Seguridad de La Informacion_CAP2-4

7/25/2019 Seguridad de La Informacion_CAP2-4

1/29

Seguridad de laInformacion

UNIVERSIDAD NACIONAL DE LA AMAZONIA PERUANAFACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA

Por:Carlos Gonzlez AspajoIngeniero de Sistemas Com!"to

gonas#ar$%otmai&'#om


2/29

Seguridad Electrnica

y LegislacinAgenda

(

Con)an*a+ seg"ridad so#iedad de &ain,orma#i-n'Te#no&og.a organi*a#i-n de &aseg"ridad de &a in,orma#i-n'

La In,raestr"#t"ra !ara &a Organi*a#i-nde &a #on)an*a'Mar#o normati/o reg"&atorio de &aseg"ridad de& #omer#io e&e#tr-ni#o'


3/29

Seguridad Electrnica

y LegislacinAgenda

0

Con)an*a+ seg"ridad so#iedad de &ain,orma#i-n'Te#no&og.a organi*a#i-n de &aseg"ridad de &a in,orma#i-n'

La In,raestr"#t"ra !ara &a Organi*a#i-nde &a #on)an*a'Mar#o normati/o reg"&atorio de &aseg"ridad de& #omer#io e&e#tr-ni#o'


4/29

Captulo 2! #ecnologa yorganizacin de la seguridad

de la informacinSe !resentan en este #a!.t"&o &os

#on#e!tos 12si#os de &a seg"ridad+

de& an2&isis de& riesgo de &assa&/ag"ardas 3"e sir/en !aragestionar&o'

Se #om!&eta #on "na des#ri!#i-n de&!ro#eso de #erti)#a#i-n de &a )rmadigita&

4


5/29

2$ %edida del riesgo ygestin de la seguridad

Se !"eden esta1&e#er /arios es#a&ones

de seg"ridad en "na Organi*a#i-n+desde e& 5sentido #om6n5 %asta &aa!&i#a#i-n de "na gesti-n g&o1a& de

seg"ridad en &os sistemas !roe#tos de #om!&e7idad media

a&ta'

8


6/29


2$$ &Escalones' de seguridad parasistemas sencillos

$er EscalnEn &a maor.a de &os #asos+ &a sa&/ag"arda

me7or es #"esti-n de !restar aten#i-n !aradete#tar e& !e&igro "sar e& sentido #om6n!ara a1ortar&o'

Ese mismo sentido #om6n indi#a #-mo enseg"ridad /a&e e& #ono#ido 5!rin#i!io de &a#adena5 3"e siem!re se rom!e !or e&es&a1-n m2s d91i&'


7/29


2$$ &Escalones' de seguridad parasistemas sencillos

2do Escaln

Con/iene a!oar a& sentido #om6n #on re,eren#iasre#ono#idas m.nimas o sal(aguardas pre(enti(asmnimas tan norma&i*adas #omo sea !osi1&e'

En "na 5g".a de seg"ridad


8/29


2$2 Escalones de seguridad parasistemas complejos

)cer EscalnLas Organi*a#iones m2s #om!&e7as

s"e&en re3"erir &a #ons"&ta aes!e#ia&istas de seg"ridad "n !ro#eso

deta&&ado de An2&isis Gesti-n deRiesgos !ara esta1&e#er %asta donde &assa&/ag"ardas son ne#esarias renta1&es'


9/29


2$2 Escalones de seguridad parasistemas complejos

)cer EscalnLa Gestin glo*al de Seguridad de"n Sistema de In,orma#i-n es "naa##i-n !ermanente+ #.#&i#a re#"rrente'

Esta Gesti-n g&o1a& se des#om!one enFases s"#esi/as &&amado #i#&o de Fasesde &a Gesti-n g&o1a& de &a seg"ridad'

@


10/29


B


11/29


2$2 Escalones de seguridad para sistemascomplejos

+to Escaln

Los !roe#tos de #om!&e7idad media o a&ta enmateria de seg"ridad re3"ieren &a rea&i*a#i-n dem2s de "n #i#&o de &a Gesti-n g&o1a& deseg"ridad'

La primera aplicacin del ciclo deGestina1ar#a todo e& sistema en est"dio

Las siguientes aplicaciones del ciclo deGestinde seguridada1ar#an &os #om!onentesretenidos !or s"s riesgos maores

BB


12/29


B(


13/29


2$) Encuadre de %AGE,I# en la gestin deseguridad de los SI

MAGERIT+ &a %etodo&og.a A"tomati*ada de An2&isis GEsti-n de ,iesgos de &os Sistemas de In,orma#i-n de &as

Adminis#ra#iones P61&i#as+ #"1re &as Fase de An2&isis Gesti-n de Riesgos en &a GESTIN g&o1a& de &a Seg"ridad

de "n Sistema de In,orma#i-n'' MAGERIT es e& 5#ora*-n5 de toda a#t"a#i-n organi*ada en

&a materia+ !"es in"e en &as Fases de ti!o estrat9gi#o

>im!&i#a#i-n de &a Dire##i-n+ o17eti/os+ !o&.ti#as #ondi#iona &a !ro,"ndidad de &as Fases de ti!o &og.sti#o

>!&ani)#a#i-n+ organi*a#i-n+ im!&anta#i-n desa&/ag"ardas+ sensi1i&i*a#i-n+ a##i-n diaria

mantenimiento'

B0


14/29


B4


15/29


2$+ Su*modelo de entidades

E& S"1mode&o de Entidadesde MAGERIT #om!rende

&as seis Entidades 12si#as sig"ientes+ as. #omo s"s!ro#esos de ad3"isi#i-n a#t"a&i*a#i-n:A#ti/os'Amena*as'V"&nera1i&idades' Im!a#tos'Riesgos'Sa&/ag"ardas >F"n#iones+ Ser/i#ios Me#anismos'

B8


16/29


Las re&a#iones entre estas Entidades,orman !arte de& S"1mode&o deEVENTOS !or tanto se /er2n en e&t-!i#o dedi#ado a& 5,"n#ionamiento5

de& Mode&o de MAGERIT'

B


17/29


2$- Su*modelo de procesos

La G".a de Pro#edimientos de MAGERITmar#a de ,orma sistem2ti#a e& #amino!r2#ti#o !ara rea&i*ar "n !roe#to de

An2&isis Gesti-n de Riesgos'

En #ada Eta!a en a&g"nas de &asA#ti/idades+ estos #omentarios indi#an &os%itos !rin#i!a&es de &o 3"e %a 3"e %a#er &as !osi1&es di)#"&tades !ara #onseg"ir&o'

B?


18/29


B


19/29


2$. Criterios de clasi/cacin deproyectos %AGE,I#

Los !roe#tos MAGERIT se ada!tan a&os distintos ti!os de sit"a#iones #on

"na #&asi)#a#i-n de !roe#tos deseg"ridad in,orm2ti#a 3"e est2&igada a di/ersos indi#adores'

B@


20/29

22 Sal(aguardas generalespara la informacin

22$ La seguridad del acti(o0informacin0

Los a#ti/os son &os re#"rsos de& sistema de

in,orma#i-n o re&a#ionados #on 9ste+ne#esarios !ara 3"e &a organi*a#i-n ,"n#ione

#orre#tamente aan#e &os o17eti/os!ro!"estos !or s" dire##i-n'

La de)ni#i-n >tomada de MAGERIT a#ogetanto a #om!onentes internos de &a

organi*a#i-n #omo a &a re&a#i-n de 9sta #ons" entorno'

(


21/29


222 %1tricas de los su*estadosdel acti(o informacin

Las m9tri#as de /a&ora#i-n de& estadode seg"ridad de& A#ti/o #onsiderado!ermiten estimar &os ni/e&es de s"s 4

s"1estados AHCHIHD >a"tenti#a#i-n+#on)den#ia&idad+ integridad+

dis!oni1i&idad'(B


22/29


222 %1tricas de los su*estados delacti(o informacin

Su*estado A de AutenticacinS" es#a&a est2 &igada a &amenor o maor ne#esidad de ,orma&i*a#i-n+ de a"tori*a#i-n deres!onsa1i&i*a#i-n !ro1atoria en e& #ono#imiento o &a#om"ni#a#i-n de &a In,orma#i-n'

Su*estado C de Con/dencialidad' Se 1asa en &a Le Org2ni#ade Prote##i-n de Datos'

Su*estado I de IntegridadSe trata de &a ,a#i&idad de reo1tenere& A#ti/o #on #a&idad s")#iente+ o sea #om!&eto no 5#orrom!ido5!ara e& "so 3"e se desea dar&e'

Su*estado de isponi*ilidad' Se trata de &os ni/e&es detiem!o m2imo de #aren#ia de &a In,orma#i-n sin 3"e &as#onse#"en#ias o Im!a#tos sean gra/es !ara &a Organi*a#i-n'

((


23/29


22) %ecanismos de sal(aguarda

Los me#anismos de sa&/ag"arda+ ti!i)#ados tam1i9n #omo!re/enti/os o #"rati/os+ se es!e#i)#an seg6n e& ti!o de

5re#"rso5 em!&eado de &a Organi*a#i-n >me#anismosorgani*ati/os+ ,.si#os+ de so,tJare es!e#.)#o de seg"ridad+

de #ontrata#i-n de seg"ros+ entre otros'

Estos ti!os de re#"rsos se re&a#ionan #on &os A#ti/os o Gr"!os

de A#ti/os ti!i)#ados en e& S"1mode&o de Entidades deMAGERIT+ dando ti!os de me#anismos #on#ernientes a &aar3"ite#t"ra 12si#a+ &os so!ortes+ &as #om"ni#a#iones+ &a

e!&ota#i-n+ &a #om!ra de !a3"etes o e& desarro&&o dea!&i#a#iones+ et#'

(0


24/29


(4


25/29


22+ Su*estados de seguridad de lainformacin y ar3uitecturas

La ar3"ite#t"ra de &os Sistemas de In,orma#i-n en red

!resenta a%ora &os A#ti/os #omo 5"r1ani*a#iones a1iertas5#asi sin 5,ronteras5 #on e& entorno !or &o 3"e se ne#esita "naar3"ite#t"ra din2mi#a ei1&e de seg"ridad 3"e 5in#r"ste5

a%ora en #ada 5"r1ani*a#i-n5 o Gr"!o de A#ti/os "nosme#anismos de sa&/ag"arda en ,orma de 5agentes5 3"e

#re*#an #on &a "r1ani*a#i-n+ &a 5!atr"&&en5 %asta se5#am"en5+ !ara 1"r&ar a "nos agresores #ada /e* m2s

inte&igentes'C"ando e& #ada A#ti/o amena*a1&e /ia7e ,"era de &a

5"r1ani*a#i-n5+ %a1r2 3"e a#"dir a s" 5a"to!rote##i-n5'

(8


26/29


22+ Su*estados de seguridadde la informacin y

ar3uitecturas

Los me#anismos de sa&/ag"arda #orres!onden en &.neas genera&esa #"atro grandes #ategor.as:

Me#anismos ,.si#os organi*ati/os 12si#os m.nimos'Me#anismos de #ontro& &-gi#o de a##esos'Me#anismos #ontra intr"si-n >5#orta,"egos5+ anti/ir"s+

5!atr"&&adores5+ dete#tores'Me#anismos de #i,rado >!ara 5a"to!rote##i-n5 de &a in,orma#i-n'

(


27/29


22- Gestin de la seguridaden las organizaciones

La me7or estrategia de seg"ridad #onsiste en s"1ir#on tran3"i&idad !ero #on )rme*a &os5es#a&ones5' E& 5seg"ndo es#a&-n5 de

#"m!&imiento &egis&ati/o !"ede ser e& me7or5re&&ano5 !ara tomarse en serio &a seg"ridad a1ordar e& 5ter#er5 es#a&-n #on garant.a #on

e)#ien#ia de medios'

(?


28/29


22. Cumplimiento de lalegislacin estatal so*re

seguridadPr2#ti#amente todas &as entidades !61&i#as o

!ri/adas tienen sistemas #on )#%eros 3"e #ontienen

datos !ersona&es+ di,.#i&es de se!arar de &ostratamientos )#%eros 3"e no &os #ontengan' Enn"estro estado rige &as NORMA TECNICA PERUANA

NTPHISOIEC B??@@H(?? !ara s" a!&i#a#i-n'

(


29/29


224 El factor 5umano en laseguridad de la informacin

La seg"ridad s"e&e #onsiderarse #omo "na #"esti-nte#no&-gi#a+ !ero 12si#amente #om!orta !ro1&emas

organi*ati/os es!e#.)#amente %"manos'

Adem2s de &os !ro1&emas !si#o&-gi#os 3"e im!&i#a todo #am1io

en genera& en !arti#"&ar donde e& riesgo &a seg"ridad son,2#i&mente re#ono#i1&es #omo "na #r.ti#a a "na im!er,e##i-nen e& tra1a7o !ersona& o #o&e#ti/o+ %a 3"e tener en #"enta

3"e e& #"m!&imiento de normas de seg"ridad im!&i#a "nes,"er*o adi#iona& o a& menos #ierta mo&estia'

(@

Seguridad de La Informacion_CAP2-4

Documents

Transcript of Seguridad de La Informacion_CAP2-4