Your SlideShare is downloading. ×
0
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Fundamentos de seguridad de la información
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Fundamentos de seguridad de la información

2,148

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,148
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
71
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Fundamentos de Seguridad de la Información EDDY PÉREZ UNEG. 2008
  • 2. Objetivos Comprender los conceptos básicos de la Seguridad de la Información y sus implicaciones Entender la Importancia de la Seguridad de la Información en los diferentes sectores. Identificar los diferentes tipos de seguridad de la información de acuerdo a los activos a proteger.Eddy Pérez – UNEG 2006
  • 3. AgendaI. Seguridad de la Información I. Definición II. Elementos a proteger III. ImportanciaII. Áreas de la Seguridad Información I. Seguridad Física II. Seguridad Lógica III. Seguridad de GestiónIII. Metas de la Seguridad I. Confidencialidad II. Integridad III. Disponibilidad IV. ResponsabilidadEddy Pérez – UNEG 2006
  • 4. Seguridad de la Información
  • 5. DefiniciónMedidas adoptadas para evitar el uso no autorizado, el mal uso, lamodificación o la denegación del uso de conocimientos, hechos datos ocapacidades.“Es la protección de la información de un rango amplio de amenazaspara poder asegurar la continuidad del negocio, minimizar el riesgocomercial y maximizar el retorno de las inversiones y lasoportunidades comerciales”. ISO/IEC 27002:2005“Preservación de la confidencialidad, integridad y disponibilidad de lainformación; otras características tambien pueden estar involucradas,tales como la autenticidad, responsabilidad, aceptabilidad yconfiabilidad”. ISO/IEC 17799:2005Eddy Pérez – UNEG 2006
  • 6. Elementos a proteger Personas que • Empleados la utilizan • Clientes Equipos de • Edificios soporte • Hardware • Físico Información • DigitalEddy Pérez – UNEG 2006
  • 7. ImportanciaLas organizaciones utilizan la Productosinformación diariamente en susprocesos de negocios. Competencia ClientesLa información de los clientes permite ofrecerlesproductos adaptados a sus necesidades Procesos NegocioLos contratos definen el alcance y la garantía de Empleados Mercadocumplimientos de acuerdosLa información es usada por la competencia para lanzarnuevos productos al mercado Finanzas Contratos Eddy Pérez – UNEG 2006
  • 8. Áreas de la Seguridad de la Información
  • 9. Seguridad FísicaProtección de sus activos e información del accesofísico al personal no autorizado. Sustracción de equipos de su sitio Daños de los equipos Sustracción de documentos de las oficinas Sustracción de documentos de las cestas de basuras¿Como asegurar? Implementar controles de acceso a las oficinas Destruir documentos innecesarios Instalar sistemas de seguridad: Cámaras de vídeos Limitar el acceso a áreas sensiblesEddy Pérez – UNEG 2006
  • 10. Seguridad OperacionalSe refiere a como la organización hace las cosas. Incluye personas, computadoras,redes y sistemas de comunicación.La seguridad operacional trata asuntos sobre: Control de acceso Autenticación Topologías de seguridad Planes de respaldo y recuperación de datos y sistemas Operaciones de las conexiones de las redes¿Cómo asegurar? Conmutación y enrutamiento + Filtros + Control del Flujo Definición de perímetros: Firewall Instalación estratégica de sensores: IDS + IPS Prevención y contramedidas: IPS + Anti-Códigos maliciosos Educación !!!Eddy Pérez – UNEG 2006
  • 11. Seguridad en la GestiónProporciona una guía, reglas y procedimientos paraimplementar un ambiente seguro. Para que las políticas tengan efecto, estas deben tener un completo apoyo del equipo gerencial y de la organización.Algunas políticas necesarias pueden ser: Políticas administrativas Requerimientos de diseño Planes de recuperación de desastres Políticas de información Políticas de uso Políticas de administración de usuariosEddy Pérez – UNEG 2006
  • 12. Metas de la seguridad
  • 13. Metas Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados Disponibilidad acceso y utilización de la Integridad información y los mantenimiento de la sistemas de tratamiento exactitud y completitud de la misma por parte de de la información y de lossus métodos de proceso individuos, entidades o procesos autorizados cuando lo requieran Eddy Pérez – UNEG 2006
  • 14. ConfidencialidadPrevenir o minimizar el acceso no autorizado y larevelación de data e información.Eddy Pérez – UNEG 2006
  • 15. IntegridadPrevenir o minimizar la modificación y destrucción noautorizada de los activos de la organizaciónEddy Pérez – UNEG 2006
  • 16. DisponibilidadPrevenir o minimizar la denegación no autorizada delacceso a los activos y servicios.Eddy Pérez – UNEG 2006
  • 17. Responsabilidad y AutenticaciónDebe definirse quien es el propietario o responsable dela data.Muchos de los recursos son compartidos por variaspersonas y departamentos.¿Cómo se determina que una información es correcta ono?Eddy Pérez – UNEG 2006
  • 18. Zonas de SeguridadMétodos de diseño que aíslan sistemas de otros sistemas, redeso personas.Las zonas de seguridad más conocidas son: Internet Red global y pública que interconecta redes Intranet Redes privadas mantenidas por una organización Extranet Extiende las redes privadas a socios o terceros de confianza DMZ Área donde se ubican servidores públicos para que sean consultados por terceros de escasa o nula confianza. VPNEddy Pérez – UNEG 2006
  • 19. Tecnologías de apoyo A nivel de las aplicaciones: Anti-Virus (infección de archivos en la PC) Anti-Spam (Correo basura) Anti-Spyware (programas espías) Filtros de contenidos (información no permitida)A nivel de la Red Segmentación de las redes, VLAN, enrutamiento Control del tráfico (ACL, QoS), Cifrado, Túneles Cifrados (VPN) Control del acceso (Firewall) Monitoreo del tráfico (NMS, IDS, IPS)Eddy Pérez – UNEG 2006
  • 20. Normas, Metodologías y LeyesISO IEC 27000: Serie de normas relativas a desplegar SGSIISO IEC 7498-2: Modelo de referencia de SILey sobre mensajes de datos y firmas electrónicasLey Orgánica de Ciencia Tecnología e Innovación.Reglamento Parcial de Ley sobre Mensajes de Datos y Firmas ElectrónicasISO IEC 13336: Serie de guías relativas a la gestión de la seguridad de IT y ComunicacionesISO IEC 18045: Metodología para la evaluación de seguridad TIISO IEC 21827: SSE-CMM – Systems Security Engineering - Capability Maturity ModelCMMI-SSE: Arquitectura y marco de trabajo de Carnegie Mellon University relacionado con laSeguridad de la Información Eddy Pérez – UNEG 2006
  • 21. ¿Que debemos hacer en SI?Conocer la organización. - Objetivos del NegocioIdentificación de activos de T.I. Activos: todo aquello que tiene valor para la empresaEvaluación de Riesgos Identificación y valoración de los activos + Amenazas + Vulnerabilidades = valor del riesgoIdentificación de Amenazas Fallas, errores, debilidades relacionadas a un activoVulnerabilidades Eddy Pérez – UNEG 2006
  • 22. ¿Que debemos hacer en SI? RESULTADOSeguridad de la Información alineada a las necesidadesdel Negocio, sus clientes y usuarios. Eddy Pérez – UNEG 2006
  • 23. Requerimientos del negocio Identificación de activos Activos: todo aquello que tiene valor para la empresa Evaluación de Riesgos Identificación y valoración de los activos + Amenazas + Vulnerabilidades = valor del riesgo Identificación de Amenazas Fallas, errores, debilidades relacionadas a un activo VulnerabilidadesEddy Pérez – UNEG 2006
  • 24. Eddy Pérez – UNEG 2006

×