2
Syllabus
1. Gestin
de
2. Marcos Normativos
Seguridad
de Seguridad
de la
informacin
4. Controles
3. Programa de
de
Seguridad
Seguridad
https://www.yout
ube.com/watch?v
=RRy_73ivcms
La informacin es un activo estratgico
de la empresa.
Tiene valor para una organizacin y por
consiguiente debe ser debidamente
protegida.
Valor de la Informacin
Mas importante que el valor tangible de la
tecnologa, es el valor de la informacin del
negocio.
El valor de la informacin se puede medir
desde el punto de vista de negocio de varias
formas, por ejemplo:
El valor de mercado de la informacin
El valor de oportunidad:
que se puede medir por el costo financiero, costo
oportunidad, prdida de mercado, costos directos.
Enfoque Integral de la Seguridad
Seg. de la
Informacin
Seg. Informtica
Principios de Seguridad
Confidencialidad
Integridad Disponibilidad
Confidencialidad
La informacin es accedida
slo por las personas
autorizadas.
Integridad
Exactitud y totalidad de la informacin.
DISPONIBILIDAD
Acceso a la
informacin cuando se
necesita.
Funcionalidad vs. Proteccin
Desafios
Todo el tiempo aparecen vulnerabilidades
Contextos cambiantes
Presupuestos limitados
Riesgos desconocidos
Ataques sofisticados de hackers
Problemas para encontrar profesionales
especializados
Dificultad en implementar Normativas
Potenciales enemigos
Crackers.
Vndalos.
Usuarios del sistema.
Competencia.
Ex-empleados.
Personal insatisfecho o desleal
Delincuentes
Millones de adolescentes
Sistema Seguro?
"El nico sistema seguro es aquel que est
apagado y desconectado, enterrado en un
refugio de concreto, rodeado por gas
venenoso y custodiado por guardianes bien
pagados y muy bien armados. Aun as, yo no
apostara mi vida por l".
Gene Spafford
Por qu tanta inseguridad ?
Huecos de Seguridad Fsicos
Huecos de Seguridad en el Software
Fallas de los equipos y servicios
Falta de Experiencia
Pobre administracin de la infraestructura
Desconocimiento del valor de la informacin
Alta motivacin e inters por atacar un sistema
Ausencia de un Esquema de Seguridad.
El nivel de efectividad
El nivel de seguridad esta determinado por el
punto mas dbil.
Si un activo es tratado de manera menos
segura por una parte, esto implica la
destruccin de la inversin en seguridad
hecha por las otras partes
La sincronizacin de esfuerzos permite
obtener economas de escala e incrementar la
eficiencia operacional
La realidad de la seguridad
La definicin y la practica de la seguridad de la
informacin no es homognea ni integral en las
empresas e instituciones del pas.
Fuente: Gartner for IT Leaders Overview: The Chief Information Security Officer. Julio 2013
El CISO
La posicin de CISO ha ido ganando popularidad.
Porcentaje de los entrevistados que dicen que sus
empresas ahora cuentan con un ejecutivo de
seguridad:
En 2011, > 80%
En 2006, 22%
23% de los CISOs reportan a los CIOs
36% de los CISOs reportan a los CEOs
32% de los CISOs reportan al comit de directorio
24
Responsabilidades del CISO
25
Certificaciones
CISSP: Certified Information System Security Professional
CCISO: Certified Chief Information Security Officer
CISM: Certified Information Security Manager
CRISC: Certified in Risk and Information Systems Control
CEH: Certified Ethical Hacker (v8)
GSEC: GIAC Security Essentials Certificate
GCIH: GIAC Certified Incident Handler
GCIA: GIAC Certified Intrusion Analyst
GPEN: GIAC Penetration Tester
CompTIA Security +
CASP: CompTIA Advanced Security Practitioner
CISA Certified Information System Auditor
CGEIT: Certified Governance of Enterprise IT
CCNP Security : Cisco Certified Network Professional Security
CCIE Security: Cisco Certified Internetwork Expert Security
Gobierno de TI
Subconjunto de la disciplina de Gobierno Corporativo con foco en la
tecnologa de la informacin (TI), su desempeo y manejo de
riesgo.
35
Normas Internacionales
ISO 31000
NIST SP-800
PCI
HIPAA
SOX
ISO 27000
CobiT 5
Gestin de riesgos - ISO 31000
Special Publications SP 800-*
http://csrc.nist.gov/publications/PubsSPs.html
Payment Card Industry Data Security Standard
Versin 3.0 Nov. 2013
Norma orientada a las empresas que procesan,
guardan o trasmiten datos de tarjetas
12 requisitos de control
HIPAA
Health Insurance Portability And Accountabilty
Act of 1996
Derecho a la confidencialidad de la
informacin de salud
SOX
Respuesta a los escndalos financieros de
Enron, Tyco, WorldCom y Peregrine.
Sarbanex-Oxley Act of 2002
Monitorea a las empresas de la Bolsa
Estndares para los consejos de
administracin y direccin, as como
mecanismos contables.
Introduce responsabilidades penales
Familia ISO
27000
Familia ISO 27000
27001 Sistema de
27000 Overview y Gestin de
Vocabulario Seguridad de la
Informacin
27005 Gestin de
riesgos de
27004 Metricas
Seguridad de la
informacin
ISO 27002
Estructura de la Norma ISO 27002 o
Anexo A de la ISO 27001
14 Dominios
39 Objetivos
114 Controles
ISO 27002
Fuente: Deloitte
Fuente: Deloitte
Fuente: Deloitte
Control OBjectives for
Information and
related Technology
CobiT
ISO 9000
Gobierno de Gobierno de Gobierno de
TI Finanzas Marketing
CobiT
Gobierno Gestin
Familia CobiT 5
71
Circular SBS N G-140-2009
Establece criterios mnimos para una adecuada gestin de la
seguridad de la informacin, tomando como referencia
estndares internacionales como el ISO 17799 e ISO 27001.
72
Privacidad
Privacidad
https://www.youtube.com/watch?v=1c4YMd_YaRs
Datos Personales
Toda informacin sobre una persona natural
que la identifica o la hace identificable a
travs de medios que pueden ser
razonablemente utilizados.
Ejm : Nombres, Apellidos, DNI, telfonos,
direccin domicilio, correo electrnico, fecha
de nacimiento, sexo, Nro identificacin
tributaria, Razon Social,nro. de cuenta
bancaria.
Datos Sensibles
Datos personales constituidos por los datos
biomtricos que por s mismos pueden identificar al
titular; datos referidos al origen racial y tnico;
ingresos econmicos, opiniones o convicciones
polticas, religiosas, filosficas o morales; afiliacin
sindical; e informacin relacionada a la salud o a la
vida sexual.
Ejm.: Sueldos de los trabajadores
Informacin personal manejada por
las Organizaciones
Clientes
Visitantes
Bancos de Personal
Datos
Proveedores
(personas
naturales)
Ley 29733
Promulgada 03/07/11
22/03/13 Reglamentada
Directiva de
16/10/13
Seguridad
Organizativos
Legales
Tecnologicos
Cumplimiento
Afecta Derechos ARCO
Acceso Rectificacin
Cancelacin Oposicin
Programa de
Seguridad de la
Informacin (SI)
El Programa de SI
La implementacin de un programa de
seguridad deber incluir una serie de objetivos
de control especficos:
Tcnicos
Procedimentales
Fsicos
Actividades Operativas
Incluye:
Polticas y procedimientos organizacionales
Monitoreo de empleados
Polticas
Estandares / Normas
Procedimientos
Instructivos
Documentacin
114
Presupuesto del programa
Empleados
Contratista y consultores
Equipos
Requerimientos de espacio
Recursos para pruebas
Documentacin de soporte
Mantenimiento en curso
Contingencias por costes
inesperados
115
Otras Actividades del Programa de SI
116
Controles y Contramedidas
Controles
118
Mtrica y Monitoreo del Programa de SI
Las siguientes son utilizadas para rastrear y guiar un programa :
Desarrollo de mtricas
Enfoques de monitoreo
Medicin del desempeo de la gerencia de seguridad de la informacin
Medicin del riesgo y la prdida relacionados con la seguridad de la
informacin
Medicin del apoyo de los objetivos organizacionales
Medicin del cumplimiento
Medicin de la productividad operativa
Medicin de la rentabilidad de la seguridad
Medicin de la conciencia organizacional
Medicin de la efectividad de la arquitectura de seguridad tcnica
Medicin de la efectividad del marco y los recursos de gestin
Medicin del desempeo operativo
Monitoreo y comunicacin
119