Introducción a La Seguridad de La Información1

5/24/2018 Introduccin a La Seguridad de La Informacin1

1/22

27/08/2

Introduccin a laseguridad de la

informacin

Ing. Maurice Frayssinet Delgado

Instructor

Maurice Frayssinet Delgado Ing. de Sistemas e Informtica

Instructor Seguridad de la Informacin en Telefnica (TIS)

Ex Jefe de Sistemas de la Municipalidad Metropolitana de Lima

Asesor UNMSM, Marina de Guerra del Peru (DHN), ESSALUD CNSR

Docente Inictel-Uni, ISIL, Cibertec, Universidad Sipan, Universidad Continental

Instructor de academia Cisco en CCNA, CCNP y CCNA security.

Instructor Ethical Hacking, Metodologas Anlisis de Riesgo (ISO 31000 y 27005) y

vulnerabilidades

Instructor Seguridad en Redes Linux y Unix (Sun Solaris)

Instructor Seguridad en Firewall e IDS, IPS, ISO 27001, 27002

Manejo de Metodologas Cobit, COSO ERM, CISA y AS-NZS 4360-2004 Risk Management,

Penetration Test (OSSTMM)

Conocimiento de Seguridad de Aplicaciones Visual Studio 2010/2008 DBA Oracle, SQL Server 2008

Inteligencia de Negocios Qlikview, Microstrategy, OLAP

implementacin y Gestin de las normas ISO 17799, 12207, 9001, 14000 y 27001

Estudios de Derecho Informtico

Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin

GESTIN DE SEGURIDADDE LA INFORMACIN



2/22

27/08/2

Gestin de Seguridad de la Informacin

Mostrar los fundamentos de la seguridad de la informacin y

normatividad, con el fin de conocer los estndares aceptadosmundialmente.

Proveer las bases tericas y prcticas de la seguridad de lainformacin poder proponer e implementar un plan de seguridad de la

informacin

Fortalecer habilidades y competencias en los asistentes para

optimizar ejercicio de seguridad a las tecnologas de informacin y

comunicaciones.


OBJETIVOS


Profesionales y tcnicos en TI

Analistas programadores

Jefes de proyectos

Administradores, Abogados

Profesionales de seguridad de la informacin

Personal informtico del sector estado


DIRIGIDO


1. Introduccin a la seguridad de la Informacin (24 horas)

2. Seguridad Perimetral y de las comunicaciones(32 horas)

3. Oficial de Seguridad de la Informacin(24 horas)

4. Proteccin de Servidores en Windows Server(32 horas)

5. Proteccin de Servidores en Linux(32 horas)

TOTAL : 144 HORAS


DURACION


3/22

27/08/2


Introduccin a la seguridad. Seguridad de la Informacin.

Orgenes Normas de Seguridad de la Informacin.

Familia ISO 27000.

Norma ISO 27001.

Norma ISO 27002 (antes ISO 17799).

Casos Prcticos


Modulo 1 Introduccin a la seguridad de la Informacin


Seguridad Perimetral.

El Router

El Firewall

El Proxy

Detector de Intrusos.

Cifrado

VPN

Seguridad con Switches

Seguridad con redes inalmbricas Access Point

Casos Prcticos


Modulo 2Seguridad Perimetral y de las comunicaciones


Qu es un oficial de seguridad?

Roles del Oficial de seguridad

Gestin de Riesgos ISO 27005

Polticas de Seguridad

Plan de Seguridad

Plan de Continuidad de Negocio

Casos Prcticos


Modulo 3Oficial de Seguridad de la Informacin


4/22

27/08/2


Instalacin Windows 2008 Server Servipack y Parches de Seguridad

Windows Server Update Services

Seguridad de cuentas, Polticas de Passwords.

Encriptacin

Windows Server 2008 como Fileserver

Windows Server 2008 como Directorio Activo

Definicin de Polticas GPO

Auditoria del Windows 2008 Server

Certificados Digitales


Modulo 4Proteccin de Servidores en Windows Server


Instalacin Linux Centos

Parchado del sistema Linux Centos

Comando yum para actualizacin en lnea

Seguridad de cuentas, Polticas de Passwords.

Encriptacin de sesin con SSH

Linux Centos como Fileserver

Herramientas seguridad de la red

Monitoreo de la Red

Auditoria del Linux Centos


Modulo 5Proteccin de Servidores en Linux

Otros Cursos

Seguridad Redes Wireless

Informtica Forense

Ethical Hacking

Auditoria del estado de seguridad de lainformacin

Cobit

ITIL



5/22

27/08/2

MODULO 1INTRODUCCIN A LA SEGURIDAD

DE LA INFORMACIN


www.themegallery.com Company Logo

Temario

Introduccin a la seguridad.

Seguridad de la Informacin.

Orgenes Normas de Seguridad de laInformacin.

Familia ISO 27000 (Normas de Seguridad de laInformacin).

Norma ISO 27001.

Norma ISO 27002 (antes ISO 17799).Casos Prcticos

INTRODUCCIN A LA SEGURIDAD



6/22

27/08/2

El Arte del Engao Kevin Mitnick

Una compaa puede hacer comprado las mejores

tecnologas de seguridad que el dinero pueda comprar,

entrenado a su personal tan bien que aseguren todos sus

secretos comerciales antes de irse a casa en la noche, y

contratar guardias de seguridad de la mejor firma de

seguridad del entorno.

ESA COMPAA AN ES TOTALMENTEVULNERABLE.

El Arte del Engao Kevin Mitnick

Las personas pueden seguir cada una de las mejores

prcticas de seguridad recomendadas por expertos,

instalar diligentemente cada producto de seguridad

recomendado, revisar minuciosamente las configuraciones

correctas de los sistemas, y aplicar parches de seguridad.

ESAS PERSONAS AN ESTNCOMPLETAMENTE VULNERABLES.

Por qu debemos pensar en seguridad de la informacion?



7/22

27/08/2

Seguridad es unanecesidad bsica.Estando interesada enla prevencin de la vidalas posesiones, es tanantigua como ella


La maquina Enigma

Enigma era el nombre

de una mquina que

dispona de un

mecanismo de cifrado

rotatorio, que permita

usarla tanto para cifrar

como para descifrar

mensajes. Varios de

sus modelos fueron

muy utilizados enEuropa desde inicios

de los aos 1920


Enigma



8/22

27/08/2

ARPANET

El Departamento de Avanzada dela Defensa Agencia de Proyectosde Investigacin (ARPA), comenza examinar la viabilidad de unsistema redundante decomunicaciones, en red paraapoyar el intercambio de losmilitares de la informacin. LarryRoberts, conocido como elfundador de la Internet, hadesarrollado el proyecto desde susinicios. Este proyecto, llamadoARPANET, es el origen de laactual Internet


Internet


Informe de Rand R-609

Es un documento quetrata de definir losmltiples controles ymecanismos necesariospara la proteccin de unsistema informticomultinivel. El documentofue clasificado por casidiez aos, y ahora seconoce como el papelque se inici el estudiode la seguridad en lascomputadoras.



9/22

27/08/2

Preguntas y Respuestas

SEGURIDADDE LA

INFORMACIN


La valoracin de la seguridad por parte de laspersonas es una preocupacin en alza. Lasociedad de consumo en la que vivimos nosgenera nuevas necesidades, ms all de lasque siempre se han considerado bsicas, loque conlleva a la poblacin a buscar los caucesadecuados para cubrir holgadamente lasnecesidades de seguridad y mejorar, por tanto,su calidad de vida.



10/22

27/08/2


Modelo de seguridad de McCumber

John R. McCumber expuso en la decimocuartaedicin de la National Computer SecurityConference un modelo fcil y completo deseguridad, independiente del entorno, arquitecturao tecnologa que gestiona nuestra informacin. Suaplicacin es universal y no est restringido pordiferencias organizacionales.

El modelo de tres dimensiones se convierte en uncubo con 27 celdillas como marco de actuacin.


Modelo de seguridad de McCumber



11/22

27/08/2

Los sistemas de informacin se han constituido como unabase imprescindible para el desarrollo de cualquier actividad

empresarial; estos sistemas han evolucionado de formaextraordinariamente veloz, aumentando la capacidad degestin y almacenamiento.

El crecimiento ha sido constante a lo largo de las ltimasdcadas, sin embargo, esta evolucin tecnolgica tambinha generado nuevas amenazas y vulnerabilidades para lasorganizaciones.


Pilares de la Seguridad de la Informacion


Difusion del virus sapphire en 30 minutos



12/22

27/08/2

Dimensiones de la seguridad


Dimensiones de la seguridad

Disponibilidad:asegurar que los usuarios autorizados tienen acceso cuando lo

requieran en los tiempos adecuados.

Integridad: garanta de la exactitud y de que la informacin sea completa, as como

los mtodos de su procesamiento.

Confidencialidad:asegurar que la informacin es slo accesible para aquellos

autorizados.

Autenticidad de los usuarios del servicio: asegurar la identidad de los usuarios que

manejan o acceden al activo.

Autenticidad del origen de los datos: asegurar la identidad u origen de los datos.

Trazabilidad del servicio: asegurar que en todo momento se podr determinar quin

hizo qu y en qu momento.

Trazabilidad de los datos: asegurar que en todo momento se podr determinar

quin ha accedido a los datos.


Lo importante no es tanto la ausencia de

incidentes si no conocer los riesgos para poderafrontarlos y controlarlos.



13/22

27/08/2

Gestin de la seguridad


Caso prctico: Gestin de Clientes



De forma habitual, los datos delos clientes pueden llegar a laorganizacin a travs de mail,

fax, correo, telfono, y suelen

ser recabados por iniciativa del

cliente

que solicita un servicio. Es

importante informar y solicitar

el consentimiento del cliente

(si ste es necesario) parallevar a cabo el tratamiento de

los datos de carcter personal.



14/22

27/08/2


Una vez capturadoslos datos, el cliente

pasa a formar parte delcircuito comercial de laempresa, realizando

pedidos a los que se

asocian entregas dematerial y emisin de

facturas.





La captura y mecanizacin de los datos delcliente en el sistema de informacin, que enla mayor parte de los casos est informatizadoy cuyos datos estn almacenados en unservidor central, se debe considerar comosubproceso de la gestin de cliente.



15/22

27/08/2


Una vez recibida la solicitud de

alta del cliente, el personal

encargado de su gestin debe

realizar una consulta de la base

de datos de clientes. Para ello

accede a un ordenador,

normalmente personal de

administracin, y utiliza la

aplicacin de gestin de la

empresa que permite acceder a

los datos de los clientes o crear

nuevos clientes. Este anlisispermite concluir que son

necesarios seis elementos en el

sistema de informacin para

llevar a cabo las altas y

consultas sobre clientes de la

empresa



Adicionalmente, se debeconsiderar que estoselementos dependen asu vez de otros demenor nivel, peroindispensables en elproceso, como son elsuministro elctrico, la

red de rea local, etc.Todos estos elementosson importantes por darsoporte al procesogeneral de consulta declientes.




16/22

27/08/2


Se puede ver el rbol de dependencias como un castillo, dondeel fallo de cualquier elemento de la base genera la cada parcial o

total del edificio.Esta forma grfica evidencia que los fallos en elementos de bajo

nivel pueden ser arrastrados y producir paradas en los

principales servicios de la empresa.

Estas relaciones son las que producen los efectos bola de

nieve o avalancha, donde un incidente, menor sobre unelemento poco importante, puede tener consecuencias graves en

funcin de la importancia general que tenga el elemento afectado

en la continuidad de los procesos de negocio a los que dasoporte.







17/22

27/08/2






La gestin de la seguridad de lainformacin debe atender un

objetivo claro: reducir el nivel de

riesgo al que la organizacin se

encuentra expuesta.



18/22

27/08/2

Autoevaluacin

Seguridad es parte de la estrategia denegocios?

Est involucrada la alta gerencia de laorganizacin en aspectos de seguridad?

Existe un responsable de la seguridad?(CSO, CISO) A quin reporta en laorganizacin?

En qu porcentaje depende suorganizacin de la tecnologa?

Autoevaluacin

Existe una adecuada administracin de

riesgos? Existen planes de continuidad de

negocios y recuperacin de desastres?Con qu frecuencia se actualizan?

Est la organizacin cumpliendo conlas leyes y reglamentos de su pas y/ointernacionales?

Autoevaluacin


19/22

27/08/2


ORGENES NORMAS DESEGURIDAD DE LA INFORMACIN.


Revisin por: NCC (Centro

Nacional deComputacin)

Consorciousuarios

1993

Estndar nacionalbritnico

1995

Estndar Internacional(Fast Track)

1999 2000

Revisin peridica(5 aos)

2005

Nuevoestndarnacionalcertificable

EstndarInternacional

1998 2002

Revisinconjunta de laspartes 1 y 2

Revisin yacercamiento a:ISO 9001ISO 14001OCDE

1999 2005

Centro deSeguridad deInformticaComercial delReino Unido(CCSC/DTI)

1989

Revisinconjunta de laspartes 1 y 2

Certificable

Cdigo deprcticasparausuarios

PD0003Cdigo deprcticaspara lagestin dela seguridadde lainformacin

BS 7799

BS 7799-1

:1999

ISO/IEC 17799

:2000

ISO/IEC 17799

:2005

BS 7799-2:2002

BS 7799-2 BS 7799-2:1999

ISO/IEC 27001:2005

Historia de ISO 27001 e ISO 17799

No certificable

ISO/IEC 27002
http://www.dti.gov.uk/index.html


20/22

27/08/2

Que es BSI?La British Standards Institution, cuyas siglas

corresponden a BSI, es una multinacional cuyo finse basa en la creacin de normas para laestandarizacin de procesos. BSI es unorganismo colaborador de ISO y proveedor deestas normas, son destacables la ISO 9001, ISO14001 e ISO 27001. Entre sus actividadesprincipales se incluyen la certificacin, auditora yformacin en las normas.

Es uno de los principales organismos decertificacin del mundo con 60.000 clientescertificados en ms de 100 pases.

que hace BSI?

Opera en todo el mundo y ofrece a las

organizaciones auditora y certificacinindependientes de sus sistemas degestin. Asimismo, ofrece una serie deservicios de formacin que ayudan a todotipo de organizaciones a mejorar sueficacia empresarial y a reducir susriesgos.


21/22

27/08/2

Visin y Misin de BSI

VisinUna empresa de servicios profesionales

independiente, global y comercial queinspira confianza y proporciona seguridada los clientes por medio de solucionesbasadas en estndares.

MisinPoner de manifiesto las mejorescualidades de su organizacin.

Pasos para alcanzar lacertificacin

1. Elegir el estndar

2. Contactar

3. Cita con el equipo de auditora

4. Considerar la posibilidad deformacin

5. Pre-auditora

6. La auditora formal

7. Certificacin y mucho ms


22/22

27/08/2


Introducción a La Seguridad de La Información1

Documents

Transcript of Introducción a La Seguridad de La Información1