Curso: Especializacin en Auditoria de

Sistemas y Seguridad de la Informacin

ISO/IEC-27001 ISO/IEC - 27002

Elaborado por: J.C. Pacheco

jcpacheco@computer.org

SEGURIDAD DE LA
INFORMACIN
Mdulo 1: Sesin N1

26/08/2011

AGENDA
1. La Seguridad, Conceptos y definiciones
2. Seguridad Informtica vs Seguridad de la Informacin
3. Riesgos: Conceptos y definiciones
4. Relacin entre seguridad y riesgo
5. Componentes del riesgo.
6. Qu es un modelo de gestin de la seguridad

jcpacheco@computer.org

26/08/2011

Seguridad: Conceptos y definiciones

1. Cualidad de seguro.
(Libre y exento de todo
peligro, dao o riesgo)

Segn el RAE

2. Certeza
(conocimiento cierto y
claro de algo).

jcpacheco@computer.org

26/08/2011

Seguridad: Conceptos y definiciones

Requerimi
entos de
Seguridad

Confidencialidad
Integridad
Disponibilidad

Poltica de
Seguridad

Qu est y
Qu NO est
permitido.

Depende
de
Mecanismos
de Seguridad

Aseguramiento de
Seguridad
jcpacheco@computer.org

Refuerza la poltica
Meta: Nunca en
estado no permitido

Requerimientos vs
Necesidades
Polticas vs
Requerimientos
Mecanismos vs Polticas

26/08/2011

Seguridad, Conceptos y definiciones

Deja hacer
acciones no
permitidas

INSEGURO

Deja hacer
solo acciones
permitidas

SISTEMA

SEGURO

Componente HUMANO:

Conocer y comprender principios de seguridad

Cmo esos principios se aplican en una situacin dada

Cmo definir requerimientos y su poltica adecuada

Cmo utilizar la tecnologa para implementar la poltica

jcpacheco@computer.org

Sin personas que

logren esto
NO HABR
SISTEMA SEGURO

26/08/2011

Seguridad de la Informacin vs Seguridad Informtica

Seguridad de la Informacin
Informacin documental y biolgica
Procesos de Negocio

Polticas

Anlisis de
Riesgos

Informacin en
computadoras
Procesos
informticos

Mecanismos y
Procedimientos

Seguridad Informtica
jcpacheco@computer.org

26/08/2011

Riesgo: Conceptos y definiciones

(Del it. risico o rischio, y este del r. cls. rizq,
lo que depara la providencia). (RAE)
1. m. Contingencia o proximidad de un dao.
(RAE)
2. m. Cada una de las contingencias que
pueden ser objeto de un contrato de seguro.
(RAE)

Dao potencial que puede surgir por un

proceso presente o evento futuro. (Wikipedia)
Evento o situacin incierta, que de suceder,
tiene un efecto en los objetivos del proyecto
(PMBOK)

Riesgo
jcpacheco@computer.org

9
26/08/2011

Riesgo: otras definiciones

La exposicin a la posibilidad de

ocurrencia de ciertas cosas tales

como prdida o ganancia
econmica, dao fsico, retrasos,

dao a la salud pblica, etc. que

surgen como consecuencia de
seguir un curso particular de
accin. (Aduanas de Chile)
Posibilidad de que se produzca
un impacto dado en la

organizacin (Magerit)
jcpacheco@computer.org

26/08/2011

10

Riesgos, Conceptos y definiciones

Amenaza Vs Riesgo
Riesgo es:
Amenaza es:
I. Efecto de la incertidumbre sobre los objetivos
(ISO31000)
I. Todo lo que tenga probabilidad de ocurrir,
causando dao. (Wikipedia)
II. El resultado de la posibilidad de una amenaza
explotando la vulnerabilidad de un activo.
II. Causa potencial de un incidente no deseado,
(ISO27000)
el que puede ocasionar un dao al sistema o a
la organizacin (ISO27000)
Sin la ocurrencia de amenazas el riesgo sera
cero.

Tomado de:
www.scienceinthebox.com/es_ES/safety/pic
/risk_assessment.jpg
jcpacheco@computer.org

11
26/08/2011

Elementos del riesgo

Situaciones inciertas, no
controlables, no
previstas (amenazas).

Impacto
como
resultado
del riesgo

RIESGO

Activos de
la organizacin

jcpacheco@computer.org

Deficiencias
en los
procesos o
en la
gestin.
(vulnerabili
dades).

26/08/2011

12

Consecuencias probables de un riesgo

Naturaleza

Alcance

Cuando
ocurre

jcpacheco@computer.org

Indica los problemas

probables
P.E. Interfaz mal
definida para el HW
(riesgo tcnico)

Combina la severidad
(cun serio es el
problema?)
Con su distribucin
general (que proporcin
del proceso o de la
organizacin se afecta?)

Cundo y por cunto

tiempo se dejar sentir
el impacto

13
26/08/2011

Resumiendo.
La
Vulnerabilidad

La Amenaza

Estrategia de
Mitigacin

El Activo

El Impacto del
Riesgo
El Riesgo es
posibilidad de la
destruccin de
la casa

jcpacheco@computer.org

26/08/2011

14

Relacin entre seguridad y riesgo

Riesgo

jcpacheco@computer.org

Seguridad

26/08/2011

15

Modelo de gestin de la seguridad

Modelo:

Gestin
(Del it. gesio).

(Del it. modello).

1. m. Arquetipo o punto de referencia para
imitarlo o reproducirlo. Representacin en
pequeo de algo.

2. m. En las obras de ingenio y en las acciones morales,

ejemplar que por su perfeccin se debe seguir e imitar.

3. m. Esquema terico, generalmente en forma

matemtica, de un sistema o de una realidad compleja

1. Accin o efecto de gestionar o

administrar
2. m. En las obras de ingenio y en las
acciones morales, ejemplar que por su
perfeccin se debe seguir e imitar.
Concrecin de acciones para el logro de
un objetivo

Entonces, Modelo de Gestin de la Seguridad es el

entorno o marco de referencia para la
administracin de la SEGURIDAD en una
organizacin
jcpacheco@computer.org

26/08/2011

16

Gestin de la seguridad: ISO27000

.en el tiempo
jcpacheco@computer.org

26/08/2011

17

ISO27000: La Familia: Publicadas

Descripcin

Cdigo del estndar

Gestin de la seguridad de la Informacin: Overview

ISO/IEC 27000:2009

Sistema de Gestin de la informacin de seguridad

ISO/IEC 27001:2005

Cdigo de buenas prcticas para GSI (ISO17799)

ISO/IEC 27002:2007

Gua para la implementacin del SGSI

ISO/IEC 27003:2010

Mtricas para la gestin de seguridad

ISO/IEC 27004:2009

Gestin de riesgos en SI

ISO/IEC 27005:2008

Requisitos para los organismos de acreditacin de SGSI

ISO/IEC 27006:2007

Gua para la GSI en Telecomunicaciones c/ISO/IEC 27002

ISO/IEC 27011:2008

Gua para habilitar las TIC para la Continuidad de Negocio

ISO/IEC 27031:2011

Conceptos y revisin general de Seguridad en Redes

ISO/IEC 27033-1:2009

GSI en el sector salud utilizando ISO/IEC27002

ISO 27799:2008

jcpacheco@computer.org

26/08/2011

18

ISO27000: La Familia: en Desarrollo

Descripcin

Cdigo del
estndar

Gua para la Auditoria de un SGSI (foco en el sistema de gestin)

ISO/IEC 27007

Gua para auditores de los controles del SGSI (foco en los controles de seguridad
de la informacin)

ISO/IEC 27008

Gua para la implementacin integrada de ISO/IEC 20000-1 and ISO/IEC 27001

ISO/IEC 27013

Marco de referencia para el gobierno de seguridad de informacin

ISO/IEC 27014

Gua para la Gestin de SI en los sectores financiero y seguros

ISO/IEC 27015

Gua para la seguridad en Internet (del buen vecino en Internet)

ISO/IEC 27032

Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada)

ISO/IEC 27033

Gua para la seguridad de aplicaciones

ISO/IEC 27034

Gestin de Incidentes de Seguridad

ISO/IEC 27035

Gua para la seguridad con Terceros (outsourcing)

ISO/IEC 27036

Gua para la identificacin, recoleccin, y/o adquisicin y preservacin de evidencia

ISO/IEC 27037
digital.
jcpacheco@computer.org

26/08/2011

19

ISO27005: Gestin del Riesgo en SI

Establecimiento
del Contexto

Evaluacin del
Riesgo

Tratamiento del
Riesgo

Monitoreo y
Revisin del
Riesgo

Comunicacin
del riesgo y plan
de tratamiento

Aceptacin del
Riesgo

jcpacheco@computer.org

26/08/2011

20

Gestin de la seguridad: ISO27001

Establecer el SGSI,
Declaracin de
Aplicabilidad
Evaluacin de riesgos
de los activos de la
informacin
Seleccin de
controles
adecuados.

Implementar y
Operar el SGSI
Envuelve la
implantacin y
operacin de los
controles.

Plan

Do

(planificar)

(hacer)

Act

Check

(actuar)

(controlar)

Mejorar el SGSI
Realiza los cambios
necesarios para llevar
al SGSI a mximo
rendimiento.

Monitorear SGSI
Revisa y evala el
desempeo
(eficiencia y
eficacia) del SGSI.
jcpacheco@computer.org

26/08/2011

21

ISO27000: en Cifras al 2009

Nro. Certificados 27001 emitidos
12934
14000

12000

9246

10000

2008

8000

2009

6000
4000
2000
0
2008

Nro. Pases solicitantes

2009

117

120
82

100
80

2008

60

2009

40
20
0
2008

Fuente: www.iso.org
jcpacheco@computer.org

2009

26/08/2011

22

Gestin de la seguridad: SOGP del ISF

El Estndar de Buenas Prcticas (SoGP)

del Foro de Seguridad de Informacin

(ISF) es una referencia prctica sobre

SM
UE

Gestin de
Seguridad

Ambiente
de Usuario
Final

seguridad de la informacin y temas

relacionados

con

los

riesgos

de

informacin; con un enfoque de negocios.

Est

alineado

con

estndares

como

ISO20000,

ISO9001,

los
ITIL,

principales
CMM,

CB

SD

Aplicaciones
de Negocio
Crticas

Desarrollo
de
Sistemas

ISO/IEC2700x,

NIST, PCI DSS e informacin general de

conceptos de gobierno de la seguridad.
Se

INSTALACIONES DE TI

complementa con la experiencia

recogida por el ISF durante la realizacin

de sus proyectos.

NW
Redes

jcpacheco@computer.org

CI
Ambiente
de
Cmputo

26/08/2011

23

SOGP del ISF: Aspectos principales

1. Cumplimiento de estndares.
i.

SOGP como herramienta que apoya la

certificacin ISO27001. Alineada a toda la
familia ISO2700, incluyendo: la 27014
(gobernanza de seguridad) y 27036 (Terceros
externos)

ii.

Incluye tpicos como : Delitos Informticos

(Cibercrime), Computacin en la Red (Cloud
Computing) y Seguridad en dispositivos
mviles.

iii.

Proporciona informacin detallada y propone

controles para Infraestructura Crtica y Acceso
Inalmbrico.

iv.

Es una herramienta para habilitar el

cumplimiento de los estndares COBIT y PCI
DSS.
jcpacheco@computer.org

26/08/2011

24

SOGP del ISF: Aspectos principales

2. Validacin de proveedores
i.

Asegura que los requerimientos de

seguridad de la informacin sean las
premisas para trabajar con terceros.

ii.

Sirven como base para la comprensin y

evaluacin del nivel de seguridad de la
informacin implementada por los

proveedores
iii. Asegura que la cadena de suministro

est sujeta a un nivel de seguridad de la

informacin que puede responder a los
riesgos.
jcpacheco@computer.org

26/08/2011

25

SOGP del ISF: Aspectos principales

3. Evaluacin de Riesgos
i.

La evaluacin de riesgos ayuda a

reducir la frecuencia e impacto de los
incidentes de seguridad, y mejora la

seguridad de la informacin
ii.

SOGP complementa a cualquier

metodologa de evaluacin de riesgos

que se utilice, incluyendo la

metodologa de anlisis de riesgos de la
informacin de ISF (IRAM)
iii. Ofrece 50 tipos de amenazas y los

controles potenciales para aplicacin

jcpacheco@computer.org

26/08/2011

26

SOGP del ISF: Aspectos principales

4. Polticas, Controles y Procedimientos
i.

Puede ser adoptado como base de una

poltica de seguridad de la informacin
general.

ii.

Es una herramienta efectiva para la

identificacin de brecha existentes en la
poltica, los controles y procedimientos de

seguridad de la informacin, entre lo que

tenemos y lo que queremos ser.
iii.

Reduce el esfuerzo necesario en una

organizacin para la implementacin de un

SGSI
jcpacheco@computer.org

26/08/2011

27

SOGP del ISF: Aspectos principales

5. Toma de conciencia
i.

Contiene tpicos especficos que ayudarn al

mejoramiento de la toma de conciencia en
seguridad y soportarn actividades
correspondientes dentro de la organizacin.

ii.

Dirige cmo se podra aplicar la seguridad de la

informacin en un ambiente local, lo que
representa una actividad de concientizacin en
seguridad.

iii.

Lograr que la organizacin tome conciencia del

rol de la seguridad de la informacin, de manera
consistente a travs de la propia organizacin
generar altos niveles de proteccin y evitar
potenciales daos costosos para la reputacin de
la organizacin.

jcpacheco@computer.org

26/08/2011

28

SOGP del ISF: Aspectos principales

6. Evaluacin de la seguridad de la Informacin
i.

SOGP est integrada con la herramienta

de Benchmarking de ISF, lo que

proporciona una base para la realizacin
de una evaluacin, detallada o de alto

nivel, de las fortalezas de los controles de

seguridad de la informacin a lo largo y
ancho de la organizacin.
ii.

Ayuda a mejorar la gestin de los

ejecutivos y la confianza de los
interesados, por la capacidad de anlisis
objetivos del nivel real de seguridad
jcpacheco@computer.org

26/08/2011

29

SOGP del ISF: Aspectos principales

7. Mejora de la seguridad
i.

SOGP se constituye en una completa

herramienta de referencia para atender a

nuevos requerimientos de seguridad de la
informacin o a la mejora de los controles

existentes.
ii.

EL estar basado en tpicos intuitivos de

seguridad permiten versatilidad en su
aplicacin.

iii. Evitar tener que identificar controles desde

cero, ahorrando costo y tiempo

jcpacheco@computer.org

26/08/2011

30

Gestin de la seguridad: ISM3

Modelo de Madurez de la Gestin de la Seguridad de la Informacin
(Information Security Management Maturity Model)
Especificar, Implementar, Operar y Evaluar SGSIs
Aplicable a cualquier organizacin independientemente de su tamao y
giro

Ayuda a mejorar los sistemas ISM de la organizacin, resaltando

diferencias entre el nivel actual y el nivel deseado de madurez

Evala cuantitativamente la madurez del SGSI de una organizacin y su

ambiente de control de seguridad de la informacin

til como gua para priorizar inversiones. Comparando los objetivos de

seguridad y los objetivos de madurez.

jcpacheco@computer.org

26/08/2011

31

Gestin de la seguridad: ISM3

Modelo de
Sistemas
de
Informacin

Modelo Organizativo

Estratgico

Tctico

Operativo

Nivel de Madurez
Procesos ISM

Modelo de
Seguridad
Contextual

Modelo de GSI

MODELO
ORIENTADO
AL PROCESO

ISM3-0: existe riesgo, inversin impredecible

ISM3-1: Reduccin de riesgo, inversin
mnima

ISM3-2: Mayor reduccin de riesgo, inversin

moderada
ISM3-3: Alta reduccin de riesgo tcnico,
inversin seria
ISM3-4: Alta reduccin de riesgo tcnico e
interno, inversin seria

jcpacheco@computer.org

26/08/2011

32

Gestin de la seguridad: ISM3

MODELO FLEXIBLE,
SE ADAPTA AL
NEGOCIO

Sentido
Comn

Polticas
Procedimientos

Buenas
Prcticas

Lecciones
de
Incidentes

Para elegir un
Control

Especfico
Anlisis
de riesgos

Segn
Cliente

jcpacheco@computer.org

Contraseas
nico Acceso

Mejorar el
firewall
Mejorar el
Antivirus

OCTAVE
Magerit

Personal del
proyecto A no
tenga acceso
al proyecto B

26/08/2011

33

Gestin de la seguridad: ISM3

Information Security Management Maturity Model ("ISM3") est

construido con base en estndares como ITIL, ISO 20000, ISO
9001, CMM, ISO/IEC 27001, e informacin general de conceptos de
gobierno de la seguridad. Mientras que la ISO/IEC 27001 est basada
en controles. ISM3 basado en procesos, incluye mtricas de proceso.
jcpacheco@computer.org

26/08/2011

34

Modelo de gestin del riesgo

Pone valor

Organizacin
Aplica

Controles
Activos
Reduce

Enfrenta

Riesgo

Vulnerabilida
des

Afecta

Genera

Explota

Agente de
amenaza

Provoca

Amenazas
Desea apropiarse, abusar o daar
jcpacheco@computer.org

26/08/2011

35

Roles y Responsabilidades en SGSI

jcpacheco@computer.org

26/08/2011

36

Implementacin y Certificacin de un SGSI

Tomado de:

jcpacheco@computer.org

26/08/2011

37

Consecuencias del Riesgo

ROI como Reduccin del Riesgo.
ROI mide mejora esperada contra costo de la mejora. P.e. Reduccin en 50% de
riesgos, frente a comprar un FW
Prdida de productividad

Horas hombre perdidas por una brecha de seguridad?.

Equipos que no producen

Prdida de ventas por fuera de Sitio WEB fuera por un incidente de seguridad?
Prdida de acceso a INTERNET?
servicio
Prdida de Datos

Restaurar datos de un backup puede ser muy costoso.

Qu si se destruyen los backups?

Compromiso de Datos por

divulgacin o modificacin

Planes estratgicos revelados,

Informacin financiera sensible

Costos de reparacin

Se podra necesitar comprar un nuevo equipo

Servicios de recuperacin de datos.

Prdida de imagen

Hacer noticia como vctimas de una brecha de seguridad.

Fuga de clientes, etc
jcpacheco@computer.org

https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea

26/08/2011

38

Ejemplo de ataque: Phishing Ing. Social

De: Banco de Credito <banco_de_credito_bcp@bcp.com.pe>
Fecha: 18 de agosto de 2011 13:14
Asunto: Estimado Cliente Verificacion Urgente
Para: *********@gmail.com
Cliente de Banco de Credito
Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a traves
de Banca en la Red han sido realizados desde diferentes direcciones IP.
Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, o
debido a que usted ha utilizado mas de un computador para acceder a su cuenta.
Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros
sistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que
ingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridad
requieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011.
Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo le
recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya
que no lo hacemos.
De ante mano le agradecemos su cooperacion en este aspecto.
Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar el
siguiente enlace:

http://bcpzonasegura.viabcperu.in/bcp/

https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
jcpacheco@computer.org

26/08/2011

39

Ejemplos posibles ataques a una red

jcpacheco@computer.org

26/08/2011

40

Preguntas?

jcpacheco@computer.org