1. Datos del Profesor:
Ing. Jesús Vílchez Sandoval
CIP 129615
email:jvilchez@utp.edu.pe
http://jesusvilchez.wordpress.com
móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
2. Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES
Basado en la presentación del Mg. Jean del Carpio
7. Activos de Información
Documentos: contratos, guías
Software: aplicativos y software de sistemas
Dispositivos físicos: PCs, medios removibles (usb, dvd, etc.)
Personas: personal
Imagen y reputación de la empresa: marca, logotipo, razón social.
Servicios: red comunicaciones, telefonia, internet
ACTIVO DE INFORMACION: aquel
bien o servicio tangible o intangible,
que genera, procesa o almacena
información al cual una organización
directamente le atribuye un valor y
por tanto requiere una adecuada
protección y cuidado.
8. Documentos
En Papel
Activos de Información
• Recibos, Facturas
• Memorando, Contratos
• Manuales, Reglamentos
• etc.
Electrónico
• Correos
• Archivos digitales, doc, pdf, ppt, etc.
9. Activos de Software
Sistemas
Activos de Información
• Sistema Contable
• Sistema de Gestión de Clientes
• Sistema de Gestión de Recursos, etc
Aplicaciones y Programas
• Office
• Acrobat Reader
• Outlook
10. Activos de Físicos
Procesamiento
Activos de Información
•
• Comunicación
• Medios de Almacenamiento
• Otros
11. Servicios Terceros
Procesamiento y Comunicaciones
Activos de Información
•
• Servicios Generales
• Otros Proveedores
12. Activo Fijo o Activo de Información?
• ¿Debo considerar a la
caja fuerte como un
activo?
13. Activo de Información
Clasificación
Frecuencia Marcado
Activo de
Usuario Ubicación
Información
Custodio Valoración
Propietario
15. Ubicación (Física o Lógica)
Lugares donde se
almacenan los Activos de
Información más
importantes:
• Oficinas
• Archivos
• Centro de Cómputo
• Bóvedas
• Custodio de Información
(Proveedor)
16. Propietario
• Persona o entidad que tiene la responsabilidad gerencial
aprobada de controlar la producción, desarrollo,
mantenimiento, uso y seguridad de los activos.
• El propietario de los activos debe ser responsable por
definir apropiadamente la clasificación de seguridad y los
derechos de acceso a los activos y establecer los sistemas
de control.
• El término propietario no significa que la persona es dueña
del activo.
17. Propietario
Ejemplos:
Activo de Información: Sistema Contabilidad
Propietario del Activo: Gerente de Contabilidad y
Finanzas
Custodio de la Base de Datos: Gerencia de TI
Derecho de Propiedad del Activo: Empresa
18. Amenazas
Potencial para causar un incidente indeseado que puede
resultar en daño al sistema o a la empresa o a sus activos.
Puede ser accidental o intencional
Los activos están sujetos a muchos tipos de amenazas
que explotan sus vulnerabilidades:
• Desastres Naturales: terremoto, inundación, etc.
• Humanas: errores de mantenimiento, huelga, errores
de usuario, ataques hackers
• Tecnológicas: caída de red, sobrecarga de trafico, falla
de hardware
19. Que es Ingeniería Social?
• Consiste en engañar a alguien para que entregue
información o permita el acceso no autorizado o
divulgación no autorizada, que usualmente no
daría, a un Sistema de Información, Aplicativo o
Recurso Informático.
“El arte de engañar a las personas”
20. Vulnerabilidades
• Una vulnerabilidad es una debilidad o ausencia de
control en la seguridad de información de una
organización
• Por sí sola no causa daños
• Si no es administrada, permitirá que una amenaza se
concrete
• Ejemplos:
– Ausencia de personal clave
– Cableado desprotegido
– Archivadores sin llaves
– Falta de conciencia de seguridad
– Ausencia de sistema extintor
22. Definición del Riesgo
Es definido como la “Probabilidad de que una Amenaza
pueda explotar una Vulnerabilidad en particular” (Peltier
2001)
Relación Causa – Efecto:
Activo de
Amenaza Vulnerabilidad Riesgo
Información
Causa Probabilidad Efecto Impacto
26. CONSIDERACIONES
» Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los
cambios en los requerimientos del sistema y en la situación del riesgo, por ejemplo
en los activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuando
ocurran cambios significativos
» Estas evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz
de producir resultados comparables y reproducibles.
» La evaluación de la información del riesgo de seguridad debe tener un alcance claro
y definido para que éste sea efectivo y debe incluir relaciones con las evaluaciones
del riesgo en otras áreas, si es apropiado.
» El alcance de la evaluación del riesgo puede ser para toda la organización, partes de
ella, un sistema individual de información, componentes específicos del sistema o
servicios donde esto puede ser utilizado, realista y provechoso.
27. OBJETIVOS
» Identificar los procesos y sus activos de información que los soportan.
» Determinar la amenazas y vulnerabilidades actuales existentes que afectan o
pueden afectar a los activos de información identificados previamente.
» Evaluar y determinar el nivel de riesgo efectivo o riesgo actual existente en la
organización.
» Establecer las acciones y controles requeridos para realizar un adecuado
Tratamiento de los Riesgos altos o no tolerables previamente identificados,
» Buscar la aprobación de la alta dirección para tratar los riesgos y lograr el nivel de
riesgo residual deseado y aceptado por la organización.
28. Proceso de la Gestión de Riesgos
La norma no exige una Metodología de Gestión de Riesgos específica.
Determinar la Metodología de Gestión de Riesgos a utilizar en la
organización.
Utilizar una Metodología práctica y de fácil aplicación y entendimiento
para los usuarios y personal involucrado.
Basada en una norma o estándar internacional reconocido, Ejemplo:
• Magerit
• Octave
• ISO 31000
• ISO 27005
• ASNZ 4360
• NIST 800 30.
• RISK IT
Alinear la Metodología de gestión de riesgos de Seguridad con otras
metodologías de la empresa relacionadas a riesgo operativo y/o riesgo
financiero, tecnológico, etc.
29. Etapas para la Gestión de Riesgos
Análisis y
Metodología Inventario de Tratamiento
Evaluación de
de Riesgos Activos de Riesgos
Riesgos
1 2 4
3
32. Inventario de Activos
Relación de todos los Activos importantes.
Cada Activo debe tener un Propietario y Custodio (responsabilidades
definidas)
Los activos se identifican, no se inventan.
“La información debe
protegerse cualquiera
que sea la forma que
tome o los medios por los
que se comparta o
almacene”.
NTP ISO/IEC 17799:2007 No confundir con activos fijos
33. Valor de Activos
¿La organización ha identificado el valor de sus activos de información?
• Determinar el valor de cada activo es el primer paso para una
estrategia efectiva de seguridad
¿Es un componente vital del proceso de evaluación de riesgo?
• Los activos de información no necesariamente incluyen todas aquellas
cosas que normalmente tienen valor dentro de la organización.
Ej.: caja fuerte
• La Institución debe determinar cuáles son los activos de información
que afectan la entrega de sus productos o servicios por causa de su
ausencia o degradación.
34. Valor del Activo
La mejor persona para determinar el valor del activo es quien usa
la información, no quien la crea, transfiere, guarda o procesa.