continua.
•Establecimiento de políticas y normas.
•Organización y comunicación.
•Integración del SGSI en la organización.
Factores de éxito en la Adopción de este Estándar
•La concienciación del empleado por la seguridad. Principal objetivo a conseguir.
•Realización de comités de dirección con descubrimiento continuo de no
conformidades o acciones de mejora.
•Creación de un sistema de gestión de incidencias que recoja notificaciones continuas
por parte de los usuarios (los incidentes de seguridad deben ser reportados y
analizados).
Ing. Henry Eduardo Bastidas Paruma
analizados).
•La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
•La seguridad no es un producto, es un proceso.
•La seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.
•La seguridad debe ser inherente a los procesos de información y del negocio.
Riesgos en la Adopción • Exceso de tiempos de implantación: con los consecuentes costes descontrolados,
desmotivación, alejamiento de los objetivos iniciales, etc.
•Temor ante el cambio: resistencia de las personas.
•Discrepancias en los comités de dirección.
•Delegación de todas las responsabilidades en departamentos técnicos.
•No asumir que la seguridad de la información es inherente a los procesos de negocio.
•Planes de formación y concienciación inadecuados.
Ing. Henry Eduardo Bastidas Paruma
•Planes de formación y concienciación inadecuados.
•Calendario de revisiones que no se puedan cumplir.
•Definición poco clara del alcance.
•Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas
de tipo organizativo.
•Falta de comunicación de los progresos al personal de la organización.
Gracias !!Gracias !!Preguntas y Observaciones ????
Ing. Henry Eduardo Bastidas Paruma
www.adminredescauca.net