Profesor: Franz Troche Araujoecaths1.s3.amazonaws.com/seguridadinformatica/207190887.SEGURID… ·...

Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática

Asignatura:

Objeto de Estudio:

El resguardo Integral de los activos tecnológicos

Evaluación Diagnóstica: Actividad: Evaluación de conocimientos previos Ponderación: 0% Evaluación Formativa: Actividad: Ej.:Ensayos, Prácticas. Ponderación: 20% Actividad Final: Ponderación: 60% Desarrollo Humano: Participación en Web y Clase + Asistencia: 20% Evaluación Sumativa: Total Acumulado: 100%

En lo particular:

La asignatura ofrece a los estudiantes la oportunidad de familiarizarse y reflexionar sobre la responsabilidad del manejo adecuado de la información y sobre todo su resguardo en bien de la organización.

Desde el punto de vista del campo profesional de aplicación, la asignatura pretende ilustrar en el estudiante, aquellos escenarios reales donde se haya ejecutado procesos seguros tanto en el aspecto lógico como físico; donde deba analizar y evaluar los objetivamente los pormenores que conforma el flujo de la información desde el punto de vista preventivo y correctivo.

En este entendido, la asignatura está diseñada para que el estudiante adquiera una base de conocimiento, habilidades, destrezas y actitudes específicas que le permita afrontar con eficacia situaciones de Seguridad Informática en contextos de alto nivel de complejidad.

En lo general:

La presente asignatura aporta significativamente a los objetivos del programa de postgrado ya que fija las bases conceptuales y prácticas, necesarias para afrontar las siguientes asignaturas del programa.

Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.

www.SeguridadInformatica.ecaths.com

Evaluación Diagnóstica

Seguridad, Seguridad Lógica, Seguridad Física y

Seguridad Integral

• Aspectos de seguridad para los sistemas

– La seguridad es parte de una conversión exitosa.

– No hay nada como un sistema totalmente seguro.

– Las acciones de los analistas y usuarios pretenden mover

los sistemas hacia el lado mas seguro del espectro

disminuyendo la vulnerabilidad.

– La seguridad es responsabilidad de todos aquellos que

estén en contacto con el sistema.

• Aspectos de seguridad para

los sistemas

–Tiene tres aspectos

interrelacionados:

• Físico.

• Lógico.

• Conductual.


– Seguridad Física: Se refiere a proteger el sitio

donde se encuentra la computadora, su equipo y

software a través de medios físicos.

• Acceso controlado a las salas de cómputo:

» Códigos de acceso (biometría, código de barras, etc.)

» Control de acceso (Registro manual)

» Supervisión (Circuito cerrado )

• Almacén de datos en lugares seguros.

» A prueba de fuego.

» A prueba de agua.


– Seguridad Física:

• El equipo pequeño se debe asegurar.

• Garantizar el suministro de energía eléctrica ininterrumpido.

• Alarmas que notifican situaciones de fuego, inundación o

intrusión deben estar funcionando en todo momento.

• El analista debe tomar las decisiones acerca de la

seguridad física cuando esté planeando la las instalaciones

de cómputo y la compra de equipo.


– Seguridad Lógica: Se refiere a los controles lógicos

dentro del mismo software.

• Los controles lógicos más familiares para la mayoría de los

usuarios son contraseñas y códigos de autorización de

algún tipo. Cuando son usados permiten que el usuario con

la contraseña correcta entre al sistema o a una parte

particular de este.


– Seguridad Lógica:

• Sin embargo, las contraseñas son tratadas desdeñosamente

o de manera descuidad en muchas organizaciones:

Los empleados gritan una contraseña dentro de las oficinas

Escriben las contraseñas en papeles pegados a sus terminales

Comparten contraseñas personales con empleados

autorizados que han olvidado la suya.

• El software de encriptación especial se ha desarrollado para

proteger las transacciones comerciales en la WEB.

• Uso de firewall.


– Seguridad Lógica:

• Todavía no hay ninguna forma totalmente integrada de

solucionar los problemas de seguridad con las redes interna

y externas.

• Los controles lógicos y físicos son importantes, pero

claramente no son suficientes para proporcionar una

seguridad adecuada. También se necesitan cambios de

comportamiento


– Seguridad Conductual: Las expectativas de

comportamiento de una organización están

codificadas en sus manuales de política y hasta en

signos puestos en tableros de noticias.

• Pero el comportamiento que tienen internamente los

miembros de la organización también es critico para el éxito

de los esfuerzos de seguridad.

• Los firewall fallan cundo los ataques son internos.


– Seguridad Conductual:

• La seguridad puede comenzar por investigar a los

empleados que eventualmente tendrán acceso a

las computadoras, datos e información, para

asegurarse de que sus intereses sean

consistentes con los de la organización y que

comprenden completamente la importancia de

llevar a cabo procedimientos de seguridad.



• Las políticas que se refieren a seguridad deben

ser escritas, distribuidas y actualizadas por que

los empleados estén totalmente conscientes de las

expectativas y responsabilidades.

• Aquí es donde el analista de sistemas tendrá

contacto por primera vez con los aspectos de

comportamiento de la seguridad.



• Parte de la faceta de comportamiento de

seguridad es monitorear el comportamiento a

intervalos irregulares para asegurarse de que se

estén siguiendo los procedimientos adecuados y

para corregir cualquier comportamiento que los

haya erosionado con el tiempo.



• Registrar la cantidad de intentos de registro no satisfactorios de los usuarios es una forma de monitorear si usuarios no autorizados están tratando de registrarse en el sistema.

• Se recomienda el inventario periódico y frecuente de equipo y software.

• Se deben examinar sesiones extrañamente largas o el acceso después de horas de trabajo no típico al sistema.



• Los empleados deben entender lo que se espera

claramente de ellos, lo que se prohíbe y lla

magnitud de sus derechos y responsabilidades.



• La salida generada por el sistema debe ser reconocida por su potencial de poner la organización en riesgo en algunas circunstancias.

• Los controles de la salida incluyen pantallas que solo pueden ser accesadas por medio de contraseñas, clasificación de información (esto es, a quien se le puede distribuir y cuando) y almacenamiento seguro de documentos impresos y almacenados magnéticamente.



• En algunos casos se debe hacer provisiones para la destrucción de documentos que son clasificados o propios.

• Se pueden contratar servicios de destrucción o pulverización de una empresa externa, por una cuota, que destruirán medios magnéticos, cartuchos de maquinas de escribir e impresoras y papel.

Seguridad Física

El Data Center es un recurso clave

Muchas organizaciones simplemente paran cuando sus empleados y clientes no pueden acceder a los servidores, sistemas de almacenaje y dispositivos de red que residen ahí.

Literalmente, algunas empresas, como grandes bancos, líneas aéreas, empresas de internet y agentes de bolsa en línea, pueden perder millones de dólares en una sola hora de tiempo de inactividad. Dadas estas consecuencias, un atributo clave del centro de datos es la confiabilidad.

Otro es la flexibilidad; las necesidades del futuro tal vez no sean las mismas que las actuales. Los avances tecnológicos, las reestructuraciones organizativas e incluso los cambios en la sociedad en general pueden imponer nuevas exigencias.

NORMALIZADO ANSI/EIA/TIA 942

La TIA-942, es la norma de infraestructura de

telecomunicaciones para Data Centers, la misma ofrece un

marco de orientación sobre el diagrama de distribución del

centro de datos.

Según la norma, un centro de datos debe tener las siguientes

áreas funcionales clave:

• Uno o más cuartos de entrada

• Un área de distribución principal (MDA, por sus siglas en

inglés: Main Distribution Area)

• Una o más áreas de distribución horizontal (HDA, por sus

siglas en inglés: Horizontal Distribution Areas)

• Un área de distribución de zona (ZDA, por sus siglas en

inglés: Zone Distribution Area)

• Un área de distribución de equipos

El cuarto de entrada alberga el equipo de los operadores de

telefonía y el punto de demarcación. Puede estar dentro del cuarto

de cómputo, pero la norma recomienda que esté en un cuarto

aparte por razones de seguridad. Si está ubicado en el cuarto de

cómputo, deberá estar consolidado dentro del área de distribución

principal.

El área de distribución principal alberga el punto de conexión cruzada central para el sistema de cableado estructurado del centro de datos.

Esta área debe estar ubicada en una zona central para evitar superar las distancias del cableado recomendadas y puede contener una conexión cruzada horizontal para un área de distribución de un equipo adyacente. La norma especifica racks separados para los cables de fibra, UTP y coaxial.

El área de distribución horizontal es la ubicación de las

interconexiones horizontales, el punto de distribución para el

cableado hacia las áreas de distribución de los equipos.

Puede haber una o más áreas de distribución horizontal, según el tamaño del centro de datos y las necesidades de cableado. Una directriz para un área de distribución horizontal especifica un máximo de 2000 cables UTP de 4 pares o terminaciones coaxiales. Como en el caso del área de distribución principal, la norma especifica racks separados para cables de fibra, UTP y coaxiales.

Es el área de cableado estructurado para los equipos que van en el suelo y no pueden aceptar paneles de parcheo. Como ejemplo, se puede citar a las computadoras centrales y los servidores.

Es la ubicación de los gabinetes y racks de equipos. La norma especifica que los gabinetes y racks se deben colocar en una configuración "hot aisle/cold aisle” (“pasillo caliente/pasillo frío”) para que disipen de manera eficaz el calor de los equipos electrónicos.

568-C.0: La Nueva

Generación de

Estándares de

Cableado

La clave para la administración de los cables en

el centro de datos óptimo es comprender que el

sistema de cableado es permanente y genérico.

Es como el sistema eléctrico, un servicio muy

confiable y flexible al que se puede conectar

cualquier aplicación nueva. Cuando está

diseñado con este concepto en mente, no es

difícil o perjudicial hacer adiciones o cambios.

La administración de los cables

comienza con los racks y gabinetes,

que deben brindar un amplio control

de cables horizontales y verticales.

Una administración adecuada no

sólo mantiene el cableado organizado,

sino que también mantiene los equipos

frescos al eliminar los obstáculos que

impiden el movimiento del aire.

Estas características de los

administradores de cables deben

proteger los cables, asegurar de que

no se excedan los límites del radio de

curvatura y manejar la holgura de los

cables con eficacia

Conviene hacer algunos cálculos para asegurarse de que

el rack o gabinete brinden la capacidad adecuada para

manejar los cables. Debajo se muestra la fórmula para UTP

categoría 6. El último cálculo (multiplicar por 1.3) se

hace para garantizar que el sistema de administración de

cables no supere el 70% de capacidad.

Fórmula: cables x 0.0625 pulgadas cuadradas (diámetro

del cable) x 1.30= necesidad de manejo de cable.

Ejemplo: 350 cables x 0.0625 x 1.30 = 28.44 pulgadas

cuadradas (administrador de cable mínimo de 6” x 6” o 4” x

8”)

¿Qué es un sistema de tendido de cable y rack ideal?

1. El FiberGuide® se monta en la parte superior de los racks de cables y

protege el cableado de fibra óptica.

2. Como las unidades Express Exits™ se pueden montar donde haga

falta, permiten una expansión flexible o la aparición de nuevos elementos

de red.


3. Se usan canales de cable superiores e inferiores para cables de

parcheo y puentes, y se usa un bastidor de cable superior para la

conexión a los equipos ubicados en todo el centro de datos.


4. El administrador de cable de riel de 8 pulgadas con control de cable

horizontal incorporado organiza los cables y ayuda a lograr tendidos y

rastreos de cables precisos.


5. Los racks están equipados con canales superiores de 3.5 pulgadas (2

unidades de rack) y canales inferiores de 7 pulgadas (4 unidades de

rack), que brindan espacio suficiente para el tendido de cable.


6. Se muestran administradores de cable verticales de ocho pulgadas. También hay disponibles administradores de cable de seis, diez y doce pulgadas para satisfacer mejor las necesidades de la instalación y aplicaciones del centro de datos.

Se conocen tres métodos para conectar equipos en el centro de datos: conexión directa, interconexión y conexión cruzada.

Sin embargo, sólo una - la conexión cruzada- cumple con el concepto de

un sistema de cableado como un servicio altamente confiable, flexible y permanente.

Conexión Directa

Interconexión

Con un sistema de parcheo de conexión cruzada centralizada, se pueden alcanzar

los requisitos de bajo costo y un servicio muy confiable. En esta estructura

simplificada, todos los elementos de la red tienen conexiones de cables de equipos

permanentes que se terminan una vez y no se vuelven a manejar nunca más.

Los técnicos aíslan elementos, conectan nuevos elementos, rastrean problemas y

realizan el mantenimiento y otras funciones usando conexiones de cable de

parcheo semipermanentes en el frente de un sistema de conexión cruzada

Conexión Cruzada

Ventajas de la CONEXIÓN CRUZADA

• Costos de operación más bajos: Comparada con otras propuestas, la conexión cruzada

reduce enormemente el tiempo que lleva agregar tarjetas, trasladar circuitos, modernizar

software y realizar mantenimiento.

• Confiabilidad y disponibilidad mejoradas: Las conexiones permanentes protegen los

cables de los equipos de la actividad cotidiana que puede deteriorarlos. Como los

movimientos, adiciones y cambios se realizan en campos de parcheo, en lugar de en los

paneles de conexión de equipos sensibles de ruteo y conmutación, los cambios en la red se

pueden realizar sin afectar el servicio. Con la capacidad para aislar los segmentos de red para

reparar averías y volver a tender circuitos mediante un simple parcheo, el personal del centro

de datos gana tiempo para realizar las reparaciones adecuadas durante horas normales en

lugar de hacerlas durante la noche o en turnos de fin de semana.

• Ventaja Competitiva: Un sistema de conexión cruzada permite hacer cambios rápidos a la

red. El activar nuevos servicios se logra al conectar un cordón de parcheo y no requiere de

una intensa mano de obra. Como resultado, las tarjetas se añaden a la red en minutos, en

lugar de horas reduciendo el tiempo, lo que permite obtener mayores ingresos y ofrecer una

ventaja competitiva – disponibilidad del servicio en forma más rápida.

Requerimientos

La electricidad es la parte vital de un centro de datos.

Un corte de energía de apenas una fracción de segundo es

suficiente para ocasionar una falla en el servidor. Para satisfacer

los exigentes requerimientos de disponibilidad de servicio, los

centros de datos hacen todo lo posible para garantizar un

suministro de energía confiable. Los procedimientos normales

incluyen:

• Dos o más alimentaciones de energía de la empresa de servicio

• Suministro de Alimentación Ininterrumpible (UPS, por sus siglas

en inglés: Uninterrupted power supplies)

• Circuitos múltiples para los sistemas de computo y

comunicaciones y para equipos de enfriamiento

• Generadores en-sitio

Las medidas que se tomen para evitar disrupciones

dependerá del nivel de fiabilidad requerido y, desde

luego, de los costos.

El Uptime Insitute, una organización dedicada a mejorar

el rendimiento de los centros de datos, ha desarrollado

un método de clasificación de centros de datos en

cuatro niveles: el nivel I brinda la menor fiabilidad y el

nivel IV, la mayor.

Los servidores, dispositivos de áreas de almacenamiento y los equipos de comunicación vienen cada vez más pequeños y potentes. La tendencia es usar más equipos en espacios más pequeños, y de esta forma se concentra una cantidad increíble de calor. Es un gran desafío ocuparse de este calor. Aunque sea una solución inicial, tener equipos de refrigeración adecuados es una buena forma para empezar a resolver el problema. La circulación de aire también es muy importante.

Para favorecer la circulación de aire, la industria ha adoptado un procedimiento conocido como “hot aisle/cold aisle” (“pasillo caliente/pasillo frío”).

En una configuración hot aisle/cold aisle, los racks de los equipos se disponen en filas alternas de pasillos calientes y fríos.

En el pasillo frío, los racks de los equipos se disponen frente a frente. En el pasillo caliente, están dorso contra dorso.

Activos, Estrategias y Políticas de Seguridad Informática. Análisis y Gestión de Riesgos.

• Riesgo = vulnerabilidades x amenazas

Factores que se consideraban fuentes de amenazas:

• Evolución mundial de las vulnerabilidades

• Incidentes más comunes denunciados por empresas:

• Las vulnerabilidades se disparan todos los

años:

• Las amenazas también aumentan: Cada vez es necesaria menos especialización y menos conocimiento técnico para llevar a cabo ataques, robar y/o modificar información o cometer fraudes. No sólo está disponible y al alcance de todos la información sobre los fallos y las vulnerabilidades sino que también lo están los “exploits” y las herramientas para llevar a cabo todo tipo de acciones.

Si además tenemos en cuenta que: 1. Hoy día todo esta conectado con todo 2. El número de usuarios de la red crece exponencialmente 3. Cada vez hay más sistemas y servicios en la red

Son ataques en los que se mezclan más de una técnica:

– DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, etc.

• Suelen ser de muy rápida propagación y siempre se basan en alguna vulnerabilidad de algún sistema.

Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo el planeta en cuestión de pocas horas

gracias a una mezcla de técnicas de “uso de vulnerabilidad”, Buffer Overflows, escaneado de

direcciones, transmisión vía Internet y mimetización en los sistemas.

Como curiosidad: el 75% de los ataques tienen como telón de fondo técnicas de Buffer Overflow

60

• ¿Cual es la información más valiosa que

manejamos?

La información asociada a nuestros clientes. La información asociado a nuestras ventas. La información asociada a nuestro personal. La información asociada a nuestros productos. La información asociada a nuestras operaciones.

61

• Pero si nunca paso nada!!.

– Esto no real.

– Lo que sucede es que hoy sabemos muy poco.

• La empresa necesita contar con información sobre la cual tomar decisiones a los efectos de establecer controles necesarios y eficaces.

62

Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Violación de la privacidad de los empleados

Fraudes informáticos

Destrucción de equipamiento

63

Captura de PC desde el exterior Violación de contraseñas

Interrupción de los servicios

Intercepción y modificación y violación de e-mails

Virus Mails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresos Propiedad de la información

Agujeros de seguridad de redes conectadas Falsificación de información

para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social

64

• Inadecuado compromiso de la dirección.

• Personal inadecuadamente capacitado y concientizado.

• Inadecuada asignación de responsabilidades.

• Ausencia de políticas/ procedimientos.

• Ausencia de controles

– (físicos/lógicos)

– (disuasivos/preventivos/detectivos/correctivos)

• Ausencia de reportes de incidentes y vulnerabilidades.

• Inadecuado seguimiento y monitoreo de los controles.

Son ataques en los que se intenta engañar a algún usuario para

hacerle creer como cierto, algo que no lo es.

• - Buenos días, ¿es la secretaria del Director del

Departamento?

• - Si dígame, ¿que desea?

• - Soy Pedro, técnico informático del Centro de Apoyo a

Usuarios y me han avisado para reparar un virus del

ordenador del director pero la clave que me han indicado

para entrar no es correcta, ¿podría ayudarme, por favor?

Otros ataques de este tipo son:

• SPAM

• Pishing

• Cajeros automáticos

• ETC.

• Existe un problema subyacente en la mente de TODOS los Directores de informática de las grandes compañías que nunca debemos olvidar si queremos tener éxito en la implantación de un sistema de seguridad:

“La compañía puede vivir sin seguridad pero no sin comunicaciones”

• Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar problemas que pueden no haberse producido aun puede generar problemas Nuevos, ese sistema NO SERA ACEPTADO.

• Los estándares actuales de cifrado de la información (AES, DES, RSA, MD5, etc.) son globalmente aceptados como buenos y suficientes en la mayoría de los casos, quedando su estudio reducidos a pocos entornos, Universidades, Fuerzas del Orden, Ministerios, etc.

• La criptografía capta la atención general pocas veces, pero cuando lo hace suele ser por algo serio, cuando algún protocolo y/o algoritmo es “reventado”. Por ejemplo, WEP, el cifrado que usan las redes WiFi basado en RC4 que puede ser descifrado si se consigue una captura de tráfico suficientemente grande.

68

• La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada.

• La información puede estar:

• Impresa o escrita en papel.

• Almacenada electrónicamente.

• Trasmitida por correo o medios electrónicos

• Mostrada en filmes.

• Hablada en conversación.

• Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.

VIDEO – NUESTRA WEB

Medidas de seguridad lógica y física

Implantación de un SGSI

70

• ¿QUÉ ES?

• ¿CUÁL ES SU FUNCIÓN?

• I1 ¿Qué impacto tendría la pérdida de

información? (sin que se pudiera recuperar de

ninguna forma).

• I2 ¿Qué impacto tendría que la información

contenga errores?

• D1 Interrupción de la prestación de servicios o

procesos de negocio hasta 1 día.


procesos de negocio hasta 1 semana.


procesos de negocio hasta 2 semanas.

• C1 ¿Qué impacto tendría la divulgación de los

datos internamente?

• C2 ¿Qué impacto tendría la divulgación de los

datos externamente?

74

• El sistema de gestión de la seguridad de la información (SGSI) es una parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: – establecer,

– implementar,

– operar,

– monitorear,

– mantener y mejorar la seguridad de la información.

• Incluye. – Estructura, políticas, actividades, responsabilidades,

prácticas, procedimientos, procesos y recuerdos.

Escala Valoración

Insignificante (1) El incidente no supone daño a la imagen de la entidad.

Menor (2) Afecta negativamente a las relaciones con otras partes de la organización

Dañino (3) Afecta negativamente a las relaciones con el público u otras organizaciones en el entorno cercano

Severo (4) Supone un daño en la imagen de la Entidad que provoca publicidad negativa recogida a nivel de nacional que obliga a la entidad a restaurar su imagen mediante acciones publicitarias.

Crítico (5) Supone un daño en la imagen de la Entidad que provoca publicidad negativa recogida a nivel de nacional que obliga a la entidad a restaurar su imagen aclarando su situación ante la opinión pública.

Escala Valoración

Insignificante (1) El incidente genera molestias o daños que podrían suponer una infracción según el código disciplinario de la Entidad.

Menor (2) El incidente ocasiona daños que podrían suponer una multa o sanción para la entidad.

Dañino (3) Los hechos producidos serán sancionados con una cuantía relevante y podrían suponer la paralización de parte de la actividad de la Entidad objeto de la sanción.

Severo (4) Probablemente cause un incumplimiento excepcionalmente grave que será objeto de una multa de cuantía relevante y pueda suponer el cese total de las actividades de la Entidad.

Crítico (5) Los hechos ocurridos serán objeto de multa de cuantía elevada, puede suponer el cese total de la actividad de la Entidad.

Escala Valoración

Insignificante (1) El incidente no supone la paralización de servicios o actividades que afecten al rendimiento del área o departamento.

Menor (2) El incidente puede suponer la paralización temporal de servicios o actividades que pudiera afectar al funcionamiento de una parte de la organización.

Dañino (3) El incidente paraliza temporalmente la actividad dañando sustancialmente la gestión de la organización y sus actividades.

Severo (4) El incidente pudiera causar la interrupción total del servicio o actividad afectando a la Entidad.

Crítico (5) El incidente afecta los servicios de otras entidades, impidiendo temporal o definitivamente la continuidad del negocio.

• El ataque que más preocupa hoy en día a las grandes organizaciones, sobre todo en el sector de banca online es, con diferencia, el “PISHING”:

82

Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

Planificar

Verificar Hacer

Actuar

Partes

Interesadas

Establecer el SGSI

Implementar y

operar el SGSI

Monitorear el SGSI

Mantener y Mejorar el

SGSI

Partes

Interesadas

Requisitos y

expectativas Seguridad

Gestionada

83

• El SGSI adopta el siguiente modelo:

PDCA

Planificar

Verificar

Hacer

Actuar

Definir la política de seguridad

Establecer el alcance del SGSI

Realizar los análisis de riesgos

Seleccionar los controles

Implantar el plan de gestión de riesgos

Implantar el SGSI

Implantar los controles.

Implantar indicadores.

Revisiones del SGSI por parte de

la Dirección.

Realizar auditorías internas del SGSI

Adoptar acciones correctivas

Adoptar acciones preventivas

86

• Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización.

• Definir el alcance del SGSI a la luz de la

organización.

• Definir la Política de Seguridad.

• Aplicar un enfoque sistémico para evaluar

el riesgo.

87

• Identificar y evaluar opciones para tratar el riesgo

– Mitigar, eliminar, transferir, aceptar

• Seleccionar objetivos de Control y controles a implementar

(Mitigar).

– A partir de los controles definidos por la ISO/IEC

17799

• Establecer enunciado de aplicabilidad

88

• Implementar y operar la política de seguridad, controles, procesos y procedimientos.

• Implementar plan de tratamiento de riesgos.

– Transferir, eliminar, aceptar

• Implementar los controles seleccionados.

– Mitigar

• Aceptar riesgo residual.

– Firma de la alta dirección para riesgos que superan el nivel definido.

89

• Implementar medidas para evaluar la eficacia de los

controles

• Gestionar operaciones y recursos.

• Implementar programas de Capacitación y concientización.

• Implementar procedimientos y controles de detección y

respuesta a incidentes.

90

• Evaluar y medir la performance de los procesos contra la política de seguridad, los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión.

– Revisar el nivel de riesgo residual aceptable, considerando:

• Cambios en la organización. • Cambios en la tecnologías. • Cambios en los objetivos del negocio. • Cambios en las amenazas. • Cambios en las condiciones externas (ej. Regulaciones,

leyes).

– Realizar auditorias internas. – Realizar revisiones por parte de la dirección del

SGSI.

91

• Se debe establecer y ejecutar procedimientos de monitoreo para:

• Detectar errores.

• Identificar ataques a la seguridad fallidos y exitosos.

• Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.

• Determinar las acciones realizadas para resolver brechas a la seguridad.

• Mantener registros de las acciones y eventos que pueden impactar al SGSI.

• Realizar revisiones regulares a la eficiencia del SGSI.

92

• Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.

– Medir el desempeño del SGSI.

– Identificar mejoras en el SGSI a fin de implementarlas.

– Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).

– Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.

– Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

93

MANUAL DE SEGURIDAD

Describe el sistema de gestión de la seguridad

PROCEDIMIENTOS DOCUMENTADOS EXIGIDOS

POR LA NORMA

Describe los procesos y las actividades

REGISTROS

Son evidencias objetivas de la ejecución de procesos, actividades o tareas

OTROS DOCUMENTOS DEL SGSI

(INSTRUCCIONES DE TRABAJO, FORMULARIOS, ESPECIFICACIONES Y OTROS)

Describe tareas y requisitos

1. Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. 2. Planificación, fechas, responsables: como en todo proyecto de envergadura, el

tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

3. Definir alcance del SGSI: según el modelo organizativo, definir los límites del

marco de dirección de seguridad de la información. 4. Definir política de seguridad: que incluya el marco general y los objetivos de

seguridad de la información de la organización.

5. Inventario de activos: todos aquellos afectados por la seguridad de la información. 6. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. 7. Análisis de riesgos: evaluar el daño resultante de un fallo de seguridad y la

probabilidad de ocurrencia del fallo. 8. Selección de controles. 9. Definir plan de tratamiento de riesgos: que identifique las acciones, sus

responsables y las prioridades en la gestión de los riesgos. 10. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos

de control identificados.

11. Implementar los controles: todos los que se determinaron en la fase anterior. 12. Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información. 13. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e

instrucciones. 14. Gestionar todos los recursos asignados al SGSI. 15. Revisar el SGSI: Identificar mejoras al proceso del SGSI, identificar nuevas

vulnerabilidades, revisar cambios organizativos y modificar procedimientos. 16 .Realizar auditorías internas del SGSI: para determinar la efectividad del SGSI y

detectar posibles no conformidades.

99

• La norma establece requisitos para Establecer, Implementar y Documentar un SGSI.

– Definir el alcance del SGSI (fronteras)

– Definir una política de seguridad

– Identificar activos

– Realizar el análisis de riesgos de activos.

– Identificar las áreas débiles de los activo

– Tomar decisiones para manejar el riesgo

– Seleccionar los controles apropiados

– Implementar y manejar los controles seleccionados

– Elaborar la declaración de aplicabilidad

100

• Para obtener la certificación.

• Revisar conformidad con la norma (ISO/IEC 27001)

• Revisar grado de puesta en práctica del sistema

• Revisar la eficacia y adecuación en el cumplimiento de:

– Política de seguridad

– Objetivos de seguridad

• Identificar las fallas y debilidades en la seguridad

• Proporcionar una oportunidad para mejorar el SGSI

• Cumplir requisitos contractuales.

• Cumplir requisitos regulatorios.

101

• La certificación no implica que la organización a obtenido determinado niveles de seguridad de la información para sus productos y/o servicios.

• Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la información, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios.

• Procesos análogos a los de las normas ISO 9001 e ISO 14000.

• Certificado con duración de 3 años.

102

• En cada País

– Actualmente en proceso de homologación por las instituciones locales.

– Opciones: • (Ej. Uruguay) UNIT/ISO/IEC 27001:2006

• (Ej. España) AENOR UNE 71502

• ISO/IEC 27001.

• Internacionalmente

– El más amplio reconocimiento.

– Ampliamente reconocida a nivel profesional.

– Estándar de la industria.

– Requerida por importantes empresas

a sus Proveedores.

Profesor: Franz Troche Araujoecaths1.s3.amazonaws.com/seguridadinformatica/207190887.SEGURID… ·...

Documents

Transcript of Profesor: Franz Troche Araujoecaths1.s3.amazonaws.com/seguridadinformatica/207190887.SEGURID… ·...