Documente Academic
Documente Profesional
Documente Cultură
Introduccin a la
SEGURIDAD DE LA INFORMACIN
TEMARIO
Qu es la seguridad de la informacin? Riesgos, amenazas y vulnerabilidades Implementacin de la seguridad Normas relacionadas Los controles y las prcticas recomendables El sistema de gestin de la seguridad de la informacin (SGSI) Especializacin y aplicacin Conclusiones
Qu es la seguridad de la informacin?
Importancia de la informacin
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
La era de la informacin
4
Importancia de la informacin
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
La informacin suele ser el activo ms subvalorado que una organizacin posee (especialmente en los negocios). La informacin puede afectar directamente el activo ms valioso que una organizacin posee: su IMAGEN
Informacin y seguridad
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
La informacin como activo a proteger: La informacin es un activo que, como otros activos de negocio importantes, tiene valor para una organizacin y en consecuencia necesita estar adecuadamente protegida. ISO/IEC 17799:2005
Formas de informacin
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Datos almacenados electrnicamente en computadoras. Datos almacenados en medios digitales: discos, memorias USB. Registros, notas y documentos escritos o impresos en papel. Informacin transmitida por correo postal o electrnico. Contraseas, detalles de cuentas bancarias, resultados de exmenes, etc. Conversaciones habladas.
7
Minimizar los riesgos y detectar posibles amenazas a la informacin. Limitar las prdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad. Garantizar la adecuada utilizacin de recursos y sistemas que manejan informacin. Cumplir con el marco legal regulatorio.
Integridad
La informacin debe estar accesible en el momento en que sea solicitada por las entidades autorizadas.
Disponibilidad
Otras caractersticas
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Las entidades rinden cuentas a nivel individual por sus acciones y decisiones.
Responsabilidad
Seguridad de la informacin
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Es la proteccin a la informacin de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.
ISO/IEC 17799:2005
11
Seguridad informtica
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Conjunto de medidas que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
Enciclopedia de la Seguridad Informtica, Gmez Vieites
12
13
Definiciones
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Amenaza: Acciones que pueden causar dao segn la severidad y posibilidad de ocurrencia Vulnerabilidad: puntos dbiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concrecin de una amenaza. Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza Incidente: Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
14
Definiciones
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
informacin; software, tal como un programa de computadora; hardware, como una computadora; servicios; personas, sus calificaciones, habilidades y experiencia; intangibles, como fama e imagen.
Ataque: Intento de destruir, descubrir, robar o ganar acceso no autorizado o hacer uso no autorizado de un activo.
15
ATAQUE
Exposicin a riesgos
AT AQ UE
UE AQ AT
UE AQ AT
TECNOLOGA ENTORNO
AT AQ UE
16
T IC AS Proteccin PR O
UE AQ AT
OL
contra riesgos
AT AQ UE
CE SO S
TECNOLOGA ENTORNO
ATAQUE
INFORMACIN
T ND AR ES
E
UE
UE AQ AT
AT AQ
AT AQ UE
E QU TA A
U AQ AT
AT TA CK
ATAQUE
EN TR EN AM
17
Implementacin de la seguridad
18
Implementar
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Lo que implica proteger la informacin: identificacin de los activos de informacin anlisis de los riesgos: proceso sistemtico para identificar y estimar la magnitud del riesgo. gestin de los riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. Elaboracin de planes de seguridad Ejecucin de proyectos de seguridad. Control de incidentes y monitorizacin. Auditora de la seguridad.
Proceso de seguridad
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Reducir la posibilidad de que se produzcan incidentes de seguridad Facilitar la rpida deteccin de los incidentes de seguridad Minimizar el impacto del incidente Conseguir la rpida recuperacin de los daos ocurridos Revisar y actualizar las medidas de seguridad implantadas
20
Controles
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Control: Medio de manejo del riesgo, lo que incluye polticas, procedimientos, guas, prcticas o estructuras organizativas, las que pueden ser de naturaleza administrativa, tcnica, de gestin o legal. Tambin es sinnimo de salvaguarda o contramedida. Tipos de controles: Preventivos: eliminan la causa de un potencial incidente. Correctivos: eliminan la causa de un tipo de incidente. De deteccin: solo alertan sobre la ocurrencia de un incidente.
21
Tecnologas de seguridad
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Identificacin de usuarios y gestin de contraseas Control lgico de acceso a recursos Copias de seguridad Centros de respaldo Encriptacin de transmisiones Sellado temporal de mensajes Firma digital Cortafuegos (firewall) Servidores proxy Sistemas de deteccin de intrusos (IDS) Sistemas de prevencin de intrusos (IPS)
22
Si no hay seguridad
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Horas de trabajo perdidas en reparaciones Prdidas financieras por indisponibilidad de aplicaciones o servicios informticos Robo de informacin confidencial Filtracin de informacin personal de empleados, clientes, contactos comerciales, proveedores, etc. Retrasos en procesos de produccin, impacto en la calidad de servicios pblicos y privados. Posible dao a la salud Pago de indemnizaciones por daos y perjuicios a terceros.
23
Normas relacionadas
24
ISO/IEC 27000: introduccin, glosario. ISO/IEC 27001: requisitos de un sistema de gestin de la seguridad (SGSI). ISO/IEC 27002 (antes ISO/IEC 17799): gua de buenas prcticas. ISO/IEC 27003: gua para implementacin del SGSI. ISO/IEC 27004: gua para desarrollo de mtricas. ISO/IEC 27005: lineamientos para gestin de riesgos. ISO/IEC 27006: requisitos de acreditacin para entidades auditoras y certificadoras. muchas ms
25
NTP-ISO/IEC 17799:2007 Equivalente a la ISO/IEC 27002. NTP-ISO/IEC 27001:2008 Equivalente a la ISO/IEC 27001. NTP-ISO/IEC 27006:2009 Equivalente a la ISO/IEC 27006. NTP-ISO/IEC 27005:2009 Equivalente a la ISO/IEC 27005. Disponibles en INDECOPI. Publicaciones no gratuitas.
26
27
28
29
Qu es un SGSI?
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Es un conjunto de polticas (orientaciones de intencin y direccin), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin, bajo un enfoque de gestin de riesgos de negocio.
30
Planifi car
Actuar
Partes Interesadas
Hacer
Requisitos y expectativas
Partes Interesadas
Verificar
Seguridad Gestionada
31
Especializacin y aplicacin
32
reas de especializacin
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Gestin de riesgos Seguridad del acceso fsico Seguridad de redes de cmputo y telecomunicaciones Control y monitorizacin de las operaciones Gestin de identidades y control de acceso a sistemas Proteccin contra cdigo malicioso Continuidad de las operaciones Modelos y arquitecturas de seguridad Gestin de la seguridad de la informacin Legislacin y regulacin
33
mbitos profesionales
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
Administradores / operadores de TI: sistemas de cmputo sistemas de informacin bases de datos redes y telecomunicaciones sistemas de seguridad Analistas / ingenieros de seguridad. Ejecutivos en seguridad (p.ej. CISO: Chief Information Security Officer). Auditores. Consultores. Peritos en informtica forense.
34
mbitos de aplicacin
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
La seguridad de la informacin es un factor crtico en organizaciones con diversos tipos de actividad: Banca y finanzas Aseguradoras Empresas industriales Empresas de servicios profesionales Administracin pblica Instituciones de salud Servicios de telecomunicaciones Servicios de suministro de energa
35
Conclusiones
(Proverbio checoslovaco)
36
Resumen
Universidad Nacional Santiago Antnez de Mayolo IEEE Rama Estudiantil
La informacin es un activo valioso a proteger. La seguridad de la informacin requiere un proceso de planificacin, ejecucin, seguimiento y mejora continua. La tecnologa para la seguridad de la informacin es compleja.
37
Preguntas?
38