Modulo CIA

TALLLER
SEGURIDAD EN REDES
Instituto Profesional AIEP
2013
Presentation_ID 2009 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Pregunta tipo prueba..
Las instrucciones paso a paso usadas para satisfacer

los requerimientos de un control de cambio son
llamadas:
A. Polticas
B. Estndares
C. Directrices
D. Procedimientos
Introduccin
Modelo de Modelo de Negocio
Negocio basado en la Red
Tradicional
ENFOQUE Seguridad esttica, Seguridad dinmica,
amenazas amenazas cambiantes
conocidas
FILOSOFIA Usuarios Facilita acceso seguro
desconocidos, se en el mundo virtual
bloquea el acceso
FRECUENCIA Espordica: Constante
AMENAZA mensuales o
menos
COSTO DE Bajo o moderado Complejidad y rapidez
SEGURIDAD de cambios aumenta el
costo
Introduccin.
La Seguridad de la informacin: Problema de negocio, no

tecnolgico.
Slo controles tecnolgicos = FRACASO.
La tecnologa de seguridad, por si sola, no puede eliminar todos los
peligros potenciales.
Necesidad de un modelo que unifique las medidas tecnolgicas y
no tecnolgicas.
Desarrollar polticas de seguridad, estndares, procedimientos y
directrices que den forma a la cultura de seguridad informtica.
La seguridad debe ser un facilitador de los negocios y no un
obstculo para realizarlos.
Triada CIA
Confidencialidad
Asegura que la informacin es accedida nicamente

por los usuarios autorizados.
El tipo y nivel de control se establece en base a la
clasificacin de la informacin a proteger.
Ejemplo: Mayor Proteccin - Informacin Militar
Integridad..
Su contenido permanezca inalterado a menos que sea

modificado por personal autorizado
Ejemplo:
Informes Financieros.
Contratos de Trabajos.
Ataques a sistemas informticos por virus.
Disponibilidad..
Capacidad de estar siempre disponible para ser

procesada por las personas autorizadas.
Ejemplo:
Grabaciones de Venta Seguro.
Logs sistemas de accesos.
Riesgos, algunos casos..
Kevin Mitnicks, robo de software y secretos industriales en
compaas como NEC Amrica, NOKIA, Sun Microsystem,
Novell
Perdida estimadas: MMUS$291
Maxim (hacker ruso), rob 25.000 tarjetas de crdito de sitio

WEB de CD Universe
Intent cobrar MUS$ 100
Casos Nacionales:
Robo base de clientes casas comerciales.
Clonacin de tarjetas.
Servicios de Seguridad.
Identificacin
Es la presentacin de identidad de quien solicita un servicio,
en otras palabras, quin dice ser.
Ejemplo: username=jperez
Autenticacin
Es la verificacin de quien solicita un servicio es
efectivamente quien dice ser.
Ejemplo: Entrego algo que slo YO conozco, mi
password=jpe9020x04
Autorizacin
Los permisos otorgados a un individuo una vez que ha sido
autenticado exitosamente.
Auditoria - Responsabilidad
Mantener pistas y registros que permitan efectuar
seguimiento a las acciones dentro de un sistema.
Se sustenta en:
Logs Monitoreo Cuentas personales y otras.
No Repudiacin
Servicio de seguridad en que las partes de una comunicacin
no pueden negar su participacin.
Ejemplo: Uso Firma Digital
Privacidad
Nivel de confidencialidad para la inf. en trnsito en una red o
almacenada en dispositivos fsico o virtual.
Integridad
Servicios de seguridad que aseguren la exactitud y
veracidad de los datos.
Ejemplo: Medios de encriptacin o mecanismos de
seguridad como cdigo hash.
Disponibilidad
Se deben establecer mecanismos y servicios asociados que
permitan velar por la disponibilidad de la informacin va los
sistemas que la sustentan.
Ejemplos
Deteccin y eliminacin de puntos nicos de fallas
Medios de respaldo
Mecanismo de redundancia
Sitios de contingencia
Recuperacin segura frente a interrupciones de servicio
Clasificacin de los Datos.
Rotulacin
Clasificacin de los Datos
Esquema General
Pblica
Cualquier dato que su contenido no afecte el funcionamiento de la
organizacin
Sensitiva
Requiere un nivel ms elevado que la informacin pblica, especial
cuidado por alteraciones no autorizadas.
Privada
Informacin que slo puede ser conocida por la organizacin,
normalmente asociada
a su personal. Ej.: Salarios
Confidencial
Es informacin que slo puede ser conocida por la organizacin y que
afecta considerablemente a sta. Si alteracin o divulgacin puede llevar
a cabo sanciones legales. Ej.: Secretos comerciales, Fusiones futuras.
Clasificacin comercial de menos a mayor importancia
Propietaria
Puede ser accedida por cualquier persona. Pero todo acceso tiene que ir
acompaado con el conocimiento que es propiedad de la organizacin
comercial que lo publica.
Para uso interno solamente

Solo puede ser conocida y publicada dentro de la organizacin y no
puede ser revelada a personal ajeno.
Confidencial
Solo puede ser conocida por cierto personal de la organizacin y la
divulgacin de la misma puede representar una prdida econmica.
Comercial Militar
Confidencial Top Secret
Para uso interno solamente Secret
Privada Confidential
Sensitiva Sensitive But Unclassified
Propietaria Unclassified
Publica
Roles y Responsabilidades..
Los roles y responsabilidades deben ser

definidos formalmente y conocidos por cada
miembro de la empresa.
Alta Administracin
Responsables por mantener un efectivo programa de
seguridad de la inf. y proteccin de los activos.
Son los encargados de formalizar la Poltica General de
Seguridad.
Encargados del nivel estratgico.
Profesional de Seguridad
Responsables por la seguridad
y llevar a la prctica las
directivas de la Alta Administracin.
Usuario
Cualquier persona que interacta directamente con los
sistema o informacin en cualquiera de sus medios, bajo
las polticas y normativas de la empresa.
Auditor
Responsable por verificar el cumplimiento de las polticas,
estndares y procedimientos relacionados con la
Seguridad de la informacin.
Equipo de Respuesta ante Incidentes de Seguridad
Equipo encargado de responder y gestionar los incidentes de
seguridad en la organizacin.
Staff de recuperacin ante desastres y plan de

contingencia
Es liderada por lideres funcionales, pero es coordinada para
todos los miembros de la organizacin.
Se activa frente a un proceso de escalamiento de incidentes
graves o desastres.
Polticas, Estndares , Directrices y
Procedimientos
Normativa
La base de un programa de seguridad de informacin est en

la existencia de polticas, estndares, directrices y
procedimientos formales y conocidos por toda la organizacin
Normativas
Polticas
Definiciones de aspectos de seguridad relevantes en la
empresa realizadas por la Alta administracin.
Las polticas de una organizacin estn ligadas a su
cultura.
Su fortaleza radica en su difusin y la importancia que la
Alta administracin les d.
Procedimientos
Indican especficamente el cmo las polticas, estndares
y directrices son implantados en un entorno operacional.
Nivel muy alto de detalle.
Normativas
Estndares
Son actividades, acciones o reglas ms especificas y
mandataras.
Directrices
Modelo flexible para operar los logros de las polticas.
Campaa de sensibilizacin
Polticas de Seguridad..
Deben abordar todos los mbitos sensibles de la
organizacin.
La cadena de seguridad se puede cortar en su eslabn

ms dbil y abundante (Humano).
Ingeniera Social - Factor Humano.
Polticas de Personal..
1.- Proceso de Seleccin de Personal
Valores ticos comportamiento y capacidades de un

potencial colaborador.
Solicitar ANTECEDENTES del candidato en trabajos

similares.
Verificacin de antecedentes basada en comportamiento

comercial, delictuales, educacin,
recomendacin....
2.- Acuerdos con Empleados
Conocimientos adquiridos por sus empleados queden dentro

de la organizacin y no puedan ser aprovechados por la
competencia.
Acuerdo de NO divulgacin y Confidencialidad / Propiedad
Intelectual.
3.- Practicas de Contratacin y Despidos
A.- Contratacin
Revisin de antecedentes
Periodo de prueba
Acuerdos de Confidencialidad
Conflicto de intereses
B.- Despidos
Devolucin o entrega tarjetas/llaves/material de la
compaa.
Entrevista de salida
Cambio de passwords/cdigos de acceso
4.- Descripcin de trabajo
Concepto claro de las obligaciones y deberes del empleado
5.- Roles y Responsabilidades

Proceso Productivo
Responsabilidad de sus acciones debe ser conocida y
entendida
6.- Separacin de funciones y responsabilidades

Mtodo para reducir el riesgo de mal uso, accidental o
deliberado del sistema
Programa de entrenamiento
Objetivo
Dar a conocer las definiciones de la empresa en relacin a la
seguridad y proteccin de sus activos
Entrenamiento formal
Proceso de induccin
Cursos de certificacin para los profesionales del rea
Cursos a nivel operacional, tecnologas utilizadas
Programa de entrenamiento
Tpicos de entrenamiento
Polticas, estndares y procedimientos
Peligros fsicos y ambientales
Robos
Tipos de intrusiones
Accidentes de trabajo
Medios de entrenamiento
Presentaciones/ Pelculas
Afiches/Boletines
Noticias electrnicas/Pagina Web
Actividades recreativas
Gestin / Control de Cambios..
Por qu?
Eliminar o minimizar los errores humanos
Prevenir el sabotaje o la insercin lgica no deseada
Reducir los tiempos de fallas producidas en los sistemas
Proveer informacin necesaria para el rastreo de fallas
Proveer calidad y confiabilidad de los cambios realizados
Aplica a:
Cambios infraestructura tecnolgica
Cambios en aplicaciones
Desarrolladores Usuarios/Certificacin Operaciones

Ambiente Ambiente de Ambiente
Desarrollo/Prueba Certificacin Produccin
Desarrollo Pruebas de Custodia cdigo

Pruebas de usuario fuente objetos
funcionalidad Pruebas Marcha blanca
Limitada funcionales Rgimen
Pruebas de produccin
integracin normal
Aprobacin
para paso de
produccin
Certificacin Adm. De objetos
En cambios mayores, es necesario analizar los

requerimientos de seguridad y las reas afectadas.
En cambios menos complejos (decisiones tomadas en

una reunin), son implantados de una manera ms
informal.
Separacin de funciones..
La separacin de funciones busca reducir el riesgo, mal
uso, errores accidentales o deliberado del sistema.
Ej.: El encargado de administrar o desarrollar un sistema,

no debe ser el mismo que lo controla y audita.
Rotacin de funciones..
Control complementario
Favorece la posibilidad de deteccin de colusiones
Respaldo para todas las funciones criticas
Disminuye el riesgo de conocimientos por abandono
Separacin de Ambientes
Objetivo: Dividir ambientes de desarrollo, prueba y
operaciones, para prevenir problemas operativos.
"Las actividades de desarrollo y prueba pueden

ocasionar problemas graves en operaciones"
Gestin de Riesgos.
Amenazas (Quien? o Que?)
Agente I/E a la empresa, que genera peligros sobre la CIA de los

activos de informacin
Cualquier agente que presente una dao potencial a la informacin
sistemas o instalaciones.
Actos accidentales
Fallas de equipos
Desastres naturales
Errores causados por las personas
Actos deliberados
Robos
Sabotaje
Vandalismo
Uso indebido de los recursos
Gestin de Riesgos.
Vulnerabilidades
Corresponde a una debilidad del software, hardware

procedimiento que puede proveer a un posible atacante la "puerta
abierta.
Ej.:
Sistemas sin patchs de seguridad
Servicios (ports) innecesarios
Uso de passwords por omisin
Falta de vigilancia para control de acceso fsico
Qu podemos hacer?........
Los riesgos no se eliminan, se administran
Alto
$ Costo de Seguridad
v/s Exposicin
Bajo
Alto
Debe existir relacin entre los activos a proteger y

el costo del control
Factores de Riesgo
Vulnerabilidad
Debilidad
Amenaza
Agente que puede tomar ventaja de una vulnerabilidad
para daar activos de informacin
Riesgo
La probabilidad que una amenaza logre explotar una
vulnerabilidad
Contramedidas
Controles de Seguridad: Administrativos, Tcnicos o
Fsicos
Qu hacer con el riesgo?
Transferirlo: comprando un seguro.
Reducirlo o Mitigarlo: Implementando medidas de

mitigacin.
Renegarlo: Negar su existencia e ignralo.
Aceptarlo: Asume el costo que ocasionara, riesgo

residual.
Administrarlo: Preocupacin constante, asumiendo que la

seguridad es dinmica
Evaluacin del riesgo.
Metodologa Cualitativa
Las mtricas cualitativas se basan en juicios, intuicin y

experiencia en el negocio.
Tcnicas:
Delphi
Entrevistas
Checklist
Evaluacin del riesgo.
Metodologa Cuantitativa
Asignar valores al costo de las medidas de control, a las

perdidas cuando se concreta una amenaza y la
probabilidad de ocurrencia.
Se basan en formulas complejas que asignan valores

porcentuales y econmicos.
Brindan la base para realizar proyecciones

presupuestarias
Gracias

Modulo CIA

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Modulo CIA

Încărcat de

Drepturi de autor:

Formate disponibile

TALLLER

Las instrucciones paso a paso usadas para satisfacer

La Seguridad de la informacin: Problema de negocio, no

Asegura que la informacin es accedida nicamente

Su contenido permanezca inalterado a menos que sea

Capacidad de estar siempre disponible para ser

Maxim (hacker ruso), rob 25.000 tarjetas de crdito de sitio

Para uso interno solamente

Confidencial Top Secret

Para uso interno solamente Secret

Sensitiva Sensitive But Unclassified

Los roles y responsabilidades deben ser

Staff de recuperacin ante desastres y plan de

La base de un programa de seguridad de informacin est en

La cadena de seguridad se puede cortar en su eslabn

Ingeniera Social - Factor Humano.

Valores ticos comportamiento y capacidades de un

Solicitar ANTECEDENTES del candidato en trabajos

Verificacin de antecedentes basada en comportamiento

Conocimientos adquiridos por sus empleados queden dentro

5.- Roles y Responsabilidades

6.- Separacin de funciones y responsabilidades

Desarrolladores Usuarios/Certificacin Operaciones

Desarrollo Pruebas de Custodia cdigo

Certificacin Adm. De objetos

En cambios mayores, es necesario analizar los

En cambios menos complejos (decisiones tomadas en

Ej.: El encargado de administrar o desarrollar un sistema,

"Las actividades de desarrollo y prueba pueden

Agente I/E a la empresa, que genera peligros sobre la CIA de los

Corresponde a una debilidad del software, hardware

Debe existir relacin entre los activos a proteger y

Reducirlo o Mitigarlo: Implementando medidas de

Renegarlo: Negar su existencia e ignralo.

Aceptarlo: Asume el costo que ocasionara, riesgo

Administrarlo: Preocupacin constante, asumiendo que la

Las mtricas cualitativas se basan en juicios, intuicin y

Asignar valores al costo de las medidas de control, a las

Se basan en formulas complejas que asignan valores

Brindan la base para realizar proyecciones

S-ar putea să vă placă și