La Libertad de Prensa y La Constitución Nacional Florencio Troche
Profesor: Franz Troche Araujoecaths1.s3.amazonaws.com/seguridadinformatica/207190887.SEGURID… ·...
Transcript of Profesor: Franz Troche Araujoecaths1.s3.amazonaws.com/seguridadinformatica/207190887.SEGURID… ·...
Profesor: Franz Troche Araujo Magister en Telecomunicaciones Especialista en Redes y Telemática
Asignatura:
Objeto de Estudio:
El resguardo Integral de los activos tecnológicos
Evaluación Diagnóstica: Actividad: Evaluación de conocimientos previos Ponderación: 0% Evaluación Formativa: Actividad: Ej.:Ensayos, Prácticas. Ponderación: 20% Actividad Final: Ponderación: 60% Desarrollo Humano: Participación en Web y Clase + Asistencia: 20% Evaluación Sumativa: Total Acumulado: 100%
En lo particular:
La asignatura ofrece a los estudiantes la oportunidad de familiarizarse y reflexionar sobre la responsabilidad del manejo adecuado de la información y sobre todo su resguardo en bien de la organización.
Desde el punto de vista del campo profesional de aplicación, la asignatura pretende ilustrar en el estudiante, aquellos escenarios reales donde se haya ejecutado procesos seguros tanto en el aspecto lógico como físico; donde deba analizar y evaluar los objetivamente los pormenores que conforma el flujo de la información desde el punto de vista preventivo y correctivo.
En este entendido, la asignatura está diseñada para que el estudiante adquiera una base de conocimiento, habilidades, destrezas y actitudes específicas que le permita afrontar con eficacia situaciones de Seguridad Informática en contextos de alto nivel de complejidad.
En lo general:
La presente asignatura aporta significativamente a los objetivos del programa de postgrado ya que fija las bases conceptuales y prácticas, necesarias para afrontar las siguientes asignaturas del programa.
Nuestra intención es enriquecer la experiencia de aprender con ayuda de las TICs.
www.SeguridadInformatica.ecaths.com
• Aspectos de seguridad para los sistemas
– La seguridad es parte de una conversión exitosa.
– No hay nada como un sistema totalmente seguro.
– Las acciones de los analistas y usuarios pretenden mover
los sistemas hacia el lado mas seguro del espectro
disminuyendo la vulnerabilidad.
– La seguridad es responsabilidad de todos aquellos que
estén en contacto con el sistema.
• Aspectos de seguridad para
los sistemas
–Tiene tres aspectos
interrelacionados:
• Físico.
• Lógico.
• Conductual.
• Aspectos de seguridad para los sistemas
– Seguridad Física: Se refiere a proteger el sitio
donde se encuentra la computadora, su equipo y
software a través de medios físicos.
• Acceso controlado a las salas de cómputo:
» Códigos de acceso (biometría, código de barras, etc.)
» Control de acceso (Registro manual)
» Supervisión (Circuito cerrado )
• Almacén de datos en lugares seguros.
» A prueba de fuego.
» A prueba de agua.
• Aspectos de seguridad para los sistemas
– Seguridad Física:
• El equipo pequeño se debe asegurar.
• Garantizar el suministro de energía eléctrica ininterrumpido.
• Alarmas que notifican situaciones de fuego, inundación o
intrusión deben estar funcionando en todo momento.
• El analista debe tomar las decisiones acerca de la
seguridad física cuando esté planeando la las instalaciones
de cómputo y la compra de equipo.
• Aspectos de seguridad para los sistemas
– Seguridad Lógica: Se refiere a los controles lógicos
dentro del mismo software.
• Los controles lógicos más familiares para la mayoría de los
usuarios son contraseñas y códigos de autorización de
algún tipo. Cuando son usados permiten que el usuario con
la contraseña correcta entre al sistema o a una parte
particular de este.
• Aspectos de seguridad para los sistemas
– Seguridad Lógica:
• Sin embargo, las contraseñas son tratadas desdeñosamente
o de manera descuidad en muchas organizaciones:
Los empleados gritan una contraseña dentro de las oficinas
Escriben las contraseñas en papeles pegados a sus terminales
Comparten contraseñas personales con empleados
autorizados que han olvidado la suya.
• El software de encriptación especial se ha desarrollado para
proteger las transacciones comerciales en la WEB.
• Uso de firewall.
• Aspectos de seguridad para los sistemas
– Seguridad Lógica:
• Todavía no hay ninguna forma totalmente integrada de
solucionar los problemas de seguridad con las redes interna
y externas.
• Los controles lógicos y físicos son importantes, pero
claramente no son suficientes para proporcionar una
seguridad adecuada. También se necesitan cambios de
comportamiento
• Aspectos de seguridad para los sistemas
– Seguridad Conductual: Las expectativas de
comportamiento de una organización están
codificadas en sus manuales de política y hasta en
signos puestos en tableros de noticias.
• Pero el comportamiento que tienen internamente los
miembros de la organización también es critico para el éxito
de los esfuerzos de seguridad.
• Los firewall fallan cundo los ataques son internos.
• Aspectos de seguridad para los sistemas
– Seguridad Conductual:
• La seguridad puede comenzar por investigar a los
empleados que eventualmente tendrán acceso a
las computadoras, datos e información, para
asegurarse de que sus intereses sean
consistentes con los de la organización y que
comprenden completamente la importancia de
llevar a cabo procedimientos de seguridad.
• Aspectos de seguridad para los sistemas
– Seguridad Conductual:
• Las políticas que se refieren a seguridad deben
ser escritas, distribuidas y actualizadas por que
los empleados estén totalmente conscientes de las
expectativas y responsabilidades.
• Aquí es donde el analista de sistemas tendrá
contacto por primera vez con los aspectos de
comportamiento de la seguridad.
• Aspectos de seguridad para los sistemas
– Seguridad Conductual:
• Parte de la faceta de comportamiento de
seguridad es monitorear el comportamiento a
intervalos irregulares para asegurarse de que se
estén siguiendo los procedimientos adecuados y
para corregir cualquier comportamiento que los
haya erosionado con el tiempo.
• Aspectos de seguridad para los sistemas
– Seguridad Conductual:
• Registrar la cantidad de intentos de registro no satisfactorios de los usuarios es una forma de monitorear si usuarios no autorizados están tratando de registrarse en el sistema.
• Se recomienda el inventario periódico y frecuente de equipo y software.
• Se deben examinar sesiones extrañamente largas o el acceso después de horas de trabajo no típico al sistema.
• Aspectos de seguridad para los sistemas
– Seguridad Conductual:
• Los empleados deben entender lo que se espera
claramente de ellos, lo que se prohíbe y lla
magnitud de sus derechos y responsabilidades.
• Aspectos de seguridad para los sistemas
– Seguridad Conductual:
• La salida generada por el sistema debe ser reconocida por su potencial de poner la organización en riesgo en algunas circunstancias.
• Los controles de la salida incluyen pantallas que solo pueden ser accesadas por medio de contraseñas, clasificación de información (esto es, a quien se le puede distribuir y cuando) y almacenamiento seguro de documentos impresos y almacenados magnéticamente.
• Aspectos de seguridad para los sistemas
– Seguridad Conductual:
• En algunos casos se debe hacer provisiones para la destrucción de documentos que son clasificados o propios.
• Se pueden contratar servicios de destrucción o pulverización de una empresa externa, por una cuota, que destruirán medios magnéticos, cartuchos de maquinas de escribir e impresoras y papel.
El Data Center es un recurso clave
Muchas organizaciones simplemente paran cuando sus empleados y clientes no pueden acceder a los servidores, sistemas de almacenaje y dispositivos de red que residen ahí.
Literalmente, algunas empresas, como grandes bancos, líneas aéreas, empresas de internet y agentes de bolsa en línea, pueden perder millones de dólares en una sola hora de tiempo de inactividad. Dadas estas consecuencias, un atributo clave del centro de datos es la confiabilidad.
Otro es la flexibilidad; las necesidades del futuro tal vez no sean las mismas que las actuales. Los avances tecnológicos, las reestructuraciones organizativas e incluso los cambios en la sociedad en general pueden imponer nuevas exigencias.
La TIA-942, es la norma de infraestructura de
telecomunicaciones para Data Centers, la misma ofrece un
marco de orientación sobre el diagrama de distribución del
centro de datos.
Según la norma, un centro de datos debe tener las siguientes
áreas funcionales clave:
• Uno o más cuartos de entrada
• Un área de distribución principal (MDA, por sus siglas en
inglés: Main Distribution Area)
• Una o más áreas de distribución horizontal (HDA, por sus
siglas en inglés: Horizontal Distribution Areas)
• Un área de distribución de zona (ZDA, por sus siglas en
inglés: Zone Distribution Area)
• Un área de distribución de equipos
El cuarto de entrada alberga el equipo de los operadores de
telefonía y el punto de demarcación. Puede estar dentro del cuarto
de cómputo, pero la norma recomienda que esté en un cuarto
aparte por razones de seguridad. Si está ubicado en el cuarto de
cómputo, deberá estar consolidado dentro del área de distribución
principal.
El área de distribución principal alberga el punto de conexión cruzada central para el sistema de cableado estructurado del centro de datos.
Esta área debe estar ubicada en una zona central para evitar superar las distancias del cableado recomendadas y puede contener una conexión cruzada horizontal para un área de distribución de un equipo adyacente. La norma especifica racks separados para los cables de fibra, UTP y coaxial.
El área de distribución horizontal es la ubicación de las
interconexiones horizontales, el punto de distribución para el
cableado hacia las áreas de distribución de los equipos.
Puede haber una o más áreas de distribución horizontal, según el tamaño del centro de datos y las necesidades de cableado. Una directriz para un área de distribución horizontal especifica un máximo de 2000 cables UTP de 4 pares o terminaciones coaxiales. Como en el caso del área de distribución principal, la norma especifica racks separados para cables de fibra, UTP y coaxiales.
Es el área de cableado estructurado para los equipos que van en el suelo y no pueden aceptar paneles de parcheo. Como ejemplo, se puede citar a las computadoras centrales y los servidores.
Es la ubicación de los gabinetes y racks de equipos. La norma especifica que los gabinetes y racks se deben colocar en una configuración "hot aisle/cold aisle” (“pasillo caliente/pasillo frío”) para que disipen de manera eficaz el calor de los equipos electrónicos.
La clave para la administración de los cables en
el centro de datos óptimo es comprender que el
sistema de cableado es permanente y genérico.
Es como el sistema eléctrico, un servicio muy
confiable y flexible al que se puede conectar
cualquier aplicación nueva. Cuando está
diseñado con este concepto en mente, no es
difícil o perjudicial hacer adiciones o cambios.
La administración de los cables
comienza con los racks y gabinetes,
que deben brindar un amplio control
de cables horizontales y verticales.
Una administración adecuada no
sólo mantiene el cableado organizado,
sino que también mantiene los equipos
frescos al eliminar los obstáculos que
impiden el movimiento del aire.
Estas características de los
administradores de cables deben
proteger los cables, asegurar de que
no se excedan los límites del radio de
curvatura y manejar la holgura de los
cables con eficacia
Conviene hacer algunos cálculos para asegurarse de que
el rack o gabinete brinden la capacidad adecuada para
manejar los cables. Debajo se muestra la fórmula para UTP
categoría 6. El último cálculo (multiplicar por 1.3) se
hace para garantizar que el sistema de administración de
cables no supere el 70% de capacidad.
Fórmula: cables x 0.0625 pulgadas cuadradas (diámetro
del cable) x 1.30= necesidad de manejo de cable.
Ejemplo: 350 cables x 0.0625 x 1.30 = 28.44 pulgadas
cuadradas (administrador de cable mínimo de 6” x 6” o 4” x
8”)
¿Qué es un sistema de tendido de cable y rack ideal?
1. El FiberGuide® se monta en la parte superior de los racks de cables y
protege el cableado de fibra óptica.
2. Como las unidades Express Exits™ se pueden montar donde haga
falta, permiten una expansión flexible o la aparición de nuevos elementos
de red.
¿Qué es un sistema de tendido de cable y rack ideal?
3. Se usan canales de cable superiores e inferiores para cables de
parcheo y puentes, y se usa un bastidor de cable superior para la
conexión a los equipos ubicados en todo el centro de datos.
¿Qué es un sistema de tendido de cable y rack ideal?
4. El administrador de cable de riel de 8 pulgadas con control de cable
horizontal incorporado organiza los cables y ayuda a lograr tendidos y
rastreos de cables precisos.
¿Qué es un sistema de tendido de cable y rack ideal?
5. Los racks están equipados con canales superiores de 3.5 pulgadas (2
unidades de rack) y canales inferiores de 7 pulgadas (4 unidades de
rack), que brindan espacio suficiente para el tendido de cable.
¿Qué es un sistema de tendido de cable y rack ideal?
6. Se muestran administradores de cable verticales de ocho pulgadas. También hay disponibles administradores de cable de seis, diez y doce pulgadas para satisfacer mejor las necesidades de la instalación y aplicaciones del centro de datos.
Se conocen tres métodos para conectar equipos en el centro de datos: conexión directa, interconexión y conexión cruzada.
Sin embargo, sólo una - la conexión cruzada- cumple con el concepto de
un sistema de cableado como un servicio altamente confiable, flexible y permanente.
Conexión Directa
Interconexión
Con un sistema de parcheo de conexión cruzada centralizada, se pueden alcanzar
los requisitos de bajo costo y un servicio muy confiable. En esta estructura
simplificada, todos los elementos de la red tienen conexiones de cables de equipos
permanentes que se terminan una vez y no se vuelven a manejar nunca más.
Los técnicos aíslan elementos, conectan nuevos elementos, rastrean problemas y
realizan el mantenimiento y otras funciones usando conexiones de cable de
parcheo semipermanentes en el frente de un sistema de conexión cruzada
Conexión Cruzada
Ventajas de la CONEXIÓN CRUZADA
• Costos de operación más bajos: Comparada con otras propuestas, la conexión cruzada
reduce enormemente el tiempo que lleva agregar tarjetas, trasladar circuitos, modernizar
software y realizar mantenimiento.
• Confiabilidad y disponibilidad mejoradas: Las conexiones permanentes protegen los
cables de los equipos de la actividad cotidiana que puede deteriorarlos. Como los
movimientos, adiciones y cambios se realizan en campos de parcheo, en lugar de en los
paneles de conexión de equipos sensibles de ruteo y conmutación, los cambios en la red se
pueden realizar sin afectar el servicio. Con la capacidad para aislar los segmentos de red para
reparar averías y volver a tender circuitos mediante un simple parcheo, el personal del centro
de datos gana tiempo para realizar las reparaciones adecuadas durante horas normales en
lugar de hacerlas durante la noche o en turnos de fin de semana.
• Ventaja Competitiva: Un sistema de conexión cruzada permite hacer cambios rápidos a la
red. El activar nuevos servicios se logra al conectar un cordón de parcheo y no requiere de
una intensa mano de obra. Como resultado, las tarjetas se añaden a la red en minutos, en
lugar de horas reduciendo el tiempo, lo que permite obtener mayores ingresos y ofrecer una
ventaja competitiva – disponibilidad del servicio en forma más rápida.
Requerimientos
La electricidad es la parte vital de un centro de datos.
Un corte de energía de apenas una fracción de segundo es
suficiente para ocasionar una falla en el servidor. Para satisfacer
los exigentes requerimientos de disponibilidad de servicio, los
centros de datos hacen todo lo posible para garantizar un
suministro de energía confiable. Los procedimientos normales
incluyen:
• Dos o más alimentaciones de energía de la empresa de servicio
• Suministro de Alimentación Ininterrumpible (UPS, por sus siglas
en inglés: Uninterrupted power supplies)
• Circuitos múltiples para los sistemas de computo y
comunicaciones y para equipos de enfriamiento
• Generadores en-sitio
Las medidas que se tomen para evitar disrupciones
dependerá del nivel de fiabilidad requerido y, desde
luego, de los costos.
El Uptime Insitute, una organización dedicada a mejorar
el rendimiento de los centros de datos, ha desarrollado
un método de clasificación de centros de datos en
cuatro niveles: el nivel I brinda la menor fiabilidad y el
nivel IV, la mayor.
Los servidores, dispositivos de áreas de almacenamiento y los equipos de comunicación vienen cada vez más pequeños y potentes. La tendencia es usar más equipos en espacios más pequeños, y de esta forma se concentra una cantidad increíble de calor. Es un gran desafío ocuparse de este calor. Aunque sea una solución inicial, tener equipos de refrigeración adecuados es una buena forma para empezar a resolver el problema. La circulación de aire también es muy importante.
Para favorecer la circulación de aire, la industria ha adoptado un procedimiento conocido como “hot aisle/cold aisle” (“pasillo caliente/pasillo frío”).
En una configuración hot aisle/cold aisle, los racks de los equipos se disponen en filas alternas de pasillos calientes y fríos.
En el pasillo frío, los racks de los equipos se disponen frente a frente. En el pasillo caliente, están dorso contra dorso.
• Las amenazas también aumentan: Cada vez es necesaria menos especialización y menos conocimiento técnico para llevar a cabo ataques, robar y/o modificar información o cometer fraudes. No sólo está disponible y al alcance de todos la información sobre los fallos y las vulnerabilidades sino que también lo están los “exploits” y las herramientas para llevar a cabo todo tipo de acciones.
Si además tenemos en cuenta que: 1. Hoy día todo esta conectado con todo 2. El número de usuarios de la red crece exponencialmente 3. Cada vez hay más sistemas y servicios en la red
Son ataques en los que se mezclan más de una técnica:
– DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, etc.
• Suelen ser de muy rápida propagación y siempre se basan en alguna vulnerabilidad de algún sistema.
Por ejemplo los gusanos Blaster, Sasser, o Slammer se propagaron por todo el planeta en cuestión de pocas horas
gracias a una mezcla de técnicas de “uso de vulnerabilidad”, Buffer Overflows, escaneado de
direcciones, transmisión vía Internet y mimetización en los sistemas.
Como curiosidad: el 75% de los ataques tienen como telón de fondo técnicas de Buffer Overflow
60
• ¿Cual es la información más valiosa que
manejamos?
La información asociada a nuestros clientes. La información asociado a nuestras ventas. La información asociada a nuestro personal. La información asociada a nuestros productos. La información asociada a nuestras operaciones.
61
• Pero si nunca paso nada!!.
– Esto no real.
– Lo que sucede es que hoy sabemos muy poco.
• La empresa necesita contar con información sobre la cual tomar decisiones a los efectos de establecer controles necesarios y eficaces.
62
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
63
Captura de PC desde el exterior Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
Virus Mails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos Propiedad de la información
Agujeros de seguridad de redes conectadas Falsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
64
• Inadecuado compromiso de la dirección.
• Personal inadecuadamente capacitado y concientizado.
• Inadecuada asignación de responsabilidades.
• Ausencia de políticas/ procedimientos.
• Ausencia de controles
– (físicos/lógicos)
– (disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.
• Inadecuado seguimiento y monitoreo de los controles.
Son ataques en los que se intenta engañar a algún usuario para
hacerle creer como cierto, algo que no lo es.
• - Buenos días, ¿es la secretaria del Director del
Departamento?
• - Si dígame, ¿que desea?
• - Soy Pedro, técnico informático del Centro de Apoyo a
Usuarios y me han avisado para reparar un virus del
ordenador del director pero la clave que me han indicado
para entrar no es correcta, ¿podría ayudarme, por favor?
Otros ataques de este tipo son:
• SPAM
• Pishing
• Cajeros automáticos
• ETC.
• Existe un problema subyacente en la mente de TODOS los Directores de informática de las grandes compañías que nunca debemos olvidar si queremos tener éxito en la implantación de un sistema de seguridad:
“La compañía puede vivir sin seguridad pero no sin comunicaciones”
• Si un sistema de seguridad, por muy maravilloso que sea, destinado a evitar problemas que pueden no haberse producido aun puede generar problemas Nuevos, ese sistema NO SERA ACEPTADO.
• Los estándares actuales de cifrado de la información (AES, DES, RSA, MD5, etc.) son globalmente aceptados como buenos y suficientes en la mayoría de los casos, quedando su estudio reducidos a pocos entornos, Universidades, Fuerzas del Orden, Ministerios, etc.
• La criptografía capta la atención general pocas veces, pero cuando lo hace suele ser por algo serio, cuando algún protocolo y/o algoritmo es “reventado”. Por ejemplo, WEP, el cifrado que usan las redes WiFi basado en RC4 que puede ser descifrado si se consigue una captura de tráfico suficientemente grande.
68
• La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
VIDEO – NUESTRA WEB
• I1 ¿Qué impacto tendría la pérdida de
información? (sin que se pudiera recuperar de
ninguna forma).
• I2 ¿Qué impacto tendría que la información
contenga errores?
• D1 Interrupción de la prestación de servicios o
procesos de negocio hasta 1 día.
• D2 Interrupción de la prestación de servicios o
procesos de negocio hasta 1 semana.
• D3 Interrupción de la prestación de servicios o
procesos de negocio hasta 2 semanas.
• C1 ¿Qué impacto tendría la divulgación de los
datos internamente?
• C2 ¿Qué impacto tendría la divulgación de los
datos externamente?
74
• El sistema de gestión de la seguridad de la información (SGSI) es una parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: – establecer,
– implementar,
– operar,
– monitorear,
– mantener y mejorar la seguridad de la información.
• Incluye. – Estructura, políticas, actividades, responsabilidades,
prácticas, procedimientos, procesos y recuerdos.
Escala Valoración
Insignificante (1) El incidente no supone daño a la imagen de la entidad.
Menor (2) Afecta negativamente a las relaciones con otras partes de la organización
Dañino (3) Afecta negativamente a las relaciones con el público u otras organizaciones en el entorno cercano
Severo (4) Supone un daño en la imagen de la Entidad que provoca publicidad negativa recogida a nivel de nacional que obliga a la entidad a restaurar su imagen mediante acciones publicitarias.
Crítico (5) Supone un daño en la imagen de la Entidad que provoca publicidad negativa recogida a nivel de nacional que obliga a la entidad a restaurar su imagen aclarando su situación ante la opinión pública.
Escala Valoración
Insignificante (1) El incidente genera molestias o daños que podrían suponer una infracción según el código disciplinario de la Entidad.
Menor (2) El incidente ocasiona daños que podrían suponer una multa o sanción para la entidad.
Dañino (3) Los hechos producidos serán sancionados con una cuantía relevante y podrían suponer la paralización de parte de la actividad de la Entidad objeto de la sanción.
Severo (4) Probablemente cause un incumplimiento excepcionalmente grave que será objeto de una multa de cuantía relevante y pueda suponer el cese total de las actividades de la Entidad.
Crítico (5) Los hechos ocurridos serán objeto de multa de cuantía elevada, puede suponer el cese total de la actividad de la Entidad.
Escala Valoración
Insignificante (1) El incidente no supone la paralización de servicios o actividades que afecten al rendimiento del área o departamento.
Menor (2) El incidente puede suponer la paralización temporal de servicios o actividades que pudiera afectar al funcionamiento de una parte de la organización.
Dañino (3) El incidente paraliza temporalmente la actividad dañando sustancialmente la gestión de la organización y sus actividades.
Severo (4) El incidente pudiera causar la interrupción total del servicio o actividad afectando a la Entidad.
Crítico (5) El incidente afecta los servicios de otras entidades, impidiendo temporal o definitivamente la continuidad del negocio.
• El ataque que más preocupa hoy en día a las grandes organizaciones, sobre todo en el sector de banca online es, con diferencia, el “PISHING”:
• El ataque que más preocupa hoy en día a las grandes organizaciones, sobre todo en el sector de banca online es, con diferencia, el “PISHING”:
82
Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.
Planificar
Verificar Hacer
Actuar
Partes
Interesadas
Establecer el SGSI
Implementar y
operar el SGSI
Monitorear el SGSI
Mantener y Mejorar el
SGSI
Partes
Interesadas
Requisitos y
expectativas Seguridad
Gestionada
83
• El SGSI adopta el siguiente modelo:
PDCA
Planificar
Verificar
Hacer
Actuar
Definir la política de seguridad
Establecer el alcance del SGSI
Realizar los análisis de riesgos
Seleccionar los controles
Implantar el plan de gestión de riesgos
Implantar el SGSI
Implantar los controles.
Implantar indicadores.
Revisiones del SGSI por parte de
la Dirección.
Realizar auditorías internas del SGSI
Adoptar acciones correctivas
Adoptar acciones preventivas
86
• Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización.
• Definir el alcance del SGSI a la luz de la
organización.
• Definir la Política de Seguridad.
• Aplicar un enfoque sistémico para evaluar
el riesgo.
87
• Identificar y evaluar opciones para tratar el riesgo
– Mitigar, eliminar, transferir, aceptar
• Seleccionar objetivos de Control y controles a implementar
(Mitigar).
– A partir de los controles definidos por la ISO/IEC
17799
• Establecer enunciado de aplicabilidad
88
• Implementar y operar la política de seguridad, controles, procesos y procedimientos.
• Implementar plan de tratamiento de riesgos.
– Transferir, eliminar, aceptar
• Implementar los controles seleccionados.
– Mitigar
• Aceptar riesgo residual.
– Firma de la alta dirección para riesgos que superan el nivel definido.
89
• Implementar medidas para evaluar la eficacia de los
controles
• Gestionar operaciones y recursos.
• Implementar programas de Capacitación y concientización.
• Implementar procedimientos y controles de detección y
respuesta a incidentes.
90
• Evaluar y medir la performance de los procesos contra la política de seguridad, los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión.
– Revisar el nivel de riesgo residual aceptable, considerando:
• Cambios en la organización. • Cambios en la tecnologías. • Cambios en los objetivos del negocio. • Cambios en las amenazas. • Cambios en las condiciones externas (ej. Regulaciones,
leyes).
– Realizar auditorias internas. – Realizar revisiones por parte de la dirección del
SGSI.
91
• Se debe establecer y ejecutar procedimientos de monitoreo para:
• Detectar errores.
• Identificar ataques a la seguridad fallidos y exitosos.
• Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.
• Determinar las acciones realizadas para resolver brechas a la seguridad.
• Mantener registros de las acciones y eventos que pueden impactar al SGSI.
• Realizar revisiones regulares a la eficiencia del SGSI.
92
• Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.
– Medir el desempeño del SGSI.
– Identificar mejoras en el SGSI a fin de implementarlas.
– Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).
– Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.
– Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
93
MANUAL DE SEGURIDAD
Describe el sistema de gestión de la seguridad
PROCEDIMIENTOS DOCUMENTADOS EXIGIDOS
POR LA NORMA
Describe los procesos y las actividades
REGISTROS
Son evidencias objetivas de la ejecución de procesos, actividades o tareas
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO, FORMULARIOS, ESPECIFICACIONES Y OTROS)
Describe tareas y requisitos
1. Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. 2. Planificación, fechas, responsables: como en todo proyecto de envergadura, el
tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
3. Definir alcance del SGSI: según el modelo organizativo, definir los límites del
marco de dirección de seguridad de la información. 4. Definir política de seguridad: que incluya el marco general y los objetivos de
seguridad de la información de la organización.
5. Inventario de activos: todos aquellos afectados por la seguridad de la información. 6. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. 7. Análisis de riesgos: evaluar el daño resultante de un fallo de seguridad y la
probabilidad de ocurrencia del fallo. 8. Selección de controles. 9. Definir plan de tratamiento de riesgos: que identifique las acciones, sus
responsables y las prioridades en la gestión de los riesgos. 10. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos
de control identificados.
11. Implementar los controles: todos los que se determinaron en la fase anterior. 12. Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información. 13. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e
instrucciones. 14. Gestionar todos los recursos asignados al SGSI. 15. Revisar el SGSI: Identificar mejoras al proceso del SGSI, identificar nuevas
vulnerabilidades, revisar cambios organizativos y modificar procedimientos. 16 .Realizar auditorías internas del SGSI: para determinar la efectividad del SGSI y
detectar posibles no conformidades.
99
• La norma establece requisitos para Establecer, Implementar y Documentar un SGSI.
– Definir el alcance del SGSI (fronteras)
– Definir una política de seguridad
– Identificar activos
– Realizar el análisis de riesgos de activos.
– Identificar las áreas débiles de los activo
– Tomar decisiones para manejar el riesgo
– Seleccionar los controles apropiados
– Implementar y manejar los controles seleccionados
– Elaborar la declaración de aplicabilidad
100
• Para obtener la certificación.
• Revisar conformidad con la norma (ISO/IEC 27001)
• Revisar grado de puesta en práctica del sistema
• Revisar la eficacia y adecuación en el cumplimiento de:
– Política de seguridad
– Objetivos de seguridad
• Identificar las fallas y debilidades en la seguridad
• Proporcionar una oportunidad para mejorar el SGSI
• Cumplir requisitos contractuales.
• Cumplir requisitos regulatorios.
101
• La certificación no implica que la organización a obtenido determinado niveles de seguridad de la información para sus productos y/o servicios.
• Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la información, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios.
• Procesos análogos a los de las normas ISO 9001 e ISO 14000.
• Certificado con duración de 3 años.
102
• En cada País
– Actualmente en proceso de homologación por las instituciones locales.
– Opciones: • (Ej. Uruguay) UNIT/ISO/IEC 27001:2006
• (Ej. España) AENOR UNE 71502
• ISO/IEC 27001.
• Internacionalmente
– El más amplio reconocimiento.
– Ampliamente reconocida a nivel profesional.
– Estándar de la industria.
– Requerida por importantes empresas
a sus Proveedores.