Seguridad de La Informacion Gobierno Electronico

Seguridad de la Informacin
Seguridad
De la
Informacin
Ing. Max Lazaro

Oficina Nacional de Gobierno
Electrnico e Informtica
Nuevos Escenarios
Qu se debe asegurar ?
LA INFORMACION es un ACTIVO
La informacin debe considerarse como un

recurso con el que cuentan las Organizaciones
y por lo tanto tiene valor para stas, al igual
que el resto de los activos, debe estar
debidamente protegida.
Contra qu se debe proteger la

Informacin ?
Amenazas
Password cracking
Escalamiento de privilegios
Fraudes informticos Puertos vulnerables abiertos

Man in the middle
Exploits
Violacin de la privacidad de los empleados
Servicios de log inexistentes o que no son chequeados

Denegacin de servicio
Backups inexistentes
Destruccin de equipamiento
ltimos parches no instalados
Instalaciones default
Desactualizacin
Keylogging
Port scanning
Hacking de Centrales Telefnicas
Ms Amenazas!!
Spamming
Violacin de contraseas
Intercepcin y modificacin y violacin de e-mails
Captura de PC desde el exterior
Virus
Incumplimiento de leyes y regulaciones
Mails annimos con agresiones
Interrupcin de los servicios
Ingeniera social
empleados deshonestos
Programas bomba, troyanos

Destruccin de soportes documentales
Acceso clandestino a redes
Robo o extravo de notebooks, palms
Propiedad de la informacin
Robo de informacin
Indisponibilidad de informacin clave
Intercepcin de comunicaciones voz y
wireless
Falsificacin de informacin
Agujeros de seguridad de redes conectadas
para terceros
Acceso indebido a documentos impresos
BOTNETS Facilitando Ataques DDoS

Extorsionador
BOTNETs para Rentar!
Un BOTNET est compuesto de computadoras

que han sido violadas y contaminadas con
programas (zombies) que pueden ser
instruidos para lanzar ataques desde una
computadora de control central
Los BOTNETs permiten todos los tipos de

ataques DDOS: Ataques ICMP, Ataques TCP,
Ataques UDP y sobrecarga de http
Las opciones para desplegar BOTNETs son

extensas y se crean nuevas herramientas para
aprovechar las vulnerabilidades ms recientes
de los sistemas
Un BOTNET relativamente pequeo con

nicamente 1000 zombies puede causar una
gran cantidad de daos.
Por ejemplo: 1000 PCs caseras con un ancho

de banda upstream promedio de 128KBit/s
pueden ofrecer ms de 100MBit/s
El tamao de los ataques est aumentando

constantemente!
Zombies
Ruteador del
Borde del ISP
Conexin de la
ltima Milla
CE
Instalacin del cliente:

Servidor/FW/Switch/Ruteador
Por qu aumentan las amenazas ?

Crecimiento exponencial de las Redes y
Usuarios Interconectados Dependencia.
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas

Algunas
Causas
Alta disponibilidad de Herramientas

Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido
(Ej:DDoS)
Tcnicas de Ingeniera Social
Vulnerabilidades
Inadecuado compromiso de la direccin.

Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles
(fsicos/lgicos)
(disuasivos/preventivos/detectivos/correctivos)
Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.
Qu se debe garantizar ?
Dimensiones crticas de
la informacin
Seguridad
de la Informacin
Informacin
Prevenir
Divulgacin no autorizada de
Activos de Informacin
E
D
Secreto impuesto de acuerdo

con polticas de seguridad
SINO: Fugas y filtraciones de
informacin; accesos no
autorizados; prdida de
confianza de los dems
(incumplimiento
de leyes
y
Autenticidad
de
compromisos)
quien hace uso de datos o
servicios
T
Trazabilidad del uso
E-commerce
de servicios (quin, cundo)

o datos (quien y que hace)
Informacin
(dimensiones)
Prevenir
Cambios no autorizados en
No repudio
(Compromisos)
Confiabilidad
I
+5
7x24x365
Prevenir
Destruccin no autorizada de
Validez y Precisin de informacin y

Acceso en tiempo correcto y confiable a
sistemas.
SINO: Informacin manipulada, incompleta,datos y recursos.
corrupta y por lo tanto mal desempeo de SINO: Interrupcin de Servicios o Baja
Productividad
funciones
Acciones de la ONGEI
Actualmente la ONGEI apoya a las entidades

pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores
Web de las Entidades Publicas.
Boletines de Seguridad de la informacin
Boletines de Alertas de Antivirus.
Presentaciones tcnicas sobre seguridad.
Consultoras y apoyo en recomendaciones
tcnicas.
Poltica de Seguridad de la
Informacin para el Sector Pblico
Que se entiende por Politica de Seguridad ?

Las polticas de seguridad son las reglas y
procedimientos que regulan la forma en que una
organizacin previene, protege y maneja los riesgos de
diferentes daos.
Como tiene xito una Politica ?

Si se quiere que las polticas de seguridad sean aceptadas, deben
integrarse a las estrategias del negocio, a su misin y visin,

con el propsito de que los que toman las decisiones reconozcan
su importancia e incidencias en las proyecciones y utilidades de la
organizacin.
Con fecha 23 de julio del 2004 la PCM a travs

de la ONGEI, dispone el uso obligatorio de la
Norma Tcnica Peruana NTP ISO/IEC
17799:2004 EDI. Tecnologa de la Informacin:
Cdigo de Buenas Prcticas para la Gestin de
la Seguridad de la Informacin en entidades del
Sistema Nacional de Informtica.
Se Actualiz el 25 de Agosto del 2007 con la
Norma Tcnica Peruana NTP ISO/IEC
17799:2007 EDI.
Cuales son los temas o dominios a

considerar dentro de un plan de
Seguridad?
Los 11 dominios de control de ISO 17799 (27002)

1.
Poltica de seguridad:
Se necesita una poltica que refleje las expectativas de
la organizacin en materia de seguridad, a fin de
suministrar administracin con direccin y soporte. La
poltica tambin se puede utilizar como base para el
estudio y evaluacin en curso.
2.
Aspectos organizativos para la seguridad:

Sugiere disear una estructura de administracin
dentro
la
organizacin,
que
establezca
la
responsabilidad de los grupos en ciertas reas de la
seguridad y un proceso para el manejo de respuesta a
incidentes.
3.
4.
5.
Clasificacin y Control de Activos:

Inventario de los recursos de informacin de la
organizacin y con base en este conocimiento, debe
asegurar que se brinde un nivel adecuado de
proteccin.
Seguridad de Recursos Humanos:
Necesidad de educar e informar a los empleados
actuales y potenciales sobre lo que se espera de ellos
en
materia
de
seguridad
y
asuntos
de
confidencialidad. Implementa un plan para reportar
los incidentes.
Seguridad fsica y del Entorno:

Responde a la necesidad de proteger las reas, el
equipo y los controles generales.
6.
Gestin de Comunicaciones y Operaciones: Los

objetivos de esta seccin son:
Asegurar el funcionamiento correcto y seguro de las

instalaciones de procesamiento de la informacin.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la informacin.
Conservar la integridad y disponibilidad del procesamiento y la
comunicacin de la informacin.
Garantizar la proteccin de la informacin en las redes y de la
infraestructura de soporte.
Evitar daos a los recursos de informacin e interrupciones en
las actividades de la institucin.
Evitar la prdida, modificacin o uso indebido de la
informacin que intercambian las organizaciones.
7. Control de accesos:
Establece la importancia de monitorear y
controlar el acceso a la red y los recursos de
aplicacin como proteccin contra los abusos
internos e intrusos externos.
8.
Adquisicin, Desarrollo y Mantenimiento de los

sistemas:
Recuerda que en toda labor de la tecnologa de la
informacin, se debe implementar y mantener la
seguridad mediante el uso de controles de
seguridad en todas las etapas del proceso.
9.
Gestin de Incidentes de la Seguridad de la

informacin
Asegurar que los eventos y debilidades en la
seguridad de la informacin sean comunicados de
manera que permitan una accin correctiva a tiempo.
10. Gestin de Continuidad del Negocio

Aconseja estar preparado para contrarrestar las
interrupciones en las actividades de la organizacin y
para proteger los procesos importantes de la
organizacin en caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,
estatutos, obligaciones regulatorias o contractuales y
de cualquier requerimiento de seguridad.
Los 11 Dominios de la NTP ISO 17799 - 2007

Cumplimiento
Poltica de
seguridad
Gestin de
Organizacin de
la Seguridad
la continuidad
Gestin de
incidentes
Confidencialidad
integridad
Activos
Informacin
Seguridad
Desarrollo y
mantenimiento
Gestin de
del personal
disponibilidad
Control de accesos
Gestin de
comunicaciones
y operaciones
Seguridad fsica
y medioambiental
SGSI
Modelo P-H-V-A
Metodologa de la ISO/IEC
27001
SGSI
El sistema de gestin de la seguridad de la informacin
(SGSI) es la parte del sistema de gestin de la empresa,
basado en un enfoque de riesgos del negocio, para:
establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la informacin.
Incluye.
Estructura, polticas, actividades, responsabilidades, prcticas,
procedimientos, procesos y recursos.
(Planificar /Hacer /Verificar

/Actuar)
Seguridad
de la Informacin
El SGSI adopta el siguiente modelo:
Definir la poltica de
seguridad
Implantar el plan de gestin de

riesgos
Establecer el alcance del SGSI
Implantar el SGSI
Realizar los anlisis de riesgos
Implantar los controles.
Planificar
Hacer
Seleccionar los controles
Implantar indicadores.
PHVA
Actuar
Adoptar acciones correctivas
Adoptar acciones preventivas
Verificar
Revisiones del SGSI por parte de
la Direccin.
Realizar auditoras internas del SGSI
Establecer el SGSI (Plan)

Establecer la poltica de seguridad, objetivos, metas, procesos y
procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la informacin para generar resultados de acuerdo con
una poltica y objetivos marco de la organizacin.
Definir el alcance del SGSI a la luz de la organizacin.
Definir la Poltica de Seguridad.
Aplicar un enfoque sistmico para evaluar el riesgo.
Establecer el SGSI (Plan)

Identificar y evaluar opciones para tratar el riesgo
Mitigar, eliminar, transferir, aceptar
Seleccionar objetivos de control y controles a

implementar.
A partir de los controles definidos por la ISO/IEC 17799
Establecer enunciado de aplicabilidad
Implementar y operar (Do)

Implementar y operar la poltica de seguridad, controles, procesos y
procedimientos.
Implementar plan de tratamiento de riesgos.
Transferir, eliminar, aceptar
Implementar los controles seleccionados.
Mitigar
Aceptar riesgo residual.

Firma de la alta direccin para riesgos que superan el nivel
definido.
Implementar y operar (Do)

Implementar medidas para evaluar la eficacia de los controles
Gestionar operaciones y recursos.
Implementar programas de Capacitacin y concientizacin.
Implementar procedimientos y controles de deteccin y respuesta a
incidentes.
Monitoreo y Revisin (Check)
Evaluar y medir la performance de los procesos contra la poltica de

seguridad, los objetivos y experiencia practica y reportar los
resultados a la direccin para su revisin.
Revisar el nivel de riesgo residual aceptable, considerando:
Cambios en la organizacin.
Cambios en la tecnologas.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej. Regulaciones,
leyes).
Realizar auditorias internas.
Realizar revisiones por parte de la direccin del SGSI.
Monitoreo y Revisin (Check)

Se debe establecer y ejecutar procedimientos de monitoreo para:
Detectar errores.
Identificar ataques a la seguridad fallidos y exitosos.
Brindar a la gerencia indicadores para determinar la
adecuacin de los controles y el logro de los objetivos de
seguridad.
Determinar las acciones realizadas para resolver brechas a
la seguridad.
Mantener registros de las acciones y eventos que pueden impactar
al SGSI.
Realizar revisiones regulares a la eficiencia del SGSI.
Mantenimiento y mejora Seguridad

del SGSI
(Act)
de la Informacin
Tomar acciones correctivas y preventivas, basadas en los
resultados de la revisin de la direccin, para lograr la mejora
continua del SGSI.
Medir el desempeo del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las acciones apropiadas a implementar en el ciclo en

cuestin (preventivas y correctivas).
Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las

acciones seleccionadas.
PECERT
Con fecha 22 de Agosto del 2009, en el diario

oficial el Peruano la Resolucin Ministerial
360-2009-PCM, que crea el Grupo de Trabajo
denominado Coordinadora de Respuestas a
Emergencias en Redes Teleinformticas de la
Administracin Pblica del Per PECERT
La cual permitir generar un marco de trabajo
de cooperacin entre los ministerios del sector
pblico para mejorar los niveles de seguridad de
la informacin en las entidades pblicas.
La norma permitir que:

ONGEI ser un CSIRT de coordinacin
Cada Ministerio creara un CSIRT
operativo.
Portal de Coordinacin de Emergencias en Redes Teleinformticas
http://www.pecert.gob.pe
Establecimiento e Implementacin PeCERT

Equipo Formal PeCERT
Cantidad
Ministerios del Per
17
Entrenamiento al Personal PeCERT (Ministerios,

ODPs)
Asistentes
Ponentes
Taller de Seguridad de la Informacin en el Gobierno (Julio 2009)
80
E & Y, OSINERMING, IRIARTE

&
ASOCIADOS,
ONP,
DIVINDAT, RENIEC, CONASEV,

TELEFONICA.
Taller de Seguridad de la Informacin (Febrero 2010)
50
Reunin de Coordinacin PeCERT (Marzo 2010)
30
TELEFONICA
Taller de Asistencia Tcnica en Materia de Seguridad Ciberntica (Mayo 2010)
40
OEA,
BI ARGENTINA
ARCERT,
CTIRGov
BRASIL,
ESPAA
Taller de Gestin de Riesgos (Junio 2010)
30
SIDIF Latinoamrica
Reunin de Grupo de Trabajo PeCERT (Setiembre 2010)
22
Enhacke
VENCERT,
CERTuy,
Actividades del PeCERT
451 informes de vulnerabilidad de Pginas Web a Nivel Nacional

con vulnerabilidades (2008 a la fecha). 30% pginas altamente
criticas.
Avisos de seguridad para usuarios tcnicos avanzados,
publicados en el portal Web.
Campaa de difusin del Proyecto PeCERT en las Redes
Sociales de ONGEI (Facebook: Gobierno Electrnico PerOngei, Twitter: @Peru_e_Gobierno).
37 Plantillas de Polticas de Seguridad segn los 11 dominios de
la NTP-ISO/ IEC 17799:2007 EDI, publicados en el portal Web.
Elaboracin de un formato estndar para reportar incidentes de
seguridad a las diversas entidades.
Incidentes - Seguridad de la Informacin

Estadsticas
138 Incidentes de Seguridad en Portales Web de la

Administracin Pblica (Octubre 2009 a la Actualidad)
54 Entidades de provincia, y 55 Lima metropolitana.
52 notificaciones de Incidentes a las Entidades pblicas

(Octubre 2010 a la actualidad)
Fuente: http://www.zone-h.org ,
http://bohemioshackersteam.blogspot.com/
Foros de google, etc etc.
Encuesta de Seguridad 2010

Segn la Resolucin Ministerial 187-2010-PCM
autoriza la ejecucin de la Encuesta de Seguridad
2010, publicado en el Diario El Peruano el 15 de
Junio 2010, la cul abarca preguntas de los 11
dominios de la NTP-ISO/ IEC 17799:2007 EDI.
Segunda Edicin.
i) Se ha recepcionado 150 reportes.

ii) 150 entidades de las 271, lo cul corresponde al
56% del total.
Poltica de Seguridad
de la Informacin
Clasificacin de la Encuesta de Seguridad

2010:
Poder Legislativo (1)
Poder Judicial (1)
Poder Ejecutivo (86)
Organismos Autnomos (20)
Gobiernos Regionales (8)
Gobiernos Provinciales (4)
Municipalidades (30)
30%
No iniciado
39%
Elaborada y en
revision
emitida
mediante
normativa
31%
Elaboracin de Anlisis
de Riesgos
14%
No
iniciado
En
proceso
Concluido
39%
47%
Personal para la
implementacion
17%
Documento de Brecha
8%
Personal propio
de la entidad
consultoria
contratada
83%
39%
53%
No
iniciado
En
proceso
Concluido
1. Politicas de Seguridad
75
75
71
60
40
25
25
62
38
29
Si %
No %
C
Preguntas
2. Organizacin para la seguridad de la

informacin
91
86
75
66
75
54
34
14
77
25
46
25
23
No %
9
C
E
Preguntas
Si %
Este material podr obtenerlo en

http://www.pecert.gob.pe
en la Seccin Documentos
Tambin encontrar all plantillas para la
implementacin de polticas especificas
Las organizaciones requieren de un enfoque de varias capas para asegurar

y proteger sus activos crticos y las infraestructuras.
Como defensa ante las amenazas y los riesgos de la internet, las
organizaciones deben:
Identificar los principales activos, su ubicacin, los propietarios de los
procesos de negocio, y la criticidad.
Realizar evaluaciones de riesgos.
Mantenerse al da con los ltimos parches de sistema operativo y
actualizaciones de productos.
Instalar defensas interna en el permetro de la red tales como routers,
firewalls, scanners, y monitorizacin de red y sistemas de anlisis.
Actualizar y ampliar las polticas de seguridad de la tecnologa de
informacin y los procedimientos.
Proporcionar capacitacin de seguridad de sensibilizacin para los
empleados, clientes y mandantes.
Formalizar un proceso de gestin de incidentes.
La mejor Infraestructura de Seguridad de la

Informacin no puede garantizar que las intrusiones
u otros actos dolosos no sucedan.
Cuando se producen incidentes de informacin o de
tecnologa, siempre se critica la falta de una
organizacin, por no tener un medio eficaz para
responder.
La rapidez con que una organizacin

puede
Reconocer,
Analizar
y
Responder a un incidente limitar el
dao y reducir el costo de la
recuperacin.
www.ongei.gob.pe
mlazaro@pcm.gob.pe
Muchas gracias..

Seguridad de La Informacion Gobierno Electronico

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad de La Informacion Gobierno Electronico

Cargado por

Copyright:

Formatos disponibles

Seguridad de la Informacin

Ing. Max Lazaro

La informacin debe considerarse como un

Contra qu se debe proteger la

Fraudes informticos Puertos vulnerables abiertos

Violacin de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados

ltimos parches no instalados

Hacking de Centrales Telefnicas

Intercepcin y modificacin y violacin de e-mails

Captura de PC desde el exterior

Incumplimiento de leyes y regulaciones

Mails annimos con agresiones

Interrupcin de los servicios

Programas bomba, troyanos

Acceso clandestino a redes

Robo o extravo de notebooks, palms

BOTNETS Facilitando Ataques DDoS

BOTNETs para Rentar!

Un BOTNET est compuesto de computadoras

Los BOTNETs permiten todos los tipos de

Las opciones para desplegar BOTNETs son

Un BOTNET relativamente pequeo con

Por ejemplo: 1000 PCs caseras con un ancho

El tamao de los ataques est aumentando

Instalacin del cliente:

Por qu aumentan las amenazas ?

Inmadurez de las Nuevas Tecnologas

Alta disponibilidad de Herramientas

Inadecuado compromiso de la direccin.

Ausencia de reportes de incidentes y vulnerabilidades.

Secreto impuesto de acuerdo

de servicios (quin, cundo)

Validez y Precisin de informacin y

Actualmente la ONGEI apoya a las entidades

Que se entiende por Politica de Seguridad ?

Como tiene xito una Politica ?

integrarse a las estrategias del negocio, a su misin y visin,

Con fecha 23 de julio del 2004 la PCM a travs

Cuales son los temas o dominios a

Los 11 dominios de control de ISO 17799 (27002)

Aspectos organizativos para la seguridad:

Clasificacin y Control de Activos:

Seguridad fsica y del Entorno:

Gestin de Comunicaciones y Operaciones: Los

Asegurar el funcionamiento correcto y seguro de las

Adquisicin, Desarrollo y Mantenimiento de los

Gestin de Incidentes de la Seguridad de la

10. Gestin de Continuidad del Negocio

Los 11 Dominios de la NTP ISO 17799 - 2007

(Planificar /Hacer /Verificar

Implantar el plan de gestin de

Establecer el alcance del SGSI

Realizar los anlisis de riesgos

Implantar los controles.

Seleccionar los controles

Revisiones del SGSI por parte de

Establecer el SGSI (Plan)

Establecer el SGSI (Plan)

Seleccionar objetivos de control y controles a

Establecer enunciado de aplicabilidad

Implementar y operar (Do)

Aceptar riesgo residual.

Implementar y operar (Do)