SI - Tema 01 - Introducción a La Seguridad de La Información

8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información

1/36

1.1 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción

Seguridad Informática

Tema 01: Introducción a la Seguridad de la InformaciónIng. Juan Rafael Galán Santisteban


2/36


•

Al finalizar este tema, usted sabrá Identificarlas expectativas generales de seguridad de la

información.

• Conocerá conceptos que le permitirán

investigar y entender la Seguridad de la

información en las organizaciones.

OBJETIVO


3/36


“La seguridad no es un producto, sino un proceso”, Se trata de algo más que implantar criptografía robustaen un sistema: se trata de diseñar el sistema entero de

manera que todas las medidas de seguridad, incluyendola criptografía trabajen juntos.

Bruce Schneier


4/36


¿QUÉ SE DEBE ASEGURAR?

“La información es un activoque, como otros activosimportantes del negocio, es

esencial para las actividadesde la organización y, enconsecuencia, necesita una

protección adecuada” .

(NTC-ISO/IEC 17799)


5/36


La Seguridad de la Información, protege a ésta de una

amplia gama de amenazas, tanto de orden fortuito (talcomo destrucción, incendio o inundaciones), como de ordendeliberado (tal como fraude, espionaje, sabotaje,vandalismo, etc.)

¿CONTRA QUÉ SE DEBE PROTEGERLA INFORMACIÓN ?


6/36


Confidencialidad: Se garantiza que la información esaccesible sólo a aquellas personas autorizadas a tener

acceso a la misma.Integridad: Se salvaguarda la exactitud y totalidad de lainformación y los métodos de procesamiento.Disponibilidad: Se garantiza que los usuarios autorizados

tienen acceso a la información y a los recursos relacionadoscon la misma toda vez que se requiera.

¿QUÉ SE DEBE GARANTIZAR?


7/361.7 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción

Las Organizaciones son cada vez mas dependientes de susSistemas y Servicios de Información, por lo tanto podemosafirmar que son cada vez mas vulnerables a las amenazas

concernientes a su seguridad.

¿POR QUÉ AUMENTAN LASAMENAZAS?

Valor estratégico de TI en los negocios



Crecimiento exponencial de las Redes yUsuarios Interconectados

Profusión de las BD On-Line

Inmadurez de las Nuevas Tecnologías

Alta disponibilidad de Herramientas Automatizadas de Ataques

Nuevas Técnicas de Ataque Distribuido(Ej:DDoS)

Técnicas de Ingeniería Social

Algunas

Causas

¿POR QUÉ AUMENTAN LASAMENAZAS?



Accidentes: Averías, Catástrofes, Interrupciones, ...Errores: de Uso, Diseño, Control, ....

Amenazas Intencionales Presenciales: Atentado con acceso

físico no autorizado Amenazas Intencionales Remotas: Requieren acceso alcanal de comunicación

¿CUÁLES SON LAS AMENAZAS?



Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD).

Corrupción o destrucción de la información (amenaza a la INTEGRIDAD).Suplantación de origen (amenaza a la AUTENTICACIÓN).

Amenazas intencionales remotas



• “La seguridad de la Información protege a los activos deinformación contra una ampliagama de amenazas, para

preservar así la continuidad delnegocio y reducir a un nivelaceptable los riesgos.”

ISO 27001:2005

¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?



• Comercio electrónico y negocios electrónicos

• Nuevas formas de usar las Bases de Datos

• Mayor interés por parte de la comunidad de hackers

•

Regulaciones y normativas que atañen a la seguridad

¿POR QUÉ PREOCUPARSE POR LA SEGURIDADDE LA INFORMACIÓN?



DEFINICIONES DE SEGURIDAD DEL DICCIONARIO

• Libre y exento de todo peligro, daño o riesgo

• Cierto, indubitable y en cierta manera infalible

• No sospechoso



Definición dinámica

• Evaluar expectativas y amenazas en un contexto

• Alcanzar seguridad deseada

•

Mantener nivel de seguridad

• Proceso iterativo y continuo

DEFINICIONES DE SEGURIDAD



EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD

•

La Organización posee expectativas de seguridadPor escrito: políticas, objetivos, etc.

Verbalizadas: cultura

Asumidas: costumbres

• Las expectativas sólo tienen sentido dentro de un contextode seguridad

• Las contramedidas o controles de seguridad buscansatisfacer expectativas concretas en contextos determinados



Ejemplos de expectativas de seguridad (I)

• Cumplir regulaciones legales aplicables• Control sobre el acceso a secretos e información o

servicios protegidos por la ley como los derechos deautor y la información privada

• Identificación de los autores de la información omensajes y registro de su uso de servicios

• Responsabilización de los usuarios por su uso de losservicios y su aceptación de compromisos

• Control sobre la tenencia física de información ysistemas de información



Ejemplos de expectativas de seguridad (II)

• Control sobre la existencia de información y servicios

• Control sobre la disponibilidad de información y servicios

• Control sobre la fiabilidad y el rendimiento de los servicios

• Control sobre la precisión de la información



Expectativas y contextos de seguridad (III)

• Enfoque tradicional

– “Queremos que no tenga éxito ningún ataque”

– Seguridad = Invulnerabilidad

–

Imposible de alcanzar

• Enfoque de gestión del riesgo

– “Queremos que nuestras expectativas se cumplan”

– Seguridad = Confianza, Calidad

– Posible de gestionar



• Evaluar los riesgos que enfrenta la organizacióno Se identifican las amenazas a los activoso Se evalúan las vulnerabilidades y probabilidades de ocurrenciao Se estima el impacto potencial

• Tener en cuenta los requisitos legales, normativos,

reglamentarios y contractuales que deben cumplir:o La organizacióno Sus socios comercialeso Los contratistaso Los prestadores de servicios

• Establecer un conjunto específico de principios, objetivosy requisitos para el procesamiento de la información

¿CÓMO ESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD?



DEFINICIÓN SIMPLIFICADA DEL PROBLEMA

• El problema se sintetiza en alcanzar niveles aceptables deConfidencialidad, disponibilidad e integridad de lainformación que sostienen los objetivos del negocio

• Las claves son:

– Alcanzar – (modelo iterativo) – Confidencialidad.

– Disponibilidad.

– Integridad.

– Niveles aceptables – (gestión de riesgos)

– Objetivos del negocio – (Mandatorio y Rector)



Algunos Problemas subyacentes

• Definición de activos de información

– Valor de la información, percepción del valor de lainformación, rentabilidad, dependencia.

– Impacto sobre incidentes de perdida de confidencialidad,integridad o disponibilidad de la información.

• Cultura de la organización – Composición humana de la organización

– Supuestos, expectativas, idealización de la seguridad.

– Relacionamiento entre los actores y entre los actores y la

organización, sus procesos y sistemas.

– Adaptabilidad al cambio, al control o a la limitación de privilegios

»Modelo de seguridad aceptados o aceptables



BASE DE LA SEGURIDAD

• Tecnología

Herramientas criptográficas, protocolosde comunicaciones seguras,almacenamiento seguro deinformación, dispositivos de red,

copias de respaldo, etc.

• Procesos

Políticas y procedimientos,

organización, etc.• Personas

Concienciación, formación y educaciónen materia de seguridad, etc.


23/36


GESTIÓN DE LA SEGURIDAD Y ALINEAMIENTO CON

CONTROL ESTRATÉGICO DE LA ORGANIZACIÓN

Solís (2005)

OBJETIVOS DE SEGURIDADDE LA INFORMACIÓN

El objetivo de seguridad de la información definido por elInstituto de Gobierno de Tecnología de la Información:

“Proteger los intereses de todos aquellos que dependen de lainformación y de los sistemas y comunicaciones que la habilitancontra daños que afecten a su disponibilidad, confidencialidade integridad”

La necesidad de protección de los activos de valor en lasorganizaciones implica una nueva responsabilidad de la altadirección: garantizar un ambiente de seguridad sólido yconsistente, identificando y capitalizando los beneficios.

Ó


24/36


GOBIERNODE SEGURIDAD

DE TI

GOBIERNO DE TI

GOBIERNOCORPORATIVO

SEGURIDAD DE INFORMACIÓNEN LA ORGANIZACIÓN


25/36


• Determinación de directrices

• Alineamiento estratégico

• Generación de valor

• Gestión de riesgos

• Medición de desempeño

PROCESO DE GOBIERNODE SEGURIDAD EN TI


26/36


• La Seguridad de TI no viene dada de forma aislada por un producto, a menos que exista un sistema decontrol interno que asegure su adecuada

implantación y utilización• Importancia de las medidas organizativas:

• Definición de funciones y responsabilidades

• Instauración de políticas precisas sobre objetivosde seguridad

• Establecimiento de criterios de segregación de

funciones/evidencias irrefutables

Touriño (2003)

MARCO ORGANIZATIVO


27/36


Conjunto de requisitos definidos por los responsablesdirectos o indirectos de un Sistema que indica en términosgenerales qué está permitido y qué no lo está en el áreade seguridad durante la operación general de dicho

sistema.

• Política: el porqué una organización protege la información• Estándares: lo que la organización quiere hacer para

implementar y administrar la seguridad de la información• Procedimientos: cómo la organización obtendrá los

requerimientos de seguridad

Diferencias entre Política, Estándar y Procedimiento

¿QUE SE ENTIENDE POR POLITICADE SEGURIDAD ?


28/36


expectativas de los stakeholders

objetivos y metas institucionales

factores críticos de éxito

procesos de negocio

aplicaciones

recursos

procesos de TI

ALINEAMIENTO ESTRATÉGICO


29/36


CONTRIBUCIÓNCORPORATIVA

ORIENTACIÓN AL USUARIO

EXCELENCIAOPERACIONAL

ORIENTACIÓNFUTURA

Cómo ve la organización elvalor creado por la

seguridad en TI

Cómo ven los usuarios a laseguridad en la TI

Cuán eficientes y eficacesson los procesos de gestiónde la seguridad en TI

Cuán eficiente y eficaz es lagestión de la seguridad en TI para adaptarse a loscambios del entorno

CUADRO DE MANDO DELA SEGURIDAD EN TI

VULN A ILI A S N LA


30/36


• Asociadas al entorno e infraestructura

• Asociadas a la organización

• Asociadas a los procedimientos

• Asociadas al personal

• Asociadas a la información

Arbat (2003)

VULNERABILIDADES EN LAORGANIZACIÓN


31/36


Defensa en profundidad


32/36


•

Planificación de los procedimientos de controlrelativos a la seguridad de las TI: estructuraempresarial, políticas, evaluación de riesgos y costes

• Diseño: encaje en el sistema global de control

interno, definición de procedimientos de control, prioridades, evidencias, responsabilidades

• Implantación: progresiva, con orden lógico, flexible,

dinámica.

METODOLOGÍA DE IMPLANTACIÓN


33/36


•

Ausencia de “cultura empresarial” de control interno• Cambio constante en la alta dirección

• Proyectos estratégicos discrecionales sin la

participación de los conocedores del negocio• Incapacidad de los procesos gerenciales para medir

el cumplimiento de los objetivos y la eficiencia

•

Carencia de potencial humano con capacidades paraadministrar correctamente la TI

LIMITACIONES NO TÉCNICAS


34/36


GRACIAS!


35/36


CASO PRÁCTICO

2

• Seleccionar una entidad, que emplee equipos de

cómputo en sus procesos administrativos ydeterminar el nivel de seguridad; para ello podráutilizará el cuestionario de “Inseguridad Informática” que se presenta en la siguiente diapositiva.

• Los niveles de seguridad van del Nivel A al D:

D = No cumplen con ninguna especificación de seguridad

C = Protección de Acceso Controlado

B = Protección Estructurada

A = Protección Verificada

Á


36/36

INSEGURIDAD INFORMÁTICA

1. ¿La información y su protección son críticas para la organización? ¿Se hadefinido así?

2. ¿Se tiene en la organización una política de seguridad? ¿Se actualizaconstantemente?

3. La función de seguridad.. si existe, ¿Tiene el apoyo, los medios y la capacidad para administrar la seguridad? Existe un comité de seguridad de lainformación?

4. ¿Se tienen identificados los principales activos de la información de laorganización? ¿Y sus riesgos asociados?

5. ¿Es consiente la organización de las debilidades o vulnerabilidades de lainfraestructura informática?

6. ¿Puedo asegurar la continuidad de las operaciones en caso de pérdida de lainformación?

7. ¿Hay conformidad con las leyes y regulaciones de la información y estas hansido fundamentadas desde la alta dirección?

8. ¿Existe una gestión y administración de riesgos?

9. ¿Hace la organización a nivel interno o externo, auditorias a la seguridad de lainformación?

SI - Tema 01 - Introducción a La Seguridad de La Información

Documents

Transcript of SI - Tema 01 - Introducción a La Seguridad de La Información