Diplomado

en Gobierno y Seguridad de TI

Ges$ón de la
Seguridad de la Información
Johanna Zambrano R. MSc.
rjzambranor@unal.edu.co
Bogotá D.C., 2017

Nota sobre el “copyright” de esta documentación.
La presente documentación puede ser reproducida exclusivamente
para uso interno del asistente al curso, siempre y cuando se cite de forma
clara tanto su autoría y procedencia, fecha y curso en la que se ha
recibido, como las referencias a otras fuentes citadas en esta ponencia.
Cualquier otro des$no queda sujeto a la autorización expresa de los
autores o de la Corporación RENATA.

Fuentes
•  Kowask Bezerra, Edson, Versión adaptada1 y ampliada: Peña Villamil, Hernando 2014 GesOón de la Seguridad de la
Información RNP (Rede Nacional de Ensino e Pesquisa)
•  Bishop, MaW Computer Security: Art and Science. Addison and Wesley 2002
•  Bishop, MaW. IntroducOon to Computer Security. PrenOce-Hall 2004
•  Bishop, MaW Computer Security: Art and Science. . Course Slides © 2002-2004
•  Bishop, MaW. IntroducOon to Computer Security. Course Slides © 2004
•  Caralli, Richard A., Stevens, James F., Young, Lisa R, Wilson, William R. 2007 Introducing OCTAVE Allegro: Improving
the InformaOon Security Risk Assessment Process - Technical Report CMU/SEI
•  DRI Professional PracOces for Business ConOnuity PracOOoners, 2008
•  Bundesamt für Sicherheit in der InformaOonstechnik. Study: “EvaluaOon of Fingerprint RecogniOon Technologies –
BioFinger” Public Final Report. Version 1.1, 2004
•  Norma Técnica Colombiana NTC-ISO/IEC 27001 – Tecnología de la información. Técnicas de seguridad. GesOón de
la seguridad de la información. Requisitos. ICONTEC 2013 (primera actualización)
•  Norma Técnica Colombiana NTC-ISO/IEC 27002 – Tecnología de la información. Técnicas de seguridad. Código de
PrácOca para la gesOón de la seguridad de la información. ICONTEC 2007
¿Seguridad de la información?
INTRODUCCIÓN
…

…
¿De qué lado de la fuerza estamos ?
Fundamentos de la seguridad de
la información
CAPÍTULO UNO
Información
•  Escrita, impresa, oral
•  Textos planos, estructurados, imágenes, videos, información
codificada (cifrada)
•  Almacenada digitalmente o en papel
•  TransmiOda de manera escrita
•  TransmiOda de manera oral
Ejemplo de Riesgos
•  No disponibilidad de sistemas por ataques (DoS)
•  Divulgación de información confidencial de manera no autorizada
•  Alteración o pérdida de información de manera no autorizada
•  Daño a la reputación
•  Espionaje industrial
•  Suplantación, robo de idenOdad
•  Demandas, sanciones, procesos penales…
•  Fraude
Para Evitar …
•  La divulgación de información…
•  La modificación o distorsión de información…
•  La destrucción de la información y otros recursos…
•  El robo o pérdida de información u otros recursos…
•  La interrupción de los servicios…
... de manera no autorizada !
¿Seguridad de la información?
•  Se traduce en términos de:
•  CompeOOvidad
•  Rentabilidad
•  Buena imagen de la organización
•  Conformidad con los requerimientos legales
•  Hacer viable el e-government y el e-commerce
 ¿Seguridad de la información?
•  Comprende:
•  Protección de información
•  Protección de sistemas de información
•  Protección de recursos y demás acOvos de información
•  Contra
•  manipulación no autorizada
•  divulgación no autorizada
•  denegación de acceso
•  destrucción o pérdida
•  suplantación
•  desastres y errores (intencionales o accidentales)
•  Para
•  asegurar la conOnuidad del negocio
•  minimizar el riesgo
•  maximizar ROI y oportunidades de negocio
¿Seguridad de la información?
•  Comprende la implementación de controles, políOcas, procesos,
procedimientos, estructuras organizacionales y funciones de sosware
y hardware .
•  Los controles deben ser establecidos, implementados, monitoreados,
evaluados y mejorados conOnuamente para cumplir con los objeOvos
del negocio.
Términos relacionados
•  Ac?vo: Cualquier elemento de información que tenga valor para la
organización y su negocio.
•  Incidente: Evento adverso relacionado o que comprometa la
seguridad de la información
•  Vulnerabilidad: Debilidad de un acOvo que puede ser aprovechada
por una amenaza
•  Amenaza: Aprovechamiento (exploit) de una vulnerabilidad para
provocar una violación a la políOca seguridad (ataque)
Términos relacionados
•  Ataque: Materialización de una amenaza compromeOendo la
seguridad de la información y violando la políOca de seguridad
•  Riesgo: Combinación de la probabilidad de que ocurra un incidente
sobre un acOvo y sus consecuencias o impacto para la organización
•  Impacto: Resultado de la evaluación de la afectación de una
organización por un riesgo
Pilares de la Seguridad

Confidencialidad Integridad Disponibilidad
Pilares de la Seguridad
•  Confidencialidad
•  Mantener la información y los recursos ocultos
•  Información per se vs. Existencia de la misma
•  Integridad
•  Integridad de la información (integridad)
•  Integridad en el origen (autenOcación)
•  Disponibilidad
•  Permite el acceso a la información y a los recursos
Componentes de la Seguridad
•  Auten?cidad: GaranOza que el emisor y desOnatario sean quien dicen
ser.
•  Autorización: Privilegio de acceso a un recurso o información por
parte de un sujeto.
•  No-repudiación: Mecanismo que impide a una fuente o desOno negar
la emisión o recepción de un mensaje.
Clases de Ataques
•  Interceptación: acceso no autorizado (compromete la
confidencialidad)
•  Modificación: acceso y modificación no autorizados (compromete la
integridad)
•  Fabricación: modificación y suplantación no autorizados
(compromete integridad/origen)
•  Interrupción: destrucción o imposibilidad de acceso (compromete la
disponibilidad)
Clases de Amenazas
•  Divulgación / revelación (Disclosure)
•  Fisgoneo (Snooping)
•  Consecuencia del ataque de interceptación
•  Engaño (DecepOon)
•  Modificación, fisgoneo, repudiación de origen, denegación de recepción
•  Consecuencia del ataque de modificación
•  Suplantación (UsurpaOon)
•  Modificación, fisgoneo, retraso, DoS
•  Consecuencia del ataque de fabricación
•  Interrupción (DisrupOon)
•  Modificación, retraso, DoS
•  Consecuencia del ataque de interrupción
Formas de Ataques
•  Ataques pasivos: escuchan y monitorean transmisiones. Son más
ditciles de detectar debido a que no implica cambios en los datos, se
pueden prevenir con el uso de la criptograta.
•  Ataques ac?vos: modificación o eliminación de datos, denegación de
servicio. Se detectan mediante monitoreo y pueden ser detenidos o
posteriormente por sus consecuencias y se deben tomar medidas
para la recuperación
Requisitos de Seguridad
•  Análisis de riesgos: Se eligen los acOvos de información, se idenOfican
sus vulnerabilidades y amenazas y se determina su probabilidad de
ocurrencia y el impacto en el negocio.
•  Legislación vigente: Estatutos, reglamentos, cláusulas contractuales,
normaOvidad aplicable.
•  Conjunto de principios: ObjeOvos y requisitos de negocio para el
manejo de la información que da soporte a las operaciones de la
organización.
Polí$cas y Mecanismos
•  Las políOcas dicen lo que está o no permiOdo
•  De esta forma se define la "seguridad" para un siOo, un sistema, un recurso,
etc.
•  Los mecanismos hacen cumplir las políOcas
•  Composición de las políOcas
•  Si las políOcas Oenen conflictos, las discrepancias pueden generar
vulnerabilidades de seguridad
Metas de la Seguridad
•  Prevención
•  Prevenir la violación de las políOcas de seguridad por parte de los atacantes
•  Detección
•  Detectar la violación de las políOcas de seguridad por parte de los atacantes
•  Recuperación
•  Detener el ataque, valorar y reparar el daño
•  ConOnuar trabajando correctamente, aún si el ataque tuvo éxito
Confianza y Suposiciones
•  Todos los aspectos de la seguridad se basan en suposiciones
•  PolíOcas
•  Deben parOcionar claramente los estados de los sistemas
•  Capturar correctamente los requerimientos de seguridad
•  Mecanismos
•  Se asume que hacen cumplir las políOcas
•  Los mecanismos de soporte deben funcionar correctamente
Tipos de Mecanismos

Seguros Precisos Ámplios

Conjunto de estados alcanzables Conjunto de estados seguros

Aseguramiento (assurance)
•  Especificación
•  Análisis de requerimientos
•  Declaración de funcionalidad deseada
•  Diseño
•  Cómo el sistema corresponderá a la especificación
•  Implementación
•  Los programas o diseños corresponden al diseño
Aspectos operacionales
•  La seguridad no termina con el desarrollo ni la implementación…
•  Análisis Costo-Beneficio
•  ¿Es más barato prevenir que recuperarse?
•  Análisis de Riesgos
•  ¿Hay algo para proteger?
•  ¿Qué tanto se debe proteger ese acOvo?
•  NormaOvidad y Costumbres
•  ¿Todas las medidas de seguridad son legales?
•  ¿Las personas las harán?
Selección de Controles/Mecanismos
•  Los controles son un conjunto de medidas para enfrentar
vulnerabilidades y reducir el riesgo de incidentes
•  Los controles se pueden seleccionar de:
•  Norma NTC ISO/IEC 27002:2013
•  Norma NTC ISO / IEC 27001:2013 (Anexo A)
•  De un conjunto de controles de la organización.
•  De acuerdo con las leyes y regulaciones relevantes nacionales e
internacionales vigentes
Selección de Controles/Mecanismos
Controles de Seguridad de la Información
•  Controles que dependen de la legislación vigente:
• Régimen de protección de datos personales (privacidad
de la información personal)
• Protección de los registros de la organización
• Derechos de propiedad intelectual, industrial, secreto
profesional, …
Controles de Seguridad de la Información
•  Controles considerados buenas prácOcas:
•  Documento de las políOcas de seguridad de la información
•  Asignación de responsabilidades para la seguridad de la
información (RRHH, reglamentos internos)
•  Sensibilización, educación y capacitación en seguridad de la
información
•  Procesamiento correcto en las aplicaciones
•  GesOón de las vulnerabilidades técnicas
•  GesOón de la conOnuidad del negocio
•  GesOón de incidentes de seguridad de la información
Aspectos Humanos
• Problemas organizacionales
• Poder y responsabilidad
• Beneficios financieros
• Problemas de personal
• Externos e internos
• Ingeniería social
Principio de Básico de Seguridad
¿Un sistema es tan seguro
como … ?

Principio de Básico de Seguridad
“Un sistema es tan seguro
como su eslabón más débil”

¿Cómo se ar$cula todo?

Amenazas

PolíOcas

Especificación

Diseño

Implementación

Operación
 Principios,
Visión General de la objeOvos y
requisitos del
negocio
Seguridad de la Evaluación y
mejoramiento
NormaOvidad y
legislación
Información conOnuo

Cambios tecnológicos
ISO 27001 / ISO
organizacionales
27002
externos

Análisis de
riesgos ISO PolíOcas de
27005 / ISO seguridad
31000
Mecanismos
controles y
procedimientos
Arquitectura de Seguridad OSI
•  Definida en la norma ISO 7498-2
•  Define objeOvos y requisitos de seguridad básicos
•  Proteger los datos contra modificaciones no autorizadas.
•  Proteger los datos contra destrucción / pérdida / robo.
•  Proteger los datos contra divulgación no autorizada.
•  Asegurar la idenOdad del remitente de los datos.
•  Asegurar la idenOdad del desOnatario de los datos.
Puntos clave
•  Las políOcas definen la seguridad y los mecanismos las hacen cumplir
•  Confidencialidad
•  Integridad
•  Disponibilidad
•  Confianza y conocimiento de las suposiciones
•  Importancia del aseguramiento (assurance)
•  El factor humano
Elementos relevantes
•  PolíOca de seguridad de la información
•  Seguridad organizacional
•  GesOón de acOvos
•  Seguridad de recursos humanos
•  La seguridad tsica y del ambiente
•  GesOón de las operaciones y comunicaciones
•  Control de acceso
•  GesOón de incidentes de seguridad de la información
•  GesOón de la conOnuidad del negocio
Ac$vidades Relacionadas
•  GesOón de la seguridad de los sistemas
•  GesOón de los servicios de seguridad y la selección de los
mecanismos de seguridad más adecuados
•  GesOón de los mecanismos de seguridad para cumplir los requisitos
de seguridad de la organización.
•  GesOón de la auditoría de seguridad, revisión y verificación de
registros y eventos de seguridad para evaluar los controles, su
adhesión a las políOcas, y recomendar los cambios necesarios.
Factores Crí$cos para el Éxito
• Las políOcas, los objeOvos y las prácOcas deben reflejar los
objeOvos de negocio de la organización
• El enfoque y la estructura deben ser compaObles con la cultura
de la organización.
• Compromiso de los niveles gerenciales
• Realizar un buen análisis de riesgos
• Presupuestar y financiar los procesos de seguridad
Factores Crí$cos para el Éxito
• Buena comunicación de las políOcas, prácOcas y controles
atodo nivel en la organización
• Establecimiento de un proceso eficiente para la gesOón de
incidentes
• Implementación de un sistema de medición
• Procedimiento eficaz para la gesOón de incidentes
• Mecanismo para medir y evaluar la eficacia del SGSI, con las
sugerencias de mejora
gracias
¿PREGUNTAS, COMENTARIOS Y RETROALIMENTACIÓN?