Servicio Nacional de Aprendizaje SENA Centro de Teleinformática y Producción Industrial Regional Cauca

Conceptos y Principios de la

Conceptos y Principios de la

Seguridad Informática

Seguridad Informática

Calidad y Seguridad Informática ISO IEC 27001

Calidad y Seguridad Informática ISO IEC 27001

Servicio Nacional de Aprendizaje SENA

Centro de Teleinformática y Producción Industrial

Regional Cauca

Temática

• Fundamentos de Seguridad Informática

• Definiciones y Conceptos

• Los Pilares de la seguridad Informática

• Tipos de Ataques • Terminología • ISO 27000 • Origen • La Serie ISO 27000 • La Serie ISO 27000

• Sistema de Gestión de Seguridad de la Información SGSI (ISO/IEC 27001)

• Que es un SGSI

• Que Incluye

• Como Implementar un SGSI (ISO/IEC 270002)

• Aspectos Clave Fundamentales al Adaptarse al Estándar

• Factores de éxito en la Adopción de este Estándar

Fundamentos de Seguridad Informática

La Seguridad Informática:

Consiste en asegurar que los recursos del sistema de información(material informático (Hardware y Software) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización.

Aunque el concepto de seguridad en Informática es algo utópico, porque no existe un sistema 100% seguro.

Fundamentos de Seguridad Informática

Hay Conciencia de las debilidades?:

El activo más importante que se posee en toda organización es la información.

Seguridad Física: puede asociarse a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc.

Seguridad Lógica: protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de protección como: passwords, permisos, privilegios, etc.

Pilares de la Seguridad Informática

Confidencialidad: La información puede ser accedida únicamente por las personas que tienen autorización para hacerlo.

Integridad: La información no ha sido borrada, copiada o alterada, no sólo en su trayecto, sino también desde su origen.

Disponibilidad: Los usuarios deben tener disponibles todos los componentes del

Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen.

Autenticidad: La integridad nos informa que el archivo, por ejemplo, no ha sido retocado ni editado, y autenticidad nos informa que el archivo en cuestión es el real.

¿Que debemos Proteger?

Cuando hablamos de seguridad informática muchas veces se confunde diciendo seguridad en Internet, y estos términos no son sinónimos. Informática comprende otro contexto, como es el de la seguridad física y lógica, mientras que el otro sólo se limita a hablar del entorno que a Internet se refiere. Por tales motivos, la seguridad informática intenta proteger cuatro elementos:

• Hardware

• Hardware

• Software

• Datos

Tipos de Ataques

Interrupción: Ataque contra la disponibilidad.

Interceptación: Ataque contra la confidencialidad

Generación: Ataque contra la autenticidad.

Modificación: Ataque contra la integridad.

¿De qué nos Protegemos? ¿De qué nos Protegemos?

Esta pregunta es tan amplia como su respuesta. Hay muchas clasificaciones, pero la mayoría tienen un punto de vista en común: nos protegemos de las personas.

Términos Relacionados con la S.I.

Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos.

Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Impacto:medir la consecuencia al materializarse una amenaza.

Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización.

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo.

Ataque:evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema.

Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

ISO

ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país).

Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado…). ISO desarrolla estándares requeridos por el privado…). ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión.

por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación.

ISO 27001

Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI).

Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para otras normas de sistemas de gestión (ISO 9001 para calidad, ISO 14001 para medio ambiente, etc.).

Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001.

ORIGEN ISO 27000

Una de las entidades normalizadoras más antiguas (British Standards Institution) publicó en 1995 la norma (BS-7799-1) con objeto de dar un conjunto de buenas prácticas en Seguridad para las Empresas Británicas.

Posteriormente realizaron la segunda parte de la norma en 1998, en la que establecieron los requisitos, para realizar un sistema de Gestión de la Seguridad de la

Información (SGSI).

La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que no se establece un esquema de certificación.

Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente.

ORIGEN ISO 27000

Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.

En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

La Serie ISO 27000

ISO ha reservado la serie de numeración 27000 para las normas relacionadas con sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas normas que supongan un apoyo para las organizaciones que implanten y certifiquen un SGSI según ISO 27001.

Entre otras, se encuentran:

•27000 (términos y definiciones).

•27000 (términos y definiciones).

• 27002 (objetivos de control y controles, Contiene 39 objetivos de control y 133

controles, agrupados en 11 dominios.)

•27003 (guía de implantación de un SGSI)

•27004 (métricas y técnicas de medida de la efectividad de un SGSI)

•27005 (guía para la gestión del riesgo de seguridad de la información)

Sistema de Gestión de Seguridad de la

Información SGSI

¿Qué es un SGSI(Information Security Management System)?

En el contexto aquí tratado, se entiende por

información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

Sistema de Gestión de Seguridad de la

Información SGSI

¿Para qué sirve un SGSI?

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer las políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Sistema de Gestión de Seguridad de la

Información SGSI

Sistema de Gestión de Seguridad de la

Información SGSI

Documentación del SGSI

De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio):

• Alcance del SGSI

• Política y objetivos de seguridad

•Procedimientos y mecanismos de control que soportan al SGSI •Enfoque de evaluación de riesgos

• Informe de evaluación de riesgos • Informe de evaluación de riesgos • Plan de tratamiento de riesgos. • Procedimientos documentados.

• Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.

¿Cómo Implementar un SGSI?

SGSI esta basado en la norma ISO27001, nos permite establecer políticas, procedimientos y controles con el objeto de disminuir los riesgos de la empresa.

Para la implantación de un SGSI se define 4 aspectos fundamentales:

Alcance

Política de seguridad a seguir.

Política de seguridad a seguir.

La organización de la seguridad

¿Cómo Implementar un SGSI?

PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad.

• Plan (planificar): establecer el SGSI.

• Do (hacer): implementar y utilizar el SGSI. • Check (verificar): monitorizar y revisar el SGSI. • Act (actualizar): mantener y mejorar el SGSI.

Arranque Del Proyecto

Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización.

Planificación, fechas, responsables: como en

Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

Etapas del Proyecto

Etapas del Proyecto

Aspectos Clave Fundamentales

al Adaptarse al Estándar

•Compromiso y apoyo de la Dirección de la organización.

•Definición clara de un alcance apropiado.

•Concienciación y formación del personal.

•Evaluación de riesgos exhaustiva y adecuada a la organización.

•Compromiso de mejora continua.

•Compromiso de mejora continua.

•Establecimiento de políticas y normas.

•Organización y comunicación.

Factores de éxito en la Adopción

de este Estándar

•La concienciación del empleado por la seguridad. Principal objetivo a conseguir.

•Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora.

•Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y

analizados). analizados).

•La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

•La seguridad no es un producto, es un proceso.

•La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.

Riesgos en la Adopción

• Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.

•Temor ante el cambio: resistencia de las personas.

•Discrepancias en los comités de dirección.

•Delegación de todas las responsabilidades en departamentos técnicos.

•No asumir que la seguridad de la información es inherente a los procesos de negocio.

•Planes de formación y concienciación inadecuados.

•Planes de formación y concienciación inadecuados.

•Calendario de revisiones que no se puedan cumplir.

•Definición poco clara del alcance.

•Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo.

Gracias !!

Gracias !!

Preguntas y Observaciones ????