“Seguridad de la Información”
Análisis y
explotación de Transmisión,
los datos Almacenamiento
aplicado al y Seguridad
negocio
Gestión y
Trabajo
Colaborativo
¿CÓMO PODEMOS PREVENIR LA PERDIDA DE
INFORMACIÓN?
Conocimiento de
la Información
Establecimiento
Clasificación de
de Medidas de
la Información
Seguridad
Determinación
del Grado de
Seguridad
TIPOS DE MEDIDAD DE SEGURIDAD:
• Técnicas. Servicios y herramientas que
permiten detectar y prevenir la fuga de
información:
– Cifrado de la Información confidencial corporativa
– Instalación, configuración y actualización de
Cortafuegos
– Mantener actualizadas todas las aplicaciones de
nuestros sistemas, etc.
TIPOS DE MEDIDAD DE SEGURIDAD:
• Para empresas con mayores recursos
económicos podemos aplicar otras medidas
más avanzadas utilizando:
– Soluciones de prevención de pérdida de datos
o DLP (del inglés Data Loss Prevention)
– Las destinadas a la gestión del ciclo de vida de la
información o ILM (del inglés Information Lifecycle
Management).
TIPOS DE MEDIDAD DE SEGURIDAD:
– Herramientas de control de dispositivos externos
de almacenamiento, que están destinadas a
controlar el acceso físico a puertos y dispositivos
extraíbles como USB para evitar fugas de
información.
• Organizativas. Fijar políticas de seguridad,
junto con acciones de concienciación a todos
los empleados.
TIPOS DE MEDIDAD DE SEGURIDAD:
• Jurídicas.:
- Acuerdos de nivel de servicio (SLA)
- Acuerdos de confidencialidad
- Tratamiento de ficheros que contienen
datos de carácter personal.
POLÍTICAS DE SEGURIDAD:
Una política de seguridad en el ámbito de la
criptografía de clave pública o PKI es un plan de
acción para afrontar riesgos de seguridad, o un
conjunto de reglas para el mantenimiento de cierto
nivel de seguridad.
Definir el
Alcance
Identificar
los Activos
Identificar
Amenazas
Identificar Vulnerabilidades
Identificas Salvaguardas
Evaluar el
Riesgo
Tratar el
Riesgo
FASE 1. DEFINIR EL ALCANCE
El primer paso a la hora de llevar a cabo el
análisis de riesgos, es establecer el alcance del
estudio. Vamos a considerar que este análisis de
riesgos forma parte del Plan Director de
Seguridad.
Por otra parte, también es posible definir un
alcance más limitado atendiendo a
departamentos, procesos o sistemas.
FASE 2. IDENTIFICAR LOS ACTIVOS
Una vez definido el alcance, debemos identificar
los activos más importantes que guardan
relación con el departamento, proceso, o
sistema objeto del estudio. Para mantener un
inventario de activos sencillo puede ser
suficiente con hacer uso de una hoja de cálculo
o tabla como la que se muestra a continuación a
modo de ejemplo:
FASE 2. IDENTIFICAR LOS ACTIVOS
FASE 3. IDENTIFICAR / SELECCIONAR LAS
AMENAZAS
Habiendo identificado los principales activos, el
siguiente paso consiste en identificar las
amenazas a las que estos están expuestos. Tal y
como imaginamos, el conjunto de amenazas es
amplio y diverso por lo que debemos hacer un
esfuerzo en mantener un enfoque práctico y
aplicado.
FASE 3. IDENTIFICAR / SELECCIONAR LAS
AMENAZAS
Ejemplo: Si nuestra intención es evaluar el riesgo
que corremos frente a la destrucción de nuestro
servidor de ficheros, es conveniente, considerar
las averías del servidor, la posibilidad de daños
por agua (rotura de una cañería) o los daños por
fuego, en lugar de plantearnos el riesgo de que
el Centro de Procesamiento de Datos sea
destruido por un meteorito.
FASE 4. IDENTIFICAR VULNERABILIDADES Y
SALVAGUARDAS
La siguiente fase consiste en estudiar las
características de nuestros activos para
identificar puntos débiles o vulnerabilidades.
Posteriormente, a la hora de evaluar el riesgo
aplicaremos penalizaciones para reflejar las
vulnerabilidades identificadas.
FASE 4. IDENTIFICAR VULNERABILIDADES Y
SALVAGUARDAS
Por otra parte, también analizaremos y
documentaremos las medidas de seguridad
implantadas en nuestra organización.
Estas consideraciones (vulnerabilidades y
salvaguardas) debemos tenerlas en cuenta
cuando vayamos a estimar la probabilidad y el
impacto como veremos en la siguiente fase.
FASE 5. EVALUAR EL RIESGO
Llegado a este punto disponemos de los
siguientes elementos:
– Inventario de activos.
– Conjunto de amenazas a las que está expuesta
cada activo.
– Conjunto de vulnerabilidades asociadas a cada
activo (si corresponde).
– Conjunto de medidas de seguridad implantadas
FASE 5. EVALUAR EL RIESGO
Con esta información, nos encontramos en
condiciones de calcular el riesgo. Para cada par
activo-amenaza, estimaremos la probabilidad de
que la amenaza se materialice y el impacto
sobre el negocio que esto produciría. El cálculo
de riesgo se puede realizar usando tanto
criterios cuantitativos como cualitativos.
FASE 5. EVALUAR EL RIESGO
Es importante resaltar que la seguridad del método se basa en el hecho de que la llave
privada es conocida sólo por su dueño. También es importante resaltar que el hecho
de firmar un mensaje no significara un mensaje sigiloso.
EJEMPLOS DE CRIPTOGRAFÍA DE LLAVE ÚNICA Y
DE LLAVES PÚBLICA Y PRIVADA
Ejemplos que combinan la utilización de los
métodos de criptografía de llave única y de
llaves pública y privada son las conexiones
seguras, establecidas entre el browser de un
usuario y una web, en transacciones comerciales
o bancarias vía Web.
¿QUÉ TAMAÑO DE LLAVE CRIPTOGRÁFICA DEBE
SER UTILIZADO?
Los métodos de criptografía actualmente
utilizados, y que presentan buenos niveles de
seguridad, son públicamente conocidos y son
seguros por la robustez de sus algoritmos y por
el tamaño de las llaves que utilizan.
Para que alguien descubra una llave necesita
utilizar algún método de fuerza bruta, o sea,
probar combinaciones de llaves hasta que la
correcta sea descubierta.
¿QUÉ TAMAÑO DE LLAVE CRIPTOGRÁFICA DEBE
SER UTILIZADO?
Actualmente, para obtenerse un buen nivel de
seguridad en la utilización de un método de
criptografía de llave única, es aconsejable
utilizar llaves de un mínimo de 128 bits. Y para
el método de criptografía de llaves pública y
privada es aconsejable utilizar llaves de 2048
bits, siendo el mínimo aceptable de 1024 bits.
¿QUÉ TAMAÑO DE LLAVE CRIPTOGRÁFICA DEBE
SER UTILIZADO?
Dependiendo para los fines para los cuales los
métodos criptográficos serán utilizados, se debe
considerar la utilización de llaves mayores: 256 o
512 bits para llave única y 4096 o 8192 bits para
llaves pública y privada.
CERTIFICADO DIGITAL
Un certificado digital o certificado
electrónico es un fichero informático firmado
electrónicamente por un prestador de servicios
de certificación, considerado por otras
entidades como una autoridad para este tipo de
contenido, que vincula unos datos de
verificación de firma a un firmante, de forma
que únicamente puede firmar este firmante, y
confirma su identidad.
CERTIFICADO DIGITAL
Tiene una estructura de datos que contiene
información sobre la entidad (por ejemplo una
clave pública, una identidad o un conjunto de
privilegios). La firma de la estructura de datos
agrupa la información que contiene de forma que
no puede ser modificada sin que esta modificación
sea detectada.
Normalmente cuando se habla de certificado digital
se está hablando de los certificados de clave
pública que son un tipo de certificado digital.
CERTIFICADO DIGITAL
La información contenida en un certificado
depende del propósito para el cual fue creado el
certificado. Podemos clasificar los certificados
atendiendo al propósito en:
• Certificados de clave pública. Asocian
una clave pública a alguna representación de
la identidad de una entidad. La clave privada
asociada a dicha clave pública es asumida que
está en posesión de dicha entidad.
CERTIFICADO DIGITAL
• Certificados de atributos. Normalmente no
contienen claves públicas, sino que asocian
otro tipo de información (ej. roles, derechos
de uso o privilegios) a alguna representación
de la identidad de una entidad. Son usados
principalmente en protocolos relacionados
con la autorización de entidades.
CERTIFICADO DIGITAL
Se han definido varios formatos de los
certificados digitales. Los más importantes son:
• X.509
• SPKI
• PGP
• SAML
Habilidades de Liderazgo Necesarias para
Implementar Un Plan de Seguridad de la
Información
Todo líder debería desarrollar determinadas
capacidades que le pueden ayudar a dirigir un
equipo. Las habilidades de liderazgo son cualidades
que permiten al individuo tomar mejores decisiones
en un marco de responsabilidad, asignar los
recursos disponibles de manera más eficiente,
planificar con acierto y gestionar a las personas
desde la motivación, el entusiasmo y el
compromiso.
Habilidades de Liderazgo Necesarias para
Implementar Un Plan de Seguridad de la
Información
Entre estas capacidades tan necesarias para
cualquier líder se encuentran las siguientes:
• Saber delegar
• Capacidad de coordinación y colaboración
• Planificación estratégica
• Habilidad comunicativa
• Empatía
Habilidades de Liderazgo Necesarias para
Implementar Un Plan de Seguridad de la
Información
• Motivación e Inspiración
• Valor
• Compromiso
• Resolución de problemas
• Resiliencia