8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
1/36
1.1 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Seguridad Informática
Tema 01: Introducción a la Seguridad de la InformaciónIng. Juan Rafael Galán Santisteban
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
2/36
1.2 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
•
Al finalizar este tema, usted sabrá Identificarlas expectativas generales de seguridad de la
información.
• Conocerá conceptos que le permitirán
investigar y entender la Seguridad de la
información en las organizaciones.
OBJETIVO
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
3/36
1.3 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
“La seguridad no es un producto, sino un proceso”, Se trata de algo más que implantar criptografía robustaen un sistema: se trata de diseñar el sistema entero de
manera que todas las medidas de seguridad, incluyendola criptografía trabajen juntos.
Bruce Schneier
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
4/36
1.4 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
¿QUÉ SE DEBE ASEGURAR?
“La información es un activoque, como otros activosimportantes del negocio, es
esencial para las actividadesde la organización y, enconsecuencia, necesita una
protección adecuada” .
(NTC-ISO/IEC 17799)
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
5/36
1.5 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
La Seguridad de la Información, protege a ésta de una
amplia gama de amenazas, tanto de orden fortuito (talcomo destrucción, incendio o inundaciones), como de ordendeliberado (tal como fraude, espionaje, sabotaje,vandalismo, etc.)
¿CONTRA QUÉ SE DEBE PROTEGERLA INFORMACIÓN ?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
6/36
1.6 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Confidencialidad: Se garantiza que la información esaccesible sólo a aquellas personas autorizadas a tener
acceso a la misma.Integridad: Se salvaguarda la exactitud y totalidad de lainformación y los métodos de procesamiento.Disponibilidad: Se garantiza que los usuarios autorizados
tienen acceso a la información y a los recursos relacionadoscon la misma toda vez que se requiera.
¿QUÉ SE DEBE GARANTIZAR?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
7/361.7 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Las Organizaciones son cada vez mas dependientes de susSistemas y Servicios de Información, por lo tanto podemosafirmar que son cada vez mas vulnerables a las amenazas
concernientes a su seguridad.
¿POR QUÉ AUMENTAN LASAMENAZAS?
Valor estratégico de TI en los negocios
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
8/361.8 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Crecimiento exponencial de las Redes yUsuarios Interconectados
Profusión de las BD On-Line
Inmadurez de las Nuevas Tecnologías
Alta disponibilidad de Herramientas Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido(Ej:DDoS)
Técnicas de Ingeniería Social
Algunas
Causas
¿POR QUÉ AUMENTAN LASAMENAZAS?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
9/361.9 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Accidentes: Averías, Catástrofes, Interrupciones, ...Errores: de Uso, Diseño, Control, ....
Amenazas Intencionales Presenciales: Atentado con acceso
físico no autorizado Amenazas Intencionales Remotas: Requieren acceso alcanal de comunicación
¿CUÁLES SON LAS AMENAZAS?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
10/361.10 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD).
Corrupción o destrucción de la información (amenaza a la INTEGRIDAD).Suplantación de origen (amenaza a la AUTENTICACIÓN).
Amenazas intencionales remotas
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
11/361.11 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
• “La seguridad de la Información protege a los activos deinformación contra una ampliagama de amenazas, para
preservar así la continuidad delnegocio y reducir a un nivelaceptable los riesgos.”
ISO 27001:2005
¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
12/361.12 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
• Comercio electrónico y negocios electrónicos
• Nuevas formas de usar las Bases de Datos
• Mayor interés por parte de la comunidad de hackers
•
Regulaciones y normativas que atañen a la seguridad
¿POR QUÉ PREOCUPARSE POR LA SEGURIDADDE LA INFORMACIÓN?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
13/361.13 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
DEFINICIONES DE SEGURIDAD DEL DICCIONARIO
• Libre y exento de todo peligro, daño o riesgo
• Cierto, indubitable y en cierta manera infalible
• No sospechoso
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
14/361.14 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Definición dinámica
• Evaluar expectativas y amenazas en un contexto
• Alcanzar seguridad deseada
•
Mantener nivel de seguridad
• Proceso iterativo y continuo
DEFINICIONES DE SEGURIDAD
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
15/361.15 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD
•
La Organización posee expectativas de seguridadPor escrito: políticas, objetivos, etc.
Verbalizadas: cultura
Asumidas: costumbres
• Las expectativas sólo tienen sentido dentro de un contextode seguridad
• Las contramedidas o controles de seguridad buscansatisfacer expectativas concretas en contextos determinados
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
16/361.16 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Ejemplos de expectativas de seguridad (I)
• Cumplir regulaciones legales aplicables• Control sobre el acceso a secretos e información o
servicios protegidos por la ley como los derechos deautor y la información privada
• Identificación de los autores de la información omensajes y registro de su uso de servicios
• Responsabilización de los usuarios por su uso de losservicios y su aceptación de compromisos
• Control sobre la tenencia física de información ysistemas de información
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
17/361.17 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Ejemplos de expectativas de seguridad (II)
• Control sobre la existencia de información y servicios
• Control sobre la disponibilidad de información y servicios
• Control sobre la fiabilidad y el rendimiento de los servicios
• Control sobre la precisión de la información
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
18/361.18 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Expectativas y contextos de seguridad (III)
• Enfoque tradicional
– “Queremos que no tenga éxito ningún ataque”
– Seguridad = Invulnerabilidad
–
Imposible de alcanzar
• Enfoque de gestión del riesgo
– “Queremos que nuestras expectativas se cumplan”
– Seguridad = Confianza, Calidad
– Posible de gestionar
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
19/361.19 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
• Evaluar los riesgos que enfrenta la organizacióno Se identifican las amenazas a los activoso Se evalúan las vulnerabilidades y probabilidades de ocurrenciao Se estima el impacto potencial
• Tener en cuenta los requisitos legales, normativos,
reglamentarios y contractuales que deben cumplir:o La organizacióno Sus socios comercialeso Los contratistaso Los prestadores de servicios
• Establecer un conjunto específico de principios, objetivosy requisitos para el procesamiento de la información
¿CÓMO ESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
20/361.20 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
DEFINICIÓN SIMPLIFICADA DEL PROBLEMA
• El problema se sintetiza en alcanzar niveles aceptables deConfidencialidad, disponibilidad e integridad de lainformación que sostienen los objetivos del negocio
• Las claves son:
– Alcanzar – (modelo iterativo) – Confidencialidad.
– Disponibilidad.
– Integridad.
– Niveles aceptables – (gestión de riesgos)
– Objetivos del negocio – (Mandatorio y Rector)
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
21/361.21 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Algunos Problemas subyacentes
• Definición de activos de información
– Valor de la información, percepción del valor de lainformación, rentabilidad, dependencia.
– Impacto sobre incidentes de perdida de confidencialidad,integridad o disponibilidad de la información.
• Cultura de la organización – Composición humana de la organización
– Supuestos, expectativas, idealización de la seguridad.
– Relacionamiento entre los actores y entre los actores y la
organización, sus procesos y sistemas.
– Adaptabilidad al cambio, al control o a la limitación de privilegios
»Modelo de seguridad aceptados o aceptables
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
22/361.22 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
BASE DE LA SEGURIDAD
• Tecnología
Herramientas criptográficas, protocolosde comunicaciones seguras,almacenamiento seguro deinformación, dispositivos de red,
copias de respaldo, etc.
• Procesos
Políticas y procedimientos,
organización, etc.• Personas
Concienciación, formación y educaciónen materia de seguridad, etc.
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
23/36
1.23 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
GESTIÓN DE LA SEGURIDAD Y ALINEAMIENTO CON
CONTROL ESTRATÉGICO DE LA ORGANIZACIÓN
Solís (2005)
OBJETIVOS DE SEGURIDADDE LA INFORMACIÓN
El objetivo de seguridad de la información definido por elInstituto de Gobierno de Tecnología de la Información:
“Proteger los intereses de todos aquellos que dependen de lainformación y de los sistemas y comunicaciones que la habilitancontra daños que afecten a su disponibilidad, confidencialidade integridad”
La necesidad de protección de los activos de valor en lasorganizaciones implica una nueva responsabilidad de la altadirección: garantizar un ambiente de seguridad sólido yconsistente, identificando y capitalizando los beneficios.
Ó
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
24/36
1.24 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
GOBIERNODE SEGURIDAD
DE TI
GOBIERNO DE TI
GOBIERNOCORPORATIVO
SEGURIDAD DE INFORMACIÓNEN LA ORGANIZACIÓN
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
25/36
1.25 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
• Determinación de directrices
• Alineamiento estratégico
• Generación de valor
• Gestión de riesgos
• Medición de desempeño
PROCESO DE GOBIERNODE SEGURIDAD EN TI
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
26/36
1.26 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
• La Seguridad de TI no viene dada de forma aislada por un producto, a menos que exista un sistema decontrol interno que asegure su adecuada
implantación y utilización• Importancia de las medidas organizativas:
• Definición de funciones y responsabilidades
• Instauración de políticas precisas sobre objetivosde seguridad
• Establecimiento de criterios de segregación de
funciones/evidencias irrefutables
Touriño (2003)
MARCO ORGANIZATIVO
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
27/36
1.27 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Conjunto de requisitos definidos por los responsablesdirectos o indirectos de un Sistema que indica en términosgenerales qué está permitido y qué no lo está en el áreade seguridad durante la operación general de dicho
sistema.
• Política: el porqué una organización protege la información• Estándares: lo que la organización quiere hacer para
implementar y administrar la seguridad de la información• Procedimientos: cómo la organización obtendrá los
requerimientos de seguridad
Diferencias entre Política, Estándar y Procedimiento
¿QUE SE ENTIENDE POR POLITICADE SEGURIDAD ?
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
28/36
1.28 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
expectativas de los stakeholders
objetivos y metas institucionales
factores críticos de éxito
procesos de negocio
aplicaciones
recursos
procesos de TI
ALINEAMIENTO ESTRATÉGICO
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
29/36
1.29 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
CONTRIBUCIÓNCORPORATIVA
ORIENTACIÓN AL USUARIO
EXCELENCIAOPERACIONAL
ORIENTACIÓNFUTURA
Cómo ve la organización elvalor creado por la
seguridad en TI
Cómo ven los usuarios a laseguridad en la TI
Cuán eficientes y eficacesson los procesos de gestiónde la seguridad en TI
Cuán eficiente y eficaz es lagestión de la seguridad en TI para adaptarse a loscambios del entorno
CUADRO DE MANDO DELA SEGURIDAD EN TI
VULN A ILI A S N LA
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
30/36
1.30 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
• Asociadas al entorno e infraestructura
• Asociadas a la organización
• Asociadas a los procedimientos
• Asociadas al personal
• Asociadas a la información
Arbat (2003)
VULNERABILIDADES EN LAORGANIZACIÓN
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
31/36
1.31 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
Defensa en profundidad
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
32/36
1.32 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
•
Planificación de los procedimientos de controlrelativos a la seguridad de las TI: estructuraempresarial, políticas, evaluación de riesgos y costes
• Diseño: encaje en el sistema global de control
interno, definición de procedimientos de control, prioridades, evidencias, responsabilidades
• Implantación: progresiva, con orden lógico, flexible,
dinámica.
METODOLOGÍA DE IMPLANTACIÓN
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
33/36
1.33 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
•
Ausencia de “cultura empresarial” de control interno• Cambio constante en la alta dirección
• Proyectos estratégicos discrecionales sin la
participación de los conocedores del negocio• Incapacidad de los procesos gerenciales para medir
el cumplimiento de los objetivos y la eficiencia
•
Carencia de potencial humano con capacidades paraadministrar correctamente la TI
LIMITACIONES NO TÉCNICAS
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
34/36
1.34 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
GRACIAS!
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
35/36
1.35 Juan Rafael Galán Santisteban USS©2013Seguridad Informática – Introducción
CASO PRÁCTICO
2
• Seleccionar una entidad, que emplee equipos de
cómputo en sus procesos administrativos ydeterminar el nivel de seguridad; para ello podráutilizará el cuestionario de “Inseguridad Informática” que se presenta en la siguiente diapositiva.
• Los niveles de seguridad van del Nivel A al D:
D = No cumplen con ninguna especificación de seguridad
C = Protección de Acceso Controlado
B = Protección Estructurada
A = Protección Verificada
Á
8/17/2019 SI - Tema 01 - Introducción a La Seguridad de La Información
36/36
INSEGURIDAD INFORMÁTICA
1. ¿La información y su protección son críticas para la organización? ¿Se hadefinido así?
2. ¿Se tiene en la organización una política de seguridad? ¿Se actualizaconstantemente?
3. La función de seguridad.. si existe, ¿Tiene el apoyo, los medios y la capacidad para administrar la seguridad? Existe un comité de seguridad de lainformación?
4. ¿Se tienen identificados los principales activos de la información de laorganización? ¿Y sus riesgos asociados?
5. ¿Es consiente la organización de las debilidades o vulnerabilidades de lainfraestructura informática?
6. ¿Puedo asegurar la continuidad de las operaciones en caso de pérdida de lainformación?
7. ¿Hay conformidad con las leyes y regulaciones de la información y estas hansido fundamentadas desde la alta dirección?
8. ¿Existe una gestión y administración de riesgos?
9. ¿Hace la organización a nivel interno o externo, auditorias a la seguridad de lainformación?