Normas de Seguridad de la Información

1,908 views

Published on

Espero q les sirva tanto como me sirio a mi, saludos.

Published in: Engineering
  • Be the first to comment

Normas de Seguridad de la Información

  1. 1. Seguridad en Redes Ing. Jerdy Sotelo Marticorena NORMAS DE SEGURIDAD EN TI
  2. 2. OBJETIVOS DEL CURSO • Desarrollar la terminología y los conceptos necesarios para realizar una adecuada Gestión de la Seguridad de la Información. • Desarrollar el conocimiento para diseñar, implementar, operar y mantener la seguridad de los diferentes componentes de una arquitectura TI. • Comprender los principales modelos, normas y estándares de Seguridad de la Información. • Conocer e implementar técnicas para gestionar los riesgos de Seguridad de la Información basados en normas y estándares internacionales.
  3. 3. CONTENIDO DEL DOMINIO • D1: Gobierno de Seguridad de la Información y Gestión de Riesgos. • D2: Seguridad de Operaciones. • D3: Control de Accesos. • D4: Diseño y Arquitectura de Seguridad. • D5: Legislación, Regulación, Cumplimiento e Investigación. • D6: Seguridad Física. • D7: Seguridad de Aplicaciones. • D8: Seguridad de Red y Telecomunicaciones. • D9: Plan de Continuidad de Negocios y Recuperación de Desastres. • D10: Criptografía.
  4. 4. PRESENTACIÓN DE LOS ALUMNOS • Nombres. • Nombre de la empresa (trabaja y/o práctica pre profesionales) • Puesto. • Experiencia en Seguridad de la Información. • Conocimiento de GNU/Linux. • Pasatiempos / Aficiones. • Expectativas del curso.
  5. 5. INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN
  6. 6. SEGURIDAD Y GESTIÓN DE RIESGOS GESTIÓN CENTRALIZADA Análisis de Riesgos y determinación de controles Evaluación y Monitoreo Implementación de Políticas y Controles Promover la Concientización
  7. 7. CICLO DE VIDA DE LA INFORMACIÓN 1. CLASIFICACIÓN DESTRUCCIÓN DISPOSICIÓN 3. MIGRACIÓN 2. ALMACENAMIENTO Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación Seguridad y Recuperación
  8. 8. SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA Tecnología ProcesosPersonas LA SEGURIDAD INFORMÁTICA: Se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soportan nuestro negocio. SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización.
  9. 9. Que es la Seguridad de la Información (video)
  10. 10. CIA / CID – PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN • Confidencialidad: Es la propiedad por la que la información, no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. • Integridad: Es la propiedad de salvaguardar la exactitud y completitud de los activos. • Disponibilidad: Es la propiedad de ser accesible y utilizable por una entidad autorizada.
  11. 11. • Confidencialidad: • Mínimo privilegios. • Basado en la función del usuario • Se soporta en clasificación de información. • Cifrado de información. • Integridad: • Cambios no autorizados, intencionales o accidentales. • Información almacenada en diversos medios • Información modificada solo por el personal y controles autorizados. • Disponibilidad: • Disponible y accesible por personal autorizado y cuando lo necesiten. • Se ve afectada por ataques de DoS. • Pérdida o paralización de servicio por la presencia de incidente o desastre.
  12. 12. OTROS ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
  13. 13. Porqué es necesaria la Seguridad de la Información? La información y los procesos que la apoyan, los sistemas y las redes son activos importantes para la organización, por lo tanto, es esencial definir, realizar, mantener y mejorar la seguridad de la información para: • Mantener la competitividad de la empresa. • lograr el flujo de liquidez requerido. • Lograr el cumplimiento legal de la normatividad vigente a nivel nacional.
  14. 14. Somos conscientes de nuestras debilidades? • Internas o Externas. OSSTM – MAPA DE SEGURIDAD NOTA:LOS ATAQUES INTERNOS REPRESENTAN UN 60% DE TOTAL DE ATAQUES RECIBIDOS
  15. 15. AMENAZAS PARA LA SEGURIDAD
  16. 16. DE QUIEN DEBEMOS PROTEGERNOS: EXTERNAS
  17. 17. DE QUIEN DEBEMOS PROTEGERNOS: INTERNAS Categorización de usuarios
  18. 18. OPERATIVIDAD VS SEGURIDAD
  19. 19. TERMINOLOGÍA Y CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN
  20. 20. Terminología en Seguridad de la Información • Activos de información • Amenaza • Vulnerabilidad • Riesgo • Exposición • Salvaguarda • Impacto
  21. 21. • Activo: Recurso relacionado al sistema de información necesario para el funcionamiento correcto y para el cumplimiento de los objetivos de una organización. • Amenaza: Cualquier evento que ocasione incidencias , produciendo daños materiales o inmateriales sobre un activo de al organización. • Vulnerabilidad: Es una posibilidad de ocurrencia de la materialización de una amenaza hacia la seguridad de la organización. • Riesgo: Es la posibilidad de que se produzca un impacto determinado en la organización • Exposición: Es un caso de exponer la organización o parte de ella, a riesgos que causen daño posibles. • Salvaguarda: Es un proceso que elimina o minimiza los riesgos de seguridad, desde antes que se active una vulnerabilidad. • Impacto: Consecuencia de la materialización de una amenaza.
  22. 22. Activos de Información • Documentos en papel: Contratos, guías, etc. • Software: aplicativos y software de sistemas. • Dispositivos físicos: computadoras, medios removibles (USB, DVD, etc). • Personas: clientes, personal, etc. • Imagen y reputación de la empresa: Marca, logotipo, razón social. • Servicios: Comunicaciones, internet, energía. ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible o intangible que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
  23. 23. DOCUMENTOS • En papel: • Electrónico:
  24. 24. ACTIVOS DE SOFTWARE • Sistemas • Aplicaciones • Herramientas y programas
  25. 25. ACTIVOS FÍSICOS • Procesamiento • Comunicación • Medios de almacenamiento • Otros
  26. 26. SERVICIOS (Terceros) • Procesamiento y comunicaciones. • Servicios generales. • Otros proveedores.
  27. 27. FRECUENCIA MARCADO UBICACIÓN CUSTODIO VALORACIÓN CLASIFICACIÓN PROPIETARIO USUARIO ACTIVO DE INFORMACIÓN
  28. 28. CLASIFICACIÓN DE LA INFORMACIÓN Restringida Confidencial Interna Pública
  29. 29. Ubicación (Física o Lógica) • Lugares donde se almacena los Activos de información más importantes: • Oficinas. • Archivos. • Centro de cómputo. • Bóvedas. • Custodio de información (Proveedor).
  30. 30. Propietario El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control. Ejemplo: • Activo de información: Sistema Contabilidad. • Propietario del activo: Gerente de Contabilidad y Finanzas. • Custodio de la Base de Datos: Gerencia de TI. • Derecho de propietario del activo: Empresa.
  31. 31. Amenazas • Potencial para causar un incidente indeseado que puede resultar en daño al sistema, a la empresa o a sus activos. • Puede ser accidental o intencional • Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: Terremoto, incendio, etc. • Humanas: Errores de mantenimiento, huelgas, etc • Tecnológicas: Caída de Red, Sobretráfico, etc
  32. 32. Ingeniería Social • Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente nos daría acceso a un sistema de información, aplicativo o recurso informático. «EL ARTE DE ENGAÑAR A LAS PERSONAS»
  33. 33. Video de Ing. Social
  34. 34. SGSI (Sistema de Gestión de la Seguridad de la Información)
  35. 35. Sistema de Gestión de la Seguridad de la Información SGSI son las siglas utilizadas para referirse a un Sistema de Gestión de la Seguridad de la Información, una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Además del concepto central sobre el que se construye la norma ISO 27001.
  36. 36. ISO 27000 A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. A continuación se incorpora una relación con la serie de normas ISO 27000 y una descripción de las más significativas.
  37. 37. ISO 27001 • Esta norma es la definición de los procesos de gestión de la seguridad, por lo tanto, es una especificación para un SGSI y, en este momento, es la única norma Certificable, dentro de la familia ISO 27000.
  38. 38. ISO 27002 • La ISO 27002 viene a ser un código de buenas prácticas en el que se recoge un catálogo de los controles de seguridad y una guía para la implantación de un SGSI. • Se compone de 11 dominios, 39 objetivos de seguridad y 133 controles de seguridad. • Cada uno de los dominios conforma un capítulo de la norma y se centra en un determinado aspecto de la seguridad de la información.
  39. 39. Distribución de los dominios de la Norma ISO 27002
  40. 40. ISO 27002 (documentación) La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.
  41. 41. GESTIÓN DE RIESGOS
  42. 42. Requerimientos del Negocio • Los modelos de seguridad deben adaptarse a las necesidades y objetivos de las organizaciones. • No es posible aplicar un mismo modelo de seguridad para organizaciones de diferentes rubros.
  43. 43. Requerimientos del Negocio • En una organización privada los servicios de disponibilidad e integridad de la información, cobran mayor valor que la confidencialidad, ya que sus objetivos, apuntan hacía la competencia en marketing y ventas. • En una organización militar, el servicio de confidencialidad cobra mayor valor que la disponibilidad e integridad de la información, ya que administra información crítica que NO PUEDE NI DEBE tener accesos desautorizados.
  44. 44. Introducción al Análisis de Riesgos • Es necesario recordar que: • No existe SEGURIDAD AL 100%. • No existe 0% de Riesgos. • Ningún control es infalible. • Cada organización tiene vulnerabilidades y riesgos diferentes. • Los riesgos no se puede eliminar pero si darle un tratamiento
  45. 45. Análisis de Riesgos Métodos para analizar los riesgos: • Cuantitativo. • Cualitativo. Existen algunas metodologías para el análisis y gestión de riesgos:  Magerit  Octave  ISO 27005  RISK IT  ISO 31000  AS/NZS 4360
  46. 46. Que persigue con el Análisis de Riesgos • Identificar y clasificar los activos críticos de la organización. • Determinar a que amenazas están expuestas. • Determinar que salvaguardas existen y cuan eficaces son frente al riesgo. • Estimar el impacto. • Estimar el riesgo.
  47. 47. 1. Inventariar 2. Análisis 4. Tratamiento 3. Evaluación Basado en la Norma ISO 27005 Ciclo del Análisis y Evaluación de Riesgos
  48. 48. Proceso de evaluación del Riesgo
  49. 49. Nivel de Riesgo Aceptable • Es el Riesgo que queda en la organización luego de implementar controles. • Cuando el nivel de Riesgo que queda se asume y acepta, entonces podemos decir que tenemos un Riesgo Residual. • Siempre existirán Riesgos Residual. • ¿Cuál es el nivel de Riesgo Residual aceptable en su organización? - La alta dirección debe decidir.
  50. 50. OPCIONES PARA EL TRATAMIENTO DE LOS RIESGOS
  51. 51. Tratando los Riesgos de Seguridad • Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no, los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización.
  52. 52. Tratando los Riesgos de Seguridad Posibles opciones para el tratamiento del riesgo incluye: a) Aplicar controles apropiados para reducir el riesgo. b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización. c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran. d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.
  53. 53. Dirección de Tratamiento del Riesgo Opciones: • ACEPTAR el riesgo efectivo. • TRANSFERIR el Riesgo. • REDUCIR el Riesgo a un nivel aceptado. • EVITAR Riesgos.
  54. 54. Aceptando el Riesgo CONDICIONES: • La organización no encuentra controles para mitigar el riesgo efectivo. • La implementación de controles tiene un costo superior que las consecuencias del riesgo. • Cuando las organizaciones toman está decisión de aceptar el riesgo, se debe documentar y definir con precisión el criterio utilizado para la aceptación del riesgo.
  55. 55. Transferir el Riesgo CONDICIONES: • Cuando para la organización es difícil reducir o controlar el riesgo a un nivel aceptable. • La alternativa de trasferir el riesgo a una tercera parte es más económica ante estas circunstancias. • Las transferencia del riesgo no elimina el riesgo residual.
  56. 56. Reducir el Riesgo CONDICIONES: • Se debe reducir el riesgo al nivel que se haya definido como riesgo aceptable. • Los controles a implementar pueden reducir el riesgo estimado en dos maneras:  Reduciendo la probabilidad de ocurrencia de la amena.  Minimizando el impacto que podría causar si el riesgo logra ocurrir sobre el activo.
  57. 57. Evitar el Riesgo GENERALIDADES: • Cualquier acción o control propuesto que permita cambiar el rumbo de las actividades, para así evitar la presencia del riesgo. • El riesgo se puede evitar por medio de: • No continuar desarrollando una actividad en particular. • Trasladar nuestros activos a otro lugar o área segura. • Decidir no procesar cierta información considerada muy sensitiva.
  58. 58. Resultados del Análisis de Riesgos • Asignación de valores monetarios a los activos. • Lista de todos los posibles y potenciales amenazas. • Probabilidad de cantidad de ocurrencias por cada amenaza. • Potencial que la organización pueda aguantar en un lapso de 12 meses, frente a la amenaza. • Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.
  59. 59. Inventario de Activos • Relación de todos los activos importantes. • Cada activo debe tener un propietario y custodio (responsabilidades definidas) • Los activos se identifican, no se inventan.
  60. 60. Seguridad de Redes Ing. Jerdy Sotelo Marticorena

×