Download - Confer en CIA Ntp Iso Iec 17799
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 1/41
1
SEGURIDAD DE LA INFORMACIONOFICINA NACIONAL DE GOBIERNO
ELECTRONICO E INFORMATICA
Ing. Max LazaroT.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 2/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 3/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 4/41
4
Importancia de la seguridad
� Muchas organizaciones tienen políticas deseguridad, la mayoría de las mismas
incluso entrenan a sus funcionarios yempleados, pero muy pocas implantanuna ³cultura de conciencia en seguridad´al nivel de una ³vecindad en guardia´ quefomenta la identificación y reporte deproblemas de seguridad.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 5/41
5
A cciones de la ONGEI
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 6/41
6
A cciones de la ONGEI� El gobierno peruano ha emitido desde el año 2002
diferentes normas referidas a seguridad de lainformación, entre las cuales podemos resaltar lassiguientes:
� ³Modificación de las normas y procedimientos técnicossobre contenidos de las páginas web´.� ³Normas técnicas para el almacenamiento y respaldo de
la información procesada por las entidades de laadministración pública´.
� Directiva sobre "Normas para el uso del servicio decorreo electrónico en las entidades de la administraciónpública´
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 7/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 8/41
8
A nálisis de Vulnerabilidades
Sistemas operativosBases de Datos A plicativos
Firewall
E-Mail Server
WebServer
Servidores
Estaciones de Trabajo
Red
Intena
ONGEI
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 9/41
9
Encuesta sobre Seguridad de laInformación en las Entidades publicas
� Con RM- 3 10-200 4 la Oficina Nacional deGobierno Electrónico e Informática emitióla primera encuesta nacional sobreseguridad de la información en lasentidades publicas.
� El objetivo de dicha encuesta es obtener
información del nivel de seguridad con laque cuentan actualmente las Entidadesdel Estado.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 10/41
10
A lgunos resultados de la Encuesta
� Dentro de los puntos más relevantes de laencuesta se ha podido observar que: ± El 6 3% no posee un responsable en temas de
seguridad de la información, ± El 86 % no cuenta con asesoramiento en temas de
seguridad de la información, ± E 5 9 % de instituciones no prepara a sus usuarios
para reportar incidentes de seguridad, ± El 8 2% no recibe capacitación en temas de
seguridad, ± El 7 0% no tiene preparados procedimientos de
respuesta a incidentes o anomalías que pudieransuceder.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 11/41
11
Código de Buenas Prácticaspara la Gestión de la
Seguridad de la InformaciónNTP-ISO/IEC 17799 2004 EDI
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 12/41
12
Emisión de la Norma Técnica Peruanasobre Seguridad de la Información
� Con fecha 2 3 de julio del 200 4 la Presidenciadel Consejo de Ministros a través de la OficinaNacional de Gobierno Electrónico, dispone eluso obligatorio de la Norma Técnica Peruana³NTP ± ISO/IEC 17799:2004 EDI.Tecnologíade la Información: Código de Buenas Prácticaspara la Gestión de la Seguridad de laInformación´ en entidades del Sistema Nacionalde Informática estableciendo un plazo de 1 8 meses para su implementación.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 13/41
13
Marco de las recomendaciones� La ISO 1 7799 es una compilación de recomendaciones
para las prácticas exitosas de seguridad que todaorganización puede aplicar independientemente de sutamaño o sector.
� La norma técnica fue redactada para que fuera flexible yno induce a las organizaciones que la cumplan al pie dela letra, se deja a estas dar una solución de seguridadde acuerdo a sus necesidades.
� Las recomendaciones de la norma técnica ISO 1 7799 son neutrales en cuanto a la tecnología.A sí, la norma discute la necesidad de contar concortafuegos, pero no profundiza sobre los tipos decortafuegos y cómo se utilizan.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 14/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 15/41
15
Las diez áreas de control de ISO
17799
:1. Política de seguridad: Se necesita una política querefleje las expectativas de la organización en materiade seguridad, a fin de suministrar administración condirección y soporte. La política también se puedeutilizar como base para el estudio y evaluación encurso.
2. Organización de la seguridad: Sugiere diseñar unaestructura de administración dentro la organización,que establezca la responsabilidad de los grupos enciertas áreas de la seguridad y un proceso para elmanejo de respuesta a incidentes.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 16/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 17/41
17
6 . Manejo de las comunicaciones y las operaciones:Los objetivos de esta sección son:
± A segurar el funcionamiento correcto y seguro de lasinstalaciones de procesamiento de la información.
± Minimizar el riesgo de falla de los sistemas. ± Proteger la integridad del software y la información. ± Conservar la integridad y disponibilidad del procesamiento y la
comunicación de la información. ± Garantizar la protección de la información en las redes y de la
infraestructura de soporte. ± Evitar daños a los recursos de información e interrupciones en
las actividades de la compañía. ± Evitar la pérdida, modificación o uso indebido de la
información que intercambian las organizaciones.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 18/41
18
7. Control de acceso: Establece la importanciade monitorear y controlar el acceso a la red ylos recursos de aplicación como protección
contra los abusos internos e intrusos externos.8. Desarrollo y mantenimiento de los
sistemas: Recuerda que en toda labor de latecnología de la información, se debeimplementar y mantener la seguridadmediante el uso de controles de seguridad entodas las etapas del proceso.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 19/41
19
9. Manejo de la continuidad de la empresa: A consejaestar preparado para contrarrestar las interrupcionesen las actividades de la empresa y para proteger losprocesos importantes de la empresa en caso de unafalla grave o desastre.
10. Cumplimiento: Imparte instrucciones a lasorganizaciones para que verifiquen si el cumplimientocon la norma técnica ISO 1 7799 concuerda con otrosrequisitos jurídicos, como la Directiva de la UniónEuropea que concierne la Privacidad, la Ley deResponsabilidad y Transferibilidad del Seguro Médico
(HIP AA por su sigla en Inglés) y la Ley Gramm-Leach-Billey (GLB A por su sigla en inglés). Esta seccióntambién requiere una revisión a las políticas deseguridad, al cumplimiento y consideraciones técnicasque se deben hacer en relación con el proceso deauditoría del sistema a fin de garantizar que lasempresas obtengan el máximo beneficio.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 20/41
20
Beneficios de la norma técnica ISO17799
� Una organización que adopte la Norma TécnicaPeruana ISO 1 7799 tiene mayores ventajasfrente a los que no la adopten: ± Mayor seguridad en la organización. ± Planeación y manejo de la seguridad más efectivos. ± A lianzas comerciales y e-commerce más seguras. ± Mayor confianza en el cliente. ± A uditorías de seguridad más precisas y confiables. ± Menor Responsabilidad civil
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 21/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 22/41
22
� La seguridad en Internet ha sido siempreconsiderada como un problema de ingeniería , ylas organizaciones tratan de resolverlo
utilizando tecnología.� Este enfoque es incorrecto; la tecnología está
fallando y la situación está empeorando.� Lo que realmente necesitamos son mejores
modelos de procesos , no mejor tecnología.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 23/41
23
� La seguridad es un proceso de gestión deriesgo , y la única forma de que laDirección tome las medidas adecuadas escambiando sus políticas de seguridad.
� Esto se puede conseguir introduciendonuevas normativas, o reforzando las yaexistentes.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 24/41
24
Acceso a los recursos
por clientes y empleados.
Acceso a los recursos
por clientes y empleados.
DisponibilidadSalvaguardar la información
de clientes y del negocio.
Salvaguardar la información
de clientes y del negocio.
Confidencialidad
Confianza en la informacióndel negocio y clientes.Confianza en la informacióndel negocio y clientes.
Integridad
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 25/41
25
A LC A NCE DE L A SEGURID A D
PersonasPersonas
ProcesosProcesos
TecnologíaTecnología
RH DedicadosRH DedicadosEntrenamientoEntrenamientoSeguridadSeguridad²²pensamiento ypensamiento yprioridadprioridadEducación de empleadosEducación de empleados
Planeación de seguridadPlaneación de seguridadPrevenciónPrevenciónDetecciónDetecciónReacciónReacción
Tecnología de puntaTecnología de puntaEstandar, encripción, protecciónEstandar, encripción, protecciónFuncionalides de productoFuncionalides de productoHerramientas de Seguridad yHerramientas de Seguridad yproductosproductos
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 26/41
26
Enfoque integral de la seguridad
� La seguridad debe tenerse en cuenta en: ± Todas las etapas de un proyecto
� Dise ño� Desarrollo� Implementaci ón
± Todas las capas
� Red� ServidoresA plicaci ón
´La´La seguridadseguridad eses tantan buenabuena comocomo elel eslabóneslabón másmás débilµdébilµ
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 27/41
27
A N A LISISDE
RIESGOS
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 28/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 29/41
29
A nálisis de Riesgos
� Peligros contra la confidencialidad.
± A ccesos no autorizados a información confidencial ± A ccesos públicos a información confidencial, por error,
mala configuración o descuido. ± Suplantación de usuarios. ± A cceso a servicios confidenciales (correo, bbdd,
servidores de acceso, etc). ± Instalación de caballos de troya. ± A cceso físico a material restringido.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 30/41
3 0
A nálisis de Riesgos
� Peligros contra la integridad
± Modificación indebida de datos (fallo de permisos) ± Falta de integridad (borrado o modificación) de datos. ± Imposibilidad de identificar fuente de datos. ± Fallo en la integridad de bases de dato (corrupcion). ± Modificación en archivos de sistema (configuraciones,
logs, etc) ± Destrucción o corrupción de backups. ± Virus. ± A cceso físico a material restringido.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 31/41
3 1
A nálisis de Riesgos
� Peligros contra la disponibilidad.
± Caida de servicios externos. (DoS) ± A gotamiento de recursos (ancho de banda, disco, socket,
etc). (DoS o mala config.) ± Fallo de infraestructuras generales de red (routing,
switches, etc). (DoS, fallo, mala configuración o sabotaje) ± Destrucción de configuraciones o servicios. (DoS o
Sabotaje) ± A cceso físico a infraestructura básica. Sabotaje.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 32/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 33/41
33
Costo Económico
� Solo importa cuando suceden losproblemas de seguridad.
A justar la ecuación del riesgo hasta que leinterese e importe a la alta dirección.
A partir de ese entendimiento se podrágestionar la seguridad.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 34/41
34
A plicación de la NTP-ISO/IEC 1 7799
Publicar una política Establecer un marco
de trabajo
Identificar riesgos Implementar la política
Plan de continuidadde negocio
EDUCACIÓN
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 35/41
35
Entregables de la NTP-ISO/IEC 1 7799
Política de
SeguridadInstitucional
Análisis deriesgos
NTP-ISO/IEC17799 vs. elanálisis de
riesgos(Brecha)
Plan
Implementaciónde los controlesde seguridad
Implementación Gradual y Priorizada
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 36/41
3 6
Estrategia Nacional de Seguridadde la Información
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 37/41
3 7
Objetivos� Prevenir los incidentes negativos de seguridad de la
información en la infraestructura de los sistemas deinformación y comunicaciones de los organismospúblicos del Estado Peruano.
� Reducir las vulnerabilidades de los sistemas deinformación y comunicaciones de los organismospúblicos del Estado Peruano, ante posibles ataquescibernéticos o incidentes negativos que puedanproducirse.
� Minimizar el daño y el tiempo de recuperación siocurriese algún tipo de incidente negativo en lainfraestructura de los sistemas de información ycomunicaciones de los organismos públicos del EstadoPeruano.
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 38/41
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 39/41
3 9
FR A SE CELEBRE
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 40/41
4 0
"Conoce al enemigo y conócete a ti mismo y, encien batallas, no correrás jamás el más mínimopeligro.
Cuando no conozcas al enemigo, pero teconozcas a ti mismo, las probabilidades devictoria o de derrota son iguales.
Pero si a un tiempo ignoras todo del enemigo yde ti mismo, es seguro que estás en peligro encada batalla"
Sun Tzu, El Arte de la Guerra
8/6/2019 Confer en CIA Ntp Iso Iec 17799
http://slidepdf.com/reader/full/confer-en-cia-ntp-iso-iec-17799 41/41
4 1
MUCH A S GR A CI A S