SEGURIDAD DE LA INFORMACION
Marcia Alejandra Parra Vanegas Sandra Patricia Rodrguez Montenegro Jenny Paola Rojas Pea Monica Marcela Vargas Franco Luisa Fernanda Lugo Arce Paola Peralta Carolina Salguero
�La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada.
La informacin puede estar: Impresa o escrita en papel Almacenada electrnicamente Transmitida por correos o medios electrnicos Mostrada en filmes Hablada en conversacin
�El objetivo de la seguridad de la informacin es proteger los intereses de los negocios que dependan de la informacin.
Los objetivos de la seguridad de la informacin se cumplen cuando se preserva:
CONFIDENCIALIDAD INTEGRIDAD
DISPONIBILIDAD
��Incendios
Naturales
Terremotos
Inundaciones
Amenaza
Internas Maliciosas Humanas No Maliciosas Externas
Impericia
��Una vulnerabilidad es una debilidad en un activo o procedimiento que establece la seguridad de un activo. Las amenazas explotan vulnerabilidades utilizando tcnicas o programas llamados exploits.
* Inadecuado compromiso de la direccin * Personal inadecuadamente capacitado y concientizado.
* Inadecuada asignacin de responsabilidades.
* Ausencia de polticas / procedimientos
�Es la posibilidad que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza.
Se compone de tres factores: ACTIVOS AMENAZAS
VULNERABILIDADES
��Un incidente de seguridad es, un evento adverso que puede afectar a un sistema o red de computadoras. Puede ser causado por:
Una falla en algn mecanismo de seguridad Un intento de amenaza (concretada o no) de romper mecanismos de seguridad, etc.
���DIRECCION
La administracin efectiva de la seguridad de la informacin no es solamente un asunto de tecnologa, es un requerimiento del negocio.
ALTA GERENCIA PERSONAL DE TI EMPLEADOS
AUDITORES
ENTIDADES REGULADORAS EXTERNAS
�La norma ISO 27001 define el sistema de gestin de seguridad de la informacin (SGSI).
ISO 27001 es una norma certificable.
Se cre en diciembre de 2005 a partir de la norma BS7799-2.
La norma ISO 27001 adopta el modelo Plan Do Check Act (PDCA o PHVA), conocido tambin como Ciclo de Demming, para establecer, implementar, monitorear, revisar y mantener un SGSI.
��Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
�Exploraciones de vulnerabilidades
Pruebas de penetracin
Auditora en la seguridad de informtica
�ISO 27001 es un estndar aceptado internacionalmente para la administracin de la seguridad de la informacin y aplica a todo tipo de organizaciones, tanto por su tamao como por su actividad.
Se puede prever, que la certificacin ISO 27001, ser casi una obligacin de cualquier empresa que desee competir en el mercado en el corto plazo.
����El Anexo A contiene 133 controles que, como se puede observar por los nombres de los puntos, no se centran solamente en tecnologas de la informacin; tambin incluyen seguridad fsica, proteccin legal, gestin de recursos humanos, asuntos organizacionales, etc.
El Anexo A es donde se juntan las normas ISO 27001 e ISO 27002. Los controles de la norma ISO 27002 tienen los mismos nombres que en el Anexo A de la norma ISO 27001; pero la diferencia se encuentra en el nivel de detalle: la ISO 27001 slo proporciona una breve descripcin de un control, mientras que la ISO 27002 ofrece lineamientos detallados sobre cmo implementar el control.
�POLITICA DE SEGURIDAD
Conjunto coherente e internamente consistente de polticas, normas, procedimientos y directrices.
Determine la frecuencia de revisin de la poltica de seguridad de la informacin y las formas de comunicacin a toda la organizacin.
�ASPECTOS ORGANIZATIVOS SEGURIDAD
Organizacin interna. Establecer el compromiso de la Direccin, roles, responsabilidades, acuerdos de confidencialidad, etc.
Terceros. Haga inventarios de conexiones de red y flujos de informacin significativos con terceras partes y revise los controles de seguridad de informacin existentes.
�GESTION DE ACTIVOS
Elabore y mantenga un inventario de activos de informacin, mostrando los propietarios de los activos.
Realice una clasificacin de los activos con el nivel de importancia.
�SEGURIDAD DE RECURSOS HUMANOS Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la informacin, mediante: Definicin de roles y responsabilidad de seguridad de los activos.
Verificacin de antecedentes antes de la contratacin. Asegurar que los usuarios conocen de las amenazas y las inquietudes en materia de seguridad de sistema. Control de activos cuando finaliza el contrato.
�SEGURIDAD FISICA Y AMBIENTAL
El estndar parece centrarse en el CPD pero hay muchas otras reas vulnerables a considerar, por ejemplo, armarios de cableado, servidores departamentales y archivos. Prevenir acceso no autorizado, dao o interferencia a las premisas y por ende a la informacin. Establecer procedimientos para prevenir dao y prdida de informacin, equipos y bienes tal que no afecten las actividades adversamente.
�GESTION DE COMUNICACIONES Y OPERACIONES
Documente procedimientos, normas y directrices de seguridad de la informacin.
Supervisin de terceros proveedores de servicios y sus respectivas entregas de servicio. Adopte procesos estructurados de planificacin de capacidad TI, desarrollo seguro, pruebas de seguridad, criterios de aceptacin en produccin.
�GESTION DE COMUNICACIONES Y OPERACIONES
Asegure los medios y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes). Considere las medidas necesarias para asegurar el intercambio de informacin. Incorpore requisitos de seguridad de la informacin en los proyectos e-business.
�CONTROL DE ACCESOS
Establecer niveles de seguridad de acuerdo con el nivel de riesgo de los activos y sus propietarios. Un procedimiento de registro y revocacin de cuentas de usuario, una adecuada administracin de los privilegios y de las contraseas.
Definir y documentar las responsabilidades relativas a seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo.
�CONTROL DE ACCESOS
Establecer una poltica de uso de servicios de red.
Establecer medidas de autenticacin sobre los accesos remotos. Seguridad en la validacin de usuarios del sistema operativo, empleo de identificadores nicos de usuarios, correcta administracin de contraseas, control y limitacin de tiempos en las sesiones.
Implante estndares de seguridad bsica para todas las aplicaciones.
�ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
Incluir requerimientos de seguridad de las aplicaciones involucrando a los propietarios de la informacin. Utilice libreras y funciones estndar para necesidades corrientes como validacin de datos de entrada, restricciones de rango y tipo, integridad referencial, etc. Para mayor confianza con datos vitales, construya e incorpore funciones adicionales de validacin y chequeo cruzado, por ejemplo, sumas totalizadas de control.
�GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
Establecer procedimientos de reporte de incidentes de seguridad y problemas de seguridad.
Analizar y tomar las medidas correctivas.
�GESTION DE LA CONTINUIDAD DEL NEGOCIO
Contrarrestar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistemas de comunicacin/informtica implementando un plan de continuidad de negocio.
�CUMPLIMIENTO
Prevenir brechas de seguridad por actos criminales o violacin de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad.
Asegurar un sistema (de gestin) cumpliendo con polticas de seguridad y normativas (ISO 27002, ISO 9001 y otras).
��UTILIZAR UN ENFOQUE DIVIDIDO POR ETAPAS
Client-side Vulnerabilities Server-side Vulnerabilities Security Policy and Personnel Application Abuse Networ Devices Zero Day Attacks
