Sunteți pe pagina 1din 26

Seguridaddela

Informacin

JuanHeguiabehere


Temario

Quesseguridaddelainformacin?
Atributosesencialesdelainformacin
Arquitecturadeseguridaddelainformacin
Procesos
Herramientas
Regulaciones
Estndares


Quesseguridaddelainformacin?

Seguridaddelainformacinsignificaprotegerla
informacinylossistemasdeinformacindel
acceso,uso,difusin,entorpecimiento,
modificacinodestruccinnoautorizados.
Dossentidosparaeltrminoseguridad:
Comocondicinenlaquenoseproducedao,a
pesardelaocurrenciadeamenazas.
Comoconjuntodesalvaguardasquepermiten
alcanzarestacondicin.


Atributosesenciales

Confidencialidad:Lainformacindebeseraccedida
sloporpersonalautorizado.
Integridad:Lainformacinnodebesermodificadao
destruidasinautorizacin,ynodebecontradecirse.
Disponibilidad:Lossistemasdebenfuncionar
correctamenteylainformacindebeestardisponible
cuandoselarequiere.
Autenticidad:Lastransacciones,datos,
comunicacionesydocumentosdebensergenuinos.
Norepudiacin:Enunatransaccin,laspartesno
debenpodernegarquestatuvolugar.

Arquitecturadeseguridaddelainformacin

Seguridad especfica de la aplicacin

Gestin de Gestin de amenazas


vulnerabilidad Anlisis, prevencin,
Anlisis, Deteccin, Aseguramiento, Planes de
Investigacin, Adaptacin recuperacin

Seguridad de infraestructura

Seguridad tcnica Seguridad organizacional


Hardware, software, Estructura y procesos
redes


Gestindelriesgo

Riesgoeslaprobabilidaddequealgomalosuceday
causedao(oprdidatotal)aunactivode
informacin.
Vulnerabilidadesunadebilidadquepuedeser
usadaparahacerpeligrarodaarunactivode
informacin.
Amenazaescualquiercosa(naturaloartificial)que
tieneelpotencialdecausardao.


ElProcesodeSeguridaddelaInformacin

Definicin
de alcance

Evaluacin de
amenazas

Evaluacin de
vulnerabilidades

Evaluacin
de riesgos

Estr. de gestin de
riesgo y plan de
seguridad

Implementacin de
plan de seguridad

Auditora de
seguridad


Alcancedelplandeseguridad

Identificacindegruposdeinters
Representantesdeestosgrupos
Interesesdeestosgrupos
Importanciadelaseguridadparalaestrategiadel
negocio
Importanciadelavisibilidaddelaseguridad
Requerimientoslegales


Evaluacindeamenazas

Inventariodeinformacinyprocesos
Naturalezadelasamenazas
Acceso
Destruccin
Alteracin
Divulgacin
Fuentesdelasamenazas
Unapersonaautorizadaaaccederalainformacin,quelautilizade
maneranoautorizada
Intrusosqueaccedensinautorizacin
Tercerosalosqueselesenvalainformacin
ActosdeDios
Situacindelasamenazas

Situacindelasamenazas
Procesosmanuales,almacenimientodecontenidosydatos
Edificiosdelaorganizacin
Instalacionesdecomputacinycomunicaciones,incluyendo:
Almacenamientodedatos
Permanente
Temporario
Archivo
Softwarequerealiza:
Recepcindedatos
Almacenamiento
Visualizacin
Envo
Accesoalosmediosdealmacenamiento
Transmisindelosdatos
Instalacionesdeterceros

Infraestructura
Evaluacindevulnerabilidades

Laexistenciadeunaamenazanoimplicaundao
Debeconcretarselaamenaza
Debeexistirunasusceptibilidadalaamenaza
Laevaluacindevulnerabilidadesapuntaadescubrirlas
susceptibilidadesexistentesalasamenazasrelevadas
Secontrarrestanpormediodesalvaguardas
Lassalvaguardasintroducensuspropiasvulnerabilidades
Laprobabilidaddequeunaamenazacausedaoatravsde
unavulnerabilidadesloqueconocemoscomoriesgo


Evaluacinderiesgos

Anlisisdevariosfactores:
Probabilidaddequelaamenazaseconcrete
Costodeldaocausadoporlaamenaza
Costodemitigareseriesgo,entreotros:
Tiempodegestin,paraplanificarycontrolar
Tiempodestaffytiempodemquina,parabackups
peridicos
Prdidadeservicioduranteeltiempodebackup
Mediaadicionalparasoftwareydatos
Tiempodestaff,paraentrenamiento
Hardwareredundante
Hostingalternativo


Estrategiasdegestinderiesgo

Estrategiasproactivas:
Evitacin:elnousodeprocesosotecnologasriesgosos
Disuasin:Carteles,publicidaddepolticasdedespido,publicidadencasodejuicios
Prevencin:
Controldeaccesoslgicoyfsico
UPS,protectoresdelnea,hardwaredecalidad
Entrenamientodelpersonal,asignacinderesponsabilidades,polticasde
despido
Estrategiasreactivas:
Deteccin:Detectoresdeincendio,logs,reportedeexcepciones
Recuperacin:BCP,sitiosredundantes
Aseguramiento:Plizasdeseguro,fideicomiso(escrow)desoftwaredeterceros,
contratosdemantenimiento
Estrategiasnoreactivas:
Tolerancia(sicuestamsprevenirsedeldaoqueeldaomismo)


Estrategiasdegestinderiesgoyplandeseguridad

Disearunaestrategiadegestinderiesgoimplica:
Seleccionarunaseriedemedidasquereflejenlasevaluaciones
hechas.Estoincluye:
Salvaguardastcnicas:Prevencin,deteccin,monitoreo
Polticasyprocedimientos
FormulacindeunPlandeSeguridad,medianteelcuallaspolticas
ysalvaguardassehacenefectivas
Asignarrecursosalplandeseguridad
Diseareimplementarcontroles,paradetectarincidentesde
seguridad,investigarlosyenfrentarlos,yverificarquetodoslos
elementosdelplandeseguridadestnoperativos
Inclusindeprocesosdeauditora,paraevaluarperidicamentelas
salvaguardas,laspolticasyprocedimientos,lasprcticasque
realmentesellevanacabo,ylaimplementacindeloscontroles
planeados

Implementacindelplandeseguridad

Elplandeseguridadsedebeimplementarconunafuerte
gestindeproyecto:
Comunicacindepolticas
Creacinymodificacindeprocesosmanuales,deacuerdoa
lasnuevaspolticas
Implementacindesalvaguardas
Cambiodecultura:
Concienciacin
Educacinenlosconceptosgenerales
Capacitacinenlasactitudesyherramientasespecficas
Mantenimientodelanuevacultura


Auditora

Peridica
Exhaustiva
Nolimitadaalassalvaguardastcnicas
Fuertecompromisodeladireccin


Herramientas

Paraayudarconlassalvaguardasorganizacionales:
Checklistsparaevaluacionesdeamenazas,vulnerabilidadesyriesgos
Checklistsdesalvaguardas
Guasparaeldiseodesalvaguardas,comopolticasdecontraseas
Checklistsdesitiosdealertasdeseguridad
Checklistsdesitiosdelosquebajarversionesnuevasyparchesparaelsoftware
Herramientasinternasdeseguridad:
Mtodosdeencriptacin
Antivirus
Herramientasdeanlisisdelogs
Herramientasdeauditoradeseguridadinterna
Herramientasdedeteccindeintrusiones
Chequeodevulnerabilidaddesistemasinternos


Herramientas(Cont.)

Herramientasdeseguridaddered:
Herramientasdecontroldeacceso
Herramientasdegestindelaidentidad:
especificacindeprivilegiosygrupos
creacinyadministracindeusuarios
Programassegurosparaaccesoremoto
Mtodosdeencriptacinydecriptacindemensajes
Soportedemanejodeclavesprivadas
Herramientasdechequeodevalidezdecertificados
Herramientasdemonitoreodetrficodered
Herramientasdefiltradodecontenidoexterno(proxies)
Herramientasdebloqueodetrficonoautorizado(firewalls)
Herramientasdedeteccindeintrusin

Herramientasdetesteodelaseguridadexterna

Encriptacin:RSA

Encriptacinasimtricaunaclavepara
encriptar,otraparadesencriptar.
Segeneranenterosd,e,p,qtalesquepara
cualquierenterom<p.q,si
c=(m^e)modp.q
entonces
m=(c^d)modp.q
Lospares(e,pq)y(d,pq)sonlasclaves.


RSAExplicacinsomera
SegnunteoremadeFermat,sipesunnmeroprimo,entonces

a^(p1)modp=1

paraaenteronodivisibleporp
Sisetomandosenterosprimosgrandespyq,ysebuscandosenterosdye
menoresque(p1).(q1)talesque

d.emod((p1).(q1))=1,

d.e=1+s.(p1).(q1)
paraalgnenteros.Entoncesparacualquierm<p,

m^(p1)modp=1
Elevandoas.(q1)ymultiplicandoporm,

m^(1+s.(p1).(q1))modp=m

m^(d.e)modp=m
Lomismoparaq,yporlotantoparap.q,porlotantom^(d.e)modp.q=m


Infraestructuradeclavepblica(PKI)
Unaautoridadcertificante(CA)certificaqueunente(persona,empresa,servidor)es
quiendiceser.Elcertificadocontienelaclavepblicadelente.
Alencriptarconlaclaveprivada,eldueodelcertificadopuedegarantizarqueun
mensajeesdel.
Alencriptarconlaclavepblica,otrospuedenenviarmensajesquesloeldueodel
certificadopuededescifrar.
SiAquierecomunicarunmensajemdemaneraseguraaB,elprocesoesel
siguiente:
AencriptamconsuclaveprivadaylovuelveaencriptarconlaclavepblicadeB.
Bdesencriptaelmensajeconsuclaveprivadaylovuelveadesencriptarconlaclave
pblicadeA.
Normalmenteseintercambiadeestamaneraunaclavedesesin,queseusapara
encriptarelrestodelacomunicacindeunamaneramenoscomputacionalmente
costosa.


Regulaciones

BCRAA4609
Organizacinfuncional
Proteccindeactivos
Continuidaddelprocesamiento
Operacionesyprocesamientodedatos
Bancaelectrnica
Delegacinenterceros
Aplicativos
SarbanesOxley(SOX)
Seccin302.ExigequeelCEOyelCFOcertifiquenpersonalmentela
veracidaddelosreportesfinancieros
Seccin404.Requierelaimplementacindecontrolesinternosefectivos
Seccin409.Requiereaccesoentiemporealdecualquiercambioenla
condicinfinancieradelaempresa

EstndaresenSeguridaddelainformacin

ISO15443:"InformationtechnologySecurity
techniquesAframeworkforITsecurity
assurance"
ISO17799:"InformationtechnologySecurity
techniquesCodeofpracticeforinformation
securitymanagement"
ISO20000:"InformationtechnologyService
management"
ISO27001:"InformationtechnologySecurity
techniquesInformationsecuritymanagement
systems"

Seguridadenlascomunicaciones:
Estndaresyprotocolos

SSL/TLSEncriptacinparaHTTP
IPSecVPNs
X.509v3Certificadosdigitales
AADSPKIsintransmisindePK
SDSIAlternativaaX.509
P3PPreferenciasdeprivacidad
SSHSecureShell


Conclusin

Lainformacincomoelobjetodelaseguridad
Laseguridadcomounprocesocontinuo
Lanecesidaddepoderdemostrardiligenciay
cuidado


Muchasgracias
porsuatencin

S-ar putea să vă placă și