Fundamentos de Seguridad de Informacion - 2

Fundamentos
Seguridad de la Informacin

Objetivo
Adquirir los conocimientos bsicos en seguridad de la
informacin de acuerdo con estndares internacionales
para:
La formacin PROFESIONAL de TI

La IMPLEMENTACION PRACTICA en las organizaciones

DEFINICIONES
Seguridad de Informacin
La informacin es un activo ms de la empresa, como
cualquier otro activo necesita ser protegido.
Seguridad de Informacin es la proteccin de la
informacin de un amplio rango de amenazas en orden
de asegurar la continuidad del negocio, minimizar el
riesgo y maximizar el retorno de inversin en
oportunidades de negocio.

Seguridad TI
Esta orientada a la seguridad de la Informacin dentro
de los lmites de la infraestructura de red y tecnologa.

Que aspectos de la informacin proteger?
Confidencialidad: Asegurar que la informacin sea
accesible solo por las personas que estn autorizadas.

Integridad: Asegurar la exactitud e integridad de la
informacin.

Disponibilidad: Asegurar que los usuarios autorizados
puedan acceder a esta cuando se requiera.

Normativas ISO de Seguridad de Informacin
ISO 27001
Provee el modelo para implementar, operar, monitorear,
revisar y mantener un Sistema de Gestin de Seguridad
de Informacin.

ISO 27002
Mejores prcticas para la implementacin de un sistema
de gestin de Seguridad de Informacin.

Normas, Metodologas, Legislaciones aplicables
Information Systems and Audit Control Association - ISACA:
CISM Certified Information Security Manager
British Standards Institute: BS 7799
International Standards Organization: ISO 27001 / 27002
Lead Auditor
ITSEC Information Technology Security Evaluation Criteria:
White Book
Sans Institute
Sarbanes Oxley
SBS Circular 140

ISO 27001 - Implementacin de un
Sistema de Gestin
de Seguridad de la Informacin (SGSI)
Requerimientos Generales
Estableciendo un SGSI
Implementando y Operando el SGSI
Monitoreando y Revisando el SGSI
Manteniendo y Mejorando un SGSI

Metodologa para Implementar un SGSI
Generalidades
Especifica los requisitos necesarios para establecer,
implantar, mantener y mejorar un Sistema de Gestin
de la Seguridad de la Informacin (SGSI).
Basado en las mejores prcticas descritas en ISO/IEC
17799 (actual ISO/IEC 27002.
Tiene su origen en la revisin de la norma britnica o
British Standard BS 7799-2:2002.
Alineado con las normas ISO 9000 de Gestin de la
Calidad.

Beneficios
Garantiza una gestin adecuada de Seguridad de Informacin.
Identificacin de los activos crticos de la empresa a travs del
anlisis de riesgos.
Define las responsabilidades y estructura de la organizacin
Mejora el conocimiento e importancia de Seguridad de
Informacin a nivel gerencial.
Mejora la percepcin de los clientes, socios de negocio y
personal interno.
Permite diferenciarse de la competencia.
Se enfoca en las responsabilidades de todo el personal,
generando conciencia en la Seguridad de la Informacin.
Asegurar que la continuidad del negocio se maneja de manera
profesional.
Mejora la percepcin interna y externa de un manejo adecuado
de los riesgos a la seguridad de la informacin.

Objetivos
Alinear la seguridad de la informacin al cumplimiento
de los objetivos del negocio.
Identificar, administrar y reducir el rango de los riesgos
a los que la informacin se encuentra constantemente
expuesta.
Proveer un estndar para la Gestin de la Seguridad
de la Informacin.

Alcance
Cuenta con 11 secciones, 39 objetivos de control y
133 controles.
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad de los Recursos Humanos
Seguridad Fsica y del Entorno
Gestin de Comunicaciones y Operaciones
Control de Accesos
Adquisicin, Desarrollo y Mantenimiento de Sistemas de
Informacin
Gestin de Incidentes de Seguridad de la Informacin
Gestin de la Continuidad de Negocio
Conformidad/Cumplimiento

ANLISIS DE BRECHAS
Antes de definir el plan de seguridad es
necesario identificar el estado y nivel de
madurez actual en Seguridad de Informacin.
Para esto se debe realizar un Anlisis de
Brechas respecto a los 11 dominios de la ISO
27002 y se determinar el nivel de madurez
(CMMI) alcanzado en cada uno de estos.
Nivel CMMI Adecuacin del nivel a la ISO 27002
0: No existente No existe Poltica de Seguridad de
Informacin.
1: Inicial - Proceso es impredecible,
pobremente controlado y reactivo.
La poltica de seguridad no esta formalizada,
falta de procedimientos formales.
2: Manejado El proceso se
caracteriza por proyectos que son
generalmente reactivos
Existen polticas y procedimientos, se han
aprobado y publicado, pero estn
incompletos o no cubren las necesidades de
la organizacin.
3: Definido El proceso se caracteriza
por su organizacin y es pro-activo.
Existen polticas y procedimientos, se han
aprobado y publicado, y cubren las
necesidades de la organizacin.
4: Cualitativamente manejado El
proceso es medido y controlado
Controles implementados y revisados como
atributos de documentos validados.
5: Optimizado Proceso orientado a la
mejora continua.
Revisin peridica de los procesos permiten
su actualizacin y mejora.
Niveles de Madurez CMMI aplicados a la ISO 27001
Gestin de Riesgos
Gestin de Riesgos
Amenaza: Cualquier evento que puede provocar un
dao a un activo de informacin explotando una
vulnerabilidad.
Ej: Cortes de fluido elctrico, terremoto, hackers,
phishing, SQL injection, Cambios en el alcance, etc.

Vulnerabilidad: Debilidad en un sistema, o activo de
informacin que puede ser aprovechado por una
amenaza de forma accidental o intencional
provocando una brecha de seguridad. Ej: Contraseas
dbiles, especificadores de requerimientos
incompleta, ausencia de segregacin de funciones,
ausencia de UPS en CPD, etc.
DEFINICIONES
Impacto: Magnitud del dao provocado por una
amenaza que aprovecha una vulnerabilidad.

Riesgo: Probabilidad de que una amenaza aproveche
una vulnerabilidad cuya consecuencia resulta en un
impacto adverso para la organizacin.
Gestin de Riesgos
Gestin de Riesgos involucra tres procesos:
Anlisis de Riesgos: Determinar las amenazas y
probabilidad asociada a un activo de informacin.
Mitigacin del Riesgo: Plan de accin para mitigar el
riesgo asociado a un activo de informacin.
Evaluacin y Anlisis: Proceso continuo de manejo
del riesgo.

Metodologa de Gestin de Riesgos
0. Caractersticas del
sistema (BIA)
1. Identificacin de
Amenazas y
Vulnerabilidades
2. Determinar la
Probabilidad
3. Anlisis de Impacto
4. Determinacin del
Riesgo
5. Recomendaciones de
Control (Plan de accin)
6. Revisin del Riesgo
Ejemplo de Anlisis de Riesgos
Fuente de Amenaza Amenaza Vulnerabilidades Impacto
Probabilida
d de
Ocurrencia
Prdida de Servicios
Prdida de fluido elctrico
Sucursales
Ausencia o falla en los equipos de UPS,
generadores M B*
Fallas en los equipo de
Telecomunicaciones en 1
sucursal
Ausencia de lineas de datos de Backup
M B*
Falta de mantenimientos programados
Fallas en la puesta en
produccin
Formato de Implementacipn incompleto o
con errores
MA B
Errores en la migracin de Datos
Prdida de archivos fuente
Falla de los sistemas de
informacin
Fallas en programacin, logica de negocio.
MA M
Falta de procedimientos de control de
cambios
Pruebas de Calidad incompletas
Ausencia de documentacin
PCs configuradas incorrectamente
Errores en configuracion Servidores
Especificaciones de requerimientos no claras
o incompletas
Matriz de Riesgos Resultante
Matriz de Riesgos
IMPACTO
Muy Alto
3 4,7,11 5

Alto
10 9

Medio
1,2,6 8

Bajjo
Baja Media Alta Muy Alta
PROBABILIDAD
Plan de accin para mitigar el riesgo
Riesgo Plan de Accion Responsable
Fecha de
Implementacin
Fecha de
Verificacion
Alto
Revisar documento de
especificaciones de instalacin y
configuracin de BD y OAS de
SONDA
Gustavo Artica / Marco
Guillen / Daniel Arrascue

Validar configuracin de PC por
SONDA.
Daniel Arrascue

Pruebas de configuracin de Pcs
cliente.
Gustavo Artica / Daniel
Arrascue

Pruebas de configuracion de OAS,
BD.
Daniel Arrascue / Jesus
Caari

Dividir control de cambios (parches)
PCde SHAC
Daniel Arrascue

ISO 27002 - Cdigo de Buenas Prcticas
para la implementacin de un
Sistema de Gestin
de Seguridad de la Informacin
1. Poltica de Seguridad
2. Organizacin de la Seguridad de la Informacin
3. Gestin de Activos
4. Seguridad de los Recursos Humanos
5. Seguridad Fsica y del Entorno
6. Gestin de Comunicaciones y Operaciones
7. Control de Accesos
8. Adquisicin, Desarrollo y Mantenimiento de
Sistemas de Informacin
9. Gestin de Incidentes de Seguridad de la
Informacin
10. Gestin de la Continuidad de Negocio
11. Conformidad/Cumplimiento
Dominios de la Norma ISO 27000
Documento de la Poltica de Seguridad de Informacin
Revisin de la poltica de seguridad de informacin.

2. Organizacin de la Seguridad de la
Informacin
Informacin
Organizacin Interna:
Compromiso de la Gerencia
Identificacin de responsabilidades de SI
Acuerdos de confidencialidad
Organizacin con respecto a terceros:
Identificacin de riesgos de accesos a terceros
Abordando la seguridad con clientes y proveedores.

Informacin
Responsabilidad sobre los activos.
Inventario de Activos.
Propiedad de los Activos.
Uso aceptable de activos.
Clasificacin de la Informacin.
Directrices (Publica, sensitiva, confidencial)
Etiquetado de la informacin.

Informacin
Antes del empleo o contratacin de personal
Screening
Trminos y condiciones de SI en el contrato de
trabajo.
Durante el empleo
Concienciacin de SI
Sanciones por infracciones en SI
Al momento del cese o movimiento
Devolucin de activos
Retiro de privilegios.
Informacin
Seguridad de las reas
Seguridad fsica del permetro (tarjetas de acceso)
Controles fsicos de ingreso (CPD, registro de
visitas).
Asegurando oficinas cuartos y equipos
Proteccin contra amenazas de terceros y medio
ambiente (incendios, inundaciones, etc).

Seguridad de los equipos
Instalaciones de apoyo (UPS, grupo Electrgeno)
Seguridad en el cableado (proteger cableado a
intercepciones o dao).
Mantenimiento de equipos (Plan de mantenimiento
y ejecucin)
Retiro y baja de equipos (Procedimientos de
eliminacin de data).
Autorizacin de retiro de equipos (firmas
autorizadas)
Informacin
Procesos de comunicaciones y Operaciones
Seguras
Procedimientos documentados
Control de cambios
Segregacin de funciones
Separacin de los ambientes de produccin
desarrollo y Pruebas.
Gestin de servicios de entrega a terceros.
Servicios dentro del SLA
Monitoreo de servicios y control de cambios
Planeamiento y aceptacin de sistemas.
Planeamiento de la Capacidad
Procedimientos y criterios de aceptacin de
sistemas.
Proteccin frente a cdigo malicioso.
Backup
Gestin de la seguridad en las redes.
Manejo de Medios Magnticos
Gestin de medios removibles, eliminacin.
Manejo de la informacin,
Intercambio de Informacin.
Procedimientos y polticas.
Acuerdos de intercambio, medios magnticos en
transito.
Mensajera electrnica (debe ser protegida).
Sistemas de informacin del Negocio (proteger
acceso)
Servicios de comercio electrnico
Transacciones en lnea, informacin pblica.

Intercambio de Informacin.
Procedimientos y polticas.
Acuerdos de intercambio, medios magnticos en
transito.
Mensajera electrnica (debe ser protegida).
Sistemas de informacin del Negocio (accesos)
Servicios de comercio electrnico
Transacciones en lnea, informacin pblica.
Monitoreo
Logs de auditora y fallas, monitoreo del uso del
sistema, proteccin de logs.

Informacin
Requerimientos del Negocio (poltica)
Gestin de accesos a Usuarios
Registro de usuarios, gestin de privilegios y
contrasea, revisin de derechos.
Responsabilidades de Usuario
Uso de usuario y contrasea.
Escritorios desatendidos.
Poltica de escritorio limpios
Control de Accesos a Red.
Autenticacin de conexiones externas.

Control de Accesos a Red (cont.)
Identificacin de equipos en la Red.
Diagnstico remoto y configuracin de proteccin
de puertos.
Segregacin de redes.
Control de conexiones a red (restringir a usuarios)
Control de accesos a sistemas operativos
Log On seguros
Identificacin y autenticacin de usuarios.
Gestin de password de sistemas
Sesiones expiradas, tiempos de conexin.

Control de Accesos a Aplicaciones
Restricciones de acceso a la informacin.
Aislamiento de informacin sensitiva.
Computadoras mviles y trabajo remoto.
Trabajo a distancia.
8. Adquisicin, Desarrollo y Mantenimiento
de Sistemas de Informacin
Informacin
8. Adquisicin, Desarrollo y Mantenimiento de SI
Requerimientos de seguridad en los SI
Procesamiento correcto de aplicaciones
(validacin de ingreso y salida, integridad)
Criptografa
Seguridad en los Sistemas de Archivos.
Seguridad en los procesos de desarrollo y
soporte. (control de cambios, revisiones luego
de cambios en el S.O, fuga de informacin,
outsourcing).
Gestin de vulnerabilidades

8. Adquisicin, Desarrollo y Mantenimiento de SI
9. Gestin de Incidentes de Seguridad de
Informacin
9. Gestin de Incidentes de Seguridad de Informacin
Reporte de debilidades e incidentes de
Seguridad de Informacin.
Gestin de Incidentes de Seguridad de
Informacin y mejoras.

9. Gestin de Incidentes de Seguridad de Informacin
Informacin
Aspectos de Seguridad de Informacin en la
continuidad del Negocio.
Continuidad del Negocio y evaluacin del
Riesgo.
Marco de referencia del Plan de Continuidad.
Pruebas, mantenimiento y reevaluacin del
Plan de Continuidad.

Informacin
Cumplimiento con requerimientos legales
Identificacin de la Legislacin Aplicable (Circular
SBS-139)
Derechos de Propiedad Intelectual
Proteccin de Datos
Cumplimiento con polticas, estndares y
tcnicas de Seguridad.
Consideraciones de Auditora a los Sistemas
de Informacin.


Fundamentos de Seguridad de Informacion - 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Fundamentos de Seguridad de Informacion - 2

Cargado por

Copyright:

Formatos disponibles

Fundamentos

También podría gustarte