seg inf sem02

Seguridad Informática Ing. Álvaro Orihuela

Segunda Semana


Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.

Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Además, permite determinar cuanto podemos invertir en seguridad.

Análisis de riesgo


Análisis de riesgoEl Análisis de Riesgos implica:

Determinar qué se necesita proteger.De qué hay que protegerlo.Cómo hacerlo.

Proceso de evaluación de las amenazas, impactos y vulnerabilidades de la información y de los medios de tratamiento de la información y de su probable ocurrencia.


Análisis de riesgos1. Identificación de activos y el costo ante posibles pérdidas (C)

Identificar amenazas

2. Determinar la probabilidad de pérdida (P)

3. Identificar posibles acciones (gasto) y sus implicaciones (G).Seleccionar acciones a implementar.

¿ G PC ?


Gestión del Riesgo

Proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos que afecten a los sistemas de información.


NTP - ISO/IEC 17799:2004

Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información.Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI.

Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamaño o área de actividad.


NTP - ISO/IEC 17799:2004

2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD

3-CLASIFICACIÓN Y CONTROL DE ACTIVOS

1-POLÍTICA DE SEGURIDAD

4-SEGURIDAD EN EL PERSONAL

6-GESTIÓN DECOMUNICACIONESY OPERACIONES

5-SEGURIDAD FÍSICA Y DEL

ENTORNO

8-DESARROLLO YMANTENIMIENTO

DE SISTEMAS

7-CONTROL DE ACCESOS

9-GESTIÓN DE CONTINUIDAD DEL NEGOCIO

10-CUMPLIMIENTO


Control de accesos

Clasificación y

control de los activos

Política de seguridad Organización de

la Seguridad

Seguridad

del personal

Seguridad física y medioambiental Gestión de

comunicaciones

y operaciones

Desarrollo y

mantenimiento

Administración de

la continuidad

Cumplimiento

Información

Confidencialidad

disponibilidad

integridad

NTP - ISO/IEC 17799:2004


NTP - ISO/IEC 17799:2004

1. Política de

seguridad

2. Organización de la Seguridad

3. Clasificación y control de los

activos

7. Control

de accesos

4. Seguridad del personal

5. Seguridad física y del entorno

8. Desarrollo y mantenimiento de Sistemas

6. Gestión de comunicaciones y operaciones

9. Gestión de la continuidad del

negocio

10. Cumplimiento

Organizacional

Operacional


NTP - ISO/IEC 17799:2004


Sistemas de Gestión de la Seguridad de la Información -

SGSIConjunto de elementos que permiten establecer las bases para la administración efectiva de la seguridad de la información comprende:

La política de seguridad

Estructura organizativa

Los procedimientos Estándares Guidelines Baseline

SGSI

El Objetivo del SGSI es salvaguardar la información


Estructura de un SGSI

ProcedimientoProcedimiento

ss

PolíticaPolíticaSeguridadSeguridad

EstándareEstándaress

DirectriceDirectricess


Política de Seguridad de Información


Política de seguridad Informacón - PSI

Es una declaración general producida por la Gerencia General para dictar el papel que juega la seguridad de la información dentro de la organización. “MI PSI”

La política de seguridad señala cómo se estructura el SGSI, establece sus metas, asigna las responsabilidades, muestra el valor estratégico y táctico de la seguridad y esboza cómo se llevará a cabo.

Anuncia el compromiso de la gerencia y el enfoque de la organización para gestionar la seguridad de la información.


Política de seguridad

La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, el documento de política de seguridad de la información.

Cabinas Cabinas Internet Internet

LimaLima

Política de Seguridad Informátic

a


¿Qué debe contener la PSI?

• Definición de los objetivos, alcance e importancia de la seguridad de información.

• El apoyo de la gerencia a los objetivos y principios de la seguridad de la información.

• Descripción de las políticas, estándares, leyes y directrices más importantes.

• Definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información.

• Referencias a documentos a otros documentos que sustentan la política.


Revisión y evaluación - PSI

La política debería tener un propietario que sea responsable de su mantenimiento y revisión. La PSI, debe revisarse ante un cambio que afecte a las bases de la evaluación original de riesgo.

Revisiones periódica para verificar: La efectividad de la política El costo y el impacto de los controles en la

eficiencia del negocio; Los efectos de los cambios a la tecnología.


Estándares

Especifican como el hardware y software será usado. También pueden señalar el comportamiento esperado de los usuarios.Aseguran que los recursos informáticos sean utilizados de manera uniforme. Su cumplimiento es obligatorio. Ejemplo:

• Que todo trabajador porte su fotocheck.• La información confidencial este encriptada


Baseline – Línea base

Establecen el mínimo nivel de seguridad requerido, sin que se constituya un incidente de seguridad. Ejemplo

Configuración básica de una estación de trabajo.Condiciones de funcionamiento de un cableado estructurado.


Guidelines - directrices

Acciones recomendadas y guías operativas para los usuarios, Staff de TI , entre otros; cuando un estándar no es aplicable. Son pautas que brindan cierta flexibilidad ante circunstancias imprevistas o no consideradas. Ejemplo:

Un estándar organizacional establece que todo acceso a información confidencial deber ser auditado. Una Guía podría establecer que datos son necesarios registrar en la pista de auditoría.


Procedimientos

Son tareas detalladas — paso a paso — que deberán ser ejecutadas para alcanzar cierta meta.

Los procedimientos son vistos como el nivel más bajo en la implementación de la PSI política, porque ellos están más relacionados con los recursos de TI y los usuarios. Detallan los pasos para la configuración e instalación de los activos informáticos.


Aspectos Organizativos

Seg. Información


Algunos conceptos

Propietario de la Información: Determina la clasificación de la información dentro de la organización. Responsable de su seguridad cotidiana.

Custodio de la información: Mantiene la información de manera que se conserve y proteja su confidencialidad, integridad y disponibilidad.

Usuario: Utiliza la información en el cumplimiento de sus funciones.


La organización debe establecer una estructura que incluya funciones y responsabilidades para iniciar y controlar la implantación del SGSI.

Aspectos Organizativos Seg. Información


Revisar y aprobar la política de seguridad de la información y de las responsabilidades principales.

Supervisar y controlar los cambios significativos en la exposición de los activos de información a las amenazas principales.


Comité de Seguridad

Se encarga de asegurar una dirección clara y el apoyo visible de la gerencia a las iniciativas de seguridad. Promueve la seguridad en la organización por medio de un compromiso apropiado y de los recursos adecuados


Establecer las funciones y responsabilidades específicas de seguridad de la información en toda la organización

Acordar métodos y procesos específicos para la seguridad de la información.


Comité Interfuncional

Se encarga de la implantación de los controles de seguridad de la información y está formado por los los representantes de las áreas más importantes de la organización.


Estructura de un SGSI

ProcedimientoProcedimiento

ss

PolíticaPolíticaSeguridadSeguridad

EstándareEstándaress

DirectriceDirectricess

Comité de Seguridad

Comité Interfuncional


Es el responsable del desarrollo e implantación de la seguridad y para dar soporte a la identificación de las medidas de control. Oficial de Seguridad.

Asignación de responsabilidades

Director de seguridad de la información

Una práctica habitual consiste en designar un propietario de cada activo de información, que se convierte así en responsable de su seguridad cotidiana.


Deberían definirse claramente las responsabilidades de la protección de los activos individuales y para la ejecución de los procesos específicos de seguridad.

Asignación de responsabilidades

Deberían identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico.

Debería nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidad.

Deberían definirse y documentarse claramente los niveles de autorización.


Equipo de consultores especializado en seguridad de la información.

Especialistas externos en seguridad .

Asesoría para tratar las incidencias de seguridad.

Apoyo de terceros


La PSI establece las directrices generales y responsabilidades sobre la seguridad de la información. La implantación de la PSI debería revisarse de forma independiente para asegurar que:

Revisión del SGSI

¿Se cumple la PSI?

¿Es Factible?

¿Es eficaz?


El acceso de terceros a los dispositivos de tratamiento de información de la organización debe ser controlado .

Realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que se requieren: Suscribir un contrato donde se definen los compromisos para mantener la seguridad de información de la organización.

Tomar las mismas medidas antes de contratar un outsourcing.

Accesos de terceras partes


Clasificación y control de

activos


Clasificación y control de activos

Responsabilidad sobre los Activos

Clasificación de la información

Inventario de activos

Tratamiento de la información


Responsabilidad sobre los activos

Se debería asignar un propietario y responsable a todos los activos de información importantes, con el objeto de mantener una protección adecuada, a través de un control apropiados.

RRHH Ventas


Inventario de activos

Actividad importante de la gestión de riesgos, que consiste en identificar sus activos y determinar su valor e importancia para satisfacer las necesidades de la organización.La protección de los activos debe ser proporcional al valor e importancia de los activos.

Debería establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de información


Activos de un Sist. de información

Activos de informaciónarchivos y bases de datos, documentación del sistema, manuales de los usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada.

Activos de softwareSoftware de aplicación, software del sistema, herramientas y programas de desarrollo.


Activos físicosEquipo de procesamiento (procesadores, monitores, portátiles), equipo de comunicaciones (enrutadores, switchs), medios magnéticos (discos y cintas), otro equipo técnico (suministro de energía, unidades de aire acondicionado), muebles, etc.

ServiciosServicios de procesamiento y comunicaciones, otros servicios (alumbrado, energía, aire acondicionado, etc.).

Activos de un Sist. de Información


Ejemplo


Clasificación y control de activos

“Cuanto mayor relevancia tenga un proceso para el negocio,

mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el

caso de que ocurra un incidente de seguridad en dicho proceso”.



Ordenar la información de acuerdo a su valor e importancia para la organización. La información debería clasificarse para indicar la necesidad, prioridades y grado de protección, con el objeto de asegurar un nivel de protección adecuado.

Esta clasificación debe ser documentada e informada a todo el personal de la organización, y deberá evaluarse y actualizarse periódicamente.



Para clasificar la información se debe considerar los criterios de disponibilidad, integridad y confidencialidad y su importancia para la organización.

Crítica: La no-disponibilidad de esta información ocasiona un daño en los activos de la empresa.

Confidencial: En poder de personas no autorizadas compromete los intereses de la empresa.

Pública: Información de libre circulación.



La información (en formato físico y electrónico) debe ser tratada de acuerdo con el esquema de clasificación adoptado por la organización. El tratamiento de información:

Copia.

Almacenamiento.

Transmisión electrónica.

Transmisión oral.

Destrucción.



La salida de los sistemas de información también debe ser tratada de acuerdo a la clasificación realizada. Se considera como una salida del sistema de información lo siguiente:

Informes impresos y Pantallas.

Medios de almacenamiento (cintas, discos, CDs, DVD).

Mensajes electrónicos.

Transferencias de archivos.


Ideas finales

La seguridad no es un producto, sino un proceso

“...Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende de tecnología”. --- Bruce Schneier


?

seg inf sem02

Documents