I JORNADA TECNOLGICA

IEEE Rama estudiantil

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Introduccin a la

SEGURIDAD DE LA INFORMACIN
Ing. Delfor Chacn Cornejo
dchaconc@gmail.com
Diciembre 2011
1

TEMARIO
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Qu es la seguridad de la informacin? Riesgos, amenazas y vulnerabilidades Implementacin de la seguridad Normas relacionadas Los controles y las prcticas recomendables El sistema de gestin de la seguridad de la informacin (SGSI) Especializacin y aplicacin Conclusiones
2

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Qu es la seguridad de la informacin?

Importancia de la informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Cambio de paradigma: De una economa industrial a una economa basada en la informacin

La era de la informacin
4

Importancia de la informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

La informacin suele ser el activo ms subvalorado que una organizacin posee (especialmente en los negocios). La informacin puede afectar directamente el activo ms valioso que una organizacin posee: su IMAGEN

Informacin y seguridad
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

La informacin como activo a proteger: La informacin es un activo que, como otros activos de negocio importantes, tiene valor para una organizacin y en consecuencia necesita estar adecuadamente protegida. ISO/IEC 17799:2005

Formas de informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Datos almacenados electrnicamente en computadoras. Datos almacenados en medios digitales: discos, memorias USB. Registros, notas y documentos escritos o impresos en papel. Informacin transmitida por correo postal o electrnico. Contraseas, detalles de cuentas bancarias, resultados de exmenes, etc. Conversaciones habladas.

Objetivos generales de la seguridad de la informacin

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Minimizar los riesgos y detectar posibles amenazas a la informacin. Limitar las prdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad. Garantizar la adecuada utilizacin de recursos y sistemas que manejan informacin. Cumplir con el marco legal regulatorio.

Objetivos especficos de la seguridad de la informacin

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Mantener las siguientes caractersticas fundamentales de la informacin: Confidencialidad

La informacin no se revela a entidades no autorizadas.

Integridad
La informacin no debe ser alterada.

Disponibilidad
La informacin debe estar accesible en el momento en que sea solicitada por las entidades autorizadas.

Otras caractersticas
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Caractersticas adicionales de sistemas seguros: Autenticidad

Se asegura que las entidades reconocidas sean las que dicen ser.

Responsabilidad
Las entidades rinden cuentas a nivel individual por sus acciones y decisiones.

Irrefutable (no repudiable)

Las acciones realizadas no pueden ser negadas.

Confiabilidad
Los resultados obtenidos son consistentes con el comportamiento esperado.
10

Seguridad de la informacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Preservacin de la confidencialidad, integridad y disponibilidad de la informacin.

ISO/IEC 27000:2009

Es la proteccin a la informacin de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.
ISO/IEC 17799:2005
11

Seguridad informtica
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Conjunto de medidas que impida la ejecucin de operaciones no autorizadas sobre un sistema o red informtica, cuyos efectos puedan conllevar daos sobre la informacin, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.
Enciclopedia de la Seguridad Informtica, Gmez Vieites

12

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Riesgos, amenazas y vulnerabilidades

13

Definiciones
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Amenaza: Acciones que pueden causar dao segn la severidad y posibilidad de ocurrencia Vulnerabilidad: puntos dbiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concrecin de una amenaza. Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza Incidente: Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.

14

Definiciones
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Activo: Cualquier cosa que tenga valor para una organizacin:

informacin; software, tal como un programa de computadora; hardware, como una computadora; servicios; personas, sus calificaciones, habilidades y experiencia; intangibles, como fama e imagen.

Ataque: Intento de destruir, descubrir, robar o ganar acceso no autorizado o hacer uso no autorizado de un activo.

15

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

ATAQUE INFORMACIN ATAQUE

Exposicin a riesgos

16

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

ATAQUE

Proteccin contra riesgos

INFORMACIN
ATAQUE

17

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Aseguramiento mediante gestin

INFORMACIN

18

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Implementacin de la seguridad

19

Acciones de implementacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Lo que implica proteger la informacin: Identificacin de los activos de informacin. Anlisis de los riesgos: proceso sistemtico para identificar y estimar la magnitud del riesgo. Gestin de los riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. Elaboracin de planes de seguridad. Ejecucin de proyectos de seguridad. Control de incidentes y monitorizacin. Auditora de la seguridad.

La seguridad no es un producto, es un proceso.

20

Acciones permanentes
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Reducir la posibilidad de que se produzcan incidentes de seguridad. Facilitar la rpida deteccin de los incidentes de seguridad. Minimizar el impacto de incidentes de seguridad. Conseguir la rpida recuperacin de los daos ocurridos. Revisar y actualizar las medidas de seguridad implantadas.

21

Controles
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Control: Mecanismo de manejo del riesgo, lo que incluye polticas, procedimientos, guas, prcticas o estructuras organizativas, las que pueden ser de naturaleza administrativa, tcnica, de gestin o legal. Tambin es sinnimo de salvaguarda o contramedida. Tipos de controles Preventivos: eliminan la causa de un potencial incidente. Correctivos: subsanan las condiciones que dieron lugar a un incidente ocurrido. De deteccin: solo alertan sobre la ocurrencia de un incidente.
22

Tecnologas de seguridad
Identificacin de usuarios y gestin de contraseas Control lgico de acceso a recursos Copias de seguridad Redundancia, alta disponibilidad de plataformas Encriptacin de transmisiones Claves dinmicas por hardware (tokens) Firma digital Cortafuegos (firewall) Servidores proxy Deteccin/prevencin de intrusos (IDS/IPS) Prevencin de fuga de datos (DLP) Anlisis y correlacin de eventos de seguridad (SIEM)
23

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Si no hay seguridad
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Horas de trabajo perdidas en reparaciones Prdidas financieras por indisponibilidad de aplicaciones o servicios informticos Robo de informacin confidencial Filtracin de informacin personal de empleados, clientes, contactos comerciales, proveedores, etc. Retrasos en procesos de produccin, impacto en la calidad de servicios pblicos y privados. Posible dao a la salud Pago de indemnizaciones por daos y perjuicios a terceros.
24

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Normas relacionadas

25

Familia 27000 de ISO

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

ISO/IEC 27000: introduccin, glosario. ISO/IEC 27001: requisitos de un sistema de gestin de la seguridad (SGSI). ISO/IEC 27002 (antes ISO/IEC 17799): gua de buenas prcticas. ISO/IEC 27003: gua para implementacin del SGSI. ISO/IEC 27004: gua para desarrollo de mtricas. ISO/IEC 27005: lineamientos para gestin de riesgos. ISO/IEC 27006: requisitos de acreditacin para entidades auditoras y certificadoras. muchas ms
26

Normas Tcnicas Peruanas

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

NTP-ISO/IEC 17799:2007 Equivalente a la ISO/IEC 27002. NTP-ISO/IEC 27001:2008 Equivalente a la ISO/IEC 27001. NTP-ISO/IEC 27005:2009 Equivalente a la ISO/IEC 27005. NTP-ISO/IEC 27006:2009 Equivalente a la ISO/IEC 27006. Disponibles en INDECOPI. Publicaciones no gratuitas.

27

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Los controles y las prcticas recomendables

28

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Controles en ISO 27002

29

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

El sistema de gestin de la seguridad de la informacin (SGSI)

30

Qu es un SGSI?
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Es un conjunto de polticas (orientaciones de intencin y direccin), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la informacin, bajo un enfoque de gestin de riesgos de negocio.

31

Modelo de calidad del SGSI

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Adoptado del crculo de calidad P-D-C-A (Plan-DoCheck-Act) de Deming.

Planificar
Establecer el SGSI

Actuar
Mantener y Mejorar el SGSI

Partes Interesadas Hacer

Requisitos y expectativas
Implementar y operar el SGSI

Partes Interesadas Verificar

Monitorear el SGSI

Seguridad gestionada

32

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Especializacin y aplicacin

33

Campos de especializacin en seguridad de la informacin

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Gestin de riesgos Seguridad del acceso fsico Seguridad de redes de cmputo y telecomunicaciones Control y monitorizacin de las operaciones Gestin de identidades y control de acceso a sistemas Proteccin contra cdigo malicioso Continuidad de las operaciones Modelos y arquitecturas de seguridad Gestin de la seguridad de la informacin Legislacin y regulacin
34

Alcance profesional
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Perfiles profesionales involucrados con la seguridad de la informacin: Administradores / operadores de TI:

sistemas de cmputo sistemas de informacin bases de datos redes y telecomunicaciones sistemas de seguridad

Analistas / ingenieros de seguridad. Ejecutivos en seguridad (p.ej. CISO: Chief Information Security Officer). Auditores. Consultores. Peritos en informtica forense.
35

mbitos de aplicacin
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

La seguridad de la informacin es un factor crtico en organizaciones con diversos tipos de actividad: Banca y finanzas Aseguradoras Empresas industriales Empresas de servicios profesionales Administracin pblica Instituciones de salud Servicios de telecomunicaciones Servicios de suministro de energa

36

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Conclusiones

Para estar a salvo nunca hay que sentirse seguro.

(Proverbio checoslovaco)

37

Resumen
Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

La informacin es un activo valioso a proteger. La seguridad de la informacin requiere un proceso de planificacin, ejecucin, seguimiento y mejora continua. Los conceptos de seguridad de la informacin son aplicables a un amplio espectro de actividades productivas. La tecnologa para la seguridad de la informacin es compleja.

38

Universidad Nacional Santiago Antnez de Mayolo Huaraz Per

Preguntas?

39