“INTRODUCCIÓN A LA SEGURIDAD INFORMATICA Y DE LA INFORMACION” Módulo I:
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN GISI – IEEE – UTN – FRC 1
Introducción
LA INFORMACION ES UN BIEN VALIOSO. El valor de la información es tan importante como para determinar el poder relativo de un grupo de personas sobre otro. LA INFORMACION ES FRAGIL. La fragi fragilid lidad ad de la info informa rmació ción n está dad dada, a, en general, por los medios que la sustentan, por los problemas técnicos que presentan dichos medios y por su exposición al alcance de personas que quieran dañarla y/o robarla. En el caso particular de la información manejada manej ada por por computad computadoras, oras, su fragilida fragilidad d está dada por por las amena amenazas zas asociadas a las debilidades y vulnerabilidades de los medios de almacenamiento, procesamiento y transmisión, siendo las fallas técnicas, las catástrofes, las impericias y los intrusos (como saboteadores sabot eadores y hacker hackers), s), solo solo unos pocos pocos ejemplos ejemplos de dichas dichas amenazas. amenazas. 2
.
INFORMACIÓN
3
Información: Concepto EXISTE EN MUCHAS FORMAS: RESPECTO AL TIPO DE REPRESENTACION, REPRESENTACION, puede estar dada en: o Núme Nú mero ros, s, le letr tras as o sím símbo bolo loss en en gen gener eraal, co comb mbin inad ados os se segú gún n la las reg regla lass de de alg algún ún le leng ngua uaje je de representación represen tación,, constituyendo constituyendo así datos o mensajes mensajes inteligibles. inteligibles. o Imág Im ágen enes es,, por por ej ejem empl plo, o, fo foto togr graf afía ías, s, es esqu quem emas as,, pla plano nos, s, ma mapa pass ca cart rtog ográ ráfi fico cos, s, et etc. c.,, o Sonidos, como la la voz hablada, to tonos, música, etc., o Medio ioss audiovi vissuale less, po por ej ejem empl plo, o, pr pro ogr graamas de de te televi vissió ión, n, pelílíccul ulaas, etc etc.. RESPECTO AL SOPORTE, SOPORTE, puede estar almacenada: o en papel, ya sea escrita, dibujada, im impresa, etc., o en fo form rmaa ele elect ctró róni nica ca,, mag magné néti tica ca,, o de fo form rmaa de de ser ser re recu cupe pera rada da po porr med medio ioss ópt óptic icos os.. RESPECTO AL MEDIO DE COMUNICACION, COMUNICACION, la información puede ser transmitida: o en fo form rmaa col coloq oqui uial al,, por por ej ej.. en en una una ex expo posi sici ción ón o con conve vers rsac ació ión n (di (dire rect ctaa o tel telef efón ónic icaame ment nte) e) o por correo postal, o por medios electromagnéticos en general, ya sea: Medios guiados: conductores eléctricos formando líneas de transmisión, (guías de ondas, § cables coaxiales, cables paralelos, cables de par trenzado, etc.), conductores ópticos (las fibras ópticas) Medios no guiados: información transmitida por OEM en el aire o vacío (i.e. redes wireless) §
4
CUALQUIERA SEA LA FORMA QUE ADQUIERA O LOS MEDIOS POR LOS CUÁLES SE
Información: Propiedades La información en buen estado, goza de ciertas propiedades que deben ser preservadas para mantenerla así. Las propiedades fundamentales de la información son: CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD La información puede tener también otras propiedades que serán de interés según el caso. Estás son: AUTENTICIDAD CONTROL AUDITABILIDAD CONFIABILIDAD Adicionalmente pueden considerarse algunos otros aspectos, relacionados con los anteriores, pero que incorporan algunas consideraciones particulares. Estos son: PROTECCION A LA REPLICA NO REPUDIO 5
Información: Propiedades CONFIDENCIALIDAD CONFIDENCIALIDA D (O PRIVACIDAD):
Propiedad de que esta se mantiene secreta y no revelada a entidades (individuos o procesos) no autorizados a conocerla. Al preservar dicha propiedad, se garantiza que la información es conocida y accedida sólo por aquellas personas autorizadas a hacerlo.
INTEGRIDAD:
Propiedad de que esta permanece coherente, completa e inalterada, a menos, en este último caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en forma pertinente y correcta. La preservación de dicha propiedad garantiza la exactitud, coherencia y totalidad de la información y los métodos de procesamiento. Integridad de un sistema: Propiedad de que los recursos del mismo permanecen inalterados, ya sean recursos de almacenamiento, procesamiento o distribución. La integridad de un activo es la propiedad que salvaguarda su exactitud y totalidad.
DISPONIBILIDAD DISPONIBILIDA D (U OPERATIVIDAD OPERATIVIDAD): ):
Propiedad de que esta se mantiene accesible y usable cada vez que una entidad autorizada a hacerlo lo requiera. La preservación de dicha propiedad garantiza que la información estará siempre disponible para ser usada bajo demanda, ya sea para su consulta y/o procesamiento, por las personas o procesos autorizados. Disponibilidad de de un sistema: Propiedad de que los recursos del mismo se mantiene operativos, cada vez que una entidad autorizada los necesite. La preservación de esta propiedad requiere que la información se mantenga correctamente almacenada, en los formatos preestablecidos para su recuperación en forma satisfactoria, 6 con el hardware que la contiene y el software correspondiente funcionando normalmente.
Información: Propiedades AUTENTICIDAD:
Propiedad que permite asociarla a una entidad (proceso o usuario). La preservación de esta propiedad permite asegurar el origen de la información, validando a la entidad emisora de la misma, evitándose el acceso descontrolado a la información y a los recursos, y la suplantación de identidades. La aplicación mas evidente de la autenticación es en el control de accesos. En general, el proceso de control de accesos consiste típicamente de dos etapas: identificación y autenticación. En la identificación, la entidad (proceso o usuario) dice quién es, y en la autenticación, la entidad demuestra ser quién dice ser. Hay varios métodos para autenticar y se abordarán en el capítulo correspondiente. identificar y autenticar no es lo mismo. Autenticación verifica Identificación.
CONTROL:
Propiedad que permite asegurar que sólo los usuarios autorizados pueden decidir quién accede a la información, cuándo y cómo.
AUDITABILIDAD:
Propiedad que garanti Propiedad garantiza za que todos todos los eventos eventos de un sistem sistema a sean regis registrados trados para para posteriores controles o auditorias.
CONFIABILIDAD:
Propiedad que garantiza que la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones. Garantiza que la información es válida y utilizable en tiempo, forma y distribución. 7
Información: Propiedades
PROTECCION A LA REPLICA (O A LA DUPLICACION): Propiedad que garantiza que una transacción sólo puede realizarse una vez, a menos que se especifique lo contrario. La preservación de dicha propiedad garantiza que si un intruso logra atrapar y copiar una transacción con el propósito de reproducirla simulando ser el remitente original, no pueda completar satisfactoriamente dichas transacciones. NO REPUDIO: Propie Pro piedad dad que gar garan anti tiza za que que cualq cualqui uier er ent entida idad d que que envió envió o recibió reci bió inf informa ormación ción,, no no pueda pueda aleg alegar ar ante ante terc terceros eros,, que que no la envi en vió ó o no la re reci cibi bió. ó. LEGALIDAD: Propiedad que garantiza que la información se ajusta al cumplimiento de las leyes, normas, reglamentaciones o 8 disposic disp osicione ioness a las que está está suj sujeto eto la organiz organizació ación. n.
.
SEGURIDAD DE LA INFORMACIÓN
9
Seguridad de la Información: Concepto Como cualquier otra temática de la seguridad en tecnología, consiste en la detección y control de riesgos.
EL BIEN PROTEGIDO ES LA INFORMACION Trata de la protección de la información de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno sobre las inversiones y las oportunidades comerciales. 10
Seguridad de la Información: Concepto Los pilares que en general hacen seguro a un sistema son la: CONFIDENCIALIDAD, INTEGRIDAD, Y DISPONIBILIDAD.
11
Seguridad de la Información: Concepto Conservando las propiedades de confidencialidad, integridad y disponibilidad de los datos, se puede decir que estos se mantienen seguros.
12
Seguridad de la Información: Definición La SEGURIDAD DE LA INFORMACION trata de la preservación de las propiedades de interés en cada caso, fundamentalmente: la confidencialidad, la integridad y la disponibilidad. Además, la preservación de la confiabilidad, aut uten enttic icid idad ad,, cont contro roll y aud udit itaabi bililida dad d es típ típic icam amen entte necesario. También el no-repudio, protección a la réplica y legalidad, pueden estar involucradas y ser 13
Seguridad de la información: Necesidad Necesitan algún grado de seguridad de la información, personas y organizaciones que: - ma mane neje jen n in info form rmac ació ión, n, - ha haga gan n uso uso de la te tecn cnol olog ogía ía in info form rmááti ticca y de comunicaciones, y - se int interc ercon onec ecte ten n a tra través vés de red redes es y sis siste tema mass no confiables. Necesitan además algún grado de conocimientos en seguridad informática todas las personas que tiene alguna responsabilidad sobre menores con posibilidad de acceso a 14
Seguridad de la información: Necesidad El gráfico siguiente muestra algunos activos que vulnerados podrían tener impacto, en distintos tipos de organizaciones.
15
Seguridad de la información: Datos de la Realidad Estadística elaborado por la NSA y el FBI donde se detallan las pérdidas que tienen las organizaciones ante distintos incidentes ocurridos por la falta de seguridad de la información.
16
Lograr la Seguridad de la Información La seguridad que puede lograrse solo por medios técnicos es insuficiente: no tienen la posibilidad de brindar cobertura a la totalidad de aspectos a tener en cuenta, y aún en los casos donde las soluciones puedan apoyarse en medios técnicos, estos son insuficientes por si solos. Enfoque adecuado: los medios técnicos deben encontrarse en el marco de un Sistema Integral de Gestión de Seguridad de la Información (SGSI), al cuál complementan y respaldan, y sin el cual no son satisfactorios. Los medios técnicos son la herramienta con que se implementan determinados procesos de seguridad informática 17
.
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN 18
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN Las normas, procedimientos y herramientas que se utilizan en seguridad de la información se pueden clasificar en las siguientes áreas, de acuerdo con el tipo de función que cumplen:
Seguridad Organizativa (o Funcional o Administrativa) Seguridad Lógica (o Técnica) Seguridad Física Seguridad Legal
19
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN Seguridad Organizativa (o Funcional o Administrativa): Asegura el cumplimiento de normas, estándares y procedimientos físico-técnicos.
Seguridad Lógica (o Técnica): Actúan directa o indirectamente sobre la información procesada por los equipos.
Seguridad Física: Actúan directamente sobre la parte tangible.
Seguridad Legal Evita las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. 20
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚ ISO/IEC 27002:2005 (ex ISO/IEC 17799-2005) En concordancia con la norma ISO/IEC 27002, la Seguridad de la Información puede pensarse formada por once DOMINIOS o CLÁUSULAS. Cada CLÁUSULA contiene un número de CATEGORÍAS o TEMAS DE SEGURIDAD principales, que suman 39 en total. Cada CATEGORÍA contiene un número de CONTROLES DE SEGURIDAD, que suman 133 en total. Así, los tópicos que se deben contemplar en una solución efectiva y eficiente de Seguridad de la Información son 133. 21
ISO/IEC 27002:2005: Dominios .
1- Po Polílíti ticca de Seguridad
11-- Cu 11 Cump mplilimi mien ento to 10-- Ge 10 Gest stió ión n de de la la Cont Cont.. de las Actividades 9- Ge Gest stió ión n de Inc Incid iden ente tess 8- Ad Adqu quis isic ició ión, n, Des Desa. a. y Manten. de Sist. 7- Control de Accesos
11 dominios 39 Puntos 133 Controles 6- Ges Gesti tión ón de Ope Opera rac. c. y Comunic.
2- Or Orga gani niza zaci ción ón de la Seguridad 3- Ge Gest stió ión n de Ac Acti tivo voss 4- Seguridad del RRHH 5- Se Segu guri rida dad d Fí Físi sica ca y Ambiental 22
ISO/IEC 27002:2005: Dominios 5 Política de seguridad de la información 5.1 Política de seguridad de la información. Objetivo: Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.
6 Organización de la seguridad de la información 6.1 Organización interna. Objetivo: Manejar la seguridad de la información dentro de la organización.
6.2 Grupos o personas externas. Objetivo: Mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos.
7 Gestión de activos 7.1 Responsabilidad por los activos. Objetivo: Lograr y mantener una apropiada protección de los activos organizacionales.
7.2 Clasificación de la información. Objetivo: Asegurar que la información reciba un nivel de protección apropiado.
23
ISO/IEC 27002:2005: Dominios 8 Seguridad de recursos humanos 8.1 Antes del empleo. Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.
8.2 Durante el empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.
8.3 Terminación o cambio de empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada.
9 Seguridad física y ambiental 9.1 Áreas seguras. Objetivo: Evitar el acceso físico no autorizado, daño e interferencia con la información y los locales de la organización.
9.2 Equipo de seguridad. Objet Objetivo: ivo: Evitar Evitar pérdida, pérdida, daño, daño, robo o compromiso compromiso de los activo activoss y la interrupción de las actividades de la organización. 24
ISO/IEC 27002:2005: Dominios 10 Gestión de las comunicaciones y operaciones 10.1 Procedimientos y responsabilidades operacionales. Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información. 10.2 Gestión de la entrega del servicio de terceros. Objetivo: Implementar Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros. 10.3 Planeación y aceptación del sistema. Objetivo: Minimizar Minimizar el riesgo de fallas en el sistema. 10.4 Protección contra el código malicioso y móvil. Objetivo: Proteger la integridad del software y la integración. 10.5 Respaldo o Back-Up. Objetivo: Mantener la integridad y disponibilidad de la información y los medios de procesamiento de información. 10.6 Gestión de seguridad de la red. Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte. 10.7 Gestión de medios. Objetivo: Evitar la divulgación no-autorizada; modificación, modificación, eliminación o destrucción de activos; y la interrupción de las actividades comerciales. 10.8 Intercambio de información. Objetivo: Mantener la seguridad en el intercambio de información y software dentro dentro de la organización organización y con cualquier cualquier otra entidad externa. 10. 9 Servicios de comercio electrónico. Objetivo: Asegurar la seguridad de los servicios de comercio electrónico electrónico y su uso seguro. 10.10 Monitoreo. Objetivo: Detectar Detectar las actividades de procesamiento de información no 25 autorizadas.
ISO/IEC 27002:2005: Dominios 11 Control del acceso 11.1 Requerimiento del negocio para el control del acceso. Objetivo: Controlar el acceso a la información información..
11.2 Gestión de acceso del usuario. Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información información..
11.3 Responsabilidades del usuario. Objetivo: Evitar el acceso de usuarios noautorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información.
11.4 Control de acceso a la red. Objetivo: Evitar el acceso no autorizado a los servicios de la red.
11.5 Control del acceso al sistema operativo. Objetivo: Evitar el acceso no autorizado a los sistemas operativos.
11.6 Control de acceso a la aplicación y la información. Objetivo: Evitar el acceso no autorizado a la información mantenida mantenida en los sistemas de aplicación.
11.7 Computación y tele-trabajo móvil. Objetivo: Asegurar la seguridad de la información cuando se utiliza medios de computación y tele-trabajo móviles.
26
ISO/IEC 27002:2005: Dominios 12 Adquisición, desarrollo y mantenimiento de los sistemas de información 12.1 Requerimientos de seguridad de los sistemas de información. Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información. 12.2 Procesamiento correcto en las aplicaciones. Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones. 12.3 Controles criptográficos. Objetivo: Proteger la confidencialidad, autenticidad o integridad a través de medios criptográficos. 12.4 Seguridad de los archivos del sistema. Objetivo: Garantizar Garantizar la seguridad de los archivos del sistema. 12.5 Seguridad en los procesos de desarrollo y soporte. soporte . Objetivo: Mantener la seguridad del software y la información del sistema de aplicación. 12.6 Gestión de la Vulnerabilidad Técnica. Objetivo: Reducir los riesgos resultantes de la explotación de las vulnerabilida vulnerabilidades des técnicas publicadas.
13 Gestión de un incidente en la seguridad de la información 13.1 Reporte de los eventos y debilidades de la seguridad de la información. Objetivo: Asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva oportuna. 13.2 Gestión de los incidentes y mejoras en la seguridad de la información. Objetivo: Asegurar 27 que se aplique un enfoque consistente consistente y efectivo efectivo a la gestión de los incidentes incidentes en la seguridad de
ISO/IEC 27002:2005: Dominios 14 Gestión de la continuidad del negocio 14.1 Aspectos de la seguridad seguridad de la la información información de la gestión de la continuidad continuidad del negocio. Objetivo: Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.
15 Cumplimiento 15.1 Cumplimiento de los requerimientos legales. Objetivo: Evitar las violaciones a cualquier ley; regulación regulación estatutaria, reguladora o contractual; contractual; y cualquier cualquier requerimiento de seguridad.
15.2 Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico. Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.
15.3 Consideraciones de auditoria de los sistemas de información. Objetivo: Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoria del sistema de información información.. 28
29
AREAS DE LA SG. DE LA INFORM. Y DOMINIOS ISO
30
Normas ISO de Seguridad Informática Norma ISO-IEC 27002:2005 (17799:2005) Tecnol Tec nología ogía de la la Infor Informac mación ión – Técn Técnica icas s de seguri seg uridad dad – Cód Código igo para para la la prácti práctica ca de la gesti gestión ón de la seguridad de la información Norma ISO-IEC 27001:2005 Tecnol Tec nología ogía de la la Infor Informac mación ión – Técn Técnica icas s de seguri seg uridad dad – Sis Sistem tema a de Gest Gestión ión de Seguri Seguridad dad de de la Info In form rmaci ación ón – Re Requ queri erimi mient entos os 31
.
SISTEMA EN EL CONTEXTO DE LA SEGURIDAD DE LA INFORMACIÓN 32
ACTIVOS (ASSET) Un activo, es cualquier cosa que tenga valor para la organización. Existen muchos tipos de activos, incluyendo: a) Información: Toda representación o comunicación de conocimiento propio o de interés para la organización, en cualquier forma. b) Recursos de Información: Toda entidad que le brinda soporte al almacenamiento, procesamient proces amiento o o transmisión transmisión de de información información (o (o a los datos datos a partir partir de de los cuáles dicha información se puede construir). Son recursos de información las Bases de datos, archivos de datos, mensajes en una red de comunicaciones (sea de datos o de telefonía), documentación de los sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, acuerdos para contingencias, información archivada, contratos y acuerdos, información de investigaciones, rastros de auditoria, el código de programación de programas creados por la organización, etc. RECURSOS DE INFORMACION a) Activos o recursos software: Todo programa de computador creado o adquirido por la organización. Son recursos software los sistemas operativos y software del sistema de quipos en general (computadores, equipos de red, equipos de seguridad), herramientas de desarrollo y utilidades, software de aplicación, suites ofimáticas, etc. b) activos o recursos físicos: equipo de cómputo, de comunicación, medios removibles. Etc. c) servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción, iluminación, energía y aire acondicionado; d) personal, y sus calificaciones, capacidades y experiencia; e) intangibles, tales como la reputación y la imagen de la organización. organización .
El inventariado de activos ayuda a asegurar que se realice una protección efectiva 33 de los mismos. mismos. El proceso proceso de compilar compilar un inventario inventario de activ quisit
SISTEMA DE INFORMACION Es posible encontrar diversas formas de definir el concepto tradicional de sistema de información. La siguiente es una posible: Sistema de Información se refiere a un conjunto de Recursos de Tecnologías de la Información independientes pero organizados para el manejo de la información según determinados procedimientos, tanto automatizados como manuales. Se enti entien ende de por por “mane “manejo jo de de la info informa rmació ción” n” la reco recopil pilac ación ión,, almacenamiento, procesamiento, mantenimiento, transmisión o difusión de información. Se entiende por Recursos de Tecnología de la Información, todo recurso utilizado para el manejo de la información. Son recursos de tecnología de la información (o recursos IT) los siguientes: Información, Recursos de Información, Recursos de software, Recursos de hardware, Recursos 34
Sistema en Seguridad de la Información En el contexto de la seguridad de la información, un sistema siste ma de inform información ación está formad formado o por los activ activos os y recursos de tecnologías de información, mas las personas, el entorno donde actúan y todas to das las interacciones entre estos elementos.
Personas (gerent., admin., usus, pers. de limp., etc.) Computadores (PCs, Servidores, Dispositivos de Red) Medios de Enlace (cables UTP, señ. Wireless, etc.) Papeles Medios de almacenamiento digital Entorno Etc. Interacciones entre estos elementos
35
Sistema Informático para la Seguridad Informática
36
Ejemplo aspectos de la Seguridad Informática: Seguridad en el Desarrollo Inyección SQL: Autenticación de Usuario en una DB
“select * from tabla_usuarios where” “usuario= ‘$user’ and clave= ‘$pwd’” 37
Ejemplo aspectos de la Seguridad Informática: Seguridad en el Desarrollo Inyección SQL: Autenticación de Usuario en una DB Ingresando cualquier cosa como clave, y la siguiente cadena en el usuario: administrador’ or 1=1” “or ” “’1=1
Se logra la siguiente sentencia, siempre valida: “select * from tblUsers where” “user _id= ‘administrador’ or 1=1” “or ” 38
.
SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
39
EL CICLO DE VIDA DE LA SEGURIDAD DE LA INFORMACIÓN El ciclo de vida de la seguridad de la información, consta de las siguientes etapas: Identificación del Sistema de Información de la organización Identificación de los Requerimientos y Expectativas de Seguridad de la Información Realizar la Valoración del Riesgo (risk assessment) Diseñar un Sistema de Gestión (o Administración) de Seguridad de la Información (o SGSI, o ISMS por las siglass de Inform sigla Information ation Securi Security ty Manag Managemen ementt System System)) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el ISMS, en forma continua. 40
Requerimientos de Seguridad Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres fuentes principales de requerimientos de seguridad: -
Una fuente deriva de evaluar los riesgos que enfrenta la organización, tomando en cuenta la estrategia general y los objetivos de la organización. Mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.
-
Otra fuente son los requerimientos legales, normativos, reglamentarios, estatuitarios y contractuales que debe cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios (proveedores), y su ambiente socio-cultural.
-
Otra fuente es el conjunto específico de principios, objetivos y requisitos comerciales para el procesamiento de la información que la 41 organización ha desarrollado para respaldar sus operaciones.
La evaluación de riesgos La evaluación de riesgos es una consideración sistemática de los siguientes puntos: a) impa im pact cto o pot poten enci cial al en lo loss ne nego goci cios os de un una a fal alla la de se segu guri rida dad, d, te teni nien endo do en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos; b) pr prob obab abil ilid idad ad de oc ocur urre renc ncia ia de di dich cha a fal falla la,, tom toman ando do en cu cuen enta ta la lass am amen enaz azas as y vulnerabilidades predominantes, y los controles actualmente implementados. La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determina determinarr la importancia de los riesgos (evaluación del riesgo).
Los resultados de esta evaluación ayudarán a: orientar y a determinar det erminar las prioridades y las acciones de gestión adecuadas para la administración de los riesgos concernientes a seguridad de la información, y para la implementación de los controles seleccionados a fin de brindar protección contra dichos riesgos. Los resultados de la evaluación del riesgo debieran ayudar a: guiar y determinar las acciones de gestión apropiadas para la administración de los riesgos concernientes a seguridad de la información, y establecer las prioridades para manejar los riesgos de la seguridad de la información y para implementar los controles seleccionados para protegerse 42 contra estos riesgos.
SGSI
43
SGSI Planificar (Plan): Establecer el ISMS Establece Establ ecerr las políti políticas cas,, los objeti objetivos vos,, los proces procesos os y procedi procedimie miento ntoss del ISM SMS S per perti tine nent ntes es a la la ges gesti tión ón de rie riessgos y la la mej mejor oraa de la seg egur urid idad ad de la info inform rmac ació ión n para para ent entre rega garr resu result ltad ados os de acu acuer erdo do co con n las las polí políti tica cass y objeti obj etivos vos gener generale aless de la organi organizac zación ión..
Hacer (Do): Implementar y operar el ISMS Implementa Impleme ntarr y operar operar las polít política icas, s, contr controle oles, s, proce procesos sos y procedi procedimie miento ntoss del ISMS.
Evaluar (Check): monitorear y examinar (revisar) el ISMS Evaluar y, en cuando sea aplicable, medir el rendimiento de los procesos encontraste con las políticas y los objetivos del ISMS y la experiencia práctica, e informar los resultados a la gerencia para su examen.
Actualizar (Act): Man Mantener y mej mejorar el ISMS Tomar acciones correctivas y preventivas, sobre la base de los resultados de la auditoria interna del ISMS y del examen de la gestión o de otra información relevante, para lograr la mejora continua del SGSI. 44
SGSI
45
SGSI .
46
SGSI .
47
SGSI .
48
Gestión de la Seguridad .
5) GESTIONAR y MEJORAR •Administración de recursos
2) ASEGURAR • Cortafuegos • Software fiable • IPsec • PKI
1) POLITICA de SEGURIDAD
3) MONITORIZAR y REACCIONAR • IDS
4) COMPROBAR • Esca Escaneo neo de vuln vulnerab erabilida ilidades des
49
Modelo de Seguridad .
50