Seguridad de la información-sesion 1-v1

39
 SEGURIDAD DE LA INFORMACIÓN Módulo 1: Sesión Nº1 Elaborado por: JC Pacheco

Transcript of Seguridad de la información-sesion 1-v1

Page 1: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 1/39

 

SEGURIDAD DE LA

INFORMACIÓNMódulo 1: Sesión Nº1

Elaborado por:JC Pacheco

Page 2: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 2/39

 

 [email protected]

AGENDA

1. La Seguridad, Conceptos y definiciones

2. Seguridad Informática vs Seguridad de la Información3. Riesgos: Conceptos y definiciones

4. Relación entre seguridad y riesgo

5. Componentes del riesgo.

6. Qué es un modelo de gestión de la seguridad

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 3

Page 3: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 3/39

 

 [email protected]

Seguridad: Conceptos y definiciones

1. Cualidad de seguro.(Libre y exento de todopeligro, daño o riesgo)

2. Certeza 

(conocimiento cierto yclaro de algo).

Según el RAE

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 4

Page 4: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 4/39

 

 [email protected]

Seguridad: Conceptos y definicionesRequerimi

entos de

Seguridad

• Confidencialidad• Integridad• Disponibilidad

Política de

Seguridad

• Qué está y• Qué NO está

permitido.

Mecanismos

de Seguridad

• Refuerza la política• Meta: Nunca en

estado no permitido

 

Aseguramiento de

Seguridad

• Requerimientos vs

Necesidades

• Políticas vs

Requerimientos

• Mecanismos vs Políticas

Dependede

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 5

Page 5: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 5/39

 

 [email protected]

Seguridad, Conceptos y definiciones

SISTEMA

Deja haceracciones no permitidas

Deja hacersolo acciones

permitidas

INSEGURO SEGURO

Componente HUMANO:

• Conocer y comprender principios de seguridad• Cómo esos principios se aplican en una situación dada

• Cómo definir requerimientos y su política adecuada

• Cómo utilizar la tecnología para implementar la política

Sin personas quelogren esto

NO HABRÁSISTEMA SEGURO 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 6

Page 6: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 6/39

 

 [email protected]

Seguridad de la Información vs Seguridad Informática

Seguridad de la Información

Información documental y biológicaProcesos de Negocio

Políticas Análisis deRiesgos

Información en

computadorasProcesosinformáticos

Mecanismos yProcedimientos

 

Seguridad Informática

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 7

Page 7: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 7/39 [email protected]

Riesgo: Conceptos y definiciones

• (Del it. risico o rischio, y este del ár. clás. rizq ,lo que depara la providencia). (RAE)

• 1. m. Contingencia o proximidad de un daño.(RAE)

• 2. m. Cada una de las contingencias quepueden ser objeto de un contrato de seguro.(RAE)

• Daño potencial que puede surgir por unproceso presente o evento futuro. (Wikipedia)

• Evento o situación incierta, que de suceder,tiene un efecto en los objetivos del proyecto(PMBOK)

Riesgo

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 8

 

Page 8: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 8/39 [email protected]

9

La exposición a la posibilidad de

ocurrencia de ciertas cosas tales

como pérdida o ganancia

económica, daño físico, retrasos,

daño a la salud pública, etc. que

surgen como consecuencia de

seguir un curso particular de

acción. (Aduanas de Chile)

“Posibilidad de que se produzca

un impacto dado en la

organización” (Magerit)

Riesgo: otras definiciones

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI

 

Page 9: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 9/39 [email protected]

Riesgos, Conceptos y definiciones

Amenaza Vs Riesgo Amenaza es:

I. Todo lo que tenga probabilidad de ocurrir,causando daño. (Wikipedia)

II. Causa potencial de un incidente no deseado,el que puede ocasionar un daño al sistema o ala organización (ISO27000)

Riesgo es:I. Efecto de la incertidumbre sobre los objetivos

(ISO31000)II. El resultado de la posibilidad de una amenaza

explotando la vulnerabilidad de un activo.(ISO27000)

Sin la ocurrencia de amenazas el riesgo seríacero.

Tomado de:www.scienceinthebox.com/es_ES/safety/pic

 /risk_assessment.jpg

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 10

  

Page 10: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 10/39 [email protected]

11

Situaciones inciertas, nocontrolables, noprevistas (amenazas).

Deficiencias

en losprocesos oen la

gestión.(vulnerabili

dades).

Activos dela organización

Impacto como

resultadodel riesgo

Elementos del riesgo

RIESGO

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI

 

Page 11: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 11/39 [email protected]

Consecuencias probables de un riesgo

Naturaleza

• Indica los problemasprobables• P.E. Interfaz mal

definida para el HW(riesgo técnico)

Alcance

• Combina la severidad(cuán serio es elproblema?)

• Con su distribucióngeneral (que proporcióndel proceso o de laorganización se afecta?)

Cuandoocurre

• Cuándo y por cuántotiempo se dejará sentirel impacto

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 12

 

Page 12: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 12/39 [email protected]

13

Resumiendo…. 

La Amenaza

El Impacto delRiesgo

Estrategia deMitigación

El Riesgo esposibilidad de ladestrucción de

la casa

LaVulnerabilidad

El Activo

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI

 

Page 13: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 13/39 [email protected]

Relación entre seguridad y riesgo

Riesgo Seguridad

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 14

  

Page 14: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 14/39 [email protected]

Modelo de gestión de la seguridadModelo:

(Del it. modello).1. m. Arquetipo o punto de referencia para

imitarlo o reproducirlo. Representación en

pequeño de algo.

2. m. En las obras de ingenio y en las acciones morales,ejemplar que por su perfección se debe seguir e imitar.

3. m. Esquema teórico, generalmente en forma

matemática, de un sistema o de una realidad compleja

Gestión

(Del it. gesio).

1. Acción o efecto de gestionar o

administrar

2. m. En las obras de ingenio y en las

acciones morales, ejemplar que por superfección se debe seguir e imitar.

Concreción de acciones para el logro de

un objetivo

Entonces, Modelo de Gestión de la Seguridad es elentorno o marco de referencia para la

administración de la SEGURIDAD en unaorganización

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 15

 

Page 15: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 15/39 [email protected]

Gestión de la seguridad: ISO27000

….en el tiempo 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 16

 

Page 16: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 16/39 [email protected]

ISO27000: La Familia: Publicadas

Descripción Código del estándarGestión de la seguridad de la Información: Overview ISO/IEC 27000:2009

Sistema de Gestión de la información de seguridad ISO/IEC 27001:2005

Código de buenas prácticas para GSI (ISO17799) ISO/IEC 27002:2007

Guía para la implementación del SGSI ISO/IEC 27003:2010Métricas para la gestión de seguridad ISO/IEC 27004:2009

Gestión de riesgos en SI ISO/IEC 27005:2008

Requisitos para los organismos de acreditación de SGSI ISO/IEC 27006:2007

Guía para la GSI en Telecomunicaciones c/ISO/IEC 27002 ISO/IEC 27011:2008Guía para habilitar las TIC para la Continuidad de Negocio ISO/IEC 27031:2011

Conceptos y revisión general de Seguridad en Redes ISO/IEC 27033-1:2009

GSI en el sector salud utilizando ISO/IEC27002 ISO 27799:2008

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 17

 

/ /

Page 17: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 17/39 [email protected]

ISO27000: La Familia: en Desarrollo

Descripción Código delestándar

Guía para la Auditoria de un SGSI (foco en el sistema de gestión) ISO/IEC 27007

Guía para auditores de los controles del SGSI (foco en los controles de seguridadde la información)

ISO/IEC 27008

Guía para la implementación integrada de ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27013Marco de referencia para el gobierno de seguridad de información ISO/IEC 27014

Guía para la Gestión de SI en los sectores financiero y seguros ISO/IEC 27015

Guía para la seguridad en Internet (“del buen vecino” en Internet) ISO/IEC 27032

Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada) ISO/IEC 27033

Guía para la seguridad de aplicaciones ISO/IEC 27034

Gestión de Incidentes de Seguridad ISO/IEC 27035

Guía para la seguridad con Terceros (outsourcing) ISO/IEC 27036

Guía para la identificación, recolección, y/o adquisición y preservación de evidenciadigital.

ISO/IEC 27037

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 18

 

26/08/2011 I i d I i í d S f IIS f UNI 19

Page 18: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 18/39 [email protected]

ISO27005: Gestión del Riesgo en SI

Establecimientodel Contexto

Evaluación delRiesgo

Tratamiento delRiesgo

Aceptación del

Riesgo

Comunicación

del riesgo y plande tratamiento

Monitoreo y

Revisión delRiesgo

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 19

  

26/08/2011 I tit t d I i í d S ft IIS ft UNI 20

Page 19: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 19/39

 [email protected]

• Revisa y evalúa el

desempeño

(eficiencia y

eficacia) del SGSI.

•Realiza los cambios

necesarios para llevar

al SGSI a máximo

rendimiento.

• Envuelve la

implantación yoperación de los

controles.

• Diseño del SGSI,

• Evaluación de riesgosde los activos de la

información

• Selección de

controles adecuados. Plan (plani 

ficar) 

Do 

(hacer) 

Check (contro 

lar ) 

Act 

(actuar  ) 

Gestión de la seguridad: ISO2700126/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 20

 

26/08/2011 I tit t d I i í d S ft IIS ft UNI 21

Page 20: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 20/39

 [email protected]

ISO27000: en Cifras al 2009

0

20

40

60

80

100

120

2008 2009

82

117

Nro. Países solicitantes

2008

2009

0

2000

40006000

8000

10000

12000

14000

2008 2009

9246

12934

Nro. Certificados 27001 emitidos

2008

2009

Fuente: www.iso.org

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 21

 

26/08/2011 I tit t d I i í d S ft IIS ft UNI 22

Page 21: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 21/39

 [email protected]

Gestión de la seguridad: SOGP del ISF

INSTALACIONES DE TI

SDDesarrollo

deSistemas

CBAplicacionesde Negocio

Críticas

SMGestión deSeguridad

NWRedes

UEAmbiente

de UsuarioFinal

CIAmbiente

deCómputo

• El Estándar de Buenas Prácticas (SoGP)

del Foro de Seguridad de Información

(ISF) es una referencia práctica sobre

seguridad de la información y temas

relacionados con los riesgos de

información; con un enfoque de negocios.• Está alineado con los principales

estándares como ITIL, CMM,

ISO20000, ISO9001, ISO/IEC2700x,

NIST, PCI DSS e información general de

conceptos de gobierno de la seguridad.

• Se complementa con la experiencia

recogida por el ISF durante la realización

de sus proyectos.

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 22

 

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 23

Page 22: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 22/39

 [email protected]

SOGP del ISF: Aspectos principales1. Cumplimiento de estándares.

i. SOGP como herramienta que apoya lacertificación ISO27001. Alineada a toda lafamilia ISO2700, incluyendo: la 27014(gobernanza de seguridad) y 27036 (Tercerosexternos)

ii. Incluye tópicos como : Delitos Informáticos(Cibercrime), Computación en la Red (CloudComputing) y Seguridad en dispositivosmóviles.

iii. Proporciona información detallada y propone

controles para Infraestructura Crítica y AccesoInalámbrico.

iv. Es una herramienta para habilitar elcumplimiento de los estándares COBIT y PCIDSS.

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 23

 

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 24

Page 23: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 23/39

 [email protected]

SOGP del ISF: Aspectos principales2. Validación de proveedores

i. Asegura que los requerimientos de

seguridad de la información sean las

premisas para trabajar con terceros.

ii. Sirven como base para la comprensión yevaluación del nivel de seguridad de la

información implementada por los

proveedores

iii. Asegura que la cadena de suministroestá sujeta a un nivel de seguridad de la

información que puede responder a los

riesgos.

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 24

 

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 25

Page 24: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 24/39

 [email protected]

SOGP del ISF: Aspectos principales3. Evaluación de Riesgos

i. La evaluación de riesgos ayuda a

reducir la frecuencia e impacto de los

incidentes de seguridad, y mejora la

seguridad de la información

ii. SOGP complementa a cualquier

metodología de evaluación de riesgos

que se utilice, incluyendo la

metodología de análisis de riesgos de lainformación de ISF (IRAM)

iii. Ofrece 50 tipos de amenazas y los

controles potenciales para aplicación

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 25

 

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 26

Page 25: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 25/39

 [email protected]

SOGP del ISF: Aspectos principales4. Políticas, Controles y Procedimientos

i. Puede ser adoptado como base de una

política de seguridad de la información

general.

ii. Es una herramienta efectiva para laidentificación de brecha existentes en la

política, los controles y procedimientos de

seguridad de la información, entre lo que

tenemos y lo que queremos ser.iii. Reduce el esfuerzo necesario en una

organización para la implementación de un

SGSI

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 26

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 27

Page 26: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 26/39

 [email protected]

SOGP del ISF: Aspectos principales5. Toma de conciencia

i. Contiene tópicos específicos que ayudarán almejoramiento de la toma de conciencia enseguridad y soportarán actividadescorrespondientes dentro de la organización.

ii. Dirige cómo se podría aplicar la seguridad de la

información en un ambiente local, lo querepresenta una actividad de concientización enseguridad.

iii. Lograr que la organización tome conciencia delrol de la seguridad de la información, de manera

consistente a través de la propia organizacióngenerará altos niveles de protección y evitarápotenciales daños costosos para la reputación dela organización.

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 27

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 28

Page 27: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 27/39

 [email protected]

SOGP del ISF: Aspectos principales

i. SOGP está integrada con la herramienta

de Benchmarking de ISF, lo que

proporciona una base para la realización

de una evaluación, detallada o de alto

nivel, de las fortalezas de los controles de

seguridad de la información a lo largo y

ancho de la organización.

ii. Ayuda a mejorar la gestión de los

ejecutivos y la confianza de los

interesados, por la capacidad de análisis

objetivos del nivel real de seguridad

6. Evaluación de la seguridad de la Información

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 28

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 29

Page 28: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 28/39

 [email protected]

SOGP del ISF: Aspectos principales

i. SOGP se constituye en una completa

herramienta de referencia para atender a

nuevos requerimientos de seguridad de la

información o a la mejora de los controlesexistentes.

ii. EL estar basado en tópicos intuitivos de

seguridad permiten versatilidad en su

aplicación.

iii. Evitar tener que identificar controles desde

cero, ahorrando costo y tiempo

7. Mejora de la seguridad

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 29

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 30

Page 29: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 29/39

 [email protected]

Gestión de la seguridad: ISM3Modelo de Madurez de la Gestión de la Seguridad de la Información

(Information Security Management Maturity Model)Especificar, Implementar, Operar y Evaluar SGSIs

Aplicable a cualquier organización independientemente de su tamaño ygiro

Ayuda a mejorar los sistemas ISM de la organización, resaltandodiferencias entre el nivel actual y el nivel deseado de madurez

Evalúa cuantitativamente la madurez del SGSI de una organización y su

ambiente de control de seguridad de la información

Útil como guía para priorizar inversiones. Comparando los objetivos deseguridad y los objetivos de madurez.

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 30

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 31

Page 30: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 30/39

 [email protected]

Gestión de la seguridad: ISM3

   M  o   d  e   l  o   d

  e   G   S   I

Modelo Organizativo

Modelo deSeguridadContextual

Modelo deSistemas

deInformación

Estratégico Táctico Operativo

   P  r  o  c  e  s  o

  s   I   S   M  Nivel de Madurez

ISM3-0: existe riesgo, inversión impredecible

ISM3-1: Reducción de riesgo, inversiónmínima

ISM3-2: Mayor reducción de riesgo, inversiónmoderada

ISM3-3: Alta reducción de riesgo técnico,inversión seria

ISM3-4: Alta reducción de riesgo técnico einterno, inversión seria

MODELOORIENTADOAL PROCESO

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 31

  

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 32

Page 31: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 31/39

 [email protected]

Gestión de la seguridad: ISM3SentidoComún

• Políticas

• Procedimientos

BuenasPrácticas

• Contraseñas• Único Acceso

Leccionesde

Incidentes

• Mejorar elfirewall

• Mejorar elAntivirus

EspecíficoAnálisis

de riesgos

• OCTAVE• Magerit

SegúnCliente

• Personal delproyecto A notenga acceso

al proyecto B

Para elegir unControl

MODELO FLEXIBLE,SE ADAPTA ALNEGOCIO

26/08/2011 Instituto de Ingeniería de Software IISoft UNI 32

  

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 33

Page 32: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 32/39

 [email protected]

Information Security Management Maturity Model ("ISM3") está

construido con base en estándares como ITIL, ISO 20000, ISO

9001, CMM, ISO/IEC 27001, e información general de conceptos de

gobierno de la seguridad. Mientras que la ISO/IEC 27001 está basada

en controles. ISM3 basado en procesos, incluye métricas de proceso.

Gestión de la seguridad: ISM3st tuto de ge e a de So t a e So t U 33

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 34

Page 33: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 33/39

 [email protected]

Modelo de gestión de la seguridad

ControlesActivos

Vulnerabilidades

Riesgo

AmenazasAgente deamenaza

Organización

Pone valor

Aplica

Enfrenta

Reduce

Afecta

Desea apropiarse, abusar o dañar

Explota

Provoca

Genera

g

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 35

Page 34: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 34/39

 [email protected]

Roles y Responsabilidades en SGSIg

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 36

Page 35: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 35/39

 [email protected]

Implementación y Certificación de un SGSIg

       

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 37

Page 36: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 36/39

 [email protected]

Consecuencias del Riesgo

• Horas hombre perdidas por una brecha de seguridad?.• Equipos que no producenPérdida de productividad 

• Sitio WEB fuera por un incidente de seguridad?• Pérdida de acceso a INTERNET?Pérdida de ventas por fuera deservicio 

• Restaurar datos de un backup puede ser muy costoso.• Qué si se destruyen los backups?Pérdida de Datos 

• Planes estratégicos revelados,

• Información financiera sensible

Compromiso de Datos por

divulgación o modificación 

• Se podría necesitar comprar un nuevo equipo• Servicios de recuperación de datos.Costos de reparación 

• Hacer noticia como víctimas de una brecha de seguridad.• Fuga de clientes, etcPérdida de imagen 

ROI como Reducción del Riesgo.

ROI mide mejora esperada contra costo de la mejora. P.e. Reducción en 50% deriesgos, frente a comprar un FW

g

 

. . 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 38

Page 37: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 37/39

 [email protected]

Ejemplo de ataque: Phishing – Ing. Social

Cliente de Banco de Credito

Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a travesde Banca en la Red han sido realizados desde diferentes direcciones IP.

Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, odebido a que usted ha utilizado mas de un computador para acceder a su cuenta.

Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestrossistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos queingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridadrequieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011. 

Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo lerecordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, yaque no lo hacemos.De ante mano le agradecemos su cooperacion en este aspecto. 

Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar elsiguiente enlace:

De: Banco de Credito <[email protected]>Fecha: 18 de agosto de 2011 13:14

Asunto: Estimado Cliente Verificacion Urgente

Para: *********@gmail.com 

http://bcpzonasegura.viabcperu.in/bcp/  https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea 

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 39

Page 38: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 38/39

 [email protected]

Ejemplos posibles ataques a una red

 

26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 40

Page 39: Seguridad de la información-sesion 1-v1

5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com

http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 39/39

Preguntas?