Documentos de Académico
Documentos de Profesional
Documentos de Cultura
en Gobierno y Seguridad de TI
Ges$ón de la
Seguridad de la Información
Johanna Zambrano R. MSc.
rjzambranor@unal.edu.co
Bogotá D.C., 2017
Nota sobre el “copyright” de esta documentación.
La presente documentación puede ser reproducida exclusivamente
para uso interno del asistente al curso, siempre y cuando se cite de forma
clara tanto su autoría y procedencia, fecha y curso en la que se ha
recibido, como las referencias a otras fuentes citadas en esta ponencia.
Cualquier otro des$no queda sujeto a la autorización expresa de los
autores o de la Corporación RENATA.
Fuentes
• Kowask Bezerra, Edson, Versión adaptada1 y ampliada: Peña Villamil, Hernando 2014 GesOón de la Seguridad de la
Información RNP (Rede Nacional de Ensino e Pesquisa)
• Bishop, MaW Computer Security: Art and Science. Addison and Wesley 2002
• Bishop, MaW. IntroducOon to Computer Security. PrenOce-Hall 2004
• Bishop, MaW Computer Security: Art and Science. . Course Slides © 2002-2004
• Bishop, MaW. IntroducOon to Computer Security. Course Slides © 2004
• Caralli, Richard A., Stevens, James F., Young, Lisa R, Wilson, William R. 2007 Introducing OCTAVE Allegro: Improving
the InformaOon Security Risk Assessment Process - Technical Report CMU/SEI
• DRI Professional PracOces for Business ConOnuity PracOOoners, 2008
• Bundesamt für Sicherheit in der InformaOonstechnik. Study: “EvaluaOon of Fingerprint RecogniOon Technologies –
BioFinger” Public Final Report. Version 1.1, 2004
• Norma Técnica Colombiana NTC-ISO/IEC 27001 – Tecnología de la información. Técnicas de seguridad. GesOón de
la seguridad de la información. Requisitos. ICONTEC 2013 (primera actualización)
• Norma Técnica Colombiana NTC-ISO/IEC 27002 – Tecnología de la información. Técnicas de seguridad. Código de
PrácOca para la gesOón de la seguridad de la información. ICONTEC 2007
¿Seguridad de la información?
INTRODUCCIÓN
…
…
¿De qué lado de la fuerza estamos ?
Fundamentos de la seguridad de
la información
CAPÍTULO UNO
Información
• Escrita, impresa, oral
• Textos planos, estructurados, imágenes, videos, información
codificada (cifrada)
• Almacenada digitalmente o en papel
• TransmiOda de manera escrita
• TransmiOda de manera oral
Ejemplo de Riesgos
• No disponibilidad de sistemas por ataques (DoS)
• Divulgación de información confidencial de manera no autorizada
• Alteración o pérdida de información de manera no autorizada
• Daño a la reputación
• Espionaje industrial
• Suplantación, robo de idenOdad
• Demandas, sanciones, procesos penales…
• Fraude
Para Evitar …
• La divulgación de información…
• La modificación o distorsión de información…
• La destrucción de la información y otros recursos…
• El robo o pérdida de información u otros recursos…
• La interrupción de los servicios…
... de manera no autorizada !
¿Seguridad de la información?
• Se traduce en términos de:
• CompeOOvidad
• Rentabilidad
• Buena imagen de la organización
• Conformidad con los requerimientos legales
• Hacer viable el e-government y el e-commerce
¿Seguridad de la información?
• Comprende:
• Protección de información
• Protección de sistemas de información
• Protección de recursos y demás acOvos de información
• Contra
• manipulación no autorizada
• divulgación no autorizada
• denegación de acceso
• destrucción o pérdida
• suplantación
• desastres y errores (intencionales o accidentales)
• Para
• asegurar la conOnuidad del negocio
• minimizar el riesgo
• maximizar ROI y oportunidades de negocio
¿Seguridad de la información?
• Comprende la implementación de controles, políOcas, procesos,
procedimientos, estructuras organizacionales y funciones de sosware
y hardware .
• Los controles deben ser establecidos, implementados, monitoreados,
evaluados y mejorados conOnuamente para cumplir con los objeOvos
del negocio.
Términos relacionados
• Ac?vo: Cualquier elemento de información que tenga valor para la
organización y su negocio.
• Incidente: Evento adverso relacionado o que comprometa la
seguridad de la información
• Vulnerabilidad: Debilidad de un acOvo que puede ser aprovechada
por una amenaza
• Amenaza: Aprovechamiento (exploit) de una vulnerabilidad para
provocar una violación a la políOca seguridad (ataque)
Términos relacionados
• Ataque: Materialización de una amenaza compromeOendo la
seguridad de la información y violando la políOca de seguridad
• Riesgo: Combinación de la probabilidad de que ocurra un incidente
sobre un acOvo y sus consecuencias o impacto para la organización
• Impacto: Resultado de la evaluación de la afectación de una
organización por un riesgo
Pilares de la Seguridad
Confidencialidad Integridad Disponibilidad
Pilares de la Seguridad
• Confidencialidad
• Mantener la información y los recursos ocultos
• Información per se vs. Existencia de la misma
• Integridad
• Integridad de la información (integridad)
• Integridad en el origen (autenOcación)
• Disponibilidad
• Permite el acceso a la información y a los recursos
Componentes de la Seguridad
• Auten?cidad: GaranOza que el emisor y desOnatario sean quien dicen
ser.
• Autorización: Privilegio de acceso a un recurso o información por
parte de un sujeto.
• No-repudiación: Mecanismo que impide a una fuente o desOno negar
la emisión o recepción de un mensaje.
Clases de Ataques
• Interceptación: acceso no autorizado (compromete la
confidencialidad)
• Modificación: acceso y modificación no autorizados (compromete la
integridad)
• Fabricación: modificación y suplantación no autorizados
(compromete integridad/origen)
• Interrupción: destrucción o imposibilidad de acceso (compromete la
disponibilidad)
Clases de Amenazas
• Divulgación / revelación (Disclosure)
• Fisgoneo (Snooping)
• Consecuencia del ataque de interceptación
• Engaño (DecepOon)
• Modificación, fisgoneo, repudiación de origen, denegación de recepción
• Consecuencia del ataque de modificación
• Suplantación (UsurpaOon)
• Modificación, fisgoneo, retraso, DoS
• Consecuencia del ataque de fabricación
• Interrupción (DisrupOon)
• Modificación, retraso, DoS
• Consecuencia del ataque de interrupción
Formas de Ataques
• Ataques pasivos: escuchan y monitorean transmisiones. Son más
ditciles de detectar debido a que no implica cambios en los datos, se
pueden prevenir con el uso de la criptograta.
• Ataques ac?vos: modificación o eliminación de datos, denegación de
servicio. Se detectan mediante monitoreo y pueden ser detenidos o
posteriormente por sus consecuencias y se deben tomar medidas
para la recuperación
Requisitos de Seguridad
• Análisis de riesgos: Se eligen los acOvos de información, se idenOfican
sus vulnerabilidades y amenazas y se determina su probabilidad de
ocurrencia y el impacto en el negocio.
• Legislación vigente: Estatutos, reglamentos, cláusulas contractuales,
normaOvidad aplicable.
• Conjunto de principios: ObjeOvos y requisitos de negocio para el
manejo de la información que da soporte a las operaciones de la
organización.
Polí$cas y Mecanismos
• Las políOcas dicen lo que está o no permiOdo
• De esta forma se define la "seguridad" para un siOo, un sistema, un recurso,
etc.
• Los mecanismos hacen cumplir las políOcas
• Composición de las políOcas
• Si las políOcas Oenen conflictos, las discrepancias pueden generar
vulnerabilidades de seguridad
Metas de la Seguridad
• Prevención
• Prevenir la violación de las políOcas de seguridad por parte de los atacantes
• Detección
• Detectar la violación de las políOcas de seguridad por parte de los atacantes
• Recuperación
• Detener el ataque, valorar y reparar el daño
• ConOnuar trabajando correctamente, aún si el ataque tuvo éxito
Confianza y Suposiciones
• Todos los aspectos de la seguridad se basan en suposiciones
• PolíOcas
• Deben parOcionar claramente los estados de los sistemas
• Capturar correctamente los requerimientos de seguridad
• Mecanismos
• Se asume que hacen cumplir las políOcas
• Los mecanismos de soporte deben funcionar correctamente
Tipos de Mecanismos
Amenazas
PolíOcas
Especificación
Diseño
Implementación
Operación
Principios,
Visión General de la objeOvos y
requisitos del
negocio
Seguridad de la Evaluación y
mejoramiento
NormaOvidad y
legislación
Información
conOnuo
Cambios tecnológicos
ISO 27001 / ISO
organizacionales
27002
externos
Análisis de
riesgos ISO PolíOcas de
27005 / ISO seguridad
31000
Mecanismos
controles y
procedimientos
Arquitectura de Seguridad OSI
• Definida en la norma ISO 7498-2
• Define objeOvos y requisitos de seguridad básicos
• Proteger los datos contra modificaciones no autorizadas.
• Proteger los datos contra destrucción / pérdida / robo.
• Proteger los datos contra divulgación no autorizada.
• Asegurar la idenOdad del remitente de los datos.
• Asegurar la idenOdad del desOnatario de los datos.
Puntos clave
• Las políOcas definen la seguridad y los mecanismos las hacen cumplir
• Confidencialidad
• Integridad
• Disponibilidad
• Confianza y conocimiento de las suposiciones
• Importancia del aseguramiento (assurance)
• El factor humano
Elementos relevantes
• PolíOca de seguridad de la información
• Seguridad organizacional
• GesOón de acOvos
• Seguridad de recursos humanos
• La seguridad tsica y del ambiente
• GesOón de las operaciones y comunicaciones
• Control de acceso
• GesOón de incidentes de seguridad de la información
• GesOón de la conOnuidad del negocio
Ac$vidades Relacionadas
• GesOón de la seguridad de los sistemas
• GesOón de los servicios de seguridad y la selección de los
mecanismos de seguridad más adecuados
• GesOón de los mecanismos de seguridad para cumplir los requisitos
de seguridad de la organización.
• GesOón de la auditoría de seguridad, revisión y verificación de
registros y eventos de seguridad para evaluar los controles, su
adhesión a las políOcas, y recomendar los cambios necesarios.
Factores Crí$cos para el Éxito
• Las políOcas, los objeOvos y las prácOcas deben reflejar los
objeOvos de negocio de la organización
• El enfoque y la estructura deben ser compaObles con la cultura
de la organización.
• Compromiso de los niveles gerenciales
• Realizar un buen análisis de riesgos
• Presupuestar y financiar los procesos de seguridad
Factores Crí$cos para el Éxito
• Buena comunicación de las políOcas, prácOcas y controles
atodo nivel en la organización
• Establecimiento de un proceso eficiente para la gesOón de
incidentes
• Implementación de un sistema de medición
• Procedimiento eficaz para la gesOón de incidentes
• Mecanismo para medir y evaluar la eficacia del SGSI, con las
sugerencias de mejora
gracias
¿PREGUNTAS, COMENTARIOS Y RETROALIMENTACIÓN?