Download - Auditoria - Seguridad
-
7/28/2019 Auditoria - Seguridad
1/26
Seguridad de la Informacin
Seguridad
InformacinDe la
Ing. Max LazaroOficina Nacional de Gobierno
Electrnico e Informtica
-
7/28/2019 Auditoria - Seguridad
2/26
Seguridad de la Informacin
Nuevos Escenarios:
-
7/28/2019 Auditoria - Seguridad
3/26
Seguridad de la Informacin
La informacin debe considerarse como un
recurso con el que cuentan las Organizacionesy por lo tanto tiene valor para stas, al igual
que el resto de los activos, debe estar
debidamente protegida.
Qu se debe asegurar ?
-
7/28/2019 Auditoria - Seguridad
4/26
Seguridad de la Informacin
La Seguridad de la Informacin, protege asta de una amplia gama de amenazas,
tanto de orden fortuito como destruccin,
incendio o inundaciones, como de ordendeliberado, tal como fraude, espionaje,
sabotaje, vandalismo, etc.
Contra qu se debe proteger la
Informacin ?
-
7/28/2019 Auditoria - Seguridad
5/26
Seguridad de la Informacin
Confidencialidad:Se garantiza que la informacin esaccesible slo a aquellas personas autorizadas a tener
acceso a la misma.
Integridad:Se salvaguarda la exactitud y totalidad de la
informacin y los mtodos de procesamiento.
Disponibilidad:Se garantiza que los usuariosautorizados tienen acceso a la informacin y a los recursos
relacionados con la misma toda vez que se requiera.
Qu se debe garantizar ?
-
7/28/2019 Auditoria - Seguridad
6/26
Seguridad de la Informacin
Las Organizaciones son cada vez mas
dependientes de sus Sistemas y Serviciosde Informacin, por lo tanto podemosafirmar que son cada vez mas vulnerables
a las amenazas concernientes a suseguridad.
Por qu aumentan las amenazas ?
-
7/28/2019 Auditoria - Seguridad
7/26
Seguridad de la Informacin
Por qu aumentan las amenazas ?
Crecimiento exponencial de las Redes yUsuarios Interconectados
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Alta disponibilidad de HerramientasAutomatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido(Ej:DDoS)
Tcnicas de Ingeniera Social
AlgunasCausas
-
7/28/2019 Auditoria - Seguridad
8/26
Seguridad de la Informacin
Accidentes: Averas, Catstrofes,
Interrupciones, ...Errores: de Uso, Diseo, Control, ....
Intencionales Presenciales: Atentado con acceso
fsico no autorizadoIntencionales Remotas: Requieren acceso alcanal de comunicacin
Cules son las amenazas ?
-
7/28/2019 Auditoria - Seguridad
9/26
Seguridad de la Informacin
Interceptacin pasiva de la informacin
(amenaza a la CONFIDENCIALIDAD).Corrupcin o destruccin de lainformacin (amenaza a la INTEGRIDAD).
Suplantacin de origen (amenaza a laAUTENTICACIN).
Amenazas Intencionales Remotas
-
7/28/2019 Auditoria - Seguridad
10/26
Seguridad de la Informacin
Poltica de Seguridad para el SectorPblico
-
7/28/2019 Auditoria - Seguridad
11/26
Seguridad de la Informacin
Conjunto de requisitos definidos por los responsables directos
o indirectos de un Sistema que indica en trminos generales
qu est permitido y qu no lo est en el rea de seguridad
durante la operacin general de dicho sistema
Que se entiende por Politica de Seguridad ?
o Poltica: el porqu una organizacin protege la informacin
o Estndares: lo que la organizacin quiere hacer para
implementar y administrar la seguridad de la informacin
o Procedimientos: cmo la organizacin obtendr los
requerimientos de seguridad
Diferencias entre Poltica, Estndar y Procedimiento
-
7/28/2019 Auditoria - Seguridad
12/26
Seguridad de la Informacin
Evaluar los riesgos que enfrenta la organizacin
o Se identifican las amenazas a los activos
o Se evalan las vulnerabilidades y probabilidades de
ocurrencia
o Se estima el impacto potencial
Tener en cuenta los requisitos legales, normativos,
reglamentarios y contractuales que deben cumplir:
o La organizacin
o Sus socios comercialeso Los contratistas
o Los prestadores de servicios
Establecer un conjunto especfico de principios, objetivos y
requisitos para el procesamiento de la informacin
Cmo establecer los requerimientos de seguridad?
-
7/28/2019 Auditoria - Seguridad
13/26
Seguridad de la Informacin
Un modelo de gestin para la mejora continua de la calidad de
la seguridad de la informacin
oRealizacin de un anlisis de riesgos
oDefinicin de una poltica de seguridad
oEstablecimiento de controles
SGSI: Sistema de Gestin de la Seguridad de la Informacin
ISMS: Information Security Management Sytsem
Qu se entiende por SGSI?
-
7/28/2019 Auditoria - Seguridad
14/26
Seguridad de la Informacin
Con fecha 23 de julio del 2004 la PCM a travsde la ONGEI, dispone el uso obligatorio de la
Norma Tcnica Peruana NTP ISO/IEC
17799:2004 EDI. Tecnologa de la Informacin:
Cdigo de Buenas Prcticas para la Gestin de
la Seguridad de la Informacin en entidades del
Sistema Nacional de Informtica.
Se Actualiz el 25 de Agosto del 2007 con laNorma Tcnica Peruana NTP ISO/IEC
17799:2007 EDI.
-
7/28/2019 Auditoria - Seguridad
15/26
Seguridad de la Informacin
Marco de las recomendaciones La NTP-ISO 17799 es una compilacin de
recomendaciones para las prcticas exitosas deseguridad, que toda organizacin puede aplicarindependientemente de su tamao o sector.
La NTP fue redactada para que fuera flexible y noinduce a las organizaciones que la cumplan al piede la letra, se deja a estas dar una solucin deseguridad de acuerdo a sus necesidades.
Las recomendaciones de la NTP-ISO 17799 sonneutrales en cuanto a la tecnologa. La normadiscute la necesidad de contar con Firewalls, perono profundiza sobre los tipos de Firewalls y cmose utilizan.
-
7/28/2019 Auditoria - Seguridad
16/26
Seguridad de la Informacin
En este sentido La Norma Tcnica Peruana ISO 17799, se emite para ser considerada en laimplementacin de estrategias y planes deseguridad de la informacin de las EntidadesPblicas.
La NTP NO exige la certificacin, pero si laconsideracin y evaluacin de los principalesdominios de acuerdo a la realidad de cadaorganizacin.
-
7/28/2019 Auditoria - Seguridad
17/26
Seguridad de la Informacin
Cuales son los temas o dominios a
considerar dentro de un plan deSeguridad?
-
7/28/2019 Auditoria - Seguridad
18/26
Seguridad de la Informacin
Los 11 dominios de control de ISO 17799
1. Poltica de seguridad:
Se necesita una poltica que refleje las expectativas dela organizacin en materia de seguridad, a fin de
suministrar administracin con direccin y soporte. Lapoltica tambin se puede utilizar como base para elestudio y evaluacin en curso.
2. Aspectos organizativos para la seguridad:
Sugiere disear una estructura de administracindentro la organizacin, que establezca laresponsabilidad de los grupos en ciertas reas de laseguridad y un proceso para el manejo de respuesta aincidentes.
-
7/28/2019 Auditoria - Seguridad
19/26
-
7/28/2019 Auditoria - Seguridad
20/26
Seguridad de la Informacin
6. Gestin de Comunicaciones y Operaciones: Losobjetivos de esta seccin son:
Asegurar el funcionamiento correcto y seguro de lasinstalaciones de procesamiento de la informacin.
Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la informacin.
Conservar la integridad y disponibilidad del procesamiento y lacomunicacin de la informacin.
Garantizar la proteccin de la informacin en las redes y de la
infraestructura de soporte. Evitar daos a los recursos de informacin e interrupciones en
las actividades de la institucin.
Evitar la prdida, modificacin o uso indebido de lainformacin que intercambian las organizaciones.
-
7/28/2019 Auditoria - Seguridad
21/26
Seguridad de la Informacin
7. Control de accesos:Establece la importancia de monitorear ycontrolar el acceso a la red y los recursos deaplicacin como proteccin contra los abusosinternos e intrusos externos.
8. Adquisicin, Desarrollo y Mantenimiento de lossistemas:
Recuerda que en toda labor de la tecnologa de la
informacin, se debe implementar y mantener laseguridad mediante el uso de controles deseguridad en todas las etapas del proceso.
-
7/28/2019 Auditoria - Seguridad
22/26
Seguridad de la Informacin
9. Gestin de Incidentes de la Seguridad de lainformacin
Asegurar que los eventos y debilidades en laseguridad de la informacin sean comunicados demanera que permitan una accin correctiva a tiempo.
10. Gestin de Continuidad del NegocioAconseja estar preparado para contrarrestar lasinterrupciones en las actividades de la organizacin ypara proteger los procesos importantes de laorganizacin en caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,estatutos, obligaciones regulatorias o contractuales yde cualquier requerimiento de seguridad.
-
7/28/2019 Auditoria - Seguridad
23/26
Seguridad de la Informacin
Implementando Seguridad
de la Informacin
Enfoque General
-
7/28/2019 Auditoria - Seguridad
24/26
Seguridad de la Informacin
24
3.- Aplicacin de ISO 17799
ISO 17799 no es una norma tecnolgica.
Esta redactada de forma flexible. Se adapta a cualquier implantacin en todo tipo de
organizaciones sin importar su tamao o sector de
negocio.
Ejemplo de Implantacin
-
7/28/2019 Auditoria - Seguridad
25/26
Seguridad de la Informacin
25
3.- Aplicacin de ISO 17799
Dominio de control: Gestin de comunicaciones y
operaciones
Objetivo de control: proteger la integridad del software y de la
informacin.
Control: Controles contra software malicioso.
Se deberan implantar controles para detectar el
so ftw are malicio so y preven irse con tra l, jun to a
proc edim ientos adecuados para con cienc iar a los
usuarios.
Ejemplo de Implantacin
-
7/28/2019 Auditoria - Seguridad
26/26
Seguridad de la Informacin
26
3.- Aplicacin de ISO 17799
Tras un trabajo de Consultora se establecera:
Normativa de uso de software: definicin y
publicitacin en la Intranet.
Filtrado de contenidos: X - Content Filtering
Antivirus de correo: Y Antivirus
Antivirus personal: Z Antivirus
Ejemplo de Implantacin