Seguridad de la

Informacin

Introduccin
La informacin es uno de los activos ms importantes y valiosos
de cualquier organizacin
Su adecuado manejo es clave para la continuidad de cualquier
negocio y para el cumplimiento de los objetivos estratgicos de
las organizaciones
La seguridad de la informacin es un habilitador fundamental
para el negocio ya que permite crear y mantener la confianza
que hoy exigen las relaciones empresariales
Cualquier organizacin puede ser blanco de ataques por
agentes internos y/o externos que busquen sustraer, alterar o
lucrar con su informacin. Bastara un solo ataque exitoso que
involucre la obtencin de informacin confidencial para tener
consecuencias incalculables en la continuidad de sus
operaciones, finanzas, imagen y prestigio, as como daar la
confianza de clientes e inversionistas

Introduccin
Ataques internos en el Departamento de TI
- Desde diciembre pasado Roger Duronio purga
una condena de ocho aos en una crcel
federal de Estados Unidos por sabotear en
2002 los sistemas IT de UBS Paine Webber
- A mediados de noviembre pasado, fue
detenido un ex vicepresidente IT de Source
Media, Stevan Hoffacker, acusado de
entrometerse en el correo electrnico de su
antigua compaa para advertir a quienes an
trabajaban en ella que iban a ser despedidos

Introduccin
Ataques internos en el Departamento de TI (Cont.)
- En 2002, un miembro del rea IT de Prudential
Insurance, Donald McNeese, rob informacin de la
base de datos de sta sobre 60,000 empleados y fue
sorprendido cuando trataba de vender esas
identidades para fraguar un fraude con tarjetas de
crdito
El personal no es el problema ms comn para la
seguridad, pero puede ser el ms costoso y el ms
perjudicial para la reputacin de una empresa. Los
ataques internos contra la infraestructura IT son de los
perjuicios ms temidos para la seguridad tanto de
parte del gobierno como de los profesionales de la
seguridad de las corporaciones

Introduccin
Qu hacer?
- Los riesgos se pueden disminuir, primero, revisando
los antecedentes de los posibles empleados IT
- Si se despide a un empleado, es crucial que todo su
acceso al sistema quede revocado de inmediato.
Suena obvio, pero esto no significa que siempre se
haga
El mayor error acerca de la prevencin de ataques
internos es que el departamento IT se ha de
preocupar slo de cuestiones de tecnologa, mientras
que incumbe nicamente a RR.HH encargarse de los
asuntos personales

Situacin Actual
Los resultados de la 7 Encuesta Global de Seguridad
de la Informacin de Ernst & Young revelan que
muchas organizaciones dependen de la suerte al
tratarse del tema de seguridad de la informacin
La encuesta tambin revel que la falta de
presupuesto es el principal obstculo para desarrollar
estrategias efectivas de seguridad de la informacin,
seguido por la dificultad para mostrar a la alta
direccin el valor estratgico que implica el contar con
esquemas de seguridad, y por la falta de conciencia
del tema a nivel organizacional

Expectativas
Las organizaciones no estn dando un enfoque
pro-activo al tema de la seguridad de la
informacin. Pocas han hecho esfuerzos
integrados y efectivos para analizar sus riesgos
referentes a este tema, lo cual hace imposible
tomar las acciones requeridas

Expectativas

Recomendaciones para enfocar el tema de seguridad:

1.- Realizar un anlisis de riesgos integral Debe
involucrar a la alta direccin y a los mandos medios
2.- Definir una estrategia de seguridad de la
informacin, alineada a la del negocio, que considere:
a. Ampliar el enfoque tecnolgico, hacia la gente
y los procesos
b. Desarrollar una conciencia de seguridad de
la informacin en todo el personal
c. Entrenar, capacitar y educar al personal
d. Exigir niveles de seguridad a terceros y hacer
que se cumplan
3.- Hacer de la seguridad de la informacin un proceso
continuo e intrnseco a los procesos del negocio

Importancia de la Administracin de la
Seguridad de la Informacin
El factor ms crtico para proteger los activos de
informacin y la privacidad es establecer la base para
una gestin efectiva de la seguridad de la informacin
La prdida de barreras organizacionales a travs del
uso de mecanismos de acceso remoto, la exposicin a
riesgos de seguridad de alto impacto (virus, acceso no
autorizado, robo de nmeros de tarjetas de crdito,
etc.) han elevado el perfil de riesgo de la informacin
y de la privacidad y la necesidad de gestionar con
eficiencia la seguridad de la informacin

Importancia de la Administracin de la
Seguridad de la Informacin
ISO, public la norma ISO 17799 como un conjunto
integral de controles que abarcan las mejores
prcticas para la administracin de la seguridad de la
informacin
ISO ha desarrollado 127 objetivos de control
clasificados bajo 10 reas
La legislacin relativa a la tecnologa de la informacin
se est volviendo ms prolfica, con muchos pases
promulgando leyes sobre aspectos tales como
derechos de autor, propiedad intelectual y datos
personales

Importancia de la Administracin de la
Seguridad de la Informacin
Objetivos de seguridad para satisfacer los
requerimientos del negocio de la organizacin:
- Asegurar la continua disponibilidad de sus
sistemas de informacin
- Asegurar la integridad de la informacin
- Preservar la confidencialidad de los datos
sensitivos almacenados y en trnsito
- Asegurar el cumplimiento de las leyes,
regulaciones y estndares aplicables

Importancia de la Administracin de la
Seguridad de la Informacin
Elementos clave de la Gestin de Seguridad de
la Informacin:
- Compromiso y soporte de la alta gerencia
- Polticas y Procedimientos
- Organizacin
- Conciencia de la Seguridad y educacin
- Monitoreo y cumplimiento
- Tratamiento y respuesta a incidentes

Importancia de la Administracin de la
Seguridad de la Informacin
Roles y Responsabilidades de la Gestin de Seguridad
de la Informacin:
- El comit de direccin de seguridad de SI
- Gerencia general
- Grupo de asesora en seguridad
- Administrador de la seguridad
- Usuarios
- Terceras partes
- Desarrolladores de TI
- Auditores de SI

Conceptos bsicos de la Seguridad de la

Informacin
Muchas empresas son amenazadas
constantemente en sus activos lo que pudiera
representar miles o millones de dlares en
prdidas. Las vulnerabilidades en nuestros
sistemas de informacin pueden representar
problemas graves

Conceptos bsicos de la Seguridad de la

Informacin

La Seguridad de la Informacin tiene como propsito

proteger la informacin registrada independientemente del
lugar en que se localice: impresos en el papel, en los discos
duros de las computadoras o incluso en la memoria de las
personas que las conocen

Elementos que la Seguridad de la

Informacin busca proteger

Activos
Saba usted que el 94% de las empresas que pierden sus
datos desaparece?

Investigaciones de Gartner Group, aunque ms moderadas,

respaldan esta tendencia al indicar que dos de cada cinco
empresas que enfrentan ataques o daos en sus sistemas dejan
de existir
Enrique Mosiejko, director regional Latinoamrica Sur de Hitachi
Data Systems, explica que "los datos de una empresa pueden
desaparecer o daarse de muchas formas. Por una mala
administracin de la informacin, errores humanos, virus,
hackers, ataques terroristas o, incluso, desastres naturales. En
Chile, por ejemplo, los terremotos y las inundaciones son una
seria amenaza para los equipos que almacenan la informacin
crtica de las compaas"

Activos
Todo aquel elemento que compone el proceso
de la comunicacin, partiendo desde la
informacin, su emisor, el medio por el cual se
transmite, hasta su receptor.
Los activos son elementos que la seguridad de
la informacin busca proteger. Los activos
poseen valor para las empresas y como
consecuencia de ello, necesitan recibir una
proteccin adecuada para que sus negocios no
se vean perjudicados.

Activos
Inventario de Activos
Un control efectivo requiere un inventario detallado de
los activos. Dicha lista es el primer paso para clasificar
los activos y determinar el nivel de proteccin a
proveer para cada uno de ellos
El registro de inventario debe incluir:
- Una identificacin clara y distintiva del activo
- Su ubicacin
- Su grupo de activos
- Su propietario

Tipos de Activos

Informacin

Equipos que la Soportan Personas que los utilizan

Informacin
En este grupo estn los elementos que
contienen informacin registrada, en medio
electrnico o fsico:
- Cualquier tipo de informacin, sin importar en
que tipo de medio se tenga almacenada, que
sea de importancia para la empresa y sus
negocios.
- Documentos, informes, libros, manuales,
correspondencias, patentes, informacin de
mercado, cdigo de programacin, lneas de
comando, archivos de configuracin, roles de
pago, plan de negocios de una empresa, etc.

Posibles vulnerabilidades de la
Informacin

Robo (documentos ubicados en lugares

inseguros)
Prdida (archivos de configuracin no
organizados)

Equipos que la Soportan: Software

Este grupo de activos contiene todos los
programas de computadora que se utilizan para
la automatizacin de procesos:
- Las aplicaciones comerciales, programas
institucionales, sistemas operativos, otros
- Sistemas operativos (Unix, Windows, Linux),
sistemas informatizados, aplicaciones
especficas, programas de correo electrnico,
sistemas de respaldo, entre otros

Posibles vulnerabilidades del Software

Fallas publicadas no reparadas que puedan

representar accesos indebidos a los equipos
(Administradores de sistemas desactualizados)
Prdida de los sistemas de respaldo (deficiencia
organizacional)

Equipos que la Soportan: Hardware

Estos activos representan toda la infraestructura
tecnolgica que brinda soporte a la informacin
durante su uso, trnsito y almacenamiento:
- Cualquier equipo en el cual se almacene, procese o
transmita la informacin de la empresa
- Las computadoras, los servidores, los equipos
porttiles, los medios de almacenamiento, los equipos
de conectividad, routers, switches y cualquier otro
elemento de una red de computadoras por donde
transita la informacin

Posibles vulnerabilidades del Hardware

Fallas elctricas que daen los equipos

(generadores elctricos alternos no disponibles)
Inundaciones en centros de cmputo (sistema
de drenaje deficiente )
Robo de equipos porttiles (vigilancia deficiente
o nula )

Equipos que la Soportan: Organizacin

En este grupo de incluyen los aspectos que
componen la estructura fsica y organizativa de
las empresas
- La estructura departamental y funcional, el
cuadro de asignacin de funcionarios, la
distribucin de funciones y los flujos de
informacin de la empresa
- Salas y armarios donde estn localizados los
documentos, sala de servidores de archivos

Posibles vulnerabilidades

Ubicacin insegura de documentos, equipos o

personas
Estructura organizacional que no permita los
cambios en materia de seguridad

Personas que los utilizan

Se refiere a los individuos que utilizan la
estructura tecnolgica y de comunicacin de la
empresa y que manejan la informacin.
- El enfoque de la seguridad en los usuarios est
orientado hacia la toma de conciencia de
formacin del hbito de la seguridad para la
toma de decisiones y accin por parte de los
empleados de una empresa.
- Empleados del rea de contabilidad, directivos
de la empresa.

Posibles vulnerabilidades de las

personas que utilizan los equipos

Olvido de contraseas.
Falta de cooperacin por parte de los usuarios
en materia de seguridad.
Descuido de parte de los usuarios en el manejo
de la informacin.

Proteccin de los Activos

Proteger los activos significa mantenerlos
seguros contra amenazas que puedan afectar su
funcionalidad:
- Corrompindola
- Accedindola indebidamente
- Eliminndola

Proteccin de los Activos

La seguridad de la informacin tiene en vista
proteger los activos de una empresa, con base
en la preservacin de tres principios bsicos:

Integridad
Confidencialidad
Disponibilidad

Principio de la Integridad de la
Informacin
Nos permite garantizar que la informacin no ha
sido alterada en su contenido, por tanto, es
ntegra

Principio de la Integridad de la
Informacin
La quiebra de la integridad ocurre cuando la
informacin se corrompe, falsifica o burla
- Alteraciones del contenido de los documentos
(inserciones, sustituciones o remociones de
parte de su contenido)
- Alteraciones en los elementos que soportan la
informacin

Principio de la Confidencialidad de la
Informacin
Tiene como propsito el asegurar que solo la
persona correcta acceda a la informacin que
queremos distribuir

Principio de la Confidencialidad de la
Informacin
La informacin que se intercambian entre individuos y
empresas no siempre deber ser conocida por todo el
mundo. Mucha de la informacin generada por las
personas se destina a un grupo especfico de
individuos, y muchas veces a una nica persona
Se dice que la informacin posee un grado de
confidencialidad que se deber preservar para que
personas sin autorizacin no la conozcan
Tener confidencialidad en la comunicacin, es la
seguridad de que lo que se dijo a alguien o escribi en
algn lugar ser escuchado o ledo slo por quien tenga
ese derecho

Principio de la Confidencialidad de la
Informacin
La informacin generada por las personas tiene un fin
especfico y se destina a un individuo o grupo. Por lo
tanto, la informacin necesita una clasificacin en lo
que se refiere a su confidencialidad. Es lo que
denominamos grado de sigilo, que es una graduacin
atribuida a cada tipo de informacin, con base en el
grupo de usuarios que poseen permisos de acceso
Grados de sigilo:
- Confidencial
- Restricto
- Sigiloso
- Pblico

Principio de Disponibilidad de la
Informacin
Garantiza que la informacin llegue en el
momento oportuno.

Principio de Disponibilidad de la
Informacin
Se refiera a la disponibilidad de la informacin y
de toda la estructura fsica y tecnolgica que
permite el acceso, trnsito y almacenamiento
La disponibilidad de la informacin permite
que:
- Se utilice cuando sea necesario
- Que est al alcance de sus usuarios y
destinatarios
- Se pueda accederla en el momento en que
necesitan utilizarla

Amenazas y Puntos Dbiles

Las amenazas son agentes capaces de explotar
los fallos de seguridad, que denominamos
puntos dbiles y, como consecuencia de ello,
causan prdidas o daos a los activos de una
empresa, afectando a sus negocios.
Uno de los objetivos de la seguridad de la informacin es
impedir que las amenazas exploten puntos dbiles y afecten
alguno de los principios bsicos de la seguridad de la
informacin (Integridad, Confidencialidad y Disponibilidad),
causando daos al negocio de las empresas

Tipos de Amenazas
Naturales
Condiciones de la naturaleza y la intemperie que
podrn causar daos a los activos, tales como fuego,
inundaciones, terremotos, etc
Intencionales
Amenazas deliberadas, fraude, vandalismo, sabotajes,
espionaje, invasiones y ataques, robos de informacin,
entre otros
Involuntarias
Amenazas resultantes de acciones inconscientes de
usuarios, por virus electrnicos, muchas veces causada
por la falta de conocimiento en el uso de activos tales
como errores o accidentes.

Principales amenazas

Puntos Dbiles
Las vulnerabilidades a las cuales los activos
estn expuestos pueden ser:
- Fsicas
- Naturales
- De Hardware
- De Software
- De medios de almacenaje
- De comunicacin
- Humanas

Vulnerabilidades Fsicas
Son aquellas presentes en los ambientes en los
cuales la informacin se est almacenando o
manejando.
- Instalaciones inadecuadas del espacio de
trabajo.
- Ausencia de recursos para el combate de
incendios.
- Ausencia de identificacin de personas.

Vulnerabilidades Naturales
Son aquellas relacionadas con las condiciones
de la naturaleza que pueden colocar en riesgo la
informacin.
- Locales prximos a ros propensos a
inundaciones.
- Infraestructura incapaz de resistir a las
manifestaciones de la naturaleza como
terremotos, huracanes, etc.

Vulnerabilidades De Hardware
Los posibles defectos en la fabricacin o
configuracin de los equipos de la empresa que
pudieran permitir el ataque o la alteracin de
los mismos.
- Ausencia de actualizaciones conforme con las
orientaciones de los fabricantes.
- Conservacin inadecuada de los equipos.

Vulnerabilidades De Software
Las vulnerabilidades de aplicaciones permiten
que ocurran accesos indebidos a los sistemas de
informacin incluso sin el conocimiento de un
administrador de red.
- Editores de texto que permiten la ejecucin de
virus macro.
- Lectores de e-mail que permiten la ejecucin
de cdigos maliciosos.

Vulnerabilidades De medios de
almacenaje
Si los soportes que almacenan informacin no
se utilizan de forma adecuada, el contenido en
los mismos podr estar vulnerable.
- Plazos de caducidad.
- Descuidos mientras se custodian.

Vulnerabilidades De comunicacin
Donde sea que la informacin transite debe
existir seguridad.
- Ausencia de sistemas de encriptacin.
- Errores al manipular medios de comunicacin.

Vulnerabilidades Humanas
Daos que las personas pueden causar a la
informacin y al ambiente tecnolgico que la
soporta.
- Vandalismo.
- Estafas.
- Invasiones.

Riesgos, Medidas y Ciclos de Seguridad

Expertos en seguridad informtica reunidos en Kuala Lumpur, Malasia

explicaron que problemas en cierto software podran permitir tomar el
control del telfono en forma remota.
Advirtieron que la ltima generacin de telfonos mviles es vulnerable a los
hackers, segn inform el sitio de noticias de la BBC.
Los asistentes a la conferencia "Hack in the Box", realizada en la capital de
Malasia, fueron testigos de una demostracin sobre los defectos de
seguridad encontrados en Java 2 Micro Edition, software desarrollado
conjuntamente por Sun Microsystems, Nokia, Sony Ericsson y Motorola.
La vulnerabilidad del software, que viene incluido en telfonos inteligentes
fabricados por estas compaas, est relacionada con la manera en que Java
trata de evitar que el sistema operativo acepte rdenes desde el exterior,
seal un portavoz.
La nueva generacin de telfonos en realidad viene con un software mucho
ms poderoso dentro del sistema operativo, manifest Dylan Andrew, el
organizador del encuentro. Hemos encontrado nuevos ataques que afectan
a stas nuevas plataformas y que permiten al atacante, por ejemplo, tomar el
control del telfono celular en forma remota, quizs leer la agenda de
direcciones o escuchar secretamente un conversacin.

Riesgos
El riesgo es la probabilidad de que las amenazas
exploten los puntos dbiles, causando prdidas
o daos a los activos e impactos al negocio, es
decir, afectando: La confidencialidad, la
integridad y la disponibilidad de la informacin.

Medidas de Seguridad
Son acciones orientadas hacia la eliminacin de
vulnerabilidades, teniendo en mira evitar que
una amenaza se vuelva realidad
Estas medidas son el paso inicial para el
aumento de la seguridad de la informacin
Pueden ser:
- Preventivas
- Perceptivas
- Correctivas

Medidas de Seguridad
Preventivas
Buscan evitar el surgimiento de nuevos puntos
dbiles y amenazas
Perceptivas
Orientadas hacia la revelacin de actos que
pongan en riesgo la informacin
Correctivas
Orientadas hacia la correccin de los problemas
de seguridad conforme su ocurrencia

Medidas Globales de Seguridad

Las medidas de seguridad son un conjunto de
prcticas que, al ser integradas, constituyen una
solucin global y eficaz de la seguridad de la
informacin. Entre las principales medidas se
destacan:
- Anlisis de riesgos
- Poltica de seguridad
- Especificacin de seguridad
- Administracin de seguridad

Medidas Globales de Seguridad

Anlisis de riesgos
Es una medida que busca rastrear
vulnerabilidades en los activos que puedan ser
explotados por amenazas. El anlisis de riesgos
tiene como resultado un grupo de
recomendaciones para la correccin de los
activos para que los mismos puedan ser
protegidos

Medidas Globales de Seguridad

Poltica de seguridad
Es una medida que busca establecer los
estndares de seguridad a ser seguidos por
todos los involucrados con el uso y
mantenimiento de los activos. Es una forma de
suministrar un conjunto de normas para guiar a
las personas en la realizacin de sus trabajos. Es
el primer paso para aumentar la conciencia de
la seguridad de las personas, pues est
orientada hacia la formacin de hbitos, por
medio de manuales de instruccin y
procedimientos operativos

Medidas Globales de Seguridad

Especificacin de seguridad
Son medidas que tienen en mira instruir la
correcta implementacin de un nuevo ambiente
tecnolgico, por medio del detalle de sus
elementos constituyentes y la forma con que los
mismos deben estar dispuestos para atender a
los principios de la seguridad de la informacin

Medidas Globales de Seguridad

Administracin de seguridad
Son medidas integradas para producir la gestin
de los riesgos de un ambiente. La
administracin de la seguridad involucra a todas
las medidas mencionadas anteriormente, en
forma preventiva, perceptiva y correctiva, con
base en el ciclo de la seguridad

Ciclo de Seguridad

Anlisis de Riesgos
Es un paso importante para implementar la
seguridad de la informacin. Como su propio
nombre lo indica, es realizado para detectar los
riesgos a los cuales estn sometidos los activos
de una organizacin, es decir, para saber cul es
la probabilidad de que las amenazas se
concreten
La relacin entre amenaza-incidente-impacto, es
la condicin principal a tomar en cuenta en el
momento de priorizar acciones de seguridad
para la correccin de los activos que se desean
proteger y deben ser siempre considerados
cuando se realiza un anlisis de riesgos

Anlisis de Riesgos

Anlisis de Riesgos
Ejemplos de la relacin: amenaza-incidente-impacto
- La prdida de un documento confidencial, que trae el
listado de los principales deudores de una empresa. El
incidente de la prdida de esta informacin en s es
pequeo, pero el impacto que puede causar es
inmenso, cuando se divulguen los nombres de las
personas deudoras
- En el caso de la accin de una amenaza de un
fenmeno meteorolgico como un huracn, el
incidente puede ser muy grande, pero si la empresa
cuenta con la proteccin adecuada en su
infraestructura, el impacto puede ser pequeo

Anlisis de Riesgos

Momento y mbitos del Anlisis de

Riesgos
De qu manera se plantea Microsoft el tema de la seguridad informtica?
Para nosotros la seguridad no es solamente tecnologa, sino que vemos la
seguridad informtica como compuesta por tres pilares: por una parte la
tecnologa; por otra, todo lo que son los procesos de administracin y
operacin; y por ltimo, el entrenamiento de la gente, para que conozca los
procesos, sepa como implementarlos, conozca la tecnologa y la configure, la
administre y la opere de manera eficiente. Con estos tres pilares creemos
que se logra una infraestructura mucho ms segura que si solamente cuento
con tecnologa buena
Cules son los pasos que deben dar las compaas para implementar la
seguridad informtica?
Lo primero es identificar el riesgo. Conociendo el riesgo al que se exponen les
resulta ms fcil aplicar soluciones de seguridad. Si no se conoce, difcilmente
se sabr qu mecanismos se deben aplicar. Entonces, lo primero que
recomendamos es hacer un anlisis de riesgos y ordenarlos segn su
prioridad. Depender de la prioridad y de los recursos que requieran el que
los riesgos sean mitigados, eliminados o asumidos, en caso que el impacto no
sea mayor. Siempre hay una franja en la cual tengo un riesgo que es
inaceptable, un riesgo aceptable, y trato de llegar a una franja en el medio,
que es la administracin de riesgo

Momento y mbitos del Anlisis de

Riesgos

Cules son esos riesgos que afectan a las empresas y ante los cuales
deberan mantenerse alertas?
Hay todo tipo de riesgos desde el punto de vista tecnolgico y otros que no
son tecnolgicos. Un riesgo tecnolgico, por ejemplo, es no tener bien
configurado un servidor para tener password seguras. En muchos casos el
servidor acepta una contrasea que sea simplemente 123. Si yo configuro el
servidor de manera tal que me exija una contrasea que incluya nmeros,
letras y smbolos, estoy automticamente mejorando la seguridad. El riesgo
es que si no tengo password complejas cualquiera puede acceder a
documentos, informacin confidencial o al correo electrnico. Los riesgos no
tecnolgicos son, por ejemplo, la fuga de informacin. Esto puede ocurrir con
el simple hecho de botar un papel en el cesto de la basura o al hablar por
telfono celular en el ascensor, divulgando informacin del negocio ante la
presencia de otras personas. Eso es un riesgo que tiene que ver con procesos,
no con tecnologas. La gente tiene que tener incorporado dentro de su
cultura el tema de la seguridad, para poner una contrasea segura, para no
hablar en el ascensor de cualquier tema, para no tirar el papel a la basura

Momento del Anlisis de Riesgos

El anlisis de riesgos puede ocurrir antes o despus de
la definicin de una poltica de seguridad. Segn la
norma internacional ISO 17799, esta actividad puede
ser hecha despus de la definicin de la poltica
El propsito de tomar en cuenta una poltica de
seguridad en el anlisis se debe a varias razones:
- La poltica de seguridad delimita el alcance del anlisis
- Permite ser selectivo en la verificacin de activos que
la poltica establece como vulnerables
- El anlisis toma en cuenta la lista de amenazas
potenciales que la misma poltica contempla

Momento del Anlisis de Riesgos

Factores que pueden ser considerados y que
influyen en el momento de la realizacin de un
anlisis de riesgos

mbitos del Anlisis de Riesgos

El anlisis de riesgos puede ser realizado en
distintos mbitos. Por lo general, todos son
considerados, puesto que la implementacin de
seguridad pretende corregir el entorno en que
se encuentra la informacin, es decir en
actividades relacionadas a:
- Generacin
- Trnsito
- Procesamiento
- Almacenamiento

mbitos del Anlisis de Riesgos

Tecnolgico
Pretende el conocimiento de las configuraciones
y de la disposicin topolgica de los activos de
tecnologa que componen toda la
infraestructura de respaldo de la informacin
para comunicacin, procesamiento, trnsito y
almacenamiento

mbitos del Anlisis de Riesgos

Humano
Comprender las maneras en que las personas se
relacionan con los activos, para detectar cules
vulnerabilidades provienen de acciones
humanas, y dirigir recomendaciones para
mejorar la seguridad en el trabajo humano y
garantizar la continuidad de los negocios de la
organizacin

mbitos del Anlisis de Riesgos

Procesos
Anlisis de los flujos de informacin de la
organizacin y la manera en que la informacin
transita de un rea a otra, as, ser posible
identificar los eslabones entre las actividades y
los insumos necesarios para su realizacin con
el objetivo de identificar las vulnerabilidades
que puedan afectar la confidencialidad, la
disponibilidad y la integridad.

mbitos del Anlisis de Riesgos

Fsico
Pretende identificar en la infraestructura fsica
del ambiente en que los activos se encuentran
vulnerabilidades que puedan traer algn
perjuicio a la informacin y a todos los dems
activos. El enfoque principal de este mbito de
anlisis son los activos de tipo organizacin,
pues son los que proveen el soporte fsico al
entorno en que est siendo manipulada la
informacin

Actividades del Anlisis de Riesgos

Ejemplo de Anlisis de Riesgos
La empresa Internet Banking utiliza una tabla
para aplicar el anlisis de riesgos en los
diferentes mbitos de su negocio y saber qu
factores pudiera tomar en cuenta para cada uno
ellos

Actividades del Anlisis de Riesgos

Ejemplo de Anlisis de Riesgos (Cont.)
La primera tarea en el anlisis de riesgos es identificar
los procesos de negocios de la organizacin en que se
desea implementar o analizar el nivel de seguridad de
la informacin. Identificamos a esta etapa como la
definicin del mbito del proyecto de anlisis de
riesgos.
Esto permite la realizacin de anlisis donde sea
realmente necesario, en base a la relevancia del
proceso de negocio y sus activos para alcanzar los
objetivos de la organizacin.
Surge principalmente por la necesidad de delimitar el
universo de activos para ser analizados y sobre los
cuales se ofrecern las recomendaciones.

Actividades del Anlisis de Riesgos

Ejemplo de Anlisis de Riesgos (Cont.)
Humanos. Las personas que hacen uso del
Internet Banking; quienes dan soporte a los
usuarios o administran los activos en la
organizacin, las responsables de la planeacin
y coordinacin del trabajo, los equipos que
actan en la definicin de las polticas y
procedimientos para la realizacin del proceso
de negocio

Actividades del Anlisis de Riesgos

Ejemplo de Anlisis de Riesgos (Cont.)
Tecnolgicos. Los servidores de ficheros, en los que se
encuentran la informacin sobre el producto, un
servidor de banco de datos que almacena la
informacin de las cuentas de los clientes del Internet
Banking; un ruteador, un servidor de correo electrnico
(para envo de estado de cuenta por correo
electrnico); un servidor Web, que permite que se
hagan consultas al producto por Internet (en sus
distintas plataformas: Windows, Unix , Solaris, etc.),
adems de los elementos de una red de comunicacin
para el envo y recepcin de la informacin (firewall,
ruteador, puente, etc.)

Actividades del Anlisis de Riesgos

Ejemplo de Anlisis de Riesgos (Cont.)
De procesos. La estructura organizacional
humana que ha sido establecida para la
realizacin del proceso de negocio. Podemos
considerar, en Internet, la definicin de los
equipos para la manutencin y garanta de la
continuidad de los activos de tecnologa del
proceso; las personas y el flujo de actividades
relacionadas a la atencin a los clientes; el flujo
necesario de informacin para la realizacin de
una transaccin por el banco virtual, etc.

Actividades del Anlisis de Riesgos

Ejemplo de Anlisis de Riesgos (Cont.)
Fsicos. El ambiente operativo que incluye las
actividades del producto Internet Banking,
como los locales de trabajo de los equipos
involucrados, los locales de almacenamiento de
la informacin crtica, las agencias o puestos de
atencin al cliente, las centrales de proceso de
informacin como los centros de proceso de
datos, las salas de servidores, las centrales de
procesamientos por telfono, la sala caja fuerte,
etc.

Relevancia de los procesos de negocio y sus

activos en el anlisis de la seguridad
Al hacer un anlisis de riesgos, es importante
identificar la relevancia que tienen los procesos de la
empresa en la organizacin, para as poder priorizar las
acciones de seguridad, es decir, iniciar el trabajo de
implementacin de seguridad en las reas ms
estratgicas que puedan traer un impacto mayor a la
organizacin cuando se presente algn incidente.
La relevancia de cada uno de los procesos de negocio
en la empresa, es un punto clave a considerar durante
la realizacin del anlisis de riesgos. Dicha relevancia
ser de gran importancia para identificar el rumbo de
las acciones de seguridad a implantar en la
organizacin.

Relevancia de los procesos de negocio y sus

activos en el anlisis de la seguridad

Relevancia de los procesos de negocio y sus

activos en el anlisis de la seguridad
Ejemplos:
En una empresa de Internet Banking, las acciones de seguridad
debieran probablemente enfocarse principalmente en aquellos
procesos que involucren transacciones monetarias, que son
aquellas de mayor prioridad dada la naturaleza de su negocio.
Si en una empresa existen reas que son comnmente atacadas
y afectadas, es posible que sea necesario atender primero estos
procesos dado los riesgos que pudieran presentar para la
seguridad de la informacin en la empresa.
Si en la empresa existen reas que son importantes para la
reduccin de costos, pudiera ser importante considerarlas como
clave y de alta prioridad para las acciones de seguridad por
tomar.

Relevancia de los procesos de negocio y sus

activos en el anlisis de la seguridad
El anlisis de seguridad permite cumplir los siguientes
propsitos:
- Dar la relevancia a los activos en los negocios de la empresa, la
misma que marcar el rumbo definitivo de las acciones de
seguridad.
- Identificar los puntos dbiles para que sean corregidos.
- Conocer los elementos constituyentes de la infraestructura de
comunicacin, procesamiento y almacenamiento de la
informacin, para dimensionar dnde sern hechos los anlisis y
cules elementos sern considerados.
- Conocer el contenido de la informacin manipulada por los
activos, con base en los principios de la confidencialidad,
integridad y disponibilidad.
- Permitir una gestin peridica de seguridad, con el objetivo de
identificar nuevas amenazas y vulnerabilidades, adems de la
verificacin de la eficacia de las recomendaciones provistas.

Seguridad de la Informacin
ISO/IEC 27001:2005
ISO/IEC 17799:2005

La solucin?
Estndares de la ISO/IEC para la Seguridad de la
Informacin:
ISO/IEC 27001:2005

ISO/IEC 17799:2005

Evolucin del estndar

1995-1998
BS7799 Parte 1
Cdigo de buenas prcticas
BS7799 Parte 2
Especificacin de SGSI

Octubre 2005
ISO/IEC 27001
Parte 2 se adopta como ISO

1999
BS7799-1:1999
BS7799-2:1999
Revisin de la parte 1 la
parte 2

2000
ISO/IEC 17799:2000
Parte 1 se adopta como ISO

Junio 2005
ISO/IEC 17799:2005
Revisin de la ISO 17799

2002
BS7799-2:2002
Revisin de la parte 2

Familia ISO 2700X

ISO/IEC 27000 Fundamentos y Vocabulario

ISO/IEC 27001 Es la norma principal de requisitos del SGSI
ISO/IEC 27002 Gua de buenas prcticas que describe los
objetivos de control y controles recomendables en cuanto a
seguridad de la informacin
ISO/IEC 27003 Gua de implementacin de SGSI e informacin
acerca del uso del modelo PDCA y de los requerimientos de sus
diferentes fases
ISO/IEC 27004 Mtricas y tcnicas de medida aplicables para
determinar la eficacia de un SGSI y de los controles relacionados
ISO/IEC 27005 Gua de tcnicas para la gestin del riesgo de la
seguridad de la informacin y sirve, por tanto, de apoyo a la ISO
27001 y a la implantacin de un SGSI
ISO/IEC 27006 Especifica los requisitos para la acreditacin de
entidades de auditoria y certificacin de SGSI
ISO/IEC 27007 Gua de auditoria de un SGSI

Norma ISO/IEC 27001:2005

0. Introduccin

5. Responsabilidad
de la Gerencia

1. Alcance

6. Auditoria
Interna SGSI

2. Referencias
Normativas

7. Revisin Gerencial
del SGSI

3. Trminos y
Definiciones

8. Mejoramiento
del SGSI

4. SGSI

Norma ISO/IEC 27001:2005

0. Introduccin
Sistema de Gestin
de Seguridad
de la Informacin (SGSI)

Establecer
Implementar
Operar
Monitorear
Revisar

Mantener
Mejorar

Norma ISO/IEC 27001:2005

0. Introduccin

Modelo PDCA
Definir alcance SGSI
Inventario de activos
Identificar amenazas y vulnerabilidades
Anlisis de Riesgos
Seleccin de Controles
Definir plan de tratamiento de riesgos

Implantar plan de tratamiento

de Riesgos
Implementar los controles
Formacin y concienciacin

Compromiso de la Direccin
Fechas
Responsabilidades

Implantar mejoras
Acciones correctivas
Acciones preventivas

Revisar el SGSI
Realizar auditorias internas
del SGSI

Norma ISO/IEC 27001:2005

1. Alcance

Todo tipo y tamao de organizacin

Para toda la organizacin o para una parte de
ella
No se aceptan exclusiones de las clusulas 4, 5,
6, 7 y 8 si se espera la conformidad
Cualquier exclusin debe ser debidamente
justificada
Las exclusiones no deben afectar la capacidad
de la organizacin para proporcionar seguridad
de la informacin

Norma ISO/IEC 27001:2005

2. Referencias
normativas

Indispensable:
- ISO/IEC 17799:2005 Cdigo de prctica para la
gestin de seguridad de la informacin

Norma ISO/IEC 27001:2005

3. Trminos y
Definiciones

Varios trminos y definiciones

Norma ISO/IEC 27001:2005

4. SGSI

4.1 Requerimientos
Generales

4.2 Establecer y
Manejar el SGSI

4.3 Requerimientos de
Documentacin

4.2.1 Establecer el SGSI

4.2.2 Implementar y Operar el SGSI
4.2.3 Monitorear y Revisar el SGSI
4.2.4 Mantener y Mejorar el SGSI

4.3.1 General
4.3.2 Control de Documentos
4.3.3 Control de Registros

Norma ISO/IEC 27001:2005

5. Responsabilidad
de la Gerencia
5.1 Compromiso de
la Gerencia

5.2 Gestin de Recursos

5.2.1 Provisin de Recursos

5.2.2 Capacitacin, conocimiento y capacidad

Norma ISO/IEC 27001:2005

6. Auditorias Internas
del SGSI

Determinar si los controles y procedimientos del

SGSI:
- Cumplen con el estndar y la legislacin
- Cumplen con requerimientos de seguridad
identificados
- Se implementan y mantienen de manera
efectiva
- Se realizan conforme lo esperado

Norma ISO/IEC 27001:2005

7. Revisin Gerencial
del SGSI

7.1 General

7.2 Insumo de
la Revisin

7.3 Resultado de
la Revisin

Norma ISO/IEC 27001:2005

8. Mejoramiento
del SGSI
8.1 Mejoramiento
continuo

8.2 Accin correctiva

8.3 Accin preventiva

Norma ISO/IEC 27001:2005

Anexo A: Objetivos de Control y Controles
reas de Control

Objetivos de Control

Controles

Poltica de Seguridad

Organizacin de la seguridad de la
Informacin

11

Gestin de activos

Seguridad de los recursos humanos

Seguridad fsica y ambiental

13

10

Gestin de comunicaciones y
operaciones

10

32

11

Control de acceso

25

12

Sistemas de informacin:
adquisicin, desarrollo y
mantenimiento

16

13

Gestin de incidentes de seguridad

de la informacin

14

Gestin de la continuidad del negocio

15

Cumplimiento

10

39

133

TOTAL: 11

Norma ISO/IEC 27001:2005

Ventajas

Conformarse a las normas en materia de gestin de

riesgo
Una mejor proteccin de la informacin confidencial
de la empresa
Una reduccin de riesgos de ataques y desastres
Una recuperacin ms rpida y ms fcil de las
operaciones despus de un ataque o desastre
Una metodologa de seguridad estructurada y
reconocida internacionalmente
Una confianza mutua aumentada entre socios
estratgicos de negocios
Una disminucin potencial de las primas de seguro
contra los riesgos informticos

Proceso para establecer el SGSI

Determinacin del alcance
Identificacin de Activos

EVALUACIN DEL RIESGO

Tasacin de Activos
Evaluacin de
Amenazas
Evaluacin de
Vulnerabilidades

Identificacin de
Controles actuales

Determinacin y
Priorizacin del Riesgo
Tratamiento del Riesgo
Seleccin de Controles
Enunciado de Aplicabilidad

Definir el Mapa de Procesos

Evaluar los riesgos con el Mapa de Procesos

Aplicar los Riesgos al Mapa de Procesos

Tasacin de Activos

Evaluacin de Amenazas

Evaluacin de Vulnerabilidades e Identificacin

de Controles actuales

Estimacin del Riesgo

Tratamiento del Riesgo

Asumir
Aceptar el riesgo y continuar operando tal como
se ha estado haciendo
Eliminar
Eliminar la causa de ste (ej. Sacar de
produccin un activo)
Transferir
Usar opciones que compensen la prdida (ej.
Adquirir plizas de seguros)
Mitigar
Implementar controles que reduzcan la
probabilidad de la amenaza

Factores a considerar al seleccionar los controles

Anlisis Costo Beneficio

Efectividad
Poltica organizacional
Seguridad y Confiabilidad
Legislacin y Regulaciones
Impacto operacional

Enunciado de Aplicabilidad

Norma ISO/IEC 17799:2005

Gua de buenas prcticas
Describe los objetivos de control y controles
recomendables en cuanto a seguridad de la
informacin
Contiene 39 objetivos de control y 133 controles
agrupados en 11 dominios

Norma ISO/IEC 17799:2005

Factores Crticos de xito del SGSI - ISO/IEC

17799:2005

Poltica, objetivos y actividades de seguridad de

informacin que reflejen la realidad de la empresa
Soporte visible y compromiso de todos los niveles de
gestin
Buen entendimiento de los requerimientos de
seguridad de informacin, evaluacin y gestin del
riesgo
Distribucin de lineamientos sobre poltica y los
estndares de seguridad de informacin a gerentes,
empleados y terceros
Financiamiento de las actividades de gestin de la
seguridad de la informacin
Proveer conocimiento, capacitacin y educacin
apropiados