Seguridad

SEGURIDAD
INFORMÁTICA
Administración de Centros de Información
Ing. Carlos Alfredo Gil Narvaez

Seguridad
 La necesidad de mantener la reserva y
confidencialidad de la información relacionada
a la organización como a sus usuarios o
clientes es crítica; es por ello que se debe
implantar un Sistema de Seguridad
Informática, en el cual se incluyen un conjunto
de políticas, procedimientos y estrategias que
permitirá mantener y mejorar la
confidencialidad, integridad y disponibilidad de
los sistemas informáticos y de la información.

Agenda
 Introducción al Riesgo Corporativo
 Incidentes relevantes de Riesgos a nivel
mundial, regional y local
 Introducción a la Seguridad de la Información
 Principales amenazas de seguridad
 Beneficios del cumplimiento de la norma NTP-
ISO/IEC 17799:2007

¿Que es el Riesgo?
 Riesgo es la posibilidad de que un evento ocurra y
afecte desfavorablemente el logro de los objetivos
estratégicos, operacionales, de cumplimiento y/o
reporte.
Riesgo = P(posibilidad u ocurrencia) x I(impacto)
Un evento es un acontecimiento
procedente de factores internos
(infraestructura, personal,
procesos, tecnología) o externos
(económicos, medioambientales,
político, sociales, tecnológicos)
que tiene un impacto negativo
para la Compañía.

Principales Categorías de
Riesgo
 Riesgo Estratégico
 Riesgo de Prestigio
 Riesgo de Cumplimiento
 Riesgo Operacional
 Riesgo de Estrategia de Salida
 Riesgo País
 Riesgo Contractual
 Riesgo de Acceso
 Riesgo Sistémico y de Concentración

Gestión del Riesgo: Enfoque
Metodológico

Agenda
 Introducción a la Seguridad de la
Información
 Beneficios del cumplimiento de la norma NTP-
ISO/IEC 17799:2007

Seguridad de la Información
 La seguridad de la información consiste en procesos y
controles diseñados para proteger la información de su
divulgación no autorizada, transferencia, modificación o
destrucción, a los efectos de:
 asegurar la continuidad del negocio;
 minimizar posibles daños al negocio;
 maximizar oportunidades de negocios.

Seguridad de la información
(Cont…)
 La seguridad de la información se caracteriza
aquí como la preservación de:
 su confidencialidad, asegurando que sólo quienes
estén autorizados pueden acceder a la información;
 Su integridad, asegurando que la información y sus
métodos de proceso son exactos y completos;
 Su disponibilidad, asegurando que los usuarios
autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran

Alcance de la seguridad
 Tecnologías.
 Sistemas
aplicativos
 Base de Datos
 Computadoras
portables
 Correo electrónico
 Internet/Intranet
 Cintas Magnéticas
 CD
 Telefonía
 Transmisiones
satelitales
 Video Conferencias
 DVD
 Documentos Impresos
 Planillas e informes de
trabajo
 Publicaciones internas
 Publicaciones a
terceros
 Comprobantes
Legales
 Planos
 Manuales y otros
 Gente
 Conocimiento propio de las
personas
 Documentación de la compañía
fuera de la misma

Sistema de Gestión de la
Seguridad
 El Sistema de Gestión de Seguridad de la Información es la
parte del sistema de gestión de la empresa, basado en un
enfoque de riesgos del negocio, para: establecer,
implementar, operar, monitorear, mantener y mejorar la
seguridad de la información.
 El propósito de un sistema de gestión de la seguridad es
garantizar que los riesgos de la seguridad de la información
son conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática,
estructurada, continua, repetible, eficiente y adaptada a los
cambios que se produzcan en la organización, los riesgos, el
entorno y las tecnologías.
 La definición de la información crítica de la información es un
factor clave el diseño de un sistema de seguridad.

Amenazas
 Información Privada
compartida en la Red
 Accesos no Autorizados
a la Información de la
empresa.
 Interrupción de los
Servicios Informáticos
 Recepción de mails
engañosos
 Claves de usuarios
compartidas

Agenda
 Introducción a la Seguridad de la Información
 Beneficios del cumplimiento de la norma
NTP-ISO/IEC 17799:2007

Requerimientos legales y/o
regulatorios

NTP-ISO/IEC 17799: 2007
 Esta norma contiene 11 cláusulas de control de seguridad y una cláusula
introductoria conteniendo temas de evaluación y tratamiento del riesgo:
a)Política de Seguridad
b)Organizando la seguridad de la Información
c)Gestión de activos
d)Seguridad en Recursos Humanos
e)Seguridad física y ambiental
f)Gestión de comunicaciones y operaciones
g)Control de acceso
h)Adquisición, desarrollo y mantenimientos de sistemas de información
i)Gestión de incidentes de los sistemas de información
j)Gestión de la continuidad del negocio
k)Cumplimiento
 Esta norma incluye 39 categorías que se describen mediante:
Un objetivo de control declarando lo que se debe alcanzar
Uno o más controles que pueden ser aplicados para alcanzar el objetivo

Beneficios
 Permite minimizar los riesgos.
 Proteger la información crítica, a través de una
gestión estructurada y permanente, sobre la
base de un análisis y evaluación del riesgo.
 Permite lograr prácticas efectivas en la gestión
de seguridad, considerando controles de
seguridad recomendados por las mejores
prácticas de la industria.
 Permite establecer un marco para la
certificación ISO17799

SEGURIDAD DE LAS
APLICACIONES
Administración de Centros de Información
Ing. Carlos Alfredo Gil Narvaez

Seguridad de las aplicaciones
 La ingeniería del software proporciona
metodologías, técnicas, modelos y
herramientas para desarrollar sistemas de
información de calidad que se ajusten a las
necesidades del cliente. Los requisitos del
sistema son el núcleo del proceso de
desarrollo para poder ser debidamente
integrados en los modelos de diseño y en la
implementación final. Debemos ser capaces
de crear una solución integrada y robusta que
respete las necesidades del cliente.

(cont…)
 Por un lado los requisitos funcionales definen
el comportamiento del sistema especificando
funcionalidades que han de estar disponibles
para satisfacer las necesidades del cliente, sin
embargo estas funcionalidades pueden ser
proporcionadas de varias formas, siendo los
requisitos no funcionales los que indican como
ha de construirse el software contemplando
aspectos de rendimiento, restricciones de
diseño, interfaces externas, calidad o
seguridad.

(cont…)
• “Su acceso es 100% seguro porque usamos cifrado
de 128 bits”
• “¿Necesitamos seguridad? Usemos SSL.”
• “¿Necesitamos autenticación fuerte? Lo resolveremos
con PKI.”
• “Usamos un cifrado secreto de grado militar.”
• “Tenemos un excelente firewall.”
 “Resolvamos las funcionalidades primero, y después
agregaremos la seguridad.”

Seguridad en el Ciclo de Vida de
un Proyecto

 Iniciación
 Determinar genéricamente cuál será el valor que
generará el producto.
 Incluir en el equipo un miembro que será
responsable por los aspectos de seguridad

• Elaboración
• Recolección de requerimientos
• Identificación de activos
• Tangibles
• Intangibles
• Valuación de activos

 Construcción
• Arquitectura detallada y patrones de diseño
• Implementación
• Pruebas
• Seguridad, testing y aseguramiento de la calidad
• Certificación

 Transición
 Verificaciones sobre la documentación
 Verificaciones sobre los procesos de manejo de bugs
y manejo de incidentes
 Verificaciones sobre las políticas de respaldo

Principios
1. Claridad
2. Calidad
3. Involucrar a todos los personajes clave
4. Usar tecnología probada
5. Operación a prueba de fallas
7. Privilegios apropiados
1. Mínimo privilegio
2. Privilegio necesario
8. Privilegios apropiados

Principios (cont…)
9. Interactuando con los Usuarios
1. Acerca de confiar en los usuarios
2. Ayude a los usuarios
3. Interfaces de usuario
10. Software de terceros
1. Código fuente
2. Verificación
11. Proteger o evitar la Manipulación de datos sensibles
12. ¡Ataque primero. En papel!
13. ¡Piense “fuera de la caja”!
14. ¡Sea humilde!
16. Las revisiones son su mejor aliado
1. Revisiones de diseño
2. Revisiones de código

Seguridad

Más contenido relacionado

La actualidad más candente

Similar a Seguridad

Seguridad