Sistema de Gestin de la Seguridad de Informacin

Universidad Politcnica de Baja California

Contenido Tematico
Unidad I Qu es la Seguridad y su Gestin? 1.1 Seguridad de la informacin 1.2 Gestin de la Responsabilidad 1.3 Problemas de Seguridad en la Redes y Sistemas Informticos * Riesgos Informticos: * Vulnerabilidades

Unidad II Normas Aplicables 2.1 ISACA: COBIT 2.2 British Standards Institute: BSI 2.3 International Standards Organization: Normas ISO

2.3.1 ISO/IEC 17799 2.3.2 ISO/IEC 27001

Unidad III Etapas del ciclo del SGSI 3.1 Conceptos fundamentales 3.2 Beneficios de un SGSI 3.3. Anlisis del riesgo dentro de un SGSI 3.4 Modelo P-H-V-A
(Planificar/Hacer/Verificar/Actuar) Plan/Do/Check/Act

Unidad IV Factores de xito 4.1 Seguridad en la cultura de la empresa 4.2 Buen entendimiento de los requisitos de seguridad, de la evaluacin y gestin de los riesgos. 4.3 Convencimiento de la necesidad de la seguridad a directivos y empleados.

Principios de la
Seguridad Informtica Se define como cualquier medida que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos pueden con llevar a daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados

Aspectos o Cuestiones relacionados con Seguridad Informtica:

Cumplimiento de las regulaciones legales aplicables a cada sector o tipo de organizacin, dependiendo del marco legal de cada pas Control en el acceso a los servicios ofrecidos y la informacin guardada por un sistema informtico Control en el acceso y utilizacin de ficheros protegidos por la ley: contenidos digitales con derechos de autor, ficheros con datos de carcter persona; etc. Identificacin de los autores de la informacin o de los mensajes. Registro del uso de los servicios de un sistema informtico, etc.

Seguridad de la Informacin
IEC/17799)

(Norma ISO

Se define como la preservacin de su confidencialidad, su integridad y su disponibilidad

(medidas conocidas como su acrnimo CIA Confidential, Integrity, Availability)

Seguridad Informtica (Norma ISO 7498) Define como una serie de mecanismos que minimizan la vulnerabilidad de bines y recursos en una organizacin.

Seguridad Informtica
2000)

(INFOSEC Glossary

Son las medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de informacin, incluyendo hardware, software, firmware y aquella informacin que procesan, almacenan y comunican.

Factores de la seguridad de un sistema informtico La sensibilizacin de los directivos y responsables de la organizacin, que deben ser conscientes de la necesidad de destinar recursos a esta funcin. Los conocimientos, capacidades e implicacin de los responsables del sistema informtico: dominio de la tecnologa utilizada en el sistema

La limitacin en la asignacin de los permisos y privilegios de los usuarios. El soporte de los fabricantes de hardware y software, con la publicacin de parches y actualizaciones de sus productos que permitan corregir los fallos y problemas relacionados con la seguridad. Contemplar no solo la seguridad frente

Principio de DEFENSA EN PROFUNDIDAD Consiste en el diseo e implementacin de varios niveles de seguridad dentro del sistema informtico de la organizacin.

Encriptaci n datos sensibles

Usuarios

Separacin Sistema Informtico Configuraci de redes Gestin n robusta (segmentacin Vulnerable LAN, de de de equipos
creacin de VLAN..)

Seguridad perimetra l (cortafueg os, IDS..)

Objetivos de la Seguridad Informtica Minimizar y gestionar los riesgos y detectar los posibles problemas y amenazas a la seguridad Garantizar la adecuada utilizacin de los recursos y de las aplicaciones del sistema Limitar las perdidas y conseguir la

Planos de actuacin para el cumplimiento de los objetivos de una organizacin:

Tcnico Legal Humano Organizativo

ante
Una organizacin debe entender la Seguridad como un proceso y no como un producto que se pueda comprar o Instalar Se trata de un ciclo iterativo, en el que se incluyen actividades como: Valoracin de riesgos, Prevencin, Deteccin, y

i
Reducir la posibilidad de que se produzcan incidentes de seguridad Facilitar la rpida deteccin de los incidentes de seguridad

Revisin y actualizacin de las medidas de seguridad implantadas (auditoria)

La Seguridad como Proceso

Conseguir la rpida recuperacin de los daos experimentados

Minimizar el impacto en el sistema de informacin

Servicios de Seguridad de la Informacin

Confidencialidad Autenticacin Integridad No repudiacin Disponibilidad Autorizacin (control de acceso a equipos y servicios) Adaptabilidad Reclamacin de origen Reclamacin de propiedad Anonimato en el uso de los servicios

Confidencialidad Se garantiza que cada mensaje transmitido o almacenado en sistema informtico solo podr ser ledo por su legitimo destinatario. Autenticacin Garantiza que la identidad del creador de un mensaje o documento es legitima.

No repudiacin Implementar un mecanismo probatorio que permitir demostrar la autora y envi de un determinado mensaje. Disponibilidad Garantizar el cumplimiento de sus objetivos. Garantizar su correcto funcionamiento, de manera que pueda estar permanentemente a

Autorizacin

( Control de acceso a equipos y servicios)

Se persigue controlar el acceso de los usuarios a distintos equipos y servicios ofrecidos por el sistema informtico, una vez superado el proceso de autenticacin de cada usuario. Auditabilidad Permite registrar o monitorizar la utilizacion de los distintos recursos del sistema por parte de los usuarios que han sido previamente autenticados y autorizados

Reclamacin de Origen El sistema permite probar quien ha sido el creador de un determinado mensaje o documento Reclamacin de propiedad Permite probar que un determinado documento o un contenido digital protegido por derechos de autor pertenece a un determinado usuario u organizacin que ostenta la

Anonimato en el uso de los servicios Podr resultar conveniente garantizar el anonimato de los usuarios que acceden a los recursos y consumen determinados tipos de servicios, preservando de este modo su privacidad Proteccin a la replica Trata de impedir la realizacin de ataques de repeticin (replay

Confirmacin de la presentacin de un servicio realizado de una transaccin Permite confirmar la realizacin de una operacin o transaccin, reflejando los usuarios o entidades que han intervenido en esta Referencia temporal (certificacin de fechas) Se consigue demostrar el instante concreto en que se ha enviado en un

Certificacin mediante Terceros de Confianza Organismo que se encarga de certificar la realizacin y el contenido de las operaciones y de avalar la identidad de los intervinientes, dotando de este modo a las transacciones electrnicas de una mayor seguridad jurdica.

Servicios de Seguridad de la Informacin

Confidencialidad

No repudiacin
De origen y/o destino

Datos almacenados en un equipo Datos guardados dispositivos de backup Datos transmitidos en

Autenticacin

Confirmacin de la presentacin de un servicio Referencia temporal Autorizacin (control de

acceso a equipo y servicios)

De entidad (usuario o equipo)

Mutua o unilateral

Del origen de los datos

Integridad Proteccin a la replica

Adaptabilidad o trazabilidad Disponibilidad del servicio Anonimato en el uso de los servicios

Tcnicas y mecanismos de seguridad para poder ofrecer los servicios de seguridad Identificacin de usuarios y polticas de contraseas

Informacin a Proteger

La informacin asociado a nuestros clientes. La informacin asociado a nuestras ventas. La informacin asociada a nuestro personal. La informacin asociada a nuestros productos. La informacin asociada a nuestras operaciones.

Gestin de la responsabilidad

Activos Fsicos

Datos e informacin sobre el negocio

Implantacin de determinadas medidas de seguridad = Esfuerzo econmico para una organizacin = Realizar un anlisis preliminar de las posibles perdidas para la organizacin y una evaluacin de los riesgos:
Que puede ir mal? Con que frecuencia puede ocurrir? Cuales serian sus consecuencias para la organizacin?

Prejuicios para la organizacin

Horas de trabajo invertidas en las reparacin y reconfiguracin de los equipos y redes

Perdidas ocasionadas por la indisponibilidad de diversas aplicacin y servicios informticos

Robo de informacin confidencial y su posible revelacin a terceros no autorizados

Filtracin de datos personales de usuarios registrados en el sistema

Posible impacto en la imagen de la empresa ante terceros

Retrasos en los proceso de produccin, perdida de pedidos, impacto de calidad del servicio, perdida de oportunidades de negocio

Posibles daos a las salud de las personas, con perdidas de vidas humanas en los casos graves

Pago de indemnizaciones por daos y perjuicios a terceros, teniendo que afrontar adems posibles responsabilidades legales y la imposicin de sanciones administrativas