Transcript Diapositiva 1

Conceptos de seguridad
Seguridad y Auditoria de Sistemas
Ciclo 2009-2
Ing. Yolfer Hernández, CIA
Temario
• Definición de Seguridad Informática
• Seguridad Física y Lógica
• Proceso de Seguridad de los
sistemas informáticos.
• Normas internacionales ISO 17799
• Modelo de Gobierno TI
Seguridad Informática
“La seguridad informática, consiste en asegurar
(mediante controles de protección, métodos,
técnicas, etc.) que los recursos de los sistemas
de información (Equipos tecnológicos, software,
datos, procesos) de una organización sean
utilizados de la manera que se decidió, a fin de
prevenir amenazas accidentales y deliberadas
que pudieran resultar en una pérdida de
confidencialidad, integridad y disponibilidad.1
1Definicion
Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).
Se tienen en cuenta …
Física
• La seguridad de los equipos y medios
de comunicaciones.
• Controles de acceso a las instalaciones.
• Mecanismos de Contingencias
• La seguridad de las bases de datos.
• La seguridad de las aplicaciones.
• Los controles de acceso a los
programas y datos.
Lógica
Necesidades de seguridad
• Confidencialidad.
Asegurar que sólo los autorizados tengan
acceso a los recursos que se intercambian
• Integridad.
Garantizar que los datos no puedan ser
alterados sin autorización.
• Disponibilidad.
Garantizar que la información esté disponible
en forma oportuna según lo convenido.
Necesidades de seguridad
• No-repudio.
Garantía de que ninguna de las partes
involucradas pueda negar en el futuro una
operación realizada.
• Control de acceso
Identificación y Autenticación: Asegurar que
sólo los individuos autorizados tengan acceso a
los recursos
• Consistencia
Asegurar que el sistema se comporte como se
supone que debe hacerlo ante los usuarios que
corresponda.
Planificación de las necesidades
de seguridad
Control
No repudio
Consistencia
Confidencialidad
Autenticación
Disponibilidad
Integridad
Para un Banco
Confidencialidad
Autenticación
Integridad
No repudio
Para Universidades
Integridad
Disponibilidad
Para instituciones de
inteligencia
Confidencialidad
El proceso de implantación de
Seguridad abarca ….
1. Planificación de las necesidades.
2. Estimación de riesgos.
3. Análisis de Costos – Beneficios.
4. Definición de políticas.
5. Implementación.
6. Auditoría.
La implantación de seguridad
de sistemas incluyen
Políticas
+
Procedimientos
+
Medidas técnicas
.. Y su aplicación correcta
permite:
• Proteger los activos de la
entidad, incluyendo los secretos
comerciales.
• Mantener una posición e imagen
competitiva.
.. entonces
Seguridad
Inversión
Auditoria
Políticas recomendadas
Plan de Seguridad Informática.
Códigos de Ética.
Plan de Contingencia.
Evaluación de Seguridad Informática
Normas ISO 17799
• Recomendaciones de Controles, para
realizar la Gestión de Seguridad de la
Información.
• Permite la implantación y evaluación de las
medidas de seguridad en TI
• Es un “paso” para establecer un SGSI
(Sistema de Gestión de Seguridad de
Información)
• Son 11 dominios para derivar los:
– Objetivos de Control: Resultados a alcanzar
– Controles: procedimientos, métodos,
herramientas
Normas ISO 17799
Secciones:
1. Políticas de seguridad.
Proporciona las directivas y el soporte de la dirección
general de la empresa para la seguridad de la
información.
2. Organización de la Seguridad de la Información
Gestionar (administrar y mantener) la seguridad de la
información: Recursos, activos, tercerización, etc.
Mantener la seguridad de la información de los
servicios de procesamiento de información de la
organización a los cuales tiene acceso externos o
que son procesados o usados por éstas.
Normas ISO 17799
3. Clasificación y control de activos.
Deberá mantenerse la protección adecuada de los
activos corporativos y garantizar que los activos
informáticos reciban un nivel adecuado de protección
4. Seguridad del personal.
Reducir el riesgo de error humano, robo, fraude,
abuso de la información, sistemas y equipos.
Asegurarse que el personal esté consciente de las
amenazas a la información y sus implicaciones.
5. Seguridad física y ambiental.
Previene el acceso no autorizado a las instalaciones
para evitar pérdida, robo, daño de los bienes o
interrupción de las actividades productivas
Normas ISO 17799
6. Gestión de Comunicaciones y Operaciones.
Integrar los procedimientos de operación de la
infraestructura tecnológica y de controles de
seguridad documentados, que van desde el control
de cambios en la configuración de los equipos,
manejo de incidentes, administración de aceptación
de sistemas, hasta el control de código malicioso.
Respaldo de información, gestión de la seguridad de
las redes, intercambio de información y monitoreo
Evita al máximo el riesgo de fallas en el sistema,
incluido el hardware y software
Normas ISO 17799
7. Sistemas de control de acceso.
Control del acceso a la información; previene los accesos
no autorizados a sistemas de información (Sistemas
operativos, aplicaciones de negocios, etc)
Garantiza la protección de servicios de red; impide los
accesos no autorizados a las computadoras; detecta
actividades no autorizadas; salvaguarda la información
cuando se utiliza cómputo móvil o remoto.
8. Adquisición, Desarrollo y Mantenimiento de sistemas.
Garantiza que la seguridad del sistema esté construida
dentro de la aplicación para prevenir pérdidas, abusos y
modificaciones de los datos, si es necesario usando
controles criptográficos.
Seguridad en los procesos de desarrollo y mantenimiento
Normas ISO 17799
9. Gestión de incidentes de la seguridad de información
Reporte de los eventos y debilidades de la seguridad de
la información, gestionando los incidentes y mejoras en la
seguridad de la información
10. Plan de continuidad del negocio.
El objetivo es estar preparado para evitar las
interrupciones de las actividades críticas del negocio, en
el caso se presenten fallas importantes o desastres en
los sistemas de información, asegurando la recuperación
oportuna.
11. Cumplimiento Legal.
Cumplimiento de los requisitos legales, de las políticas y
las normas de seguridad y cumplimiento técnico, así
como las consideraciones de la auditoría de sistemas de
información.
Normas ISO 17799
Normas ISO 17799
Normas ISO 17799
Adoptar las normas incrementa:
 La seguridad efectiva de los SI
 Gestión de Seguridad y su planificación
 Garantizar la continuidad de negocios
 La confianza de los clientes y socios
 Imagen y Valor comercial
La seguridad de información compete a la alta
gerencia no al área tecnológica
Las decisiones de seguridad generalmente se toman
en base a los riesgos percibidos, no a riesgos reales
=> Es fundamental hacer “Análisis de Riesgos”
Estándares, Regulaciones y mejores prácticas
• COSO (Committee of Sponsoring Organizations)
Es el Marco Integrado que proporciona
criterios para evaluar el Control Interno
• COBIT (Control Objectives for Information and related
Technology)
Es un Marco de control de TI, que propone
dominios de acción, asociando los recursos de
la empresa con categorías de información
• ITIL (Information Technology Infrastructure Library)
Es un Marco de trabajo de las mejores
prácticas para facilitar la entrega de los
servicios de TI
Estándares, Regulaciones y mejores prácticas
Security
Risk
Response
Management
Plan
and
Organize
Service
Delivery /
Support
Physical
and
Environmental
Security
Business
Continuity
Management
Internal
Environment
Organizational
Security
ISO
27001
Objective
Setting
Monitoring
Personnel
Security
Security Policy
COSO
ITIL
Acquire
and
Implement
Control
Activities
Asset
Classification
and
Control
Information
and
Communications
COBiT
Planning to
Implement
Service
Management
Application
Management
Systems
Development
Communications
Access Control
Compliance
and
and
Maintenance
Operations
Management
Define
Risk
ICT Infrastructure
and
Assessment
Management
Support
Event
Identification
Business
Perspective
Monitor
and
Support
ITIL
Modelo ITIL v3.
Modelo ITIL v2.
Planificación para Implementar la
Gestión de Servicios
L
A
E
M
P
R
E
S
A
Gestión de Servicios
Gestión
de la
Infraestructura
La
perspectiva
Empresarial
Soporte
Servicios
ICT
(Tecnología de
Información y
Comunicación)
Provisión de
Servicios
Gestión de
Seguridad
L
A
T
E
C
N
O
L
O
G
I
A
ITIL
Gestión de Aplicaciones
Modelo de Procesos
Ciclo de Vida de Servicio
Modelo de Gobierno TI
Sarbanes
Oxley
COSO
IT Governance
US Securities &
Exchange
Commission
COBIT
Quality System
IT Planning
Project Mgmt.
IT Security
ITIL
Applic. Devel.
CMM
Service Mgmt.
Quality Systems
& Frameworks
IT OPERATIONS
ASL
17799
PMI
TSO
IS
Strategy
ISO
Six
Sigma