Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)

8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)

1/24

Ing. Carlos Castaeda Retegui, CISA, CISM

Seguridad, Control y Auditoria de losSistemas de Informacin


2/24


Proteccin de los activos de informacin

Seguridad de la Informacin

La informacin es un recurso que, como el resto de los importantes

activos comerciales, tiene valor para una organizacin y por

consiguiente debe ser debidamente protegida.

La seguridad de la informacin protege sta de una amplia gama de

amenazas, a fin de garantizar la continuidad comercial, minimizar el

dao al mismo y maximizar el retorno sobre las inversiones y lasoportunidades.


3/24


La seguridad de la informacin se define aqu como la preservacin de

las siguientes caractersticas:

Confidencialidad : se garantiza que la informacin sea accesible

slo a aquellas personas autorizadas a tener acceso a ella.

Integridad : se salvaguarda la exactitud y totalidad de lainformacin y los mtodos de procesamiento.

Disponibilidad : se garantiza que los usuarios autorizados tenganacceso a la informacin y a los recursos relacionados con ellatoda vez que se requiera.


Seguridad de la Informacin


4/24



Para retener una ventaja competitiva y satisfacer los requerimientos

bsicos del negocio, las organizaciones deben:

Preservar la confidencialidad de los datos sensitivos. Asegurar la integridad de la informacin almacenada en sus

sistemas.

Asegurar la disponibilidad continua de sus sistemas deinformacin

Asegurar que los sistemas de informacin se ajusten a las leyes,regulaciones y normas

Importancia de la seguridad de lainformacin


5/24



Las organizaciones y sus redes y sistemas de informacin, se

enfrentan en forma creciente con amenazas relativas a la seguridad,

de diversos orgenes, incluyendo el fraude asistido por computadora,

espionaje, sabotaje, vandalismo, incendio o inundacin.

Daos tales como los ataques mediante virus informticos, "hacking" y

denegacin de servicio se han vuelto ms comunes, ambiciosos y

crecientemente sofisticados.



6/24



Las fallas de seguridad pueden ser costosas para el negocio. Las

prdidas pueden ocurrir como resultado de la falla misma o pueden ser

incurridas en la recuperacin del incidente, seguidos por ms costos

para asegurar los sistemas y prevenir ms fallas.

Un conjunto bien definido de polticas y procedimientos de seguridad

puede prevenir prdidas y ahorrar dinero.



7/24



ISO 27001:2005 Estndar para la gestin de la seguridad de lainformacin basada en riesgo.

ISO 17799:2005 (ISO 27002:2005) - Estndar internacional deadministracin de la seguridad de la informacin.

ISO 15408:2005 - Tcnica y criterio de evaluacin de seguridadtecnolgica (Common Criteria)

ISO 13335:2004 (ISO 27005:2005) - Gua para laadministracin de riesgos de seguridad de informacin.

Estndares de seguridad de la informacin


8/24



Poltica de seguridad, objetivos y actividades que reflejen los

objetivos de la empresa.

Una estrategia de implementacin de seguridad que seaconsecuente con la cultura organizacional.

Apoyo y compromiso manifiestos por parte de la gerencia.

Un claro entendimiento de los requerimientos de seguridad, la

evaluacin de riesgos y la administracin de los mismos.

Factores crticos de xito de la seguridad dela informacin


9/24



Comunicacin eficaz de los temas de seguridad a todos los

gerentes y empleados;

Distribucin de guas sobre polticas y estndares de seguridadde la informacin a todos los empleados y contratistas;

Instruccin y entrenamiento adecuados;

Un sistema integral y equilibrado de medicin que se utilice para

evaluar el desempeo de la gestin de la seguridad de la

informacin y para brindar sugerencias tendientes a mejorarlo.

Factores crticos de xito de la seguridad dela informacin


10/24


AlineacinEstratgica

Patrocinio deSeguridad

Asignacin deOficiales de

Seguridad Tolerancia de

Riesgos y nivel deinversin

Estrategia

Programa deSeguridad

Modelo degobernabilidad, Oficiales

de seguridad, comitejecutivo de seguridad. Roles y

responsabilidadesorganizacionales

Administracinde la Seguridad

Clasificacin de losactivos de informacin.

Principios de laarquitectura y losprocesos en sitio paraadministrar lasfunciones claves deseguridad.

Operacin y monitoreode las operaciones

Integracin con lasoperaciones de TI

Administracinde Usuarios

Administracin deIdentidades

Concientizacin delusuario

Proteccin derecursos deinformacin

Evaluacin de Riesgos Privacidad Securidad de

aplicaciones/Bases deDatos

Seguridad de lainfraestructura de red

Administracinde la

continuidad delnegocio

Polticas yEstndares

Nivel deseado degobernabilidad basadoen las polticas quedebe de seguir laempresa en base aseguridad

Definicin clara de losestndares deseguridad Soporte a Usuarios

Proteccin deActivos

Mantenimientode la

Operacin

Proteccinfsica delos

recursos Seguridad fsica

y ambiental

Conciencia yEntrenamiento

Assessmentdelusuario final yentrenamiento

Entrenamiento de TI

Formalizacindel programa y

organizacinde seguridad

inicial

La Direccindefine sus

expectativas yrequerimientosde seguridad

Gobernabilidad

orientada a lasestrategias de

negocio.

Implementacinde Procesos

Alineacin con BS-7799



11/24



Objetivo : Proporcionar direccin y apoyo gerencial para brindarseguridad de la informacin.

El nivel gerencial debe establecer una direccin poltica clara ydemostrar apoyo y compromiso con respecto a la seguridad de la

informacin, mediante la formulacin y mantenimiento de una poltica

de seguridad de la informacin a travs de toda la organizacin.

Poltica de seguridad de la informacin


12/24



Definicin de la seguridad de la informacin, sus objetivos y

alcance generales y la importancia de la seguridad como unmecanismo que permite la distribucin de la informacin.

Una declaracin del propsito de los responsables del nivel

gerencial, apoyando los objetivos y principios de la seguridad

de la informacin;

Una poltica de seguridad de la informacin debe cumplir como mnimolas siguientes pautas:



13/24



Una breve explicacin de las polticas, principios, normas yrequisitos de cumplimiento en materia de seguridad, que son

especialmente importantes para la organizacin, por ejemplo:

Cumplimiento de requisitos legales y contractuales.Requisitos de instruccin en materia de seguridad.

Prevencin y deteccin de virus y dems software

malicioso.

Administracin de la continuidad comercial.

Consecuencias de las violaciones a la poltica de

seguridad



14/24



Una definicin de las responsabilidades generales yespecficas en materia de gestin de la seguridad de la

informacin, incluyendo la comunicacin de los incidentes

relativos a la seguridad;

Referencias a documentos que puedan respaldar la poltica,

por ej. , polticas y procedimientos de seguridad ms

detallados para sistemas de informacin especficos o normas

de seguridad que deben cumplir los usuarios.



15/24



Las responsabilidades para la proteccin de activos de informacin

deben ser claramente definidas. Las responsabilidades consideradas

por posicin incluyen:

Comit de Seguridad

Gerencia Ejecutiva

Propietarios de los datos

Propietarios del proceso Especialistas / Asesores de seguridad

Usuarios

Auditores de SI

Organizacin para la seguridad de lainformacin


16/24



El acceso a las instalaciones de procesamiento de informacin de laorganizacin por parte de terceros debe ser controlado.

Cuando existe una necesidad de la empresa para permitir dicho

acceso, debe llevarse a cabo una evaluacin de riesgos para

determinar las incidencias en la seguridad y los requerimientos de

control.

Los controles deben ser acordados y definidos en un contrato con la

tercera parte.

Seguridad frente a terceros


17/24


18/24



Se debe rendir cuentas por todos los recursos de informacinimportantes y se debe designar un propietario para cada uno de ellos.

La rendicin de cuentas por los activos ayuda a garantizar que se

mantenga una adecuada proteccin.

Se deben identificar a los propietarios para todos los activos

importantes y se debe asignarse la responsabilidad por el

mantenimiento de los controles apropiados.

La responsabilidad por la implementacin de los controles puede ser

delegada. En ltimo trmino, el propietario designado del activo debe

rendir cuentas por el mismo.

Responsabilidad por activos de informacin


19/24



Las responsabilidades en materia de seguridad deben ser explicitadasen la etapa de reclutamiento, incluidas en los contratos y monitoreadas

durante el desempeo del individuo como empleado.

Los candidatos a ocupar los puestos de trabajo deben ser

adecuadamente seleccionados, especialmente si se trata de tareas

crticas.

Todos los empleados y usuarios externos del ambiente de

procesamiento deben firmar un acuerdo de confidencialidad.

Seguridad del personal


20/24



Se debe garantizar que los usuarios estn al corriente de lasamenazas e incumbencias en materia de seguridad de la informacin,

y estn capacitados para respaldar la poltica de seguridad de la

organizacin en el transcurso de sus tareas normales.

Los usuarios deben ser capacitados en relacin con los

procedimientos de seguridad y el correcto uso de las instalaciones de

procesamiento de informacin, a fin de minimizar eventuales riesgos

de seguridad.

Seguridad del personal


21/24



Las instalaciones de procesamiento de informacin crtica o sensiblede la empresa deben estar ubicadas en reas protegidas y

resguardadas por un permetro de seguridad definido, con vallas de

seguridad y controles de acceso apropiados.

El equipamiento debe estar fsicamente protegido de las amenazas a

la seguridad y los peligros del entorno (condiciones ambientales y de

aislamiento), para reducir el riesgo de acceso no autorizado a los datos

y para prevenir prdidas o daos.

Seguridad fsica y ambiental


22/24



Los controles de acceso fsico estn diseados para proteger a laorganizacin contra accesos no autorizados al CPD. Estos pueden

incluir:

Cerraduras - Cerrojo, Combinacin, electrnicas,biomtricas

Bitcora o registro de acceso

Cmaras de video

Guardias de seguridad Ambiente cerrado

Desconocimiento de la ubicacin del CPD

Puertas esclusa

Controles de acceso fsico


23/24



Los equipos deben salvaguardarse de las exposiciones ambientalesmediante los siguientes controles:

Panel de control de alarmas

Detector de agua / humedad Detectores de humo

Sistemas de supresin de incendios

Extintores manuales de incendios

Aire acondicionado / sensor de temperatura

Generador de energa ininterrumpida (UPS)

Falso Piso, Falso Techo

Controles ambientales


24/24


Preguntas?


Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)

Documents

Transcript of Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)