Seguridad de SI
-
Upload
cristiangranfather -
Category
Documents
-
view
6 -
download
0
description
Transcript of Seguridad de SI
-
Universidad Privada Antenor Orrego Facultad de Ingeniera Ingeniera de Computacin y Sistemas
Auditora y Seguridad de Sistemas de Informacin
Seguridad de la Informacin - 1
Auditora y Seguridad de SI
Universidad Privada Antenor Orrego
Seguridad de la
Informacin
Jaime E. Daz Snchez
Ing. Sistemas C.I.P. 73304
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Agenda
Antecedentes
Informacin
Seguridad de la Informacin
Principios
Estrategias
Estndares
2
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Antecedentes
3
Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI
La dependencia en la informacin electrnica y en los sistemas de Informacin son esenciales para soportar los procesos crticos del negocio
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Antecedentes
El ambiente regulatorio demanda control estricto sobre
la informacin.
Esto a su vez conduce a un incremento de los
desastres en los sistemas de informacin y al
incremento del fraude electrnico.
4
-
Universidad Privada Antenor Orrego Facultad de Ingeniera Ingeniera de Computacin y Sistemas
Auditora y Seguridad de Sistemas de Informacin
Seguridad de la Informacin - 2
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Antecedentes
Julio 2005: CitiFinancial, la divisin financiera de Citigroup Inc.,
anunci que notific a 3.9 millones de clientes americanos que los
discos que tenan informacin de sus cuentas bancarias haban
sido perdidos. Citigroup dijo que los discos duros fueron perdidos
por un transportador.
Abril 2008: HSBC pierde disco con datos de 370,000 clientes.
Mayo 2008: HSBC pierde servidor con informacin de 159,000
clientes.
5
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
6
Antecedentes
2008 Jerome Kiervel
31 aos $ 7.2 billones
FR
2006 Brian Hunter
32 aos $ 6.5 billones
EUA
2004 Chen Jiulin
43 aos $ 550 millones
SG
2002 John Rusnak
37 aos $ 697 millones
EUA
1996 Tasud Namanaka
48 aos $2.6 billones
JP
1995 Nick Leeson
28 aos $ 1.3 billones
SG
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Antecedentes
7
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Seguridad de la Informacin
Es determinar qu requiere ser protegido
y por qu, de qu debe ser protegido y
cmo protegerlo
Es el conjunto de procedimientos,
estrategias y herramientas que permitan
garantizar la integridad, la disponibilidad
y la confidencialidad de la informacin
de una organizacin
8
-
Universidad Privada Antenor Orrego Facultad de Ingeniera Ingeniera de Computacin y Sistemas
Auditora y Seguridad de Sistemas de Informacin
Seguridad de la Informacin - 3
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
ISO/IEC 17799:2005
La informacin es un activo,
tal como otros importantes
activos del negocio, tiene
valor para la empresa y
consecuentemente requiere
ser protegida de manera
adecuada
9
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
ISO/IEC 27001:2005
La Seguridad de la Informacin
es la preservacin de la
confidencialidad, integridad y
disponibilidad de la
informacin; adems, tambin
pueden estar involucradas otras
propiedades como la
autenticidad, responsabilidad,
no-repudio y confiabilidad
10
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Integridad
Informacin exacta
almacenada y de los mtodos
de proceso sobre ella
Proteger de modificaciones
imprevistas, no autorizadas o
accidentales
11
Objetivos Principales
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Disponibilidad
12
Objetivos Principales
Asegurar que los usuarios tengan acceso a la
informacin y recursos asociados cuando sean
requeridos
Proporcionar servicios que deben estar disponibles a
tiempo
-
Universidad Privada Antenor Orrego Facultad de Ingeniera Ingeniera de Computacin y Sistemas
Auditora y Seguridad de Sistemas de Informacin
Seguridad de la Informacin - 4
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Confidencialidad
Informacin es accesible solo
a usuarios autorizados
Proteger de la difusin no
autorizada, como informacin
parcial, personal o comercial
patentada
13
Objetivos Principales
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Objetivos Principales
Responsa-bilidad
A nivel individual
permite trazar las acciones
de una persona de forma nica
Autenticidad
Los datos almacenados deben ser un reflejo de los datos fuentes
Confiabilidad
Es la garanta que los
objetivos anteriores se
cumplan adecuada-
mente
14
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
En la gestin efectiva de la
seguridad debe tomar parte
activa toda la organizacin,
con la gerencia al frente,
tomando en consideracin
tambin a clientes y
proveedores de bienes y
servicios
El modelo de gestin de la
seguridad debe contemplar
unos procedimientos
adecuados y la planificacin
e implantacin de controles
de seguridad basados en
una evaluacin de riesgos y
en una medicin de la
eficacia de los mismos
15
Seguridad de la informacin
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Desarrolladores de software
Fabricantes de productos
Integradores de datos en el sistema
Terceras partes confiables
Compradores
Organizaciones de evaluacin de la
seguridad
Administradores de sistemas y de seguridad
Consultoras u organizaciones de
servicios
16
Entidades implicadas en la seguridad
-
Universidad Privada Antenor Orrego Facultad de Ingeniera Ingeniera de Computacin y Sistemas
Auditora y Seguridad de Sistemas de Informacin
Seguridad de la Informacin - 5
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
17
Problema
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
18
Solucin?
Intervencin Divina? Super Poderes? Balas de Plata?
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
19
Solucin
Un mapa
Qu soluciones
En qu orden
Apoyadas en qu polticas
Con qu procedimientos
...
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Principios de cualquier Solucin
Principios
Respon-sabilidad
Concien-cia de Segu-ridad
tica
Multidis-ciplina-ridad
Propor-ciona-lidad
Integra-cin
Cumpli-miento
Evalua-cin
Equidad
20
-
Universidad Privada Antenor Orrego Facultad de Ingeniera Ingeniera de Computacin y Sistemas
Auditora y Seguridad de Sistemas de Informacin
Seguridad de la Informacin - 6
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Estrategias de cualquier Solucin
Las relaciones con las estrategias del
negocio Polticas
Administracin Autenticacin
Autorizacin Recuperacin
Servicios del soporte
Tecnologas habilitadoras
21
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Capas de Defensa de cualquier Solucin
Prevencin
Contencin
Deteccin y/o Notificacin
Reaccin
Recoleccin de Evidencia y/o Seguimiento a Eventos
Recuperacin y/o Restauracin
22
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Inclusin en el CVDS
23
Seguridad
Opera-ciones
Datos
Red
Fsica
Personal
Adminis-trativa
Comuni-caciones
Compu-tadoras
Seguridad de Sistemas de Informacin
Universidad Privada Antenor Orrego
Inclusin de Estndares Tcnicos y No Tcnicos
Estndares de Contraseas
Estndares de Encriptacin
Estndares de Backup/Restore
Estndares de Polticas y
Procedimientos
Estndares de Configuracin de
Firewalls
Estndares de Arquitectura
Estndares de Seguridad de
Dominio
24