Seguridad Informtica

Qu
Es

es la seguridad informtica?

el conjunto de Polticas, procedimientos y Polticas, tcnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. sistemas.
Prevenir

y detectar amenazas. Responder de amenazas. una forma adecuada y con prontitud ante un incidente. incidente. y Mantener los sistemas funcionando. funcionando.

Proteger

Por
Por

qu la seguridad informtica?

S/.S/.S/., los dueo del negocio tiene dinero S/.S/.S/. INVERTIDO en algo que le trae un beneficio o ventaja. ventaja.
El

Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendindonos ilegal. ante el crimen. (aunque no haya leyes). crimen. leyes).
Por

CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste ms esfuerzo. esfuerzo.

La

Seguridad Informtica es Fcil: Fcil:

el 20% de esfuerzo se puede lograr el 80% 20% 80% de resultados

Actividades

Con

sencillas pero constantes son las que evitan la mayora de los problemas. problemas.

debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas segn lo que se quiera proteger. proteger.

Se

Objetivo de la Seguridad Informtica Preservar los activos de una organizacin y mantener la operatividad de la misma basado en los siguiente criterios de la informacin:

   

Confidencialidad Integridad Disponibilidad No Repudio

Principios que deben tener todos en la Organizacin :  Conciencia de la necesidad de seguridad y de que se puede mejorar.  Todos son responsables de la seguridad  Respuesta oportuna y cooperativa para prevenir, detectar y responder ante incidentes de seguridad.  Respeto a los intereses legtimos de otros  La seguridad debe ser compatible con los valores de una sociedad democrtica.

Principios que deben tener todos en la Organizacin :  Debern ser una gua ante la presencia de una amenaza.  La seguridad debe de incorporase como un elemento escencial en los diseos.  Debern realizar revisiones, actualizacin y modificaciones a los esquemas de seguridad, segn las necesidades de la organizacin.

La seguridad inicia con el Anlisis de Riesgo

Algunas Definiciones
Riesgo : Posibilidad de sufrir una prdida o dao. Seguridad informtica : Todo aquello que se hace para reducir los riesgos a los activos.

Activo
Un activo es algo que tiene valor o utilidad para la organizacin, sus operaciones comerciales y su continuidad.

Activo de Informacin
Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Activo : Datos, software, hardware, Infraestructura, personal, Informacin, etc.

Amenazas
Evento que puede desencadenar un incidente en la organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos.

Vulnerabilidades
Las vulnerabilidades son debilidades seguridad asociadas con los activos informacin de una organizacin. de de

Las vulnerabilidades no causan dao. Simplemente son condiciones que pueden hacer que una amenaza afecte un activo.

Identificacin de vulnerabilidades
1. Seguridad de los recursos humanos 2. Control de acceso 3. Seguridad fsica y ambiental 4. Gestin de operaciones y comunicacin 5. Mantenimiento, desarrollo y adquisicin de sistemas de informacin

 Qu es Anlisis de riesgo?
Proceso por el cual se identifican las amenazas y vulnerabilidades de una organizacin. Con el fin de generar controles que minimicen los efectos de los riesgos.

Cul es el Objetivo del anlisis de riesgo?

Tener la capacidad de:  Evaluar y manejar los riesgos de seguridad  Tomar las mejores decisiones en seguridad Informtica.  Enfocar los esfuerzos en la proteccin de los activos

 Qu Beneficios tenemos del anlisis de riesgo?

 Asegurar la continuidad operacional de la organizacin.  Saber manejar las amenazas y riesgos crticos.  Mantener una estrategia de proteccin y de reduccin de riesgos.  Justificar una mejora continua de la seguridad Informtica.

Cules son los Elementos de un anlisis de riesgo? Construir el perfil de las amenazas basado en los activos.
 Identificar los activos de la organizacin  Identificar las amenazas a los activos  Conocer las prcticas actuales de seguridad  Identificar las vulnerabilidades organizacionales (Recursos humanos, recursos tcnicos, etc.)  Identificar los requerimientos de seguridad de la organizacin

Cules son los Elementos de un anlisis de riesgo?

Indentificar las Infraestructura vulnerabilidades de la

 Detectar componentes claves  Detectar las vulnerabilidades tecnologa utilizada de la

Cules son los Elementos de un anlisis de riesgo?

Desarrollo de planes y estratgias de seguridad

 Riesgos para los activos crticos  Medidas de riesgos  Estratgias de proteccin  Planes para reducir los riesgos

Anlisis de Riesgo

Probabilidad de ocurrencia
Qu probabilidad existe de que la amenaza se materialice?
Valoracin 5 Casi cierto mayora de las circunstancias. Probablemente ocurra en 4 Probable la mayora de las circunstancias. 3 2 Posible Improbable Podra ocurrir en algn momento. Pudo ocurrir en algn momento. Puede ocurrir slo en 1 Raro circunstancias excepcionales. Descripcin de la Probabilidad Se espera que ocurra en la Un suceso similar ha sucedido muchas veces por ao en el mismo lugar, operacin o actividad. Un suceso similar ha sucedido muchas veces por ao en esta misma organizacin. Un suceso similar ha sucedido en algn momento en esta organizacin. Un suceso similar ha sucedido en algn momento en una organizacin similar. Un suceso similar has sucedido en la industria a nivel mundial, pero no en esta organizacin.

Impacto
El impacto es el dao sobre el activo derivado de la materializacin de una amenaza.
Valoracin 5 4 3 2 1
Catastrfico Mayor Moderado Menor Insignificante

Descripcin del Impacto Efectos nocivos, enorme prdida financiera. Prejuicios extensivos, prdida financiera mayor. Requiere tratamiento urgente, prdida financiera alta. Tratamiento de primeros auxilios, prdida financiera media. Sin prejuicios, baja prdida financiera.

Riesgos
Probabilidad de que una amenaza pueda explotar una vulnerabilidad en particular
Impactos
Insignificante Menor Moderado Mayor Catastrfico

Probabilidad 5 4 3 2 1
Casi cierto Probable Posible Improbable Raro

1 Alto Moderado Bajo Bajo Bajo

2 Alto Alto Moderado Bajo Bajo

3 Extremo Alto Alto Moderado Moderado

4 Extremo Extremo Extremo Alto Alto

5 Extremo Extremo Extremo Extremo Alto

Clculo del riesgo

PROBABILIDAD MEDICIN IMPACTO DE OCURRENCIA DEL RIESGO PRIORIZACIN 5 3 15 1 4 2 8 3 3 3 9 2 2 2 4 4

ACTIVO A B C D

AMENAZA W X Y Z

Opciones de tratamiento del Riesgo

Reducir el riesgo
Se deben implementar controles apropiados para poder reducir el riesgo al nivel que se haya definido como aceptable.  Reduciendo la posibilidad de que la vulnerabilidad sea explotada por la amenaza.  Reduciendo el posible impacto si el riesgo ocurriese, detectando eventos no deseados, reaccionando y recuperndose de ellos.

Controles de Seguridad
y Prctica, procedimiento o mecanismo que

reduce el nivel de riesgo.

Aceptar el riesgo
 No se encuentran controles para mitigar el riesgo.  La implantacin de controles tiene un costo mayor que las consecuencias del riesgo.  Debe documentarse y definir con precisin el criterio de aceptacin del riesgo,  La gerencia debe aprobar la decisin de aceptacin del riesgo.

Transferir el riesgo
La transferencia del riesgo es una opcin cuando para la compaa es difcil reducir el riesgo a un nivel aceptable. Opciones para transferir el riesgo:  Aseguradoras  Tercerizacin.

Evitar el riesgo
El riesgo puede evitarse por medio de:
No comerciales de Internet). desarrollar ciertas actividades (por ejemplo: la no utilizacin

Mover los activos de un rea de riesgo. Decidir no procesar informacin particularmente sensitiva.

Tratamiento del Riesgo

Riesgo residual
 Despus de implementar las decisiones relacionadas con el tratamiento de un riesgo, siempre habr un remanente de ese mismo riesgo.  Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para resolver su caso. Una opcin es identificar diferentes opciones de tratamiento de riesgo; otra es instaurar ms controles, o hacer arreglos con aseguradoras para reducir finalmente el riesgo a niveles aceptables.

 Standares que definen las buenas prcticas en seguridad de la informacin.

Norma ISO/IEC 27002:2007 NTP ISO/IEC 17799:2007 Fin de la Parte I ..

Gerencia de Riesgos Oficial de Seguridad de la Informacin
MAIP