You are on page 1of 77

UAGRM.

Diplomado en Seguridad
Informtica
SEPTIEMBRE DEL 2012
DOCENTE: Ing. Rolando Lijern L.
MSc. Auditora y Seguridad Informtica
1. La Seguridad Informtica: Trminos
relacionados con la Seguridad
Informtica; Objetivos de la
Seguridad Informtica; Polticas,
Normas y Procedimientos de la
Seguridad Informtica.
2. Seguridad Fsica y Lgica: Factores
potenciales de riesgo. Ejemplos.
Soluciones de Seguridad Lgica.
Identificacin de amenazas
potenciales. Prevencin de riesgos.
Ejemplos. Soluciones de seguridad
fsica.
3. Anlisis de Riesgos: Identificacin
del Riesgos, Seguimiento y
Monitoreo del Riesgo en la
Actividad Informtica. Estndar
Australiano ASNZS 43601999
4. Gobierno de la Seguridad
Informtica: Sistemas de
Evaluacin de Seguridad. Estndar
ISO 27001, ITL, COBIT.

Aprobacin
Evaluacin
Continua Trabajos
Prcticos 25 %.
Trabajo Obligatorio
Expuesto 35%.
Examen Final40%.
Programa del Curso
TEMA 1:
LA SEGURIDAD INFORMTICA

Consideracin de Seguridad
La seguridad es una meta ambiciosa es
considerada por otros estudios una
herramienta dentro del mbito en la que se
la estudia, ya que como materia no existe.
Muchos se arriesgan ha que esta teora es
tan amplia, compleja y abstracta como la
pobreza, la belleza o el amor y ni si quiera se
arriesgan a dar su definicin.
El Dr. MANUNTA en su libro: Seguridad:
Una Introduccin dice:
La Seguridad hoy en da es una profesin
compleja con funciones especializadas.
Podemos decir que la seguridad es un
problema antagonista (de rivalidad,
oposicin substancial) y de la competencia.

Concepto: Seguridad
La cualidad de estar Libre y protegido u
exento de todo peligro, dao o riesgo.
Cierto, indubitable y en cierta manera infalible.
Seguridad, certeza, confianza.
Certeza: Conocimiento seguro y claro de
alguna cosa.
Firme adhesin de la mente a algo
conocible, sin temor de errar.
Confianza: Esperanza firme que se tiene
de una persona o
cosa/nimo, aliento, vigor para obrar.
Condicin de ese o aquel en que se puede
fiarse.
Concepto: Informtica
La Informtica es la ciencia que estudia
el tratamiento automtico de la
informacin en computadoras,
dispositivos electrnicos y sistemas
informticos.
Proviene del francs informatique y
fue acuado por el ingeniero Philippe
Dreyfus en 1962. Form una conjuncin
entre las palabras "information" y
"automatique".
Sistemas Informticos
Cada da ms los sistemas informticos resuelven por
nosotros cada da ms problemas.
Esto implica dos consecuencias:
Los Sistemas Informticos manejan informacin
vital para individuos y organizaciones.
Muchas veces es imprescindible que los Sistemas
Informticos de una organizacin estn disponibles.
La mayora del mundo informtico desconoce
la magnitud de los problemas a los que se enfrenta; y
generalmente no se invierte capital econmico
y humano necesarios para prevenir
principalmente el dao de la perdida de
informacin.

Seguridad informtica es un conjunto de
soluciones tcnicas a problemas no
tcnicos.
Seguridad Informtica es el conjunto de
reglas, planes y acciones que permiten
asegurar la informacin contenida en un
sistema computacional. Seguridad
informtica es un conjunto de soluciones
tcnicas a problemas no tcnicos.
Como se sabe el problema nunca se
resuelve: ya que la energa no desaparece
solo se transforma en solucin; estar dada
en transformacin de problemas diferentes
y aceptables.
Seguridad Informtica
Seguridad Informtica (SI)
La SI es una disciplina que permite asegurar que los
recursos del sistema de informacin de una
organizacin u entidad sean utilizado de la manera
que decidi; libre de toda falla, peligro, dao o
riesgo que pueda afectar su funcionamiento
directo o los resultados que se obtienen del mismo.

E-Security
Integridad
Confidencialidad Disponibilidad
Autenticidad
Elementos de La Seguridad
La informacin slo puede
ser modificada por quien est
autorizado y de manera
controlada.
La informacin slo
debe ser legible para
los autorizados.
Debe estar disponible
cuando se necesita
El Objetivo de la Seguridad Informtica ser mantener la Integridad,
Disponibilidad, Confidencialidad, Control y Autenticidad de la Informacin
manejada por un Sistema Informtico.
La informacin fue producida, expedida, cambiada o destruida
por una determinada persona fsica, o por determinado sistema
o entidad;
Relacin con otros aspectos
No repudio: Es la proteccin contra la
falsa negacin del involucramiento en
una asociacin, o sea, garantizar la
autora de determinadas acciones
impidiendo el repudio (negacin) de la
misma;
Auditoria: Es la capacidad de determinar
que acciones o procesos se estn
llevando en el sistema, as como quien y
cuando las realiza.
Proteccin a la Replicas: Asegurar que
una transaccin pueda realizarse una sola
vez (a menos que se especifique lo
contrario).
Consistencia: Se debe asegurar que el
sistema se comporte como se supone que
debe hacerse ante los usuarios que
corresponda.
Trminos Relacionados..1
Activo: recurso del sistema de
informacin o relacionado con
ste, necesario para que la
organizacin funcione
correctamente y alcance los
objetivos propuestos.
Amenaza: es un evento que
puede desencadenar un
incidente en la organizacin,
produciendo daos materiales
o prdidas inmateriales en sus
activos.
Trminos Relacionados..2
Impacto: medir la
consecuencia al materializarse
una amenaza.
Riesgo: posibilidad de que se
produzca un impacto
determinado en un Activo, en
un Dominio o en toda la
Organizacin.
Vulnerabilidad: posibilidad de
ocurrencia de la
materializacin de una
amenaza sobre un Activo.

Trminos Relacionados..3
Ataque: evento, exitoso o
no, que atenta sobre el
buen funcionamiento del
sistema.
Desastre/Contingencia:
interrupcin de la
capacidad de acceso a
informacin y
procesamiento de la misma
a travs de computadoras
necesarias para la
operacin normal de un
negocio.

Seguridad de que
Se trata de la proteccin de los activos
informticos (ISO 27001):
1. Informacin
Es el objeto de mayor valor para una organizacin,
el objetivo es el resguardo de la informacin,
independientemente del lugar en donde se
encuentre registrada, en algn medio electrnico o
fsico.
Registros electrnicos o fsicos.
Todo lo importante para el negocio.
2. Equipos que la soportan.
Software, hardware y organizacin.
3. Usuarios
Individuos que utilizan la estructura tecnolgica y de
comunicaciones que manejan la informacin.

Esto implica:
Proteccin de informacin.
Asegurar la continuidad de los sistemas informticos
que dan soporte a las operaciones de una
organizacin.
1.Informacin
Tipos de Informacin

Impresos o escritos en papel.
Almacenada electrnicamente.
Transmite por correo o en forma
electrnica.
La que se muestra en videos corporativos.
Lo que se habla en conversaciones.
Estructura corporativa de informacin.
Documentos, informes, libros, manuales,
cdigo de programacin, lineas de
comando, planilla de sueldos de
empleados, etc.

Valor de la Informacin (Vi)
Establecer el valor de la
informacin es algo totalmente
relativo, pues es un recurso que no
se valora adecuadamente debido a
su intangibilidad, cosa totalmente
diferente que no ocurre con
equipos, aplicaciones y
documentacin que la soportan.
Vi=CR+CNT
CR=Costo de Recuperacin
CNT=Costo de No Tenerla
1. Clasificacin de la Informacin
Existe informacin que no
puede ser pblica: puede ser
visualizada por otra persona;
y aquella que debe ser
privada solo puede ser
visualizada por un grupo
selecto de personas.
Esta ultima debe ser a la vez
subclasificada de acuerdo a
las siguientes caractersticas:
Es Critica: es
indispensable para
garantizar la continuidad
operativa.
Es valiosa: es un activo
con valor en si misma.
Es sensitiva: Debe ser
conocida por personas
que la procesan y slo
por ellas.
Riesgos de la Informacin
Robo de informacin vital para
el negocio,
Perdida de informacin
sensible,
Prdida de archivos,
Falsificacin de Documentos:
puede producirse la alteracin
de contenidos, introduccin de
datos falsos, manipulacin
fraudulenta de datos, etc.

La Informacin es un activo que
como cualquier otro activo
importante del negocio, tiene
valor para la organizacin,
consecuentemente necesita
Proteccin Adecuada.
2.Equipos: Software
Software.
Todos los programas usados para automatizar procesos.
Riesgos de Software
Fallas publicadas no reparadas que
puedan representar accesos indebidos
a los equipos. Prdida de los sistemas
de respaldo.
Puede producirse la sustraccin de
programas, ejecucin errnea,
modificacin, defectos en llamadas al
sistema, etc.
Puede producirse la introduccin de
un virus, mal uso de la gestin de
memoria, bloqueo del sistema, etc.
Se busca evaluar la
creacin, distribucin
y uso de software
para detectar
vulnerabilidades. En
los Sistemas
operativos (Unix,
Windows, Linux, etc.),
Programas de correo
electrnico, Sistemas
de Respaldo,
Sistemas etc.
2.Equipos: Hardware
Hardware.
Toda la infraestructura tecnolgica que brinda soporte a la
informacin.
Cualquier equipo en el cual se almacene, procese o
transmita la informacin de la empresa.
Ej.: computadores, servidores, porttiles, mainframes,
medios de almacenamiento, equipos de conectividad,
routers, switchs y cualquier otro elemento de una red de
computadoras por donde transita la informacin.

Riesgos de Hardware
Denegacin de servicios necesarios para la operativa.
Fallas elctricas que daen los equipos, inundaciones en
centros de cmputo, robo de equipos porttiles.
Pueden producirse errores intermitentes, conexiones suelta,
desconexin de tarjetas, etc.
2.Equipos: Organizacin
Organizacin.
Todos los aspectos que componen la estructura fsica y
organizativa de las empresas
La organizacin lgica y fsica que tiene el personal dentro
de la empresa
Ej.: la estructura departamental y funcional, el cuadro de
asignacin de funcionarios, la distribucin de funciones y los
flujos de informacin de la empresa, ambiente fsico
Riesgos Organizacin
Inseguridad en la ubicacin FISICA: documentos, equipos o
personas.
Estructura organizacional que no permita los cambios en materia
de seguridad.



3. Usuarios
Organizacin.
Todos los individuos que utilizan la estructura tecnolgica y
de comunicacin de la empresa y que manejan la
informacin
Enfocado a la toma de conciencia de formacin del hbito
de la seguridad
Ej.: Empleados del rea de contabilidad, directivos de la
empresa

Riesgos de Organizacin
Robo de Informacin por: No usar contraseas complejas o No
bloquear el computador.
Falta de cooperacin por parte de los usuarios en materia de
seguridad.
Descuido de parte de los usuarios en el manejo de la
informacin.
La Ingeniera Social: Como conocer o aprender detalles
operativos internos. Debilidad humana toman ventaja de:
descuidos internos, Debilidad humana toman ostentosa o
aparente autoridad, exceso de colaboracin y otros.
puede producirse la suplantacin de identidad, el acceso no
autorizado, visualizacin de datos confidenciales, etc.

Todos estos riesgos ocurren?
Estamos prestando atencin a
este tema ?
Si y es ms frecuentemente de lo que en principio imaginamos.
Es raro que se hagan pblicos estos problemas.
La base del problema
Muchas aplicaciones informticas estn concebidas como sistemas
abiertos, se comunican sobre protocolos estndar, se integran
fcilmente con otras herramientas...
Soluciones baratas, abiertas, escalables, cuyos detalles tcnicos son
conocidos por todos.
Estas ventajas tambin abren la posibilidad de
ataques que permiten vulnerar nuestros sistemas.
Es muy peligroso enfocar la seguridad
informtica en torno a reaccionar a ataques.
Es preferible adoptar una actitud proactiva,
orientada a detectar incidentes e intervenir de
inmediato, de modo de evitar ataques.
Recomendacin
ISO/IEC 27002
Seguridad de la informacin: Es la
proteccin de las informaciones de
los diversos tipos de amenazas para
minimizar dao al negcio y
garantizar su continuidad,
maximizando el returno de las
inversiones y las oportunidades de
negcio;
Evolucin de la Seguridad de la
Informacin
Seguridad no es solamente un
problema tecnolgico, si no una
gestin inteligente de la informacin
en todos los ambientes;
Gestin de la Seguridad
La GS de la Informacin es obtenida a partir de la
implementacin de un conjunto de controles adecuados,
incluyendo polticas, normas, procedimientos, procesos,
estructuras organizacionales y funciones de hardware y software;

Apoyo de la
Alta Gerencia;
Poltica de la
seguridad que
refleje los objetivos
del negcio;
Comprometimiento y
apoyo visible de
todos los niveles de
la organizacin;
Buen entendimien
o de los requisitos
de seguridad y
Gestin de riesgos;
Proporcionar
divulgacin,
Conscientizacin,
entrenamiento y
Educacin
adecuados;
Provisin de
Recursos
financieros para la
Seguridad;
Adocin de indicadores
para la Medicin de la
Seguridad;
Poltica
Norma
Procedimiento
Documento fundamental que forma el
establecimiento, direccionamiento y
soporte administrativo necesario para la
gestin de la seguridad de la informacin.
PNP
Regla que especifica que
accin o respuesta que se
debe seguir a una situacin
dada.
Los procedimientos definen cmo las polticas, normas
basadas en estndares, mejores prcticas o guas que
sern implementados en una situacin dada
dependiendo de las tecnologas, infraestructura
procesos o plataformas utilizadas.
La Poltica de Seguridad Informtica (PSI)
es un conjunto de leyes, reglas, guas y
prcticas que regulan cmo una
organizacin u entidad maneja, protege y
distribuye informacin sensitiva.
Contenido de la Poltica de
Seguridad
1. Alcance de la polticas, incluyendo
facilidades, sistemas y personal sobre la
cual aplica.
2. Objetivos de la poltica y descripcin
clara de los elementos involucrados en
su definicin.
3. Responsabilidades por cada uno de los
servicios y recursos informticos a todos
los niveles de la organizacin.
4. Requerimientos mnimos para
configuracin de la seguridad de los
sistemas que cobija el alcance de la
poltica.
5. Definicin de violaciones y de las
consecuencias del no cumplimiento de
la poltica.
6. Responsabilidades de los usuarios con
respecto a la informacin a la que l o
ella tiene acceso.

PNP

La administracin superior debe definir una poltica
clara y apoyar la Seguridad de la Informacin a
travs de la creacin y mantenimiento de una
poltica de seguridad de la informacin a lo largo
de la organizacin.
El Documento debe ser aprobado por la
administracin, publicado y comunicado a todos
los empleados.
La evaluacin y revisin poltica debe ser
administrada por una persona quin es
responsable de su mantenimiento de acuerdo a un
proceso definido.
Todos estos documentos (normas, procedimientos,
modelos, guas y orientaciones) deben ser creados
y mantenidos, de acuerdo con la jerarqua de la
documentacin de la organizacin; para ello
debemos apoyarnos a estndares por ejemplo: El
Estndar Internacional para Criterio de Evaluacin
de Seguridad 15408, COBIT(Objetivos de Control
para la TI), ITIL ISO 27001,..ETC.




Objetivos de PNP
1. Informar al mayor nivel de detalle a los
usuarios, empleados y gerentes de las normas y
mecanismos que deben cumplir y utilizar para
proteger los componentes de los sistemas de la
organizacin.
2. Proporcionar los criterios para adquirir,
configurar y auditar los sistemas de computacin
y redes para que estn en concordancia con la
poltica de seguridad.
3. Establecer metodologas para evaluar en
forma efectiva los riesgos y debilidades de
seguridad en los sistemas de la organizacin.
4. Comunicar las responsabilidades para la
proteccin de la informacin.
5. Establecer la metodologa de comunicacin
de la presente poltica a todos lo usuarios de
la informacin de la organizacin.
6. Explicitar el Impacto de los Eventos de
Seguridad en la Organizacin
7. Bsicamente poner por escrito qu y como
se va a hacer con cada una de las cosas
que vimos en el curso y otras que van a ver
prximamente.



PNP

Privacidad de la Informacin: Asegurar que
los activos de informacin reciben un
apropiado nivel de proteccin. Clasificar la
Informacin: Pblica, Uso Interno
Solamente/Privada, Secreto, Confidencial,
Equilibrio entre la Confidencialidad,
Integridad y Disponibilidad, Valorar los Activos
de Informacin, Evaluar Riesgos, Determinar
Relacin de costo/beneficio, atenuar
incidentes de seguridad, definir matriz de
dueos de la informacin y las
responsabilidades por cada rol de usuario
especificando las reglas de seguridad y el
propsito de su uso.
Clasificacin y Control de Activo: Mantener
protecciones apropiadas para los activos
organizacionales. Realizar un Inventario de los
Activos para ello cada activo deber ser
claramente identificado y se debe
documentar la propiedad y clasificacin de
seguridad, adems de su ubicacin actual.

PNP

Controles de Acceso: Controlar el acceso a la
informacin.
Gestin del acceso de los usuarios : Registro de
usuarios, Gestin de contraseas de los usuarios,
Identificacin y Autenticacin (Cruzado roles y
categoras de Informacin), Reglas para las
contraseas, Gestin de privilegios, Revisin de los
permisos de acceso de los usuarios, Privilegios para
acceso por defecto.
Control de acceso a la red de comunicaciones:
Proteccin de los datos de las estaciones de trabajo,
Control de acceso para las aplicaciones,
Restricciones al acceso de la informacin.
Accesos a sistemas: Aislamiento de sistemas
aplicativos sensitivos, Uso de los utilitarios del sistema,
Monitoreo del acceso y uso de los sistemas, Registro
(log) de eventos (sistemas automticos de
advertencias), Monitoreo del uso de los sistemas,
Sincronizacin de relojes
Acceso remoto, uso de mdem y equipos portables.
Segregacin de responsabilidades
Uso de criptografa





PNP

Seguridad Fsica y Ambiental: Prevenir el acceso no
autorizado, dao e interferencia a la informacin y
premisas del negocio.

Los elementos que forman parte del procesamiento de
informacin sensitiva o crtica del negocio debern ser
resguardados y protegidos por un permetro de seguridad
definido con controles apropiados de entrada.
Los equipos deben ser protegidos de cadas de electricidad y
otras anomalas elctricas.
Incluir Medidas de acceso fsico
Acceso a reas restringidas
Acceso de proveedores de servicios
Detecciones de irregularidades
Seguridad elctrica
Incendios y humo
Cableado
Almacenamiento de respaldos
Inventario de dispositivos de tecnologa de la informacin
Ubicacin de los dispositivos de conectividad
Ubicacin y documentacin de llaves
Seguridad de insumos
Seguridad lgica
Seguridad de acceso lgico
Logs del sistema
Respaldos






PNP

Seguridad del Personal: Reducir los riesgos de errores
humanos, robo, fraude o mal uso de las facilidades
organizacionales.

Todos los empleados y usuarios externos de los servicios de
procesamiento de la informacin deberan firmar un acuerdo
de confidencialidad y programa de divulgacin.
El acuerdo de confidencialidad debe hacer notar que la
informacin es confidencial o secreta.
Todos los empleados de la organizacin debern recibir
entrenamiento apropiado en los procedimientos y polticas
organizacionales.
La regularidad depender de la actualizacin o los cambios
que se den en la organizacin.
Debe establecerse un procedimiento formal de reporte de
incidentes como de respuesta a incidentes (aprender de los
incidentes para minimizar daos futuros).
Los usuarios debern reportar cualquier debilidad de
seguridad observada o sospechas que tengan de los sistemas
o servicios.
Desecho seguro de contenidos
Seguridad en las descripciones de tareas y actividades del
negocio
Seguridad en la asignacin de tareas
Seguridad en la Contratacin, Modificacin o Baja de
Personal.
Seguridad en la interaccin con entidades externas (Clientes,
Proveedores).
Seguridad en la Gestin Tercerizada.





PNP

Seguridad Organizacional: Administrar la
seguridad de la Informacin dentro de la
organizacin.

Infraestructura de la Informacin: El consejo
directivo o un grupo designado por este
debera de asumir la responsabilidad de la
seguridad de informacin.
Definir claramente las responsabilidades para la
proteccin de activos de informacin fsicos y
procesos de seguridad.
Se deben establecer procesos de autorizacin
para nuevas facilidades de procesamiento de la
informacin.
Es recomendable disponer de la asesora de un
especialista de seguridad (para propsitos de
evaluacin o de investigacin de incidentes).
Seguridad en el acceso de terceros: Revisar los
tipos de acceso (fsicos y lgicos), Los contratos
deben incluir controles.

PNP

Administracin de Comunicaciones y
Operaciones: Asegurar la correcta y segura
operacin de todos los elementos de
procesamiento de la informacin.
Los procedimientos de operacin identificados
por la poltica de seguridad debern ser
documentados y revisados constantemente.
Los cambios en los sistemas y elementos de
procesamiento de informacin deben ser
controlados.
Se deben establecer procedimientos y
responsabilidades para el manejo de
incidentes, como:
Procedimientos que cubran todos los tipos
potenciales de incidentes de seguridad (prdidas
de servicio, negacin de servicio, datos
incorrectos, brechas de confidencialidad.
Procedimientos para Planes de Contingencia,
Anlisis e Identificacin de las causas de un
incidente, Coleccin de pistas de auditora,
Reporte a las autoridades, etc.
Las acciones a seguir para recuperarse de
problemas de seguridad y correccin de fallas en
los sistemas, (las acciones de emergencias deben
ser documentadas en detalle).



PNP

Administracin de Comunicaciones y
Operaciones: Asegurar la correcta y segura
operacin de todos los elementos de
procesamiento de la informacin.
La segregacin de tareas y oposicin de
intereses es un mtodo de reducir los riesgos del
mal uso (accidental o deliberado) de los
sistemas.
Las reas de desarrollo de Sistemas y Pruebas
deben estar separadas de los Sistemas en
Produccin.
La planeacin y aceptacin de sistemas debe
minimizar los riesgos de fallas en los sistemas.
Se debe monitorear y proyectar los
requerimientos de capacidad a fin de asegurar
que hay disponible una adecuada capacidad
de procesamiento y almacenamiento.
Deben establecerse criterios de aceptacin para
nuevos sistemas de informacin, actualizaciones
y nuevas versiones y se deben definir pruebas
para llevarlas a cabo antes de su aceptacin.



PNP

Administracin de Comunicaciones y Operaciones:
Asegurar la correcta y segura operacin de todos
los elementos de procesamiento de la informacin.

Asegurar la proteccin de la informacin en las redes
as como de su infraestructura.
Los administradores de la red deben implementar
controles que aseguren a los datos en la red de accesos
no autorizados por el:
Correo Electrnico
File transfer Protocol
World Wide Web (WWW), HTTP y HTTPS
Auditora a la actividad en Internet
Seguridad en la proteccin de equipos su instalacin y
configuracin.
Concienciar la Seguridad en la red Internet
Establecer medidas de proteccin de los servicios en
Internet
Tambin se deben implementar controles adicionales
para proteger los datos sensitivos que pasan sobre redes
pblicas.
Hacer copias en forma regular de la informacin
esencial del negocio y del software. Se pueden utilizar
los siguientes controles:
Documentacin de los Backups, copias adicionales y
almacenadas en una localidad remota.
Los Back-ups se deben proteger fsicamente y contra las
condiciones del ambiente.


PNP

Administracin de Comunicaciones y Operaciones:
Asegurar la correcta y segura operacin de todos
los elementos de procesamiento de la informacin.

Proteger la integridad del Software y la Informacin
contra Software Malicioso.
Poltica para el cumplimiento con licencias de software y
prohibir el uso de software No autorizado.
Poltica para proteger contra los riesgos asociados al
obtener archivos o software de redes externas.
Instalacin y actualizacin regular de Antivirus y software
scaneador de computadoras cono una medida
preventiva.
Revisar regularmente del software y contenido de datos
de los sistemas que soportan los sistemas crticos del
negocio.
Revisar cualquier archivo electrnico contra virus.
Revisar los documentos adjuntos en correos electrnicos
as como cualquier archivo que se baje de Internet
contra cdigo malicioso.
Procedimientos y responsabilidades administrativas para
lidiar con la proteccin de virus en los sistemas,
entrenamiento y reporte y recuperacin de ataques.
Planes de Continuidad del Negocio para recuperarse
ante ataques de virus.
Procedimientos para verificar todas la informacin en
relacin con software malicioso y verificar que los
boletines de advertencia son verdaderos.


PNP

Administracin de Comunicaciones y Operaciones:
Asegurar la correcta y segura operacin de todos
los elementos de procesamiento de la informacin.

Se deben definir procedimientos para la proteccin
de documentos, discos, cintas, bases de datos, etc.,
del robo o acceso no autorizado.
Los medios que no se ocupen ms en la empresa
deben ser desechados en forma segura.
La documentacin de sistemas puede contener
informacin sensitiva por lo que debe ser
almacenada con seguridad.
Se debe prevenir la prdida, modificacin o mal uso
de la informacin intercambiada entre
organizaciones.
El correo electrnico presenta los siguientes riesgos:
Vulnerabilidad de los mensajes acceso no
autorizado.
Vulnerabilidad a errores (direcciones incorrectas).
Cambio en los esquemas de comunicacin (ms
personal).
Consideraciones legales (prueba de origen).
Controles para el acceso remoto al correo.


PNP

Desarrollo y Mantenimiento de Sistemas: Asegurar
que la seguridad es incluida en los Sistemas de
Informacin.
Seguridad en las Aplicaciones
Prevenir la prdida, modificacin, o mal uso de los
datos en las aplicaciones.
Seguridad en los archivos del Sistema.
Asegurar que los proyectos de TI y actividades de
soporte son conducidas en una manera segura.

Administracin en la Continuidad del Negocio:
Actuar ante interrupciones de las actividades del
Negocio y proteger procesos crticos del negocio
de los efectos de fallas o desastres considerables.
Establecer un marco de trabajo para el planeamiento
de la continuidad de las actividades del negocio.
El marco de trabajo de los planes de continuidad del
negocio debe ser mantenido para asegurarse que
todos son desarrollados en forma consistentes,
pruebas y mantenimiento.
Se deben probar con frecuencia los Planes de
Continuidad ante la falla de conectividad, falla del
suministro electrico o escenarios parecidos entre otros.
Establecer Responsabilidades y acciones a Tomar en
caso de falla
De incumplimiento
De sabotaje
Otros

Aspectos legales
Las PNP deben definir
procedimientos apropiados
para ser implementados de
manera de asegurarse del
cumplimiento de las
restricciones legales para
evitar brechas o violaciones
a cualquier ley criminal o
civil, regulatoria o
contractual.
Ej.: Pueden en materia de
derecho de la propiedad
intelectual entre otros.


TEMA 2:
SEGURIDAD FSICA Y LGICA


Existen dos tipos de
seguridad con respecto a la naturaleza de
la amenaza:

Seguridad lgica:
Conjunto de medidas vueltas para
la prevencin y la obstruccin de
las acciones u ocorrencias
adversas de cualquier naturaleza
que puedan comprometer medios
computacionales donde sean
tratadas las Informaciones;
Involucra la Proteccin de la
informacin en su propio medio
mediante el enmascaramiento de
la misma usando tcnicas de
criptografa. Aplicaciones para
seguridad, herramientas
informticas, etc.
Tipo de Seguridad con
respecto a la naturaleza de la amenaza
Seguridad Fsica:
Conjunto de medidas vueltas para la
prevencin y la obstruccin de las acciones u
ocurencias adversas de cualquier naturaleza
que puedan comprometer las reas o las
instalaciones donde sean tratadas las
informaciones;
Involucra la Proteccin del sistema
ante las amenazas fsicas,
planes de contingencia,
control de acceso fsico,
polticas de seguridad, normativas,
mantenimiento elctrico,
anti-incendio, humedad, etc.
Proteger Activos
Proteger los activos
significa mantenerlos
seguros contra las
AMENAZAS que puedan
afectar su funcionalidad.
Integra, nadie que no tenga acceso
para eso puede modificarla en su
transito. No Corrompida.
Confidencial, la pueden ver solo los
que tienen permiso para ello. Libre de
Robo.
Disponible, debe poder ser consultada
en el momento necesario, sin
interrupciones. Libre de Fallos en la
Disponibilidad.

Vulnerabilidades que
pueden hacer que las
amenazas impacten
nuestros sistemas
Son los elementos que, al ser
explotados por amenazas, afectan la
confidencialidad, disponibilidad e
integridad de la informacin
Los puntos dbiles dependen
de la forma en que se
organiz el ambiente en que
se maneja la informacin
Nueva tarea: La correccin de puntos dbiles existentes en el
ambiente en que se usa la informacin.
Puntos dbiles
Objetivos: Amenazas+puntos dbiles
Conocer los diferentes tipos de
amenazas que puedan
presentarse en todos los activos
de la empresa, para reconocer
su importancia y permitirnos
minimizar el impacto que
provocan.
Identificar los diferentes tipos de
Puntos dbiles o Vulnerabilidades
de los activos y conocer como stos
pueden permitir que las amenazas
alteren la disponibilidad,
confidencialidad o integridad de la
Informacin.

Las AMENAZAS son agentes que pueden explotar fallos de seguridad (PUNTOS
DEBILES) y como consecuencia causar la perdida o daos a los ACTIVOS de la
empresa.




Tipos de
AMENAZAS:
AMENAZAS
Naturales: Condiciones de la naturaleza que
podrn causar desastres y daos a los activos,
Ej.: fuego/incendio, inundacin, terremotos.
Intencionales: Ataques (es un problema
complejo, a veces no se descubren los ataques,
o se descubren mucho despus que ocurrieron.
), Hacker, Sabotajes, espionaje, invasiones,
robos...etc.
Involuntarias: Generalmente son acciones
inconscientes de usuarios, Ej., virus, empleados
conectndose a travs de un mdem a Internet y
compartiendo la red corporativa,
Programas malignos: virus , espas , troyanos,
gusanos, phishing, spamming, etc.
Las AMENAZAS siempre han existido y conforme avanza la tecnologa, estas
surgen en nuevas formas.
Es importante conocer como se clasifican las VULNERABILIDADES o
PUNTOS DEBILES que pueden hacer que las amenazas impacten en los
sistemas de la empresa.


Clasificacin
de
PUNTOS
DEBILES:

Existe la opinin de que la principal amenaza para la seguridad en una
empresa pasa por los mismos empleados = amenazas internas.

Amenazas y Puntos Dbiles

Fsicas: Afectan la disponibilidad, Son aquellos presentes en
ambientes donde se maneja la info, Ej.: no disponer de bomberitos.
Naturales: Condiciones de la Naturaleza que pueden colocar en
riesgo la info.
De Hardware: Los posibles defectos en la fabricacin o
configuracin de los equipos, Robos, Averas en Cables,
Conservacin o mantenimiento inadecuado.
De Software: Permiten que ocurran accesos indebidos a sistemas
informticos, Configuracin inadecuada, Puertas traseras.
De Comunicacin: Abarca todo el trnsito de la informacin.
Humanas: Daos que las personas pueden causar a la informacin
y al ambiente tecnolgico que la soporta. Personal interno.

El RIESGO es la probabilidad de que las amenazas
exploten los PUNTOS DEBILES, causando
prdidas o daos a los ACTIVOS e impactos al
negocio, afectando: La confidencialidad, la
integridad y la disponibilidad de la informacin.

Con lo cual la SEGURIDAD INFORMATICA, es:
Una Prctica Orientada hacia la eliminacin de las
VULNERABILIDADES o PUNTOS DEBILES para
reducir la posibilidad de que las potenciales
AMENAZAS sean exitosas.
Como Objetivo: Garantizar el xito de la
comunicacin segura, con informacin integra,
confidencial y disponible apoyndose en las
MEDIDAS DE SEGURIDAD para lograr dicho
objetivo.


Amenazas y Puntos Dbiles

Medidas de Seguridad
Preventivas
evitar los puntos
dbiles
Perceptivas
encontrar actos que
provoquen riesgo
Correctivas
correccin de
problemas cuando
ocurren
Son las acciones que evitan o
eliminan vulnerabilidades
Medidas de seguridad para
cada tipo de vulnerabilidad
Tipos de Medida
de Seguridad
Medidas de Seguridad
Son un conjunto de prcticas
1. Anlisis de riesgos
busca rastrear vulnerabilidades
en los activos que puedan ser
explotados por amenazas
Resultado: recomendaciones
para correccin de activos
2. Poltica de seguridad
establecer los estndares de
seguridad a ser seguidos por
todos los involucrados con el
uso y mantenimiento de los
activos
aumentar la conciencia de la
seguridad de las personas
Medidas de Seguridad
3. Especificacin de seguridad
Busca la correcta implementacin de un
nuevo ambiente tecnolgico, por medio
del detalle de sus elementos
constituyentes
Incluso su disposicin para seguir los
principios de la Seguridad Informtica.
4. Administracin de seguridad
Es gestin de los riesgos de un ambiente
Involucra a todas las medidas
mencionadas anteriormente, en forma
preventiva, perceptiva y correctiva
Ciclo de Vida de la Seguridad
Informtica
Ciclo de vida de la Seguridad
Informtica
Ciclo en el cual se mantiene la seguridad
informtica en la organizacin desde la:
Identificacin de amenazas,
Visualizacin de los puntos dbiles, la exposicin
de los activos a riesgos de seguridad, la
evaluacin del impacto potencial en el
negocio en la empresa y finalmente hasta la
aplicacin de medidas de seguridad para
reducir puntos dbiles e impacto en el negocio.
Est formada por un conjunto de fases.
Es un mtodo continuo para mitigar el riesgo.
Fases del proceso de seguridad
Como lo define el Sans Institute 2001
Evaluacin (Assess):
Identificacin de amenazas
Visualizacin de los puntos dbiles
Exponiendo los activos a riesgos de
seguridad
Potencial impactos en el negocio de la
empresa
Medidas de seguridad para reducir
puntos dbiles e impacto en el negocio.
Fases del proceso de seguridad.
Evaluacin
Evaluacin (Assess):
Anlisis de Riesgos basados en el OCTAVE
method.
Identificacin de las Amenazas de
Seguridad y Visualizacin de Puntos
Dbiles en Seguridad Informtica (ej.,
auditorias, evaluacin de
Vulnerabilidades, pruebas de
penetracin, revisin de aplicaciones)
Pasos a seguir para prevenir problemas
Fases del proceso de seguridad.
Evaluacin
Debilidades:
Determinar el estado de la
seguridad en dos reas
principales: Tcnica y No
Tcnica.
No tcnica: Evaluacin de
polticas.
Tcnica: Evaluacin de
Seguridad fsica, diseo de
seguridad en redes, matriz
de habilidades.
Fases del proceso de seguridad.
Evaluacin
Otras reas que se deben revisar:
Seguridad exterior
Seguridad de la basura
Seguridad en el edificio
Passwords
Ingeniera social
Clasificacin de los datos
Etc.
Fases del proceso de seguridad.
Evaluacin
El Anlisis de Riesgos nos permitir:
Realizar acciones:
Proactivas
Reactivas
Administrar el Riesgo:
Identificar
Analizar
Evaluar
Tratamiento a seguir
Fases del proceso de seguridad.
Evaluacin
Administracin de Riesgos:
Mtodo lgico y sistemtico de establecer el
contexto, identificar, analizar, evaluar, tratar,
monitorear y comunicar los riesgos asociados
con una actividad, funcin o procesos para
minimizar prdidas.
La Administracin de Riesgos se puede basar
en el Estndar Australiano AS/NZ 4360:1999.
Fases del proceso de seguridad.
Evaluacin
Fases del proceso de seguridad.
Evaluacin
Establecer el
Contexto e
Identificar los
riesgos
Tratar riesgos,
Monitorear y
comunicar
Anlisis y
Evaluacin de
los Riesgos
Administracin (basada en el estndar AS/NZ 4360)
Actividades a desarrollar
para evitar que sucedan
acciones indeseables.
Configuraciones de
Seguridad efectivas
basadas en estndares de
la industria y
organizacionales.
Fases del proceso de seguridad.
Diseo
Fases del proceso de seguridad.
Diseo
Necesitamos polticas?
Empleados accesando Internet?
Problemas con el uso de la red o el email?
Empleados utilizando informacin confidencial o
privada?
Acceso remoto a la organizacin?
Dependencia de los recursos informticos?
Polticas define que prcticas son o no son
aceptadas.
Como concientizar?
En persona, por escrito o travs de la Intranet.
Reuniones por departamento.
Publicar artculos, boletines, noticias.
Crear un espacio virtual para sugerencias y
comentarios.
Enviar emails con mensajes de concientizacin.
Pegar letreros en lugares estratgicos.
Dar premios a empleados.
Exmenes On-line.
Crear eventos de Seguridad Informtica.
Fases del proceso de seguridad.
Diseo
Logs en Firewalls.
Se requiere Sistemas de deteccin de
Intrusos?
O necesitamos Sistemas de prevencin
de Intrusos?
Firma digital para envo de
documentos?
Fases del proceso de seguridad.
Diseo
Personal especializado pone en marcha
los controles basados en el diseo
desarrollado.
Fases del proceso de seguridad.
Implementar
Observar las actividades normales y
reaccionar ante incidentes.
Monitoreo y alertas.
Las respuestas se basan en el
documento de Polticas de Seguridad
definido.
Fases del proceso de seguridad.
Administracin y soporte
Forma en que se trata el incidente.
Encontrar el problema y corregirlo.
Prcticas forenses.
Definir la responsabilidad y el causante
del problema.
Fases del proceso de seguridad.
Administracin y soporte
Manejo de Incidentes:
Organizacin,
Identificacin,
Encapsulamiento,
Erradicacin,
Recuperacin y
Lecciones aprendidas.
Fases del proceso de seguridad.
Administracin y soporte
Debe ser continuo con todo el Ciclo de
Vida en la medida que se extienda en
toda la organizacin.
Habilidades y experiencia se alcanzan
dentro de todo el proceso.
Fases del proceso de seguridad.
Capacitacin continua
CONCLUSIONES Y
RECOMENDACIONES
Seguridad es
Proteger a los activos contra y accesos no
autorizados
Evitar alteraciones indebidas que pongan en
peligro su integridad.
Garantizar la disponibilidad de la
informacin.
Cmo:
polticas y procedimientos de seguridad
Para:
identificacin y control de amenazas y puntos
dbiles
Para lograr: confidencialidad,
disponibilidad, control y autenticad de
la informacin.
CONCLUSIONES Y
RECOMENDACIONES
La PNP es una invitacin de la organizacin a cada uno de sus
miembros a reconocer la informacin como uno de sus principales
activos as como, un motor de intercambio y desarrollo en el mbito
de sus negocios.
Es la forma de comunicarse con el colectivo sobre las pautas de
seguridad a seguir.
Debe concluir en una posicin consciente y vigilante del
personal por el uso y limitaciones de los recursos y servicios
informticos crticos de la compaa.
No es una descripcin tcnica de mecanismos de seguridad, ni
una expresin legal que involucre sanciones a Conductas de los
empleados, es ms bien una descripcin de los que deseamos
proteger y el por qu de ello.
Son las reglas claras y procedimientos que regulan la forma en que una
organizacin previene, protege y maneja los riesgos de dao sobre:
Los computadores de sus sistemas y los elementos fsicos
asociados con stos (edificacin, impresoras, discos, cables,
dispositivos de interconexin, etc.), el software y la informacin
almacenada en tales sistemas.
Los usuarios del sistema.
TAREAS:
Copyright o Copyleft.
Administracin (basada en el
estndar AS/NZ 4360)
Cualidades del Cifrado para
preservar los Requisitos de la
Seguridad de la Informacin.
Cualidades de Proteccin de
Antivirus:
Avast
Nod 32
AVG
Norton
Panda
Kaspersky




Hasta Aqu Todo Bien.





Preguntas?