Seguridad Informtica

Tema 01: Introduccin a la Seguridad de la Informacin

Ing. Juan Rafael Galn Santisteban

Seguridad Informtica Introduccin

1.1

Juan Rafael Galn Santisteban USS2013

OBJETIVO

Al finalizar este tema, usted sabr Identificar

las expectativas generales de seguridad de la
informacin.

Conocer conceptos que le permitirn

investigar y entender la Seguridad de la
informacin en las organizaciones.

Seguridad Informtica Introduccin

1.2

Juan Rafael Galn Santisteban USS2013

La seguridad no es un producto, sino un proceso,

Se trata de algo ms que implantar criptografa robusta
en un sistema: se trata de disear el sistema entero de
manera que todas las medidas de seguridad, incluyendo
la criptografa trabajen juntos.

Bruce Schneier

Seguridad Informtica Introduccin

1.3

Juan Rafael Galn Santisteban USS2013

QU SE DEBE ASEGURAR?

La informacin es un activo
que, como otros activos
importantes del negocio, es
esencial para las actividades
de la organizacin y, en
consecuencia, necesita una
proteccin adecuada.
(NTC-ISO/IEC 17799)

Seguridad Informtica Introduccin

1.4

Juan Rafael Galn Santisteban USS2013

CONTRA QU SE DEBE PROTEGER

LA INFORMACIN ?

La Seguridad de la Informacin, protege a sta de una

amplia gama de amenazas, tanto de orden fortuito (tal
como destruccin, incendio o inundaciones), como de orden
deliberado (tal como fraude, espionaje, sabotaje,
vandalismo, etc.)

Seguridad Informtica Introduccin

1.5

Juan Rafael Galn Santisteban USS2013

QU SE DEBE GARANTIZAR?

Confidencialidad: Se garantiza que la informacin es

accesible slo a aquellas personas autorizadas a tener
acceso a la misma.
Integridad: Se salvaguarda la exactitud y totalidad de la
informacin y los mtodos de procesamiento.
Disponibilidad: Se garantiza que los usuarios autorizados
tienen acceso a la informacin y a los recursos relacionados
con la misma toda vez que se requiera.

Seguridad Informtica Introduccin

1.6

Juan Rafael Galn Santisteban USS2013

POR QU AUMENTAN LAS

AMENAZAS?

Las Organizaciones son cada vez mas dependientes de sus

Sistemas y Servicios de Informacin, por lo tanto podemos
afirmar que son cada vez mas vulnerables a las amenazas
concernientes a su seguridad.
Valor estratgico de TI en los negocios

Seguridad Informtica Introduccin

1.7

Juan Rafael Galn Santisteban USS2013

POR QU AUMENTAN LAS

AMENAZAS?

Crecimiento exponencial de las Redes y

Usuarios Interconectados
Profusin de las BD On-Line
Inmadurez de las Nuevas Tecnologas
Algunas
Causas

Alta disponibilidad de Herramientas

Automatizadas de Ataques
Nuevas Tcnicas de Ataque Distribuido
(Ej:DDoS)

Tcnicas de Ingeniera Social

Seguridad Informtica Introduccin

1.8

Juan Rafael Galn Santisteban USS2013

CULES SON LAS AMENAZAS?

Accidentes: Averas, Catstrofes, Interrupciones, ...

Errores: de Uso, Diseo, Control, ....

Amenazas Intencionales Presenciales: Atentado con acceso
fsico no autorizado
Amenazas Intencionales Remotas: Requieren acceso al
canal de comunicacin

Seguridad Informtica Introduccin

1.9

Juan Rafael Galn Santisteban USS2013

Amenazas intencionales remotas

Interceptacin pasiva de la informacin

(amenaza a la CONFIDENCIALIDAD).
Corrupcin o destruccin de la informacin
(amenaza a la INTEGRIDAD).
Suplantacin de origen
(amenaza a la AUTENTICACIN).

Seguridad Informtica Introduccin

1.10

Juan Rafael Galn Santisteban USS2013

QU ES SEGURIDAD DE LA INFORMACIN?

La seguridad de la Informacin
protege a los activos de
informacin contra una amplia
gama de amenazas, para
preservar as la continuidad del
negocio y reducir a un nivel
aceptable los riesgos.

ISO 27001:2005

Seguridad Informtica Introduccin

1.11

Juan Rafael Galn Santisteban USS2013

POR QU PREOCUPARSE POR LA SEGURIDAD

DE LA INFORMACIN?
Comercio electrnico y negocios electrnicos
Nuevas formas de usar las Bases de Datos
Mayor inters por parte de la comunidad de hackers

Regulaciones y normativas que ataen a la seguridad

Seguridad Informtica Introduccin

1.12

Juan Rafael Galn Santisteban USS2013

DEFINICIONES DE SEGURIDAD DEL DICCIONARIO

Libre y exento de todo peligro, dao o riesgo

Cierto, indubitable y en cierta manera infalible
No sospechoso

Seguridad Informtica Introduccin

1.13

Juan Rafael Galn Santisteban USS2013

DEFINICIONES DE SEGURIDAD
Definicin dinmica
Evaluar expectativas y amenazas en un contexto

Alcanzar seguridad deseada

Mantener nivel de seguridad
Proceso iterativo y continuo

Seguridad Informtica Introduccin

1.14

Juan Rafael Galn Santisteban USS2013

EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD

La Organizacin posee expectativas de seguridad
Por escrito: polticas, objetivos, etc.
Verbalizadas: cultura
Asumidas: costumbres

Las expectativas slo tienen sentido dentro de un contexto

de seguridad
Las contramedidas o controles de seguridad buscan
satisfacer expectativas concretas en contextos determinados

Seguridad Informtica Introduccin

1.15

Juan Rafael Galn Santisteban USS2013

Ejemplos de expectativas de seguridad (I)

Cumplir regulaciones legales aplicables
Control sobre el acceso a secretos e informacin o
servicios protegidos por la ley como los derechos de
autor y la informacin privada
Identificacin de los autores de la informacin o
mensajes y registro de su uso de servicios
Responsabilizacin de los usuarios por su uso de los
servicios y su aceptacin de compromisos
Control sobre la tenencia fsica de informacin y
sistemas de informacin

Seguridad Informtica Introduccin

1.16

Juan Rafael Galn Santisteban USS2013

Ejemplos de expectativas de seguridad (II)

Control sobre la existencia de informacin y servicios

Control sobre la disponibilidad de informacin y servicios

Control sobre la fiabilidad y el rendimiento de los servicios
Control sobre la precisin de la informacin

Seguridad Informtica Introduccin

1.17

Juan Rafael Galn Santisteban USS2013

Expectativas y contextos de seguridad (III)

Enfoque tradicional
Queremos que no tenga xito ningn ataque
Seguridad = Invulnerabilidad
Imposible de alcanzar
Enfoque de gestin del riesgo
Queremos que nuestras expectativas se cumplan
Seguridad = Confianza, Calidad
Posible de gestionar

Seguridad Informtica Introduccin

1.18

Juan Rafael Galn Santisteban USS2013

CMO ESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD?

Evaluar los riesgos que enfrenta la organizacin

o Se identifican las amenazas a los activos
o Se evalan las vulnerabilidades y probabilidades de ocurrencia
o Se estima el impacto potencial

Tener en cuenta los requisitos legales, normativos,

reglamentarios y contractuales que deben cumplir:
o La organizacin
o Sus socios comerciales
o Los contratistas
o Los prestadores de servicios

Establecer un conjunto especfico de principios, objetivos

y requisitos para el procesamiento de la informacin

Seguridad Informtica Introduccin

1.19

Juan Rafael Galn Santisteban USS2013

DEFINICIN SIMPLIFICADA DEL PROBLEMA

El problema se sintetiza en alcanzar niveles aceptables de
Confidencialidad, disponibilidad e integridad de la
informacin que sostienen los objetivos del negocio
Las claves son:
Alcanzar (modelo iterativo)
Confidencialidad.
Disponibilidad.
Integridad.
Niveles aceptables (gestin de riesgos)
Objetivos del negocio (Mandatorio y Rector)

Seguridad Informtica Introduccin

1.20

Juan Rafael Galn Santisteban USS2013

Algunos Problemas subyacentes

Definicin de activos de informacin
Valor de la informacin, percepcin del valor de la
informacin, rentabilidad, dependencia.
Impacto sobre incidentes de perdida de confidencialidad,
integridad o disponibilidad de la informacin.
Cultura de la organizacin
Composicin humana de la organizacin
Supuestos, expectativas, idealizacin de la seguridad.
Relacionamiento entre los actores y entre los actores y la
organizacin, sus procesos y sistemas.
Adaptabilidad al cambio, al control o a la limitacin de
privilegios
Modelo de seguridad aceptados o aceptables
Seguridad Informtica Introduccin

1.21

Juan Rafael Galn Santisteban USS2013

BASE DE LA SEGURIDAD
Tecnologa
Herramientas criptogrficas, protocolos
de comunicaciones seguras,
almacenamiento seguro de
informacin, dispositivos de red,
copias de respaldo, etc.
Procesos
Polticas y procedimientos,
organizacin, etc.
Personas
Concienciacin, formacin y educacin
en materia de seguridad, etc.
Seguridad Informtica Introduccin

1.22

Juan Rafael Galn Santisteban USS2013

OBJETIVOS DE SEGURIDAD
DE LA INFORMACIN
GESTIN DE LA SEGURIDAD Y ALINEAMIENTO CON
CONTROL ESTRATGICO DE LA ORGANIZACIN
Sols (2005)
El objetivo de seguridad de la informacin definido por el
Instituto de Gobierno de Tecnologa de la Informacin:
Proteger los intereses de todos aquellos que dependen de la
informacin y de los sistemas y comunicaciones que la habilitan
contra daos que afecten a su disponibilidad, confidencialidad
e integridad
La necesidad de proteccin de los activos de valor en las
organizaciones implica una nueva responsabilidad de la alta
direccin: garantizar un ambiente de seguridad slido y
consistente, identificando y capitalizando los beneficios.
Seguridad Informtica Introduccin

1.23

Juan Rafael Galn Santisteban USS2013

SEGURIDAD DE INFORMACIN
EN LA ORGANIZACIN
GOBIERNO
CORPORATIVO

GOBIERNO DE TI

GOBIERNO
DE SEGURIDAD
DE TI

Seguridad Informtica Introduccin

1.24

Juan Rafael Galn Santisteban USS2013

PROCESO DE GOBIERNO
DE SEGURIDAD EN TI
Determinacin de directrices

Alineamiento estratgico
Generacin de valor

Gestin de riesgos
Medicin de desempeo

Seguridad Informtica Introduccin

1.25

Juan Rafael Galn Santisteban USS2013

MARCO ORGANIZATIVO
Tourio (2003)

La Seguridad de TI no viene dada de forma aislada

por un producto, a menos que exista un sistema de
control interno que asegure su adecuada
implantacin y utilizacin
Importancia de las medidas organizativas:

Definicin de funciones y responsabilidades

Instauracin de polticas precisas sobre objetivos
de seguridad
Establecimiento de criterios de segregacin de
funciones/evidencias irrefutables
Seguridad Informtica Introduccin

1.26

Juan Rafael Galn Santisteban USS2013

QUE SE ENTIENDE POR POLITICA

DE SEGURIDAD ?
Conjunto de requisitos definidos por los responsables
directos o indirectos de un Sistema que indica en trminos
generales qu est permitido y qu no lo est en el rea
de seguridad durante la operacin general de dicho
sistema.
Diferencias entre Poltica, Estndar y Procedimiento
Poltica: el porqu una organizacin protege la informacin
Estndares: lo que la organizacin quiere hacer para
implementar y administrar la seguridad de la informacin
Procedimientos:
cmo la organizacin obtendr los
requerimientos de seguridad

Seguridad Informtica Introduccin

1.27

Juan Rafael Galn Santisteban USS2013

ALINEAMIENTO ESTRATGICO
expectativas de los stakeholders
objetivos y metas institucionales
factores crticos de xito
procesos de negocio
aplicaciones
recursos
procesos de TI
Seguridad Informtica Introduccin

1.28

Juan Rafael Galn Santisteban USS2013

CUADRO DE MANDO DE
LA SEGURIDAD EN TI
CONTRIBUCIN
CORPORATIVA
Cmo ve la organizacin el
valor creado por la
seguridad en TI

ORIENTACIN
AL USUARIO
Cmo ven los usuarios a la
seguridad en la TI

EXCELENCIA
OPERACIONAL
Cun eficientes y eficaces
son los procesos de gestin
de la seguridad en TI

Seguridad Informtica Introduccin

ORIENTACIN
FUTURA
Cun eficiente y eficaz es la
gestin de la seguridad en TI
para adaptarse a los
cambios del entorno

1.29

Juan Rafael Galn Santisteban USS2013

VULNERABILIDADES EN LA
ORGANIZACIN
Arbat (2003)
Asociadas al entorno e infraestructura
Asociadas a la organizacin

Asociadas a los procedimientos

Asociadas al personal

Asociadas a la informacin

Seguridad Informtica Introduccin

1.30

Juan Rafael Galn Santisteban USS2013

Defensa en profundidad

Seguridad Informtica Introduccin

1.31

Juan Rafael Galn Santisteban USS2013

METODOLOGA DE IMPLANTACIN
Planificacin de los procedimientos de control
relativos a la seguridad de las TI: estructura
empresarial, polticas, evaluacin de riesgos y costes
Diseo: encaje en el sistema global de control
interno, definicin de procedimientos de control,
prioridades, evidencias, responsabilidades
Implantacin: progresiva, con orden lgico, flexible,
dinmica.

Seguridad Informtica Introduccin

1.32

Juan Rafael Galn Santisteban USS2013

LIMITACIONES NO TCNICAS
Ausencia de cultura empresarial de control interno

Cambio constante en la alta direccin

Proyectos estratgicos discrecionales sin
participacin de los conocedores del negocio

la

Incapacidad de los procesos gerenciales para medir

el cumplimiento de los objetivos y la eficiencia
Carencia de potencial humano con capacidades para
administrar correctamente la TI

Seguridad Informtica Introduccin

1.33

Juan Rafael Galn Santisteban USS2013

GRACIAS!

Seguridad Informtica Introduccin

1.34

Juan Rafael Galn Santisteban USS2013

CASO PRCTICO
Seleccionar una entidad, que emplee equipos de
cmputo en sus procesos administrativos y
determinar el nivel de seguridad; para ello podr
utilizar el cuestionario de Inseguridad Informtica
que se presenta en la siguiente diapositiva.

Los niveles de seguridad van del Nivel A al D:

D = No cumplen con ninguna especificacin de seguridad
C = Proteccin de Acceso Controlado

B = Proteccin Estructurada
A = Proteccin Verificada

2
Seguridad Informtica Introduccin

1.35

Juan Rafael Galn Santisteban USS2013

INSEGURIDAD INFORMTICA
1. La informacin y su proteccin son crticas para la organizacin? Se ha
definido as?
2. Se tiene en la organizacin una poltica de seguridad? Se actualiza
constantemente?
3. La funcin de seguridad.. si existe, Tiene el apoyo, los medios y la capacidad
para administrar la seguridad? Existe un comit de seguridad de la
informacin?
4. Se tienen identificados los principales activos de la informacin de la
organizacin? Y sus riesgos asociados?
5. Es consiente la organizacin de las debilidades o vulnerabilidades de la
infraestructura informtica?
6. Puedo asegurar la continuidad de las operaciones en caso de prdida de la
informacin?
7. Hay conformidad con las leyes y regulaciones de la informacin y estas han
sido fundamentadas desde la alta direccin?
8. Existe una gestin y administracin de riesgos?
9. Hace la organizacin a nivel interno o externo, auditorias a la seguridad de la
informacin?
Seguridad Informtica Introduccin

1.36

Juan Rafael Galn Santisteban USS2013