Ca&s 01 PDF

Control de Acceso y Seguridad Desarrollo
Ingeniera de Sistemas y Seguridad Informtica

Mg. Ing. Jack Daniel Cceres Meza, PMP
Sesin 01
Introduccin a la Seguridad de la Informacin
2
Mg, Ing. Jack Daniel Cceres Meza, PMP
Datos del expositor
Ingeniero Electrnico (UNMSM). Reg. CIP N 95664
33 aos de vida profesional.
Consultor en plataforma tecnolgica para el BID-MEF
Experiencia:
Diseo e implementacin de redes LAN/WAN/WiFi/WiMAX, VoIP
Gestor de proyectos
Jefe de centros de cmputo
Seguridad de redes informticas
Planeamiento estratgico de las TIC
Consultora, gestin, instruccin en las TIC
Auditor interno de calidad ISO9000
Docente universitario, ponente, panelista
Estudios:
Maestra en Ingeniera de Seguridad Informtica
Maestra en Direccin estratgica de las telecomunicaciones
Gestin de proyectos mejores prcticas del PMI y Microsoft
Planeamiento Estratgico de las Tecnologas de Informacin, ESAN, Unisys Corp. USA
Certificado ISO/IEC27002, ISO/IEC20000, Auditor ISO27001, Certified Integrator in Secure Cloud
Services, UNIX, Microsoft MCSE, MCP + Internet, CheckPoint Firewall1, Linux
Administracin de Empresas, IDEA/Universidad Ricardo Palma
Proyectos de Mejora, Holos TQC
3
Objetivos del curso
El objetivo de este curso es proporcionar a los estudiantes los
conceptos y lineamientos bsicos que les permita implementar una
seguridad razonable en el negocio.
Que los estudiantes estn en la capacidad de diferenciar correctamente
un Sistema de Gestin de Seguridad de la Informacin de la Seguridad
Informtica, con base en estndares y mejores prcticas internacionales
de la ISO o sus equivalentes como Norma Tcnica Peruana (NTP).
Poder utilizar normas y estndares nacionales o internacionales como
herramientas para desarrollar estrategias de seguridad de TI alineadas
a los negocios.
Aplicar tcnicas para identificar requerimientos de seguridad, desarrollar
anlisis de riesgos de seguridad, preparar anlisis de brechas, planificar
proyectos de implantacin de sistemas de gestin de la seguridad de la
informacin.
4
Metodologa
Por parte del docente, el mtodo tendr un carcter inductivo,
lgico y psicolgico, intuitivo visual, activo y flexible; usando
las tcnicas de exposicin participativa, desarrollo de
laboratorios individuales y grupales, as como de trabajo de
grupo, siguiendo el plan de la hoja de ruta educativa.
Por parte de los estudiantes, participarn activamente en clase,
a nivel individual y grupal; realizarn trabajos prcticos
empleando estrategias y protocolos de atencin, aplicando los
contenidos tericos en su labor acadmica.
5
Sistema de evaluacin
Evaluacin:
Evaluacin (qu se aprendi), no calificacin (2+2=4).
Exmenes parcial y final = conocimiento terico-prctico.
"Evaluacin es el acto que consiste en emitir un juicio de valor, a
partir de un conjunto de informaciones sobre la evolucin o los
resultados de un alumno, con el fin de tomar una decisin".
B. Maccario
Examen Parcial (EP) : 30%
Examen Final (EF) : 30%
Evaluacin continua (EC) : 40%
(prcticas, trabajos grupales e individuales, exposiciones, otros)
Promedio Final (PF)* : 100%
PF = (EP x 0.3) + (EF x 0.3) + (EC x 0.4)
(*) Redondeado al nmero entero inmediato superior.
6
Pautas generales para el desarrollo del curso
Exposiciones
Del profesor:
Toma como base la exposicin en clase para las evaluaciones.
No todo el desarrollo se encuentra en el material de
exposicin.
El material podra actualizarse en cualquier momento.
Del alumno:
Podra emplearse proyector -pero no contar con ello.
Preparar bien la exposicin (material, contenido, conocimiento,
otros)
Trabajos prcticos (en clase, de investigacin, con exposicin
o no).
Cuidar la gramtica y la ortografa
Cada nota es individual: prctica, trabajo prctico (no al
grupo ni a la carpeta el impreso entregado), exmenes,
intervenciones
7
Consideraciones
Duracin de la prctica o examen: minutos reloj en todos los casos.
Escribir con letra legible; si no se entiende, no vale y no hay lugar a
reclamo.
Organizacin, ideas claras, DESARROLLAR respuestas, no
monoslabos ni frases cortas.
No responder con la pregunta; no re-escribir la pregunta, solo
numerarla.
En las prcticas se permite todo tipo de ayuda excepto del compaero;
en los exmenes no se permite ningn tipo de ayuda y menos del
compaero.
Emplear lapicero de color azul o negro. No hay lugar a reclamo si se
escribe con lpiz o se emplea corrector lquido o borrador.
8
Bibliografa
LIBROS:
William Stallings, Cryptography and Network Security: Principles and Practice,
Prentice Hall; 3ra edicin, Agosto 2002
Lawrence J. Fennelly, Effective Physical Security, Butterworth-Heinemann; 3
edition, Diciembre 2003.
M. Lucena, Criptografa y Seguridad en Computadores, 3 Edicin.
(hhtp://wwwdi.ujaen.es/~mlucena)
David F. Ferraiolo, D. Richard Kuhn, Role-Based Access Control, Artech House
Publishers, Abril 2003
D.B. Chapman y E.D. Zwicky, "Building Internet Firewalls". OReilly & Associates.
C. P. Pfleeger, "Security in Computing". Prentice Hall. Second Ed.
Jan Juerjens, Secure Systems Development With Uml, Springer-Verlag,
Diciembre 2004
Alberto G. Alexander , Diseo de un Sistema de Gestin de Seguridad de
Informacin, Alfa Omega
9
Bibliografa
SITIOS WEB:
http://www.iso.org/
http://www.ietf.org/
http://www.internetsociety.org/
http://www.intypedia.com/
http://csrc.nist.gov/
http://www.inteco.es/
NORMAS TCNICAS PERUANAS:
NTP ISO/IEC 17799:2007. EDI. Tecnologa de la informacin. cdigo de buenas
prcticas para la gestin de la seguridad de la informacin. 2a. ed.
(http://www.indecopi.gob.pe).
NTP ISO/IEC 27001:2008. EDI. Tecnologa de la informacin. Tcnicas de
seguridad. Sistemas de gestin de seguridad de la informacin. Requisitos.
(http://www.indecopi.gob.pe)
10
Antes de empezar: algunas reglas bsicas
Dentro del saln de clase
No fumar, comer o beber
No utilizar equipos individuales de audio o vdeo a no ser que se
empleen para fines acadmicos
Evitar ruidos molestos -apagar el telfono mvil
Evitar distracciones
Fuera del saln de clase
Evitar generar ruido
Evitar generar distracciones
Luego de iniciada la clase, esperar a que el docente les permita
el ingreso no tocar la puerta
Valores
11
Introduccin
Vdeo de presentacin
La informacin y la seguridad
(https://www.youtube.com/watch?v=aO7Q2-K-ADo)
12
Introduccin
13
14
Desarrollo y
mantenimiento de
sistemas
Gestin de
operaciones y
comunicaciones
Gestin de
continuidad del
negocio
Seguridad
lgica
Seguridad
organizativa
Seguridad ligada al
personal
Gestin de
incidentes
Gestin de
activos
Aspectos
organizativos para la
seguridad
Poltica de seguridad
Seguridad fsica
Seguridad fsica y del
medio ambiente
Control de
accesos
Cumplimiento
Seguridad legal
11 dominios
39 objetivos de
control
133 controles de
ISO/IEC 27002:2005
15
Conceptos bsicos para el desarrollo de un SGSI
16
La seguridad de la informacin, protege sta de una amplia gama de amenazas,
tanto de orden fortuito como de destruccin, incendio o inundaciones, como de
orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.
Poltica de Seguridad de la Informacin
Estrategia de la Seguridad de la Informacin
Situaciones no habituales
Control de accesos
Uso de internet
Proteccin de antivirus
Seguridad de las instalaciones
Correo electrnico
F
o
r
m
a
c
i
n
C
r
e
a
c
i
o
n
e
s

d
e

c
u
e
n
t
a
s

d
e

u
s
u
a
r
i
o
R
e
a
l
i
z
a
c
i
n

d
e

c
o
p
i
a
s

d
e

s
e
g
u
r
i
d
a
d
B
o
r
r
a
d
o

d
e

i
n
f
o
r
m
a
c
i
n

e
n

P
C
I
n
s
t
a
l
a
c
i
n

d
e

S
o
f
t
w
a
r
e
Instrucciones Polticas Formacin
17
Sugerencias previas
La implantacin de un SGSI
depende del mbito, el
tamao y complejidad de la
organizacin (no debe
pasar de 1 ao).
Optar siempre por escoger
la solucin ms sencilla de
implantar y mantener.
No es necesario cubrir
inicialmente todas las reas
18
Qu es ISO?
ISO es el acrnimo de International Organization for
Standardization. Aunque si se observan las iniciales para el
acrnimo, el nombre debera ser IOS, los fundadores decidieron
que fuera ISO, derivado del griego isos, que significa igual.
ISO es una organizacin no gubernamental que forma un puente
entre los sectores pblicos y privados.
Oficialmente comenz sus operaciones el 23 de febrero de 1947
en Geneva, Suiza. Naci con el objetivo de facilitar la
coordinacin internacional y la unificacin de los estndares
industriales.
19
Qu es IEC?
IEC es el acrnimo de International Electrotechnical
Commission. Esta es una organizacin sin fines de lucro y
tambin no gubernamental. Se ocupa de preparar y publicar
estndares internacionales para todas las tecnologas elctricas
o relacionadas a la electrnica.
IEC nace en 1906 en London, Reino Unido, y desde entonces ha
estado proporcionando estndares globales a las industrias
electrotcnicas mundiales.
En el ao de 1948 movieron su sede a Geneva, Suiza, ciudad en
la que tambin se encuentra la sede de ISO.
20
ISO/IEC
ISO e IEC han establecido un comit tcnico conjunto
denominado ISO/IEC JTC1 (ISO/IEC Joint Technical Committee).
Este comit trata todos los asuntos de tecnologa de la
informacin a travs de subcomits han venido desarrollando
una familia de Estndares Internacionales para el Sistema
Gestin y Seguridad de la Informacin.
La familia incluye Estndares Internacionales sobre
requerimientos, gestin de riesgos, mtrica y medicin, y el
lineamiento de implementacin del sistema de gestin de
seguridad de la informacin entre otros
Esta familia adopt el esquema de numeracin utilizando las
series del nmero 27000 en secuencia.
21
La serie de normas
ISO/IEC 27000 son
estndares de seguridad
de la informacin
publicados por la ISO/IEC
La serie contiene las
mejores prcticas
recomendadas en
seguridad de la
informacin para
desarrollar, implementar
y mantener un SGSI
Normas ISO/IEC de la Serie 27000
Algunas de estas normas se encuentran en preparacin
22
Normas ISO/IEC de la Serie 27000
ISO/IEC 27000 - Es un vocabulario estndar para el SGSI.
ISO/IEC 27001 - Norma que especifica los requisitos para la
implantacin del SGSI. Es la norma ms importante de la familia
ISO/IEC 27002:2005 - Information technology - Security techniques -
Code of practice for information security management.
ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es
el soporte de la norma ISO/IEC 27001. Publicada el 01 de febrero del
2010.
ISO/IEC 27004 - son mtricas para la gestin de seguridad de la
informacin. Publicada el 07.Dic.2009.
ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la
informacin. Publicada en junio de 2008.
ISO/IEC 27006:2007 - Requisitos para la acreditacin de las
organizaciones que proporcionan la certificacin de los SGSI - Es una
gua para auditar al SGSI. Se encuentra en preparacin.
ISO/IEC 27799:2008 - Es una gua para implementar ISO/IEC 27002 en
la industria de la salud.
23
Empresas
Especializadas
Especialistas
Consultores
Interesados / TI
Quien podr ayudar con la
implementacin de un SGSI
Sugerencias previas
24
Partes
involucradas
Expectativas
y requisitos
del sistema
de informacin
Partes
involucradas
Seguridad de la
informacin
gerenciada
Establecer
el SGSI
Monitorear y revisar
el SGSI
Mantener y mejorar
el SGSI
Implementar y operar
el SGSI
Ciclo de desarrollo, mantenimiento y mejora
PLAN
CHECK
DO ACT
Modelo PDCA aplicado a los procesos del SGSI
25
26
Algunos Requisitos y Conceptos Previos
Conocimiento del negocio
Plan Estratgico de la Organizacin
Memoria
Estructura Orgnica
ROF, MOF
PETI/POI entre otros planes de TI
Otros
Anlisis de Riesgos
Lista de riesgos
Matriz de riesgos
Plan y estrategias para riesgos
Otros
27
Soporte de la
Alta Direccin
Definir el
Permetro de
seguridad
Crear
Poltica
Crear
Organizacin
InfoSec
Auditar Documentar
Implantar
Controles
Anlisis
de
Riesgo
Proceso de Implantacin ISO 27001
28
Modelo de un SGSI basado en la Norma ISO 27001
Dominio 01: Poltica de Seguridad
Dominio 02: Organizacin de Seguridad/Organizacin de la
Seguridad de la Informacin
Dominio 03: Administracin de Activos/Gestin de Activos
Dominio 04: Seguridad de los Recursos Humanos
Dominio 05: Seguridad Fsica y Ambiental
Dominio 06: Gestin de las Comunicaciones y Operaciones
Dominio 07: Sistema de Control de Accesos/Control de
Accesos
Dominio 08: Adquisicin, Desarrollo y Mantenimiento de
Sistemas de Informacin
Dominio 09: Administracin/Gestin de Incidentes de
Dominio 10: Plan de Continuidad del Negocio/Gestin de la
Continuidad Comercial
Dominio 11: Cumplimiento
29
Empresas Certificadas en SGSI bajo ISO27001 en el
Per
ONP
Telefnica
GMD
.
.
.
30
Factores Crticos de xito para un SGSI
a) Poltica, objetivos y actividades de seguridad de informacin
que reflejan los objetivos comerciales;
b) Un enfoque y marco referencial para implementar, mantener,
monitorear y mejorar la seguridad de la informacin que sea
consistente con la cultura organizacional;
c) Soporte visible y compromiso de todos los niveles de gestin;
d) Un buen entendimiento de los requerimientos de seguridad de
la informacin, evaluacin del riesgo y gestin del riesgo;
e) Marketing efectivo de la seguridad de la informacin con todo
los gerentes, empleados y otras partes para lograr conciencia
sobre el tema;
31
Factores Crticos de xito para un SGSI
f) Distribucin de lineamientos sobre la poltica y los estndares
de seguridad de la informacin para todos los gerentes,
empleados y otras partes involucradas;
g) Provisin para el financiamiento de las actividades de gestin
de la seguridad de la informacin;
h) Proveer el conocimiento, capacitacin y educacin apropiados;
i) Establecer un proceso de gestin de incidentes de seguridad
de la informacin;
j) Implementacin de un sistema de medicin que se utiliza para
evaluar el desempeo en la gestin de la seguridad de la
informacin y retroalimentacin de sugerencias para el
mejoramiento.
32
Oficial de seguridad de Informacin
Logra el soporte de la Alta Direccin.
Lder del grupo InfoSec.
Lder del grupo de respuesta ante incidentes.
Lleva la bitcora de incidentes y resultados.
Ejecuta los anlisis de riesgo.
Selecciona los controles y los aplica.
Aplica y monitorea los estndares a ser aplicados.
Mantiene contactos con recursos externos del rea.
Evala cambios y sus implicaciones en seguridad.
Revisa y actualiza las polticas.
33
Certificaciones y Especializaciones de un Oficial de
El constante manejo de informacin en las empresas hace
necesaria la labor de un CISO (Chief Information Security
Officer) que gestione y controle toda la seguridad de la
informacin de la organizacin.
34
Perfil del Oficial de Seguridad de la Informacin
Experiencia en Implementacin de Sistemas de Gestin de Continuidad de Negocios
Experiencia en implementacin de Sistemas de Gestin de Seguridad de la Informacin.
Deseable conocimiento tcnico en el entorno TIC
Conocimiento de buenas prcticas en Seguridad de Informacin y Tecnologas de Informacin: ISO/IEC
27001, COBIT, COSO, entre otros.
Conocimiento de buenas prcticas en Continuidad de Negocios: BS25999, estndares del DRII, estndares
del BCI.
Experiencia en anlisis de riesgos de TI y anlisis de impacto.
Auditora de Sistemas (deseable).
Experiencia deseable en elaborando propuestas de mitigacin, validacin de la eficacia de los controles de
TI existentes para la mitigacin de riesgos en los ambientes de tecnologa, identificando potenciales
debilidades dentro de su implementacin.
Saber identificar riesgos de TI en procesos y proyectos de Tecnologa y Seguridad de Informacin,
elaborando propuestas de mitigacin. .
De preferencia con certificaciones: CISA, CISM, CRISC, ISO 27001 LA.
Nivel intermedio del idioma Ingls
Realizar las pruebas de controles definidos en TI, requeridos para certificaciones internacionales de la
empresa
Definir y actualizar el mapa de riesgos definidos para la organizacin, discutiendo a nivel de comit
alternativas de mitigacin con la Gerencia de TI.
Proponer oportunidades de mejora en las actividades propias de su funcin, aplicando marcos de referencia
internacionalmente aceptados.
35
Documentacin del SGSI
MANUAL DE
SEGURIDAD
Contenido de los documentos
Describe el sistema de gestin de
la seguridad
PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
Describe los procesos y las
actividades
REGISTROS
Son evidencias objetivas de la
ejecucin de procesos,
actividades o tareas
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)
Describe tareas y
requisitos
36
Dominio 01:
Poltica de Seguridad
Sistema de Gestin de Seguridad de la Informacin
(SGSI)
37
Dominio 01: Poltica de Seguridad
La Gerencia debe aprobar un documento de alto nivel,
denominado poltica, este se debe publicar y comunicar a todos
los trabajadores y entidades externas relevantes
La Gerencia debe proporcionar evidencia de su compromiso con
el establecimiento, implementacin, operacin, monitoreo,
revisin, mantenimiento y mejoramiento al SGSI
La poltica de seguridad de la informacin debe ser revisada
regularmente a intervalos planeados o si ocurre cambios
significativos para asegurar la continua idoneidad, eficiencia y
efectividad
La organizacin debe definir el alcance y los limites del SGSI en
trminos de las caractersticas del negocio, la organizacin, su
ubicacin, activos y tecnologa
38
Sistema de Gestin de Seguridad de la Informacin
(SGSI)
Dominio 02:
Organizacin de
Seguridad/Organizacin de la
39
Certificaciones y Especializaciones que puede tener el
personal del rea de TI
Seguridad: CISM, CDPP e CISSP
Redes: CCNA, LPIC, MCSE, CNA, CCNP, otros
DBA.: MCDBA, OCA-DBA, .
Proyectos: PMP, MCSE, CAPM,
Help Desk: MHD (Manager Help Desk), AHD (Analista Help Desk), ITIL
Desarrollo: MCAD, MCSD, SCJP, SCJD, SCWCD, OCP AppDev, otros
Auditoria: CISA, IRCA, .
40
Direccin de TI
Subdireccin de
Desarrollo
y Soluciones de TI
Jefatura de
Aplicaciones
de Negocio
Jefatura de
Aplicaciones
Administrativas
Subdireccin de
Aseguramiento
de la Calidad
Jefatura de
Calidad
Jefatura de
Certificacin
Subdireccin de
Operaciones
Jefatura de
Data Center
Jefatura de
Help Desk
Jefatura de
Telecomunicaciones
Jefatura de la PMO
Jefatura de Seguridad
de la Informacin
Estructura Orgnica de la Direccin de TI del Negocio
Funciones dadas en el:
- ROF
- MOF
- MOP o equivalentes
CISO
(Chief Information
Security Officer)
Oficial de Seguridad de
la Informacin
41
Dominio 02: Organizacin de la Seguridad de la
Informacin
La estructura de este punto de la norma es:
2.1. Estructura para la seguridad de la informacin (Organizacin
Interna)
2.2. Terceros (Entidades Externas)
42
Informacin
2.1. Estructura para la seguridad de la informacin (Organizacin
Interna)
2.1.1. Compromiso de la Gerencia con la seguridad de la informacin
(Comit de gestin de seguridad de la informacin)
2.1.2. Coordinacin de seguridad de la informacin
2.1.3. Asignacin de responsabilidades para la seguridad de la
informacin
2.1.4. Proceso de autorizacin de recursos para el tratamiento de la
informacin
2.1.5. Acuerdos de confidencialidad
2.1.2. Contacto con las autoridades
2.1.7. Contacto con organizaciones de especial inters
2.1.8. Revisin independiente de la seguridad de la informacin
43
Informacin
2.2. Terceros (Entidades Externas)
2.2.1. Identificacin de riesgos relacionados con entidades externas
2.2.2. Tratamiento de la seguridad cuando se trabaje con clientes
2.2.3. Tratamiento de la seguridad en contratos con terceros
Mg. Ing. Jack Daniel Cceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atencin
Preguntas?

Ca&s 01 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ca&s 01 PDF

Uploaded by

Copyright:

Available Formats

Control de Acceso y Seguridad Desarrollo

Ingeniera de Sistemas y Seguridad Informtica

You might also like