La Seguridad informatica consiste en asegurar que los recursos del sistema de información(material informatico o programa) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autoriza.

GESTION DE LA SEGURIDAD INFORMATICA

QUÉ INTENTAMOS PROTEGER?

· Hardware: Servidores, PCs, equipos de comunicaciones, medios de almacenamiento.

· Software: Librerías de programas, código fuente, sw propietario, utilitario, sistemas operativos.

· Datos (Información): Bases de datos, archivos de usuarios, de contraseñas, logs.

DE QUÉ PROTEGERNOS?

· Personas: empleados, ex empleados, curiosos, competencia, hackers.

· Amenazas lógicas: software malicioso, bugs o agujeros, hmtas seguridad, virus.

· Catástrofes: incendios, inundaciones, terremotos, huracanes.

CÓMO PROTEGERNOS?

· Controles

· Mecanismos de seguridad

· Herramientas de seguridad

· Salvaguarda/contramedida

CONTROLES DE SEGURIDAD INFORMÁTICA

Son las políticas, los procedimientos, las prácticas, las herramientas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo determinado.

· Clasificación de los Controles o Mecanismos

§ De acuerdo como se implementan o funcionan

o Prevención: aumentan la seguridad de un sistema, evitan ocurrencia sucesos indeseados

· Encripción, contraseñas, firewall

o Detección: identificar y reportar sucesos indeseados después de ocurrir.

· Auditorías, IDS, cifras de control (Hash)

o Recuperación: restaurar los recursos perdidos y retornar a la normalidad.

· Planes de continuidad, copias de respaldo

§ De acuerdo a su clase o tipo

o Gerencial: ejercido o establecido por la alta gerencia

o Políticas de seguridad, análisis de riesgo

o Administrativo u operacional: hacen parte de los procesos de la organización

o Auditorías de seguridad, procedimientos de backup, clasificación de la información

o Técnico: basado en el uso de software y/o hardware

o Firewall, antivirus, IDS, biométricos

SEGURIDAD INFORMÁTICA

Es la protección de la información y sus elementos críticos, incluyendo el software y hardware, que usa, almacena y transmite la información; por medio de la aplicación de políticas, entrenamiento, programas de concientización y mecanismos

o Gestión de Seguridad Informática

Gestión: realización de actividades coordinadas para dirigir y controlar para lograr un objetivo determinado. (Planificar, organizar, dirigir y controlar)

Realización de actividades necesarias para garantizar los niveles de seguridad en una organización ---- SGSI = Sistema de Gestión de la Seguridad Informática.----- Esta gestiona la seguridad informática se hace a través de un Sistema de Gestión de la Seguridad Informática. Existen varios modelos de SGSI, el más completo y difundido es la familia de normas serie ISO27000.

ISO 27000 SGSI

FAMILIA NORMAS ISO 27000

• ISO27000: Vocabulario y definiciones.

• ISO27001: Norma certificable. Requisitos SGSI

• ISO27002: Controles.

• ISO27003: Guía de implementación.

• ISO27004: Métricas e indicadores.

• ISO27005: Gestión de riesgos

• ISO27006: Requerimientos para entidades de certificación y auditoría.


NTC-ISO 27001
Especificaciones (requisitos) para un Sistema de Gestión de la Seguridad de la Información –SGSI, esta es certificable, esta direccionada a enfoque basado en procesos PHVA (Planear, hacer, verificar, actuar). Esta definida en 39 objetos de control y 133 controles.

• Enfoque basado en procesos: Ciclo Deming

• Panificar = Establecer el SGSI

• Hacer = Implementar y operar el SGSI

• Verificar = Hacer seguimiento y revisar el SGSI

• Actuar = Mantener y mejorar el SGSI



• Estructura de documentos exigidos por la NTC-ISO 27001

I. Nivel ------ Manual de seguridad
• Clausula 4.3.1
• Alcance SGSI, políticas de seguridad
• Metodología análisis riesgo

II. Nivel ------- Procedimientos
• Descripción procesos, quien hace que y cuando?


III. Nivel -------Instrucciones de Trabajo
• Como se realizan las tareas y actividades especificas

IV. Nivel ------- Documentos varios
• Proporcionan evidencia/información del SGSI


NTC-ISO 27002
Código de buenas prácticas para la gestión de la seguridad de la información, esta norma no es certificable, contiene 11 dominios, 133 controles, objetivo detallado, gia de implementación.

• Estructura de la Norma

• Dominios

1. Política de seguridad
2. Aspectos organizacionales de la seguridad
3. Gestión de activos
4. Seguridad de recursos humanos
5. Seguridad física y ambiental
6. Gestión de comunicaciones y operaciones
7. Control de acceso
8. Adquisición, desarrollo y mantenimiento de sistemas de información
9. Gestión de incidentes de seguridad
10. Gestión de la continuidad del negocios
11. Cumplimiento

• Objetivos de control

• Controles

• Características controles

ASPECTOS ORGANIZACIONALES DE LA SEGURIDAD INFORMATICA

RESPONSABLES DE LA SEGURIDAD INFORMÁTICA

• Gerente general: mandato de la Junta Directiva y socios

• Gerente, director, jefe del área de sistemas o información

• Oficina de Seguridad Informática: esta aparecen en las grandes empresas, las personas encargadas de las actividades relacionadas con la administración de la seguridad informática y esta se encarga de seleccionar mecanismos y herramientas de seguridad mediante políticas de seguridad y difundirlas

ESTRUCTURA AREA DE SEGURIDAD INFORMATICA

• En organizaciones /empresas grandes

 20-30 personas
 Varias secciones

• En organizaciones medianas

 5-10 personas
 Máximo 2 sección

• En organizaciones pequeñas

 1-2 personas
 Sin secciones

ROLES, FUNCIONES Y RESPONSABILIDADES

• Funciones y Responsabilidades

 Definir: políticas, procedimientos, guías y realiza análisis de riesgo

 Construcción: diseñar arquitecturas de seguridad. Crea, instala herramientas o controles de seguridad.

 Administrar: opera y administra herramientas o controles de seguridad

• Roles:

 CISO

 Consultores /Ingenieros de seguridad

 Administradores herramientas de seguridad

 Operadores herramientas de seguridad

 Verificadores /Oficiales de cumplimiento

 Investigadores de computo forense

POLITICAS DE SEGURIDAD INFORMATICA

• Establecen directrices/ reglas de seguridad: de la información de la empresa (cumplimiento/castigo)

• Son emitidas y aprobadas por la alta gerencia

• Son un medio para generar cultura de seguridad informática y concientización

• Establecer las responsabilidades y marco de acción de los empleados y terceros, en relación con los activos informáticos

ADMINISTRACION DE RIESGOS

ACTIVOS: elementos que tienen un valor tangible o intangible para la empresa

AMENAZA: agentes capaces de causar daños a los activos aprovechando sus vulnerabilidades.

VULNERABILIDAD: debilidad (características o defectos inherentes) asociados con un activo.

RIESGO: probabilidad de que las amenazas exploten las vulnerabilidades y causen pérdidas o daños a los activos.

Riesgo = Vulnerabilidad + Amenazas

CONTROLES: acciones o mecanismos que impiden, mitigan o reducen el riesgo.

ELEMENTOS DEL RIESGO

Ejemplo:

· Activo ----- Computador personal e informático

· Amenaza ------ Fuego

· Vulnerabilidad ------ Extinguidores vencidos

· Riesgo ------Destrucción de computadores personal y la información por incendio en los laboratorios

·Control: ------ Para implementar el control de seguridad (contramedidas), se debe identificar y comprender cuales son las amenazas a las que esta expuesta la infraestructura de TI y sus vulnerabilidades explotas en los ataques

ADMINISTRACION DE RIESGOS

Es un método sistemático y lógico para identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos de una actividad, función o proceso, la administración del riesgo es reconocida como un aparte integral de las buenas prácticas administrativas.

Técnicas de identificación de riesgos

· Análisis DOFA

· Lluvia de Ideas

· Método Delphi

· Principios de Pareto: identifica riesgos mas críticos el 20% de las causa originan el 80%de los efectos

· Diagrama Espina de Pescado: Diagrama de causa y efecto, utilizado en los procesos de calidad de origen japonés, diagrama grafico representa el esquema. La columna es el defecto (Riesgo), de la cual se desprende espinas (Causas del riesgo).

· Diagrama de Flujos y de Procesos: identifica riesgos en los procesos, entradas y salidas.

Metodología análisis de riesgos

· Análisis cualitativo: utiliza formatos de palabras o escalas descriptivas para describir la magnitud y la probabilidad. ------- Ej: alto, medio, bajo, etc.

· Análisis semi-cuantitativo: a las escalas descriptivas se les asocia un valor.

§ Materialidad o consecuencia

1. Insignificante

2. Bajo

3. Medio

4. Grave

5. Muy grave

§ Probabilidad

1. Improbable

2. Remoto

3. Factible

4. Probable

5. Muy probable

Riesgo = (Materialización o consecuencia) X Inherente (probabilidad amenaza)

· Análisis cuantitativo: utiliza valores numéricos para las consecuencias y las probabilidades

FORMAS DE TRATAMIENTO DEL RIESGO

· Asumirlo: se acepta el riego potencial sin tomar medidas

· Evitarlo: eliminar proceso, o actividad donde puede materializarse el riesgo

· Controlarlo: establecer controles y contramedidas que permiten mitigar o limitar el riesgo a unos niveles aceptables

· Transferirlo: se traspasa el riesgo a otra compañía

CLASIFICACION DE RIESGOS

• Mapa de riesgo Herramienta para analizar de manera gráfica y con colores, la distribución de los riesgos (del negocio, proceso ó sistema de información) según su nivel