Seguridad y Auditora "Si piensas que la tecnologa puede solucionar tus problemas de Seguridad; est claro que ni entiendes los problemas, ni entiendes la tecnologa" Bruce Schneier Seguridad : Certeza, Garanta, Cumplimiento... Mecanismos que previenen algn riesgo o aseguran el buen funcionamiento... Informacin : Conjunto de datos sobre una actividad especfica... Datos que poseen significado... ISO-standares Es un Activo que tiene Valor, cualquiera sea el medio que lo soporta Seguridad de la Informacin Es la proteccin y preservacin adecuada de la Informacin frente a las amenazas, vulnerabilidades y/o riesgos; asegura la continuidad del negocio y reduce los posibles daos o perjuicios a la Organizacin.. Principios de la Seguridad Informtica Podemos definir la Seguridad Informtica como cualquier medida que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema Gmez (2006). Enciclopedia de la seguridad informtica. Madrid, RAMA Otros aspectos a considerar Cumplimiento de regulaciones legales de acuerdo al sector / tipo de organizacin. Control en el acceso a los servicios ofrecidos y la informacin guardada por un sistema informtico. Control en el acceso y utilizacin de ficheros protegidos por la ley: contenidos digitales con derechos de autor, ficheros con datos de carcter personal. Identificacin de los autores de la informacin o de los mensajes. Registro del uso de los servicios de un sistema informtico. Gmez (2006). Enciclopedia de la seguridad informtica. Madrid, RAMA Seguridad de la Informacin: Preservacin de su confidencialidad, su integridad y su disponibilidad Confidentiality, Integrity, Availability : CIA Servicios de Seguridad de la Informacin Integridad Disponibilidad del servicio Confidencialidad Datos almacenados en un equipo Datos guardados en dispositivos ( backup, etc.) Datos Transmitidos Autenticacin De entidad (usuario o equipo) Mutua o unilateral Del origen de los datos No repudiacin De origen y/o de destino Autorizacin (control de acceso a equipos y servicios) Auditabilidad o Trazabilidad (Registrar y monitorear) Reclamacin de origen (Probar quin fue el creador) Reclamacin de Propiedad (Probar la titularidad) Anonimato en el uso de los servicios (Privacidad) Proteccin a la rplica (Evitar duplicacin) Confirmacin de la presentacin de un servicio o la realizacin de una transaccin (Que usuario, entidad) Referencia temporal (Certificacin de fecha, hora) Certificacin mediante Terceros de confianza (Garantiza y avala) De que depende la seguridad de un sistema informtico? Sensibilizacin de los directivos y responsables de la organizacin. Conocimientos, capacidades e implicacin de los responsables del sistema informtico. Mentalizacin, formacin y asuncin de responsabilidad de mtodos los usuarios del sistema. Correcta instalacin, configuracin y mantenimiento de los equipos. Limitacin en la asignacin de permisos y privilegios. Soporte de los fabricantes de hardware y software. Contemplar no solo la seguridad frente a las amenazas del exterior si no del interior, aplicando el principio Defensa en Profundidad. La adaptacin de los objetivos de seguridad y actividades a realizar a las necesidades reales de las organizacin. Defensa en Profundidad Consiste en el diseo e implantacin de varios niveles de seguridad dentro del sistema informtico de la organizacin. Objetivos de la Seguridad Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad. Garantizar la adecuada utilizacin de los recursos y de las aplicaciones del sistema. Limitar las prdidas y conseguir la adecuada recuperacin del sistema en caso de un incidente de seguridad Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos. Planos de Actuacin NIST SP 800-16 que contempla las Buenas Prcticas para la Capacitacin en Temas de Seguridad Elementos de Comparacin Concientizacin Entrenamiento Educacin (Nivel Experto) Atributo QU? CMO? POR QU? Nivel Informacin Conocimiento Visin detallada Objetivo de aprendizaje Reconocimiento y retencin Destrezas Entendimiento Ejemplos de metodologas Medios(videos, afiches) Instruccin prctica Instruccin prctica Seguridad como Proceso Ante un incidente de seguridad Las organizaciones deben de invertir en capacitar al personal en metodologas que les permitan rpidamente organizarse para: Investigar las causas races. Tomar acciones correctivas. Realizar la Informtica Forense. En el aseguramiento de la informacin Una falla no es una opcin La informacin computarizada es parte de nuestra sociedad. Su confiabilidad, credibilidad y disponibilidad se tiene que asegurar para que las funciones bsicas de ella operen. La informacin tambin es una entidad virtual y es difcil evaluar su valor. Adems para los CEO es difcil justificar el esfuerzo y gasto para protegerla. Su valor impacta en la vida de las personas pero es difcil relacionarla en trminos especficos como afectar el robo o destruccin. La Seguridad de la informacin intenta aproximarse a solucionar este problema. Conceptos de Gobierno Gobierno Todo lo que puede ser dirigido o conducido segn reglas. Gobierno corporativo Reglas para crear cultura empresarial de eficiencia, equidad y transparencia. Gobierno de TI (GEIT: Governance of Enterprice IT) - Estructura de relaciones y procesos para dirigir y controlar la empresa (aadir valor). - Aporta en el alineamiento de los objetivos de TI y con los objetivos estratgicos de la empresa (factor clave de xito) Marcos de gobierno rectores para la seguridad de la informacin Para la empresa: o Serie: ISO 27000 o COBIT de ISACA Para el capital humano o CISSPCBK Cmo y porqu usar un marco de control ? Las Organizaciones considerarn y usarn una variedad de modelos de TI, estndares y mejores prcticas. Se debe considerar cmo ellos pueden ser usados juntos y COBIT actuando como el consolidador (sombrilla). Qu debe aprender la organizacin? 1. Seguridad de la Informacin y Gestin de Riesgos (Information Security and Risk Management) 2. Sistemas y Metodologa de Control de Acceso (Access Control Systems and Methodology) 3. Criptografa (Cryptography) 4. Seguridad Fsica (Physical Security) 5. Arquitectura y Diseo de Seguridad (Security Architecture and Design) 6. Legislacin, Regulaciones, Cumplimiento de las mismas e Investigacin (Legal, Regulations, Compliance, and Investigation) 7. Seguridad de red y Telecomunicaciones (Telecommunications and Network Security) 8. Planes de continuidad del negocio y de Recuperacin Frente a Desastres (Business Continuity and Disaster Recovery Planning) 9. Seguridad de Aplicaciones (Applications Security) 10. Seguridad de Operaciones (Operations Security) Basado en CISSP (Certified Information Systems Security Professional) Qu debe aprender la organizacin? Gobierno de la seguridad de la informacin. Administracin de riesgos de informacin. Desarrollo de un programa de seguridad de informacin. Administracin del programa de seguridad de informacin. Manejo y respuesta de incidentes. Basado en CISM (Certified Information Security Management) de ISACA Qu debe tener la organizacin? Establecer procesos de auditora de SI. Tener marco de Gobierno de TI. Administrar el ciclo de vida de la infraestructura y de los sistemas. Procesos de soporte y entrega de servicios de TI. Proteger los activos de informacin. Tener plan de continuidad del negocio y recuperacin ante desastres. Basado en Certified Information Systems Auditor (CISA) de ISACA Information Systems Audit and Control Association En Gestin del riesgo ? Identificacin, valoracin y evaluacin de riesgos. Respuesta a riesgos. Monitoreo de riesgos. Diseo e implementacin de controles de Sistemas de Informacin (SI). Monitoreo y mantenimiento de controles de SI. Basado en CRISC: Certified in Risk and Information Systems Control de ISACA En networking? Conocimientos para: Desarrollo de una arquitectura de seguridad Reconocer amenazas y vulnerabilidades en las redes Mitigar las amenazas de seguridad Basados en: Tecnologias core en seguridad Instalacion Troubleshooting Monitoreo de dispositivos en red para mantener la integridad, confidencialidad y disponibilidad de los datos y de los dispositivos. Basado en CCNA Security Certification (Cisco Certified Network Associate) TEMAS DE INVESTIGACIN 1. Seguridad en los modelos de pago y el dinero electrnico. 2. Seguridad basada en la PKI y en las aplicaciones de Firma Electrnica. 3. La seguridad de las aplicaciones Web y modelos de pentesting. 4. Gestin de identidad segura y mecanismos de autenticacin. 5. Seguridad en movilidad en la empresa extendida. 6. El control de contenidos digitales. 7. Proteccin de la propiedad intelectual digital. 8. Seguridad en la nube y en la virtualizacin. 9. Medicin y monitoreo del riesgo tecnolgico y de la seguridad. 10. Seguridad en egovernment y edemocracy.