Agenda

Introduccin.
Obstculos para implementar

Seguridad Informtica
Administracin de la Seguridad
Informtica
Ciclo de vida de la Seguridad
Informtica
Conclusiones

Introduccin
La Informacin es un activo que como

cualquier otro activo importante del

negocio, tiene valor para la organizacin,
consecuentemente necesita Proteccin
Adecuada.

Introduccin
Tipos de Informacin
Impresos o escritos en papel.
Almacenada electrnicamente.
Transmite por correo o en forma electrnica.
La que se muestra en videos corporativos.
Lo que se habla en conversaciones.
Estructura corporativa de informacin.

Introduccin
La implementacin de esquemas de

Administracin de la Seguridad
Informtica en la institucin debe seguir
estndares y mejores prcticas del
mercado.
Es una necesidad del negocio ante las
circunstancias actuales.

Introduccin

Obstculos

Obstculos
Falta de conciencia de usuarios finales.
Presupuesto.
Falta de apoyo de la alta gerencia.
Falta de Entrenamiento.
Pobre definicin de responsabilidades.
Falta de herramientas.
Aspectos legales.

Las 10 reas que cubre son:

Polticas de Seguridad,
Seguridad Organizacional,
Clasificacin y Control de Activos,
Seguridad del Personal,
Seguridad Fsica y ambiental,
Administraciones de las Operaciones y

Comunicaciones
Control de accesos,
Desarrollo y mantenimiento de Sistemas,
Administracin de la Continuidad del negocio,
Cumplimiento de aspectos legales.

1. Polticas de Seguridad
Objetivo:
Proveer direccin y soporte administrativo
para la seguridad de Informacin.
La administracin superior debe definir

una poltica clara y apoyar la Seguridad

de la Informacin a travs de la
creacin y mantenimiento de una
poltica de seguridad de la informacin
a lo largo de la organizacin.

1. Polticas de Seguridad
Documento de Polticas de Seguridad.
Debe ser aprobado por la administracin,
publicado y comunicado a todos los
empleados.
Revisin y Evaluacin.
La poltica debe ser administrada por una
persona quin es responsable de su
mantenimiento y revisin de acuerdo a un
proceso definido.

2. Seguridad Organizacional
Infraestructura de la Seguridad de la

Informacin:

Objetivo:
Administrar la seguridad de la Informacin dentro
de la organizacin.
Consejo directivo o un grupo designado por

este debera de asumir la responsabilidad de

la seguridad de informacin.

2. Seguridad
Organizacional
Infraestructura de la Seguridad de la

Informacin:

Deben ser claramente definidas las

responsabilidades para la proteccin de

activos de informacin fsicos y procesos de
seguridad.
Se deben establecer procesos de autorizacin
para nuevas facilidades de procesamiento de
la informacin.
Es recomendable disponer de la asesora de
un especialista de seguridad (para propsitos
de evaluacin o de investigacin de
incidentes).

2. Seguridad Organizacional
Seguridad en el acceso de terceros:
Objetivo:
Mantener la seguridad de los dispositivos de

procesamiento de la informacin organizacional y

activos de informacin al que acceden terceras
partes.

Revisar los tipos de acceso (fsicos y

lgicos).
Contratos deben incluir controles.

3. Clasificacin y Control de
activos

Accountability para los activos:

Objetivo:

Mantener protecciones apropiadas para los activos

organizacionales.

Inventario de Activos

Ayudan a asegurar que hay una efectiva proteccin de

activos.
Cada activo deber ser claramente identificado y se
debe documentar la propiedad y clasificacin de
seguridad, adems de su ubicacin actual.

3. Clasificacin y Control de activos

Clasificacin de la Informacin:

Objetivo:

Asegurar que los activos de informacin reciben un

apropiado nivel de proteccin.

Controles a la informacin deben tomar en

cuenta las necesidades del negocio para
compartir o restringir informacin.
La responsabilidad de definir la clasificacin de
un tem de informacin debe permanecer con la
persona nombrada como duea de la
informacin.

4. Seguridad del Personal

Seguridad en la definicin de trabajos:

Objetivo:

Reducir los riesgos de errores humanos, robo,

fraude o mal uso de las facilidades
organizacionales.

Todos los empleados y usuarios externos de

los servicios de procesamiento de la
informacin deberan firmar un acuerdo de
confidencialidad.
El acuerdo de confidencialidad debe hacer
notar que la informacin es confidencial o
secreta.

4. Seguridad del Personal

Entrenamiento de usuarios:

Objetivo:

Asegurarse que los usuarios conocen de las

amenazas y preocupaciones de la Seguridad de la
Informacin.

Todos los empleados de la organizacin

debern recibir entrenamiento apropiado en los
procedimientos y polticas organizacionales.
La regularidad depender de la actualizacin o
los cambios que se den en la organizacin.

4. Seguridad del Personal

Respuestas a eventos de seguridad:

Objetivo:

Minimizar el dao del mal funcionamiento de software

o de un incidente de seguridad y monitorear y
aprender de tales incidentes.

Debe establecerse un procedimiento formal de

reporte de incidentes como de respuesta a
incidentes.
Usuarios debern reportar cualquier debilidad
de seguridad observada o sospechas que
tengan de los sistemas o servicios.

5. Seguridad Fsica y ambiental

Respuestas a eventos de seguridad:

Objetivo:

Prevenir el acceso no autorizado, dao e interferencia

a la informacin y premisas del negocio.

Los elementos que forman parte del

procesamiento de informacin sensitiva o crtica
del negocio debern ser resguardados y
protegidos por un permetro de seguridad
definido con controles apropiados de entrada.
Los equipos deben ser protegidos de cadas de
electricidad y otras anomalas elctricas.

6. Administracin de
Comunicaciones y Operaciones

Responsabilidades y procedimientos
operacionales:

Objetivo:

Asegurar la correcta y segura operacin de todos los

elementos de procesamiento de la informacin.

Los procedimientos de operacin identificados

por la poltica de seguridad debern ser
documentados y revisados constantemente.
Los cambios en los sistemas y elementos de
procesamiento de informacin deben ser
controlados.

6. Administracin de
Comunicaciones y Operaciones

Responsabilidades y procedimientos
operacionales:

Se deben establecer procedimientos y

responsabilidades para el manejo de incidentes,
como:

Procedimientos que cubran todos los tipos potenciales

de incidentes de seguridad (prdidas de servicio,
negacin de servicio, datos incorrectos, brechas de
confidencialidad.
Procedimientos para Planes de Contingencia, Anlisis
e Identificacin de las causas de un incidente,
Coleccin de pistas de auditora, Reporte a las
autoridades, etc.

6. Administracin de
Comunicaciones y Operaciones

Responsabilidades y procedimientos
operacionales:

Acciones a seguir para recuperarse de problemas de

seguridad y correccin de fallas en los sistemas, (las
acciones de emergencias deben ser documentadas en
detalle).

La segregacin de tareas es un mtodo de

reducir los riesgos del mal uso (accidental o
deliberado) de los sistemas.
reas de desarrollo de Sistemas y Pruebas
deben estar separadas de los Sistemas en
Produccin.

6. Administracin de
Comunicaciones y Operaciones

Planeamiento y Aceptacin de Sistemas:

Objetivo:

Minimizar los riesgos de fallas en los sistemas.

Se debe monitorear y proyectar los

requerimientos de capacidad a fin de asegurar
que hay disponible una adecuada capacidad de
procesamiento y almacenamiento.
Deben establecerse criterios de aceptacin para
nuevos sistemas de informacin, actualizaciones
y nuevas versiones y se deben definir pruebas
para llevarlas a cabo antes de su aceptacin.

6. Administracin de
Comunicaciones y Operaciones

Proteccin contra Software Malicioso:

Objetivo:

Proteger la integridad del Software y la Informacin.

Controles contra Software Malicioso:

Poltica para el cumplimiento con licencias de software

y prohibir el uso de software No autorizado.
Poltica para proteger contra los riesgos asociados al
obtener archivos o software de redes externas.
Instalacin y actualizacin regular de Antivirus y
software scaneador de computadoras cono una
medida preventiva.

6. Administracin de
Comunicaciones y Operaciones
Controles contra Software Malicioso:
Revisar regularmente del software y contenido de datos de los

sistemas que soportan los sistemas crticos del negocio.

Revisar cualquier archivo electrnico contra virus.
Revisar los documentos adjuntos en correos electrnicos as
como cualquier archivo que se baje de Internet contra cdigo
malicioso.
Procedimientos y responsabilidades administrativas para lidiar
con la proteccin de virus en los sistemas, entrenamiento y
reporte y recuperacin de ataques.
Planes de Continuidad del Negocio para recuperarse ante
ataques de virus.
Procedimientos para verificar todas la informacin en relacin
con software malicioso y verificar que los boletines de
advertencia son verdaderos.

6. Administracin de
Comunicaciones y Operaciones
Soporte Continuo.
Objetivo:
Mantener la integridad y disponibilidad del

procesamiento de la informacin y servicios de

comunicacin..

Hacer copias en forma regular de la

informacin esencial del negocio y del

software. Se pueden utilizar los siguientes
controles:
Documentacin de los Backups, copias adicionales y

almacenadas en una localidad remota.

Los Back-ups se deben proteger fsicamente y contra
las condiciones del ambiente.

6. Administracin de
Comunicaciones y Operaciones

Administracin de Redes.

Objetivo:

Asegurar la proteccin de la informacin en las redes

as como de su infraestructura.

Los administradores de la red deben

implementar controles que aseguren a los datos
en la red de accesos no autorizados.
Tambin se deben implementar controles
adicionales para proteger los datos sensitivos
que pasan sobre redes pblicas.

6. Administracin de
Comunicaciones y Operaciones

Seguridad y Manejo de los medios.

Objetivo:

Prevenir el dao a activos e interrupciones a actividades

del negocio.

Se deben definir procedimientos para la proteccin

de documentos, discos, cintas, bases de datos,
etc., del robo o acceso no autorizado.
Los medios que no se ocupen ms en la empresa
deben ser desechados en forma segura.
La documentacin de sistemas puede contener
informacin sensitiva por lo que debe ser
almacenada con seguridad.

6. Administracin de
Comunicaciones y Operaciones

Intercambio de informacin y software.

Objetivo:

Prevenir la prdida, modificacin o mal uso de la

informacin intercambiada entre organizaciones.

El correo electrnico presenta los siguientes

riesgos:

Vulnerabilidad de los mensajes acceso no autorizado.

Vulnerabilidad a errores (direcciones incorrectas).
Cambio en los esquemas de comunicacin (ms
personal).
Consideraciones legales (prueba de origen).
Controles para el acceso remoto al correo.

7. Controles de Acceso

Requerimientos del Negocio para el control de

accesos:
Objetivo:

Controlar el acceso a la informacin.

Las reglas y derechos para el control de acceso de

usuarios o grupos de usuarios deben estar bien claras en
un documento de polticas de acceso.

Administracin del Acceso a Usuarios

Objetivo:

Prevenir el acceso no autorizado a Sistemas de

Informacin.

Deben existir procedimientos formales para el registro y

eliminacin de usuarios.

7. Controles de Acceso

Deben existir procesos formales para el control de los

password.

Usuarios deben seguir buenas prcticas de seguridad en

la seleccin y uso de passwords.

Control de Acceso a la red

Objetivo:

Proteccin de los servicios de la red.

Se debe controlar el acceso a servicios internos y

externos de la red.

Control de acceso al Sistema operativo

Objetivo:

Prevenir el acceso no autorizado a la computadora.

Restringir el acceso a recursos de la computadora.

7. Controles de Acceso

Control de Acceso a Aplicaciones.

Objetivo:

Monitorear el uso y acceso a los sistemas

Prevenir el acceso no autorizado a informacin

mantenida en los Sistemas de Informacin.

Los sistemas deben ser monitoreados para detectar

desviaciones de las polticas de control de accesos y
grabar eventos especficos para proveer de evidencia en
caso de incidentes de seguridad.

Computacin Mvil.
Objetivo:

Asegurar la seguridad de la informacin cuando se

utilizan dispositivos mviles.

8. Desarrollo y Mantenimiento de
Sistemas

Requerimientos de Seguridad en los Sistemas.

Objetivo:

Seguridad en las Aplicaciones

Asegurar que la seguridad es incluida en los Sistemas

de Informacin.

Prevenir la prdida, modificacin, o mal uso de los datos

en las aplicaciones.

Seguridad en los archivos del Sistema.

Objetivo:

Asegurar que los proyectos de TI y actividades de

soporte son conducidas en una manera segura.

9. Administracin de la Continuidad
del Negocio

Objetivo:

Actuar ante interrupciones de las actividades del

Negocio y proteger procesos crticos del negocio de
los efectos de fallas o desastres considerables..

Marco de trabajo para el planeamiento de las

actividades del negocio.

Un solo marco de trabajo de los planes de continuidad

del negocio deben ser mantenidos para asegurarse que
todos son desarrollados en forma consistentes , pruebas
y mantenimiento.

Se deben probar con frecuencia los Planes de

Continuidad.

10. Cumplimiento

Objetivo:
Evitar brechas o violaciones a cualquier ley
criminal o civil, regulatoria o contractual.
Procedimientos apropiados deben ser
implementados para asegurarse del
cumplimiento de las restricciones legales en el
uso de materiales con respecto a cuales
pueden ser derechos de propiedad intelectual.

Ciclo de Vida de la Seguridad

Informtica

Ciclo de vida de la
Seguridad Informtica
Ciclo en el cual se mantiene la seguridad

informtica en la organizacin.
Est formada por un conjunto de fases.
Es un mtodo continuo para mitigar el riesgo.

Fases del proceso de seguridad

Como lo define el Sans Institute 2001

Fases del proceso de seguridad.

Evaluacin

Evaluacin (Assess):

Anlisis de Riesgos
Debilidades en Seguridad Informtica
(ej., auditoras, evaluacin de
Vulnerabilidades, pruebas de
penetracin, revisin de aplicaciones)
Pasos a seguir para prevenir
problemas

Fases del proceso de seguridad.

Evaluacin
Debilidades:
Determinar el estado de la seguridad en

dos reas principales: Tcnica y No

Tcnica.
No tcnica: Evaluacin de polticas.
Tcnica: Evaluacin de Seguridad fsica,
diseo de seguridad en redes

Fases del proceso de seguridad.

Evaluacin

Otras reas que se deben revisar:

Seguridad exterior
Seguridad de la basura
Seguridad en el edificio
Passwords
Ingeniera social
Clasificacin de los datos
Etc.

Fases del proceso de

seguridad.

Evaluacin

El Anlisis de Riesgos nos permitir:

Realizar acciones:
Proactivas
Reactivas
Administrar el Riesgo:
Identificar
Analizar
Evaluar
Tratamiento a seguir

Fases del proceso de

seguridad.

Evaluacin

Administracin de Riesgos:
Mtodo lgico y sistemtico de establecer el

contexto, identificar, analizar, evaluar, tratar,

monitorear y comunicar los riesgos asociados
con una actividad, funcin o procesos para
minimizar prdidas.

Fases del proceso de

seguridad.

Evaluacin
Establecer el
Contexto e
Identificar los
riesgos

Anlisis y
Evaluacin de
los Riesgos

Tratar riesgos,
Monitorear y
comunicar

Fases del proceso de

seguridad.
Diseo
Actividades a desarrollar para

evitar que

sucedan acciones indeseables.

Configuraciones de Seguridad efectivas
basadas en estndares de la industria y
organizacionales.

Fases del proceso de

seguridad.
Diseo
Necesitamos polticas?
Empleados accesando Internet?
Problemas con el uso de la red o el email?
Empleados utilizando informacin
confidencial o privada?
Acceso remoto a la organizacin?
Dependencia de los recursos informticos?
Polticas define que prcticas son o no

son aceptadas.

Fases del proceso de seguridad.

Diseo
Como concientizar?
En persona, por escrito o travs de la Intranet.
Reuniones por departamento.
Publicar artculos, boletines, noticias.
Crear un espacio virtual para sugerencias y
comentarios.
Enviar emails con mensajes de
concientizacin.
Pegar letreros en lugares estratgicos.
Dar premios a empleados.
Exmenes On-line.
Crear eventos de Seguridad Informtica.

Fases del proceso de seguridad.

Diseo

Logs en Firewalls.
Se requiere Sistemas de deteccin de
Intrusos?
O
necesitamos
Sistemas
de
prevencin de Intrusos?
Firma
digital
para
envo
de
documentos?

Fases del proceso de seguridad.

Implementar

Personal especializado pone en

marcha los controles basados en el
diseo desarrollado.

Tecnologas implantadas o
planeadas
Fuente: ISSA/BSA, 2003

Antivirus
Firewalls
Filtros de email
IDS
Bloqueo de adjuntos
Filtro de Web sites
Anlisis de Vulnerabilidades
Email encriptado

Implantado Planeado
99%
0%
97%
1%
74%
10%
62%
12%
62%
3%
59%
5%
43%
18%
31%
15%

Fases del proceso de seguridad.

Administracin y soporte

Observar las actividades normales y

reaccionar ante incidentes.
Monitoreo y alertas.
Las respuestas se basan en el
documento de Polticas de Seguridad
definido.

Fases del proceso de seguridad.

Administracin y soporte

Forma en que se trata el incidente.

Encontrar el problema y corregirlo.
Prcticas forenses.
Definir la responsabilidad y el causante
del problema.

Fases del proceso de seguridad.

Administracin y soporte

Manejo de Incidentes:
Organizacin,
Identificacin,
Encapsulamiento,
Erradicacin,
Recuperacin y
Lecciones aprendidas.

Fases del proceso de seguridad.

Capacitacin continua

Debe ser continuo con todo el Ciclo de

Vida en la medida que se extienda en
toda la organizacin.
Habilidades y experiencia se alcanzan
dentro de todo el proceso.

Conclusiones
Se debe contar con una unidad de

seguridad informtica en la organizacin

con el apoyo de consultora externa,
Impulsar un plan de concientizacin,
No desconocer la importancia de la S.I.,
Utilizar una metodologa: ciclo de vida,
Acciones deben ser proactivas y no
reactivas,
Utilizar estndares de la industria en la
Administracin de SI y de los riesgos.

Preguntas