Sesin N 5
Sistema de Seguridad de la Informacin
la Norma NTP ISO /IEC 17799
Expositor: Ing. Miguel Vliz Granados
Director Ejecutivo de Consultora InnSolutions S.A.C.
Director Ejecutivo del Instituto de Normas Tcnicas de CINSEYT
Secretario Tcnico del CTN 63 Microformas Digitales CNB INDECOPI
Consultor de Certificacin de Sistemas ISO 9001, ISO 27001 y NTP 392.030-2
Lder de Certificaciones de Sistemas de produccin de microformas de SGS del Per
Noviembre 2012
Situacin Actual
Algunos riesgos y su impacto en los negocios
Algunos datos
Algunos datos
INFORMATICA
INTERNET
Algunos datos
Algunos datos
23-06-2003
Despido
NEGOCIOS
Algunos datos
Algunas premisas
Algunas realidades
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me sacaron
observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya arreglamos todo.
Algunos datos
En general todos coinciden en:
Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS
10
Algunos datos
11
Qu Informacin proteger
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas
12
13
Robo de informacin
Spamming
Violacin de e-mails
Violacin de contraseas
Virus
Destruccin de equipamiento
Fraudes informticos
Interrupcin de los servicios
Ingeniera social
Programas bomba
Propiedad de la Informacin
empleados deshonestos
Software ilegal
Intercepcin de comunicaciones
Falsificacin de informacin para
terceros
14
Instalaciones default
Password cracking
Escalamiento de privilegios
Desactualizacin
Replay attack
Exploits
Backups inexistentes
Port scanning
Keylogging
15
Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Informacin,
podemos encontrar los siguientes:
Sans Institute
19
Introduccin
La seguridad de las tecnologas de informacin, y por ende la
informtica, se convierte en un tema de importancia crucial para el
continuo y rpido progreso de nuestra sociedad, e incluso para su
propia supervivencia.
Qu es seguridad de la informacin?
La seguridad de la informacin es la proteccin de la
informacin de un rango amplio de amenazas para poder
asegurar la continuidad del negocio, minimizar el riesgo
comercial y maximizar el retorno de las inversiones y las
oportunidades comerciales.
Se logra implementando un adecuado conjunto de controles;
incluyendo polticas, procesos, procedimientos, estructuras
organizacionales y funciones de software y hardware.
Se requiere establecer, implementar, monitorear, revisar y
mejorar estos controles cuando sea necesario para asegurar que
se cumplan los objetivos especficos de seguridad y comerciales.
22
Objetivo
24
c)
d)
Poltica de seguridad
Dirigir y dar soporte a la gestin de la seguridad de la informacin en
concordancia con los requerimientos del negocio, las leyes y las
regulaciones.
Debe incluir:
Proteccin Fsica
Confiabilidad
Confidencialidad
Propiedad
Poltica de Seguridad
Disponibilidad
Legalidad
Eficiencia
Integridad
Eficacia
Exactitud
28
de
29
Acuerdos de confidencialidad
30
31
Ejemplo de terceros
pasantas de estudiantes
contingentes de corto plazo;
consultores.
otras
designaciones
32
7 Gestin de Activos
7.1 Responsabilidad por los activos
Mantener una proteccin adecuada sobre los activos de la organizacin.
Inventarios de Informacin e Instalaciones
Designar un propietario para cada uno de ellos
Uso aceptable de los activos
34
Gestin de responsabilidades
Proceso disciplinario
35
Devolucin de activos
36
37
38
Gestin de cambios
Segregacin de deberes
39
Entrega de servicio
40
Gestin de capacidad
41
Respaldo (back-up)
42
Controles de red
43
Gestin de medios
Asegurar la salvaguarda de la informacin en las redes y la proteccin de su
infraestructura de apoyo.
Retiro de medios
44
Intercambio de informacin
Evitar la prdida, modificacin o mal uso del intercambio de informacin
entre organizaciones.
Acuerdos de intercambio
Mensajera electrnica
10
10.9
Comercio electrnico
Transacciones en lnea
46
10
10.10 Monitoreo
Detectar las actividades de procesamiento de informacin no autorizadas.
Registro de la auditora
Registro de fallas
Sincronizacin de relojes
47
11
Control de Acceso
11.1
48
11
Control de Acceso
11.2
Gestin de privilegios
49
11
Control de Acceso
11.3
Uso de clave
50
11
Control de Acceso
11.4
Segregacin en redes
51
11
Control de Acceso
11.5
52
11
Control de Acceso
11.5
Sesin inactiva
53
11
Control de Acceso
11.6
11
Control de Acceso
11.7
Tele trabajo
55
12 Adquisicin,
sistemas
12.1
desarrollo
mantenimiento
de
56
12 Adquisicin,
sistemas
12.2
desarrollo
mantenimiento
de
57
12 Adquisicin,
sistemas
12.3
desarrollo
mantenimiento
de
Controles criptogrficos
Proteger la confidencialidad, autenticidad o integridad de la informacin
12.4
12 Adquisicin,
sistemas
12.5
desarrollo
mantenimiento
de
Filtracin de informacin
12 Adquisicin,
sistemas
12.6
desarrollo
mantenimiento
de
60
61
Recoleccin de evidencia
62
15 Cumplimiento
15.1 Cumplimiento con los requisitos legales.
Evitar los incumplimientos de cualquier ley civil o penal, requisito
reglamentario, regulacin u obligacin contractual, y de todo requisito de
seguridad.
15 Cumplimiento
15.2 Cumplimiento de las polticas y estndares de seguridad y
el cumplimiento tcnico.
Asegurar la conformidad de los sistemas con las polticas y normas de
seguridad.
66
15 Cumplimiento
15.3 Consideraciones de la auditora de los sistemas de
informacin.
Maximizar la efectividad y minimizar las interferencias en el proceso de
auditora del sistema.
67
68
mvelizg@yahoo.com.mx