Seg Inf Sem02
Upcoming SlideShare
Loading in...5
×
 

Seg Inf Sem02

on

  • 4,680 views

seguridad de informacion

seguridad de informacion

Statistics

Views

Total Views
4,680
Views on SlideShare
4,677
Embed Views
3

Actions

Likes
1
Downloads
243
Comments
0

1 Embed 3

http://www.slideshare.net 3

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Seg Inf Sem02 Seg Inf Sem02 Presentation Transcript

  • Seguridad Informática Seguridad Informática Segunda Semana
    • Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso.
    • Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad , sino que permite conocer mejor el sistema que vamos a proteger. Además, permite determinar cuanto podemos invertir en seguridad.
    Análisis de riesgo
  • Análisis de riesgo
    • El Análisis de Riesgos implica:
    • Determinar qué se necesita proteger.
    • De qué hay que protegerlo.
    • Cómo hacerlo.
    Proceso de evaluación de las amenazas, impactos y vulnerabilidades de la información y de los medios de tratamiento de la información y de su probable ocurrencia. View slide
  • Análisis de riesgos 1. Identificación de activos y el costo ante posibles pérdidas (C) Identificar amenazas 2. Determinar la probabilidad de pérdida (P) 3. Identificar posibles acciones (gasto) y sus implicaciones (G). Seleccionar acciones a implementar. ¿ G  P  C ? View slide
  • Gestión del Riesgo
    • Proceso de identificación, control y minimización o eliminación, a un costo aceptable, de los riesgos que afecten a los sistemas de información.
  • NTP - ISO/IEC 17799:2004 Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información. Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamaño o área de actividad .
  • NTP - ISO/IEC 17799:2004 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS 1-POLÍTICA DE SEGURIDAD 4-SEGURIDAD EN EL PERSONAL 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES 5-SEGURIDAD FÍSICA Y DEL ENTORNO 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS 7-CONTROL DE ACCESOS 9-GESTIÓN DE CONTINUIDAD DEL NEGOCIO 10-CUMPLIMIENTO
  • NTP - ISO/IEC 17799:2004 Control de accesos Clasificación y control de los activos Política de seguridad Organización de la Seguridad Seguridad del personal Seguridad física y medioambiental Gestión de comunicaciones y operaciones Desarrollo y mantenimiento Administración de la continuidad Cumplimiento Información Confidencialidad disponibilidad integridad
  • NTP - ISO/IEC 17799:2004 1. Política de seguridad 2. Organización de la Seguridad 3 . Clasificación y control de los activos 7. Control de accesos 4. Seguridad del personal 5. Seguridad física y del entorno 8. Desarrollo y mantenimiento de Sistemas 6. Gestión de comunicaciones y operaciones 9. Gestión de la continuidad del negocio 10. C umplimiento Organizacional Operacional
  • NTP - ISO/IEC 17799:2004
  • Sistemas de Gestión de la Seguridad de la Información -SGSI
    • Conjunto de elementos que permiten establecer las bases para la administración efectiva de la seguridad de la información comprende:
    • La política de seguridad
    • Estructura organizativa
    • Los procedimientos
    • Estándares
    • Guidelines
    • Baseline
    El Objetivo del SGSI es salvaguardar la información SGSI
  • Estructura de un SGSI Procedimientos Política Seguridad Estándares Directrices
  • Política de Seguridad de Información
  • Política de seguridad Informacón - PSI
    • Es una declaración general producida por la Gerencia General para dictar el papel que juega la seguridad de la información dentro de la organización . “MI PSI”
    • La política de seguridad señala cómo se estructura el SGSI, establece sus metas, asigna las responsabilidades, muestra el valor estratégico y táctico de la seguridad y esboza cómo se llevará a cabo.
    • Anuncia el compromiso de la gerencia y el enfoque de la organización para gestionar la seguridad de la información.
  • Política de seguridad
    • La gerencia debería aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, el documento de política de seguridad de la información.
    Cabinas Internet Lima Política de Seguridad Informática
  • ¿Qué debe contener la PSI?
    • Definición de los objetivos, alcance e importancia de la seguridad de información.
    • El apoyo de la gerencia a los objetivos y principios de la seguridad de la información.
    • Descripción de las políticas, estándares, leyes y directrices más importantes.
    • Definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información.
    • Referencias a documentos a otros documentos que sustentan la política.
  • Revisión y evaluación - PSI
    • La política debería tener un propietario que sea responsable de su mantenimiento y revisión.
    • La PSI, debe revisarse ante un cambio que afecte a las bases de la evaluación original de riesgo.
    • Revisiones periódica para verificar:
    • La efectividad de la política
    • El costo y el impacto de los controles en la eficiencia del negocio;
    • Los efectos de los cambios a la tecnología.
  • Estándares
    • Especifican como el hardware y software será usado. También pueden señalar el comportamiento esperado de los usuarios.
    • Aseguran que los recursos informáticos sean utilizados de manera uniforme. Su cumplimiento es obligatorio . Ejemplo:
    • Que todo trabajador porte su fotocheck.
    • La información confidencial este encriptada
  • Baseline – Línea base
    • Establecen el mínimo nivel de seguridad requerido, sin que se constituya un incidente de seguridad. Ejemplo
    • Configuración básica de una estación de trabajo.
    • Condiciones de funcionamiento de un cableado estructurado.
  • Guidelines - directrices
    • Acciones recomendadas y guías operativas para los usuarios, Staff de TI , entre otros; cuando un estándar no es aplicable. Son pautas que brindan cierta flexibilidad ante circunstancias imprevistas o no consideradas. Ejemplo:
    Un estándar organizacional establece que todo acceso a información confidencial deber ser auditado. Una Guía podría establecer que datos son necesarios registrar en la pista de auditoría.
  • Procedimientos
    • Son tareas detalladas — paso a paso — que deberán ser ejecutadas para alcanzar cierta meta.
    Los procedimientos son vistos como el nivel más bajo en la implementación de la PSI política, porque ellos están más relacionados con los recursos de TI y los usuarios. Detallan los pasos para la configuración e instalación de los activos informáticos.
  • Aspectos Organizativos Seg. Información
  • Algunos conceptos Propietario de la Información: Determina la clasificación de la información dentro de la organización. R esponsable de su seguridad cotidiana . Custodio de la información: Mantiene la información de manera que se conserve y proteja su confidencialidad, integridad y disponibilidad. Usuario: Utiliza la información en el cumplimiento de sus funciones.
  • Aspectos Organizativos Seg. Información La organización debe establecer una estructura que incluya funciones y responsabilidades para iniciar y controlar la implantación del SGSI.
  • Aspectos Organizativos Seg. Información Revisar y aprobar la política de seguridad de la información y de las responsabilidades principales. Supervisar y controlar los cambios significativos en la exposición de los activos de información a las amenazas principales. Comité de Seguridad Se encarga de asegurar una dirección clara y el apoyo visible de la gerencia a las iniciativas de seguridad. Promueve la seguridad en la organización por medio de un compromiso apropiado y de los recursos adecuados
  • Aspectos Organizativos Seg. Información Establecer las funciones y responsabilidades específicas de seguridad de la información en toda la organización Acordar métodos y procesos específicos para la seguridad de la información. Comité Interfuncional Se encarga de la implantación de los controles de seguridad de la información y está formado por los los representantes de las áreas más importantes de la organización.
  • Estructura de un SGSI Comité de Seguridad Comité Interfuncional Procedimientos Política Seguridad Estándares Directrices
  • Asignación de responsabilidades Es el responsable del desarrollo e implantación de la seguridad y para dar soporte a la identificación de las medidas de control. Oficial de Seguridad. Director de seguridad de la información Una práctica habitual consiste en designar un propietario de cada activo de información, que se convierte así en responsable de su seguridad cotidiana.
  • Asignación de responsabilidades Deberían definirse claramente las responsabilidades de la protección de los activos individuales y para la ejecución de los procesos específicos de seguridad.
    • Deberían identificarse claramente los activos y los procesos de seguridad asociados con cada sistema específico.
    • Debería nombrarse al responsable de cada activo o proceso de seguridad, y deberían documentarse los detalles de esta responsabilidad.
    • Deberían definirse y documentarse claramente los niveles de autorización.
  • Apoyo de terceros
    • Equipo de consultores especializado en seguridad de la información.
    • Especialistas externos en seguridad .
    • Asesoría para tratar las incidencias de seguridad .
  • Revisión del SGSI La PSI establece las directrices generales y responsabilidades sobre la seguridad de la información. La implantación de la PSI debería revisarse de forma independiente para asegurar que:
    • ¿Se cumple la PSI?
    • ¿Es Factible?
    • ¿Es eficaz?
  • Accesos de terceras partes El acceso de terceros a los dispositivos de tratamiento de información de la organización debe ser controlado . Realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que se requieren: Suscribir un contrato donde se definen los compromisos para mantener la seguridad de información de la organización. Tomar las mismas medidas antes de contratar un outsourcing.
  • Clasificación y control de activos
  • Clasificación y control de activos Responsabilidad sobre los Activos Clasificación de la información Inventario de activos Tratamiento de la información
  • Responsabilidad sobre los activos Se debería asignar un propietario y responsable a todos los activos de información importantes, con el objeto de mantener una protección adecuada, a través de un control apropiados. RRHH Ventas
  • Inventario de activos Actividad importante de la gestión de riesgos, que consiste en identificar sus activos y determinar su valor e importancia para satisfacer las necesidades de la organización. La protección de los activos debe ser proporcional al valor e importancia de los activos . Debería establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de información
  • Activos de un Sist. de información Activos de información archivos y bases de datos, documentación del sistema, manuales de los usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada. Activos de software Software de aplicación, software del sistema, herramientas y programas de desarrollo.
  • Activos de un Sist. de Información Activos físicos Equipo de procesamiento (procesadores, monitores, portátiles), equipo de comunicaciones (enrutadores, switchs), medios magnéticos (discos y cintas), otro equipo técnico (suministro de energía, unidades de aire acondicionado), muebles, etc. Servicios Servicios de procesamiento y comunicaciones, otros servicios (alumbrado, energía, aire acondicionado, etc.).
  • Ejemplo
  • Clasificación y control de activos “ Cuanto mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso”.
  • Clasificación de la información Ordenar la información de acuerdo a su valor e importancia para la organización. La información debería clasificarse para indicar la necesidad, prioridades y grado de protección, con el objeto de asegurar un nivel de protección adecuado. Esta clasificación debe ser documentada e informada a todo el personal de la organización, y deberá evaluarse y actualizarse periódicamente.
  • Clasificación de la información Para clasificar la información se debe considerar los criterios de disponibilidad, integridad y confidencialidad y su importancia para la organización. Crítica : La no-disponibilidad de esta información ocasiona un daño en los activos de la empresa. Confidencial : En poder de personas no autorizadas compromete los intereses de la empresa. Pública : Información de libre circulación.
  • Tratamiento de la información La información (en formato físico y electrónico) debe ser tratada de acuerdo con el esquema de clasificación adoptado por la organización. El tratamiento de información:
    • Copia.
    • Almacenamiento.
    • Transmisión electrónica.
    • Transmisión oral.
    • Destrucción.
  • Tratamiento de la información La salida de los sistemas de información también debe ser tratada de acuerdo a la clasificación realizada. Se considera como una salida del sistema de información lo siguiente:
    • Informes impresos y Pantallas.
    • Medios de almacenamiento (cintas, discos, CDs, DVD).
    • Mensajes electrónicos.
    • Transferencias de archivos.
  • Ideas finales La seguridad no es un producto, sino un proceso “ ...Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende de tecnología”. --- Bruce Schneier
  • ?