Seguridad de SI

Universidad Privada Antenor Orrego Facultad de Ingeniera Ingeniera de Computacin y Sistemas

Auditora y Seguridad de Sistemas de Informacin

Seguridad de la Informacin - 1

Auditora y Seguridad de SI

Universidad Privada Antenor Orrego

Seguridad de la

Informacin

Jaime E. Daz Snchez

Ing. Sistemas C.I.P. 73304

[email protected]

Seguridad de Sistemas de Informacin


Agenda

Antecedentes

Informacin

Seguridad de la Informacin

Principios

Estrategias

Estndares

2



Antecedentes

3

Hay numerosos cambios en TI y en su ambiente de operacin que enfatiza la necesidad de un mejor manejo relacionado con los riesgos de TI

La dependencia en la informacin electrnica y en los sistemas de Informacin son esenciales para soportar los procesos crticos del negocio



Antecedentes

El ambiente regulatorio demanda control estricto sobre

la informacin.

Esto a su vez conduce a un incremento de los

desastres en los sistemas de informacin y al

incremento del fraude electrnico.

4






Antecedentes

Julio 2005: CitiFinancial, la divisin financiera de Citigroup Inc.,

anunci que notific a 3.9 millones de clientes americanos que los

discos que tenan informacin de sus cuentas bancarias haban

sido perdidos. Citigroup dijo que los discos duros fueron perdidos

por un transportador.

Abril 2008: HSBC pierde disco con datos de 370,000 clientes.

Mayo 2008: HSBC pierde servidor con informacin de 159,000

clientes.

5



6

Antecedentes

2008 Jerome Kiervel

31 aos $ 7.2 billones

FR

2006 Brian Hunter


EUA

2004 Chen Jiulin

43 aos $ 550 millones

SG

2002 John Rusnak

37 aos $ 697 millones

EUA

1996 Tasud Namanaka

48 aos $2.6 billones

JP

1995 Nick Leeson


SG



Antecedentes

7



Seguridad de la Informacin

Es determinar qu requiere ser protegido

y por qu, de qu debe ser protegido y

cmo protegerlo

Es el conjunto de procedimientos,

estrategias y herramientas que permitan

garantizar la integridad, la disponibilidad

y la confidencialidad de la informacin

de una organizacin

8






ISO/IEC 17799:2005

La informacin es un activo,

tal como otros importantes

activos del negocio, tiene

valor para la empresa y

consecuentemente requiere

ser protegida de manera

adecuada

9



ISO/IEC 27001:2005

La Seguridad de la Informacin

es la preservacin de la

confidencialidad, integridad y

disponibilidad de la

informacin; adems, tambin

pueden estar involucradas otras

propiedades como la

autenticidad, responsabilidad,

no-repudio y confiabilidad

10



Integridad

Informacin exacta

almacenada y de los mtodos

de proceso sobre ella

Proteger de modificaciones

imprevistas, no autorizadas o

accidentales

11

Objetivos Principales



Disponibilidad

12


Asegurar que los usuarios tengan acceso a la

informacin y recursos asociados cuando sean

requeridos

Proporcionar servicios que deben estar disponibles a

tiempo






Confidencialidad

Informacin es accesible solo

a usuarios autorizados

Proteger de la difusin no

autorizada, como informacin

parcial, personal o comercial

patentada

13





Responsa-bilidad

A nivel individual

permite trazar las acciones

de una persona de forma nica

Autenticidad

Los datos almacenados deben ser un reflejo de los datos fuentes

Confiabilidad

Es la garanta que los

objetivos anteriores se

cumplan adecuada-

mente

14



En la gestin efectiva de la

seguridad debe tomar parte

activa toda la organizacin,

con la gerencia al frente,

tomando en consideracin

tambin a clientes y

proveedores de bienes y

servicios

El modelo de gestin de la

seguridad debe contemplar

unos procedimientos

adecuados y la planificacin

e implantacin de controles

de seguridad basados en

una evaluacin de riesgos y

en una medicin de la

eficacia de los mismos

15

Seguridad de la informacin



Desarrolladores de software

Fabricantes de productos

Integradores de datos en el sistema

Terceras partes confiables

Compradores

Organizaciones de evaluacin de la

seguridad

Administradores de sistemas y de seguridad

Consultoras u organizaciones de

servicios

16

Entidades implicadas en la seguridad






17

Problema



18

Solucin?

Intervencin Divina? Super Poderes? Balas de Plata?



19

Solucin

Un mapa

Qu soluciones

En qu orden

Apoyadas en qu polticas

Con qu procedimientos

...



Principios de cualquier Solucin

Principios

Respon-sabilidad

Concien-cia de Segu-ridad

tica

Multidis-ciplina-ridad

Propor-ciona-lidad

Integra-cin

Cumpli-miento

Evalua-cin

Equidad

20






Estrategias de cualquier Solucin

Las relaciones con las estrategias del

negocio Polticas

Administracin Autenticacin

Autorizacin Recuperacin

Servicios del soporte

Tecnologas habilitadoras

21



Capas de Defensa de cualquier Solucin

Prevencin

Contencin

Deteccin y/o Notificacin

Reaccin

Recoleccin de Evidencia y/o Seguimiento a Eventos

Recuperacin y/o Restauracin

22



Inclusin en el CVDS

23

Seguridad

Opera-ciones

Datos

Red

Fsica

Personal

Adminis-trativa

Comuni-caciones

Compu-tadoras



Inclusin de Estndares Tcnicos y No Tcnicos

Estndares de Contraseas

Estndares de Encriptacin

Estndares de Backup/Restore

Estndares de Polticas y

Procedimientos

Estndares de Configuracin de

Firewalls

Estndares de Arquitectura

Estndares de Seguridad de

Dominio

24

Seguridad de SI

Documents

Transcript of Seguridad de SI