Professional Documents
Culture Documents
Gustavo A. Valverde
Si piensas que la tecnologa puede resolver tus problemas, entonces no entiendes los problemas y no entiendes la tecnologa. Bruce Scheiner
Los novatos hackean sistemas, los profesionales hackean personas. Bruce Scheiner
Informacin a Proteger
Cual es la informacin ms valiosa que manejamos?
Clientes Ventas
Personal
Producto
Operaciones
Seguridad de la Informacin
Un estado de bienestar de la informacin e infraestructura en el cual la posibilidad de robo, modificacin o interrupcin de la informacin y los servicios se mantiene baja o tolerable. Este estado depende de cinco (5) elementos mayores: confidencialidad, integridad, disponibilidad, autenticidad y no repudio.
Elementos de la Seguridad
Confidencialidad Integridad Disponibilidad
Asegura que la informacin solo puede ser accedida por aquellos autorizados a tener acceso
Asegura que los sistemas responsables de entregar, almacenar y procesar la informacin pueden ser accedidos cuando se les requiere
Autenticidad No repudio
Caracterstica de la comunicacin, documento o cualquier dato que asegure la calidad de ser genuino
Garantiza que el emisor el mensaje no puede negar que lo envi, y que el receptor no puede negar haberlo recibido.
Importancia de la Seguridad
1 Evolucin de la tecnologa, focalizada en la facilidad de uso. Los conocimientos necesarios para el uso de un exploit, son cada vez menores. Crecimiento de los ambientes interconectados y de las aplicaciones de red. Una brecha de seguridad tiene impacto directo en los activos corporativos. Crece la complejidad en la gerencia y en la administracin de los sistemas informticos
Redes Sociales
Amenazas Internas
Botnets
Aplicaciones de Redes
Hacktivismo
Ataques
Metas
Los atacantes tienen motivos o metas como perturbar la continuidad del negocio, robo de informacin, manipulacin de los datos y tomar venganza
Motivos
El motivo se origina de que el sistema objetivo almacena o procesa algo con valor, y esto conduce a la amenaza de un ataque en el sistema.
Los atacantes prueban diferentes herramientas, mtodos de ataques y tcnicas para explotar las vulnerabilidades en un sistema de computacin, Objetivos en una poltica de seguridad o en los controles, para lograr sus motivos.
Seguridad Fsica
Prdida o daos de los recursos del sistema Intrusin Fsica Sabotaje, espionaje o errores
Humanas
Hackers Conocedores (internos) Ingeniera Social Falta de Conocimiento y Conciencia
Vulnerabilidades Comnes
Inadecuado compromiso de la direccin. Personal inadecuadamente capacitado y concientizado. Inadecuada asignacin de responsabilidades. Ausencia de polticas/ procedimientos. Ausencia de controles
(fsicos/lgicos) (disuasivos/preventivos/detectivos/correctivos)
Gobiernos Extranjeros
Criminales
A quienes atacan?
Empresas
Instituciones Nosotros
Qu es una norma?
Elaborada con participacin de todos los sectores involucrados
Qu es ISO 27000?
Es una familia de estndares internacionales para Sistemas de Gestin de la Seguridad de la Informacin (SGSI).
Requisitos para la especificacin de sistemas de gestin de la seguridad de la informacin Proceso del anlisis y gestin del riesgo Mtricas y medidas de proteccin Guas de implantacin Vocabulario claramente definido para evitar distintas interpretaciones de conceptos tcnicos y de gestin y mejora continua.
Es la norma principal de requerimientos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual sern certificados por auditores externos los SGSI de las organizaciones.
Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Ser la sustituta de la ISO17799:2005.
ISO 27003
Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2.
ISO 27004
ISO 27005 ISO 27006
Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y efectividad de la implantacin de un SGSI y de los controles relacionados..
Consiste en una gua para la gestin del riesgo de la seguridad de la informacin y servir, por tanto, de apoyo a la ISO27001 y a la implantacin de un SGSI. Se basar en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.
Evaluar la capacidad de una organizacin (requisitos). Aplicacin de un sistema de procesos dentro de la organizacin. Comprender los requisitos de la seguridad de la informacin. Implementar y operar controles en la gestin del riesgo. Administracin del SGSI. Mejora continua basada en la medicin de objetivos.
Qu es un SGSI?
ISMS - Information Security Management System. Un sistema de gestin de la seguridad de la informacin (SGSI) es una forma sistemtica de abordar la gestin de la informacin empresarial para protegerla. Atae a las personas, los procesos y los sistemas informticos. Es un proceso documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente. (ISO 9001). La seguridad de la informacin consiste en preservar: Confidencialidad: acceso nicamente por autorizados. Integridad: exactitud y completitud. Disponibilidad: acceso de los usuarios autorizados cuando lo requieran. Los sistemas implicados en el tratamiento de la informacin. Informacin: escrita, diagramas, electrnica, imgenes o incluso oral.
PDCA / PHVA
Establecer el SGSI
Realizar auditorias internas. Realizar revisiones por parte de la direccin del SGSI.
Manual de Seguridad
REGISTROS
Requisitos de Certificacin
La norma establece requisitos para Establecer, Implementar y Documentar un SGSI.
Definir el alcance del SGSI (fronteras) Definir una poltica de seguridad Identificar activos Realizar el anlisis de riesgos de activos. Identificar las reas dbiles de los activo Tomar decisiones para manejar el riesgo Seleccionar los controles apropiados Implementar y manejar los controles seleccionados Elaborar la declaracin de aplicabilidad
Identificar las fallas y debilidades en la seguridad Proporcionar una oportunidad para mejorar el SGSI Cumplir requisitos contractuales. Cumplir requisitos regulatorios.
GUSTAVO A. VALVERDE
ING. TIC CONSULTOR DE TI ANALISTA DE SEGURIDAD GVALVERDE@LINKEA.DO CEL.: 829-686-8270 HTTP://LINKEA.DO