Informacin
Introduccin
La informacin es uno de los activos ms importantes y valiosos
de cualquier organizacin
Su adecuado manejo es clave para la continuidad de cualquier
negocio y para el cumplimiento de los objetivos estratgicos de
las organizaciones
La seguridad de la informacin es un habilitador fundamental
para el negocio ya que permite crear y mantener la confianza
que hoy exigen las relaciones empresariales
Cualquier organizacin puede ser blanco de ataques por
agentes internos y/o externos que busquen sustraer, alterar o
lucrar con su informacin. Bastara un solo ataque exitoso que
involucre la obtencin de informacin confidencial para tener
consecuencias incalculables en la continuidad de sus
operaciones, finanzas, imagen y prestigio, as como daar la
confianza de clientes e inversionistas
Introduccin
Ataques internos en el Departamento de TI
- Desde diciembre pasado Roger Duronio purga
una condena de ocho aos en una crcel
federal de Estados Unidos por sabotear en
2002 los sistemas IT de UBS Paine Webber
- A mediados de noviembre pasado, fue
detenido un ex vicepresidente IT de Source
Media, Stevan Hoffacker, acusado de
entrometerse en el correo electrnico de su
antigua compaa para advertir a quienes an
trabajaban en ella que iban a ser despedidos
Introduccin
Ataques internos en el Departamento de TI (Cont.)
- En 2002, un miembro del rea IT de Prudential
Insurance, Donald McNeese, rob informacin de la
base de datos de sta sobre 60,000 empleados y fue
sorprendido cuando trataba de vender esas
identidades para fraguar un fraude con tarjetas de
crdito
El personal no es el problema ms comn para la
seguridad, pero puede ser el ms costoso y el ms
perjudicial para la reputacin de una empresa. Los
ataques internos contra la infraestructura IT son de los
perjuicios ms temidos para la seguridad tanto de
parte del gobierno como de los profesionales de la
seguridad de las corporaciones
Introduccin
Qu hacer?
- Los riesgos se pueden disminuir, primero, revisando
los antecedentes de los posibles empleados IT
- Si se despide a un empleado, es crucial que todo su
acceso al sistema quede revocado de inmediato.
Suena obvio, pero esto no significa que siempre se
haga
El mayor error acerca de la prevencin de ataques
internos es que el departamento IT se ha de
preocupar slo de cuestiones de tecnologa, mientras
que incumbe nicamente a RR.HH encargarse de los
asuntos personales
Situacin Actual
Los resultados de la 7 Encuesta Global de Seguridad
de la Informacin de Ernst & Young revelan que
muchas organizaciones dependen de la suerte al
tratarse del tema de seguridad de la informacin
La encuesta tambin revel que la falta de
presupuesto es el principal obstculo para desarrollar
estrategias efectivas de seguridad de la informacin,
seguido por la dificultad para mostrar a la alta
direccin el valor estratgico que implica el contar con
esquemas de seguridad, y por la falta de conciencia
del tema a nivel organizacional
Expectativas
Las organizaciones no estn dando un enfoque
pro-activo al tema de la seguridad de la
informacin. Pocas han hecho esfuerzos
integrados y efectivos para analizar sus riesgos
referentes a este tema, lo cual hace imposible
tomar las acciones requeridas
Expectativas
Importancia de la Administracin de la
Seguridad de la Informacin
El factor ms crtico para proteger los activos de
informacin y la privacidad es establecer la base para
una gestin efectiva de la seguridad de la informacin
La prdida de barreras organizacionales a travs del
uso de mecanismos de acceso remoto, la exposicin a
riesgos de seguridad de alto impacto (virus, acceso no
autorizado, robo de nmeros de tarjetas de crdito,
etc.) han elevado el perfil de riesgo de la informacin
y de la privacidad y la necesidad de gestionar con
eficiencia la seguridad de la informacin
Importancia de la Administracin de la
Seguridad de la Informacin
ISO, public la norma ISO 17799 como un conjunto
integral de controles que abarcan las mejores
prcticas para la administracin de la seguridad de la
informacin
ISO ha desarrollado 127 objetivos de control
clasificados bajo 10 reas
La legislacin relativa a la tecnologa de la informacin
se est volviendo ms prolfica, con muchos pases
promulgando leyes sobre aspectos tales como
derechos de autor, propiedad intelectual y datos
personales
Importancia de la Administracin de la
Seguridad de la Informacin
Objetivos de seguridad para satisfacer los
requerimientos del negocio de la organizacin:
- Asegurar la continua disponibilidad de sus
sistemas de informacin
- Asegurar la integridad de la informacin
- Preservar la confidencialidad de los datos
sensitivos almacenados y en trnsito
- Asegurar el cumplimiento de las leyes,
regulaciones y estndares aplicables
Importancia de la Administracin de la
Seguridad de la Informacin
Elementos clave de la Gestin de Seguridad de
la Informacin:
- Compromiso y soporte de la alta gerencia
- Polticas y Procedimientos
- Organizacin
- Conciencia de la Seguridad y educacin
- Monitoreo y cumplimiento
- Tratamiento y respuesta a incidentes
Importancia de la Administracin de la
Seguridad de la Informacin
Roles y Responsabilidades de la Gestin de Seguridad
de la Informacin:
- El comit de direccin de seguridad de SI
- Gerencia general
- Grupo de asesora en seguridad
- Administrador de la seguridad
- Usuarios
- Terceras partes
- Desarrolladores de TI
- Auditores de SI
Activos
Saba usted que el 94% de las empresas que pierden sus
datos desaparece?
Activos
Todo aquel elemento que compone el proceso
de la comunicacin, partiendo desde la
informacin, su emisor, el medio por el cual se
transmite, hasta su receptor.
Los activos son elementos que la seguridad de
la informacin busca proteger. Los activos
poseen valor para las empresas y como
consecuencia de ello, necesitan recibir una
proteccin adecuada para que sus negocios no
se vean perjudicados.
Activos
Inventario de Activos
Un control efectivo requiere un inventario detallado de
los activos. Dicha lista es el primer paso para clasificar
los activos y determinar el nivel de proteccin a
proveer para cada uno de ellos
El registro de inventario debe incluir:
- Una identificacin clara y distintiva del activo
- Su ubicacin
- Su grupo de activos
- Su propietario
Tipos de Activos
Informacin
Informacin
En este grupo estn los elementos que
contienen informacin registrada, en medio
electrnico o fsico:
- Cualquier tipo de informacin, sin importar en
que tipo de medio se tenga almacenada, que
sea de importancia para la empresa y sus
negocios.
- Documentos, informes, libros, manuales,
correspondencias, patentes, informacin de
mercado, cdigo de programacin, lneas de
comando, archivos de configuracin, roles de
pago, plan de negocios de una empresa, etc.
Posibles vulnerabilidades de la
Informacin
Posibles vulnerabilidades
Olvido de contraseas.
Falta de cooperacin por parte de los usuarios
en materia de seguridad.
Descuido de parte de los usuarios en el manejo
de la informacin.
Integridad
Confidencialidad
Disponibilidad
Principio de la Integridad de la
Informacin
Nos permite garantizar que la informacin no ha
sido alterada en su contenido, por tanto, es
ntegra
Principio de la Integridad de la
Informacin
La quiebra de la integridad ocurre cuando la
informacin se corrompe, falsifica o burla
- Alteraciones del contenido de los documentos
(inserciones, sustituciones o remociones de
parte de su contenido)
- Alteraciones en los elementos que soportan la
informacin
Principio de la Confidencialidad de la
Informacin
Tiene como propsito el asegurar que solo la
persona correcta acceda a la informacin que
queremos distribuir
Principio de la Confidencialidad de la
Informacin
La informacin que se intercambian entre individuos y
empresas no siempre deber ser conocida por todo el
mundo. Mucha de la informacin generada por las
personas se destina a un grupo especfico de
individuos, y muchas veces a una nica persona
Se dice que la informacin posee un grado de
confidencialidad que se deber preservar para que
personas sin autorizacin no la conozcan
Tener confidencialidad en la comunicacin, es la
seguridad de que lo que se dijo a alguien o escribi en
algn lugar ser escuchado o ledo slo por quien tenga
ese derecho
Principio de la Confidencialidad de la
Informacin
La informacin generada por las personas tiene un fin
especfico y se destina a un individuo o grupo. Por lo
tanto, la informacin necesita una clasificacin en lo
que se refiere a su confidencialidad. Es lo que
denominamos grado de sigilo, que es una graduacin
atribuida a cada tipo de informacin, con base en el
grupo de usuarios que poseen permisos de acceso
Grados de sigilo:
- Confidencial
- Restricto
- Sigiloso
- Pblico
Principio de Disponibilidad de la
Informacin
Garantiza que la informacin llegue en el
momento oportuno.
Principio de Disponibilidad de la
Informacin
Se refiera a la disponibilidad de la informacin y
de toda la estructura fsica y tecnolgica que
permite el acceso, trnsito y almacenamiento
La disponibilidad de la informacin permite
que:
- Se utilice cuando sea necesario
- Que est al alcance de sus usuarios y
destinatarios
- Se pueda accederla en el momento en que
necesitan utilizarla
Tipos de Amenazas
Naturales
Condiciones de la naturaleza y la intemperie que
podrn causar daos a los activos, tales como fuego,
inundaciones, terremotos, etc
Intencionales
Amenazas deliberadas, fraude, vandalismo, sabotajes,
espionaje, invasiones y ataques, robos de informacin,
entre otros
Involuntarias
Amenazas resultantes de acciones inconscientes de
usuarios, por virus electrnicos, muchas veces causada
por la falta de conocimiento en el uso de activos tales
como errores o accidentes.
Principales amenazas
Puntos Dbiles
Las vulnerabilidades a las cuales los activos
estn expuestos pueden ser:
- Fsicas
- Naturales
- De Hardware
- De Software
- De medios de almacenaje
- De comunicacin
- Humanas
Vulnerabilidades Fsicas
Son aquellas presentes en los ambientes en los
cuales la informacin se est almacenando o
manejando.
- Instalaciones inadecuadas del espacio de
trabajo.
- Ausencia de recursos para el combate de
incendios.
- Ausencia de identificacin de personas.
Vulnerabilidades Naturales
Son aquellas relacionadas con las condiciones
de la naturaleza que pueden colocar en riesgo la
informacin.
- Locales prximos a ros propensos a
inundaciones.
- Infraestructura incapaz de resistir a las
manifestaciones de la naturaleza como
terremotos, huracanes, etc.
Vulnerabilidades De Hardware
Los posibles defectos en la fabricacin o
configuracin de los equipos de la empresa que
pudieran permitir el ataque o la alteracin de
los mismos.
- Ausencia de actualizaciones conforme con las
orientaciones de los fabricantes.
- Conservacin inadecuada de los equipos.
Vulnerabilidades De Software
Las vulnerabilidades de aplicaciones permiten
que ocurran accesos indebidos a los sistemas de
informacin incluso sin el conocimiento de un
administrador de red.
- Editores de texto que permiten la ejecucin de
virus macro.
- Lectores de e-mail que permiten la ejecucin
de cdigos maliciosos.
Vulnerabilidades De medios de
almacenaje
Si los soportes que almacenan informacin no
se utilizan de forma adecuada, el contenido en
los mismos podr estar vulnerable.
- Plazos de caducidad.
- Descuidos mientras se custodian.
Vulnerabilidades De comunicacin
Donde sea que la informacin transite debe
existir seguridad.
- Ausencia de sistemas de encriptacin.
- Errores al manipular medios de comunicacin.
Vulnerabilidades Humanas
Daos que las personas pueden causar a la
informacin y al ambiente tecnolgico que la
soporta.
- Vandalismo.
- Estafas.
- Invasiones.
Riesgos
El riesgo es la probabilidad de que las amenazas
exploten los puntos dbiles, causando prdidas
o daos a los activos e impactos al negocio, es
decir, afectando: La confidencialidad, la
integridad y la disponibilidad de la informacin.
Medidas de Seguridad
Son acciones orientadas hacia la eliminacin de
vulnerabilidades, teniendo en mira evitar que
una amenaza se vuelva realidad
Estas medidas son el paso inicial para el
aumento de la seguridad de la informacin
Pueden ser:
- Preventivas
- Perceptivas
- Correctivas
Medidas de Seguridad
Preventivas
Buscan evitar el surgimiento de nuevos puntos
dbiles y amenazas
Perceptivas
Orientadas hacia la revelacin de actos que
pongan en riesgo la informacin
Correctivas
Orientadas hacia la correccin de los problemas
de seguridad conforme su ocurrencia
Ciclo de Seguridad
Anlisis de Riesgos
Es un paso importante para implementar la
seguridad de la informacin. Como su propio
nombre lo indica, es realizado para detectar los
riesgos a los cuales estn sometidos los activos
de una organizacin, es decir, para saber cul es
la probabilidad de que las amenazas se
concreten
La relacin entre amenaza-incidente-impacto, es
la condicin principal a tomar en cuenta en el
momento de priorizar acciones de seguridad
para la correccin de los activos que se desean
proteger y deben ser siempre considerados
cuando se realiza un anlisis de riesgos
Anlisis de Riesgos
Anlisis de Riesgos
Ejemplos de la relacin: amenaza-incidente-impacto
- La prdida de un documento confidencial, que trae el
listado de los principales deudores de una empresa. El
incidente de la prdida de esta informacin en s es
pequeo, pero el impacto que puede causar es
inmenso, cuando se divulguen los nombres de las
personas deudoras
- En el caso de la accin de una amenaza de un
fenmeno meteorolgico como un huracn, el
incidente puede ser muy grande, pero si la empresa
cuenta con la proteccin adecuada en su
infraestructura, el impacto puede ser pequeo
Anlisis de Riesgos
Cules son esos riesgos que afectan a las empresas y ante los cuales
deberan mantenerse alertas?
Hay todo tipo de riesgos desde el punto de vista tecnolgico y otros que no
son tecnolgicos. Un riesgo tecnolgico, por ejemplo, es no tener bien
configurado un servidor para tener password seguras. En muchos casos el
servidor acepta una contrasea que sea simplemente 123. Si yo configuro el
servidor de manera tal que me exija una contrasea que incluya nmeros,
letras y smbolos, estoy automticamente mejorando la seguridad. El riesgo
es que si no tengo password complejas cualquiera puede acceder a
documentos, informacin confidencial o al correo electrnico. Los riesgos no
tecnolgicos son, por ejemplo, la fuga de informacin. Esto puede ocurrir con
el simple hecho de botar un papel en el cesto de la basura o al hablar por
telfono celular en el ascensor, divulgando informacin del negocio ante la
presencia de otras personas. Eso es un riesgo que tiene que ver con procesos,
no con tecnologas. La gente tiene que tener incorporado dentro de su
cultura el tema de la seguridad, para poner una contrasea segura, para no
hablar en el ascensor de cualquier tema, para no tirar el papel a la basura
Seguridad de la Informacin
ISO/IEC 27001:2005
ISO/IEC 17799:2005
La solucin?
Estndares de la ISO/IEC para la Seguridad de la
Informacin:
ISO/IEC 27001:2005
ISO/IEC 17799:2005
Octubre 2005
ISO/IEC 27001
Parte 2 se adopta como ISO
1999
BS7799-1:1999
BS7799-2:1999
Revisin de la parte 1 la
parte 2
2000
ISO/IEC 17799:2000
Parte 1 se adopta como ISO
Junio 2005
ISO/IEC 17799:2005
Revisin de la ISO 17799
2002
BS7799-2:2002
Revisin de la parte 2
5. Responsabilidad
de la Gerencia
1. Alcance
6. Auditoria
Interna SGSI
2. Referencias
Normativas
7. Revisin Gerencial
del SGSI
3. Trminos y
Definiciones
8. Mejoramiento
del SGSI
4. SGSI
Establecer
Implementar
Operar
Monitorear
Revisar
Mantener
Mejorar
Modelo PDCA
Definir alcance SGSI
Inventario de activos
Identificar amenazas y vulnerabilidades
Anlisis de Riesgos
Seleccin de Controles
Definir plan de tratamiento de riesgos
Compromiso de la Direccin
Fechas
Responsabilidades
Implantar mejoras
Acciones correctivas
Acciones preventivas
Revisar el SGSI
Realizar auditorias internas
del SGSI
Indispensable:
- ISO/IEC 17799:2005 Cdigo de prctica para la
gestin de seguridad de la informacin
4.1 Requerimientos
Generales
4.2 Establecer y
Manejar el SGSI
4.3 Requerimientos de
Documentacin
4.3.1 General
4.3.2 Control de Documentos
4.3.3 Control de Registros
7.1 General
7.2 Insumo de
la Revisin
7.3 Resultado de
la Revisin
Objetivos de Control
Controles
Poltica de Seguridad
Organizacin de la seguridad de la
Informacin
11
Gestin de activos
13
10
Gestin de comunicaciones y
operaciones
10
32
11
Control de acceso
25
12
Sistemas de informacin:
adquisicin, desarrollo y
mantenimiento
16
13
14
15
Cumplimiento
10
39
133
TOTAL: 11
Identificacin de
Controles actuales
Determinacin y
Priorizacin del Riesgo
Tratamiento del Riesgo
Seleccin de Controles
Enunciado de Aplicabilidad
Tasacin de Activos
Evaluacin de Amenazas
Enunciado de Aplicabilidad