VI Jornadas Iberoamericanas sobre Tecnología y Mercados de ... · “Conceptos y aspectos...

“Conceptos y aspectos generales de la seguridad”

VI Jornadas Iberoamericanas sobre Tecnología y Mercados de Capitales.

SCE - IIMV

Quito, marzo de 2004

Francisco Javier Nozal Millán

Director de Sistemas de Información

CNMV. España

Objetivo

- Visión general del problema

- Marco de referencia para el debate

- Buscar la contribución y participación

Conceptos y aspectos generales de la seguridad

La SEGURIDAD de los sistemas de Información hoy (1/3):

- El principal reto de la profesión

- La mayor dedicación nuestra

* en tiempo

* en recursos físicos y lógicos

* en recursos económicos

- La mayor dedicación del mercado



- Involucra muy directamente a los “ajenos” a los S. I. y en especial a la Dirección

- Tiene importantes aspectos normativos y jurídicos

- Puede afectar a Derechos y Libertades fundamentales



- Mezcla la tecnología puntera, con la sociología y con el código penal

- La relación con el usuario evoluciona

+ dimos mal servicio

+ ahora damos buen servicio

+ pero después se lo cortamos...

- y ... es y será la fuente de nuestros disgustos


¿ Que es SEGURIDAD ? (1/2)

- Aspecto subjetivo

+ ¿te sientes seguro?

+ ¿dónde, como, cuando?

+ Seguridad es Confianza

+ ¿Tener más Seguridad es estar más Seguro?


¿ Que es SEGURIDAD ? (2/2)

- Cuantificable

+ Principio de proporcionalidad o de racionalidad

+ Nivel de seguridad asociado al coste y al perjuicio

+ Coste/beneficio en el ataque

+ Cuadro de mandos en base a índices

+ Acercamiento asintótico


Seguridad en la CONTINUIDAD. Unos datos

- 1 fallo / año .......... 87 % de las empresas

- 5 fallos / año ........ 50 % de las empresas

- Tiempo de recuperación 5 veces el de parada

- Después de un desastre

+ 25 % cierran inmediatamente

+ 90 % cierran en dos años

+ 100 % cesa inmediatamente el Director de Sistemas de Inform. ¡¡¡¡¡


Acercamiento asintótico en la SEGURIDAD


0102030405060708090

100

coste1

coste2

coste3

coste4

coste5

coste6

Seguridad

La SEGURIDAD globalmente considerada en la Organización, tiene que dar respuesta:

- Continuidad de la actividad de la organización

- La privacidad de las personas

- La seguridad de las personas

- La seguridad de los bienes y activos de la Organización


La SEGURIDAD debe enfocarse considerando tres entornos:

- La propia Organización y su entorno normativo

- La estrategia de actividad o de negocio

- La estrategia de las Tecnologías de la Información


Gestión de la SEGURIDAD

- Análisis de los Riesgos

- Plan de Seguridad

- Medidas a implantar

- Mantenimiento de las medidas con Gestión del

Riesgo


La ISO/IEC 17799, catálogo de recomendaciones y buenas prácticas, en 10 áreas claves:

- 1. Política de Seguridad

- 2. Organización de Seguridad

- 3. Control y Clasificación de Activos

- 4. Seguridad del Personal

- 5. Seguridad Física

- 6. Gestión de Sistemas y Comunicaciones

- 7. Control de Accesos a los Sistemas

- 8. Desarrollo y Mantenimiento de los Sistemas

- 9. Plan de Continuidad

- 10. Cumplimiento


Medidas a implantar

- En el tiempo

+ proactivas

+ reactivas

- Por el tipo

+ físicas

+ lógicas

+ normativas - procedimentales

+ sociológicas


Principios de la SEGURIDAD, a garantizar

- Autenticidad

- Confidencialidad

- Integridad

- Continuidad

- Conservación


AUTENTICIDAD, que es?

- Función para el establecimiento de la validez de la supuesta identidad de un usuario, dispositivo u otra entidad en un sistema de información o comunicaciones (OCDE)

- Autenticación

+ Simple basada en mecanismos de Usuario y Contraseña

+ Fuerte basada en criptografía asimétrica y certificados. Combina lo que tienes con lo que conoces


CONFIDENCIALIDAD, que es?

- El hecho de que los datos o informaciones estén únicamente al alcance del conocimiento de las personas, entidades o mecanismos autorizados, en los momentos autorizados y de una manera autorizada (OCDE)

- Condición que asegura que la información no puede estar disponible o ser descubierta por o para personas, entidades o procesos

- La Confidencialidad se relaciona con la Intimidad cuando se refiere a personas físicas


INTEGRIDAD, que es?

- El hecho de que los datos o informaciones sean exactos y completos y no hayan sido modificados o alterados de forma no autorizada (OCDE)

- Condición que asegura que la información es modificada, incluyendo su creación y borrado, solo por personal autorizado.

- La Integridad está ligada a la Fiabilidadfuncional del sistema. A su eficacia para cumplir las funciones del sistema de información.


DISPONIBILIDAD, que es?

- Propiedad que requiere que los recursos de un sistema abierto sean accesibles y utilizables a petición de una entidad autorizada

- Grado en el que un dato está en el lugar, momento y forma requerido por el usuario autorizado.

- La Disponibilidad está ligada a la Fiabilidadtécnica de los componentes del sistema de información


CONSERVACION, que es?

- Propiedad que requiere que todo documento considerado como entidad identificada y estructurada que contiene texto, gráficos, sonidos, imágenes o cualquier otra clase de información, en soporte electrónico, puede ser almacenada, editada, extraída, intercambiada y recuperada, en igual estado, cuando se necesita.

- Concepto vinculado con el paso del tiempo, la degradación física y lógica y la evolución tecnológica.


Análisis de Riesgos

- Auditoría

+ Interna

+ Externa

- Entorno

+ de las Aplicaciones

+ de las Infraestructuras y las Comunicaciones

+ de los Procedimientos


La Información y la SEGURIDAD han de estar unidas en las actividades:

- Creación

- Acceso

- Modificación

- Almacenamiento

- Transmisión

- Destrucción


Riesgos y Vulnerabilidades

- Intención humana ----------> CONFIDENCIALIDAD

+ Internas

+ Externas

- No intención. ERRORES ------> CONTINUIDAD

+ de conocimiento

+ de procedimiento

- Simplemente TECNICAS



- Las Vulnerabilidades y las correspondientes Medidas a implantar no suelen estar únicamente relacionadas con uno de los principios si no, al contrario, están relacionados con todos ellos

- La única “agrupación” relativamente posible es la de “Autenticidad y Confidencialidad” e “Integridad, Continuidad y Conservación”



- Autenticidad / Confidencialidad

+ Suplantación

+ Violación de control de accesos

- Físico y Lógico

- Virus y Troyanos, Spyware, ...

+ Violación de soportes, wireless y dispositivos portátiles



- Integridad / Continuidad / Conservación+ Alteración de la información

- Manual intencionada

- Derivada de procesos internos o externos

+ Ruptura de infraestructuras físicas y lógicas

+ Caída física y/o lógica de procesos o de datos

+ Infección-virus

+ Fallo energético

+ Fuego, Agua y catástrofe

+ Pérdida de Copia


Plan de Seguridad

- Que. Determinar y describir todas las medidas a implantar

- Quien. Organizar la implantación, mantenimiento y seguimiento

- Como. Diseño y adquisición de las tecnologías y preparación de las normas

- Cuando. Planificar las fases de la implantación

- con Cuanto. Presupuestación


Medidas a implantar

- Físico-Lógicas (1/3)

+ Autenticación segura de usuario

-Usuario y Contraseña

- Firma electrónica

- Biométricos

+ Gestión integral de Usuarios, Derechos y Accesos

+ Acceso físico local restringido

+ Acceso remoto limitado por Cortafuegos

- Barreras físicas

- Reglas lógicas

+ Cifrado de Datos, Transmisiones y soportes


Medidas a implantar


+ Control de Integridad

- Pruebas completas de aplicación

- en la actualización

- en la transmisión

+ Redundancia física local y remota

- en los datos

- en las aplicaciones

- en los servidores

- en las líneas de comunicaciones

- en los cortafuegos


Medidas a implantar


+ Antivirus

+ Copias de seguridad

- en local y en remoto

- revisión de soportes

+ Centro de Respaldo

- local o remoto

- probado

+ Seguridad en el suministro energético

- redundancia en la línea y/o compañía

- SAI y suministro propio


Medidas a implantar

- Normativo-Procedimentales (1/2)

+ Documento de Organización

+ Documento de Seguridad

- Especial referencia a Protección de Datos de Carácter Personal

- Comité y/o Responsable de Seguridad

- Responsabilidades de Usuarios y de personal especializado


Medidas a implantar

- Normativo-Procedimentales (2/2)

+ Normas Internas de utilización y manejo de los Sistemas de Información

+ Procedimientos de Desarrollo, Prueba y Explotación

+ Cumplimiento de estándares

+ Planes de Contingencias

- Manual de procedimientos ante situaciones

- Pruebas reales


Medidas a implantar

- Sociológicas

+ Formación

+ Divulgación

+ Concienciación

+ Comunicación


Mantenimiento de las Medidas

- Auditoría periódica

+ Interna

+ Externa

- Actualización física y lógica de las medidas

- Sistemas de ataque ético y otras pruebas de vulnerabilidades

- Revisión de Normas y Procedimientos

- Cumplimiento de Leyes y Normas jurídicas


Y en conclusión...

Gestionar la SEGURIDAD de una Organización

es Gestionar el Riesgo de que algo ocurra

con los análisis Cualitativos y Cuantitativos de los parámetros involucrados en las posibles vulnerabilidades y sus correspondientes efectos en la Organización.


VI Jornadas Iberoamericanas sobre Tecnología y Mercados de ... · “Conceptos y aspectos...

Documents

Transcript of VI Jornadas Iberoamericanas sobre Tecnología y Mercados de ... · “Conceptos y aspectos...