Confer en CIA Ntp Iso Iec 17799

8/6/2019 Confer en CIA Ntp Iso Iec 17799

http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 1/41

1

SEGURIDAD DE LA INFORMACIONOFICINA NACIONAL DE GOBIERNO

ELECTRONICO E INFORMATICA

Ing. Max LazaroT.



4

Importancia de la seguridad

� Muchas organizaciones tienen políticas deseguridad, la mayoría de las mismas

incluso entrenan a sus funcionarios yempleados, pero muy pocas implantanuna ³cultura de conciencia en seguridad´al nivel de una ³vecindad en guardia´ quefomenta la identificación y reporte deproblemas de seguridad.



5

A cciones de la ONGEI



6

A cciones de la ONGEI� El gobierno peruano ha emitido desde el año 2002

diferentes normas referidas a seguridad de lainformación, entre las cuales podemos resaltar lassiguientes:

� ³Modificación de las normas y procedimientos técnicossobre contenidos de las páginas web´.� ³Normas técnicas para el almacenamiento y respaldo de

la información procesada por las entidades de laadministración pública´.

� Directiva sobre "Normas para el uso del servicio decorreo electrónico en las entidades de la administraciónpública´



8

A nálisis de Vulnerabilidades

Sistemas operativosBases de Datos A plicativos

Firewall

E-Mail Server

WebServer

Servidores

Estaciones de Trabajo

Red

Intena

ONGEI



9

Encuesta sobre Seguridad de laInformación en las Entidades publicas

� Con RM- 3 10-200 4 la Oficina Nacional deGobierno Electrónico e Informática emitióla primera encuesta nacional sobreseguridad de la información en lasentidades publicas.

� El objetivo de dicha encuesta es obtener

información del nivel de seguridad con laque cuentan actualmente las Entidadesdel Estado.



10

A lgunos resultados de la Encuesta

� Dentro de los puntos más relevantes de laencuesta se ha podido observar que: ± El 6 3% no posee un responsable en temas de

seguridad de la información, ± El 86 % no cuenta con asesoramiento en temas de

seguridad de la información, ± E 5 9 % de instituciones no prepara a sus usuarios

para reportar incidentes de seguridad, ± El 8 2% no recibe capacitación en temas de

seguridad, ± El 7 0% no tiene preparados procedimientos de

respuesta a incidentes o anomalías que pudieransuceder.



11

Código de Buenas Prácticaspara la Gestión de la

Seguridad de la InformaciónNTP-ISO/IEC 17799 2004 EDI



12

Emisión de la Norma Técnica Peruanasobre Seguridad de la Información

� Con fecha 2 3 de julio del 200 4 la Presidenciadel Consejo de Ministros a través de la OficinaNacional de Gobierno Electrónico, dispone eluso obligatorio de la Norma Técnica Peruana³NTP ± ISO/IEC 17799:2004 EDI.Tecnologíade la Información: Código de Buenas Prácticaspara la Gestión de la Seguridad de laInformación´ en entidades del Sistema Nacionalde Informática estableciendo un plazo de 1 8 meses para su implementación.



13

Marco de las recomendaciones� La ISO 1 7799 es una compilación de recomendaciones

para las prácticas exitosas de seguridad que todaorganización puede aplicar independientemente de sutamaño o sector.

� La norma técnica fue redactada para que fuera flexible yno induce a las organizaciones que la cumplan al pie dela letra, se deja a estas dar una solución de seguridadde acuerdo a sus necesidades.

� Las recomendaciones de la norma técnica ISO 1 7799 son neutrales en cuanto a la tecnología.A sí, la norma discute la necesidad de contar concortafuegos, pero no profundiza sobre los tipos decortafuegos y cómo se utilizan.



15

Las diez áreas de control de ISO

17799

:1. Política de seguridad: Se necesita una política querefleje las expectativas de la organización en materiade seguridad, a fin de suministrar administración condirección y soporte. La política también se puedeutilizar como base para el estudio y evaluación encurso.

2. Organización de la seguridad: Sugiere diseñar unaestructura de administración dentro la organización,que establezca la responsabilidad de los grupos enciertas áreas de la seguridad y un proceso para elmanejo de respuesta a incidentes.



17

6 . Manejo de las comunicaciones y las operaciones:Los objetivos de esta sección son:

± A segurar el funcionamiento correcto y seguro de lasinstalaciones de procesamiento de la información.

± Minimizar el riesgo de falla de los sistemas. ± Proteger la integridad del software y la información. ± Conservar la integridad y disponibilidad del procesamiento y la

comunicación de la información. ± Garantizar la protección de la información en las redes y de la

infraestructura de soporte. ± Evitar daños a los recursos de información e interrupciones en

las actividades de la compañía. ± Evitar la pérdida, modificación o uso indebido de la

información que intercambian las organizaciones.



18

7. Control de acceso: Establece la importanciade monitorear y controlar el acceso a la red ylos recursos de aplicación como protección

contra los abusos internos e intrusos externos.8. Desarrollo y mantenimiento de los

sistemas: Recuerda que en toda labor de latecnología de la información, se debeimplementar y mantener la seguridadmediante el uso de controles de seguridad entodas las etapas del proceso.



19

9. Manejo de la continuidad de la empresa: A consejaestar preparado para contrarrestar las interrupcionesen las actividades de la empresa y para proteger losprocesos importantes de la empresa en caso de unafalla grave o desastre.

10. Cumplimiento: Imparte instrucciones a lasorganizaciones para que verifiquen si el cumplimientocon la norma técnica ISO 1 7799 concuerda con otrosrequisitos jurídicos, como la Directiva de la UniónEuropea que concierne la Privacidad, la Ley deResponsabilidad y Transferibilidad del Seguro Médico

(HIP AA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLB A por su sigla en inglés). Esta seccióntambién requiere una revisión a las políticas deseguridad, al cumplimiento y consideraciones técnicasque se deben hacer en relación con el proceso deauditoría del sistema a fin de garantizar que lasempresas obtengan el máximo beneficio.



20

Beneficios de la norma técnica ISO17799

� Una organización que adopte la Norma TécnicaPeruana ISO 1 7799 tiene mayores ventajasfrente a los que no la adopten: ± Mayor seguridad en la organización. ± Planeación y manejo de la seguridad más efectivos. ± A lianzas comerciales y e-commerce más seguras. ± Mayor confianza en el cliente. ± A uditorías de seguridad más precisas y confiables. ± Menor Responsabilidad civil



22

� La seguridad en Internet ha sido siempreconsiderada como un problema de ingeniería , ylas organizaciones tratan de resolverlo

utilizando tecnología.� Este enfoque es incorrecto; la tecnología está

fallando y la situación está empeorando.� Lo que realmente necesitamos son mejores

modelos de procesos , no mejor tecnología.



23

� La seguridad es un proceso de gestión deriesgo , y la única forma de que laDirección tome las medidas adecuadas escambiando sus políticas de seguridad.

� Esto se puede conseguir introduciendonuevas normativas, o reforzando las yaexistentes.



24

Acceso a los recursos

por clientes y empleados.

Acceso a los recursos

por clientes y empleados.

DisponibilidadSalvaguardar la información

de clientes y del negocio.

Salvaguardar la información

de clientes y del negocio.

Confidencialidad

Confianza en la informacióndel negocio y clientes.Confianza en la informacióndel negocio y clientes.

Integridad



25

A LC A NCE DE L A SEGURID A D

PersonasPersonas

ProcesosProcesos

TecnologíaTecnología

RH DedicadosRH DedicadosEntrenamientoEntrenamientoSeguridadSeguridad²²pensamiento ypensamiento yprioridadprioridadEducación de empleadosEducación de empleados

Planeación de seguridadPlaneación de seguridadPrevenciónPrevenciónDetecciónDetecciónReacciónReacción

Tecnología de puntaTecnología de puntaEstandar, encripción, protecciónEstandar, encripción, protecciónFuncionalides de productoFuncionalides de productoHerramientas de Seguridad yHerramientas de Seguridad yproductosproductos



26

Enfoque integral de la seguridad

� La seguridad debe tenerse en cuenta en: ± Todas las etapas de un proyecto

� Dise ño� Desarrollo� Implementaci ón

± Todas las capas

� Red� ServidoresA plicaci ón

´La´La seguridadseguridad eses tantan buenabuena comocomo elel eslabóneslabón másmás débilµdébilµ



27

A N A LISISDE

RIESGOS



29

A nálisis de Riesgos

� Peligros contra la confidencialidad.

± A ccesos no autorizados a información confidencial ± A ccesos públicos a información confidencial, por error,

mala configuración o descuido. ± Suplantación de usuarios. ± A cceso a servicios confidenciales (correo, bbdd,

servidores de acceso, etc). ± Instalación de caballos de troya. ± A cceso físico a material restringido.



3 0


� Peligros contra la integridad

± Modificación indebida de datos (fallo de permisos) ± Falta de integridad (borrado o modificación) de datos. ± Imposibilidad de identificar fuente de datos. ± Fallo en la integridad de bases de dato (corrupcion). ± Modificación en archivos de sistema (configuraciones,

logs, etc) ± Destrucción o corrupción de backups. ± Virus. ± A cceso físico a material restringido.



3 1


� Peligros contra la disponibilidad.

± Caida de servicios externos. (DoS) ± A gotamiento de recursos (ancho de banda, disco, socket,

etc). (DoS o mala config.) ± Fallo de infraestructuras generales de red (routing,

switches, etc). (DoS, fallo, mala configuración o sabotaje) ± Destrucción de configuraciones o servicios. (DoS o

Sabotaje) ± A cceso físico a infraestructura básica. Sabotaje.



33

Costo Económico

� Solo importa cuando suceden losproblemas de seguridad.

A justar la ecuación del riesgo hasta que leinterese e importe a la alta dirección.

A partir de ese entendimiento se podrágestionar la seguridad.



34

A plicación de la NTP-ISO/IEC 1 7799

Publicar una política Establecer un marco

de trabajo

Identificar riesgos Implementar la política

Plan de continuidadde negocio

EDUCACIÓN



35

Entregables de la NTP-ISO/IEC 1 7799

Política de

SeguridadInstitucional

Análisis deriesgos

NTP-ISO/IEC17799 vs. elanálisis de

riesgos(Brecha)

Plan

Implementaciónde los controlesde seguridad

Implementación Gradual y Priorizada



3 6

Estrategia Nacional de Seguridadde la Información



3 7

Objetivos� Prevenir los incidentes negativos de seguridad de la

información en la infraestructura de los sistemas deinformación y comunicaciones de los organismospúblicos del Estado Peruano.

� Reducir las vulnerabilidades de los sistemas deinformación y comunicaciones de los organismospúblicos del Estado Peruano, ante posibles ataquescibernéticos o incidentes negativos que puedanproducirse.

� Minimizar el daño y el tiempo de recuperación siocurriese algún tipo de incidente negativo en lainfraestructura de los sistemas de información ycomunicaciones de los organismos públicos del EstadoPeruano.



3 9

FR A SE CELEBRE



4 0

"Conoce al enemigo y conócete a ti mismo y, encien batallas, no correrás jamás el más mínimopeligro.

Cuando no conozcas al enemigo, pero teconozcas a ti mismo, las probabilidades devictoria o de derrota son iguales.

Pero si a un tiempo ignoras todo del enemigo yde ti mismo, es seguro que estás en peligro encada batalla"

Sun Tzu, El Arte de la Guerra



4 1

MUCH A S GR A CI A S

Confer en CIA Ntp Iso Iec 17799

Documents

Transcript of Confer en CIA Ntp Iso Iec 17799