Seguridad de la Información

Seguridad
De la Información

Ing. Max Lazaro

Oficina Nacional de Gobierno
Electrónico e Informática
Nuevos Escenarios
Seguridad de la Información
 Seguridad de la Información

Qué se debe asegurar ?

“LA INFORMACION es un ACTIVO”

La información debe considerarse como un
recurso con el que cuentan las Organizaciones
y por lo tanto tiene valor para éstas, al igual
que el resto de los activos, debe estar
debidamente protegida.
 Seguridad de la Información

Contra qué se debe proteger la

Información ?
 Seguridad de la Información

Amenazas

Escalamiento de privilegios
Password cracking
Fraudes informáticos Puertos vulnerables abiertos Exploits
Man in the middle
Violación de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados

Denegación de servicio Backups inexistentes

Destrucción de equipamiento
Últimos parches no instalados
Instalaciones default
Desactualización Keylogging Port scanning

Hacking de Centrales Telefónicas

 Seguridad de la Información

Más Amenazas!!
Spamming
Intercepción y modificación y violación de e-mails
Violación de contraseñas
Captura de PC desde el exterior
Virus Incumplimiento de leyes y regulaciones
empleados deshonestos
Ingeniería social
Mails anónimos con agresiones
Programas “bomba, troyanos”
Interrupción de los servicios Destrucción de soportes documentales
Acceso clandestino a redes Robo o extravío de notebooks, palms

Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
Falsificación de información wireless
Agujeros de seguridad de redes conectadas
para terceros
 BOTNETS – Facilitando Ataques DDoS
Seguridad de la Información

Extorsionador
 ¡BOTNETs para Rentar!
 Un BOTNET está compuesto de computadoras
que han sido violadas y contaminadas con
programas (zombies) que pueden ser
instruidos para lanzar ataques desde una
Zombies
computadora de control central
 Los BOTNETs permiten todos los tipos de
ataques DDOS: Ataques ICMP, Ataques TCP,
Ataques UDP y sobrecarga de http
 Las opciones para desplegar BOTNETs son
extensas y se crean nuevas herramientas para
aprovechar las vulnerabilidades más recientes
de los sistemas
Ruteador del  Un BOTNET relativamente pequeño con
Borde del ISP únicamente 1000 zombies puede causar una
gran cantidad de daños.
Conexión de la  Por ejemplo: 1000 PCs caseras con un ancho
Última Milla de banda upstream promedio de 128KBit/s
CE pueden ofrecer más de 100MBit/s
Instalación del cliente:
 ¡El tamaño de los ataques está aumentando
Servidor/FW/Switch/Ruteador constantemente!
Seguridad de la Información
 Seguridad de la Información

Por qué aumentan las amenazas ?

Crecimiento exponencial de las Redes y
Usuarios Interconectados – Dependencia.
Profusión de las BD On-Line
Inmadurez de las Nuevas Tecnologías
Algunas
Causas Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido
(Ej:DDoS)
Técnicas de Ingeniería Social
 Seguridad de la Información

Vulnerabilidades
 Inadecuado compromiso de la dirección.
 Personal inadecuadamente capacitado y concientizado.
 Inadecuada asignación de responsabilidades.
 Ausencia de políticas/ procedimientos.
 Ausencia de controles
 (físicos/lógicos)
 (disuasivos/preventivos/detectivos/correctivos)

 Ausencia de reportes de incidentes y vulnerabilidades.

 Inadecuado seguimiento y monitoreo de los controles.
 Seguridad de la Información

Qué se debe garantizar ?

Dimensiones críticas de la información
Seguridad de la Información
• Secreto impuesto de acuerdo
con políticas de seguridad
Información Prevenir
Divulgación no autorizada de
• SINO: Fugas y filtraciones de
Activos de Información información; accesos no
autorizados; pérdida de
E confianza de los demás
(incumplimiento
Autenticidadde leyes y
D C compromisos)
de
quien hace uso de datos o
servicios
T
E-commerce Trazabilidad del uso
de servicios (quién, cuándo)
o datos (quien y que hace)
Prevenir Información
Cambios no autorizados en
Activos de Información
(dimensiones) No repudio
(Compromisos)
Confiabilidad
6 Prevenir
I +5 D 7x24x365 Destrucción no autorizada de
= Activos de Información

• Validez y Precisión de información y

sistemas. • Acceso en tiempo correcto y confiable a
•SINO: Información manipulada, incompleta,datos y recursos.
corrupta y por lo tanto mal desempeño de • SINO: Interrupción de Servicios o Baja
funciones Productividad
 Seguridad de la Información

Acciones de la ONGEI
 Seguridad de la Información

 Actualmente la ONGEI apoya a las entidades

públicas en los siguientes principales servicios:
Análisis de vulnerabilidades de los servidores
Web de las Entidades Publicas.
Boletines de Seguridad de la información
Boletines de Alertas de Antivirus.
Presentaciones técnicas sobre seguridad.
Consultorías y apoyo en recomendaciones
técnicas.
 Seguridad de la Información

Política de Seguridad de la
Información para el Sector Público
 Seguridad de la Información

Que se entiende por Politica de Seguridad ?

Las políticas de seguridad son las reglas y

procedimientos que regulan la forma en que una
organización previene, protege y maneja los riesgos de
diferentes daños.

Como tiene éxito una Politica ?

Si se quiere que las políticas de seguridad sean aceptadas, deben
integrarse a las estrategias del negocio, a su misión y visión,
con el propósito de que los que toman las decisiones reconozcan
su importancia e incidencias en las proyecciones y utilidades de la
organización.
 Seguridad de la Información

 Con fecha 23 de julio del 2004 la PCM a través

de la ONGEI, dispone el uso obligatorio de la
Norma Técnica Peruana “NTP – ISO/IEC
17799:2004 EDI. Tecnología de la Información:
Código de Buenas Prácticas para la Gestión de
la Seguridad de la Información” en entidades del
Sistema Nacional de Informática.
 Se Actualizó el 25 de Agosto del 2007 con la
Norma Técnica Peruana “NTP – ISO/IEC
17799:2007 EDI.
 Seguridad de la Información

Cuales son los temas o dominios a

considerar dentro de un plan de
Seguridad?
 Seguridad de la Información

Los 11 dominios de control de ISO 17799 (27002)

1. Política de seguridad:
Se necesita una política que refleje las expectativas de
la organización en materia de seguridad, a fin de
suministrar administración con dirección y soporte. La
política también se puede utilizar como base para el
estudio y evaluación en curso.

2. Aspectos organizativos para la seguridad:

Sugiere diseñar una estructura de administración
dentro la organización, que establezca la
responsabilidad de los grupos en ciertas áreas de la
seguridad y un proceso para el manejo de respuesta a
incidentes.
 Seguridad de la Información

3. Clasificación y Control de Activos:

Inventario de los recursos de información de la
organización y con base en este conocimiento, debe
asegurar que se brinde un nivel adecuado de
protección.
4. Seguridad de Recursos Humanos:
Necesidad de educar e informar a los empleados
actuales y potenciales sobre lo que se espera de ellos
en materia de seguridad y asuntos de
confidencialidad. Implementa un plan para reportar
los incidentes.
5. Seguridad física y del Entorno:
Responde a la necesidad de proteger las áreas, el
equipo y los controles generales.
 Seguridad de la Información

6. Gestión de Comunicaciones y Operaciones: Los

objetivos de esta sección son:
 Asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la información.
 Minimizar el riesgo de falla de los sistemas.
 Proteger la integridad del software y la información.
 Conservar la integridad y disponibilidad del procesamiento y la
comunicación de la información.
 Garantizar la protección de la información en las redes y de la
infraestructura de soporte.
 Evitar daños a los recursos de información e interrupciones en
las actividades de la institución.
 Evitar la pérdida, modificación o uso indebido de la
información que intercambian las organizaciones.
 Seguridad de la Información

7. Control de accesos:
Establece la importancia de monitorear y
controlar el acceso a la red y los recursos de
aplicación como protección contra los abusos
internos e intrusos externos.

8. Adquisición, Desarrollo y Mantenimiento de los

sistemas:
Recuerda que en toda labor de la tecnología de la
información, se debe implementar y mantener la
seguridad mediante el uso de controles de
seguridad en todas las etapas del proceso.
 Seguridad de la Información

9. Gestión de Incidentes de la Seguridad de la

información
Asegurar que los eventos y debilidades en la
seguridad de la información sean comunicados de
manera que permitan una acción correctiva a tiempo.
10. Gestión de Continuidad del Negocio
Aconseja estar preparado para contrarrestar las
interrupciones en las actividades de la organización y
para proteger los procesos importantes de la
organización en caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,
estatutos, obligaciones regulatorias o contractuales y
de cualquier requerimiento de seguridad.
 Seguridad de la Información
Los 11 Dominios de la NTP ISO 17799 - 2007

Política de
Cumplimiento seguridad Organización de
Gestión de la Seguridad
la continuidad
Gestiòn de
integridad Confidencialidad
Gestión de Activos
incidentes Información
Seguridad
Desarrollo y
del personal
mantenimiento
disponibilidad

Seguridad física
Control de accesos y medioambiental
Gestión de
comunicaciones
y operaciones
Seguridad de la Información
 Seguridad de la Información

SGSI
Modelo P-H-V-A
Metodología de la ISO/IEC
27001
 Seguridad de la Información

SGSI
 El sistema de gestión de la seguridad de la información
(SGSI) es la parte del sistema de gestión de la empresa,
basado en un enfoque de riesgos del negocio, para:
 establecer,
 implementar,
 operar,
 monitorear,
 mantener y mejorar la seguridad de la información.

 Incluye.
 Estructura, políticas, actividades, responsabilidades, prácticas,
procedimientos, procesos y recursos.
 (Planificar /Hacer /Verificar /Actuar)
Seguridad de la Información

El SGSI adopta el siguiente modelo:

Definir la política de Implantar el plan de gestión de
seguridad riesgos
Establecer el alcance del SGSI Implantar el SGSI
Realizar los análisis de riesgos Implantar los controles.
Planificar
Seleccionar los controles Hacer Implantar indicadores.

PHVA
Actuar Revisiones del SGSI por parte de
Adoptar acciones correctivas Verificar
la Dirección.
Adoptar acciones preventivas
Realizar auditorías internas del SGSI
Establecer el SGSI (Plan)
Seguridad de la Información

 Establecer la política de seguridad, objetivos, metas, procesos y

procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la información para generar resultados de acuerdo con
una política y objetivos marco de la organización.

 Definir el alcance del SGSI a la luz de la organización.

 Definir la Política de Seguridad.

 Aplicar un enfoque sistémico para evaluar el riesgo.

Establecer el SGSI (Plan)
Seguridad de la Información

 Identificar y evaluar opciones para tratar el riesgo

 Mitigar, eliminar, transferir, aceptar

 Seleccionar objetivos de control y controles a

implementar.
 A partir de los controles definidos por la ISO/IEC 17799

 Establecer enunciado de aplicabilidad

Implementar y operar (Do)
Seguridad de la Información

 Implementar y operar la política de seguridad, controles, procesos y

procedimientos.

 Implementar plan de tratamiento de riesgos.

 Transferir, eliminar, aceptar

 Implementar los controles seleccionados.

 Mitigar

 Aceptar riesgo residual.

 Firma de la alta dirección para riesgos que superan el nivel
definido.
Implementar y operar (Do)
Seguridad de la Información

 Implementar medidas para evaluar la eficacia de los controles

 Gestionar operaciones y recursos.

 Implementar programas de Capacitación y concientización.

 Implementar procedimientos y controles de detección y respuesta a

incidentes.
Monitoreo y Revisión (Check)
Seguridad de la Información

 Evaluar y medir la performance de los procesos contra la política de

seguridad, los objetivos y experiencia practica y reportar los
resultados a la dirección para su revisión.

 Revisar el nivel de riesgo residual aceptable, considerando:

 Cambios en la organización.
 Cambios en la tecnologías.
 Cambios en los objetivos del negocio.
 Cambios en las amenazas.
 Cambios en las condiciones externas (ej. Regulaciones,
leyes).

 Realizar auditorias internas.

 Realizar revisiones por parte de la dirección del SGSI.
Monitoreo y Revisión (Check)
Seguridad de la Información

 Se debe establecer y ejecutar procedimientos de monitoreo para:

 Detectar errores.
 Identificar ataques a la seguridad fallidos y exitosos.
 Brindar a la gerencia indicadores para determinar la
adecuación de los controles y el logro de los objetivos de
seguridad.
 Determinar las acciones realizadas para resolver brechas a
la seguridad.

 Mantener registros de las acciones y eventos que pueden impactar

al SGSI.

 Realizar revisiones regulares a la eficiencia del SGSI.

Mantenimiento y mejora Seguridad
del SGSI (Act)
de la Información

 Tomar acciones correctivas y preventivas, basadas en los

resultados de la revisión de la dirección, para lograr la mejora
continua del SGSI.

 Medir el desempeño del SGSI.

 Identificar mejoras en el SGSI a fin de implementarlas.
 Tomar las acciones apropiadas a implementar en el ciclo en
cuestión (preventivas y correctivas).
 Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
 Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.
 Seguridad de la Información

PECERT
 Seguridad de la Información

 Con fecha 22 de Agosto del 2009, en el diario

oficial el Peruano la Resolución Ministerial
360-2009-PCM, que crea el Grupo de Trabajo
denominado Coordinadora de Respuestas a
Emergencias en Redes Teleinformáticas de la
Administración Pública del Perú – PECERT
 La cual permitirá generar un marco de trabajo
de cooperación entre los ministerios del sector
público para mejorar los niveles de seguridad de
la información en las entidades públicas.
 Seguridad de la Información

La norma permitirá que:

ONGEI será un CSIRT de coordinación

Cada Ministerio creara un CSIRT

operativo.
 Seguridad de la Información

Portal de Coordinación de Emergencias en Redes Teleinformáticas

http://www.pecert.gob.pe
 Seguridad de la Información

Establecimiento e Implementación PeCERT

Equipo Formal PeCERT Cantidad
Ministerios del Perú 17

Entrenamiento al Personal PeCERT (Ministerios, Asistentes Ponentes

ODP’s)
Taller de Seguridad de la Información en el Gobierno (Julio 2009) 80 E & Y, OSINERMING, IRIARTE
& ASOCIADOS, ONP,
DIVINDAT, RENIEC, CONASEV,
TELEFONICA.

Taller de Seguridad de la Información (Febrero 2010) 50 BI ARGENTINA

Reunión de Coordinación PeCERT (Marzo 2010) 30 TELEFONICA

Taller de Asistencia Técnica en Materia de Seguridad Cibernética (Mayo 2010) 40 OEA, ARCERT, VENCERT,
CTIRGov BRASIL, CERTuy,
ESPAÑA

Taller de Gestión de Riesgos (Junio 2010) 30 SIDIF Latinoamérica

Reunión de Grupo de Trabajo PeCERT (Setiembre 2010) 22 Enhacke

 Seguridad de la Información

Actividades del PeCERT

 451 informes de vulnerabilidad de Páginas Web a Nivel Nacional

con vulnerabilidades (2008 a la fecha). 30% páginas altamente
criticas.
 Avisos de seguridad para usuarios técnicos avanzados,
publicados en el portal Web.
 Campaña de difusión del Proyecto PeCERT en las Redes
Sociales de ONGEI (Facebook: Gobierno Electrónico Perú-
Ongei, Twitter: @Peru_e_Gobierno).
 37 Plantillas de Políticas de Seguridad según los 11 dominios de
la NTP-ISO/ IEC 17799:2007 EDI, publicados en el portal Web.
 Elaboración de un formato estándar para reportar incidentes de
seguridad a las diversas entidades.
 Seguridad de la Información

Incidentes - Seguridad de la Información

Estadísticas

 138 Incidentes de Seguridad en Portales Web de la

Administración Pública (Octubre 2009 a la Actualidad)
 54 Entidades de provincia, y 55 Lima metropolitana.
 52 notificaciones de Incidentes a las Entidades públicas
(Octubre 2010 a la actualidad)
 Fuente: http://www.zone-h.org ,
http://bohemioshackersteam.blogspot.com/
Foros de google, etc etc.
 Seguridad de la Información

Encuesta de Seguridad 2010

 Según la Resolución Ministerial 187-2010-PCM
autoriza la ejecución de la Encuesta de Seguridad
2010, publicado en el Diario “El Peruano” el 15 de
Junio 2010, la cuál abarca preguntas de los 11
dominios de la NTP-ISO/ IEC 17799:2007 EDI.
Segunda Edición.

i) Se ha recepcionado 150 reportes.

ii) 150 entidades de las 271, lo cuál corresponde al
56% del total.
 Seguridad de la Información

Clasificación de la Encuesta de Seguridad Política de Seguridad

2010: de la Información
No iniciado
30%
Poder Legislativo (1) 39%
Elaborada y en
Poder Judicial (1) revision
Poder Ejecutivo (86) emitida
Organismos Autónomos (20) 31%
mediante
normativa
Gobiernos Regionales (8)
Gobiernos Provinciales (4) Elaboración de Análisis
Municipalidades (30) de Riesgos
14%
No
39% iniciado
En
proceso
47% Concluido

Personal para la
Documento de Brecha
implementacion
8%
17% Personal propio
No
de la entidad
iniciado
consultoria 39% 53% En
contratada
proceso
83% Concluido
 Seguridad de la Información

1. Politicas de Seguridad

75 75
71
60 62

40 38
29 Si %
25 25
No %

A B C D E
Preguntas
 Seguridad de la Información

2. Organización para la seguridad de la

información

86 91
75 77 75
66
54
46
34 Si %
25 23 25
14 9 No %

A B C D E F G

Preguntas
 Seguridad de la Información

Este material podrá obtenerlo en

http://www.pecert.gob.pe
en la Sección “Documentos”
También encontrará allí plantillas para la
implementación de políticas especificas
 Seguridad de la Información

 Las organizaciones requieren de un enfoque de varias capas para asegurar

y proteger sus activos críticos y las infraestructuras.
 Como defensa ante las amenazas y los riesgos de la internet, las
organizaciones deben:
 Identificar los principales activos, su ubicación, los propietarios de los
procesos de negocio, y la criticidad.
 Realizar evaluaciones de riesgos.
 Mantenerse al día con los últimos parches de sistema operativo y
actualizaciones de productos.
 Instalar defensas interna en el perímetro de la red tales como routers,
firewalls, scanners, y monitorización de red y sistemas de análisis.
 Actualizar y ampliar las políticas de seguridad de la tecnología de
información y los procedimientos.
 Proporcionar capacitación de seguridad de sensibilización para los
empleados, clientes y mandantes.
 Formalizar un proceso de gestión de incidentes.
 Seguridad de la Información

 La mejor Infraestructura de Seguridad de la

Información no puede garantizar que las intrusiones
u otros actos dolosos no sucedan.

 Cuando se producen incidentes de información o de

tecnología, siempre se critica la falta de una
organización, por no tener un medio eficaz para
responder.
 Seguridad de la Información

La rapidez con que una organización

puede Reconocer, Analizar y
Responder a un incidente limitará el
daño y reducir el costo de la
recuperación.
 Seguridad de la Información

www.ongei.gob.pe

mlazaro@pcm.gob.pe

Muchas gracias……..