Servicio Nacional de Aprendizaje SENA Centro de Teleinformática y Producción Industrial Regional Cauca

Transcripción

1 Conceptos y Principios de la Seguridad Informática Calidad y Seguridad Informática ISO IEC Servicio Nacional de Aprendizaje SENA Centro de Teleinformática y Producción Industrial Regional Cauca

2 Temática Fundamentos de Seguridad Informática Definiciones y Conceptos Los Pilares de la seguridad Informática Tipos de Ataques Terminología ISO Origen La Serie ISO Sistema de Gestión de Seguridad de la Información SGSI (ISO/IEC 27001) Que es un SGSI Que Incluye Como Implementar un SGSI (ISO/IEC ) Aspectos Clave Fundamentales al Adaptarse al Estándar Factores de éxito en la Adopción de este Estándar Riesgos en la Adopción

3 Fundamentos de Seguridad Informática La Seguridad Informática: Consiste en asegurar que los recursos del sistema de información(material informático (Hardware y Software) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Aunque el concepto de seguridad en Informática es algo utópico, porque no existe un sistema 100% seguro.

4 Fundamentos de Seguridad Informática Hay Conciencia de las debilidades?: El activo más importante que se posee en toda organización es la información. Seguridad Física: puede asociarse a la protección del sistema ante las amenazas físicas, incendios, inundaciones, edificios, cables, control de accesos de personas, etc. Seguridad Lógica: protección de la información en su propio medio, mediante el enmascaramiento de la misma usando técnicas de protección como: passwords, permisos, privilegios, etc. La gestión de la seguridad está en medio de los dos

5 Pilares de la Seguridad Informática Confidencialidad: La información puede ser accedida únicamente por las personas que tienen autorización para hacerlo. Integridad: La información no ha sido borrada, copiada o alterada, no sólo en su trayecto, sino también desde su origen. Disponibilidad: Los usuarios deben tener disponibles todos los componentes del sistema cuando así lo deseen. Autenticidad: La integridad nos informa que el archivo, por ejemplo, no ha sido retocado ni editado, y autenticidad nos informa que el archivo en cuestión es el real.

6 Que debemos Proteger? Cuando hablamos de seguridad informática muchas veces se confunde diciendo seguridad en Internet, y estos términos no son sinónimos. Informática comprende otro contexto,comoeseldelaseguridadfísicaylógica,mientrasque elotrosóloselimitaa hablar del entorno que a Internet se refiere. Por tales motivos, la seguridad informática intenta proteger cuatro elementos: Hardware Software Datos Elementos Consumibles

7 Tipos de Ataques Interrupción: Ataque contra la disponibilidad. Interceptación: Ataque contra la confidencialidad Generación: Ataque contra la autenticidad. Modificación: Ataque contra la integridad. De qué nos Protegemos? Esta pregunta es tan amplia como su respuesta. Hay muchas clasificaciones, pero la mayoría tienen un punto de vista en común: nos protegemos de las personas.

8 Términos Relacionados con la S.I. Activo: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. Amenaza: es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Impacto: medir la consecuencia al materializarse una amenaza. Riesgo: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. Ataque: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio.

9 ISO ISO (International Organization for Standardization) es una federación internacional con sede en Ginebra (Suiza) de los institutos de normalización de 157 países (uno por cada país). Es una organización no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalización nacionales es diferente en los distintos países (público, privado ). ISO desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores ) acerca de productos, tecnologías, métodos de gestión. por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación.

10 ISO Es un estándar ISO que proporciona un modelo para establecer, implementar, utilizar, monitorizar, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información(SGSI). Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión (ISO 9001 para calidad, ISO para medio ambiente, etc.). Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO

11 ORIGEN ISO Una de las entidades normalizadoras más antiguas (British Standards Institution) publicó en 1995 la norma (BS ) con objeto de dar un conjunto de buenas prácticas en Seguridad para las Empresas Británicas. Posteriormente realizaron la segunda parte de la norma en 1998, en la que establecieron los requisitos, para realizar un sistema de Gestión de la Seguridad de la Información (SGSI). Laprimerapartedelanorma(BS7799-1)esuna guíadebuenasprácticas,paralaque no se establece un esquema de certificación. Es la segunda parte (BS ), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información(sgsi) para ser certificable por una entidad independiente.

12 ORIGEN ISO Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO en el año En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO Esta última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.

13 La Serie ISO ISO ha reservado la serie de numeración para las normas relacionadas con sistemas de gestión de seguridad de la información. En 2005 incluyó en ella la primera de la serie (ISO 27001). En próximos años está prevista la incorporación de nuevas normas que supongan un apoyo para las organizaciones que implanten y certifiquen unsgsisegúniso Entre otras, se encuentran: 27000(términos y definiciones) (objetivos de control y controles, Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.) 27003(guía de implantación de un SGSI) 27004(métricas y técnicas de medida de la efectividad de un SGSI) 27005(guía para la gestión del riesgo de seguridad de la información) 27006(proceso de acreditación de entidades de certificación y el registro de SGSIs).

14 Sistema de Gestión de Seguridad de la Información SGSI Qué es un SGSI(Information Security Management System)? En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o , transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.

15 Sistema de Gestión de Seguridad de la Información SGSI ParaquésirveunSGSI? El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer las políticas y procedimientos en relación a los objetivos de negocio dela organización,con objetodemantenerun nivelde exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

16 Sistema de Gestión de Seguridad de la Información SGSI

17 Sistema de Gestión de Seguridad de la Información SGSI

18 Documentación del SGSI De manera específica, ISO indica que un SGSI debe estar formado por los siguientes documentos(en cualquier formato o tipo de medio): AlcancedelSGSI Política y objetivos de seguridad Procedimientos y mecanismos de control que soportan al SGSI Enfoque de evaluación de riesgos Informe de evaluación de riesgos Plan de tratamiento de riesgos. Procedimientos documentados. Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaración de aplicabilidad:(soa-statement of Applicability-, ISO/IEC 27002).

19 Cómo Implementar un SGSI? SGSI esta basado en la norma ISO27001, nos permite establecer políticas, procedimientos ycontrolesconelobjetodedisminuirlosriesgosdelaempresa. Para la implantación de un SGSI se define 4 aspectos fundamentales: Alcance Política de seguridad a seguir. La organización de la seguridad Programas de concienciación y formación del personal.

20 Cómo Implementar un SGSI? PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Téngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que, p. ej., puede haber actividades de implantación que ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que se monitoricen controles que aún no están implantados en su totalidad. Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check(verificar): monitorizar y revisar el SGSI. Act(actualizar): mantener y mejorar el SGSI.

21 Arranque Del Proyecto Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

22 Etapas del Proyecto PLANEAR HACER

23 Etapas del Proyecto VERIFICAR MEJORAS

24 Aspectos Clave Fundamentales al Adaptarse al Estándar Compromiso y apoyo de la Dirección de la organización. Definición clara de un alcance apropiado. Concienciación y formación del personal. Evaluación de riesgos exhaustiva y adecuada a la organización. Compromiso de mejora continua. Establecimiento de políticas y normas. Organización y comunicación. Integración del SGSI en la organización.

25 Factores de éxito en la Adopción de este Estándar La concienciación del empleado por la seguridad. Principal objetivo a conseguir. Realización de comités de dirección con descubrimiento continuo de no conformidades o acciones de mejora. Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios(los incidentes de seguridad deben ser reportados y analizados). La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. Laseguridadnoesunproducto,esunproceso. Laseguridadnoesunproyecto,esunaactividadcontinuayelprogramade protección requiere el soporte de la organización para tener éxito. La seguridad debe ser inherente a los procesos de información y del negocio.

26 Riesgos en la Adopción Exceso de tiempos de implantación: con los consecuentes costes descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc. Temor ante el cambio: resistencia de las personas. Discrepancias en los comités de dirección. Delegación de todas las responsabilidades en departamentos técnicos. No asumir que la seguridad de la información es inherente a los procesos de negocio. Planes de formación y concienciación inadecuados. Calendario de revisiones que no se puedan cumplir. Definición poco clara del alcance. Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. Falta de comunicación de los progresos al personal de la organización.

27 Gracias!! Preguntas y Observaciones????