seg inf sem02
Post on 20-Jun-2015
3.825 Views
Preview:
DESCRIPTION
TRANSCRIPT
Seguridad Informática Ing. Álvaro Orihuela
Segunda Semana
Seguridad Informática Ing. Álvaro Orihuela
Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.
Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Además, permite determinar cuanto podemos invertir en seguridad.
Análisis de riesgo
Seguridad Informática Ing. Álvaro Orihuela
Análisis de riesgoEl Análisis de Riesgos implica:
Determinar qué se necesita proteger.De qué hay que protegerlo.Cómo hacerlo.
Proceso de evaluación de las amenazas, impactos y vulnerabilidades de la información y de los medios de tratamiento de la información y de su probable ocurrencia.
Seguridad Informática Ing. Álvaro Orihuela
Análisis de riesgos1. Identificación de activos y el costo ante posibles pérdidas (C)
Identificar amenazas
2. Determinar la probabilidad de pérdida (P)
3. Identificar posibles acciones (gasto) y sus implicaciones (G).Seleccionar acciones a implementar.
¿ G PC ?
Seguridad Informática Ing. Álvaro Orihuela
Gestión del Riesgo
Proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos que afecten a los sistemas de información.
Seguridad Informática Ing. Álvaro Orihuela
NTP - ISO/IEC 17799:2004
Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información.Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI.
Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamaño o área de actividad.
Seguridad Informática Ing. Álvaro Orihuela
NTP - ISO/IEC 17799:2004
2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD
3-CLASIFICACIÓN Y CONTROL DE ACTIVOS
1-POLÍTICA DE SEGURIDAD
4-SEGURIDAD EN EL PERSONAL
6-GESTIÓN DECOMUNICACIONESY OPERACIONES
5-SEGURIDAD FÍSICA Y DEL
ENTORNO
8-DESARROLLO YMANTENIMIENTO
DE SISTEMAS
7-CONTROL DE ACCESOS
9-GESTIÓN DE CONTINUIDAD DEL NEGOCIO
10-CUMPLIMIENTO
Seguridad Informática Ing. Álvaro Orihuela
Control de accesos
Clasificación y
control de los activos
Política de seguridad Organización de
la Seguridad
Seguridad
del personal
Seguridad física y medioambiental Gestión de
comunicaciones
y operaciones
Desarrollo y
mantenimiento
Administración de
la continuidad
Cumplimiento
Información
Confidencialidad
disponibilidad
integridad
NTP - ISO/IEC 17799:2004
Seguridad Informática Ing. Álvaro Orihuela
NTP - ISO/IEC 17799:2004
1. Política de
seguridad
2. Organización de la Seguridad
3. Clasificación y control de los
activos
7. Control
de accesos
4. Seguridad del personal
5. Seguridad física y del entorno
8. Desarrollo y mantenimiento de Sistemas
6. Gestión de comunicaciones y operaciones
9. Gestión de la continuidad del
negocio
10. Cumplimiento
Organizacional
Operacional
Seguridad Informática Ing. Álvaro Orihuela
NTP - ISO/IEC 17799:2004
Seguridad Informática Ing. Álvaro Orihuela
Sistemas de Gestión de la Seguridad de la Información -
SGSIConjunto de elementos que permiten establecer las bases para la administración efectiva de la seguridad de la información comprende:
La política de seguridad
Estructura organizativa
Los procedimientos Estándares Guidelines Baseline
SGSI
El Objetivo del SGSI es salvaguardar la información
Seguridad Informática Ing. Álvaro Orihuela
Estructura de un SGSI
ProcedimientoProcedimiento
ss
PolíticaPolíticaSeguridadSeguridad
EstándareEstándaress
DirectriceDirectricess
Seguridad Informática Ing. Álvaro Orihuela
Política de Seguridad de Información
Seguridad Informática Ing. Álvaro Orihuela
Política de seguridad Informacón - PSI
Es una declaración general producida por la Gerencia General para dictar el papel que juega la seguridad de la información dentro de la organización. “MI PSI”
La política de seguridad señala cómo se estructura el SGSI, establece sus metas, asigna las responsabilidades, muestra el valor estratégico y táctico de la seguridad y esboza cómo se llevará a cabo.
Anuncia el compromiso de la gerencia y el enfoque de la organización para gestionar la seguridad de la información.
Seguridad Informática Ing. Álvaro Orihuela
Política de seguridad
La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, el documento de política de seguridad de la información.
Cabinas Cabinas Internet Internet
LimaLima
Política de Seguridad Informátic
a
Seguridad Informática Ing. Álvaro Orihuela
¿Qué debe contener la PSI?
• Definición de los objetivos, alcance e importancia de la seguridad de información.
• El apoyo de la gerencia a los objetivos y principios de la seguridad de la información.
• Descripción de las políticas, estándares, leyes y directrices más importantes.
• Definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información.
• Referencias a documentos a otros documentos que sustentan la política.
Seguridad Informática Ing. Álvaro Orihuela
Revisión y evaluación - PSI
La política debería tener un propietario que sea responsable de su mantenimiento y revisión. La PSI, debe revisarse ante un cambio que afecte a las bases de la evaluación original de riesgo.
Revisiones periódica para verificar: La efectividad de la política El costo y el impacto de los controles en la
eficiencia del negocio; Los efectos de los cambios a la tecnología.
Seguridad Informática Ing. Álvaro Orihuela
Estándares
Especifican como el hardware y software será usado. También pueden señalar el comportamiento esperado de los usuarios.Aseguran que los recursos informáticos sean utilizados de manera uniforme. Su cumplimiento es obligatorio. Ejemplo:
• Que todo trabajador porte su fotocheck.• La información confidencial este encriptada
Seguridad Informática Ing. Álvaro Orihuela
Baseline – Línea base
Establecen el mínimo nivel de seguridad requerido, sin que se constituya un incidente de seguridad. Ejemplo
Configuración básica de una estación de trabajo.Condiciones de funcionamiento de un cableado estructurado.
Seguridad Informática Ing. Álvaro Orihuela
Guidelines - directrices
Acciones recomendadas y guías operativas para los usuarios, Staff de TI , entre otros; cuando un estándar no es aplicable. Son pautas que brindan cierta flexibilidad ante circunstancias imprevistas o no consideradas. Ejemplo:
Un estándar organizacional establece que todo acceso a información confidencial deber ser auditado. Una Guía podría establecer que datos son necesarios registrar en la pista de auditoría.
Seguridad Informática Ing. Álvaro Orihuela
Procedimientos
Son tareas detalladas — paso a paso — que deberán ser ejecutadas para alcanzar cierta meta.
Los procedimientos son vistos como el nivel más bajo en la implementación de la PSI política, porque ellos están más relacionados con los recursos de TI y los usuarios. Detallan los pasos para la configuración e instalación de los activos informáticos.
Seguridad Informática Ing. Álvaro Orihuela
Aspectos Organizativos
Seg. Información
Seguridad Informática Ing. Álvaro Orihuela
Algunos conceptos
Propietario de la Información: Determina la clasificación de la información dentro de la organización. Responsable de su seguridad cotidiana.
Custodio de la información: Mantiene la información de manera que se conserve y proteja su confidencialidad, integridad y disponibilidad.
Usuario: Utiliza la información en el cumplimiento de sus funciones.
Seguridad Informática Ing. Álvaro Orihuela
La organización debe establecer una estructura que incluya funciones y responsabilidades para iniciar y controlar la implantación del SGSI.
Aspectos Organizativos Seg. Información
Seguridad Informática Ing. Álvaro Orihuela
Revisar y aprobar la política de seguridad de la información y de las responsabilidades principales.
Supervisar y controlar los cambios significativos en la exposición de los activos de información a las amenazas principales.
Aspectos Organizativos Seg. Información
Comité de Seguridad
Se encarga de asegurar una dirección clara y el apoyo visible de la gerencia a las iniciativas de seguridad. Promueve la seguridad en la organización por medio de un compromiso apropiado y de los recursos adecuados
Seguridad Informática Ing. Álvaro Orihuela
Establecer las funciones y responsabilidades específicas de seguridad de la información en toda la organización
Acordar métodos y procesos específicos para la seguridad de la información.
Aspectos Organizativos Seg. Información
Comité Interfuncional
Se encarga de la implantación de los controles de seguridad de la información y está formado por los los representantes de las áreas más importantes de la organización.
Seguridad Informática Ing. Álvaro Orihuela
Estructura de un SGSI
ProcedimientoProcedimiento
ss
PolíticaPolíticaSeguridadSeguridad
EstándareEstándaress
DirectriceDirectricess
Comité de Seguridad
Comité Interfuncional
Seguridad Informática Ing. Álvaro Orihuela
Es el responsable del desarrollo e implantación de la seguridad y para dar soporte a la identificación de las medidas de control. Oficial de Seguridad.
Asignación de responsabilidades
Director de seguridad de la información
Una práctica habitual consiste en designar un propietario de cada activo de información, que se convierte así en responsable de su seguridad cotidiana.
Seguridad Informática Ing. Álvaro Orihuela
Deberían definirse claramente las responsabilidades de la protección de los activos individuales y para la ejecución de los procesos específicos de seguridad.
Asignación de responsabilidades
Deberían identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico.
Debería nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidad.
Deberían definirse y documentarse claramente los niveles de autorización.
Seguridad Informática Ing. Álvaro Orihuela
Equipo de consultores especializado en seguridad de la información.
Especialistas externos en seguridad .
Asesoría para tratar las incidencias de seguridad.
Apoyo de terceros
Seguridad Informática Ing. Álvaro Orihuela
La PSI establece las directrices generales y responsabilidades sobre la seguridad de la información. La implantación de la PSI debería revisarse de forma independiente para asegurar que:
Revisión del SGSI
¿Se cumple la PSI?
¿Es Factible?
¿Es eficaz?
Seguridad Informática Ing. Álvaro Orihuela
El acceso de terceros a los dispositivos de tratamiento de información de la organización debe ser controlado .
Realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que se requieren: Suscribir un contrato donde se definen los compromisos para mantener la seguridad de información de la organización.
Tomar las mismas medidas antes de contratar un outsourcing.
Accesos de terceras partes
Seguridad Informática Ing. Álvaro Orihuela
Clasificación y control de
activos
Seguridad Informática Ing. Álvaro Orihuela
Clasificación y control de activos
Responsabilidad sobre los Activos
Clasificación de la información
Inventario de activos
Tratamiento de la información
Seguridad Informática Ing. Álvaro Orihuela
Responsabilidad sobre los activos
Se debería asignar un propietario y responsable a todos los activos de información importantes, con el objeto de mantener una protección adecuada, a través de un control apropiados.
RRHH Ventas
Seguridad Informática Ing. Álvaro Orihuela
Inventario de activos
Actividad importante de la gestión de riesgos, que consiste en identificar sus activos y determinar su valor e importancia para satisfacer las necesidades de la organización.La protección de los activos debe ser proporcional al valor e importancia de los activos.
Debería establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de información
Seguridad Informática Ing. Álvaro Orihuela
Activos de un Sist. de información
Activos de informaciónarchivos y bases de datos, documentación del sistema, manuales de los usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada.
Activos de softwareSoftware de aplicación, software del sistema, herramientas y programas de desarrollo.
Seguridad Informática Ing. Álvaro Orihuela
Activos físicosEquipo de procesamiento (procesadores, monitores, portátiles), equipo de comunicaciones (enrutadores, switchs), medios magnéticos (discos y cintas), otro equipo técnico (suministro de energía, unidades de aire acondicionado), muebles, etc.
ServiciosServicios de procesamiento y comunicaciones, otros servicios (alumbrado, energía, aire acondicionado, etc.).
Activos de un Sist. de Información
Seguridad Informática Ing. Álvaro Orihuela
Ejemplo
Seguridad Informática Ing. Álvaro Orihuela
Clasificación y control de activos
“Cuanto mayor relevancia tenga un proceso para el negocio,
mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el
caso de que ocurra un incidente de seguridad en dicho proceso”.
Seguridad Informática Ing. Álvaro Orihuela
Clasificación de la información
Ordenar la información de acuerdo a su valor e importancia para la organización. La información debería clasificarse para indicar la necesidad, prioridades y grado de protección, con el objeto de asegurar un nivel de protección adecuado.
Esta clasificación debe ser documentada e informada a todo el personal de la organización, y deberá evaluarse y actualizarse periódicamente.
Seguridad Informática Ing. Álvaro Orihuela
Clasificación de la información
Para clasificar la información se debe considerar los criterios de disponibilidad, integridad y confidencialidad y su importancia para la organización.
Crítica: La no-disponibilidad de esta información ocasiona un daño en los activos de la empresa.
Confidencial: En poder de personas no autorizadas compromete los intereses de la empresa.
Pública: Información de libre circulación.
Seguridad Informática Ing. Álvaro Orihuela
Tratamiento de la información
La información (en formato físico y electrónico) debe ser tratada de acuerdo con el esquema de clasificación adoptado por la organización. El tratamiento de información:
Copia.
Almacenamiento.
Transmisión electrónica.
Transmisión oral.
Destrucción.
Seguridad Informática Ing. Álvaro Orihuela
Tratamiento de la información
La salida de los sistemas de información también debe ser tratada de acuerdo a la clasificación realizada. Se considera como una salida del sistema de información lo siguiente:
Informes impresos y Pantallas.
Medios de almacenamiento (cintas, discos, CDs, DVD).
Mensajes electrónicos.
Transferencias de archivos.
Seguridad Informática Ing. Álvaro Orihuela
Ideas finales
La seguridad no es un producto, sino un proceso
“...Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende de tecnología”. --- Bruce Schneier
Seguridad Informática Ing. Álvaro Orihuela
?
top related