You are on page 1of 26

Seguridad de la Informacin

Seguridad
De la

Informacin

Ing. Max Lazaro


Oficina Nacional de Gobierno Electrnico e Informtica

Seguridad de la Informacin

Nuevos Escenarios:

Seguridad de la Informacin

Qu se debe asegurar ?
La informacin debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar debidamente protegida.

Seguridad de la Informacin

Contra qu se debe proteger la Informacin ? La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.

Seguridad de la Informacin

Qu se debe garantizar ?
Confidencialidad: Se garantiza que la informacin es
accesible slo a aquellas personas autorizadas a tener acceso a la misma.

Integridad: Se salvaguarda la exactitud y totalidad de la


informacin y los mtodos de procesamiento.

Disponibilidad: Se garantiza que los usuarios


autorizados tienen acceso a la informacin y a los recursos relacionados con la misma toda vez que se requiera.

Seguridad de la Informacin

Por qu aumentan las amenazas ? Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Informacin, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad.

Seguridad de la Informacin

Por qu aumentan las amenazas ?


Crecimiento exponencial de las Redes y Usuarios Interconectados Profusin de las BD On-Line

Inmadurez de las Nuevas Tecnologas


Algunas Causas

Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Tcnicas de Ataque Distribuido (Ej:DDoS) Tcnicas de Ingeniera Social

Seguridad de la Informacin

Cules son las amenazas ?


Accidentes: Averas, Catstrofes, Interrupciones, ... Errores: de Uso, Diseo, Control, .... Intencionales Presenciales: Atentado con acceso fsico no autorizado Intencionales Remotas: Requieren acceso al canal de comunicacin

Seguridad de la Informacin

Amenazas Intencionales Remotas Interceptacin pasiva de la informacin (amenaza a la CONFIDENCIALIDAD). Corrupcin o destruccin de la informacin (amenaza a la INTEGRIDAD). Suplantacin de origen (amenaza a la AUTENTICACIN).

Seguridad de la Informacin

Poltica de Seguridad para el Sector Pblico

Seguridad de la Informacin

Que se entiende por Politica de Seguridad ?


Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en trminos generales qu est permitido y qu no lo est en el rea de seguridad durante la operacin general de dicho sistema

Diferencias entre Poltica, Estndar y Procedimiento


o Poltica: el porqu una organizacin protege la informacin o Estndares: lo que la organizacin quiere hacer para implementar y administrar la seguridad de la informacin

o Procedimientos: cmo requerimientos de seguridad

la

organizacin

obtendr

los

Seguridad de la Informacin

Cmo establecer los requerimientos de seguridad?


Evaluar los riesgos que enfrenta la organizacin o Se identifican las amenazas a los activos o Se evalan las vulnerabilidades y probabilidades de ocurrencia o Se estima el impacto potencial Tener en cuenta los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: o La organizacin o Sus socios comerciales o Los contratistas o Los prestadores de servicios Establecer un conjunto especfico de principios, objetivos y requisitos para el procesamiento de la informacin

Seguridad de la Informacin

Qu se entiende por SGSI?


SGSI: Sistema de Gestin de la Seguridad de la Informacin ISMS: Information Security Management Sytsem

Un modelo de gestin para la mejora continua de la calidad de la seguridad de la informacin oRealizacin de un anlisis de riesgos

oDefinicin de una poltica de seguridad


oEstablecimiento de controles

Seguridad de la Informacin

Con fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la Norma Tcnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin: Cdigo de Buenas Prcticas para la Gestin de la Seguridad de la Informacin en entidades del Sistema Nacional de Informtica. Se Actualiz el 25 de Agosto del 2007 con la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI.

Seguridad de la Informacin

Marco de las recomendaciones


La NTP-ISO 17799 es una compilacin de recomendaciones para las prcticas exitosas de seguridad, que toda organizacin puede aplicar independientemente de su tamao o sector. La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solucin de seguridad de acuerdo a sus necesidades. Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnologa. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cmo se utilizan.

Seguridad de la Informacin

En este sentido La Norma Tcnica Peruana ISO 17799, se emite para ser considerada en la implementacin de estrategias y planes de seguridad de la informacin de las Entidades Pblicas. La NTP NO exige la certificacin, pero si la consideracin y evaluacin de los principales dominios de acuerdo a la realidad de cada organizacin.

Seguridad de la Informacin

Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?

Seguridad de la Informacin

Los 11 dominios de control de ISO 17799


1. Poltica de seguridad: Se necesita una poltica que refleje las expectativas de la organizacin en materia de seguridad, a fin de suministrar administracin con direccin y soporte. La poltica tambin se puede utilizar como base para el estudio y evaluacin en curso. Aspectos organizativos para la seguridad: Sugiere disear una estructura de administracin dentro la organizacin, que establezca la responsabilidad de los grupos en ciertas reas de la seguridad y un proceso para el manejo de respuesta a incidentes.

2.

Seguridad de la Informacin

3.

4.

Clasificacin y Control de Activos: Inventario de los recursos de informacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de proteccin. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes.

5.

Seguridad fsica y del Entorno: Responde a la necesidad de proteger las reas, el equipo y los controles generales.

Seguridad de la Informacin

6.

Gestin de Comunicaciones y Operaciones: Los objetivos de esta seccin son:


Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la informacin. Conservar la integridad y disponibilidad del procesamiento y la comunicacin de la informacin. Garantizar la proteccin de la informacin en las redes y de la infraestructura de soporte. Evitar daos a los recursos de informacin e interrupciones en las actividades de la institucin. Evitar la prdida, modificacin o uso indebido de la informacin que intercambian las organizaciones.

Seguridad de la Informacin

7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin como proteccin contra los abusos internos e intrusos externos. 8. Adquisicin, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnologa de la informacin, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.

Seguridad de la Informacin

9.

Gestin de Incidentes de la Seguridad de la informacin Asegurar que los eventos y debilidades en la seguridad de la informacin sean comunicados de manera que permitan una accin correctiva a tiempo.

10. Gestin de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organizacin y para proteger los procesos importantes de la organizacin en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.

Seguridad de la Informacin

Implementando Seguridad de la Informacin


Enfoque General

3.- Aplicacin de ISO 17799


Ejemplo de Implantacin

Seguridad de la Informacin

ISO 17799 no es una norma tecnolgica. Esta redactada de forma flexible. Se adapta a cualquier implantacin en todo tipo de organizaciones sin importar su tamao o sector de negocio.

24

3.- Aplicacin de ISO 17799


Ejemplo de Implantacin

Seguridad de la Informacin

Dominio de control: operaciones

Gestin de comunicaciones y

Objetivo de control: proteger la integridad del software y de la informacin.

Control: Controles contra software malicioso.

Se deberan implantar controles para detectar el software malicioso y prevenirse contra l, junto a procedimientos adecuados para concienciar a los usuarios. 25

3.- Aplicacin de ISO 17799


Ejemplo de Implantacin

Seguridad de la Informacin

Tras un trabajo de Consultora se establecera:


Normativa de uso de software: definicin y publicitacin en la Intranet. Filtrado de contenidos: X - Content Filtering Antivirus de correo: Y Antivirus Antivirus personal: Z Antivirus

26