P. 1
Confer en CIA Ntp Iso Iec 17799

Confer en CIA Ntp Iso Iec 17799

|Views: 289|Likes:
Publicado porHen Drixrp

More info:

Published by: Hen Drixrp on Jul 16, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPT, PDF, TXT or read online from Scribd
See more
See less

06/08/2013

pdf

text

original

SEGURIDAD DE LA INFORMACION

OFICINA NACIONAL DE GOBIERNO ELECTRONICO E INFORMATICA Ing. Max LazaroT.
1

Introducción
‡ El gobierno Peruano está experimentando una transformación radical en la manera de interactuar con los ciudadanos, la automatización basada en la red INTERNET es clave para proveer servicios del Estado. ‡ Estas tecnologías se han ampliado para apoyar la iniciativa de Gobierno Electrónico, la nueva manera de dirigir todos los procesos de servicios del Estado Peruano. ‡ Las comunicaciones electrónicas y las aplicaciones basadas en Web se están desplegando para ser la base de los servicios de las entidades públicas que trabajan para sí mismas, con diferentes entidades públicas y privadas, así como con los ciudadanos en general.
2

Introducción
‡ La modernización de las organizaciones públicas en el Gobierno Electrónico requiere un enfoque más agudo en seguridad de la información. ‡ Establecer seguridad es vital porque es la base de la confianza sobre la cual otras organizaciones e individuos decidirán si utilizan Gobierno Electrónico para la entrega del servicio.
3

Importancia de la seguridad
‡ Muchas organizaciones tienen políticas de seguridad, la mayoría de las mismas incluso entrenan a sus funcionarios y empleados, pero muy pocas implantan una ³cultura de conciencia en seguridad´ al nivel de una ³vecindad en guardia´ que fomenta la identificación y reporte de problemas de seguridad.
4

Acciones de la ONGEI 5 .

Acciones de la ONGEI ‡ El gobierno peruano ha emitido desde el año 2002 diferentes normas referidas a seguridad de la información. ‡ ³Normas técnicas para el almacenamiento y respaldo de la información procesada por las entidades de la administración pública´. entre las cuales podemos resaltar las siguientes: ‡ ³Modificación de las normas y procedimientos técnicos sobre contenidos de las páginas web´. ‡ Directiva sobre "Normas para el uso del servicio de correo electrónico en las entidades de la administración pública´ 6 .

7 . ± Consultorías y apoyo en recomendaciones técnicas. ± Boletines de Seguridad de la información ± Boletines de Alertas de Antivirus.Apoyo en seguridad de la Información ‡ Actualmente la oficina Nacional de Gobierno Electrónico e Informática apoya a las entidades públicas en los siguientes principales servicios: ± Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas. ± Presentaciones técnicas sobre seguridad.

Análisis de Vulnerabilidades Servidores ONGEI Firewall Red Intena Estaciones de Trabajo Sistemas operativos Bases de Datos Aplicativos E-Mail Server Web Server 8 .

Encuesta sobre Seguridad de la Información en las Entidades publicas ‡ Con RM-310-2004 la Oficina Nacional de Gobierno Electrónico e Informática emitió la primera encuesta nacional sobre seguridad de la información en las entidades publicas. ‡ El objetivo de dicha encuesta es obtener información del nivel de seguridad con la que cuentan actualmente las Entidades del Estado. 9 .

Algunos resultados de la Encuesta ‡ Dentro de los puntos más relevantes de la encuesta se ha podido observar que: ± El 63% no posee un responsable en temas de seguridad de la información. ± El 70% no tiene preparados procedimientos de respuesta a incidentes o anomalías que pudieran suceder. ± El 86% no cuenta con asesoramiento en temas de seguridad de la información. ± E 59% de instituciones no prepara a sus usuarios para reportar incidentes de seguridad. ± El 82% no recibe capacitación en temas de seguridad. 10 .

Código de Buenas Prácticas para la Gestión de la Seguridad de la Información NTP-ISO/IEC 17799 2004 EDI 11 .

dispone el uso obligatorio de la Norma Técnica Peruana ³NTP ± ISO/IEC 17799:2004 EDI.Emisión de la Norma Técnica Peruana sobre Seguridad de la Información ‡ Con fecha 23 de julio del 2004 la Presidencia del Consejo de Ministros a través de la Oficina Nacional de Gobierno Electrónico. 12 . Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información´ en entidades del Sistema Nacional de Informática estableciendo un plazo de 18 meses para su implementación.

13 . se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.Marco de las recomendaciones ‡ La ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad que toda organización puede aplicar independientemente de su tamaño o sector. la norma discute la necesidad de contar con cortafuegos. pero no profundiza sobre los tipos de cortafuegos y cómo se utilizan. ‡ Las recomendaciones de la norma técnica ISO 17799 son neutrales en cuanto a la tecnología. ‡ Así. ‡ La norma técnica fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra.

en cada una de las Entidades Publicas. ‡ La Norma Técnica Peruana no exige la certificación. se emite para ser considerada en la implementacion de los planes de seguridad de la informacion de las Entidades Públicas. 14 .‡ En este sentido La Norma Técnica Peruana ISO ± 17799. pero si la consideración y evaluación de los principales dominios al momento de elaborar los planes de seguridad de la información.

Organización de la seguridad: Sugiere diseñar una estructura de administración dentro la organización.Las diez áreas de control de ISO 17799: 1. a fin de suministrar administración con dirección y soporte. Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad. 15 . La política también se puede utilizar como base para el estudio y evaluación en curso. 2. que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.

el equipo y los controles generales. 5. 4. Se debe implementar un plan para reportar los incidentes. También determina cómo incide el papel que desempeñan los empleados en materia de seguridad en el funcionamiento general de la compañía. debe asegurar que se brinde un nivel adecuado de protección. 16 . Seguridad física y ambiental: Responde a la necesidad de proteger las áreas. Control y clasificación de los recursos de información: Necesita un inventario de los recursos de información de la organización y con base en este conocimiento. Seguridad del personal: Establece la necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad.3.

modificación o uso indebido de la información que intercambian las organizaciones. Evitar la pérdida. Evitar daños a los recursos de información e interrupciones en las actividades de la compañía. Garantizar la protección de la información en las redes y de la infraestructura de soporte. 17 . Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. ± ± ± ± ± ± ± Manejo de las comunicaciones y las operaciones: Los objetivos de esta sección son: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.6.

Control de acceso: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. 8. 18 . se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso. Desarrollo y mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información.7.

al cumplimiento y consideraciones técnicas que se deben hacer en relación con el proceso de auditoría del sistema a fin de garantizar que las 19 empresas obtengan el máximo beneficio. 10.9. Esta sección también requiere una revisión a las políticas de seguridad. como la Directiva de la Unión Europea que concierne la Privacidad. la Ley de Responsabilidad y Transferibilidad del Seguro Médico (HIPAA por su sigla en Inglés) y la Ley Gramm-LeachBilley (GLBA por su sigla en inglés). Cumplimiento: Imparte instrucciones a las organizaciones para que verifiquen si el cumplimiento con la norma técnica ISO 17799 concuerda con otros requisitos jurídicos. Manejo de la continuidad de la empresa: Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes de la empresa en caso de una falla grave o desastre. .

Menor Responsabilidad civil 20 . Auditorías de seguridad más precisas y confiables. Planeación y manejo de la seguridad más efectivos. Mayor confianza en el cliente.Beneficios de la norma técnica ISO 17799 ‡ Una organización que adopte la Norma Técnica Peruana ISO 17799 tiene mayores ventajas frente a los que no la adopten: ± ± ± ± ± ± Mayor seguridad en la organización. Alianzas comerciales y e-commerce más seguras.

Implementando Seguridad de la Información Enfoque General 21 .

‡ Lo que realmente necesitamos son mejores modelos de procesos. la tecnología está fallando y la situación está empeorando.‡ La seguridad en Internet ha sido siempre considerada como un problema de ingeniería. no mejor tecnología. y las organizaciones tratan de resolverlo utilizando tecnología. 22 . ‡ Este enfoque es incorrecto.

y la única forma de que la Dirección tome las medidas adecuadas es cambiando sus políticas de seguridad. ‡ Esto se puede conseguir introduciendo nuevas normativas. o reforzando las ya existentes.‡ La seguridad es un proceso de gestión de riesgo. 23 .

Disponibilidad Acceso a los recursos por clientes y empleados. 24 .Confidencialidad Salvaguardar la información de clientes y del negocio. Integridad Confianza en la información del negocio y clientes.

protección Funcionalides de producto Herramientas de Seguridad y productos 25 . encripción.ALCANCE DE LA SEGURIDAD Personas  RH Dedicados  Entrenamiento  Seguridad²pensamiento y Seguridad² prioridad  Educación de empleados     Planeación de seguridad Prevención Detección Reacción Procesos Tecnología     Tecnología de punta Estandar.

Enfoque integral de la seguridad ‡ La seguridad debe tenerse en cuenta en: ± Todas las etapas de un proyecto ‡ Diseño ‡ Desarrollo ‡ Implementación ± Todas las capas ‡ Red ‡ Servidores ‡ Aplicación ´La seguridad es tan buena como el eslabón más débilµ 26 .

ANALISIS DE RIESGOS 27 .

28 . históricos y archivos. desarrollos de I+D. ± Acceso a Inversiones e infraestructura ‡ Configuraciones.Análisis de Riesgos ‡ ¿Que proteger? ± Acceso a Información comprometida o confidencial ‡ Planes de negocio. Acceso a servidores. bbdd. contratos. listados passwords. backups. electrónica y hardware costoso. información de clientes. webs. logs. nominas. intranets. ± Acceso a Información valiosa ‡ Documentación.

mala configuración o descuido. ± Acceso a servicios confidenciales (correo. ± Instalación de caballos de troya. 29 . por error. ± Acceso físico a material restringido. ± Accesos no autorizados a información confidencial ± Accesos públicos a información confidencial. ± Suplantación de usuarios. etc). bbdd. servidores de acceso.Análisis de Riesgos ‡ Peligros contra la confidencialidad.

etc) ± Destrucción o corrupción de backups. 30 . ± Acceso físico a material restringido.Análisis de Riesgos ‡ Peligros contra la integridad ± ± ± ± ± Modificación indebida de datos (fallo de permisos) Falta de integridad (borrado o modificación) de datos. Imposibilidad de identificar fuente de datos. logs. Modificación en archivos de sistema (configuraciones. Fallo en la integridad de bases de dato (corrupcion). ± Virus.

etc). (DoS o Sabotaje) ± Acceso físico a infraestructura básica. disco. (DoS o mala config. ± Caida de servicios externos. Sabotaje. switches. fallo.) ± Fallo de infraestructuras generales de red (routing. 31 . socket. etc).Análisis de Riesgos ‡ Peligros contra la disponibilidad. mala configuración o sabotaje) ± Destrucción de configuraciones o servicios. (DoS. (DoS) ± Agotamiento de recursos (ancho de banda.

La Seguridad es un Proceso Continuo ALERTAR PROTEGER CONTROL PROACTIVO ADMINISTRAR RESPONDER 32 .

‡ A partir de ese entendimiento se podrá gestionar la seguridad. 33 . ‡ Ajustar la ecuación del riesgo hasta que le interese e importe a la alta dirección.Costo Económico ‡ Solo importa cuando suceden los problemas de seguridad.

Aplicación de la NTP-ISO/IEC 17799 Publicar una política Establecer un marco de trabajo Identificar riesgos Implementar la política Plan de continuidad de negocio EDUCACIÓN 34 .

Entregables de la NTP-ISO/IEC 17799 Política de Seguridad Instituciona l Análisis de riesgos NTP-ISO/IEC 17799 vs. el análisis de riesgos (Brecha) Plan Implementación de los controles de seguridad Implementación Gradual y Priorizada 35 .

Estrategia Nacional de Seguridad de la Información 36 .

ante posibles ataques cibernéticos o incidentes negativos que puedan producirse. ‡ Reducir las vulnerabilidades de los sistemas de información y comunicaciones de los organismos públicos del Estado Peruano.Objetivos ‡ Prevenir los incidentes negativos de seguridad de la información en la infraestructura de los sistemas de información y comunicaciones de los organismos públicos del Estado Peruano. 37 . ‡ Minimizar el daño y el tiempo de recuperación si ocurriese algún tipo de incidente negativo en la infraestructura de los sistemas de información y comunicaciones de los organismos públicos del Estado Peruano.

3. 5. PeCERT 2. Mejoramiento de la seguridad de la información en las instituciones públicas. Establecimiento de cooperación internacional en seguridad de la información. 38 . Capacitación y entrenamiento. Programa de reducción de riesgos y vulnerabilidades. Creación de una unidad de respuesta a incidentes. 4.Líneas Estratégicas 1.

FRASE CELEBRE 39 .

Cuando no conozcas al enemigo. las probabilidades de victoria o de derrota son iguales."Conoce al enemigo y conócete a ti mismo y. Pero si a un tiempo ignoras todo del enemigo y de ti mismo. no correrás jamás el más mínimo peligro. en cien batallas. pero te conozcas a ti mismo. es seguro que estás en peligro en cada batalla" Sun Tzu. El Arte de la Guerra 40 .

MUCHAS GRACIAS 41 .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->