Seguridad de La Información-Sesion 1-v1 PDF

Curso: Especializacin en Auditoria de
Sistemas y Seguridad de la Informacin

ISO/IEC-27001 ISO/IEC - 27002
Elaborado por: J.C. Pacheco
jcpacheco@computer.org
SEGURIDAD DE LA
INFORMACIN
Mdulo 1: Sesin N1
AGENDA
1. La Seguridad, Conceptos y definiciones
2. Seguridad Informtica vs Seguridad de la Informacin
3. Riesgos: Conceptos y definiciones
4. Relacin entre seguridad y riesgo
5. Componentes del riesgo.
6. Qu es un modelo de gestin de la seguridad
26/08/2011 3
Seguridad: Conceptos y definiciones
1. Cualidad de seguro.
(Libre y exento de todo
peligro, dao o riesgo)
2. Certeza
(conocimiento cierto y
claro de algo).
Segn el RAE
26/08/2011 4
Seguridad: Conceptos y definiciones
Requerimi
entos de
Seguridad
Confidencialidad
Integridad
Disponibilidad
Poltica de
Seguridad
Qu est y
Qu NO est
permitido.
Mecanismos
de Seguridad
Refuerza la poltica
Meta: Nunca en
estado no permitido
Aseguramiento de
Seguridad
Requerimientos vs
Necesidades
Polticas vs
Requerimientos
Mecanismos vs Polticas
Depende
de
26/08/2011 5
Seguridad, Conceptos y definiciones
SISTEMA
Deja hacer
acciones no
permitidas
Deja hacer
solo acciones
permitidas
INSEGURO SEGURO
Componente HUMANO:
Conocer y comprender principios de seguridad
Cmo esos principios se aplican en una situacin dada
Cmo definir requerimientos y su poltica adecuada
Cmo utilizar la tecnologa para implementar la poltica
Sin personas que
logren esto

NO HABR
SISTEMA SEGURO
26/08/2011 6
Seguridad de la Informacin vs Seguridad Informtica
Seguridad de la Informacin
Informacin documental y biolgica
Procesos de Negocio
Polticas
Anlisis de
Riesgos
Informacin en
computadoras
Procesos
informticos
Mecanismos y
Procedimientos
Seguridad Informtica
26/08/2011 7
Riesgo: Conceptos y definiciones
(Del it. risico o rischio, y este del r. cls. rizq,
lo que depara la providencia). (RAE)
1. m. Contingencia o proximidad de un dao.
(RAE)
2. m. Cada una de las contingencias que
pueden ser objeto de un contrato de seguro.
(RAE)
Dao potencial que puede surgir por un
proceso presente o evento futuro. (Wikipedia)
Evento o situacin incierta, que de suceder,
tiene un efecto en los objetivos del proyecto
(PMBOK)
Riesgo
26/08/2011 8
9
La exposicin a la posibilidad de
ocurrencia de ciertas cosas tales
como prdida o ganancia
econmica, dao fsico, retrasos,
dao a la salud pblica, etc. que
surgen como consecuencia de
seguir un curso particular de
accin. (Aduanas de Chile)
Posibilidad de que se produzca
un impacto dado en la
organizacin (Magerit)
Riesgo: otras definiciones
26/08/2011
Riesgos, Conceptos y definiciones
Amenaza Vs Riesgo
Amenaza es:
I. Todo lo que tenga probabilidad de ocurrir,
causando dao. (Wikipedia)
II. Causa potencial de un incidente no deseado,
el que puede ocasionar un dao al sistema o a
la organizacin (ISO27000)
Riesgo es:
I. Efecto de la incertidumbre sobre los objetivos
(ISO31000)
II. El resultado de la posibilidad de una amenaza
explotando la vulnerabilidad de un activo.
(ISO27000)
Sin la ocurrencia de amenazas el riesgo sera
cero.
Tomado de:
www.scienceinthebox.com/es_ES/safety/pic
/risk_assessment.jpg
26/08/2011 10
11
Situaciones inciertas, no
controlables, no
previstas (amenazas).
Deficiencias
en los
procesos o
en la
gestin.
(vulnerabili
dades).
Activos de
la organizacin
Impacto
como
resultado
del riesgo
Elementos del riesgo
RIESGO
26/08/2011
Consecuencias probables de un riesgo
Naturaleza
Indica los problemas
probables
P.E. Interfaz mal
definida para el HW
(riesgo tcnico)
Alcance
Combina la severidad
(cun serio es el
problema?)
Con su distribucin
general (que proporcin
del proceso o de la
organizacin se afecta?)
Cuando
ocurre
Cundo y por cunto
tiempo se dejar sentir
el impacto

26/08/2011 12
13
Resumiendo.
La Amenaza
El Impacto del
Riesgo
Estrategia de
Mitigacin
El Riesgo es
posibilidad de la
destruccin de
la casa
La
Vulnerabilidad
El Activo
26/08/2011
Relacin entre seguridad y riesgo
Riesgo Seguridad
26/08/2011 14
Modelo de gestin de la seguridad
Modelo:
(Del it. modello).
1. m. Arquetipo o punto de referencia para
imitarlo o reproducirlo. Representacin en
pequeo de algo.
2. m. En las obras de ingenio y en las acciones morales,
ejemplar que por su perfeccin se debe seguir e imitar.
3. m. Esquema terico, generalmente en forma
matemtica, de un sistema o de una realidad compleja
Gestin
(Del it. gesio).
1. Accin o efecto de gestionar o
administrar
2. m. En las obras de ingenio y en las
acciones morales, ejemplar que por su
perfeccin se debe seguir e imitar.
Concrecin de acciones para el logro de
un objetivo
Entonces, Modelo de Gestin de la Seguridad es el
entorno o marco de referencia para la
administracin de la SEGURIDAD en una
organizacin
26/08/2011 15
Gestin de la seguridad: ISO27000
.en el tiempo
26/08/2011 16
ISO27000: La Familia: Publicadas
Descripcin Cdigo del estndar
Gestin de la seguridad de la Informacin: Overview ISO/IEC 27000:2009
Sistema de Gestin de la informacin de seguridad ISO/IEC 27001:2005
Cdigo de buenas prcticas para GSI (ISO17799) ISO/IEC 27002:2007
Gua para la implementacin del SGSI ISO/IEC 27003:2010
Mtricas para la gestin de seguridad ISO/IEC 27004:2009
Gestin de riesgos en SI ISO/IEC 27005:2008
Requisitos para los organismos de acreditacin de SGSI ISO/IEC 27006:2007
Gua para la GSI en Telecomunicaciones c/ISO/IEC 27002 ISO/IEC 27011:2008
Gua para habilitar las TIC para la Continuidad de Negocio ISO/IEC 27031:2011
Conceptos y revisin general de Seguridad en Redes ISO/IEC 27033-1:2009
GSI en el sector salud utilizando ISO/IEC27002 ISO 27799:2008
26/08/2011 17
ISO27000: La Familia: en Desarrollo
Descripcin
Cdigo del
estndar
Gua para la Auditoria de un SGSI (foco en el sistema de gestin) ISO/IEC 27007
Gua para auditores de los controles del SGSI (foco en los controles de seguridad
de la informacin)
ISO/IEC 27008
Gua para la implementacin integrada de ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27013
Marco de referencia para el gobierno de seguridad de informacin ISO/IEC 27014
Gua para la Gestin de SI en los sectores financiero y seguros ISO/IEC 27015
Gua para la seguridad en Internet (del buen vecino en Internet) ISO/IEC 27032
Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada) ISO/IEC 27033
Gua para la seguridad de aplicaciones ISO/IEC 27034
Gestin de Incidentes de Seguridad ISO/IEC 27035
Gua para la seguridad con Terceros (outsourcing) ISO/IEC 27036
Gua para la identificacin, recoleccin, y/o adquisicin y preservacin de evidencia
digital.
ISO/IEC 27037
26/08/2011 18
ISO27005: Gestin del Riesgo en SI
Establecimiento
del Contexto
Evaluacin del
Riesgo
Tratamiento del
Riesgo
Aceptacin del
Riesgo
Comunicacin
del riesgo y plan
de tratamiento
Monitoreo y
Revisin del
Riesgo
26/08/2011 19
Monitorear SGSI
Revisa y evala el
desempeo
(eficiencia y
eficacia) del SGSI.
Mejorar el SGSI
Realiza los cambios
necesarios para llevar
al SGSI a mximo
rendimiento.
Implementar y
Operar el SGSI
Envuelve la
implantacin y
operacin de los
controles.
Establecer el SGSI,
Declaracin de
Aplicabilidad
Evaluacin de riesgos
de los activos de la
informacin
Seleccin de
controles
adecuados.
Plan
(planificar)
Do
(hacer)
Check
(controlar)
Act
(actuar)
Gestin de la seguridad: ISO27001
26/08/2011 20
ISO27000: en Cifras al 2009
0
20
40
60
80
100
120
2008 2009
82
117
Nro. Pases solicitantes
2008
2009
0
2000
4000
6000
8000
10000
12000
14000
2008 2009
9246
12934
Nro. Certificados 27001 emitidos
2008
2009
Fuente: www.iso.org
26/08/2011 21
Gestin de la seguridad: SOGP del ISF
INSTALACIONES DE TI
SD
Desarrollo
de
Sistemas
CB
Aplicaciones
de Negocio
Crticas
SM
Gestin de
Seguridad
NW
Redes
UE
Ambiente
de Usuario
Final
CI
Ambiente
de
Cmputo
El Estndar de Buenas Prcticas (SoGP)
del Foro de Seguridad de Informacin
(ISF) es una referencia prctica sobre
seguridad de la informacin y temas
relacionados con los riesgos de
informacin; con un enfoque de negocios.
Est alineado con los principales
estndares como ITIL, CMM,
ISO20000, ISO9001, ISO/IEC2700x,
NIST, PCI DSS e informacin general de
conceptos de gobierno de la seguridad.
Se complementa con la experiencia
recogida por el ISF durante la realizacin
de sus proyectos.
26/08/2011 22
SOGP del ISF: Aspectos principales
1. Cumplimiento de estndares.
i. SOGP como herramienta que apoya la
certificacin ISO27001. Alineada a toda la
familia ISO2700, incluyendo: la 27014
(gobernanza de seguridad) y 27036 (Terceros
externos)
ii. Incluye tpicos como : Delitos Informticos
(Cibercrime), Computacin en la Red (Cloud
Computing) y Seguridad en dispositivos
mviles.
iii. Proporciona informacin detallada y propone
controles para Infraestructura Crtica y Acceso
Inalmbrico.
iv. Es una herramienta para habilitar el
cumplimiento de los estndares COBIT y PCI
DSS.
26/08/2011 23
2. Validacin de proveedores
i. Asegura que los requerimientos de
seguridad de la informacin sean las
premisas para trabajar con terceros.
ii. Sirven como base para la comprensin y
evaluacin del nivel de seguridad de la
informacin implementada por los
proveedores
iii. Asegura que la cadena de suministro
est sujeta a un nivel de seguridad de la
informacin que puede responder a los
riesgos.
26/08/2011 24
3. Evaluacin de Riesgos
i. La evaluacin de riesgos ayuda a
reducir la frecuencia e impacto de los
incidentes de seguridad, y mejora la
seguridad de la informacin
ii. SOGP complementa a cualquier
metodologa de evaluacin de riesgos
que se utilice, incluyendo la
metodologa de anlisis de riesgos de la
informacin de ISF (IRAM)
iii. Ofrece 50 tipos de amenazas y los
controles potenciales para aplicacin
26/08/2011 25
4. Polticas, Controles y Procedimientos
i. Puede ser adoptado como base de una
poltica de seguridad de la informacin
general.
ii. Es una herramienta efectiva para la
identificacin de brecha existentes en la
poltica, los controles y procedimientos de
seguridad de la informacin, entre lo que
tenemos y lo que queremos ser.
iii. Reduce el esfuerzo necesario en una
organizacin para la implementacin de un
SGSI
26/08/2011 26
5. Toma de conciencia
i. Contiene tpicos especficos que ayudarn al
mejoramiento de la toma de conciencia en
seguridad y soportarn actividades
correspondientes dentro de la organizacin.
ii. Dirige cmo se podra aplicar la seguridad de la
informacin en un ambiente local, lo que
representa una actividad de concientizacin en
seguridad.
iii. Lograr que la organizacin tome conciencia del
rol de la seguridad de la informacin, de manera
consistente a travs de la propia organizacin
generar altos niveles de proteccin y evitar
potenciales daos costosos para la reputacin de
la organizacin.
26/08/2011 27
i. SOGP est integrada con la herramienta
de Benchmarking de ISF, lo que
proporciona una base para la realizacin
de una evaluacin, detallada o de alto
nivel, de las fortalezas de los controles de
seguridad de la informacin a lo largo y
ancho de la organizacin.
ii. Ayuda a mejorar la gestin de los
ejecutivos y la confianza de los
interesados, por la capacidad de anlisis
objetivos del nivel real de seguridad
6. Evaluacin de la seguridad de la Informacin
26/08/2011 28
i. SOGP se constituye en una completa
herramienta de referencia para atender a
nuevos requerimientos de seguridad de la
informacin o a la mejora de los controles
existentes.
ii. EL estar basado en tpicos intuitivos de
seguridad permiten versatilidad en su
aplicacin.
iii. Evitar tener que identificar controles desde
cero, ahorrando costo y tiempo
7. Mejora de la seguridad
26/08/2011 29
Gestin de la seguridad: ISM3
Modelo de Madurez de la Gestin de la Seguridad de la Informacin
(Information Security Management Maturity Model)
Especificar, Implementar, Operar y Evaluar SGSIs
Aplicable a cualquier organizacin independientemente de su tamao y
giro
Ayuda a mejorar los sistemas ISM de la organizacin, resaltando
diferencias entre el nivel actual y el nivel deseado de madurez
Evala cuantitativamente la madurez del SGSI de una organizacin y su
ambiente de control de seguridad de la informacin
til como gua para priorizar inversiones. Comparando los objetivos de
seguridad y los objetivos de madurez.
26/08/2011 30
M
o
d
e
l
o

d
e

G
S
I

Modelo Organizativo
Modelo de
Seguridad
Contextual
Modelo de
Sistemas
de
Informacin
Estratgico Tctico Operativo
P
r
o
c
e
s
o
s

I
S
M

Nivel de Madurez
ISM3-0: existe riesgo, inversin impredecible
ISM3-1: Reduccin de riesgo, inversin
mnima
ISM3-2: Mayor reduccin de riesgo, inversin
moderada
ISM3-3: Alta reduccin de riesgo tcnico,
inversin seria
ISM3-4: Alta reduccin de riesgo tcnico e
interno, inversin seria
MODELO
ORIENTADO
AL PROCESO
26/08/2011 31
Sentido
Comn
Polticas
Procedimientos
Buenas
Prcticas
Contraseas
nico Acceso
Lecciones
de
Incidentes
Mejorar el
firewall
Mejorar el
Antivirus
Especfico
Anlisis
de riesgos
OCTAVE
Magerit
Segn
Cliente
Personal del
proyecto A no
tenga acceso
al proyecto B
Para elegir un
Control
MODELO FLEXIBLE,
SE ADAPTA AL
NEGOCIO
26/08/2011 32
Information Security Management Maturity Model ("ISM3") est
construido con base en estndares como ITIL, ISO 20000, ISO
9001, CMM, ISO/IEC 27001, e informacin general de conceptos de
gobierno de la seguridad. Mientras que la ISO/IEC 27001 est basada
en controles. ISM3 basado en procesos, incluye mtricas de proceso.
26/08/2011 33
Modelo de gestin del riesgo
Controles
Activos
Vulnerabilida
des
Riesgo
Amenazas
Agente de
amenaza
Organizacin
Pone valor
Aplica
Enfrenta
Reduce
Afecta
Desea apropiarse, abusar o daar
Explota
Provoca
Genera
26/08/2011 34
Roles y Responsabilidades en SGSI
26/08/2011 35
Implementacin y Certificacin de un SGSI
26/08/2011 36
Tomado de:
Consecuencias del Riesgo

Horas hombre perdidas por una brecha de seguridad?.
Equipos que no producen
Prdida de productividad
Sitio WEB fuera por un incidente de seguridad?
Prdida de acceso a INTERNET?
Prdida de ventas por fuera de
servicio
Restaurar datos de un backup puede ser muy costoso.
Qu si se destruyen los backups?
Prdida de Datos
Planes estratgicos revelados,
Informacin financiera sensible
Compromiso de Datos por
divulgacin o modificacin
Se podra necesitar comprar un nuevo equipo
Servicios de recuperacin de datos.
Costos de reparacin
Hacer noticia como vctimas de una brecha de seguridad.
Fuga de clientes, etc
Prdida de imagen
ROI como Reduccin del Riesgo.
ROI mide mejora esperada contra costo de la mejora. P.e. Reduccin en 50% de
riesgos, frente a comprar un FW
26/08/2011 37
Ejemplo de ataque: Phishing Ing. Social

Cliente de Banco de Credito

Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a traves
de Banca en la Red han sido realizados desde diferentes direcciones IP.
Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, o
debido a que usted ha utilizado mas de un computador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros
sistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que
ingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridad
requieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011.

Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo le
recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya
que no lo hacemos.
De ante mano le agradecemos su cooperacion en este aspecto.

Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar el
siguiente enlace:

De: Banco de Credito <banco_de_credito_bcp@bcp.com.pe>
Fecha: 18 de agosto de 2011 13:14
Asunto: Estimado Cliente Verificacion Urgente
Para: *********@gmail.com

https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
http://bcpzonasegura.viabcperu.in/bcp/
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011 38
Ejemplos posibles ataques a una red
26/08/2011 39
Preguntas?
26/08/2011 40

Seguridad de La Información-Sesion 1-v1 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad de La Información-Sesion 1-v1 PDF

Cargado por

Copyright:

Formatos disponibles

Curso: Especializacin en Auditoria de

Sistemas y Seguridad de la Informacin

También podría gustarte