Seguridad de la Informacin

Nuevos Escenarios:

Qu se debe asegurar ?
La informacin debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar debidamente protegida.

Contra qu se debe proteger la Informacin ?

La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

Qu se debe garantizar ?
Confidencialidad: Se garantiza que la informacin es
accesible slo a aquellas personas autorizadas a tener acceso a la misma.

Integridad: Se salvaguarda la exactitud y totalidad de la

informacin y los mtodos de procesamiento.

Disponibilidad: Se garantiza que los usuarios

autorizados tienen acceso a la informacin y a los recursos relacionados con la misma toda vez que se requiera.

Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad.

Por qu aumentan las amenazas ?

Por qu aumentan las amenazas ?

Crecimiento exponencial de las Redes y Usuarios Interconectados Profusin de las BD On-Line

Inmadurez de las Nuevas Tecnologas

Algunas Causas

Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS) Tcnicas de Ingeniera Social

Accidentes: Averas, Catstrofes, Interrupciones, ... Errores: de Uso, Diseo, Control, .... Intencionales Presenciales: Atentado con acceso fsico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicacin

Cules son las amenazas ?

Interceptacin pasiva de la informacin (amenaza a la CONFIDENCIALIDAD). Corrupcin o destruccin de la informacin (amenaza a la INTEGRIDAD). Suplantacin de origen (amenaza a la AUTENTICACIN).

Amenazas Intencionales Remotas

Acciones de la ONGEI

 Actualmente la ONGEI apoya a las entidades pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la informacin Boletines de Alertas de Antivirus. Presentaciones tcnicas sobre seguridad. Consultoras y apoyo en recomendaciones tcnicas.

Poltica de Seguridad para el Sector Pblico

Que se entiende por Politica de Seguridad ?

Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en trminos generales qu est permitido y qu no lo est en el rea de seguridad durante la operacin general de dicho sistema

Diferencias entre Poltica, Estndar y Procedimiento

o Poltica: el porqu una organizacin protege la informacin o Estndares: lo que la organizacin quiere hacer para implementar y administrar la seguridad de la informacin

o Procedimientos: cmo requerimientos de seguridad

la

organizacin

obtendr

los

Cmo establecer los requerimientos de seguridad?

Evaluar los riesgos que enfrenta la organizacin o Se identifican las amenazas a los activos o Se evalan las vulnerabilidades y probabilidades de ocurrencia o Se estima el impacto potencial Tener en cuenta los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: o La organizacin o Sus socios comerciales o Los contratistas o Los prestadores de servicios Establecer un conjunto especfico de principios, objetivos y requisitos para el procesamiento de la informacin

Qu se entiende por SGSI?

SGSI: Sistema de Gestin de la Seguridad de la Informacin ISMS: Information Security Management Sytsem

Un modelo de gestin para la mejora continua de la calidad de la seguridad de la informacin oRealizacin de un anlisis de riesgos

oDefinicin de una poltica de seguridad

oEstablecimiento de controles

 Con fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin: Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin en entidades del Sistema Nacional de Informtica. Se Actualiz el 25 de Agosto del 2007 con la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI.

Marco de las recomendaciones

La NTP-ISO 17799 es una compilacin de recomendaciones para las prcticas exitosas de seguridad, que toda organizacin puede aplicar independientemente de su tamao o sector. La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solucin de seguridad de acuerdo a sus necesidades. Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnologa. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cmo se utilizan.

 En este sentido La Norma Tcnica Peruana ISO 17799, se emite para ser considerada en la implementacin de estrategias y planes de seguridad de la informacin de las Entidades Pblicas. La NTP NO exige la certificacin, pero si la consideracin y evaluacin de los principales dominios de acuerdo a la realidad de cada organizacin.

Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?

Los 11 dominios de control de ISO 17799

1. Poltica de seguridad: Se necesita una poltica que refleje las expectativas de la organizacin en materia de seguridad, a fin de suministrar administracin con direccin y soporte. La poltica tambin se puede utilizar como base para el estudio y evaluacin en curso. Aspectos organizativos para la seguridad: Sugiere disear una estructura de administracin dentro la organizacin, que establezca la responsabilidad de los grupos en ciertas reas de la seguridad y un proceso para el manejo de respuesta a incidentes.

2.

3.

4.

Clasificacin y Control de Activos: Inventario de los recursos de informacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de proteccin. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.

5.

Seguridad fsica y del Entorno: Responde a la necesidad de proteger las reas, el equipo y los controles generales.

6.

Gestin de Comunicaciones y Operaciones: Los objetivos de esta seccin son:

Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la informacin. Conservar la integridad y disponibilidad del procesamiento y la comunicacin de la informacin. Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte. Evitar daos a los recursos de informacin e interrupciones en las actividades de la institucin. Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones.

7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin como proteccin contra los abusos internos e intrusos externos. 8. Adquisicin, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnologa de la informacin, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

9.

Gestin de Incidentes de la Seguridad de la informacin Asegurar que los eventos y debilidades en la seguridad de la informacin sean comunicados de manera que permitan una accin correctiva a tiempo.

10. Gestin de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organizacin y para proteger los procesos importantes de la organizacin en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.

Implementando Seguridad de la Informacin

Enfoque General

3.- Aplicacin de ISO 17799

Ejemplo de Implantacin

ISO 17799 no es una norma tecnolgica. Esta redactada de forma flexible. Se adapta a cualquier implantacin en todo tipo de organizaciones sin importar su tamao o sector de negocio.

26

3.- Aplicacin de ISO 17799

Ejemplo de Implantacin

Dominio de control: operaciones

Gestin de comunicaciones y

Objetivo de control: proteger la integridad del software y de la informacin.

Control: Controles contra software malicioso.

Se deberan implantar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos adecuados para concienciar a los usuarios. 27

3.- Aplicacin de ISO 17799

Ejemplo de Implantacin

Tras un trabajo de Consultora se establecera:

Normativa de uso de software: definicin y publicitacin en la Intranet. Filtrado de contenidos: X - Content Filtering Antivirus de correo: Y Antivirus Antivirus personal: Z Antivirus

28