Anda di halaman 1dari 29

Seguridad de la Informacin

Seguridad
Informacin
De la
Oficina nacional de Gobierno
Electrnico e Informtica

Seguridad de la Informacin

Nuevos Escenarios:

Seguridad de la Informacin

La informacin debe considerarse como un
recurso con el que cuentan las Organizaciones
y por lo tanto tiene valor para stas, al igual
que el resto de los activos, debe estar
debidamente protegida.
Qu se debe asegurar ?
Seguridad de la Informacin

La Seguridad de la Informacin, protege a
sta de una amplia gama de amenazas,
tanto de orden fortuito como destruccin,
incendio o inundaciones, como de orden
deliberado, tal como fraude, espionaje,
sabotaje, vandalismo, etc.
Contra qu se debe proteger la
Informacin ?
Seguridad de la Informacin


Confidencialidad: Se garantiza que la informacin es
accesible slo a aquellas personas autorizadas a tener
acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la
informacin y los mtodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios
autorizados tienen acceso a la informacin y a los recursos
relacionados con la misma toda vez que se requiera.
Qu se debe garantizar ?
Seguridad de la Informacin

Las Organizaciones son cada vez mas
dependientes de sus Sistemas y Servicios
de Informacin, por lo tanto podemos
afirmar que son cada vez mas vulnerables
a las amenazas concernientes a su
seguridad.
Por qu aumentan las amenazas ?
Seguridad de la Informacin

Por qu aumentan las amenazas ?
Crecimiento exponencial de las Redes y
Usuarios Interconectados
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Alta disponibilidad de Herramientas
Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido
(Ej:DDoS)
Tcnicas de Ingeniera Social
Algunas
Causas
Seguridad de la Informacin

Accidentes: Averas, Catstrofes,
Interrupciones, ...
Errores: de Uso, Diseo, Control, ....
Intencionales Presenciales: Atentado con acceso
fsico no autorizado
Intencionales Remotas: Requieren acceso al
canal de comunicacin
Cules son las amenazas ?
Seguridad de la Informacin

Interceptacin pasiva de la informacin
(amenaza a la CONFIDENCIALIDAD).
Corrupcin o destruccin de la
informacin (amenaza a la INTEGRIDAD).
Suplantacin de origen (amenaza a la
AUTENTICACIN).

Amenazas Intencionales Remotas
Seguridad de la Informacin

Acciones de la ONGEI
Seguridad de la Informacin

Actualmente la ONGEI apoya a las entidades
pblicas en los siguientes principales servicios:
Anlisis de vulnerabilidades de los servidores
Web de las Entidades Publicas.
Boletines de Seguridad de la informacin
Boletines de Alertas de Antivirus.
Presentaciones tcnicas sobre seguridad.
Consultoras y apoyo en recomendaciones
tcnicas.
Seguridad de la Informacin

Poltica de Seguridad para el Sector
Pblico
Seguridad de la Informacin

Conjunto de requisitos definidos por los responsables directos
o indirectos de un Sistema que indica en trminos generales
qu est permitido y qu no lo est en el rea de seguridad
durante la operacin general de dicho sistema
Que se entiende por Politica de Seguridad ?

o Poltica: el porqu una organizacin protege la informacin

o Estndares: lo que la organizacin quiere hacer para
implementar y administrar la seguridad de la informacin

o Procedimientos: cmo la organizacin obtendr los
requerimientos de seguridad
Diferencias entre Poltica, Estndar y Procedimiento

Seguridad de la Informacin

Evaluar los riesgos que enfrenta la organizacin

o Se identifican las amenazas a los activos
o Se evalan las vulnerabilidades y probabilidades de
ocurrencia
o Se estima el impacto potencial

Tener en cuenta los requisitos legales, normativos,
reglamentarios y contractuales que deben cumplir:

o La organizacin
o Sus socios comerciales
o Los contratistas
o Los prestadores de servicios

Establecer un conjunto especfico de principios, objetivos y
requisitos para el procesamiento de la informacin
Cmo establecer los requerimientos de seguridad?
Seguridad de la Informacin

Un modelo de gestin para la mejora continua de la calidad de
la seguridad de la informacin

oRealizacin de un anlisis de riesgos

oDefinicin de una poltica de seguridad

oEstablecimiento de controles
SGSI: Sistema de Gestin de la Seguridad de la Informacin
ISMS: Information Security Management Sytsem
Qu se entiende por SGSI?
Seguridad de la Informacin

Con fecha 23 de julio del 2004 la PCM a travs
de la ONGEI, dispone el uso obligatorio de la
Norma Tcnica Peruana NTP ISO/IEC
17799:2004 EDI. Tecnologa de la Informacin:
Cdigo de Buenas Prcticas para la Gestin de
la Seguridad de la Informacin en entidades del
Sistema Nacional de Informtica.
Se Actualiz el 25 de Agosto del 2007 con la
Norma Tcnica Peruana NTP ISO/IEC
17799:2007 EDI.
Seguridad de la Informacin

Marco de las recomendaciones
La NTP-ISO 17799 es una compilacin de
recomendaciones para las prcticas exitosas de
seguridad, que toda organizacin puede aplicar
independientemente de su tamao o sector.
La NTP fue redactada para que fuera flexible y no
induce a las organizaciones que la cumplan al pie
de la letra, se deja a estas dar una solucin de
seguridad de acuerdo a sus necesidades.
Las recomendaciones de la NTP-ISO 17799 son
neutrales en cuanto a la tecnologa. La norma
discute la necesidad de contar con Firewalls, pero
no profundiza sobre los tipos de Firewalls y cmo
se utilizan.
Seguridad de la Informacin

En este sentido La Norma Tcnica Peruana ISO
17799, se emite para ser considerada en la
implementacin de estrategias y planes de
seguridad de la informacin de las Entidades
Pblicas.
La NTP NO exige la certificacin, pero si la
consideracin y evaluacin de los principales
dominios de acuerdo a la realidad de cada
organizacin.
Seguridad de la Informacin

Cuales son los temas o dominios a
considerar dentro de un plan de
Seguridad?
Seguridad de la Informacin

Los 11 dominios de control de ISO 17799
1. Poltica de seguridad:
Se necesita una poltica que refleje las expectativas de
la organizacin en materia de seguridad, a fin de
suministrar administracin con direccin y soporte. La
poltica tambin se puede utilizar como base para el
estudio y evaluacin en curso.
2. Aspectos organizativos para la seguridad:
Sugiere disear una estructura de administracin
dentro la organizacin, que establezca la
responsabilidad de los grupos en ciertas reas de la
seguridad y un proceso para el manejo de respuesta a
incidentes.
Seguridad de la Informacin

3. Clasificacin y Control de Activos:
Inventario de los recursos de informacin de la
organizacin y con base en este conocimiento, debe
asegurar que se brinde un nivel adecuado de
proteccin.
4. Seguridad de Recursos Humanos:
Necesidad de educar e informar a los empleados
actuales y potenciales sobre lo que se espera de ellos
en materia de seguridad y asuntos de
confidencialidad. Implementa un plan para reportar
los incidentes.
5. Seguridad fsica y del Entorno:
Responde a la necesidad de proteger las reas, el
equipo y los controles generales.
Seguridad de la Informacin

6. Gestin de Comunicaciones y Operaciones: Los
objetivos de esta seccin son:
Asegurar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informacin.
Minimizar el riesgo de falla de los sistemas.
Proteger la integridad del software y la informacin.
Conservar la integridad y disponibilidad del procesamiento y la
comunicacin de la informacin.
Garantizar la proteccin de la informacin en las redes y de la
infraestructura de soporte.
Evitar daos a los recursos de informacin e interrupciones en
las actividades de la institucin.
Evitar la prdida, modificacin o uso indebido de la
informacin que intercambian las organizaciones.
Seguridad de la Informacin

7. Control de accesos:
Establece la importancia de monitorear y
controlar el acceso a la red y los recursos de
aplicacin como proteccin contra los abusos
internos e intrusos externos.
8. Adquisicin, Desarrollo y Mantenimiento de los
sistemas:
Recuerda que en toda labor de la tecnologa de la
informacin, se debe implementar y mantener la
seguridad mediante el uso de controles de
seguridad en todas las etapas del proceso.
Seguridad de la Informacin

9. Gestin de Incidentes de la Seguridad de la
informacin
Asegurar que los eventos y debilidades en la
seguridad de la informacin sean comunicados de
manera que permitan una accin correctiva a tiempo.
10. Gestin de Continuidad del Negocio
Aconseja estar preparado para contrarrestar las
interrupciones en las actividades de la organizacin y
para proteger los procesos importantes de la
organizacin en caso de una falla grave o desastre.
11. Cumplimiento:
Evitar brechas de cualquier ley civil o criminal,
estatutos, obligaciones regulatorias o contractuales y
de cualquier requerimiento de seguridad.
Seguridad de la Informacin

Implementando Seguridad
de la Informacin

Enfoque General
Seguridad de la Informacin

26
3.- Aplicacin de ISO 17799
ISO 17799 no es una norma tecnolgica.
Esta redactada de forma flexible.
Se adapta a cualquier implantacin en todo tipo de
organizaciones sin importar su tamao o sector de
negocio.









Ejemplo de Implantacin
Seguridad de la Informacin

27
3.- Aplicacin de ISO 17799
Dominio de control: Gestin de comunicaciones y
operaciones

Objetivo de control: proteger la integridad del software y de la
informacin.
Control: Controles contra software malicioso.

Se deberan implantar controles para detectar el
software malicioso y prevenirse contra l, junto a
procedimientos adecuados para concienciar a los
usuarios.








Ejemplo de Implantacin
Seguridad de la Informacin

28
3.- Aplicacin de ISO 17799
Tras un trabajo de Consultora se establecera:

Normativa de uso de software: definicin y
publicitacin en la Intranet.
Filtrado de contenidos: X - Content Filtering
Antivirus de correo: Y Antivirus
Antivirus personal: Z Antivirus









Ejemplo de Implantacin
Seguridad de la Informacin

Este material podr obtenerlo en
http://www.pecert.gob.pe
en la Seccin Documentos
Tambin encontrar all plantillas para la
implementacin de polticas especificas

Anda mungkin juga menyukai