Documente Academic
Documente Profesional
Documente Cultură
Informacin
JuanHeguiabehere
Temario
Quesseguridaddelainformacin?
Atributosesencialesdelainformacin
Arquitecturadeseguridaddelainformacin
Procesos
Herramientas
Regulaciones
Estndares
Quesseguridaddelainformacin?
Seguridaddelainformacinsignificaprotegerla
informacinylossistemasdeinformacindel
acceso,uso,difusin,entorpecimiento,
modificacinodestruccinnoautorizados.
Dossentidosparaeltrminoseguridad:
Comocondicinenlaquenoseproducedao,a
pesardelaocurrenciadeamenazas.
Comoconjuntodesalvaguardasquepermiten
alcanzarestacondicin.
Atributosesenciales
Confidencialidad:Lainformacindebeseraccedida
sloporpersonalautorizado.
Integridad:Lainformacinnodebesermodificadao
destruidasinautorizacin,ynodebecontradecirse.
Disponibilidad:Lossistemasdebenfuncionar
correctamenteylainformacindebeestardisponible
cuandoselarequiere.
Autenticidad:Lastransacciones,datos,
comunicacionesydocumentosdebensergenuinos.
Norepudiacin:Enunatransaccin,laspartesno
debenpodernegarquestatuvolugar.
Arquitecturadeseguridaddelainformacin
Seguridad de infraestructura
Gestindelriesgo
Riesgoeslaprobabilidaddequealgomalosuceday
causedao(oprdidatotal)aunactivode
informacin.
Vulnerabilidadesunadebilidadquepuedeser
usadaparahacerpeligrarodaarunactivode
informacin.
Amenazaescualquiercosa(naturaloartificial)que
tieneelpotencialdecausardao.
ElProcesodeSeguridaddelaInformacin
Definicin
de alcance
Evaluacin de
amenazas
Evaluacin de
vulnerabilidades
Evaluacin
de riesgos
Estr. de gestin de
riesgo y plan de
seguridad
Implementacin de
plan de seguridad
Auditora de
seguridad
Alcancedelplandeseguridad
Identificacindegruposdeinters
Representantesdeestosgrupos
Interesesdeestosgrupos
Importanciadelaseguridadparalaestrategiadel
negocio
Importanciadelavisibilidaddelaseguridad
Requerimientoslegales
Evaluacindeamenazas
Inventariodeinformacinyprocesos
Naturalezadelasamenazas
Acceso
Destruccin
Alteracin
Divulgacin
Fuentesdelasamenazas
Unapersonaautorizadaaaccederalainformacin,quelautilizade
maneranoautorizada
Intrusosqueaccedensinautorizacin
Tercerosalosqueselesenvalainformacin
ActosdeDios
Situacindelasamenazas
Situacindelasamenazas
Procesosmanuales,almacenimientodecontenidosydatos
Edificiosdelaorganizacin
Instalacionesdecomputacinycomunicaciones,incluyendo:
Almacenamientodedatos
Permanente
Temporario
Archivo
Softwarequerealiza:
Recepcindedatos
Almacenamiento
Visualizacin
Envo
Accesoalosmediosdealmacenamiento
Transmisindelosdatos
Instalacionesdeterceros
Infraestructura
Evaluacindevulnerabilidades
Laexistenciadeunaamenazanoimplicaundao
Debeconcretarselaamenaza
Debeexistirunasusceptibilidadalaamenaza
Laevaluacindevulnerabilidadesapuntaadescubrirlas
susceptibilidadesexistentesalasamenazasrelevadas
Secontrarrestanpormediodesalvaguardas
Lassalvaguardasintroducensuspropiasvulnerabilidades
Laprobabilidaddequeunaamenazacausedaoatravsde
unavulnerabilidadesloqueconocemoscomoriesgo
Evaluacinderiesgos
Anlisisdevariosfactores:
Probabilidaddequelaamenazaseconcrete
Costodeldaocausadoporlaamenaza
Costodemitigareseriesgo,entreotros:
Tiempodegestin,paraplanificarycontrolar
Tiempodestaffytiempodemquina,parabackups
peridicos
Prdidadeservicioduranteeltiempodebackup
Mediaadicionalparasoftwareydatos
Tiempodestaff,paraentrenamiento
Hardwareredundante
Hostingalternativo
Estrategiasdegestinderiesgo
Estrategiasproactivas:
Evitacin:elnousodeprocesosotecnologasriesgosos
Disuasin:Carteles,publicidaddepolticasdedespido,publicidadencasodejuicios
Prevencin:
Controldeaccesoslgicoyfsico
UPS,protectoresdelnea,hardwaredecalidad
Entrenamientodelpersonal,asignacinderesponsabilidades,polticasde
despido
Estrategiasreactivas:
Deteccin:Detectoresdeincendio,logs,reportedeexcepciones
Recuperacin:BCP,sitiosredundantes
Aseguramiento:Plizasdeseguro,fideicomiso(escrow)desoftwaredeterceros,
contratosdemantenimiento
Estrategiasnoreactivas:
Tolerancia(sicuestamsprevenirsedeldaoqueeldaomismo)
Estrategiasdegestinderiesgoyplandeseguridad
Disearunaestrategiadegestinderiesgoimplica:
Seleccionarunaseriedemedidasquereflejenlasevaluaciones
hechas.Estoincluye:
Salvaguardastcnicas:Prevencin,deteccin,monitoreo
Polticasyprocedimientos
FormulacindeunPlandeSeguridad,medianteelcuallaspolticas
ysalvaguardassehacenefectivas
Asignarrecursosalplandeseguridad
Diseareimplementarcontroles,paradetectarincidentesde
seguridad,investigarlosyenfrentarlos,yverificarquetodoslos
elementosdelplandeseguridadestnoperativos
Inclusindeprocesosdeauditora,paraevaluarperidicamentelas
salvaguardas,laspolticasyprocedimientos,lasprcticasque
realmentesellevanacabo,ylaimplementacindeloscontroles
planeados
Implementacindelplandeseguridad
Elplandeseguridadsedebeimplementarconunafuerte
gestindeproyecto:
Comunicacindepolticas
Creacinymodificacindeprocesosmanuales,deacuerdoa
lasnuevaspolticas
Implementacindesalvaguardas
Cambiodecultura:
Concienciacin
Educacinenlosconceptosgenerales
Capacitacinenlasactitudesyherramientasespecficas
Mantenimientodelanuevacultura
Auditora
Peridica
Exhaustiva
Nolimitadaalassalvaguardastcnicas
Fuertecompromisodeladireccin
Herramientas
Paraayudarconlassalvaguardasorganizacionales:
Checklistsparaevaluacionesdeamenazas,vulnerabilidadesyriesgos
Checklistsdesalvaguardas
Guasparaeldiseodesalvaguardas,comopolticasdecontraseas
Checklistsdesitiosdealertasdeseguridad
Checklistsdesitiosdelosquebajarversionesnuevasyparchesparaelsoftware
Herramientasinternasdeseguridad:
Mtodosdeencriptacin
Antivirus
Herramientasdeanlisisdelogs
Herramientasdeauditoradeseguridadinterna
Herramientasdedeteccindeintrusiones
Chequeodevulnerabilidaddesistemasinternos
Herramientas(Cont.)
Herramientasdeseguridaddered:
Herramientasdecontroldeacceso
Herramientasdegestindelaidentidad:
especificacindeprivilegiosygrupos
creacinyadministracindeusuarios
Programassegurosparaaccesoremoto
Mtodosdeencriptacinydecriptacindemensajes
Soportedemanejodeclavesprivadas
Herramientasdechequeodevalidezdecertificados
Herramientasdemonitoreodetrficodered
Herramientasdefiltradodecontenidoexterno(proxies)
Herramientasdebloqueodetrficonoautorizado(firewalls)
Herramientasdedeteccindeintrusin
Herramientasdetesteodelaseguridadexterna
Encriptacin:RSA
Encriptacinasimtricaunaclavepara
encriptar,otraparadesencriptar.
Segeneranenterosd,e,p,qtalesquepara
cualquierenterom<p.q,si
c=(m^e)modp.q
entonces
m=(c^d)modp.q
Lospares(e,pq)y(d,pq)sonlasclaves.
RSAExplicacinsomera
SegnunteoremadeFermat,sipesunnmeroprimo,entonces
a^(p1)modp=1
paraaenteronodivisibleporp
Sisetomandosenterosprimosgrandespyq,ysebuscandosenterosdye
menoresque(p1).(q1)talesque
d.emod((p1).(q1))=1,
d.e=1+s.(p1).(q1)
paraalgnenteros.Entoncesparacualquierm<p,
m^(p1)modp=1
Elevandoas.(q1)ymultiplicandoporm,
m^(1+s.(p1).(q1))modp=m
m^(d.e)modp=m
Lomismoparaq,yporlotantoparap.q,porlotantom^(d.e)modp.q=m
Infraestructuradeclavepblica(PKI)
Unaautoridadcertificante(CA)certificaqueunente(persona,empresa,servidor)es
quiendiceser.Elcertificadocontienelaclavepblicadelente.
Alencriptarconlaclaveprivada,eldueodelcertificadopuedegarantizarqueun
mensajeesdel.
Alencriptarconlaclavepblica,otrospuedenenviarmensajesquesloeldueodel
certificadopuededescifrar.
SiAquierecomunicarunmensajemdemaneraseguraaB,elprocesoesel
siguiente:
AencriptamconsuclaveprivadaylovuelveaencriptarconlaclavepblicadeB.
Bdesencriptaelmensajeconsuclaveprivadaylovuelveadesencriptarconlaclave
pblicadeA.
Normalmenteseintercambiadeestamaneraunaclavedesesin,queseusapara
encriptarelrestodelacomunicacindeunamaneramenoscomputacionalmente
costosa.
Regulaciones
BCRAA4609
Organizacinfuncional
Proteccindeactivos
Continuidaddelprocesamiento
Operacionesyprocesamientodedatos
Bancaelectrnica
Delegacinenterceros
Aplicativos
SarbanesOxley(SOX)
Seccin302.ExigequeelCEOyelCFOcertifiquenpersonalmentela
veracidaddelosreportesfinancieros
Seccin404.Requierelaimplementacindecontrolesinternosefectivos
Seccin409.Requiereaccesoentiemporealdecualquiercambioenla
condicinfinancieradelaempresa
EstndaresenSeguridaddelainformacin
ISO15443:"InformationtechnologySecurity
techniquesAframeworkforITsecurity
assurance"
ISO17799:"InformationtechnologySecurity
techniquesCodeofpracticeforinformation
securitymanagement"
ISO20000:"InformationtechnologyService
management"
ISO27001:"InformationtechnologySecurity
techniquesInformationsecuritymanagement
systems"
Seguridadenlascomunicaciones:
Estndaresyprotocolos
SSL/TLSEncriptacinparaHTTP
IPSecVPNs
X.509v3Certificadosdigitales
AADSPKIsintransmisindePK
SDSIAlternativaaX.509
P3PPreferenciasdeprivacidad
SSHSecureShell
Conclusin
Lainformacincomoelobjetodelaseguridad
Laseguridadcomounprocesocontinuo
Lanecesidaddepoderdemostrardiligenciay
cuidado
Muchasgracias
porsuatencin