FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
Hoja de Vida José Marcial Flores Guerrero
• Licenciado en Informática – UMSA • Maestría en Finanzas Tec. Monterey - EMI • Certificado CISA Cerified Information System Auditor – ISACA Internacional • Certificado CGEIT Certified in the Governance of Enterprise IT – ISACA Internacional • Diplomado en Administración de la Seguridad de la Información de la Universidad
Privada Boliviana UPB • Diplomado en Educación Superior - UMSA • 25 años de experiencia Laboral en: CENACO, BCB, ETARE-Bco Mundial, Contaduría
General, Superintendencia de Bancos y Entidades Financieras hoy ASFI • Docente EMI - postgrado • Docente UMSA – postgrado • Docente UNIVALLE – postgrado • Docente UMSS - postgrado • Docente UNSLP pregrado • Mail: [email protected]
Reglas del Juego: Horario: Lunes a Viernes de 19:00 a 22:00
Criterios de Evaluación
Evaluación Continua 70 %
Estudio de Casos en aula
Trabajos periódicos
Trabajo Final
Evaluación Final 30%
Examen
Como encararemos el módulo
CISA CISSP
Otros CISM
FUNDAMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
Aspectos Previos
Gobierno y Gestión de TI
SEGURIDAD DE LA INFORMACION
¿Que es la Seguridad Informática ?
¿Que es la Seguridad de la Información ?
Que es la Seguridad Informática ?
La seguridad informática concierne a la
protección de la información que se encuentra en una computadora o en una red de ellas y también a la protección del
acceso a todos
los recursos del sistema.
Se ejecuten operaciones no deseadas
ni autorizadas sobre un ordenador…
¿Qué es la seguridad informática?
Cualquier medida que evite que:
Conllevar daños sobre la información,
…Cuyos efectos puedan:
¿Qué es la seguridad informática?
comprometer la confidencialidad,
¿Qué es la seguridad informática?
…Cuyos efectos puedan:
Disminuir el rendimiento,
¿Qué es la seguridad informática?
…Cuyos efectos puedan:
Bloquear el acceso de usuarios autorizados.
¿Qué es la seguridad informática?
…Cuyos efectos puedan:
¿Que es la Seguridad de la Información ?
Seguridad de la Información
• Un conjunto de políticas, normas, procedimientos, sistemas, métodos y herramientas destinados a proteger la información en una organización
Administración de la Seguridad de la Información
• Función rectora para garantizar que la información y los recursos de procesamiento de la información estén debidamente protegidos
• Incluye la implementación de programas de seguridad de TI a nivel de la organización. Planes de continuidad y recuperación de desastres para procesos críticos.
Seguridad La seguridad depende de 3 factores: Procesos:
• Procedimientos y operaciones del entorno de la organización
Personas
• Principales actores, sus acciones por error u omisión
• Deliberadas o por error
Tecnología: • Componentes técnicos, Estándares (TCP/IP) • Productos de los fabricantes (IIS,Apache) • Desarrollos personales
Organización • Gobierno • Cultura • Arquitectura
Factores de la Seguridad de la Información
Principios
• Existen tres principios básicos relacionados con la seguridad de la información :
– el del acceso más fácil,
– el de la caducidad del secreto y
– el de la eficiencia de las medidas tomadas.
1er principio
“El intruso al sistema utilizará cualquier
debilidad que haga más fácil su acceso y
posterior ataque”
Existirá una diversidad de frentes desde los que puede producirse un ataque. Esto dificulta el análisis de riesgos porque el delincuente aplicará la filosofía del ataque hacia el punto más débil.
PREGUNTA:
¿Cuáles son los puntos débiles
de un sistema informático?
2º principio
• “Los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal”
• Se habla, por tanto, de la caducidad del sistema de protección: tiempo en el que debe mantenerse la confidencialidad o secreto del dato.
PREGUNTA: ¿Cuánto tiempo deberá
protegerse un dato?
3er principio
• “Las medidas de control se implementan para ser utilizadas de forma efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio”
– Que funcionen en el momento oportuno.
– Que lo hagan optimizando los recursos del sistema.
– Que pasen desapercibidas para el usuario.
– Y lo más importante: ningún sistema de control resulta efectivo hasta que debemos utilizarlo.
Seguridad
Si voy a proteger mi Sistema Informático, debo conocer a mi posible atacante, saber quién es, qué hace, qué conoce de la institución, debo ... “conocer a mi enemigo” y aceptar que deberé convivir con él.
Mas
“La seguridad es una cadena, tan débil como el más débil de sus eslabones”
“La seguridad es una cadena, tan débil como el más débil de sus eslabones”
ARQUITECTURA DE SEGURIDAD
ARQUITECTURA DE SEGURIDAD
Los pilares de la seguridad
Confidencialidad • La información puede ser accedida
únicamente por las personas que tienen autorización para hacerlo.
Integridad • Cuando nos referimos a integridad,
queremos decir que estamos totalmente seguros de que la información no ha sido borrada o alterada, no sólo en su trayecto, sino también desde su origen.
Los pilares de la seguridad
Disponibilidad
• Este término hace referencia al método de
precaución contra posibles daños tanto en
la información como en el acceso a la
misma y que el acceso a los activos de
información en un tiempo razonable está
garantizado para usuarios autorizados
Administración de la Seguridad de la Información
Administración de la Seguridad de la Información
Objetivos • Asegurar la continua disponibilidad de sus sistemas de
información. • Asegurar la integridad de la información almacenada en sus
sistemas informáticos. • Preservar la confidencialidad de los datos sensibles. • Asegurar el cumplimiento de las leyes, regulaciones y
estándares aplicables. • Preservar la confidencialidad de los datos sensitivos
almacenados y en tránsito.
Administración de la Seguridad de la Información
Los elementos clave relacionados
• Compromiso y soporte de la alta gerencia
• Políticas y Procedimientos
• Organización
• Conciencia de la Seguridad y Educación
• Monitoreo y cumplimiento
• Tratamiento y respuesta a incidentes
Administración de la Seguridad de la Información
Inventarios de Activos de Información
• Una identificación clara y distintiva del activo
• Su ubicación
• Su clasificación de seguridad /riesgo
• Su grupo de activos (cuando el activo forma parte de un sistema más grande de información)
• Su propietario
Administración de la Seguridad de la Información
Clasificación de los Activos de Información • Quién es el propietario del activo de información
• Quién tiene derechos de acceso y derecho a hacer qué
• El nivel de acceso a ser otorgado
• Quién es responsable de determinar los derechos de acceso y los niveles de acceso
• Qué aprobaciones se necesitan para tener acceso
Administración de la Seguridad de la Información
Permisos de Acceso al Sistema
• Basado en acceso Físico, lógico
• Basado en la necesidad de saber
• Seguridad por Capas (Red, Plataforma, Base de Datos, Aplicación)
• Control de acceso a Recursos
• Capacidades de acceso lógico
• Revisiones de autorizaciones de acceso
Administración de la Seguridad de la Información
Controles de Acceso Obligatorios y Discrecionales
• Obligatorios Hace cumplir la política corporativa de la seguridad
Compara la sensibilidad de los recursos de la información
• Discrecionales - Hace cumplir datos-dueño-definicion para compartir recursos
de informacion.
Administración de la Seguridad de la Información
Seguridad de Información y Terceros
• Identificación de riesgos asociados con terceros
• Dirección de seguridad al tratar con los clientes
• Dirección de seguridad en acuerdos con terceros
Administración de la Seguridad de la Información
La Seguridad de los Recursos Humanos y Terceros
• Filtrado
• Términos y Condiciones de Empleo
• Durante el Empleo
• Retiro de los Derechos de Acceso
Administración de la Seguridad de la Información
Problemas y Exposiciones del Delito Informático • Las amenazas al negocio incluyen:
Perdida Financiera Repercusiones Legales Pérdida de credibilidad o ventaja competitiva Chantaje /espionaje industrial Revelación de información confidencial,
sensitiva o embarazosa Sabotaje
Administración del Riesgo