Professional Documents
Culture Documents
Sesin N 5
Sistema de Seguridad de la Informacin
la Norma NTP ISO /IEC 17799
Expositor: Ing. Miguel Vliz Granados
Director Ejecutivo de Consultora InnSolutions S.A.C.
Director Ejecutivo del Instituto de Normas Tcnicas de CINSEYT
Secretario Tcnico del CTN 63 Microformas Digitales CNB INDECOPI
Consultor de Certificacin de Sistemas ISO 9001, ISO 27001 y NTP 392.0302
Lder de Certificaciones de Sistemas de produccin de microformas de SGS
del Per
Noviembre 2012
Situacin Actual
Algunos riesgos y su impacto en los
negocios
Algunos datos
Algunos datos
INFORMATICA
INTERNET
Algunos datos
Algunos datos
23-06-2003
Despido
NEGOCIOS
Algunos datos
Algunas premisas
Algunas realidades
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me sacaron
observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya arreglamos todo.
Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son efectuados
por personal interno
Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS
10
Algunos datos
Segn una encuesta del Departamento de Defensa de
USA:
11
Qu Informacin proteger
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas
12
13
Spamming
Violacin de e-mails
Violacin de contraseas
Virus
empleados deshonestos
Ingeniera social
Programas bomba
Propiedad de la Informacin
Destruccin de equipamiento
Fraudes informticos
Interrupcin de los servicios
Robo de informacin
Software ilegal
Intercepcin de comunicaciones
Falsificacin de informacin para
terceros
Agujeros de seguridad de redes conectadas
14
Instalaciones default
Password cracking
Escalamiento de privilegios
Desactualizacin
Replay attack
Exploits
Backups inexistentes
Port scanning
Keylogging
15
Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la
Informacin, podemos encontrar los siguientes:
Sans Institute
18
19
Introducci
n La seguridad
Qu es seguridad de la
informacin?
La seguridad de la informacin es la proteccin de
la informacin de un rango amplio de amenazas
para poder asegurar la continuidad del negocio,
minimizar el riesgo comercial y maximizar el
retorno de las inversiones y las oportunidades
comerciales.
Se logra implementando un adecuado conjunto de
controles;
incluyendo
polticas,
procesos,
procedimientos, estructuras organizacionales y
funciones de software y hardware.
Se requiere establecer, implementar, monitorear,
revisar y mejorar estos controles cuando sea
necesario para asegurar que se cumplan los
22
objetivos especficos de seguridad y comerciales.
Por qu se necesita
informacin?
seguridad
de la
Objetivo
24
cuantificar y
priorizar los riesgos en comparacin con el criterio para la
aceptacin del riesgo y los objetivos relevantes para la
organizacin.
Los resultados deben guiar y determinar la accin de gestin
apropiada y las prioridades para manejar los riesgos de la
seguridad de la informacin y para implementar los controles
seleccionados para protegerse contra estos riesgos.
La evaluacin del riesgo debe incluir el enfoque sistemtico de
calcular la magnitud de los riesgos (anlisis del riesgo) y el
proceso de comparar los riesgos estimados con un criterio de
riesgo para determinar la importancia de los riesgos (evaluacin
del riesgo). Los ejemplos de las tecnologas de evaluacin del
25
riesgo se discuten en ISO/IEC TR 13335-3 (Lineamientos para la
c)
d)
5 Poltica de seguridad
Dirigir y dar soporte a la gestin de la seguridad de la
informacin en concordancia con los requerimientos del
negocio, las leyes y las regulaciones.
Debe incluir:
27
Alcance de
seguridad
la
poltica
de
Autorizacin
Proteccin Fsica
Confiabilidad
Confidencialidad
Propiedad
Legalidad
Poltica de
Seguridad
Disponibilidad
Eficiencia
Integridad
Eficacia
Exactitud
28
Organizacin
Interna
Debe establecerse
una estructura de gestin para iniciar y
controlar la implantacin de la seguridad de la informacin
dentro de la organizacin
Comits de Gestin
Organizacin Interna
Acuerdos de confidencialidad
instalaciones
de
31
Ejemplo de terceros
pasantas
de
estudiantes
y
otras
designaciones contingentes de corto plazo;
consultores.
32
7 Gestin de Activos
7.1 Responsabilidad por los activos
Mantener una proteccin adecuada sobre los activos de la
organizacin.
Inventarios
de
Informacin
Instalaciones
manipulacin
de
la
33
Roles y responsabilidades
documentadas
definidas
de
empleo
34
Gestin de responsabilidades
Proceso disciplinario
35
cambio
de
Devolucin de activos
36
9 Seguridad
entorno
fsica
del
9.1reas seguras
Evitar accesos no autorizados, daos e interferencias contra
los locales y la
Informacin de la organizacin.
37
9 Seguridad
entorno
fsica
del
38
responsabilidades
Gestin de cambios
Segregacin de deberes
Separacin de
operaciones
las
reas
de
desarrollo,
prueba
39
Entrega de servicio
40
Gestin de capacidad
41
42
Controles de red
43
Retiro de medios
Acuerdos de intercambio
Mensajera electrnica
10
Gestin
operaciones
de
comunicaciones
Comercio electrnico
Transacciones en lnea
46
10
Gestin
operaciones
de
comunicaciones
10.10 Monitoreo
Detectar las actividades de procesamiento de informacin no
autorizadas.
Registro de la auditora
Registro de fallas
Sincronizacin de relojes
47
11
Control de Acceso
48
11
Control de Acceso
Gestin de privilegios
49
11
Control de Acceso
Uso de clave
50
11
Control de Acceso
Segregacin en redes
51
11
Control de Acceso
Los
11
Control de Acceso
Sesin inactiva
53
11
Control de Acceso
11.6 Control de
informacin
acceso
las
aplicaciones
11
Control de Acceso
Tele trabajo
55
Anlisis y
seguridad
especificacin
de
los
requerimientos
de
56
57
la
informacin
Filtracin de informacin
59
explotacin
de
60
debilidades
de
la
61
mejoras
en
la
Aprendizaje
informacin
Recoleccin de evidencia
de
los
incidentes
en
la
seguridad
de
62
de
continuidad
63
64
15 Cumplimiento
15.1 Cumplimiento con los requisitos legales.
Evitar los incumplimientos de cualquier ley civil o penal,
requisito reglamentario, regulacin u obligacin contractual, y
de todo requisito de seguridad.
65
15 Cumplimiento
15.2 Cumplimiento de las polticas y estndares de
seguridad y el cumplimiento tcnico.
Asegurar la conformidad de los sistemas con las polticas y
normas de seguridad.
66
15 Cumplimiento
15.3 Consideraciones de la
sistemas de informacin.
auditora
de
los
67
mvelizg@yahoo.com.mx