UNIVERSIDAD NACIONAL SAN LUIS GONZAGA

FACULTAD DE INGENIERA DE SISTEMAS

Seguridad y Auditora
"Si piensas que la tecnologa puede
solucionar tus problemas de
Seguridad; est claro que ni
entiendes los problemas, ni
entiendes la tecnologa"
Bruce Schneier
Seguridad :
Certeza, Garanta, Cumplimiento... Mecanismos que previenen
algn riesgo o aseguran el buen funcionamiento...
Informacin :
Conjunto de datos sobre una actividad especfica...
Datos que poseen significado... ISO-standares
Es un Activo que tiene Valor, cualquiera sea el medio
que lo soporta
Seguridad de la Informacin
Es la proteccin y preservacin adecuada de la Informacin frente a las
amenazas, vulnerabilidades y/o riesgos; asegura la continuidad del negocio
y reduce los posibles daos o perjuicios a la Organizacin..
Principios de la Seguridad Informtica
Podemos definir la Seguridad Informtica como cualquier medida que impida la ejecucin de
operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar
daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el
rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema
Gmez (2006). Enciclopedia de la seguridad informtica. Madrid, RAMA
Otros aspectos a considerar
Cumplimiento de regulaciones legales de acuerdo al sector / tipo de organizacin.
Control en el acceso a los servicios ofrecidos y la informacin guardada por un sistema informtico.
Control en el acceso y utilizacin de ficheros protegidos por la ley: contenidos digitales con derechos de
autor, ficheros con datos de carcter personal.
Identificacin de los autores de la informacin o de los mensajes.
Registro del uso de los servicios de un sistema informtico.
Gmez (2006). Enciclopedia de la seguridad informtica. Madrid, RAMA
Seguridad de la Informacin: Preservacin de su confidencialidad, su integridad y su disponibilidad
Confidentiality, Integrity, Availability : CIA
Servicios de Seguridad de la Informacin
Integridad
Disponibilidad del servicio
Confidencialidad
Datos almacenados en un equipo
Datos guardados en dispositivos ( backup, etc.)
Datos Transmitidos
Autenticacin
De entidad (usuario o equipo)
Mutua o unilateral
Del origen de los datos
No repudiacin
De origen y/o de destino
Autorizacin (control de acceso a equipos y servicios)
Auditabilidad o Trazabilidad (Registrar y monitorear)
Reclamacin de origen (Probar quin fue el creador)
Reclamacin de Propiedad (Probar la titularidad)
Anonimato en el uso de los servicios (Privacidad)
Proteccin a la rplica (Evitar duplicacin)
Confirmacin de la presentacin de un servicio o la realizacin de una
transaccin (Que usuario, entidad)
Referencia temporal (Certificacin de fecha, hora)
Certificacin mediante Terceros de confianza (Garantiza y avala)
De que depende la seguridad de un sistema informtico?
Sensibilizacin de los directivos y responsables de la organizacin.
Conocimientos, capacidades e implicacin de los responsables del sistema informtico.
Mentalizacin, formacin y asuncin de responsabilidad de mtodos los usuarios del sistema.
Correcta instalacin, configuracin y mantenimiento de los equipos.
Limitacin en la asignacin de permisos y privilegios.
Soporte de los fabricantes de hardware y software.
Contemplar no solo la seguridad frente a las amenazas del exterior si no del interior, aplicando el
principio Defensa en Profundidad.
La adaptacin de los objetivos de seguridad y actividades a realizar a las
necesidades reales de las organizacin.
Defensa en Profundidad
Consiste en el diseo e implantacin de varios niveles de seguridad dentro del
sistema informtico de la organizacin.
Objetivos de la Seguridad
Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la
seguridad.
Garantizar la adecuada utilizacin de los recursos y de las aplicaciones del sistema.
Limitar las prdidas y conseguir la adecuada recuperacin del sistema en caso de un
incidente de seguridad
Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus contratos.
Planos de Actuacin
NIST SP 800-16 que contempla las Buenas Prcticas para
la Capacitacin en Temas de Seguridad
Elementos de
Comparacin
Concientizacin Entrenamiento Educacin
(Nivel Experto)
Atributo QU? CMO? POR QU?
Nivel Informacin Conocimiento Visin detallada
Objetivo de
aprendizaje
Reconocimiento y
retencin
Destrezas Entendimiento
Ejemplos de
metodologas
Medios(videos,
afiches)
Instruccin
prctica
Instruccin
prctica
Seguridad como Proceso
Ante un incidente de seguridad
Las organizaciones deben de invertir en capacitar al personal en metodologas que les
permitan rpidamente organizarse para:
Investigar las causas races.
Tomar acciones correctivas.
Realizar la Informtica Forense.
En el aseguramiento de la informacin
Una falla no es una opcin
La informacin computarizada es parte de nuestra sociedad. Su confiabilidad,
credibilidad y disponibilidad se tiene que asegurar para que las funciones bsicas
de ella operen.
La informacin tambin es una entidad virtual y es difcil evaluar su valor.
Adems para los CEO es difcil justificar el esfuerzo y gasto para protegerla.
Su valor impacta en la vida de las personas pero es difcil relacionarla en
trminos especficos como afectar el robo o destruccin.
La Seguridad de la informacin intenta aproximarse a solucionar este problema.
Conceptos de Gobierno
Gobierno
Todo lo que puede ser dirigido o conducido segn reglas.
Gobierno corporativo
Reglas para crear cultura empresarial de eficiencia, equidad y transparencia.
Gobierno de TI (GEIT: Governance of Enterprice IT)
- Estructura de relaciones y procesos para dirigir y controlar la empresa (aadir valor).
- Aporta en el alineamiento de los objetivos de TI y con los objetivos estratgicos de la empresa
(factor clave de xito)
Marcos de gobierno rectores para la seguridad de la informacin
Para la empresa:
o Serie: ISO 27000
o COBIT de ISACA
Para el capital humano
o CISSPCBK
Cmo y porqu usar un marco de control ?
Las Organizaciones considerarn y usarn una variedad de modelos de TI, estndares y
mejores prcticas. Se debe considerar cmo ellos pueden ser usados juntos y COBIT
actuando como el consolidador (sombrilla).
Qu debe aprender la organizacin?
1. Seguridad de la Informacin y Gestin de Riesgos (Information Security and Risk Management)
2. Sistemas y Metodologa de Control de Acceso (Access Control Systems and Methodology)
3. Criptografa (Cryptography)
4. Seguridad Fsica (Physical Security)
5. Arquitectura y Diseo de Seguridad (Security Architecture and Design)
6. Legislacin, Regulaciones, Cumplimiento de las mismas e Investigacin (Legal, Regulations,
Compliance, and Investigation)
7. Seguridad de red y Telecomunicaciones (Telecommunications and Network Security)
8. Planes de continuidad del negocio y de Recuperacin Frente a Desastres (Business Continuity and
Disaster Recovery Planning)
9. Seguridad de Aplicaciones (Applications Security)
10. Seguridad de Operaciones (Operations Security)
Basado en CISSP (Certified Information Systems Security Professional)
Qu debe aprender la organizacin?
Gobierno de la seguridad de la informacin.
Administracin de riesgos de informacin.
Desarrollo de un programa de seguridad de informacin.
Administracin del programa de seguridad de informacin.
Manejo y respuesta de incidentes.
Basado en CISM (Certified Information Security Management) de ISACA
Qu debe tener la organizacin?
Establecer procesos de auditora de SI.
Tener marco de Gobierno de TI.
Administrar el ciclo de vida de la infraestructura y de los sistemas.
Procesos de soporte y entrega de servicios de TI.
Proteger los activos de informacin.
Tener plan de continuidad del negocio y recuperacin ante desastres.
Basado en Certified Information Systems Auditor (CISA) de ISACA Information Systems Audit and Control Association
En Gestin del riesgo ?
Identificacin, valoracin y evaluacin de riesgos.
Respuesta a riesgos.
Monitoreo de riesgos.
Diseo e implementacin de controles de Sistemas de Informacin (SI).
Monitoreo y mantenimiento de controles de SI.
Basado en CRISC: Certified in Risk and Information Systems Control de ISACA
En networking?
Conocimientos para:
Desarrollo de una arquitectura de seguridad
Reconocer amenazas y vulnerabilidades en las redes
Mitigar las amenazas de seguridad
Basados en:
Tecnologias core en seguridad
Instalacion
Troubleshooting
Monitoreo de dispositivos en red para mantener la integridad, confidencialidad y
disponibilidad de los datos y de los dispositivos.
Basado en CCNA Security Certification (Cisco Certified Network Associate)
TEMAS DE INVESTIGACIN
1. Seguridad en los modelos de pago y el dinero electrnico.
2. Seguridad basada en la PKI y en las aplicaciones de Firma Electrnica.
3. La seguridad de las aplicaciones Web y modelos de pentesting.
4. Gestin de identidad segura y mecanismos de autenticacin.
5. Seguridad en movilidad en la empresa extendida.
6. El control de contenidos digitales.
7. Proteccin de la propiedad intelectual digital.
8. Seguridad en la nube y en la virtualizacin.
9. Medicin y monitoreo del riesgo tecnolgico y de la seguridad.
10. Seguridad en egovernment y edemocracy.