Documentos de Académico
Documentos de Profesional
Documentos de Cultura
T4-1
Agenda
Nuevas tecnologas, nuevas situaciones Sistemas de informacin y procesos de negocio Conceptos de seguridad de la informacin Anlisis y gestin del riesgo ISO 27001:Gestin de la seguridad de la informacin
T4-2
T4-3
Des-Centralizacin y movilidad
T4-4
T4-5
Internet
T4-6
United Airlines cae un 75% en bolsa en diez minutos por un error en Google News al publicar como actual una noticia del 2002.
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-7
Externalizacin o subcontratacin
Empresa A
Empresa B
Datos A
T4-8
Malware
Aos 80
Aos 90
Actualidad
-9-
T4-9
Cibercrimen
Grandes beneficios econmicos Beneficio Personal
Espionaje industrial
Notoriedad
Curiosidad
Vndalos
Creadores de cdigo
Usuarios ingenuos
Principiantes
Expertos
Ciberdelincuentes
T4-10
Espionaje industrial
Autobs MAN y coche Smart Presuntos plagio chino
T4-11
Delitos internacionales
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-12
T4-13
RIESGOS DINMICOS
MODELO POLICIAL
ESTRATEGIA DEFENSIVA
ESTRATEGIA PREVENTIVA
T4-14
Agenda
Nuevas tecnologas, nuevas situaciones Sistemas de informacin y procesos de negocio Conceptos de seguridad de la informacin Anlisis y gestin del riesgo ISO 27001:Gestin de la seguridad de la informacin
T4-15
T4-16
Extraccin
Refino
Depsito
Distribucin
Materia prima
Producto
T4-17
INFRAESTRUCTURA
Direccin
Facturacin
RECURSOS HUMANOS
RR.HH.
TECNOLOGA
Gestin TIC
Producto
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-18
soporte
Gestin TIC
RR.HH.
Extraccin
Depsito
Exportacin
Refino
Distribucin
primarias
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-19
Procesos o Servicios
T4-20
Agenda
Nuevas tecnologas, nuevas situaciones Sistemas de informacin y procesos de negocio Conceptos de seguridad de la informacin Anlisis y gestin del riesgo ISO 27001:Gestin de la seguridad de la informacin
T4-21
Amenazas de la informacin
FLUJO NORMAL
INTERRUPCIN
INTERCEPTACIN
MODIFICACIN
SUPLANTACIN
T4-22
Seguridad de la informacin
Proteccin de la confidencialidad, integridad y disponibilidad de la informacin segn el nivel requerido para los objetivos de negocio de la empresa.
T4-23
El valor de la informacin
La informacin es un activo que, como otros activos importantes para las organizaciones, tiene valor y por tanto, necesita ser adecuadamente protegido. ISO/IEC 27002:2005 El valor de la informacin puede ser diferentes segn el criterio o percepcin de la persona que la maneja.
Direccin
Informe Direccin
600.000
Copias seguridad
600
600.000
10
T4-24
El caso britnico
25 millones de datos bancarios de ciudadanos ingleses = 2 CD-ROM. En el mercado negro podran llegar a valer 140 millones de euros.
T4-25
Amenaza Activo
Impacto
Control
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-26
T4-27
Vulnerabilidades
T4-28
T4-29
T4-30
ACTIVO
Virus
Avera hardware Vulnerabilidades
Impacto
T4-31
AMENAZAS
Cmo pueden materializarse las amenazas?
SALVAGUARDAS
De que protecciones disponemos?
VULNERABILIDAD Posibilidad de ocurrencia Cunto de posible es que la amenaza supere a los controles?
RIESGO
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-32
Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin.
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-33
Desconocidas
Conocidas
Impredecibles
T4-34
T4-35
T4-36
T4-38
T4-39
EVITAR
No tener
ACEPTAR
No hacer nada
TRANSFERIR
La proteccin deber establecerse en profundidad a travs de una serie de anillos concntricos (de fuera hacia dentro).
Seguridad fsica Seguridad perimetral Seguridad interna
T4-41
ESTRATEGIA DE DEFENSA
Sensores presencia Sistemas prevencin incendios Muros Detectores de intrusos Arquitectura de la red Antivirus
Puertas
Alarmas
Seguros Hogar Seguros Hacking
Firewalls
T4-42
Proporcionalidad Ninguna medida de proteccin puede ser ms cara y costosa que el elemento protegido
T4-43
Principio de mnimos privilegios Solo debe proporcionarse el acceso a aquellos recursos o datos necesarios para el desempeo de las funciones del empleado.
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-44
MODIFICACIN
FABRICACIN
INTEGRIDAD
AUTENTICACIN
T4-46
Salvaguardas de seguridad
Son protecciones contra las amenazas Suelen combinarse entre s Su existencia no garantiza nunca la desaparicin de la amenaza, pero disminuye el riesgo de que sta pueda ocurrir o proporciona ayuda para recuperarse del dao Son prestados mediante los mecanismos de seguridad
Amenazas
Salvaguardas de Seguridad
Mecanismo Mecanismo Mecanismo
Amenazas
T4-47
Autenticacin
INFORMACIN IDENTIDADES
T4-48
Ejemplos
T4-49
Control de privilegios
Verifica los privilegios de acceso de las entidades Requiere autenticacin previa antes de comprobar los derechos de acceso
NO
3
PUEDE ALICIA ACCEDER A X?
QUIERO ACCEDER A X
2
PRIVILEGIOS EN EL SISTEMA REGISTROS W ALICIA: R - X BERNARDO: X CARLOS: R Y Z
-WX -
SI
T4-50
Ejemplos
T4-51
Integridad
Detecta la modificacin, aunque no la impide No, datos modificados!!! Verificar que el contenido no es manipulado
1
INFORMACIN
01001101 CONTROL
NO
Control?
01001101
SI
router
router
T4-52
Original
T4-53
Propiedades:
T4-54
Original manipulado
T4-55
Comprobacin
Datos de carcter personal protegidos Datos de carcter personal protegidos
Chequeo de integridad mediante funciones HASH: Original: 933A313DBC8060F9447705D1927B510C acuse recibo Original modificado: FAA470E9352AB06D47385B406D0FA02C acuse recibo
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-56
Confidencialidad
Garantiza que la informacin solo ser comprensible y utilizable por el destino NO PUEDO LEERLO! indicado
INFO PARA BERNARDO
HOLA BOB CMO ESTAS? O1O1O1O O1O1O 1O1O1O1 O1O1O1
2 1
router
No puedo recuperar Datos !!!
router
Disponibilidad
Garantiza la accesibilidad y operatividad de los servicios en los tiempos que se requieren Todo funciona segn lo previsto
NO
QUIERO ACCEDER A X
DISPONIBLE X?
2 de 3 en servicio !
SI
T4-58
Auditora
Proporciona un registro continuo de las actividades del sistema Permiten a posteriori, hacer anlisis forense y averiguar las posibles causas de los incidentes del sistema.
1
LEER X MODIFICAR Z BORRAR Y USUARIO: ALICE
2
12/02/2005, 21:00 BB. DD.
3
DIA 12: USUARIO ALICIA ACCEDE A: X, Z, Y
No repudio
Prueba a posteriori que algo ha ocurrido realmente No repudio en origen: prueba que el emisor es el autor de un evento No repudio en destino: prueba que el receptor recibi lo enviado por el destino
2
RECIBIDO BERNARDO
SOY ALICiA
router
router
Alarma
REGISTRO AUDITORA DEL SISTEMA USUARIO: ALICIA 12/02/2005, 21:00 LEER X, OK MODIFICAR Z BORRAR Y
T4-61
Agenda
Nuevas tecnologas, nuevas situaciones Sistemas de informacin y procesos de negocio Conceptos de seguridad de la informacin Anlisis y gestin del riesgo ISO 27001:Gestin de la seguridad de la informacin
T4-64
Diseo de la seguridad
T4-65
El anlisis de riesgos permite identificar las actividades de la empresa y estimar cuales son las amenazas que pueden afectarle para hallar el nivel de riesgo.
Esta informacin determina qu consecuencias pueden tener cada una de las amenazas y tomar las acciones ms adecuadas segn su importancia.
Para ello, se construye el rbol de activos: identificacin de todas las piezas de la organizacin y sus relaciones de dependencia segn su seguridad.
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-66
T4-67
Un activo B se dice que depende de un activo A si cualquier incidente que afecte a B tiene consecuencias de seguridad sobre el activo A.
Es decir, afecta a la disponibilidad, integridad o confidencialidad).
Estas relaciones se modelan como relaciones padre-hijo. Incidente de seguridad en hijo, dao de seguridad en padre.
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-68
rbol de activos
Procesos
Informacin
Soporte papel
Aplicaciones
Personas
Ubicaciones fsicas
Hardware Servidor
Ubicaciones fsicas
Hardware red
Proveedores Telecomunicaciones
Ubicaciones fsicas
T4-69
rbol de activos
Hay unas relaciones estables entre los elementos atendiendo a su naturaleza: Los procesos dependen de la informacin. La informacin de las aplicaciones, soporte papel y las personas. Las aplicaciones de servidores. El soporte papel de las ubicaciones donde se almacenan. Las personas de las salas donde trabajan. Los servidores suelen necesitar de recursos de red. El hardware en general, se almacena en salas. En cada caso, hay que identificar estas dependencias.
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-70
C I D 1
Diseo
Produccin
Financiero
Direccin
RR.HH.
2 3 3
3 3 2
1 3 5
4 5 1
5 3 2
4 4 1
3 3 5
3 3 5
5 5 1
5 5 2 4 3 2
4 3 2
3 3 5
5 5 1
4 3 2
3 3 5
5 5 2
T4-71
Qu puede pasar?
Informacin
Hardware
Ubicaciones fsicas
Diseo
Produccin
Financiero
Direccin
RR.HH.
T4-73
Correccin
RECUPERACIN
Recuperacin
T4-74
Resguardar los activos de informacin de las vulnerabilidades o de la exposicin a amenazas adversas. Identificar la ocurrencia de un evento de seguridad con la mayor brevedad para iniciar la reaccin proactiva, reactiva o de recuperacin ms adecuada. Responder o contrarrestar el incidente de seguridad para minimizar el dao y asegurar la continuidad de negocio.
Reaccin
Recuperacin
Reponer la integridad, confidencialidad o disponibilidad de los activos afectados por el incidente de seguridad.
T4-75
T4-76
Servidor A
Servidor B
5 5 2
Crtico en confidencialidad e integridad. Medidas de seguridad: Fuerte control de acceso Cifrado de soportes Registros de auditora Etc
T4-77
Ejemplo prctico
El examen contendr de un ejercicio similar.
T4-78
T4-80
T4-81
Asesora
Datos de clientes
Informes contables
Consultor
Administrativa
Office 2007
SRV-PIRMA
SRV-DC-W2000
RED-ETH
Archivadores AZ
Oficina Pirma
T4-82
2 3 1 2 1
Corte electricidad
Fuga de datos
Archivadores AZ
T4-83
2 3 1 2
3 3 1 3
5 2 5 5
5 5 2 5
6 10 10 9 1 6 5 15 2
6 10 10
Avera Hardware
SRV-DC/W2000
SRV-PIRMA
3
3 3 3
5
5 5 5
5
5 5 5
9 15 15 9 15 15 9 15 15
Corte electricidad
SRV-DC/W2000 RED-ETH
Fuga de datos
Archivadores AZ
10
T4-84
Agenda
Nuevas tecnologas, nuevas situaciones Sistemas de informacin y procesos de negocio Conceptos de seguridad de la informacin Anlisis y gestin del riesgo ISO 27001:Gestin de la seguridad de la informacin
T4-85
Necesidad de la normalizacin
- Puedo estar tranquilo? La informacin que procesamos es crtica y necesita unas mnimas medidas de seguridad.
- No se preocupe. Nuestra empresa dispone de las medidas de seguridad necesarias para proteger su informacin
T4-86
Todo en orden
Mantener el Sistema
Ideas/Mejoras
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-88
Ciclo de mantenimiento
Incidentes o carencias
Ciclo de mejora
Planificar-Hacer-Verificar-Revisar
- Definir la Poltica de Seguridad - Establecer el alcance del SGSI - Realizar el anlisis de riesgos - Seleccionar los controles Ejecutar el plan de gestin de riesgos Implantar el SGSI Implantar los controles
T4-89
3.
4. 5. 6. 7. 8. 9.
T4-90
8 Mejora
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-91
Anlisis de riesgos
92
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-92
T4-93
Documentos SGSI
D
Auditorias
A
Registros SGSI
ISO 27002:2005
Procedimientos seguridad
D
Medidas
M
R
ACTIVOS
Registros seguridad
T4-94
4. SGSI
Gestin SGSI
5. 6. 7. 8.
T4-95
Seleccin de controles
4. SGSI
Gestin SGSI
5. 6. 7. 8.
La relacin de los controles se encuentran descritos en la ISO 27002:2005 Cuando los controles no se puedan aplicar, puede considerarse su exclusin. Para alegar conformidad, las exclusiones deben fundamentarse en resultado del anlisis de riesgos.
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-96
Gestin SGSI
5. 6. 7. 8.
Auditora interna Revisin por la Direccin del SGSI Gestin de la mejora continua: acciones preventivas y correctivas
T4-97
El sistema evoluciona
Madurez Proceso de mejora continua
SGSI
SGSI
Tiempo
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-98
Definido y documentado
SGSI
5 4 3 2 1 0
Tiempo
UCAM- Auditora y peritaje 2010-2011 2009-2010
T4-99
OG-1
OG-2
OG-3
IND1 IND2
IND3
IND4
IND5
T4-100
T4-101