AUDITORÍA DE SEGURIDAD DE REDES

Carrera de Ingeniería en Networking y Telecomunicaciones

FACULTAD DE CIENCIAS MATEMÁTICAS Y FÍSICAS

Docente:

Ing. Ingrid Chilán Msc

Enero de 2020
 UNIDAD III. SEGURIDAD LIGADA A
RR.HH, SEGURIDAD FÍSICA Y DEL
ENTORNO, GESTIÓN DE
COMUNICACIONES Y OPERACIONES
ISO 27000

La serie de normas ISO/IEC 27000 son

estándares de seguridad publicados por
la Organización Internacional para la
Estandarización(ISO) y la Comisión
Electrotécnica Internacional (IEC).
BUENAS PRÁCTICAS
La serie contiene las mejores prácticas recomendadas en Seguridad
de la información para desarrollar, implementar y mantener
Especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI). la mayoría de estas normas se encuentran en
preparación e incluyen:
NORMATIVA ISO 27001:2013
NORMATIVA APLICADA ISO
27002:2013
 Aplicación Normas ISO 27002:2013

Seguridad física y
Política de seguridad Seguridad en las Relaciones con
ambiental
telecomunicaciones suministradores

Aspectos de seguridad de
Aspectos organizativos de
la información en la
la seguridad de la
gestión de la continuidad Gestión de activos Control de acceso (4)
información
del negocio

Adquisición, desarrollo y
Gestión de incidentes en mantenimiento de
Seguridad ligada a los Seguridad en la
la seguridad de la sistemas de información
recursos humanos operatividad
información

Cumplimiento
Cifrado
 MAGERIT
V3
Es de interés para todos aquellos que trabajan con información
digital y sistemas informáticos. Si dicha información, o los
servicios que se prestan gracias a ella, son valiosos, MAGERIT
permite saber cuánto valor está en juego y ayuda a protegerlo.
Conocer el riesgo al que están sometidos los elementos de trabajo
es, simplemente, imprescindible para poder gestionarlos
 PILAR

PILAR, es el acrónimo de “Procedimiento Informático-Lógico para el

Análisis de Riesgos”, Este software permite hacer un Análisis de
Riesgos sobre las dimensiones de valoración como son:
confidencialidad, integridad, disponibilidad, autenticidad y
trazabilidad.
Además nos ayuda con el cálculo del impacto y el riesgo, acumulado,
repercutido, potencial y residual.
Procedimiento Informático Lógico para el análisis de riesgos (Pilar)

Determinación
de las medidas
Determinación
de seguridad
de Activos:
necesarias o
Salvaguardas

Determinación de
Identificación,
los criterios de
dependencias y
aceptación del
valoración.
riesgo

Estimación de Determinación
Impactos de Amenazas
IDENTIFICACION DE ACTIVOS Y
DEPENDENCIAS
VALORACION DE
ACTIVOS
IDENTIFICACION DE
AMENAZAS
IMPACTO
RIESGO ACUMULADO
 SITUACION ACTUAL DE
CONTROLES

Cumplimiento de los controles Madurez de los controles

5.
OPTIMIZAD
O
11% 0.
NO CUMPLE INCOMPLET
CUMPLE O
48% 52% 4.
PREVISIBLE 26%
27% 1.
3. REALIZADO
ESTABLECID 17%
O
14%

2.
GESTIONAD
O
5%
Continuando con los Dominios de la ISO 27002
(Numeral 8) o Anexo A de la ISO 27001 (Anexo A8), hoy
vamos a revisar la Seguridad del Personal. Que dicen la
ISO 27001 e ISO 27002? Bien, incluyen tres objetivos de
control:
8.1 Antes de la contratación laboral
Asegurar que los empleados, contratistas y usuarios
de terceras partes entienden sus responsabilidades
y sean aptos para las funciones para las cuales están
considerados, y reducir el riesgo de robo, fraude o
uso inadecuado de las instalaciones.
8.1 Antes de la contratación laboral
Las responsabilidades de la seguridad se deberían definir
antes de la contratación laboral, describiendo
adecuadamente el trabajo y los términos y condiciones
del mismo.
8.1 Antes de la contratación laboral
Todos los candidatos para el empleo, los contratistas y
los usuarios de terceras partes se deberían seleccionar
adecuadamente, especialmente para trabajos sensibles.
8.1 Antes de la contratación laboral
Los empleados, contratistas y usuarios de terceras partes
de los servicios de procesamiento de información
deberían firmar un acuerdo sobre sus funciones y
responsabilidades de seguridad
8.2 Durante la vigencia del contrato laboral
Asegurar que todos los empleados, contratistas y
usuarios de terceras partes estén conscientes de las
amenazas y preocupaciones respecto a la seguridad
de la información, sus responsabilidades y deberes, y
que esten equipados para apoyar la política de
seguridad de la organización en el transcurso de su
trabajo normal, al igual que reducir el riesgo de error
humano.
8.2 Durante la vigencia del contrato laboral
 Se debería brindar un nivel adecuado de
concientización, educación y formación en los
procedimientos de seguridad y el uso correcto de
los servicios de procesamiento de información a
todos los empleados, contratistas y usuarios de
terceras partes para minimizar los posibles riesgos
de seguridad.
8.2 Durante la vigencia del contrato laboral
 Es conveniente establecer un proceso disciplinario
formal para el manejo de las violaciones de seguridad.
8.3 Terminación o cambio de la contratación laboral
Asegurar que los empleados, los contratistas y los
usuarios de terceras partes salen de la organización o
cambian su contrato laboral de forma ordenada.
8.3 Terminación o cambio de la contratación laboral
 Se deberían establecer responsabilidades para asegurar
la gestión de la salida de los empleados, contratistas o
usuarios de terceras partes de la organización y que se
completa la devolución de todo el equipo y la
cancelación de todos los derechos de acceso.
8.3 Terminación o cambio de la contratación laboral
Los cambios en las responsabilidades y las relaciones
laborales dentro de la organización se deberían gestionar
como la terminación de la respectiva responsabilidad o
contrato laboral según esta sección y todas las
contrataciones nuevas se deberían gestionar como se
describe en el numeral 8.1
En pocas palabras, este es el propósito de la Norma:
La seguridad de los recursos humanos dentro de la
organización, debe considerar como recurso
humano al personal interno, temporal o partes
externas en el aseguramiento de las
responsabilidades que son asignadas a cada uno,
asociadas con sus respectivos roles, para reducir el
riesgo de robo, fraude o uso inadecuado de las
instalaciones.
En pocas palabras, este es el propósito de la Norma:
Todo el recurso humano que hace parte de la
Organización debe estar consciente de las amenazas y
vulnerabilidades relacionadas con la seguridad de la
información y sus responsabilidades y deberes en el
apoyo que deben brindar a la política de seguridad de la
organización establecida para la reducción del riesgo de
error humano.
Profundizando en los requisitos de la Norma:
1 Seguridad antes de la contratación
Se deben realizar en conjunto con el área de recursos
humanos una valoración del proceso de verificación de
antecedentes que se debe aplicar al personal que ingrese a la
Organización, teniendo en cuenta el tipo y clasificación de la
información a la que tendría acceso en sus respectivos cargos
y responsabilidades. Se debe tener en cuenta que no todos los
procesos de contratación en la organización deben ser
manejados de igual forma, cada rol y sus responsabilidades
debe tener un manejo diferente con relación a la verificación
de antecedentes, procedencia, formación, conocimientos, etc.
Profundizando en los requisitos de la Norma:
2 Seguridad durante la contratación
Se deben asegurar en la contratación del personal de la
Organización, acuerdos de confidencialidad de la
información que se manejarán durante el tiempo que
labore dentro de la organización y una vez finalizado el
contrato.
Profundizando en los requisitos de la Norma:
2 Seguridad durante la contratación
Debe quedar documentado en acuerdos de confidencialidad,
materiales de concientización, contratos de empleo entre el
empleado y la organización la responsabilidad de los
trabajadores relacionada con la protección de la información
manejada por la Organización..
Profundizando en los requisitos de la Norma:
2 Seguridad durante la contratación
Anualmente se debe considerar la posibilidad de revisar en
conjunto con los empleados los términos, acuerdos y
condiciones expuestas en los contratos laborales, para
garantizar el compromiso que adquirieron con relación a la
seguridad de la información con la organización.
Profundizando en los requisitos de la Norma:
3 Seguridad en la finalización o cambio de empleo
Cuando los empleados finalizan sus contratos laborales con la
organización o se retiran de ésta, se deben tener en cuenta
varias actividades que se deben realizar para garantizar la
gestión apropiada de activos de la organización que tenía a su
cargo.
El propósito fundamental de este Dominio de las la ISO
27002 ó Anexo A de la ISO 27001 es proteger la
información de la organización inclusive desde antes de
darle acceso a la misma a un tercero, sea este empleado,
contratista, proveedor, etc.; así como durante toda la
duración del contrato y su finalización, buscando evitar
que cualquier persona que haya tenido acceso a la
información por motivos laborales pueda darle un uso
inadecuado a la misma..