Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

1

I JORNADA TECNOLÓGICA

Ing. Delfor Chacón Cornejodchaconc@gmail.com

Introducción a laSEGURIDAD DE LA

INFORMACIÓN

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

2

TEMARIO

• ¿Qué es la seguridad de la información?

• Riesgos, amenazas y vulnerabilidades

• Implementación de la seguridad

• Normas relacionadas

• Los controles y las prácticas recomendables

• El sistema de gestión de la seguridad de la información (SGSI)

• Especialización y aplicación

• Conclusiones

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

3

¿Qué es la seguridad de la información?

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

4

Cambio de paradigma:

De una economía industrial a una economía basada en la información

Importancia de la información

“La era de la información”

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

5

La información suele ser el activo más subvalorado que una organización posee (especialmente en los negocios).

La información puede afectar directamente el activo más valioso que una organización posee:

su IMAGEN

Importancia de la información

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

6

La información como activo a proteger:

“La información es un activo que, como otros activos de negocio importantes, tiene valor para una organización y en consecuencia necesita estar adecuadamente protegida.”

ISO/IEC 17799:2005

Información y seguridad

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

7

• Datos almacenados electrónicamente en computadoras.

• Datos almacenados en medios digitales: discos, memorias USB.

• Registros, notas y documentos escritos o impresos en papel.

• Información transmitida por correo postal o electrónico.

• Contraseñas, detalles de cuentas bancarias, resultados de exámenes, etc.

• Conversaciones habladas.

Formas de información

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

8

• Minimizar los riesgos y detectar posibles amenazas a la información.

• Limitar las pérdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad.

• Garantizar la adecuada utilización de recursos y sistemas que manejan información.

• Cumplir con el marco legal regulatorio.

Objetivos generales de la seguridad de la información

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

9

Mantener las siguientes características fundamentales de la información:• Confidencialidad

La información no se revela a entidades no autorizadas.

• IntegridadLa información no debe ser alterada.

• DisponibilidadLa información debe estar accesible en el momento en que sea solicitada por las entidades autorizadas.

Objetivos específicos de la seguridad de la información

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

10

Características adicionales de sistemas seguros:• Autenticidad

Se asegura que las entidades reconocidas sean las que dicen ser.

• ResponsabilidadLas entidades rinden cuentas a nivel individual por sus acciones y decisiones.

• Irrefutable (no repudiable)Las acciones realizadas no pueden ser negadas.

• ConfiabilidadLos resultados obtenidos son consistentes con el comportamiento esperado.

Otras características

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

11

Preservación de la confidencialidad, integridad y disponibilidad de la información.

ISO/IEC 27000:2009

Es la protección a la información de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.

ISO/IEC 17799:2005

Seguridad de la información

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

12

Conjunto de medidas que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

“Enciclopedia de la Seguridad Informática”, Gómez Vieites

Seguridad informática

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

13

Riesgos, amenazas y vulnerabilidades

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

14

Amenaza: Acciones que pueden causar daño según la severidad y posibilidad de ocurrencia

Vulnerabilidad: puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.

Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza

Incidente: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Definiciones

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

15

Activo: Cualquier cosa que tenga valor para una organización:• información;• software, tal como un programa de computadora;• hardware, como una computadora;• servicios;• personas, sus calificaciones, habilidades y experiencia;• intangibles, como fama e imagen.

Ataque: Intento de destruir, descubrir, robar o ganar acceso no autorizado o hacer uso no autorizado de un activo.

Definiciones

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

16

Exposición a riesgos

INFORMATIONINFORMACIÓN

ATA

QU

EATAQUE

ATAQ

UE

ATAQ

UE

ATAQUE

ATA

QU

E

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

17

Protección contra riesgos

ATA

QU

E

ATAQUE

ATAQ

UE

ATAQ

UE

ATAQUE

ATA

QU

E

ATTACK

ATAQUE

ATAQUE

ATAQUE

INFORMACIÓN

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

18

Implementación de la seguridad

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

19

Lo que implica proteger la información:• identificación de los activos de información• análisis de los riesgos: proceso sistemático para

identificar y estimar la magnitud del riesgo.• gestión de los riesgos: selección e implantación de

salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados.

• Elaboración de planes de seguridad• Ejecución de proyectos de seguridad.• Control de incidentes y monitorización.• Auditoría de la seguridad.

La seguridad no es un producto, es un proceso.

Implementar…

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

20

• Reducir la posibilidad de que se produzcan incidentes de seguridad

• Facilitar la rápida detección de los incidentes de seguridad

• Minimizar el impacto del incidente• Conseguir la rápida recuperación de los daños

ocurridos• Revisar y actualizar las medidas de seguridad

implantadas

Proceso de seguridad

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

21

Control: Medio de manejo del riesgo, lo que incluye políticas, procedimientos, guías, prácticas o estructuras organizativas, las que pueden ser de naturaleza administrativa, técnica, de gestión o legal.

También es sinónimo de salvaguarda o contramedida.

Tipos de controles:• Preventivos: eliminan la causa de un potencial

incidente.• Correctivos: eliminan la causa de un tipo de incidente.• De detección: solo alertan sobre la ocurrencia de un

incidente.

Controles

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

22

• Identificación de usuarios y gestión de contraseñas• Control lógico de acceso a recursos• Copias de seguridad• Centros de respaldo• Encriptación de transmisiones• Sellado temporal de mensajes• Firma digital• Cortafuegos (firewall)• Servidores proxy• Sistemas de detección de intrusos (IDS)• Sistemas de prevención de intrusos (IPS)

Tecnologías de seguridad

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

23

• Horas de trabajo perdidas en reparaciones• Pérdidas financieras por indisponibilidad de

aplicaciones o servicios informáticos• Robo de información confidencial• Filtración de información personal de empleados,

clientes, contactos comerciales, proveedores, etc.• Retrasos en procesos de producción, impacto en la

calidad de servicios públicos y privados.• Posible daño a la salud• Pago de indemnizaciones por daños y perjuicios a

terceros.

Si no hay seguridad…

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

24

Normas relacionadas

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

25

• ISO/IEC 27000: introducción, glosario.• ISO/IEC 27001: requisitos de un sistema de gestión

de la seguridad (SGSI).• ISO/IEC 27002 (antes ISO/IEC 17799): guía de

buenas prácticas.• ISO/IEC 27003: guía para implementación del SGSI.• ISO/IEC 27004: guía para desarrollo de métricas.• ISO/IEC 27005: lineamientos para gestión de riesgos.• ISO/IEC 27006: requisitos de acreditación para

entidades auditoras y certificadoras.• … muchas más

Familia 27000 de ISO

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

26

• NTP-ISO/IEC 17799:2007

Equivalente a la ISO/IEC 27002.• NTP-ISO/IEC 27001:2008

Equivalente a la ISO/IEC 27001.• NTP-ISO/IEC 27006:2009

Equivalente a la ISO/IEC 27006.• NTP-ISO/IEC 27005:2009

Equivalente a la ISO/IEC 27005.

Disponibles en INDECOPI. Publicaciones no gratuitas.

Normas Técnicas Peruanas

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

27

Los controles y las prácticas recomendables

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

28

Controles en ISO 27002

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

29

El sistema de gestión de la seguridad de la información (SGSI)

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

30

Es un conjunto de políticas (orientaciones de intención y dirección), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información, bajo un enfoque de gestión de riesgos de negocio.

¿Qué es un SGSI?

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

31

Adoptado del círculo de calidad P-D-C-A (Plan-Do-Check-Act) de Deming.

Modelo de calidad del SGSI

Planificar

Verificar

Hacer

Actuar

Partes Interesadas

Partes Interesadas

Requisitos y expectativas

Seguridad Gestionada

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

32

Especialización y aplicación

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

33

• Gestión de riesgos• Seguridad del acceso físico• Seguridad de redes de cómputo y telecomunicaciones• Control y monitorización de las operaciones• Gestión de identidades y control de acceso a sistemas• Protección contra código malicioso• Continuidad de las operaciones• Modelos y arquitecturas de seguridad• Gestión de la seguridad de la información• Legislación y regulación

Áreas de especialización

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

34

• Administradores / operadores de TI: sistemas de cómputo sistemas de información bases de datos redes y telecomunicaciones sistemas de seguridad

• Analistas / ingenieros de seguridad.• Ejecutivos en seguridad (p.ej. CISO: Chief Information

Security Officer).• Auditores.• Consultores.• Peritos en informática forense.

Ámbitos profesionales

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

35

La seguridad de la información es un factor crítico en organizaciones con diversos tipos de actividad:• Banca y finanzas• Aseguradoras• Empresas industriales• Empresas de servicios profesionales• Administración pública• Instituciones de salud• Servicios de telecomunicaciones• Servicios de suministro de energía

Ámbitos de aplicación

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

36

Conclusiones

“Para estar a salvo nunca hay que sentirse seguro.”(Proverbio checoslovaco)

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

37

• La información es un activo valioso a proteger.• La seguridad de la información requiere un

proceso de planificación, ejecución, seguimiento y mejora continua.

• La tecnología para la seguridad de la información es compleja.

Resumen

Un

iver

sid

ad N

acio

nal

San

tiag

o A

ntú

nez

de

May

olo

IEE

E –

Ram

a E

stu

dia

nti

l

38

¿Preguntas?