Documente Academic
Documente Profesional
Documente Cultură
Introduccin a la
SEGURIDAD DE LA INFORMACIN
Ing. Delfor Chacn Cornejo
dchaconc@gmail.com
Diciembre 2011
1
TEMARIO
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Qu es la seguridad de la informacin? Riesgos, amenazas y vulnerabilidades Implementacin de la seguridad Normas relacionadas Los controles y las prcticas recomendables El sistema de gestin de la seguridad de la informacin (SGSI) Especializacin y aplicacin Conclusiones
2
Qu es la seguridad de la informacin?
Importancia de la informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
La era de la informacin
4
Importancia de la informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
La informacin suele ser el activo ms subvalorado que una organizacin posee (especialmente en los negocios). La informacin puede afectar directamente el activo ms valioso que una organizacin posee: su IMAGEN
Informacin y seguridad
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
La informacin como activo a proteger: La informacin es un activo que, como otros activos de negocio importantes, tiene valor para una organizacin y en consecuencia necesita estar adecuadamente protegida. ISO/IEC 17799:2005
Formas de informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Datos almacenados electrnicamente en computadoras. Datos almacenados en medios digitales: discos, memorias USB. Registros, notas y documentos escritos o impresos en papel. Informacin transmitida por correo postal o electrnico. Contraseas, detalles de cuentas bancarias, resultados de exmenes, etc. Conversaciones habladas.
Minimizar los riesgos y detectar posibles amenazas a la informacin. Limitar las prdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad. Garantizar la adecuada utilizacin de recursos y sistemas que manejan informacin. Cumplir con el marco legal regulatorio.
Integridad
La informacin no debe ser alterada.
Disponibilidad
La informacin debe estar accesible en el momento en que sea solicitada por las entidades autorizadas.
Otras caractersticas
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Responsabilidad
Las entidades rinden cuentas a nivel individual por sus acciones y decisiones.
Confiabilidad
Los resultados obtenidos son consistentes con el comportamiento esperado.
10
Seguridad de la informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Es la proteccin a la informacin de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.
ISO/IEC 17799:2005
11
Seguridad informtica
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Conjunto de medidas que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
Enciclopedia de la Seguridad Informtica, Gmez Vieites
12
13
Definiciones
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Amenaza: Acciones que pueden causar dao segn la severidad y posibilidad de ocurrencia Vulnerabilidad: puntos dbiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concrecin de una amenaza. Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza Incidente: Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
14
Definiciones
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Ataque: Intento de destruir, descubrir, robar o ganar acceso no autorizado o hacer uso no autorizado de un activo.
15
Exposicin a riesgos
16
ATAQUE
INFORMACIN
ATAQUE
17
INFORMACIN
18
Implementacin de la seguridad
19
Acciones de implementacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Lo que implica proteger la informacin: Identificacin de los activos de informacin. Anlisis de los riesgos: proceso sistemtico para identificar y estimar la magnitud del riesgo. Gestin de los riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. Elaboracin de planes de seguridad. Ejecucin de proyectos de seguridad. Control de incidentes y monitorizacin. Auditora de la seguridad.
Acciones permanentes
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Reducir la posibilidad de que se produzcan incidentes de seguridad. Facilitar la rpida deteccin de los incidentes de seguridad. Minimizar el impacto de incidentes de seguridad. Conseguir la rpida recuperacin de los daos ocurridos. Revisar y actualizar las medidas de seguridad implantadas.
21
Controles
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Control: Mecanismo de manejo del riesgo, lo que incluye polticas, procedimientos, guas, prcticas o estructuras organizativas, las que pueden ser de naturaleza administrativa, tcnica, de gestin o legal. Tambin es sinnimo de salvaguarda o contramedida. Tipos de controles Preventivos: eliminan la causa de un potencial incidente. Correctivos: subsanan las condiciones que dieron lugar a un incidente ocurrido. De deteccin: solo alertan sobre la ocurrencia de un incidente.
22
Tecnologas de seguridad
Identificacin de usuarios y gestin de contraseas Control lgico de acceso a recursos Copias de seguridad Redundancia, alta disponibilidad de plataformas Encriptacin de transmisiones Claves dinmicas por hardware (tokens) Firma digital Cortafuegos (firewall) Servidores proxy Deteccin/prevencin de intrusos (IDS/IPS) Prevencin de fuga de datos (DLP) Anlisis y correlacin de eventos de seguridad (SIEM)
23
Si no hay seguridad
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Horas de trabajo perdidas en reparaciones Prdidas financieras por indisponibilidad de aplicaciones o servicios informticos Robo de informacin confidencial Filtracin de informacin personal de empleados, clientes, contactos comerciales, proveedores, etc. Retrasos en procesos de produccin, impacto en la calidad de servicios pblicos y privados. Posible dao a la salud Pago de indemnizaciones por daos y perjuicios a terceros.
24
Normas relacionadas
25
ISO/IEC 27000: introduccin, glosario. ISO/IEC 27001: requisitos de un sistema de gestin de la seguridad (SGSI). ISO/IEC 27002 (antes ISO/IEC 17799): gua de buenas prcticas. ISO/IEC 27003: gua para implementacin del SGSI. ISO/IEC 27004: gua para desarrollo de mtricas. ISO/IEC 27005: lineamientos para gestin de riesgos. ISO/IEC 27006: requisitos de acreditacin para entidades auditoras y certificadoras. muchas ms
26
NTP-ISO/IEC 17799:2007 Equivalente a la ISO/IEC 27002. NTP-ISO/IEC 27001:2008 Equivalente a la ISO/IEC 27001. NTP-ISO/IEC 27005:2009 Equivalente a la ISO/IEC 27005. NTP-ISO/IEC 27006:2009 Equivalente a la ISO/IEC 27006. Disponibles en INDECOPI. Publicaciones no gratuitas.
27
28
29
30
Qu es un SGSI?
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Es un conjunto de polticas (orientaciones de intencin y direccin), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin, bajo un enfoque de gestin de riesgos de negocio.
31
Planificar
Establecer el SGSI
Actuar
Mantener y Mejorar el SGSI
Seguridad gestionada
32
Especializacin y aplicacin
33
Gestin de riesgos Seguridad del acceso fsico Seguridad de redes de cmputo y telecomunicaciones Control y monitorizacin de las operaciones Gestin de identidades y control de acceso a sistemas Proteccin contra cdigo malicioso Continuidad de las operaciones Modelos y arquitecturas de seguridad Gestin de la seguridad de la informacin Legislacin y regulacin
34
Alcance profesional
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
Analistas / ingenieros de seguridad. Ejecutivos en seguridad (p.ej. CISO: Chief Information Security Officer). Auditores. Consultores. Peritos en informtica forense.
35
mbitos de aplicacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
La seguridad de la informacin es un factor crtico en organizaciones con diversos tipos de actividad: Banca y finanzas Aseguradoras Empresas industriales Empresas de servicios profesionales Administracin pblica Instituciones de salud Servicios de telecomunicaciones Servicios de suministro de energa
36
Conclusiones
37
Resumen
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per
La informacin es un activo valioso a proteger. La seguridad de la informacin requiere un proceso de planificacin, ejecucin, seguimiento y mejora continua. Los conceptos de seguridad de la informacin son aplicables a un amplio espectro de actividades productivas. La tecnologa para la seguridad de la informacin es compleja.
38
Preguntas?
39