Introducción a la Seguridad de la Información

Marzo 2015

Información y seguridad

Implementación de la seguridad de la información

Ejemplos de aplicación

Acciones realizadas en el MEF

TEMARIO

INFORMACIÓN Y SEGURIDAD

LA INFORMACIÓN COMO ACTIVO A PROTEGER

“La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.”

NTP-ISO/IEC 17799:2007

Datos almacenados electrónicamente en computadoras. Datos almacenados en medios digitales: discos duros, discos

ópticos (CD , DVD), memorias USB. Registros, notas y documentos escritos o impresos en papel. Información transmitida por fax, correo postal o correo

electrónico. Datos personales como contraseñas, detalles de cuentas

bancarias, reportes tributarios, exámenes médicos, etc. Conversaciones habladas.

¿ DÓNDE ENCONTRAMOS INFORMACIÓN ?

“Preservación de la confidencialidad, integridad y disponibilidad de la información.”

ISO/IEC 27000:2009

“Es la protección a la información de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los riesgos de negocio y maximizar el retorno de las inversiones y las oportunidades de negocio.”

ISO/IEC 17799:2005

Definición de Seguridad de la información

Conjunto de medidas que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.

“Enciclopedia de la Seguridad Informática”, Gómez Vieites

Definición de Seguridad informática

PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN

La información NO DEBE ser revelada a sujetos o entidades no

autorizadas

La información DEBE estar accesible en el momento en que sea solicitada

por los sujetos o entidades autorizadas

La información NO DEBE ser

alterada

• Minimizar los riesgos y detectar posibles amenazas a la información.

• Limitar las pérdidas y recuperar adecuadamente las operaciones en caso de incidentes de seguridad.

• Garantizar la adecuada utilización de recursos y sistemas que manejan información.

• Cumplir con el marco legal regulatorio.

OBJETIVOS GENERALES DE LA SEGURIDAD DE LA INFORMACIÓN

IMPLEMENTACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Amenaza: Acciones que pueden causar daño según la severidad y posibilidad de ocurrencia

Vulnerabilidad: puntos débiles del equipamiento, aplicaciones, personal y mecanismos de control que facilitan la concreción de una amenaza.

Riesgo: Es la posibilidad de que una amenaza pueda causar cierto impacto negativo en un activo determinado que presenta una vulnerabilidad a dicha amenaza

Incidente: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Definiciones (1)

Control: Mecanismo de manejo del riesgo, lo que incluye políticas, procedimientos, guías, prácticas o estructuras organizativas, que puede ser de naturaleza administrativa (gestión), operativa (realizado por personas) o técnica (ejecutado por sistemas informáticos).

También es sinónimo de salvaguarda o contramedida.

Tipos de controles:• Preventivos: eliminan la causa de un potencial incidente.• Correctivos: subsanan las condiciones que dieron lugar a

un incidente ocurrido.• De detección: solo alertan sobre la ocurrencia de un

incidente.

Definiciones (2)

Lo que implica proteger la información:

• Identificación de los activos de información.

• Análisis de los riesgos: proceso sistemático para identificar y estimar la magnitud del riesgo.

• Gestión de los riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados.

• Elaboración de planes de seguridad.

• Ejecución de proyectos de seguridad.

• Control de incidentes y monitorización.

• Auditoría de la seguridad.

La seguridad no es un producto, es un proceso.

Acciones de implementación

Etapas de un Análisis de Riesgos

Ámbitos de Seguridad en la NTP 17799

Es un conjunto de políticas (orientaciones de intención y dirección), procedimientos (especificaciones para llevar a cabo una actividad), lineamientos (recomendaciones) y recursos necesarios para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información, bajo un enfoque de gestión de riesgos de negocio.

Sistema de Gestión de Seguridad de la Información (SGSI)

EJEMPLOS DE APLICACIÓN

ACCIONES REALIZADAS EN EL MEF

Difusión

Normatividad

Ejecución

“LA SEGURIDAD ESTA EN LO QUE HACES,

NO EN LO QUE USAS”