Normas de Seguridad de la Información

  • 154 views
Uploaded on

Espero q les sirva tanto como me sirio a mi, saludos.

Espero q les sirva tanto como me sirio a mi, saludos.

More in: Engineering
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
154
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
11
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Conceptos de Seguridad
    Los conceptos confidencialidad, integridad o disponibilidad son muy comunes en el ámbito de la seguridad y aparecen como fundamentales en toda arquitectura de seguridad de la información, ya sea en el ámbito de la protección de datos, normativa vigente relacionada con la protección de datos de carácter personal, como de códigos de buenas prácticas o recomendaciones sobre gestión de la seguridad de la información y de prestigiosas certificaciones internacionales, éstas últimas, relacionadas con la auditoría de los sistemas de información. Suele referirse al grupo de estas características como CIDAN, nombre sacado de la inicial de cada característica.
    Por estos motivos es importante tener una idea clara de estos conceptos.
    Confidencialidad
    Se trata de la cualidad que debe poseer un documento o archivo para que este solo se entienda de manera comprensible o sea leído por la persona o sistema que este autorizado.
    De esta manera se dice que un documento (o archivo o mensaje) es confidencial si y solo si puede ser comprendido por la persona o entidad a quien va dirigida o esté autorizada. En el caso de un mensaje esto evita que exista una intercepción de este y que pueda ser leído por una persona no autorizada.
    Por ejemplo, si Andrea quiere enviar un mensaje a Bruno y que solo pueda leerlo Bruno, Andrea cifra el mensaje con una clave (simétrica o asimétrica), de tal modo que solo Bruno sepa la manera de descifrarlo, así ambos usuarios están seguros que solo ellos van a poder leer el mensaje.
    Integridad
    La integridad es la cualidad que posee un documento o archivo que no ha sido alterado y que además permite comprobar que no se ha producido manipulación alguna en el documento original. Aplicado a las bases de datos seria la correspondencia entre los datos y los hechos que refleja.
    Teniendo como muestra el ejemplo anterior. Finalmente Bruno compara ambas funciones resumen, que se trata de una función que produce un valor alfanumérico que identifica cualquier cambio que se produzca en el mensaje, y si éstas funciones son iguales, quiere decir que no ha existido manipulación del mensaje

  • Autenticación
    La autenticación es la situación en la cual se puede verificar que un documento ha sido elaborado (o pertenece) a quien el documento dice.
    Aplicado a la verificación de la identidad de un usuario, la autenticación se produce cuando el usuario puede aportar algún modo de que se pueda verificar que dicha persona es quien dice ser, a partir de ese momento se considera un usuario autorizado.
    Otra manera de definirlo seria, la capacidad de determinar si una determinada lista de personas ha establecido su reconocimiento sobre el contenido de un mensaje.
    Disponibilidad
    Se trata de la capacidad de un servicio, de unos datos o de un sistema, a ser accesible y utilizable por los usuarios (o procesos) autorizados cuando estos lo requieran.
    No repudio
    El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación y que permite probar la participación de las partes en una comunicación. La diferencia esencial con la autenticación es que la primera se produce entre las partes que establecen la comunicación y el servicio de no repudio se produce frente a un tercero, de este modo, existirán dos posibilidades:
    No repudio en origen: El emisor no puede negar que envío porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros. En este caso la prueba la crea el propio emisor y la recibe el destinatario
    No repudio en destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.
    Si la autenticidad prueba quién es el autor de un documento y cual es su destinatario, el “no repudio” prueba que el autor envió la comunicación (no repudio en origen) y que el destinatario la recibió (no repudio en destino).

  • En la imagen superior se ilustra como se relacionan los diferentes servicios de seguridad, unos dependen de otros jerárquicamente, así si no existe el de mas abajo, no puede aplicarse el superior. De esta manera, la disponibilidad se convierte en el primer requisito de seguridad, cuando existe esta, se puede disponer de confidencialidad, que es imprescindible para conseguir integridad, para poder obtener autenticación es imprescindible la integridad y por ultimo el no repudio solo se obtiene si se produce previamente la autenticación.
  • SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.
    Dado que la información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización.
    Actualmente, la mayor parte de la información reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales – fuego, inundaciones, terremotos ... – , vandalismo, etc.) hay que sumarle los riesgos lógicos (virus, ataques de denegación de servicio, etc.).
    Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. Para ello se hace necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
    El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización, con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir.
    En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
  • En el siguiente dibujo se muestra la distribución de dichos dominios y el aspecto de seguridad que cubren:
  • Categorías principales de riesgos:
    Daños Físicos.
    Error Humano.
    Mal funcionamiento de los equipos.
    Ataques internos y externos.
    Mal uso de la información.
    Errores de aplicaciones.

Transcript

  • 1. Seguridad en Redes Ing. Jerdy Sotelo Marticorena NORMAS DE SEGURIDAD EN TI
  • 2. OBJETIVOS DEL CURSO • Desarrollar la terminología y los conceptos necesarios para realizar una adecuada Gestión de la Seguridad de la Información. • Desarrollar el conocimiento para diseñar, implementar, operar y mantener la seguridad de los diferentes componentes de una arquitectura TI. • Comprender los principales modelos, normas y estándares de Seguridad de la Información. • Conocer e implementar técnicas para gestionar los riesgos de Seguridad de la Información basados en normas y estándares internacionales.
  • 3. CONTENIDO DEL DOMINIO • D1: Gobierno de Seguridad de la Información y Gestión de Riesgos. • D2: Seguridad de Operaciones. • D3: Control de Accesos. • D4: Diseño y Arquitectura de Seguridad. • D5: Legislación, Regulación, Cumplimiento e Investigación. • D6: Seguridad Física. • D7: Seguridad de Aplicaciones. • D8: Seguridad de Red y Telecomunicaciones. • D9: Plan de Continuidad de Negocios y Recuperación de Desastres. • D10: Criptografía.
  • 4. PRESENTACIÓN DE LOS ALUMNOS • Nombres. • Nombre de la empresa (trabaja y/o práctica pre profesionales) • Puesto. • Experiencia en Seguridad de la Información. • Conocimiento de GNU/Linux. • Pasatiempos / Aficiones. • Expectativas del curso.
  • 5. INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN
  • 6. SEGURIDAD Y GESTIÓN DE RIESGOS GESTIÓN CENTRALIZADA Análisis de Riesgos y determinación de controles Evaluación y Monitoreo Implementación de Políticas y Controles Promover la Concientización
  • 7. CICLO DE VIDA DE LA INFORMACIÓN 1. CLASIFICACIÓN DESTRUCCIÓN DISPOSICIÓN 3. MIGRACIÓN 2. ALMACENAMIENTO Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación
  • 8. SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA Tecnología ProcesosPersonas LA SEGURIDAD INFORMÁTICA: Se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soportan nuestro negocio. SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.
  • 9. Que es la Seguridad de la Información (video)
  • 10. CIA / CID – PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN • Confidencialidad: Es la propiedad por la que la información, no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: Es la propiedad de salvaguardar la exactitud y completitud de los activos. • Disponibilidad: Es la propiedad de ser accesible y utilizable por una entidad autorizada.
  • 11. • Confidencialidad: • Mínimo privilegios. • Basado en la función del usuario • Se soporta en clasificación de información. • Cifrado de información. • Integridad: • Cambios no autorizados, intencionales o accidentales. • Información almacenada en diversos medios • Información modificada solo por el personal y controles autorizados. • Disponibilidad: • Disponible y accesible por personal autorizado y cuando lo necesiten. • Se ve afectada por ataques de DoS. • Pérdida o paralización de servicio por la presencia de incidente o desastre.
  • 12. OTROS ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
  • 13. Porqué es necesaria la Seguridad de la Información? La información y los procesos que la apoyan, los sistemas y las redes son activos importantes para la organización, por lo tanto, es esencial definir, realizar, mantener y mejorar la seguridad de la información para: • Mantener la competitividad de la empresa. • lograr el flujo de liquidez requerido. • Lograr el cumplimiento legal de la normatividad vigente a nivel nacional.
  • 14. Somos conscientes de nuestras debilidades? • Internas o Externas. OSSTM – MAPA DE SEGURIDAD NOTA:LOS ATAQUES INTERNOS REPRESENTAN UN 60% DE TOTAL DE ATAQUES RECIBIDOS
  • 15. AMENAZAS PARA LA SEGURIDAD
  • 16. DE QUIEN DEBEMOS PROTEGERNOS: EXTERNAS
  • 17. DE QUIEN DEBEMOS PROTEGERNOS: INTERNAS Categorización de usuarios
  • 18. OPERATIVIDAD VS SEGURIDAD
  • 19. TERMINOLOGÍA Y CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN
  • 20. Terminología en Seguridad de la Información • Activos de información • Amenaza • Vulnerabilidad • Riesgo • Exposición • Salvaguarda • Impacto
  • 21. • Activo: Recurso relacionado al sistema de información necesario para el funcionamiento correcto y para el cumplimiento de los objetivos de una organización. • Amenaza: Cualquier evento que ocasione incidencias , produciendo daños materiales o inmateriales sobre un activo de al organización. • Vulnerabilidad: Es una posibilidad de ocurrencia de la materialización de una amenaza hacia la seguridad de la organización. • Riesgo: Es la posibilidad de que se produzca un impacto determinado en la organización • Exposición: Es un caso de exponer la organización o parte de ella, a riesgos que causen daño posibles. • Salvaguarda: Es un proceso que elimina o minimiza los riesgos de seguridad, desde antes que se active una vulnerabilidad. • Impacto: Consecuencia de la materialización de una amenaza.
  • 22. Activos de Información • Documentos en papel: Contratos, guías, etc. • Software: aplicativos y software de sistemas. • Dispositivos físicos: computadoras, medios removibles (USB, DVD, etc). • Personas: clientes, personal, etc. • Imagen y reputación de la empresa: Marca, logotipo, razón social. • Servicios: Comunicaciones, internet, energía. ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible o intangible que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
  • 23. DOCUMENTOS • En papel: • Electrónico:
  • 24. ACTIVOS DE SOFTWARE • Sistemas • Aplicaciones • Herramientas y programas
  • 25. ACTIVOS FÍSICOS • Procesamiento • Comunicación • Medios de almacenamiento • Otros
  • 26. SERVICIOS (Terceros) • Procesamiento y comunicaciones. • Servicios generales. • Otros proveedores.
  • 27. FRECUENCIA MARCADO UBICACIÓN CUSTODIO VALORACIÓN CLASIFICACIÓN PROPIETARIO USUARIO ACTIVO DE INFORMACIÓN
  • 28. CLASIFICACIÓN DE LA INFORMACIÓN Restringida Confidencial Interna Pública
  • 29. Ubicación (Física o Lógica) • Lugares donde se almacena los Activos de información más importantes: • Oficinas. • Archivos. • Centro de cómputo. • Bóvedas. • Custodio de información (Proveedor).
  • 30. Propietario El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control. Ejemplo: • Activo de información: Sistema Contabilidad. • Propietario del activo: Gerente de Contabilidad y Finanzas. • Custodio de la Base de Datos: Gerencia de TI. • Derecho de propietario del activo: Empresa.
  • 31. Amenazas • Potencial para causar un incidente indeseado que puede resultar en daño al sistema, a la empresa o a sus activos. • Puede ser accidental o intencional • Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: Terremoto, incendio, etc. • Humanas: Errores de mantenimiento, huelgas, etc • Tecnológicas: Caída de Red, Sobretráfico, etc
  • 32. Ingeniería Social • Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente nos daría acceso a un sistema de información, aplicativo o recurso informático. «EL ARTE DE ENGAÑAR A LAS PERSONAS»
  • 33. Video de Ing. Social
  • 34. SGSI (Sistema de Gestión de la Seguridad de la Información)
  • 35. Sistema de Gestión de la Seguridad de la Información SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.
  • 36. ISO 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas.
  • 37. ISO 27001 • Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.
  • 38. ISO 27002 • La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI. • Se compone de 11 dominios, 39 objetivos de seguridad y 133 controles de seguridad. • Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado aspecto de la seguridad de la información.
  • 39. Distribución de los dominios de la Norma ISO 27002
  • 40. ISO 27002 (documentación) La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.
  • 41. GESTIÓN DE RIESGOS
  • 42. Requerimientos del Negocio • Los modelos de seguridad deben adaptarse a las necesidades y objetivos de las organizaciones. • No es posible aplicar un mismo modelo de seguridad para organizaciones de diferentes rubros.
  • 43. Requerimientos del Negocio • En una organización privada los servicios de disponibilidad e integridad de la información, cobran mayor valor que la confidencialidad, ya que sus objetivos, apuntan hacía la competencia en marketing y ventas. • En una organización militar, el servicio de confidencialidad cobra mayor valor que la disponibilidad e integridad de la información, ya que administra información crítica que NO PUEDE NI DEBE tener accesos desautorizados.
  • 44. Introducción al Análisis de Riesgos • Es necesario recordar que: • No existe SEGURIDAD AL 100%. • No existe 0% de Riesgos. • Ningún control es infalible. • Cada organización tiene vulnerabilidades y riesgos diferentes. • Los riesgos no se puede eliminar pero si darle un tratamiento
  • 45. Análisis de Riesgos Métodos para analizar los riesgos: • Cuantitativo. • Cualitativo. Existen algunas metodologías para el análisis y gestión de riesgos:  Magerit  Octave  ISO 27005  RISK IT  ISO 31000  AS/NZS 4360
  • 46. Que persigue con el Análisis de Riesgos • Identificar y clasificar los activos críticos de la organización. • Determinar a que amenazas están expuestas. • Determinar que salvaguardas existen y cuan eficaces son frente al riesgo. • Estimar el impacto. • Estimar el riesgo.
  • 47. 1. Inventariar 2. Análisis 4. Tratamiento 3. Evaluación Basado en la Norma ISO 27005 Ciclo del Análisis y Evaluación de Riesgos
  • 48. Proceso de evaluación del Riesgo
  • 49. Nivel de Riesgo Aceptable • Es el Riesgo que queda en la organización luego de implementar controles. • Cuando el nivel de Riesgo que queda se asume y acepta, entonces podemos decir que tenemos un Riesgo Residual. • Siempre existirán Riesgos Residual. • ¿Cuál es el nivel de Riesgo Residual aceptable en su organización? - La alta dirección debe decidir.
  • 50. OPCIONES PARA EL TRATAMIENTO DE LOS RIESGOS
  • 51. Tratando los Riesgos de Seguridad • Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no, los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización.
  • 52. Tratando los Riesgos de Seguridad Posibles opciones para el tratamiento del riesgo incluye: a) Aplicar controles apropiados para reducir el riesgo. b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización. c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran. d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.
  • 53. Dirección de Tratamiento del Riesgo Opciones: • ACEPTAR el riesgo efectivo. • TRANSFERIR el Riesgo. • REDUCIR el Riesgo a un nivel aceptado. • EVITAR Riesgos.
  • 54. Aceptando el Riesgo CONDICIONES: • La organización no encuentra controles para mitigar el riesgo efectivo. • La implementación de controles tiene un costo superior que las consecuencias del riesgo. • Cuando las organizaciones toman está decisión de aceptar el riesgo, se debe documentar y definir con precisión el criterio utilizado para la aceptación del riesgo.
  • 55. Transferir el Riesgo CONDICIONES: • Cuando para la organización es difícil reducir o controlar el riesgo a un nivel aceptable. • La alternativa de trasferir el riesgo a una tercera parte es más económica ante estas circunstancias. • Las transferencia del riesgo no elimina el riesgo residual.
  • 56. Reducir el Riesgo CONDICIONES: • Se debe reducir el riesgo al nivel que se haya definido como riesgo aceptable. • Los controles a implementar pueden reducir el riesgo estimado en dos maneras:  Reduciendo la probabilidad de ocurrencia de la amena.  Minimizando el impacto que podría causar si el riesgo logra ocurrir sobre el activo.
  • 57. Evitar el Riesgo GENERALIDADES: • Cualquier acción o control propuesto que permita cambiar el rumbo de las actividades, para así evitar la presencia del riesgo. • El riesgo se puede evitar por medio de: • No continuar desarrollando una actividad en particular. • Trasladar nuestros activos a otro lugar o área segura. • Decidir no procesar cierta información considerada muy sensitiva.
  • 58. Resultados del Análisis de Riesgos • Asignación de valores monetarios a los activos. • Lista de todos los posibles y potenciales amenazas. • Probabilidad de cantidad de ocurrencias por cada amenaza. • Potencial que la organización pueda aguantar en un lapso de 12 meses, frente a la amenaza. • Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.
  • 59. Inventario de Activos • Relación de todos los activos importantes. • Cada activo debe tener un propietario y custodio (responsabilidades definidas) • Los activos se identifican, no se inventan.
  • 60. Seguridad de Redes Ing. Jerdy Sotelo Marticorena