SEGURIDAD DE LA INFORMACIÓN AMENAZAS Y DESAFIOS · CASOS (AMBITO CIVIL Y DE LA DEFENSA) ESTANDAR...

Coronel (R) VGM OIM José Fernando LOPEZ ([email protected])

SEGURIDAD DE LA INFORMACIÓN AMENAZAS Y DESAFIOS

08 de Agosto 2018


SEGURIDAD DE LA INFORMACIÓN

ESCENARIO (NACIONAL E INTERNACIONAL)

AMENAZAS

REMEDIACION Y MEDIDAS

CASOS (AMBITO CIVIL Y DE LA DEFENSA)

ESTANDAR INTERNACIONAL 2700X - SGSI

REFLEXIONES

TEMARIO


ADICIONALMENTE

Autenticidad: Asegura la validez de la información en tiempo, forma y distribución

y se garantiza el origen de la información.

Confiabilidad: Asegura que información sea adecuada para apoyo a la toma de

decisiones y ejecución misiones y funciones del Organismo.

No repudio: Es la garantía de intervención de las partes en una comunicación.

Consideramos dos tipos de no repudio:

No repudio en origen: garantiza que la persona que envía el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.

No repudio en destino: El receptor no puede negar que recibió el mensaje, porque el emisor tiene pruebas de la recepción del mismo.

Auditabilidad: Todos los eventos de un sistema deben poder ser registrados para

su control posterior.

Legalidad: La información y su tratamiento deben estar ajustados al cumplimiento

de las leyes, normas, reglamentaciones o disposiciones vigentes que corresponda.

… Seguridad de la Información..Conjunto de medidas PASIVAS y ACTIVAS que buscan proteger..

.. mediante la aplicación de un proceso sistemático de GESTIÓN DE RIESGOS sobre los activos de la información de la Organización

Seguridad de la INFORMACIÓN ≠ Seguridad INFORMÁTICA


PHISHING (Suplantación de Identidad)

En el primer trimestre de 2018, Argentina ocupó en 2do lugar en el porcentaje de usuarios atacados por los phishers (13,30%), solo aventajado por Brasil con el 19,07%.

Como blanco de lo ataques las categorías financieras en su conjunto (bancos, 18,25%; tiendas en línea, 17,26%; sistemas de pago, 8,41%) representan casi la mitad de todos los ataques, el 43,92%


IoT

Ransomware


Incremento de GASTOS en Medidas Seguridad

MAS dispositivosMAS diversidad..MAS Sistemas Operativos..

Aumenta Superficie de Ataque

RRHH idóneos limitados

Incremento de RIESGOS por .. Pérdidas Económicas... Pérdida de credibilidad.. Daños a la imagen Institucional

MAS Volumen datos almacenadosMAYOR Tráfico de datos


FÍSICAS LÓGICAS

Producidas por

Amenazas Naturales Amenazas de Agentes Externos Amenazas de Agentes Internos

Por su ORIGEN

Por su INTENCIONALIDAD

Personas Software Específico Fenómenos Naturales

Accidentes Errores Actor Malintencionado

Por su NATURALEZA

Interceptación

Modificación

Interrupción

Emulación

E R

E R

E R

E R


• Adoptar ESTANDARES INTERNACIONALES (ISO/IEC 27000).

• Ajustarse a POLITICAS, NORMAS y PROCEDIMIENTOS de Seguridad de la Información.

• Implementar enfoque de Seguridad de la Información basado en el RIESGO.

• Tratar la Seguridad como PARTE de la CULTURA de la Organización.

• Adoptar ESQUEMAS de defensa eficientes (generalmente en capas y en profundidad).

• Comprobar REGULARMENTE la condición de Seguridad (PenTest Externos e Internos).

• Asegurar últimas Actualizaciones y Parches de Seguridad en Equipos y Sistemas.

• Capacitar y Concientizar a los Usuarios en BUENAS PRÁCTICAS de Seguridad

Prevención+

Protección

RIESGOS Y AMENAZAS

El ESLABÓN más débil de la cadena de seguridad sigue siendo..

.. QUE MEDIDAS PODEMOS ADOPTAR PARA MITIGAR EL RIESGO ..

el USUARIO


ESTANDAR INTERNACIONAL ISO1/IEC2 2700X

La norma ISO IEC 27001 es la norma internacional que proporciona los requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI).

Adoptar un sistema de gestión de seguridad de la información es una DECISIÓN ESTRATÉGICA para una organización.

ISO/IEC 27000 familyInformation security management systems (ISMS) (SGSI en español)

ISO/IEC 27000:2018Information security management systems - Overview and vocabulary

ISO/IEC 27001:2013 *Information security management systems - Requirements

ISO/IEC 27002:2013 *Code of practice for information security controls

ISO/IEC 27003:2017Information security management systems - Guidance

ISO/IEC 27004:2016 *Information security management - Monitoring, measurement, analysis and evaluation

ISO/IEC 27005:2018 *Information security risk management

ISO/IEC 27006:2015 *Requirements for bodies providing audit and certification of information securitymanagement systems

ISO/IEC 27007:2017Guidelines for information security management systems auditing

ISO/IEC TR 27008:2011Guidelines for auditors on information security controls

ISO/IEC 27009:2016ISO/IEC 27010:2015ISO/IEC 27011:2016

1 . International Organization for Standardization (ISO)2. International Electrotechnical Commission (IEC)* En el catálogo IRAM Argentino

14 Dominios35 Objetivos de Control114 Controles


PolíticasReglasRegulacionesEstándaresAuditoriasControles ExternosControles InternosNormasProcedimientos

La Seguridad de la Información no es un problema TECNOLÓGICO..Es una construcción CULTURAL donde cada MIEMBRO de la Organizaciónhace su parte.

Como soldados profesionales estamos OBLIGADOS a CUMPLIR y HACER CUMPLIR con las mejores prácticas de seguridad de la información fijadas en políticas, normas y procedimientos.


08 de Agosto 2018

CEPTM URL http://www.ceptm.iue.edu.ar/CEPTM Secretaría [email protected]

SEGURIDAD DE LA INFORMACIÓN AMENAZAS Y DESAFIOS · CASOS (AMBITO CIVIL Y DE LA DEFENSA) ESTANDAR...

Documents

Transcript of SEGURIDAD DE LA INFORMACIÓN AMENAZAS Y DESAFIOS · CASOS (AMBITO CIVIL Y DE LA DEFENSA) ESTANDAR...