LaSeguridadInformticaconsisteenelaseguramientodelos recursosdelosSistemasdeInformacindeunaorganizacin, paraqueseanutilizadosdemaneraobjetivayqueelaccesoala informacinallcontenida,ascomosumodificacin,slosea posiblealaspersonasqueseencuentrenacreditadasydentrode los lmites de su autorizacin. PodemosentendercomoSeguridad,unestadodecualquiertipo deinformacin(informticoono),olaquenosindicaqueese sistema est libre de peligro, dao o riesgo. Seentiendecomopeligroodao,todoaquelloquepuedaafectar sufuncionamientodirectoolosresultadosqueseobtienendel mismo. Para la mayora de los expertos, el concepto de Seguridad enlaInformticaesutpico,porquenoexisteunsistema100% seguro. 20/07/20121Curso: Seguridad de Sistemas Seguridad Informtica Primeros aos: 20/07/20122Curso: Seguridad de Sistemas Seguridad Informtica Evolucin Histrica Datos e Informacin: Datos,ensumaneramsabstracta,sonloselementossimplesde recoleccindecaractersticas,formasymodos,sobrehechoso situaciones puntuales. ElprocesodeSignificancia,permitetransformarlosDatos,brindndoles aquellos elementos de valor, necesarios para convertirlos en Informacin. Esteprocesoseveafectadoporlosjuiciosdevalor,lapercepcin,la capacidad de anlisis, entre otros. Informacin,eselobjetoresultantededichoproceso,dondelosDatos simplesadquierenaquellosvaloresagregadosnecesarios,conloscuales dicho objeto se convierte en una Capsula de Informacin Valiosa. 20/07/20123Curso: Seguridad de Sistemas Seguridad Informtica Valor de la Informacin Datos 20010911 20011109 11092001 09112001 Significancia Una fecha importante para la Humanidad Informacin El da del ataque terrorista ms grande de la Historia Distintas formas en que se presentan los Datos y la Informacin: LosDatosylaInformacinpuedepresentarseohacerseevidentesde distintas formas. Algunas de dichas formas: Unafrmulaparalaelaboracindeunproducto,escritaenunahojade papel Uncuadernoquecontienelosbosquejosyescritospreliminares,parael desarrollo de un libro Una fotografa impresa Un archivo de computadora, por ejemplo: Unarchivodeconfiguracin,delarranquedeunsistemaoperativo,del arranque de una aplicacin, de parmetros de bases de datos, etc, Un archivo de hoja de clculo, conteniendo informacin financiera, Unarchivofsicodeunabasededatos,partecomponentedeunesquema Multi-File. Todaslasanterioresyotrasformas,puedenclasificarsecomoDatoso Informacin,dependiendodelprocesodeSignificanciaquelesean aplicados.Debenserobjetosdelaaplicacindelasmejoresprcticasde Seguridad Informtica. Precio es lo que se paga, Valor es lo que se obtiene, Warren Buffet. 20/07/20124Curso: Seguridad de Sistemas Seguridad Informtica Valor de la Informacin Estructura Piramidal - Dominios de Control: 20/07/20125Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Niveles de Seguridad: EstncompuestosporlaSeguridadOrganizativa,SeguridadLgica, Seguridad Fsica y Seguridad Legal. Cada uno de ellos acta en distintos mbitos (connotacin en colores), de los Dominios de Control. Ej:ElDominiodeControldeConformidadtieneafectacinenla SeguridadLegal.UnSistemadeInformacin,incluyendotodosycada unodesuscomponentes,debecumpliracabalidadtodoslosestatutos legales y normativos del pas donde sea implementado y utilizado. Niveles de Decisin: Estn compuestos por los niveles Operativos, Estratgicos y Tcticos. Cada uno de ellos permite delimitar las tomas de decisiones dentro de los DominiosdeControl,demaneraqueafectenalosdistintosniveles organizacionales (a manera de sombrilla). Ej. El Dominio de Control de Polticas de Seguridad tiene afectacin en los nivelesdeDecisionesTcticas.LasPolticasdeSeguridadgenerales debenserimplementadasaniveldelaOrganizacincompleta,pudiendo existirPolticasespecficasparareasrestringidas,puestosdetrabajo con funciones especiales, ubicaciones geogrficas especiales, etc. 20/07/20126Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Alcanzarel100%deSeguridadencualquieraspectodeLaVida, resultaseruna"misinimposible".Porlotanto,elobjetivodela seguridadenlainformacin,esasegurarlacontinuidaddelas operacionesdelaorganizacin,reduciralmnimolosdaos causados por una eventualidad, as como optimizar la inversin en tecnologas afines. Comotodobuenestndar,elISO-17799dalapautaenla definicin sobre cules metodologas, polticas o criterios tcnicos, puedenser aplicadosen elrgimendemanejodelaseguridadde la informacin. Latomadedecisionessobreunmarcodereferenciadeseguridad basadoenella,proporcionabeneficiosatodaorganizacinquelo implemente,yaseaensutotalidadoenlaparcialidaddesus postulados. 20/07/20127Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Dominios de Control: LaNormaISO/IEC17799establecediezdominiosdecontrolque cubren(casi)porcompletolaGestindelaSeguridaddela Informacin: 1. Polticas de Seguridad: Elestndardefinecomoobligatorias,laspolticasdeseguridades documentadasyprocedimientosinternosdelaorganizacin,que permitansuactualizacinyrevisinporpartedeunComitde Seguridad. 2. Aspectos organizativos: Estableceelmarcoformaldeseguridadquedebeintegraruna organizacin. 3. Clasificacin y control de activos: Elanlisisderiesgosgenerarelinventariodeactivos,que deber ser administrado y controlado con base en ciertos criterios declasificacinyetiquetadodeinformacin,esdecir,losactivos sern etiquetados de acuerdo con su nivel de confidencialidad. 20/07/20128Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Dominios de Control (cont): 4. Seguridad ligada al personal: Contrarioaloqueunosepuedeimaginar,noseorientaala seguridaddelpersonaldesdelapticadeproteccincivil,sinoa proporcionarcontrolesalasaccionesdelpersonalqueoperacon losactivosdeinformacin.Suobjetivoescontarconlos elementosnecesariosparamitigarelriesgoinherenteala interaccinhumana,osea,establecerclarasresponsabilidades por parte del personal en materia de Seguridad de la Informacin. 5. Seguridad fsica y del entorno: Identificarlospermetrosdeseguridad,deformaquesepuedan establecercontrolesenelmanejodeequipos,transferenciade informacinycontroldelosaccesosalasdistintasreas,con base en el tipo de seguridad establecida. 20/07/20129Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Dominios de Control (cont): 6. Gestin de comunicaciones y operaciones: Integrarlosprocedimientosdeoperacindelainfraestructura tecnolgicaydecontrolesdeseguridaddocumentados,quevan desdeelcontroldecambiosenlaconfiguracindelosequipos, manejodeincidentes,administracindeaceptacindesistemas, hasta el control de cdigo malicioso. 7. Control de accesos: Habilitarlosmecanismosquepermitanmonitorearelaccesoalos activosdeinformacin,queincluyenlosprocedimientosde administracindeusuarios,definicinderesponsabilidadeso perfiles de seguridad y el control de acceso a las aplicaciones. 20/07/201210Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Dominios de Control (cont): 8. Desarrollo y mantenimiento de sistemas: Laorganizacindebedisponerdeprocedimientosquegarantizen lacalidadyseguridaddelossistemasdesarrollados,paratareas especficas de la organizacin. 9. Gestin de continuidad del negocio: Elsistemadeadministracindelaseguridaddebeintegrarlos procedimientosderecuperacinencasodecontingencias,los cualesdebernserrevisadosdemaneraconstanteypuestosa pruebaconlafinalidaddedeterminarlaslimitacionesdelos mismos. 10. Cumplimiento o conformidad de la legislacin : Laorganizacinestablecerlosrequerimientosdeseguridadque debencumplirtodossusproveedores,sociosyusuarios;stosse encontrarnformalizadosenloscontratosoconvenios establecidos. 20/07/201211Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Dominios de Control (cont): Deestosdiezdominiosnombradossederivan36objetivosde control(resultadosqueseesperanalcanzarmediantela implementacindeinspecciones)y127omscontroles (prcticas,procedimientosomecanismosquereducenelnivelde riesgo).Ambos,seencuentrandestinadosadotaryesparcir SeguridadalaInformacinenelambientedigital,atravsde numerosas auditoras, consultoras y/o paradigmas. Cadaunadelasreasconstituyeunaseriedeobservaciones,que sern seleccionadas dependiendo de las derivaciones obtenidas en losanlisisderiesgos.Conjuntamente,existencontroles obligatorios para toda organizacin, como es el de las polticas de seguridad cuyo nmero dependerms de la organizacin que del estndar, el cual no establece este nivel de detalle. Por eso, es aplicable a toda organizacin, independientemente, de sutamaoosectordenegocio;siendounargumentofuertey dinmicoparalosdetractoresdelanormayunconjuntode instrumentosflexiblesacualquiersolucindeseguridad concreta: recomendaciones neutrales con respecto a las TI. 20/07/201212Curso: Seguridad de Sistemas Seguridad Informtica ISO -17799 Propuestas de Prcticas a desarrollaral finalizar este Da: Desarrollo de Foros sobre los siguientes temas: ImportanciaqueadquiereelAseguramientodeInformacin,dentrode la evolucin histrica de las TICs, factores que influyen ReconocimientodelValordelaInformacin,dentrodelosmbitos empresariales, comunitarios, familiares e individuales 2. Propuestas de Ante-Proyectos: PresentarpropuestasdeAnte-Proyectosrelacionadosconaplicacinde laNormativaISO-17799,incluyendoalgunosdelosDominiosdeControl establecidosensuestructurapiramidal,analizandosuinfluenciaen algunodelosdistintosnivelesdeseguridadyenlosdistintosnivelesde toma de decisiones 20/07/201213Curso: Seguridad de Sistemas Prcticas