Seguridad de La Informacion_CAP2-4
-
Upload
jan-pierre-carranza-serrantes -
Category
Documents
-
view
212 -
download
0
Transcript of Seguridad de La Informacion_CAP2-4
-
7/25/2019 Seguridad de La Informacion_CAP2-4
1/29
Seguridad de laInformacion
UNIVERSIDAD NACIONAL DE LA AMAZONIA PERUANAFACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA
Por:Carlos Gonzlez AspajoIngeniero de Sistemas Com!"to
gonas#ar$%otmai&'#om
-
7/25/2019 Seguridad de La Informacion_CAP2-4
2/29
Seguridad Electrnica
y LegislacinAgenda
(
Con)an*a+ seg"ridad so#iedad de &ain,orma#i-n'Te#no&og.a organi*a#i-n de &aseg"ridad de &a in,orma#i-n'
La In,raestr"#t"ra !ara &a Organi*a#i-nde &a #on)an*a'Mar#o normati/o reg"&atorio de &aseg"ridad de& #omer#io e&e#tr-ni#o'
-
7/25/2019 Seguridad de La Informacion_CAP2-4
3/29
Seguridad Electrnica
y LegislacinAgenda
0
Con)an*a+ seg"ridad so#iedad de &ain,orma#i-n'Te#no&og.a organi*a#i-n de &aseg"ridad de &a in,orma#i-n'
La In,raestr"#t"ra !ara &a Organi*a#i-nde &a #on)an*a'Mar#o normati/o reg"&atorio de &aseg"ridad de& #omer#io e&e#tr-ni#o'
-
7/25/2019 Seguridad de La Informacion_CAP2-4
4/29
Captulo 2! #ecnologa yorganizacin de la seguridad
de la informacinSe !resentan en este #a!.t"&o &os
#on#e!tos 12si#os de &a seg"ridad+
de& an2&isis de& riesgo de &assa&/ag"ardas 3"e sir/en !aragestionar&o'
Se #om!&eta #on "na des#ri!#i-n de&!ro#eso de #erti)#a#i-n de &a )rmadigita&
4
-
7/25/2019 Seguridad de La Informacion_CAP2-4
5/29
2$ %edida del riesgo ygestin de la seguridad
Se !"eden esta1&e#er /arios es#a&ones
de seg"ridad en "na Organi*a#i-n+desde e& 5sentido #om6n5 %asta &aa!&i#a#i-n de "na gesti-n g&o1a& de
seg"ridad en &os sistemas !roe#tos de #om!&e7idad media
a&ta'
8
-
7/25/2019 Seguridad de La Informacion_CAP2-4
6/29
2$ %edida del riesgo ygestin de la seguridad
2$$ &Escalones' de seguridad parasistemas sencillos
$er EscalnEn &a maor.a de &os #asos+ &a sa&/ag"arda
me7or es #"esti-n de !restar aten#i-n !aradete#tar e& !e&igro "sar e& sentido #om6n!ara a1ortar&o'
Ese mismo sentido #om6n indi#a #-mo enseg"ridad /a&e e& #ono#ido 5!rin#i!io de &a#adena5 3"e siem!re se rom!e !or e&es&a1-n m2s d91i&'
-
7/25/2019 Seguridad de La Informacion_CAP2-4
7/29
2$ %edida del riesgo ygestin de la seguridad
2$$ &Escalones' de seguridad parasistemas sencillos
2do Escaln
Con/iene a!oar a& sentido #om6n #on re,eren#iasre#ono#idas m.nimas o sal(aguardas pre(enti(asmnimas tan norma&i*adas #omo sea !osi1&e'
En "na 5g".a de seg"ridad
-
7/25/2019 Seguridad de La Informacion_CAP2-4
8/29
2$ %edida del riesgo ygestin de la seguridad
2$2 Escalones de seguridad parasistemas complejos
)cer EscalnLas Organi*a#iones m2s #om!&e7as
s"e&en re3"erir &a #ons"&ta aes!e#ia&istas de seg"ridad "n !ro#eso
deta&&ado de An2&isis Gesti-n deRiesgos !ara esta1&e#er %asta donde &assa&/ag"ardas son ne#esarias renta1&es'
-
7/25/2019 Seguridad de La Informacion_CAP2-4
9/29
2$ %edida del riesgo ygestin de la seguridad
2$2 Escalones de seguridad parasistemas complejos
)cer EscalnLa Gestin glo*al de Seguridad de"n Sistema de In,orma#i-n es "naa##i-n !ermanente+ #.#&i#a re#"rrente'
Esta Gesti-n g&o1a& se des#om!one enFases s"#esi/as &&amado #i#&o de Fasesde &a Gesti-n g&o1a& de &a seg"ridad'
@
-
7/25/2019 Seguridad de La Informacion_CAP2-4
10/29
2$ %edida del riesgo ygestin de la seguridad
B
-
7/25/2019 Seguridad de La Informacion_CAP2-4
11/29
2$ %edida del riesgo ygestin de la seguridad
2$2 Escalones de seguridad para sistemascomplejos
+to Escaln
Los !roe#tos de #om!&e7idad media o a&ta enmateria de seg"ridad re3"ieren &a rea&i*a#i-n dem2s de "n #i#&o de &a Gesti-n g&o1a& deseg"ridad'
La primera aplicacin del ciclo deGestina1ar#a todo e& sistema en est"dio
Las siguientes aplicaciones del ciclo deGestinde seguridada1ar#an &os #om!onentesretenidos !or s"s riesgos maores
BB
-
7/25/2019 Seguridad de La Informacion_CAP2-4
12/29
2$ %edida del riesgo ygestin de la seguridad
B(
-
7/25/2019 Seguridad de La Informacion_CAP2-4
13/29
2$ %edida del riesgo ygestin de la seguridad
2$) Encuadre de %AGE,I# en la gestin deseguridad de los SI
MAGERIT+ &a %etodo&og.a A"tomati*ada de An2&isis GEsti-n de ,iesgos de &os Sistemas de In,orma#i-n de &as
Adminis#ra#iones P61&i#as+ #"1re &as Fase de An2&isis Gesti-n de Riesgos en &a GESTIN g&o1a& de &a Seg"ridad
de "n Sistema de In,orma#i-n'' MAGERIT es e& 5#ora*-n5 de toda a#t"a#i-n organi*ada en
&a materia+ !"es in"e en &as Fases de ti!o estrat9gi#o
>im!&i#a#i-n de &a Dire##i-n+ o17eti/os+ !o&.ti#as #ondi#iona &a !ro,"ndidad de &as Fases de ti!o &og.sti#o
>!&ani)#a#i-n+ organi*a#i-n+ im!&anta#i-n desa&/ag"ardas+ sensi1i&i*a#i-n+ a##i-n diaria
mantenimiento'
B0
-
7/25/2019 Seguridad de La Informacion_CAP2-4
14/29
2$ %edida del riesgo ygestin de la seguridad
B4
-
7/25/2019 Seguridad de La Informacion_CAP2-4
15/29
2$ %edida del riesgo ygestin de la seguridad
2$+ Su*modelo de entidades
E& S"1mode&o de Entidadesde MAGERIT #om!rende
&as seis Entidades 12si#as sig"ientes+ as. #omo s"s!ro#esos de ad3"isi#i-n a#t"a&i*a#i-n:A#ti/os'Amena*as'V"&nera1i&idades' Im!a#tos'Riesgos'Sa&/ag"ardas >F"n#iones+ Ser/i#ios Me#anismos'
B8
-
7/25/2019 Seguridad de La Informacion_CAP2-4
16/29
2$ %edida del riesgo ygestin de la seguridad
Las re&a#iones entre estas Entidades,orman !arte de& S"1mode&o deEVENTOS !or tanto se /er2n en e&t-!i#o dedi#ado a& 5,"n#ionamiento5
de& Mode&o de MAGERIT'
B
-
7/25/2019 Seguridad de La Informacion_CAP2-4
17/29
2$ %edida del riesgo ygestin de la seguridad
2$- Su*modelo de procesos
La G".a de Pro#edimientos de MAGERITmar#a de ,orma sistem2ti#a e& #amino!r2#ti#o !ara rea&i*ar "n !roe#to de
An2&isis Gesti-n de Riesgos'
En #ada Eta!a en a&g"nas de &asA#ti/idades+ estos #omentarios indi#an &os%itos !rin#i!a&es de &o 3"e %a 3"e %a#er &as !osi1&es di)#"&tades !ara #onseg"ir&o'
B?
-
7/25/2019 Seguridad de La Informacion_CAP2-4
18/29
2$ %edida del riesgo ygestin de la seguridad
B
-
7/25/2019 Seguridad de La Informacion_CAP2-4
19/29
2$ %edida del riesgo ygestin de la seguridad
2$. Criterios de clasi/cacin deproyectos %AGE,I#
Los !roe#tos MAGERIT se ada!tan a&os distintos ti!os de sit"a#iones #on
"na #&asi)#a#i-n de !roe#tos deseg"ridad in,orm2ti#a 3"e est2&igada a di/ersos indi#adores'
B@
-
7/25/2019 Seguridad de La Informacion_CAP2-4
20/29
22 Sal(aguardas generalespara la informacin
22$ La seguridad del acti(o0informacin0
Los a#ti/os son &os re#"rsos de& sistema de
in,orma#i-n o re&a#ionados #on 9ste+ne#esarios !ara 3"e &a organi*a#i-n ,"n#ione
#orre#tamente aan#e &os o17eti/os!ro!"estos !or s" dire##i-n'
La de)ni#i-n >tomada de MAGERIT a#ogetanto a #om!onentes internos de &a
organi*a#i-n #omo a &a re&a#i-n de 9sta #ons" entorno'
(
-
7/25/2019 Seguridad de La Informacion_CAP2-4
21/29
22 Sal(aguardas generalespara la informacin
222 %1tricas de los su*estadosdel acti(o informacin
Las m9tri#as de /a&ora#i-n de& estadode seg"ridad de& A#ti/o #onsiderado!ermiten estimar &os ni/e&es de s"s 4
s"1estados AHCHIHD >a"tenti#a#i-n+#on)den#ia&idad+ integridad+
dis!oni1i&idad'(B
-
7/25/2019 Seguridad de La Informacion_CAP2-4
22/29
22 Sal(aguardas generalespara la informacin
222 %1tricas de los su*estados delacti(o informacin
Su*estado A de AutenticacinS" es#a&a est2 &igada a &amenor o maor ne#esidad de ,orma&i*a#i-n+ de a"tori*a#i-n deres!onsa1i&i*a#i-n !ro1atoria en e& #ono#imiento o &a#om"ni#a#i-n de &a In,orma#i-n'
Su*estado C de Con/dencialidad' Se 1asa en &a Le Org2ni#ade Prote##i-n de Datos'
Su*estado I de IntegridadSe trata de &a ,a#i&idad de reo1tenere& A#ti/o #on #a&idad s")#iente+ o sea #om!&eto no 5#orrom!ido5!ara e& "so 3"e se desea dar&e'
Su*estado de isponi*ilidad' Se trata de &os ni/e&es detiem!o m2imo de #aren#ia de &a In,orma#i-n sin 3"e &as#onse#"en#ias o Im!a#tos sean gra/es !ara &a Organi*a#i-n'
((
-
7/25/2019 Seguridad de La Informacion_CAP2-4
23/29
22 Sal(aguardas generalespara la informacin
22) %ecanismos de sal(aguarda
Los me#anismos de sa&/ag"arda+ ti!i)#ados tam1i9n #omo!re/enti/os o #"rati/os+ se es!e#i)#an seg6n e& ti!o de
5re#"rso5 em!&eado de &a Organi*a#i-n >me#anismosorgani*ati/os+ ,.si#os+ de so,tJare es!e#.)#o de seg"ridad+
de #ontrata#i-n de seg"ros+ entre otros'
Estos ti!os de re#"rsos se re&a#ionan #on &os A#ti/os o Gr"!os
de A#ti/os ti!i)#ados en e& S"1mode&o de Entidades deMAGERIT+ dando ti!os de me#anismos #on#ernientes a &aar3"ite#t"ra 12si#a+ &os so!ortes+ &as #om"ni#a#iones+ &a
e!&ota#i-n+ &a #om!ra de !a3"etes o e& desarro&&o dea!&i#a#iones+ et#'
(0
-
7/25/2019 Seguridad de La Informacion_CAP2-4
24/29
22 Sal(aguardas generalespara la informacin
(4
-
7/25/2019 Seguridad de La Informacion_CAP2-4
25/29
22 Sal(aguardas generalespara la informacin
22+ Su*estados de seguridad de lainformacin y ar3uitecturas
La ar3"ite#t"ra de &os Sistemas de In,orma#i-n en red
!resenta a%ora &os A#ti/os #omo 5"r1ani*a#iones a1iertas5#asi sin 5,ronteras5 #on e& entorno !or &o 3"e se ne#esita "naar3"ite#t"ra din2mi#a ei1&e de seg"ridad 3"e 5in#r"ste5
a%ora en #ada 5"r1ani*a#i-n5 o Gr"!o de A#ti/os "nosme#anismos de sa&/ag"arda en ,orma de 5agentes5 3"e
#re*#an #on &a "r1ani*a#i-n+ &a 5!atr"&&en5 %asta se5#am"en5+ !ara 1"r&ar a "nos agresores #ada /e* m2s
inte&igentes'C"ando e& #ada A#ti/o amena*a1&e /ia7e ,"era de &a
5"r1ani*a#i-n5+ %a1r2 3"e a#"dir a s" 5a"to!rote##i-n5'
(8
-
7/25/2019 Seguridad de La Informacion_CAP2-4
26/29
22 Sal(aguardas generalespara la informacin
22+ Su*estados de seguridadde la informacin y
ar3uitecturas
Los me#anismos de sa&/ag"arda #orres!onden en &.neas genera&esa #"atro grandes #ategor.as:
Me#anismos ,.si#os organi*ati/os 12si#os m.nimos'Me#anismos de #ontro& &-gi#o de a##esos'Me#anismos #ontra intr"si-n >5#orta,"egos5+ anti/ir"s+
5!atr"&&adores5+ dete#tores'Me#anismos de #i,rado >!ara 5a"to!rote##i-n5 de &a in,orma#i-n'
(
-
7/25/2019 Seguridad de La Informacion_CAP2-4
27/29
22 Sal(aguardas generalespara la informacin
22- Gestin de la seguridaden las organizaciones
La me7or estrategia de seg"ridad #onsiste en s"1ir#on tran3"i&idad !ero #on )rme*a &os5es#a&ones5' E& 5seg"ndo es#a&-n5 de
#"m!&imiento &egis&ati/o !"ede ser e& me7or5re&&ano5 !ara tomarse en serio &a seg"ridad a1ordar e& 5ter#er5 es#a&-n #on garant.a #on
e)#ien#ia de medios'
(?
-
7/25/2019 Seguridad de La Informacion_CAP2-4
28/29
22 Sal(aguardas generalespara la informacin
22. Cumplimiento de lalegislacin estatal so*re
seguridadPr2#ti#amente todas &as entidades !61&i#as o
!ri/adas tienen sistemas #on )#%eros 3"e #ontienen
datos !ersona&es+ di,.#i&es de se!arar de &ostratamientos )#%eros 3"e no &os #ontengan' Enn"estro estado rige &as NORMA TECNICA PERUANA
NTPHISOIEC B??@@H(?? !ara s" a!&i#a#i-n'
(
-
7/25/2019 Seguridad de La Informacion_CAP2-4
29/29
22 Sal(aguardas generalespara la informacin
224 El factor 5umano en laseguridad de la informacin
La seg"ridad s"e&e #onsiderarse #omo "na #"esti-nte#no&-gi#a+ !ero 12si#amente #om!orta !ro1&emas
organi*ati/os es!e#.)#amente %"manos'
Adem2s de &os !ro1&emas !si#o&-gi#os 3"e im!&i#a todo #am1io
en genera& en !arti#"&ar donde e& riesgo &a seg"ridad son,2#i&mente re#ono#i1&es #omo "na #r.ti#a a "na im!er,e##i-nen e& tra1a7o !ersona& o #o&e#ti/o+ %a 3"e tener en #"enta
3"e e& #"m!&imiento de normas de seg"ridad im!&i#a "nes,"er*o adi#iona& o a& menos #ierta mo&estia'
(@