MAYO 1 PROYECTO día de la madre el amor más grande
Curso taller: Sistemas de Gestión de Seguridad de la Información
1. SISTEMAS DE GESTÓN DE SEGURIDAD DE LA
INFORMACIÓN
Expositor:
Mg. Ing. Miguel Robles-Recavarren Benites
M_roblesrecavarren@hotmail.com
2. Contenido
Estado del Arte.
Introducción a la Seguridad en TI.
Definiciones Básicas.
Plan de Seguridad de la
Información (PSI).
Principios.
Consideraciones.
Tipos de Seguridad.
Plan de Contingencias (PCN).
Seguridad en Internet.
Metodologías para la elaboración
del PCN y PSI.
4. Innovación
Estado del Arte
Competencia
Global
Manejo del
Cambio
Poder de
Negociación
Ventaja
Competitiva
Negocios
Internacionales
Recursos y
Utilidad
Velocidad en
Los Servicios
Negocios
Organizaciones
Instituciones
Personas
Valor Generado
5. Estado del Arte
EMPRESA
ESTRATEGIAS DE NEGOCIOS
OBJETIVOS ESTRATÉGICOS
DEL NEGOCIO
Reingeniería de procesos
Reestructuración
Organización horizontal
Manejo de personas
Procesamiento distribuido
Dimensionamiento correcto
Benchmarking
Offshoring
Outsourcing
E-business
SCM – BI - CRM
13. El modelo de la
administración de
los recursos e
información.
Ventaja competitiva.
Entorno
Entorno
Plan de negocio
estratégico
Inteligencia de
negocio
Vicepresidente
de finanzas
Vicepresidente
de
manufactura
DI
DE
Vicepresidente
de recursos
humanos
Vicepresidente
de
mercadotecnia
Plan específico para los
recursos de información
Comité Directivo
del SIA
Política y estándares
Centros de
información
Instalación de
computo
central
Áreas del
usuario
Usuarios
Finales
Usua
rios
Recursos de información
14. Introducción
“El único sistema seguro es aquel que está
apagado y desconectado, enterrado en un
refugio de concreto, rodeado por gas
venenoso y custodiado por guardianes bien
pagados y muy bien armados. Aun así, yo no
apostaría mi vida por el”
Gene Spafford
15. Mitos de Seguridad
El Sistema puede llegar al 100% de
seguridad.
Mi red no es lo suficientemente
atractiva para ser tomada en cuenta.
Nadie pensara que mi clave de acceso
es sencilla.
Linux es más seguro que Windows.
Si mi servidor de correos tiene
antivirus, mi estación no lo necesita.
17. Tecnología de la Información
Conjunto de ciencias relacionadas con los
Sistemas y la Informática que constituyen el
elemento indispensable para el desarrollo de
la humanidad y la generación sostenida de
puestos de trabajo.
18. Términos y Definiciones
ACTIVO: Algo que presenta valor para la
organización.
DISPONIBILIDAD: Garantizar que los
usuarios autorizados tengan acceso a la
información y activos asociados cuando sea
necesario.
CONFIDENCIALIDAD: Garantizar que la
información sea accesible únicamente para
quienes tengan acceso autorizado.
19. Términos y Definiciones
SEGURIDAD DE LA INFORMACIÓN: Preservar
la confidencialidad, integridad y
disponibilidad de la información; además,
también pueden ser involucradas otras
características como la autenticación,
responsabilidad, no-repudio y fiabilidad.
20. Términos y Definiciones
EVENTO DE LA SEGURIDAD DE LA
INFORMACIÓN: Ocurrencia identificada en un
sistema, servicio o red indicando una posible
brecha de la política de seguridad de la
información o falla de las salvaguardas o una
situación desconocida previa que puede ser
relevante. .
21. Términos y Definiciones
INCIDENTE DE LA SEGURIDAD DE LA
INFORMACIÓN: Una serie de eventos no
deseados que tienen una probabilidad
significativa de comprometer operaciones del
negocio y amenazar la seguridad de la
información.
22. Términos y Definiciones
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN - ISMS: Es la parte del
Sistema Integral de Gestión, basado en un
enfoque del riesgo del negocio para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de
la información.
El sistema de gestión incluye la estructura
organizacional, políticas, actividades de planificación,
responsabilidades, prácticas, procedimientos,
procesos y recursos.
23. Términos y Definiciones
INTEGRIDAD: Salvaguardar la exactitud e
integridad de la información y activos
asociados.
RIESGO RESIDUAL: Riesgo remanente
después de un tratamiento del riesgo.
ACEPTACIÓN DEL RIESGO: Decisión de
aceptar el riesgo.
ANÁLISIS DEL RIESGO: Uso sistemático de
información para identificar amenazas y
estimular el riesgo.
24. Términos y Definiciones
ESTIMACIÓN DEL RIESGO: Proceso total de
análisis y evaluación del riesgo.
EVALUACIÓN DEL RIESGO: Proceso de
comparación del riesgo estimado frente al
criterio de riesgo para determinar el
significado del riesgo.
GESTIÓN DEL RIESGO: Actividades
coordinadas para dirigir y controlar el riesgo
en una organización.
25. Términos y Definiciones
TRATAMIENTO DEL RIESGO: Proceso de
Selección e implementación de controles para
minimizar el riesgo.
DECLARACIÓN DE APLICABILIDAD:
Documento que describe los objetivos de
control y los controles que son relevantes y
aplicables al ISMS de la organización.
27. Repercusión de las infracciones
de seguridad
Pérdida de
beneficios
Deterioro de la
confianza del
inversionista
Perjuicio de la
reputación
Pérdida o
compromiso
de la seguridad
de los datos
Interrupción de
los procesos
empresariales
Deterioro de la
confianza del
cliente
Consecuencias
legales
28. QUÉ BUSCA LA SEGURIDAD?
Proteger Derechos
El derecho a la privacidad
El derecho a estar informados
Proteger activos
Información
Equipos ( Sistemas, Redes,
computadoras)
Reforzar las reglas
Leyes, Políticas y Procedimientos
30. Sistema Nacional de Informática
IMPLEMENTACIÓN DE LA NORMA TÉCNICA
PERUANA “NTP-ISO/IEC 27001:2008 EDI
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. SISTEMAS DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN. REQUISITOS”.
31. Aspectos críticos de la seguridad
Arquitectura
Segura
de IT
Kerberos
Personas
Developer
USER
Backup
32. El riesgo está en función del valor del activo de
la información, la magnitud de la amenaza y
las vulnerabilidades existentes MEDIDAS
33. 33
2/18/2014
Entre mediados de Abril y Junio del 2007, un gran número
de servidores Web fueron infectados. Se asumió que la
causa fue un fallo común afectando servidores Apache e
IIS o un error de configuración en el proveedor de
servicios.
En Junio del 2007, mas de 10,000 sitios fueron afectados,
de los cuales, 80% estuvieron en Italia. Mas de 80,000
sistemas fueron infectados.
Tan pronto como los usuarios visitaban el sitio, estos eran
direccionado silenciosamente a un servidor que contenía
la pagina PHP de una herramienta llamada MPack.
Estando en esta página, varios ataques diseñados para
aprovechar las fallas de seguridad del navegador del
usuario (Firefox, IE, Opera, etc.) se aplicaban.
Esta forma de ataque se hizo común en el 2008
The Italian Mpack Job
34. Seguridad de SI
Seguridad de la información debe ser
elemento integral de la empresa.
Fases del Proceso:
* Identificación de riesgos.
* Plan de Seguridad.
* Infraestructura.
* Mantenimiento y Coste
35. Valor de la Información
El principal bien de las empresas es la
información la cual hay que proteger en la
medida que su pérdida afecte a la empresa u
organización.
En el valor de la información entra a tallar el
flujo de la misma.
Si el bien fluye de un lado a otro, el camino
que recorre también debe ser protegido y el
medio de transporte lógico debe ser seguro.
36. Tipo de Información según Empresa
Empresa Privada Empresa Gubernamental
Pública
Sensible
Privada
Confidencial
No Clasificada
Sensitiva pero no Clasificada
Confidencial
Secreta
Top Secret
43. OBJETIVO:
POLÍTICAS DE SEGURIDAD
El objetivo de una política de seguridad es el de
comunicar a toda una organización que la
información que posee la empresa es muy valiosa y
es responsabilidad y compromiso de todos los
trabajadores resguardarla y en caso de compartirla
deben tener en cuentan los riesgos que puedan
ocurrir si esta información cae en manos no
autorizadas.
44. POLÍTICAS DE SEGURIDAD
Buena Política :
Una buena política de seguridad proporcionará a la
empresa la base para que diseñe un eficaz sistema de
seguridad.
46. Problemas en el
planeamiento : 1. FALTA DE COHERENCIA.
2. DIRECTRICES HETEROGÉNEAS.
3. FALTA DE DEFINICIÓN DE FUNCIONES.
4. NO SE DEFINEN NORMAS NI
PROCEDIMIENTOS DE SEGURIDAD.
5. DIFICULTAD EN JUSTIFICAR RECURSOS.
Problemas de Seguridad
47. El problema
tecnológico :
1. LA TECNOLOGÍA NO ES LA PANACEA.
2. LAS HERRAMIENTAS NO CUBREN TODAS LAS
NECESIDADES.
3. EXCESIVA CONFIANZA.
Problemas de Seguridad
48. Modelos de Políticas de Seguridad
• Política Individual.
• Política General Plana.
• Política de Tres Capas.
• Modelo ISO 17799.
49. Esquema de Desarrollo de una Política de Seguridad
Identificar requerimientos técnicos y
Administrativos de la organización
Definir políticas
individuales
Definir políticas
generales
Definir estándares,
guidelines
Definir procedimientos
Evaluación
¿Necesitan
Corrección?
Replanteamiento
Presentación final
Aprobación por la
Alta dirección
50. ¿Qué es un Plan de Seguridad de
la Información (PSI)?
51. P S I
Estrategia planificada de acciones y
proyectos para la protección de:
información (D/B), sistemas de
información (SW-IS) e
infraestructura física (HW-TIC).
52. Demostrar cómo una estrategia
integrada de Seguridad de la
Información puede contribuir de
manera efectiva al logro de los
objetivos de Negocio de su empresa.
Objetivo
53. Objetivo
Consolidación de:
- Confidencialidad
- Integridad y autenticidad
- Disponibilidad
- No repudio
Si se cumplen estos puntos, diremos en
general que los datos están protegidos y
seguros.
54. Medidas y sus objetivos
Una serie de niveles de control.
- La falla de un nivel será “absorbida” por las
otras.
- Reducir el impacto global al mínimo.
Objetivos
- Disuadir
- Detectar
- Minimizar el impacto de pérdida o desastre
- Investigar
- Recuperar
55.
56. Entender la defensa a profundidad
Utilizar un enfoque dividido por etapas:
Aumentar la detección de riesgo de un agresor
Reduce la posibilidad de éxito de un agresor
Políticas de seguridad, procedimientos
y educaciónPolíticas, procedimientos y conciencia
Protecciones, seguros, dispositivos de
seguimiento
Seguridad física
Fortalecimiento de la aplicaciónAplicación
Fortalecer el sistema operativo,
autenticación administración de
actualizaciones de seguridad,
actualizaciones de antivirus, auditoría
Host
Segmentos de red, NIDSRed interna
Firewalls, enrutadores más amplios,
VPNs con procedimientos de cuarentenaPerímetro
Contraseñas fuertes, ACLs, estrategia
de respaldo y restauraciónDatos
60. Protección de la capa perimetral
La protección del perímetro de la
red incluye:
Socio de negocios
Oficina sucursal
Red
inalámbrica
LAN
Usuario
remoto
Internet
Oficina principal
LAN
Servicios de InternetServicios de Internet
LAN
Firewalls
Bloquear puertos de
comunicación
Traducción de puerto y
dirección IP
Redes privadas virtuales
(VPNs)
Protocolos de túnel
Cuarentena de la VPN
61. Riesgo de la capa interna de
la red
Acceso no
autorizado a
sistemas
Acceso a todo el
tráfico de la red
Acceso no autorizado
a redes virtuales
Puertos de
comunicación
inesperados
Examinar
paquetes de la
red
66. Ubicación física y disposición del centro
de TI
Consideraciones:
- Características del equipo
- Valor del equipo
- Importancia del equipo
Lugar mas conservador y clandestino
- Lejos del tránsito terrestre y aéreo.
- Lejos de elementos electrónicos
Radares (5 volts / metro)
Microondas
67. Riesgos por ubicación
Nivel
Actividad
Al Me Ba So
Acceso a Máquinas G M P P
Acceso de elementos de
trabajo
G M I P
Carga del suelo G M P I
Filtraciones de agua G P P P
Inundación I P M G
Sabotaje P G G P
Al = Alto
Me = Medio
Ba = Bajo
So = Sótano
G = Grave
M = Mediano
P = Poco
I = Inexistente
69. Instalaciones Físicas del Centro de TI
Factores inherentes a la localidad:
- Naturales
Hundimiento del piso
Temperatura
Sismos
- Servicios
Líneas Telefónicas
Instalaciones Eléctricas
Antenas de Comunicación
- Seguridad
Lugares desolados o desprotegidos
Fuentes de incendios
Inundaciones
70. Instalaciones Físicas del Centro de TI
Factores inherentes al centro de TI:
- Piso falso
Sellado hermético
Nivelado topográfico
Tierra física (aterrizado)
Cableado cubierto
Aprox. 40 cm.
- Cableado
De alto y bajo voltaje
Cables de Telecomunicaciones
Cables de señales para monitores
88. Instalaciones Físicas del Centro de TI
- Paredes y techos
Pintura plástica lavable
Falso (amarres del plafón)
La altura neta: 2.70 a 3.30 mts.
- Puertas de acceso
Puertas de doble hoja de 1.50 cm.
Salida de emergencia
Dimensiones máximas del equipo
- Iluminación
Generadores fuera de la sala.
La alimentación de la iluminación diferente
al del equipo.
El 25% debe ser de emergencia conectado
al UPS.
89. Instalaciones Físicas del Centro de TI
- Filtros
* 99% de eficiencia sobre partículas de 3
micrones
* Si existen otros contaminantes seleccionar
filtros adecuados
* Aire de renovación y ventilación tratado
previamente:
Temperatura
Humedad
- Vibración
Equipos antivibraciones
- Ductos
Lisos y sin desprendimiento de partículas
90.
91.
92. Control de acceso físico
Estructura y disposición del área de
recepción.
- Identificación del personal y visitantes.
- Recursos magnéticos.
- Vidrio reforzado.
Acceso de terceras personas
- De mantenimiento del aire acondicionado y
cómputo.
- De limpieza.
- Identificación plenamente.
93. Instalaciones Físicas del Centro de TI
Acondicionamiento del local
- Necesidades de espacio
Especificaciones técnicas del equipo
Áreas de cintas, discos, archivos
Evitar áreas con formas extrañas
Preferentemente rectangulares
Consideraciones a futuro
- Distribución en planta
Planos civiles y arquitectónicos
Hidráulicos Sanitario
Planta Teléfono
Memoria de Cálculo Seguridad
Energía Eléctrica
94. Control de acceso físico
Identificación del personal
- Algo que sea portátil.
- Algo que se sabe.
- Alguna característica física especial.
Guardias y escoltas especiales
Registro de firmas de entrada y salida
Puertas con chapas de control electrónico
Tarjetas de acceso y gafetes de identificación
Biometría
Entrada de dos puertas
Alarmas contra robos
Trituradores de papel
95. Aire acondicionado
Riesgos
- Mal funcionamiento del AC ocasiona que el
equipo de cómputo sea apagado.
- La instalación del AC es una fuente de
incendios.
Prevenciones
- Instalar AC de respaldo.
- Extintores y detectores de humo.
- Alarmas de temperatura y humedad.
96. Aire acondicionado
Capacidad del equipo de AC
- Disipación térmica de las máquinas y del
personal
- Pérdidas por puertas y ventanas
- El AC debe ser independiente del aire
general
- Conectarse directamente al generador de
electricidad
Distribución del aire en la sala
- Distribución por techo
- Distribución por piso falso
- Distribución por dos canales
97. Instalación eléctrica
Corriente regulada
Sistemas de corriente interrumpida
- Regular la corriente eléctrica
- Proporcionar energía eléctrica continua
- Tipos de sistemas
Básico
Completo
Redundante
102. DISTURBIOS DE LA
ENERGÍA
ELÉCTRICA
EQUIPO QUE BRINDA LA PROTECCIÓN
SUPRES.
PICOS
ESTAB.
VOLTAJE
ACONDIC
LINEA
EQUIPO
APS
EQUIPO
SPS
EQUIPO
UPS
Picos de Voltaje y
Efectos Transitorios
X X X X
Sobretensión o
Sobrevoltaje
X X X X X
Micro Cortes de
Energía
X X
Armónicos de
Corriente
X X X
Ruido Eléctrico en
Modo Común
X X
Ruido Eléctrico en
Modo Normal
X X
Interferencias EM y de
RF
X X X
Descargas Eléctricas
Atmosféricas
X X
Cortes de Energía ó
Apagones
X X X
103. Protección, detección y extinción de
incendios
Consideraciones sobresalientes
- Paredes de material incombustible
- Techo resistente al fuego
- Canales y aislantes resistentes al fuego
- Sala y áreas de almacenamiento
impermeables
- Sistema de drenaje en el piso firme
- Detectores de fuego alejados del AC
- Alarmas de incendios conectado al general
104. Protección, detección y extinción de
incendios
Tipo de Extintor
Tipo de Material
H2O CO2 Espuma Polvo seco
Seco E Luego
agua
E Luego agua
Líquidos Si E E E
Eléctrico NU E NO SI
NU = No usar
E = Excelente
106. Mantenimiento
Propio o externo
Equipo informático
- Electricidad, agua, AC, etc.
Refleja las actividades disciplinarias
Falta provoca una fractura en la seguridad
107. Taller 2: Trabajo Grupal
a. Establezca una lista de 10 activos en
su empresa.
b. Determine para cada activo sus
debilidades y amenazas a los que están
expuestos.
c. Establezca el nivel de impacto de la
amenaza sobre el activo.
109. Causas de inseguridad
La deficiencia en los equipos respectivos de
soporte
La “inteligencia” social
El espionaje industrial
La deficiente administración de una red
Los virus
Fallos en la seguridad de
programas
Los vándalos informáticos
110. Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentes
Últimos parches no instalados
Amenazas
Violación de la privacidad de los empleados
Fraudes informáticos
Destrucción de equipamiento
111. Captura de PC desde el exterior
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
Virus
Mails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos
Propiedad de la información
Agujeros de seguridad de redes conectadas
Falsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Ingeniería social
Más Amenazas!!
112. Programador de aplicaciones.
* Programación de aplicaciones
que se comportan de modo
contrario a la especificación.
Terminales
* Localizadas en un
entorno inseguro
Terminales de usuarios
* Identificación fraudulenta.
* Fuga ilegal de información
autorizada.
Programador de Sistemas
• Desviación de los
mecanismos de seguridad.
• Inhabilitación de los
mecanismos de seguridad.
• Instalación de un sistema
inseguro.
Entorno externo
• Desastres naturales.
• Ataques mal
intencionados.
• Acceso no autorizado al
centro de computo.
Operador
• Duplicación de informes
confidenciales.
• Inicio de un sistema
inseguro.
• Robo de un material
confidencial.
Autorización
• Especificación
incorrecta de la política
de seguridad.
Radiación
Base de datos
Reglas de
Acceso
Base de Datos
• Acceso no
autorizado.
• Copia.
• Robo.
Hardware
• Falla de los mecanismos
de protección.
• Fuga de la información.
Software de sistemas
• Falla de los mecanismos
de protección.
• Fuga de información.
PROCESADOR
Diafonía
Derivación
113. 113
El Mercado negro mantiene el robo de identidad
Crimeware/Author Description Listed Price
FTP Checker Tool for automating FTP account validation (username/password) from
a predefined list.
$15
IcePack
(by IDT Group)
Application installed on a web server to allow malicious software to be
implanted on remote systems by means of exploits. Redirection is done
using hidden IFRAME tags, most commonly on compromised legitimate
sites.
Advanced administrator interface.
$40 to $400
Limbo
V1.7 (December
2006)
Grabber: tool for collecting banking information 1,000 wmz (see note)
MPack
(by DreamCoders
Team)
V0.99 (August 2007)
Application installed on a web server to allow malicious software to be
implanted on remote systems by means of exploits. Redirection is done
using hidden IFRAME tags, most commonly on compromised legitimate
sites.
$700
Nuclear Grabber
(by Corpse)
V5 (February 2007)
Improved version of Haxdoor without a backdoor. Universal kit for
creating tools to capture targeted banking data. Able to intercept and
retransmit authentic transactions on the fly between the bank and its
client. Addition of new fields to fill out, management of checkboxes and
option lists, virtual keyboards, etc. Data transmitted to the bank is also
sent to a collection site.
$3,000 (October 2005)
$100 (July 2007)
Pinch
(originally by
Coban2k)
V2.99 (March 2007)
Trojan designed to steal information sent by various office tools, such as
RDP (Remote Desktop Protocol) clients and messaging tools (The Bat!,
Outlook, etc.). Guaranteed non-detection.
$30
Update: $5
Management help tool:
$100
Power Grabber
(by privat.inattack.ru)
v1.8 (March 2007)
Grabber: tool for collecting banking information. Works with many
banking organizations, as well as PayPal, eBay, e-gold, etc.
$700
Add $30 for anti-virus
protection.
Web-Attacker
(from inet-lux.com)
Application installed on a web server to allow malicious software to be
implanted on remote systems by means of exploits. Redirection is done
using hidden IFRAME tags, most commonly on compromised legitimate
sites. Technical support available.
$25 to $300 (July 2006)
Approx. $17
Note: wmz is the symbol for one of the electronic money units used by WebMoney (1$US = 1wmz).
116. TEMAS DE PROGRAMACIÓN DE FRAUDE
Técnica de
programación
Definición
Virus
Instrucciones secretas dentro de programas (o datos) que
se ejecutan inocentemente durante tareas ordinarias. Las
instrucciones secretas talvez obstruyan o alteren los
datos, además de diseminarse dentro o entre sistemas
computarizados.
Gusanos
Un programa que se duplica por sí solo y penetra a un
sistema computarizado válido. Tal vez dentro de una red,
penetrando en todas las computadoras conectadas.
Caballo de Troya
Un programa ilegal, contenido dentro de otro programa
que “está latente” hasta que ocurra algún evento
específico, desatando luego la activación del programa
ilegal y la producción de daños.
Rebanada de salami
Un programa diseñado para extraer pequeñas cantidades
de dinero de varias transacciones grandes, de manera que
la cantidad extraída no se manifieste con facilidad.
Super zapping
Un método consistente en utilizar un programa “zap” de
utilería que puede desviar controles para modificar
programas o datos.
Puerta trasera
Una técnica que permite entrar el código de un programa,
posibilitando insertar instrucciones adicionales.
120. Tipos de evaluaciones de seguridad
Exploraciones de vulnerabilidades:
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración:
Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos
países/organizaciones
Auditoría en la seguridad de informática:
Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la
industria
124. Interés en el delito informático
El delito informático parece ser un “buen negocio “:
- Objeto pequeño: la información esta
almacenada en “contenedores pequeños”: no es
necesario un camion para robar el banco, joyas,
dinero,…
- Contacto físico : no existe contacto físico en la
mayoría de los casos. Se asegura el anonimato y
la integridad física del delincuente
- Alto valor : el objeto codiciado tiene un alto
valor. El contenido (los datos) vale mucho más
que el soporte que los almacena (disquete, disco
compacto,…).
Única solución: el uso de Políticas de seguridad
125. 125
Bajo riesgo +
Gran recompensa
+ Oportunidad
=
Más seguro que el crimen tradicional
Prueba rápida:
¿Cuál es el principio criminal?
126. Triángulo de Debilidades
Interrupción
( perdida)
Interceptación
( acceso)
Modificación
( cambio)
Generación
( perdida)
Los datos serán la
parte más vulnerable
del sistema
DATOS
HD SW
Ejemplos de ataques
Interrupción (denegar servicio)
Interceptación (robo)
Modificación (falsificación)
Interrupción (borrado)
Interceptación (copia)
130. Comprender los tiempos de las
vulnerabilidades
Producto
enviado
Vulnerabilidad
descubierta
Actualización
disponible
Actualización
implementada
por el cliente
Vulnerabilidad
presentada
La mayoría de los
ataques ocurren
aquí
131. En este ejemplo, el propio correo incluye un formulario en lugar de ofrecer un enlace a
una página falsa. Si el usuario introduce sus datos y envía el formulario, estos son
finalmente recogidos en un servidor ubicado en Taiwán.
133. Certificaciones de Seguridad
Certified Information Systems Security Professionals
(CISSP).
Certified Information Security Manager (CISM).
Certified Information Systems Auditor (CISA).
SANS Global Information Assurance Certifications
(GIAC).
Federal Information Systems Controls Audit Manual
(FISCAM).
135. Control Interno y Auditoria
CONTROL INTERNO
INFORMATICO
AUDITOR
INFORMÁTICO
Similitudes
Conocimientos especializados en Tecnología de la Información.
Verificación del cumplimiento de controles internos, normativa y
procedimientos establecidos por la Dirección de Informática y la
Dirección General para los sistemas de información.
Diferencias
Análisis de los controles en el día a día.
Análisis de un momento
informático determinado.
Informa a la Dirección del
Departamento de Informática.
Informa a la Dirección
General de la Organización.
Sólo personal interno.
Personal interno y/o
externo.
El alcance de sus funciones es
únicamente sobre el Departamento de
Informática
Tiene cobertura sobre todos
los componentes de los
sistemas de información de
la Organización.
136. Entender los componentes de la
auditorías de seguridad de informática
Proceso
Tecnología
Implementación
Documentación
Operaciones
Empezar con la política
Integrar el proceso
Aplicar tecnología
Modelo de
política de
seguridad
Política
137. Implementar una auditoría de seguridad
de informática
Comparar cada área contra estándares y mejores prácticas
Política de seguridad
Procedimientos
documentados
Operaciones
Lo qué debe hacer Lo qué dice que hace Lo qué realmente hace
138. Estrategias Básicas de Auditoría y
Valoración
Lineamientos Básicos.
Seguridad Basada en el Tiempo (TBS):
P > E D + R = E
P: Protección medida en el tiempo
D: Detección medida en el tiempo
R: Reacción medida en el tiempo
E: Exposición medida en el tiempo
141. Comparar los enfoques con la
administración de riesgos
Muchas organizaciones se han enfocado en la administración
de riesgos de seguridad al adoptar lo siguiente:
La adopción de un proceso que reduce el
riesgo de nuevas vulnerabilidades en su
organización
Enfoque
proactivo
Un proceso que responde a los eventos de
seguridad conforme ocurren
Enfoque
reactivo
142. Comparar los enfoques con la
priorización de riesgos
Enfoque Beneficios Inconvenientes
Cuantitativo
Riesgos priorizados por su
impacto financiero; activos
priorizados por sus valores
financieros
Los resultados facilitan la
administración de riesgos por el
retorno sobre la inversión en
seguridad
Los resultados se pueden expresar
con una terminología
administrativa
Los valores del impacto
asignados a los riesgos se
basan en las opiniones
subjetivas de los
participantes
Requieren mucho tiempo
Puede ser demasiado costoso
Cualitativo
Permite tener una visibilidad y
comprensión de los niveles de
riesgos
Es más sencillo llegar a un
consenso
No es necesario cuantificar la
frecuencia de las amenazas
No es necesario determinar los
valores financieros de los activos
Granularidad insuficiente
entre los riesgos importantes
Dificultad para justificar la
inversión en el control debido
a que no existe una base para
un análisis costo-beneficio
Los resultados dependen de
la calidad del equipo de
administración de riesgos
que se haya creado
143. Administración del Riesgo
Identifica las amenazas y permite
seleccionar las medidas de seguridad de
costo adecuado.
Análisis de la Administración del Riesgo:
Pérdida Esperada = P1 x P2 x L
P1 = Probabilidad de ataque
P2 = Probabilidad de éxito del ataque
L = Pérdida si el ataque tiene éxito
144. Paso 1. Valoración de Activos
Determinar el valor y la importancia de los activos tales como los datos, el
hardware, el software y la redes
Paso 2. Vulnerabilidad de los Activos
Registrar las debilidades en el sistema de protección actual con respecto a
todas las amenazas potenciales.
Paso 3. Análisis de Perdidas
Evaluar la probabilidad de daño y especificar las pérdidas tangibles e
intangibles que puedan originarse.
Paso 4. Análisis de Protección
Proporcionar una descripción de los controles disponibles que deben
considerarse, su probabilidad de defensa exitosa y su costos.
Paso 5. Análisis de costo-beneficio
Comparar los costos y los beneficios. Considerar la probabilidad que ocurran
daños y la protección exitosa de esos daños. Por último, decidir cuáles
controles instalar.
El proceso de administración del riesgo
146. Proceso de administración de riesgos
de seguridad de Microsoft
Realizar un soporte
basado en decisiones
2Implementar los
controles
3
Medir la efectividad
del programa
4
Evaluar los riesgos
1
147. Mitigación
¿Qué está
reduciendo el
riesgo?
Comunicar el riesgo
Declaración de riesgo
Impacto
¿Cuál es el impacto al
negocio?
Probabilidad
¿Cuán probable es la
amenaza dados los
controles?
Activo
¿Qué intenta
proteger?
Amenaza
¿Qué teme que
suceda?
Vulnerabilidad
¿Cómo puede
ocurrir la
amenaza?
149. Provee principios y técnicas que facilitan la
investigación y persecución de ofensas catalogadas
como criminales.
Implica la aplicación de la ciencia al campo legal.
Cualquier principio científico o técnica puede ser aplicada
para:
o Identificar,
o Recuperar,
o Reconstruir y
o Analizar evidencia durante un investigación de un
crimen.
Aplicando métodos científicos los especialistas forenses
pueden analizar la evidencia para:
o Crear hipótesis, efectuar pruebas para verificar dichas
hipótesis, generando posibilidades claras sobre lo que
ocurrió.
Informática Forense
152. Definición
Conjunto de procedimientos de recuperación
Acciones contemplan:
- Antes
- Durante
- Después
Reducir las pérdidas
Control preventivo
153. Objetivos
Mantener al organismo y sus actividades
operando en una situación de desastre.
Las pérdidas provocan:
- Pérdidas financieras directas
- Pérdidas de la producción
- Pérdidas financieras indirectas
- Pérdidas de clientes
- Costos extras para apoyo
- Costo de compensación
- Perdidas de control
- Información errónea o incompleta
- Bases pobres para la toma de decisiones
154.
155. P C N
Partes de un PCN:
Evaluación del riesgo.
Determinación de alternativas de
recuperación.
Implementación del plan de recuperación.
Validación del plan de recuperación.
157. Factores Críticos de Éxito - FCE
Identificación de los procesos críticos del negocio
Dependencia de la TI
Gestión de riesgos adecuados
Calificación y cuantificación del impacto tangible e
intangible
Aplicabilidad y viabilidad de las estrategias de
recuperación
158. Factores Críticos de Éxito - FCE
Participación multidisciplinaria
Retroalimentación - actualización
Documentación de los procesos,
operaciones y funciones
Personal capacitado
160. Metodologías para la Elaboración
del PCN y del PSI
ESTÁNDAR INTERNACIONAL ISO 17799 / BS7799
ESTÁNDAR INTERNACIONAL ISO 17799:2005
ESTÁNDAR INTERNACIONAL ISO 27001:2005
ESTÁNDAR INTERNACIONAL AS/NZS 4360:1999
ITIL – INFORMATION TECHNOLOGY INFRASTRUCTURE
LIBRARY
COBIT – CONTROL OBJECTIVES FOR INFORMATION
AND RELATED TECNOLOGY
163. El ISO 27001:2005 esta basado en el enfoque de procesos,
siendo muy compatible con el ISO 9001:2000.
ISO 27001:2005
164. El modelo obliga a la empresa a establecer el
alcance que tendrá en la empresa (que procesos
abarcará). Cada empresa estratégicamente debe
establecer el alcance que crea conveniente deba
tener el modelo.
Actualmente existen unas 1200 empresas
certificadas con el modelo a nivel internacional.
ISO/IEC 27001:2005 especifica los requisitos
para establecer, implantar, operar, monitorizar,
revisar, mantener y mejorar un sistema de
gestión de la seguridad de la información
documentado en relación al contexto de la
organización y sus riesgos.
ISO 27001:2005
166. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Planificar.
Definir el enfoque de evaluación del riesgo de la
organización.
Establecer metodología de cálculo del riesgo.
Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
Identificar los riesgos asociados al alcance
establecido.
Analizar y evaluar los riesgos encontrados.
167. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Planificar.
Identificar y evaluar las opciones de
tratamiento de los riesgos.
Aplicar controles.
Aceptarlo de acuerdo a los criterios de aceptación.
Evitarlo.
Transferirlo.
Seleccionar objetivos de control y controles
sugeridos por la norma y/u otros que apliquen.
Obtener la aprobación de la gerencia para los
riesgos residuales e implementar el SGSI.
Preparar el Enunciado de Aplicabilidad.
169. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Hacer.
Plan de tratamiento del riesgo.
Implementar el plan de tratamiento del riesgo.
Implementar controles seleccionados.
Definir la medición de la efectividad de los
controles a través de indicadores de gestión.
Implementar programas de capacitación.
Manejar las operaciones y recursos del SGSI.
Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
171. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Revisar.
Procedimientos de monitoreo y revisión para:
Detectar oportunamente los errores.
Identificar los incidentes y violaciones de
seguridad.
Determinar la eficacia del SGSI.
Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
Determinar efectividad de las acciones
correctivas tomadas para resolver una
violación de seguridad.
Realizar revisiones periódicas.
172. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Revisar.
Medición de la efectividad de los controles.
Revisar las evaluaciones del riesgo periódicamente y
revisar el nivel de riesgo residual aceptable.
Realizar auditorías internas al SGSI.
Realizar revisiones gerenciales.
Actualizar los planes de seguridad a partir de
resultados del monitoreo.
Registrar las acciones y eventos con impacto sobre el
SGSI.
174. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
Actuar.
Implementar las mejoras identificadas en el SGSI.
Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
Comunicar los resultados y acciones a las partes
interesadas.
Asegurar que las mejoras logren sus objetivos
señalados.
179. Recursos de TI
Datos, Aplicaciones
Tecnología, Instalaciones,
Recurso Humano
Req. Información
Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad,
Cumplimiento, Confiabilidad
CobiT
Objetivos del Negocio
Planeación y
Organización
Adquisición e
Implementación
Seguimiento
Prestación de
Servicio y
Soporte
1. Seguimiento de los procesos
2. Evaluar lo adecuado del control Interno
3. Obtener aseguramiento inndependiente
4. Proveer una auditoría independiente
1. Identificación de soluciones
2. Adquisición y mantenimiento de SW aplicativo
3. Adquisición y mantenimiento de arquitectura TI
4. Desarrollo y mantenimiento de Procedimientos
de TI
5. Instalación y Acreditación de sistemas
6. Administración de Cambios
IT. Governance
1. Definir un plan estratégico de TI
2. Definir la arquitectura de información
3. Determinar la dirección tecnológica
4. Definir la organización y relaciones de TI
5. Manejo de la inversión en TI
6. Comunicación de la directrices Gerenciales
7. Administración del Recurso Humano
8. Asegurar el cumplir requerimientos externos
9. Evaluación de Riesgos
10. Administración de Proyectos
11. Administración de Calidad
1.Definición del nivel de servicio
2.Admistración del servicio de terceros
3.Admon de la capacidad y el desempeño
4.Asegurar el servicio continuo
5.Garantizar la seguridad del sistema
6.Identificación y asignación de costos
7.Capacitación de usuarios
8.Soporte a los clientes de TI
9.Admistración de la configuración
10.Administración de problemas e incidentes
11.Administración de datos
12.Administración de Instalaciones
13.Administración de Operaciones
181. CONCLUSIÓN
1. Impacto creciente de la tecnología
de información en los procesos de
negocio.
2. Grandes cambios en los controles
de procesos de TI.
182. CONCLUSIÓN
3. La productividad y supervivencia de
una organización depende cada vez en
mayor grado, del funcionamiento
ininterrumpido de los sistemas de
tecnología informática.
4. Transformación de todo el entorno
como un proceso crítico adicional.
183. CONCLUSIÓN
5. Todas las empresas sufren el
impacto de los nuevos escenarios
de riesgo.
6. Es importante contar con un
marco de referencia metodológico
que agilice el proceso de gestión
de seguridad de TI.