Upload
manuel-mujica
View
25.409
Download
1
Embed Size (px)
DESCRIPTION
1ra Jornadas de actualización tecnológica UNEFA Lara
Citation preview
Estándares de Seguridad Informática
1ra Jornadas de Actualización Tecnológica UNEFA
Prof. Manuel Mujica
17 de Julio 2009
Contenido
● ESTADÍSTICAS
● ESTÁNDARES, METODOLOGÍAS Y BUENAS PRÁCTICAS PARA LA SEGURIDAD INFORMÁTICA
● ISO/IEC 27001:2005
● NATURALEZA Y DINÁMICA DEL ISO/IEC 27001 : 2005
¿Su base de datos está protegida de manos criminales?
¿Los activos de su empresa¿Los activos de su empresa han sido inventariados yhan sido inventariados y tasados?tasados?
Estadísticas
La firma PriceWaterhouseCoopers entrevistó a más de 7.000 Ejecutivos CIO y CSO. Cuyos resultados se pre-sentan a continuación.
44% Planean aumentar los gastos de la seguridad en el próximo año.
59% Tienen una estrategia de seguridad de la informa-ción.
Solo 24% clasifican el valor de los datos como parte de las políticas de seguridad.
The Global State of Information Security – 2008 - http://www.pwc.com
Estadísticas
Plan de Continuidad
Cumplimiento Políticas
Cumplimiento Regulatorio
0 0,1 0,2 0,3 0,4 0,5 0,6
Plan de Continuidad del Negocio y Cumplimiento de Políticas
The Global State of Information Security – 2008 - http://www.pwc.com
¿Quién está a cargo de seguridad de la información?
En las grandes empresas el 44% informó que los CIO
En las empresas medianas el 36% a mediados informó que los CIO.
The Global State of Information Security – 2008 - http://www.pwc.com
¿Cómo aprenden las organizaciones de incidentes de seguridad?
39 % Firewall o servidor de archivos y registros
37% Detección de intrusos / sistema de prevención.
36% a través de Colegas
The Global State of Information Security – 2008 - http://www.pwc.com
Qué herramientas de seguridad de TI utilizan las organizaciones?
Tecnología 2007 2008
Maliciouscode detection tools 80% 84%
Applicationlevel firewalls 62% 67%
Intrusion detection 59% 63%
Intrusion prevention 52% 62%
Encryption Database 45% 55%
Encryption Laptop 40% 50%
Encryption Backup tape 37% 47%
Automated password reset 40% 45%
Wireless handheld device security 33% 42%
The Global State of Information Security – 2008 - http://www.pwc.com
¡No es la ignorancia !
Origen de Incidentes 2007 2008
Empleados 48% 34%
Hackers 41% 28%
Antiguos Empleados 21% 16%
Socios de Negocios 19% 15%
Otros 20% 8%
Clientes 9% 8%
Terrorismo 6% 4%
The Global State of Information Security – 2008 - http://www.pwc.com
Su organización como ve la seguridad de la información.
¿Cómo proceso o cómo producto?
IS0/IEC 27000
X.805 de UIT-T
TCSEC (Orange Book)
ITSEC (White Book)
FIPS 140 (Federal Information Precessing Systems 140)
CC (Common Criteria)
COBIT (Control Objectives for Information and Related Technology)
ITIL (Information Technology Infrastructure Library)
OSSTMM (Open Source Security Testing Methodology Manual)
Estándares, Metodologías y Buenas Prácticas para la Seguridad Informática
ISO/IEC 27001:2005
ISO/IEC JTC1/SC 27/WG 1
Joint Technical Committee 1
ISO/IEC JTC 1
… …
WG1 WG2 WG3
Sub Commite 27
Grupo de Trabajo 1ISO 17799:2005
ISO 27000
International Organization for Standardization
International Electrotechnical Commission
SC27
ISO 27001:2005-SISTEMA DEGESTIÓN DE
SEGURIDAD DEINFORMACIÓN
ISO / IEC 17799 : 2005 Código de práctica de seguridad en la gestión de la información – Basado en BS 7799 – 1 : 2000..Recomendaciones para buenas prácticas No puede ser utilizado para certificación
ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información.Es utilizado para la certificación
Al inicio del 2009 habían 5190 empresas certificadas en el mundo.
Fuente: http://www.xisec.com http://www.iso27001certificates.com/
FAMILIA DEESTANDARES
ISO 27000
ISO/IEC27005SGSI
Lineamiento“Gestión del Riesgo”
ISO/IEC27004
Lineamiento “Métrica y Mediciones”
ISO/IEC27003
“Lineamientos para la Implantación”
ISO/IEC27002:2007
(ISO 17799:2005)
ISO/IEC27001:2005
Requerimientos
ISO/IEC 27000SGSI
“Fundamentos y vocabulario”
INFORMACIÓN “La información es un activo, que tal como otros
importantes activos del negocio, tiene valor para
una empresa y consecuentemente requiere ser
protegida adecuadamente”.
ISO 17799:2005
CICLO DE VIDADE LA
INFORMACIÓN
La información puede ser:La información puede ser:
CREADA ALMACENADA ¿DESTRUIDA?
PROCESADA TRANSMITIDA
PERDIDA CORROMPIDA
UTILIZADA – Para propósitos apropiados o inapropiados
TIPOS DEINFORMACIÓN
IMPRESA O ESCRITA
“……. Cualquier forma que tome la información, o los medios que se utilicen para compartirla o almacenarla, siempre debe estar apropiadamente protegida”.
ISO 17799 : 2000
ALMACENADA ELECTRÓNICAMENTE
TRANSMITIDA POR MEDIOS ELECTRÓNICOS
PRESENTADA EN VIDEOS CORPORATIVOS
VERBAL – CONVERSADA FORMAL/INFORMALMENTE
¿Qué es seguridad de la Información?
¿QUÉ ESSEGURIDAD DEINFORMACIÓN?
Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los “backups”.
Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo.
La seguridad de información se caracteriza por la preservaciónde:
CONFIDENCIALIDAD : La información está protegida de personas no autorizadas.
INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas.
DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran.
ENFOQUE PARAESTABLECER
REQUERI-MIENTOS DESEGURIDAD
ISO 17799:2005
Existen tres fuentes para que una organización identifiquesus requerimientos de seguridad:
La primera fuente deriva de la evaluación de los riesgos que afectanla organización. Aquí se determinan las amenazas de los activos, luego se ubican las vulnerabilidades y se evalúa su posibilidad de ocurrencia, y se estiman los potenciales impactos.
La segunda fuente es el aspecto legal.|Aquí están los requerimientos contractuales que deben cumplirse.
La tercera fuente es el conjunto particular de principios,objetivos y requerimientos para procesar información, que la empresa ha desarrollado para apoyar sus operaciones.
BS 7799-2:2002ISO 27001:2005 ISO 27001:2005 BS 7799-2:2002
11 cláusulas
39 objetivos de control
133 controles específicos
10 cláusulas
36 objetivos de control
127 controles específicos
NATURALEZA Y DINÁMICA DELISO 27001 : 2005
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
MODELO PDCAAPLICADO A
LOS PROCESOSDEL SISTEMA
DE GESTIÓN DESEGURIDAD DEINFORMACIÓN
SGSI
PARTESINTERESA-
DAS
REQUERIMIEN-TOS
YEXPECTATIVAS
DE LASEGURIDAD
DE INFORMA-CIÓN
PARTESINTERESA-
DAS
SEGURIDADDE
INFORMACIÓNMANEJADA
ESTABLECEREL SGSI 4.2
IMPLEMENTARY OPERAR ELEL SGSI 4.2.2
MANTENER YMEJORAR
EL SGSI 4.2.4
MONITOREARY REVISAR
EL SGSI 4.2.3
PLAN
DO
CHECK
ACT
4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad7.0 Revisión gerencial 7.1 Auditorias internas
8.0 Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Acción correctiva 8.3 Acción preventiva
Desarrollar,mantenery mejorar
el ciclo
ESTRUCTURADE LA
DOCUMEN-TACIÓN
REQUERIDA
Descripción de procesos,quién hace qué y cuándo
Describe cómo las tareas y actividades específicas se realizan
Proveen evidencia objetiva de la conformidad con el SGSI
NIVEL INIVEL IEnfoque de la gerenciaEnfoque de la gerencia
NIVEL II
NIVEL III
NIVEL IV
Manual de Seguridad
Procedimientos
Instrucciones de trabajo
Registros
Política, alcance,
evaluación delriesgo
enunciado deaplicabilidad
POLÍTICASEN ELSGSI “Orientaciones o directrices que rigen la actuación de
una persona o entidad en un asunto o campo determinado”. Real Academia Española.
Aspectos a considerar al elaborar políticas
Qué será protegido Cómo será gestionadaQuién es responsable Cuándo toma efectoDónde en la organización Por qué ha sido creada
RESUMEN
La seguridad de la información protege la información de una serie de amenazas para que así la empresa pueda continuar operando, minimizar daños a la gestión comercial y maximizar el retorno a la inversión y oportunidades de negocios.
Cada organización tendrá un conjunto de requerimientos diferentes de control y de niveles de confidencialidad, integridad y disponibilidad.
Gracias por su AtenciónGracias por su Atención
“Si tú tienes una manzana, yo tengo una manzana y las intercambiamos: ...seguiremos teniendo una manzana cada uno.
...Pero si tú tienes una idea, yo tengo una idea y las intercambiamos: cada uno de nosotros tendrá dos ideas”.
—Bernard Shaw
El conocimiento aumenta con su uso, El conocimiento aumenta con su uso, se multiplica cuando se compartese multiplica cuando se comparte
http://mmujica.wordpress.comhttp://mmujica.wordpress.com
CONTACTO:email: [email protected] GPG: AD68 F6CC 76D1 EDA0 7BA4 130A 7DAE CCC0 B223 3B42
Ubuntu User #4728Linux User #439689
Blog's: http://pide.wordpress.com http://mmujica.wordpress.com http://uclaredes.wordpress.com http://www.ubuntu-ve.org
http://creativecommons.org/licenses/by/3.0/deed.es