CONFIDENCIAL

Servicios en Seguridad de la
Servicios en Seguridad de la
informacin.
informacin.
CONFIDENCIAL
Agenda Agenda Agenda Agenda
Introduccin.
Marco de Referencia
BS ISO/IEC 17799.
Evaluacin de Riesgo.
Matrices de Riesgo.
Definicin de Polticas, procedimientos y
Estandares
Conclusiones
Servicios en Seguridad.
Introduccin Introduccin Introduccin Introduccin
CONFIDENCIAL
Red Segura
RED SEGURA
CONFIDENCIAL
Informacin
Es el conjunto de datos o mensajes inteligibles Es el conjunto de datos o mensajes inteligibles Es el conjunto de datos o mensajes inteligibles Es el conjunto de datos o mensajes inteligibles
creados con un lenguaje de representacin y que creados con un lenguaje de representacin y que creados con un lenguaje de representacin y que creados con un lenguaje de representacin y que
debemos proteger ante las amenazas del entorno, debemos proteger ante las amenazas del entorno, debemos proteger ante las amenazas del entorno, debemos proteger ante las amenazas del entorno,
durante su transmisin o almacenamiento, usando durante su transmisin o almacenamiento, usando durante su transmisin o almacenamiento, usando durante su transmisin o almacenamiento, usando
diferentes tecnologas lgicas, fsicas o diferentes tecnologas lgicas, fsicas o diferentes tecnologas lgicas, fsicas o diferentes tecnologas lgicas, fsicas o
procedimentales. procedimentales. procedimentales. procedimentales.
CONFIDENCIAL
Objetivo en Seguridad (Costo)
DISPONIBILIDAD DISPONIBILIDAD
INTEGRIDAD INTEGRIDAD
CONFIDENCIALIDAD CONFIDENCIALIDAD
Seguridad
CONFIDENCIAL
Qu ayudar a proteger?: C.I.A
ASSESTS ASSESTS
INFORMATION INFORMATION
CRITICAL CRITICAL
Inventario Inventario+ +clasificacion clasificacion
CONFIDENCIAL
Los controles y procedimientos
buscan:
Retardar Retardar
Deteccion Deteccion
Responder Responder
Disuadir Disuadir
Evaluacion Evaluacion
CONFIDENCIAL
La seguridad como Proceso
Assestment
Implementation
Trainning
Policy
Audit
CONFIDENCIAL
Virus
4%
Empleado
Deshonesto
10%
Amenazas
Fsicas.
20%
Errores
Humanos
55%
Ataque del
exterior
2%
Empleado
Descontento
9%
Fuentes de los problemas de seguridad Fuentes de los problemas de seguridad Fuentes de los problemas de seguridad Fuentes de los problemas de seguridad
en las Empresas. en las Empresas. en las Empresas. en las Empresas.
Fuente: Computer Security Institute
CONFIDENCIAL
Estado de las Polticas de Seguridad Estado de las Polticas de Seguridad Estado de las Polticas de Seguridad Estado de las Polticas de Seguridad
en las Empresas Colombianas en las Empresas Colombianas en las Empresas Colombianas en las Empresas Colombianas
29%
47%
24%
No se tienen
En Desarrollo
Formalmente Definidas
Fuente: ACIS 2004
Marco de Marco de Marco de Marco de Referencia Referencia Referencia Referencia
Evaluacin
Evaluacin
de
de
Riesgo
Riesgo
de TI
de TI
CONFIDENCIAL
El Riesgo El Riesgo El Riesgo El Riesgo
La falta de Polticas de Seguridad en cualquier
organizacin puede tener como consecuencia:
8 Perdida de Dinero.
8 Perdida de tiempo.
8 Perdida de productividad
8 Perdida de informacin confidencial.
8 Prdida de clientes.
8 Prdida de imagen.
8 Prdida de ingresos por beneficios.
8 Prdida de ingresos por ventas y cobros.
8 Prdida de ingresos por produccin.
8 Prdida de competitividad en el mercado.
8 Prdida de credibilidad en el sector.
CONFIDENCIAL
COBIT
CONFIDENCIAL
Procesos y Aplicaciones Crticas
CONFIDENCIAL
Por qu realizar una Evaluacin de Por qu realizar una Evaluacin de Por qu realizar una Evaluacin de Por qu realizar una Evaluacin de
Riesgo. Riesgo. Riesgo. Riesgo.
Identificar, Analizar, y evaluar.
Conocer los riesgos
Ejercicio de entendimiento de toda la organizacin.
Identificar los procesos crticos del negocio y las
aplicaciones que los soportan.
Presentar un diagnstico de la Situacin Actual.
Identificar los puntos de mayor atencin y focalizar
el esfuerzo.
Risk is a function of the likelihood of a given
threat-source.s exercising a particular potential
vulnerability, and the resulting impact of that
adverse event on the organization.
CONFIDENCIAL
Identificar amenazas Identificar amenazas Identificar amenazas Identificar amenazas
Es importante considerar todas las amenazas
posibles, sin importar que tan probables sean o no.
8 Acceso no autorizados
8 Fraude
8 Perdida de Confidencialidad
8 Uso inapropiado de recursos
8 Fallas de Hardware
8 Fallas de canales de comunicaciones
8 Virus
8 Negacin de Servicio.
8 Incumplimiento de Normas.
8 Perdida de Laptops
8 Fallas de Potencia
8 Incendio
CONFIDENCIAL
Resultados ISO 17799-ISO 27001
20% 20% 20% 20% Cumplimiento de Leyes
31.6% Promedio
30% 30% 30% 30% Continuidad del Negocio
45% 45% 45% 45% Desarrollo y mantenimiento de Sistemas
40% 40% 40% 40% Control de Acceso (falta sistemas)
28% 28% 28% 28% Administracin de la operacin de cmputo y comunicaciones.
60% 60% 60% 60% Seguridad Fsica
40% 40% 40% 40% Aspectos de Seguridad relacionados con el recurso humano.
33% 33% 33% 33% Control y Clasificacin de Activos.
20% 20% 20% 20% Seguridad en la Organizacin.
0% 0% 0% 0% Poltica de Seguridad
Cumplimiento Dominio
CONFIDENCIAL
Analisis de la Infraestructura
Seguridad Fsica.
8 Monitoreo ambiental
8 Control de acceso
8 Desastres naturales
8 Control de incendios
8 Inundaciones
Seguridad en las conexiones a Internet.
8 Polticas en el Firewall
8 VPN
8 Deteccin de intrusos
Seguridad en la infraestructura de comunicaciones.
8 Routers
8 Switches
8 Firewall
8 Hubs
8 RAS
Seguridad en Sistema Operacionales(Unix, Windows)
Correo Electrnico
Seguridad en las aplicaciones.
CONFIDENCIAL
Evaluacin en Seguridad Fsica Evaluacin en Seguridad Fsica Evaluacin en Seguridad Fsica Evaluacin en Seguridad Fsica
El objetivos es prevenir accesos no autorizados,
daos, robos a los activos del negocio y la
organizacin.
La evaluacin de riesgo permite identificar las reas
mas criticas y definir los controles requeridos.
Permetros de seguridad.
Seguridad de equipos.( medio ambiente).
Escritorios limpios.
CONFIDENCIAL
Seguridad Fsica Centro de Computo
Source: Secretaria de Gobierno Bogota
Matrices de Riesgo
CONFIDENCIAL
Ejemplo Matriz de Riesgo
Ocurrencia
del evento
anualizada
Impacto Factor de
Riesgo
Control Costo
Control
FR/CC
(1-5) (1-5) (1-10)
No hay procedimientos
de contingencia.
Procedimientos de
Contingencia.
No hay procedimiento
formal de
almacenamiento de la
configuracin de los
switches.
No hay inventario
actualizado
Contrato de
mantenimiento
Gestin de red.
Procedimientos de
cambio de
configuraciones
Amenazas Vulnerabilidades
Falla de switch
principal de la
red LAN
1 3 4 1 4
CONFIDENCIAL
Metodologa Anlisis de Riesgo
CONFIDENCIAL
Opciones para el tratamiento del
riesgo
Controlar el riesgo
Aceptarlo
Evitarlo
Transferirlo
CONFIDENCIAL
Tipos de Controles
Administrative Controls
8 Manegement responsabilities
Security Policies
Procedures
Screening Personal
Classifying data
BCP,DRP.
Change Control
Technical Controls
8 IDS
8 Encryption
Physical Control
8 Security Guards
8 Perimeters fences
8 Locks
8 Removal of CD-ROM
Administrative Controls
Phyiscal Controls Technical controls
Definicin de Polticas, Definicin de Polticas, Definicin de Polticas, Definicin de Polticas,
procedimientos y estndares procedimientos y estndares procedimientos y estndares procedimientos y estndares
CONFIDENCIAL
La seguridad de la informacin La seguridad de la informacin La seguridad de la informacin La seguridad de la informacin
Procedimientos Procedimientos Procedimientos Procedimientos de de de de Seguridad Seguridad Seguridad Seguridad de de de de
la la la la Informacin Informacin Informacin Informacin
Estndares Estndares Estndares Estndares de de de de Seguridad Seguridad Seguridad Seguridad de la de la de la de la Informacin Informacin Informacin Informacin
Polticas Polticas Polticas Polticas detalladas detalladas detalladas detalladas de de de de
Seguridad Seguridad Seguridad Seguridad de la de la de la de la Informacin Informacin Informacin Informacin
Poltica Poltica Poltica Poltica Generales Generales Generales Generales
de de de de Seguridad Seguridad Seguridad Seguridad
de la de la de la de la Informacin Informacin Informacin Informacin
Poltica Poltica Poltica Poltica
Corporativa Corporativa Corporativa Corporativa
CONFIDENCIAL
Polticas. Polticas. Polticas. Polticas.
Una poltica de seguridad, es una declaracin formal
de las reglas que deben seguir las personas con
acceso a los activos de tecnologa e informacin,
dentro de una organizacin.
CONFIDENCIAL
Procedimientos.
Los procedimientos son la descripcin detallada de la manera
como se implanta una Poltica. El procedimiento incluye todas
las actividades requeridas y los roles y responsabilidades de las
personas encargadas de llevarlos a cabo.
CONFIDENCIAL
Estndares
Es la definicin cuantitativa o cualitativa de un valor o parmetro
determinado que puede estar incluido en una norma o
procedimiento.
Los estndares pueden estar ligados a una plataforma
especfica (parmetros de configuracin) o pueden ser
independientes de esta (longitud de passwords).
CONFIDENCIAL
Plan de Entrenamiento en Seguridad.
El aspecto humano se debe considerar en cualquier proyecto
de seguridad, sea esta fsica, lgica, informtica o industrial.
Debe ser corto pero continuo
A veces es la nica solucin a ciertos problemas de seguridad
como instalacin de troyanos.
Debe ser apoyado por campanas publicitarias, Email, objetos
etc.
Conclusiones Conclusiones Conclusiones Conclusiones
CONFIDENCIAL
Estrategia Niveles de Seguridad
Offices
Data Center
Media and
equipment
Building floors
Building Entrance
Building Grounds
Perimeter
CONFIDENCIAL
Permetro Lgico
CONFIDENCIAL
Servicios a ofrecer
GaP Analysis en relacin al ISO 17799/27001
Anlisis de riesgo (risk assessment) orientado a aplicaciones e
Infraestructura de red.
Anlisis de la Seguridad Fsica en el Centro de Computo.
Definicin de Polticas, Procedimientos y Estndares para los
clientes.(SMB)
Diseo de la Arquitectura de Seguridad para conectividad hacia
Internet.
Auditora de seguridad ISO 27001.
Plan de concientizacin en Seguridad de la informacin.
Elaboracin Plan de Contingencia para IT.
Configuracin y optimizacin sistema Firewall.
Mejoramiento seguridad red Voz IP.
Mejoramiento seguridad red Wireless.
Optimizacin desempeo de red y Conectividad hacia Internet.
CONFIDENCIAL
Conclusiones
Seguridad y desempeo.
Seguridad y disponibilidad.
Seguridad y productividad.(flexibilidad)
Seguridad distribuida.
Seguridad en el sistema operativo de la red.
CONFIDENCIAL
Conclusiones Conclusiones Conclusiones Conclusiones
Alrededor de la evaluacin de riesgo gira todo el proceso.
Las polticas de seguridad habilitan el desarrollo de una arquitectura de
seguridad de la informacin.
Este proceso anlisis de riesgo- genera un plan de inversin en
tecnologa en general.(redes, servidores, software, servicios, IPS,
Ciframiento, desarrollo aplicaciones, conectividad VPN, Velocidad hacia
Internet. etc)
Seguridad y desempeo a un costo razonable, sin afectar la
flexibilidad.
En conclusin los proyectos de seguridad son un sub-conjunto de
los proyectos de continuidad y el logro de objetivos
empresariales.
FIN FIN FIN FIN