SlideShare una empresa de Scribd logo

Arquitectura de seguridad de redes

Descargar como PPT, PDF
Juan MmnVvr Aguila
Juan MmnVvr Aguila

Este documento presenta una introducción a la arquitectura de redes de seguridad. Explica que la información es un recurso valioso para las organizaciones que debe estar protegido de amenazas. Identifica tres objetivos clave de seguridad de la información: confidencialidad, integridad y disponibilidad. Además, describe algunas causas por las que aumentan las amenazas a la seguridad de la información como el crecimiento de las redes y usuarios interconectados.

1 de 25
ARQUITECTURA redesDE SEGURIDAD LUIS GUMUCIO FLORES JUAN MAMANI VIVEROS SAUL VALERIANO UNIVERSIDAD ADVENTISTA DE BOLIVIA FACULTAD DE INGENIERIA
Nuevos Escenarios:
LaLa informacióninformación debe considerarse como undebe considerarse como un recurso con el que cuentan lasrecurso con el que cuentan las Organizaciones y por lo tanto tiene valor paraOrganizaciones y por lo tanto tiene valor para éstas, al igual que el resto de loséstas, al igual que el resto de los activosactivos, debe, debe estar debidamente protegida.estar debidamente protegida. Qué se debe asegurar ?
La Seguridad de la Información, protegeLa Seguridad de la Información, protege a ésta de una amplia gama dea ésta de una amplia gama de amenazas, tanto de orden fortuito comoamenazas, tanto de orden fortuito como destrucción, incendio o inundaciones,destrucción, incendio o inundaciones, como de orden deliberado, tal comocomo de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo,fraude, espionaje, sabotaje, vandalismo, etc.etc. Contra qué se debe proteger la Información ?
Confidencialidad:Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma. Integridad:Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad:Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera. Qué se debe garantizar ?
Las Organizaciones son cada vez masLas Organizaciones son cada vez mas dependientes de sus Sistemas y Serviciosdependientes de sus Sistemas y Servicios de Información, por lo tanto podemosde Información, por lo tanto podemos afirmar que son cada vez mas vulnerablesafirmar que son cada vez mas vulnerables a las amenazas concernientes a sua las amenazas concernientes a su seguridad.seguridad. Por qué aumentan las amenazas ?
Por qué aumentan las amenazas ? Crecimiento exponencial de las Redes yCrecimiento exponencial de las Redes y Usuarios InterconectadosUsuarios Interconectados Profusión de las BD On-LineProfusión de las BD On-Line Inmadurez de las Nuevas TecnologíasInmadurez de las Nuevas Tecnologías Alta disponibilidad de HerramientasAlta disponibilidad de Herramientas Automatizadas de AtaquesAutomatizadas de Ataques Nuevas Técnicas de Ataque DistribuidoNuevas Técnicas de Ataque Distribuido (Ej:DDoS)(Ej:DDoS) Técnicas de Ingeniería SocialTécnicas de Ingeniería Social Algunas Causas
Accidentes:Accidentes: Averías, Catástrofes, Interrupciones, ... Errores:Errores: de Uso, Diseño, Control, .... Intencionales Presenciales:Intencionales Presenciales: Atentado con acceso físico no autorizado Intencionales Remotas:Intencionales Remotas: Requieren acceso alRequieren acceso al canal de comunicacióncanal de comunicación Cuáles son las amenazas ?
•InterceptaciónInterceptación pasiva de la informaciónpasiva de la información (amenaza a la CONFIDENCIALIDAD).(amenaza a la CONFIDENCIALIDAD). •Corrupción o destrucciónCorrupción o destrucción de lade la información (amenaza a la INTEGRIDAD).información (amenaza a la INTEGRIDAD). •Suplantación de origenSuplantación de origen (amenaza a la(amenaza a la AUTENTICACIÓN).AUTENTICACIÓN). Amenazas Intencionales Remotas
Política de Seguridad para el Sector Público
Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en términos generales qué está permitido y qué no lo está en el área de seguridad durante la operación general de dicho sistema Que se entiende por Politica de Seguridad ? o Política: el porqué una organización protege la información o Estándares: lo que la organización quiere hacer para implementar y administrar la seguridad de la información o Procedimientos: cómo la organización obtendrá los requerimientos de seguridad Diferencias entre Política, Estándar y Procedimiento
 Evaluar los riesgos que enfrenta la organización o Se identifican las amenazas a los activos o Se evalúan las vulnerabilidades y probabilidades de ocurrencia o Se estima el impacto potencial  Tener en cuenta los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: o La organización o Sus socios comerciales o Los contratistas o Los prestadores de servicios  Establecer un conjunto específico de principios, objetivos y requisitos para el procesamiento de la información ¿Cómo establecer los requerimientos de seguridad?
Un modelo de gestión para la mejora continua de la calidad de la seguridad de la información oRealización de un análisis de riesgos oDefinición de una política de seguridad oEstablecimiento de controles SGSI: Sistema de Gestión de la Seguridad de la Información ISMS: Information Security Management Sytsem ¿Qué se entiende por SGSI?
Marco de las recomendaciones La NTP-ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector.  La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.  Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan.
 En este sentido La Norma Técnica Peruana ISO – 17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas.  La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.
Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?
Los 11 dominios de control de ISO 17799 1. Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. 2. Aspectos organizativos para la seguridad: Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
3. Clasificación y Control de Activos: Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. 4. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes. 5. Seguridad física y del Entorno: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
6. Gestión de Comunicaciones y Operaciones: Los objetivos de esta sección son:  Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.  Minimizar el riesgo de falla de los sistemas.  Proteger la integridad del software y la información.  Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.  Garantizar la protección de la información en las redes y de la infraestructura de soporte.  Evitar daños a los recursos de información e interrupciones en las actividades de la institución.  Evitar la pérdida, modificación o uso indebido de la información que intercambian las
7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. 8. Adquisición, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
9. Gestión de Incidentes de la Seguridad de la información Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. 10. Gestión de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
Implementando Seguridad de la Información Enfoque General
23 3.- Aplicación de ISO 17799 • ISO 17799 no es una norma tecnológica. – Esta redactada de forma flexible. – Se adapta a cualquier implantación en todo tipo de organizaciones sin importar su tamaño o sector de negocio. Ejemplo de Implantación
24 3.- Aplicación de ISO 17799 • Dominio de control: Gestión de comunicaciones y operaciones – Objetivo de control: proteger la integridad del software y de la información. • Control: Controles contra software malicioso. “Se deberían implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concienciar a los usuarios”. Ejemplo de Implantación
25 3.- Aplicación de ISO 17799 • Tras un trabajo de Consultoría se establecería: – Normativa de uso de software: definición y publicitación en la Intranet. – Filtrado de contenidos: X - Content Filtering – Antivirus de correo: Y – Antivirus – Antivirus personal: Z – Antivirus Ejemplo de Implantación

Recomendados

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
dsiticansilleria
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridad
dsiticansilleria
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informatica
Cristiam Lopez
 
Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.
dsiticansilleria
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Marco
MarcoMarco
Marco
marco080030557
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticos
Jorge Røcha
 
Marco
MarcoMarco
Marco
marco080030557
 

Recomendados

Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
dsiticansilleria
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridad
dsiticansilleria
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informatica
Cristiam Lopez
 
Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.
dsiticansilleria
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Marco
MarcoMarco
Marco
marco080030557
 
Examen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticosExamen seguridad física de los sistemas informáticos
Examen seguridad física de los sistemas informáticos
Jorge Røcha
 
Marco
MarcoMarco
Marco
marco080030557
 
Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
dsiticansilleria
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Sara Sigüeñas Chacón
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Pedro Trelles Araujo
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridad
carlalopez2014
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
Tensor
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
Daniel Pecos Martínez
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
Bella Romero Aguillón
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
Juan MmnVvr Aguila
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTS
Jose Manuel Acosta
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
Jessicakatherine
 
Reseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientificoReseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientifico
Juan MmnVvr Aguila
 
Active directory
Active directoryActive directory
Active directory
Juan MmnVvr Aguila
 
Examen
ExamenExamen
Examen
Juan MmnVvr Aguila
 
Reseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientificoReseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientifico
Juan MmnVvr Aguila
 
Protocolo vpn
Protocolo vpnProtocolo vpn
Protocolo vpn
Juan MmnVvr Aguila
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
ux singapore
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting Personal
Kirsty Hulse
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Stanford GSB Corporate Governance Research Initiative
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 

Más contenido relacionado

La actualidad más candente

Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
Daniel Pecos Martínez
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
Juan MmnVvr Aguila
 

La actualidad más candente (12)

Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.Unidad 4: Gestión de la seguridad.
Unidad 4: Gestión de la seguridad.
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Plan de seguridad
Plan de seguridadPlan de seguridad
Plan de seguridad
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
 
Politicas de-seguridad
Politicas de-seguridadPoliticas de-seguridad
Politicas de-seguridad
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTS
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 

Destacado

Reseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientificoReseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientifico
Juan MmnVvr Aguila
 
Reseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientificoReseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientifico
Juan MmnVvr Aguila
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Stanford GSB Corporate Governance Research Initiative
 

Destacado (8)

Reseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientificoReseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientifico
 
Active directory
Active directoryActive directory
Active directory
 
Examen
ExamenExamen
Examen
 
Reseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientificoReseña...metodologia de trabajo cientifico
Reseña...metodologia de trabajo cientifico
 
Protocolo vpn
Protocolo vpnProtocolo vpn
Protocolo vpn
 
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika AldabaLightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
Lightning Talk #9: How UX and Data Storytelling Can Shape Policy by Mika Aldaba
 
SEO: Getting Personal
SEO: Getting PersonalSEO: Getting Personal
SEO: Getting Personal
 
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job? Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
Succession “Losers”: What Happens to Executives Passed Over for the CEO Job?
 

Similar a Arquitectura de seguridad de redes

Similar a Arquitectura de seguridad de redes (20)

Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Marco
MarcoMarco
Marco
 
POLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdf
POLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdfPOLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdf
POLITICAS Y SEGURIDAD DE LA INFORMACION SEMANA 7.pdf
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Marco
Marco Marco
Marco
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Informe agregado
Informe agregadoInforme agregado
Informe agregado
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
información Segura
información Segurainformación Segura
información Segura
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
COMPUTACION CUANTICA
COMPUTACION CUANTICACOMPUTACION CUANTICA
COMPUTACION CUANTICA
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
Material 2do Examen.
Material 2do Examen.Material 2do Examen.
Material 2do Examen.
 

Arquitectura de seguridad de redes

  • 1. ARQUITECTURA redesDE SEGURIDAD LUIS GUMUCIO FLORES JUAN MAMANI VIVEROS SAUL VALERIANO UNIVERSIDAD ADVENTISTA DE BOLIVIA FACULTAD DE INGENIERIA
  • 3. LaLa informacióninformación debe considerarse como undebe considerarse como un recurso con el que cuentan lasrecurso con el que cuentan las Organizaciones y por lo tanto tiene valor paraOrganizaciones y por lo tanto tiene valor para éstas, al igual que el resto de loséstas, al igual que el resto de los activosactivos, debe, debe estar debidamente protegida.estar debidamente protegida. Qué se debe asegurar ?
  • 4. La Seguridad de la Información, protegeLa Seguridad de la Información, protege a ésta de una amplia gama dea ésta de una amplia gama de amenazas, tanto de orden fortuito comoamenazas, tanto de orden fortuito como destrucción, incendio o inundaciones,destrucción, incendio o inundaciones, como de orden deliberado, tal comocomo de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo,fraude, espionaje, sabotaje, vandalismo, etc.etc. Contra qué se debe proteger la Información ?
  • 5. Confidencialidad:Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma. Integridad:Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad:Disponibilidad: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera. Qué se debe garantizar ?
  • 6. Las Organizaciones son cada vez masLas Organizaciones son cada vez mas dependientes de sus Sistemas y Serviciosdependientes de sus Sistemas y Servicios de Información, por lo tanto podemosde Información, por lo tanto podemos afirmar que son cada vez mas vulnerablesafirmar que son cada vez mas vulnerables a las amenazas concernientes a sua las amenazas concernientes a su seguridad.seguridad. Por qué aumentan las amenazas ?
  • 7. Por qué aumentan las amenazas ? Crecimiento exponencial de las Redes yCrecimiento exponencial de las Redes y Usuarios InterconectadosUsuarios Interconectados Profusión de las BD On-LineProfusión de las BD On-Line Inmadurez de las Nuevas TecnologíasInmadurez de las Nuevas Tecnologías Alta disponibilidad de HerramientasAlta disponibilidad de Herramientas Automatizadas de AtaquesAutomatizadas de Ataques Nuevas Técnicas de Ataque DistribuidoNuevas Técnicas de Ataque Distribuido (Ej:DDoS)(Ej:DDoS) Técnicas de Ingeniería SocialTécnicas de Ingeniería Social Algunas Causas
  • 8. Accidentes:Accidentes: Averías, Catástrofes, Interrupciones, ... Errores:Errores: de Uso, Diseño, Control, .... Intencionales Presenciales:Intencionales Presenciales: Atentado con acceso físico no autorizado Intencionales Remotas:Intencionales Remotas: Requieren acceso alRequieren acceso al canal de comunicacióncanal de comunicación Cuáles son las amenazas ?
  • 9. •InterceptaciónInterceptación pasiva de la informaciónpasiva de la información (amenaza a la CONFIDENCIALIDAD).(amenaza a la CONFIDENCIALIDAD). •Corrupción o destrucciónCorrupción o destrucción de lade la información (amenaza a la INTEGRIDAD).información (amenaza a la INTEGRIDAD). •Suplantación de origenSuplantación de origen (amenaza a la(amenaza a la AUTENTICACIÓN).AUTENTICACIÓN). Amenazas Intencionales Remotas
  • 10. Política de Seguridad para el Sector Público
  • 11. Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en términos generales qué está permitido y qué no lo está en el área de seguridad durante la operación general de dicho sistema Que se entiende por Politica de Seguridad ? o Política: el porqué una organización protege la información o Estándares: lo que la organización quiere hacer para implementar y administrar la seguridad de la información o Procedimientos: cómo la organización obtendrá los requerimientos de seguridad Diferencias entre Política, Estándar y Procedimiento
  • 12.  Evaluar los riesgos que enfrenta la organización o Se identifican las amenazas a los activos o Se evalúan las vulnerabilidades y probabilidades de ocurrencia o Se estima el impacto potencial  Tener en cuenta los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: o La organización o Sus socios comerciales o Los contratistas o Los prestadores de servicios  Establecer un conjunto específico de principios, objetivos y requisitos para el procesamiento de la información ¿Cómo establecer los requerimientos de seguridad?
  • 13. Un modelo de gestión para la mejora continua de la calidad de la seguridad de la información oRealización de un análisis de riesgos oDefinición de una política de seguridad oEstablecimiento de controles SGSI: Sistema de Gestión de la Seguridad de la Información ISMS: Information Security Management Sytsem ¿Qué se entiende por SGSI?
  • 14. Marco de las recomendaciones La NTP-ISO 17799 es una compilación de recomendaciones para las prácticas exitosas de seguridad, que toda organización puede aplicar independientemente de su tamaño o sector.  La NTP fue redactada para que fuera flexible y no induce a las organizaciones que la cumplan al pie de la letra, se deja a estas dar una solución de seguridad de acuerdo a sus necesidades.  Las recomendaciones de la NTP-ISO 17799 son neutrales en cuanto a la tecnología. La norma discute la necesidad de contar con Firewalls, pero no profundiza sobre los tipos de Firewalls y cómo se utilizan.
  • 15.  En este sentido La Norma Técnica Peruana ISO – 17799, se emite para ser considerada en la implementación de estrategias y planes de seguridad de la información de las Entidades Públicas.  La NTP NO exige la certificación, pero si la consideración y evaluación de los principales dominios de acuerdo a la realidad de cada organización.
  • 16. Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?
  • 17. Los 11 dominios de control de ISO 17799 1. Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. 2. Aspectos organizativos para la seguridad: Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso para el manejo de respuesta a incidentes.
  • 18. 3. Clasificación y Control de Activos: Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. 4. Seguridad de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes. 5. Seguridad física y del Entorno: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
  • 19. 6. Gestión de Comunicaciones y Operaciones: Los objetivos de esta sección son:  Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.  Minimizar el riesgo de falla de los sistemas.  Proteger la integridad del software y la información.  Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información.  Garantizar la protección de la información en las redes y de la infraestructura de soporte.  Evitar daños a los recursos de información e interrupciones en las actividades de la institución.  Evitar la pérdida, modificación o uso indebido de la información que intercambian las
  • 20. 7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. 8. Adquisición, Desarrollo y Mantenimiento de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
  • 21. 9. Gestión de Incidentes de la Seguridad de la información Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. 10. Gestión de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la organización y para proteger los procesos importantes de la organización en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
  • 22. Implementando Seguridad de la Información Enfoque General
  • 23. 23 3.- Aplicación de ISO 17799 • ISO 17799 no es una norma tecnológica. – Esta redactada de forma flexible. – Se adapta a cualquier implantación en todo tipo de organizaciones sin importar su tamaño o sector de negocio. Ejemplo de Implantación
  • 24. 24 3.- Aplicación de ISO 17799 • Dominio de control: Gestión de comunicaciones y operaciones – Objetivo de control: proteger la integridad del software y de la información. • Control: Controles contra software malicioso. “Se deberían implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concienciar a los usuarios”. Ejemplo de Implantación
  • 25. 25 3.- Aplicación de ISO 17799 • Tras un trabajo de Consultoría se establecería: – Normativa de uso de software: definición y publicitación en la Intranet. – Filtrado de contenidos: X - Content Filtering – Antivirus de correo: Y – Antivirus – Antivirus personal: Z – Antivirus Ejemplo de Implantación