Coordinación de Informática

SDI-554 Sistemas de Información Gerencial

SEGURIDAD Y CONTROL

Prof. Juan José Chacón Soto

 ¿La Información es un activo?

La información es un activo y como cualquier

otro activo que genera valor al patrimonio, éste
es importante para la organización y por
consiguiente debe ser adecuadamente
protegido
 ¿Qué es el riesgo?

• Es la Incertidumbre sobre la ocurrencia de un

evento que afecte el logro de los objetivos de la
organización mediante el siniestro de activos
• Amenazas?
• Vulnerabilidades?
• Impacto?
 ¿Por qué medir el riesgo?

"La medición es el primer paso para el control y la

mejora. Si algo no se puede medir, no se puede
entender. Si no se entiende, no se puede controlar.
Si no se puede controlar, no se puede mejorar.“
H.James Harrington
 Medición del Riesgo
• ¿Si una entidad de control nos pide el plan con fechas del diseño e
implementación del SGSI, lo tenemos?

• ¿Si nos piden las ultimas 3 auditorias técnicas al SGSI lo tenemos?

• ¿Que pasaría si la competencia tiene la base de datos de nuestros

clientes?

• ¿Si nos piden el ultimo análisis de riesgos?

 Medición del Riesgo
• ¿Si software maligno se robara la base de datos de las tarjetas de
crédito con sus claves, cuánto perdería la organización?

• ¿Se cuenta con estadísticas de manejo de incidentes de robos

informáticos?

• ¿Si una entidad de control nos pide las políticas de seguridad de la

información, la tenemos?

• ¿Podría facturar si se diera un atentado de bomba o terremoto ?

 Relaciones del Riesgo
Explotan
Amenazas Vulnerabilidades
Protección Au ta
me en
contra nta
Au
m
Exponen

Activos
Controles Reduce
Riesgo
e
b lec
sta
Implementan E
Au
Tiene
me
nta

Requerimientos de seguridad Valor del activo

Impacto en la organización
 Normas ISO sobre Seguridad de la
Información
UNE-ISO/IEC 27001: “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”.
Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información.
Los SGSIs deberán ser certificados por auditores externos a las organizaciones.

ISO 27002: Guía de buenas prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de
control y 133 controles.

ISO 27003: Guía de implementación de SGSI con recomendaciones y guías de implantación.

ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la
eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.

ISO 27005: Consiste en una guía para la gestión del riesgo de la seguridad de la información y
sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI.

ISO 27006: Especifica los requisitos para acreditación de entidades de auditoría y certificación de
sistemas de gestión de seguridad de la información.
 Etapas para diseñar un SGSI
SGSI: 1-Política
SGSI: 2-Organización
SGSI: 3-Gestión de activos
SGSI: 4-Personal
SGSI: 5-Seguridad Física
SGSI: 6-Comunicaciones y operaciones
SGSI: 7-Control de acceso
SGSI: 8-Adquisición, mantenimiento y desarrollo de Sist. Inf.
SGSI: 9-Gestión de incidentes
SGSI: 10-Gestión continuidad del negocio
SGSI: 11-Legislación Vigente
 Reglas de validación

Cargando datos internos Cargando datos Creando o editando

desde archivos o externos desde la registros
importándolos desde otros web
sistemas

Campos Formato correcto Valores dentro de

requeridos un rango o
parámetro
 Reglas de validación

Cuando usted… Usted logra… Y estratégicamente…

Reduce riesgos
Asegúrese que la entrada de datos
son conforme a los requerimientos
Mejor calidad de
Define las reglas y internos y externos
datos
guía a sus usuarios
Mejora en la eficiencia
Baja costos
Consuma menor tiempo y recursos
limpiando y removiendo datos
errados
 Integridad referencial
• Conjunto de reglas que determinan el comportamiento de las
referencias entre entidades

• Indican qué pasa cuando:

– En una tabla padre se actualizan o borran valores de una
columna que está referenciada
– En una tabla padre se borra una fila que tiene una columna
que está referenciada

• Una relación obligatoria termina en una restricción de no nulo

en la columna de la tabla padre
 Integridad referencial
La exigencia de una relación garantiza que cada valor especificado
en una columna de clave externa coincide con un valor existente en
la columna de clave principal relacionada.
 Controles de Acceso
• Prevenir acceso no autorizado y evitar comprometer o el robo de
información: Uso de contraseñas, se deben seguir las mejores prácticas en
la selección y uso de contraseñas.

• Los accesos específicos a los sistemas operativos de la infraestructura de

TI deben ser controlados por procedimientos de identificación y
autenticación robustos

• El acceso a la información y sistemas de información ya sea por usuarios o

personal de soporte debe ser restringido de acuerdo con el proceso de
asignación de privilegios. Se debe limitar y registrar el número de intentos
fallidos de conexión de los usuarios de los sistemas de información.
 ¿Qué es Encriptar y Desencriptar?
• Tenemos unos datos o mensaje a enviar

• Enmascaramos esos datos Encriptación.

• La encriptación del texto (datos o mensaje que

queramos enviar) producenTexto Ilegible

• Una vez encriptado el textoDesencriptar para poder

interpretarlo.
 Criptografía Simétrica
1. Criptografía más Antigua

2. Usan Claves Secretas

3. Todas las partes se han de conocer y ser de Confianza

4. Las Claves no se pueden utilizarse en varios mensajes

5. Resulta poco Práctica

 Criptografía Asimétrica
1. Solución para la seguridad en toda la red

2. Usan Claves Distintas para cifrado y

descifradoClaves Públicas

3. Todas las partes se han de conocer y ser de Confianza

4. Usan Claves Públicas para cifrar y Una Clave Secreta

para descifrar
 Niveles de seguridad
Medidas de seguridad de nivel BÁSICO:

• Sistema de Registro de incidencias.

• Relación actualizada usuarios/recursos
autorizados.
• Existencia de mecanismos de identificación y
autenticación de los accesos autorizados.
• Restricción solo a los datos necesarios para
cumplir cada función.
• Gestión de Soportes informáticos con datos de
carácter.
• Inventariados.
• Acceso restringido.
• Copias de seguridad semanalmente.
 Niveles de seguridad
Medidas de seguridad de nivel MEDIO:

• Designación responsables de seguridad.

• Auditoría bienal.
• Identificación inequívoca y personalizada de usuarios.
• Limitación de los intentos de acceso.
• Medidas de control de acceso físico.
• Registro de entradas y salidas de soportes
informáticos.
• Impedir la recuperación indebida de información
contenida en soportes desechados o ubicados fuera
de su lugar habitual.
• Registro de incidencias de las operaciones de
recuperación de datos autorizadas por escrito.
 Niveles de seguridad
Medidas de seguridad de nivel ALTO:

• Los soportes para distribución deberán tener la

información cifrada.
• Registro de accesos, autorizados y denegados.
• Guardar estos registros durante 2 años.
• Copias de seguridad guardadas en sitio diferente.
• Transmisiones cifradas.
 Respaldo de Información
• Tiene dos objetivos principales
– Permitir la restauración de archivos individuales.
– Permitir la restauración de sistemas completos.

• Requisitos que debe cumplir

– Uso de medio de almacenamiento removible, utilizable en
otra máquina.
– Conservación de los respaldos en un lugar
suficientemente apartado.
 Software de Respaldo
Algunas funcionalidades:

• Planificar respaldos para que se lleven a cabo en el momento

adecuado.

• Administrar la ubicación, cambio y uso de los medios de

almacenamientos usados para los respaldos.

• Asegurarse que el medio de respaldo este siempre

disponible, ya sea a través de un sistema de alimentación
eléctrica o algo similar.

• Permitir la restauración de los datos sin mayores dificultades.

 Tipos de Respaldo
•Copia completa, recomendable, si el soporte, tiempo de copia y
frecuencia lo permiten. Incluye una copia de datos y
programas, restaurando el sistema al momento anterior a la
copia.

•Copia incremental, solamente se almacenan las modificaciones

realizadas desde la última copia de seguridad, con lo que es
necesario mantener la copia original sobre la que restaurar el
resto de copias. Utilizan un mínimo espacio de almacenamiento
y minimizan el tipo de desarrollo, a costa de una recuperación
más complicada.

•Copia diferencial, como la incremental, pero en vez de

solamente modificaciones, se almacenan los archivos
completos que han sido modificados. También necesita la copia
original.
 Estándares, Regulaciones y
mejores prácticas
Risk Security
Response Management

Plan Service Acquire

and Delivery / Control
Activities and
Organize Support Implement
Physical
Business and
Continuity Security Policy Personnel
Environmental Security
Management Security
Asset Information
Internal Organizational Classification and
Environment Security and Communications
Control
ISO
ITIL COSO COBiT
27001
Planning to
Objective Implement Application
Monitoring Setting Service Management
Management
Systems
Communications Development
and and Access Control Compliance
Operations Maintenance
Management Define Monitor
and ICT Infrastructure Risk
Assessment and
Support Management Support

Event Business
Identification Perspective