Introducción a la Gestión de Seguridad de la Información

27/08/2012
1
Introduccin a la
seguridad de la
informacin
Ing. Maurice Frayssinet Delgado
Instructor
Maurice Frayssinet Delgado
Ing. de Sistemas e Informtica
Instructor Seguridad de la Informacin en Telefnica (TIS)
Ex Jefe de Sistemas de la Municipalidad Metropolitana de Lima
Asesor UNMSM, Marina de Guerra del Peru (DHN), ESSALUD CNSR
Docente Inictel-Uni, ISIL, Cibertec, Universidad Sipan, Universidad Continental
Instructor de academia Cisco en CCNA, CCNP y CCNA security.
Instructor Ethical Hacking, Metodologas Anlisis de Riesgo (ISO 31000 y 27005) y
vulnerabilidades
Instructor Seguridad en Redes Linux y Unix (Sun Solaris)
Instructor Seguridad en Firewall e IDS, IPS, ISO 27001, 27002
Manejo de Metodologas Cobit, COSO ERM, CISA y AS-NZS 4360-2004 Risk Management,
Penetration Test (OSSTMM)
Conocimiento de Seguridad de Aplicaciones Visual Studio 2010/2008
DBA Oracle, SQL Server 2008
Inteligencia de Negocios Qlikview, Microstrategy, OLAP
implementacin y Gestin de las normas ISO 17799, 12207, 9001, 14000 y 27001
Estudios de Derecho Informtico
Ing. Maurice Frayssinet Delgado Introduccin a la seguridad de la informacin
GESTIN DE SEGURIDAD
DE LA INFORMACIN

27/08/2012
2
Gestin de Seguridad de la Informacin
Mostrar los fundamentos de la seguridad de la informacin y
normatividad, con el fin de conocer los estndares aceptados
mundialmente.

Proveer las bases tericas y prcticas de la seguridad de la
informacin poder proponer e implementar un plan de seguridad de la
informacin

Fortalecer habilidades y competencias en los asistentes para
optimizar ejercicio de seguridad a las tecnologas de informacin y
comunicaciones.

OBJETIVOS
Profesionales y tcnicos en TI
Analistas programadores
Jefes de proyectos
Administradores, Abogados
Profesionales de seguridad de la informacin
Personal informtico del sector estado

DIRIGIDO
1. Introduccin a la seguridad de la Informacin (24 horas)
2. Seguridad Perimetral y de las comunicaciones (32 horas)
3. Oficial de Seguridad de la Informacin (24 horas)
4. Proteccin de Servidores en Windows Server (32 horas)
5. Proteccin de Servidores en Linux (32 horas)

TOTAL : 144 HORAS

DURACION
27/08/2012
3
Introduccin a la seguridad.
Seguridad de la Informacin.
Orgenes Normas de Seguridad de la Informacin.
Familia ISO 27000.
Norma ISO 27001.
Norma ISO 27002 (antes ISO 17799).
Casos Prcticos

Modulo 1 Introduccin a la seguridad de la Informacin
Seguridad Perimetral.
El Router
El Firewall
El Proxy
Detector de Intrusos.
Cifrado
VPN
Seguridad con Switches
Seguridad con redes inalmbricas Access Point
Casos Prcticos
Modulo 2 Seguridad Perimetral y de las comunicaciones
Qu es un oficial de seguridad?
Roles del Oficial de seguridad
Gestin de Riesgos ISO 27005
Polticas de Seguridad
Plan de Seguridad
Plan de Continuidad de Negocio
Casos Prcticos

Modulo 3 Oficial de Seguridad de la Informacin
27/08/2012
4
Instalacin Windows 2008 Server
Servipack y Parches de Seguridad
Windows Server Update Services
Seguridad de cuentas, Polticas de Passwords.
Encriptacin
Windows Server 2008 como Fileserver
Windows Server 2008 como Directorio Activo
Definicin de Polticas GPO
Auditoria del Windows 2008 Server
Certificados Digitales

Modulo 4 Proteccin de Servidores en Windows Server
Instalacin Linux Centos
Parchado del sistema Linux Centos
Comando yum para actualizacin en lnea
Seguridad de cuentas, Polticas de Passwords.
Encriptacin de sesin con SSH
Linux Centos como Fileserver
Herramientas seguridad de la red
Monitoreo de la Red
Auditoria del Linux Centos

Modulo 5 Proteccin de Servidores en Linux
Otros Cursos

Seguridad Redes Wireless
Informtica Forense
Ethical Hacking
Auditoria del estado de seguridad de la
informacin
Cobit
ITIL

27/08/2012
5
MODULO 1
INTRODUCCIN A LA SEGURIDAD
DE LA INFORMACIN

www.themegallery.com Company Logo
Temario
Introduccin a la seguridad.
Seguridad de la Informacin.
Orgenes Normas de Seguridad de la
Informacin.
Familia ISO 27000 (Normas de Seguridad de la
Informacin).
Norma ISO 27001.
Norma ISO 27002 (antes ISO 17799).
Casos Prcticos

INTRODUCCIN A LA SEGURIDAD

27/08/2012
6
El Arte del Engao Kevin Mitnick
Una compaa puede hacer comprado las mejores
tecnologas de seguridad que el dinero pueda comprar,
entrenado a su personal tan bien que aseguren todos sus
secretos comerciales antes de irse a casa en la noche, y
contratar guardias de seguridad de la mejor firma de
seguridad del entorno.

ESA COMPAA AN ES TOTALMENTE
VULNERABLE.

El Arte del Engao Kevin Mitnick
Las personas pueden seguir cada una de las mejores
prcticas de seguridad recomendadas por expertos,
instalar diligentemente cada producto de seguridad
recomendado, revisar minuciosamente las configuraciones
correctas de los sistemas, y aplicar parches de seguridad.

ESAS PERSONAS AN ESTN
COMPLETAMENTE VULNERABLES.

Por qu debemos pensar en seguridad de la informacion?
27/08/2012
7
Seguridad es una
necesidad bsica.
Estando interesada en
la prevencin de la vida
las posesiones, es tan
antigua como ella
La maquina Enigma
Enigma era el nombre
de una mquina que
dispona de un
mecanismo de cifrado
rotatorio, que permita
usarla tanto para cifrar
como para descifrar
mensajes. Varios de
sus modelos fueron
muy utilizados en
Europa desde inicios
de los aos 1920
Enigma
27/08/2012
8
ARPANET
El Departamento de Avanzada de
la Defensa Agencia de Proyectos
de Investigacin (ARPA), comenz
a examinar la viabilidad de un
sistema redundante de
comunicaciones, en red para
apoyar el intercambio de los
militares de la informacin. Larry
Roberts, conocido como el
fundador de la Internet, ha
desarrollado el proyecto desde sus
inicios. Este proyecto, llamado
ARPANET, es el origen de la
actual Internet
Internet
Informe de Rand R-609
Es un documento que
trata de definir los
mltiples controles y
mecanismos necesarios
para la proteccin de un
sistema informtico
multinivel. El documento
fue clasificado por casi
diez aos, y ahora se
conoce como el papel
que se inici el estudio
de la seguridad en las
computadoras.

27/08/2012
9
Preguntas y Respuestas

SEGURIDAD
DE LA
INFORMACIN
La valoracin de la seguridad por parte de las
personas es una preocupacin en alza. La
sociedad de consumo en la que vivimos nos
genera nuevas necesidades, ms all de las
que siempre se han considerado bsicas, lo
que conlleva a la poblacin a buscar los cauces
adecuados para cubrir holgadamente las
necesidades de seguridad y mejorar, por tanto,
su calidad de vida.
27/08/2012
10
Modelo de seguridad de McCumber
John R. McCumber expuso en la decimocuarta
edicin de la National Computer Security
Conference un modelo fcil y completo de
seguridad, independiente del entorno, arquitectura
o tecnologa que gestiona nuestra informacin. Su
aplicacin es universal y no est restringido por
diferencias organizacionales.
El modelo de tres dimensiones se convierte en un
cubo con 27 celdillas como marco de actuacin.

Modelo de seguridad de McCumber
27/08/2012
11
Los sistemas de informacin se han constituido como una
base imprescindible para el desarrollo de cualquier actividad
empresarial; estos sistemas han evolucionado de forma
extraordinariamente veloz, aumentando la capacidad de
gestin y almacenamiento.
El crecimiento ha sido constante a lo largo de las ltimas
dcadas, sin embargo, esta evolucin tecnolgica tambin
ha generado nuevas amenazas y vulnerabilidades para las
organizaciones.
Pilares de la Seguridad de la Informacion
Difusion del virus sapphire en 30 minutos
27/08/2012
12
Dimensiones de la seguridad
Dimensiones de la seguridad
Disponibilidad: asegurar que los usuarios autorizados tienen acceso cuando lo
requieran en los tiempos adecuados.
Integridad: garanta de la exactitud y de que la informacin sea completa, as como
los mtodos de su procesamiento.
Confidencialidad: asegurar que la informacin es slo accesible para aquellos
autorizados.
Autenticidad de los usuarios del servicio: asegurar la identidad de los usuarios que
manejan o acceden al activo.
Autenticidad del origen de los datos: asegurar la identidad u origen de los datos.
Trazabilidad del servicio: asegurar que en todo momento se podr determinar quin
hizo qu y en qu momento.
Trazabilidad de los datos: asegurar que en todo momento se podr determinar
quin ha accedido a los datos.
Lo importante no es tanto la ausencia de
incidentes si no conocer los riesgos para poder
afrontarlos y controlarlos.
27/08/2012
13
Gestin de la seguridad
Caso prctico: Gestin de Clientes
De forma habitual, los datos de
los clientes pueden llegar a la
organizacin a travs de mail,
fax, correo, telfono, y suelen
ser recabados por iniciativa del
cliente
que solicita un servicio. Es
importante informar y solicitar
el consentimiento del cliente
(si ste es necesario) para
llevar a cabo el tratamiento de
los datos de carcter personal.
27/08/2012
14
Una vez capturados
los datos, el cliente
pasa a formar parte del
circuito comercial de la
empresa, realizando
pedidos a los que se
asocian entregas de
material y emisin de
facturas.
La captura y mecanizacin de los datos del
cliente en el sistema de informacin, que en
la mayor parte de los casos est informatizado
y cuyos datos estn almacenados en un
servidor central, se debe considerar como
subproceso de la gestin de cliente.
27/08/2012
15
Una vez recibida la solicitud de
alta del cliente, el personal
encargado de su gestin debe
realizar una consulta de la base
de datos de clientes. Para ello
accede a un ordenador,
normalmente personal de
administracin, y utiliza la
aplicacin de gestin de la
empresa que permite acceder a
los datos de los clientes o crear
nuevos clientes. Este anlisis
permite concluir que son
necesarios seis elementos en el
sistema de informacin para
llevar a cabo las altas y
consultas sobre clientes de la
empresa
Adicionalmente, se debe
considerar que estos
elementos dependen a
su vez de otros de
menor nivel, pero
indispensables en el
proceso, como son el
suministro elctrico, la
red de rea local, etc.
Todos estos elementos
son importantes por dar
soporte al proceso
general de consulta de
clientes.
27/08/2012
16
Se puede ver el rbol de dependencias como un castillo, donde
el fallo de cualquier elemento de la base genera la cada parcial o
total del edificio.
Esta forma grfica evidencia que los fallos en elementos de bajo
nivel pueden ser arrastrados y producir paradas en los
principales servicios de la empresa.
Estas relaciones son las que producen los efectos bola de
nieve o avalancha, donde un incidente, menor sobre un
elemento poco importante, puede tener consecuencias graves en
funcin de la importancia general que tenga el elemento afectado
en la continuidad de los procesos de negocio a los que da
soporte.
27/08/2012
17
La gestin de la seguridad de la
informacin debe atender un
objetivo claro: reducir el nivel de
riesgo al que la organizacin se
encuentra expuesta.
27/08/2012
18
Autoevaluacin
Seguridad es parte de la estrategia de
negocios?
Est involucrada la alta gerencia de la
organizacin en aspectos de seguridad?
Existe un responsable de la seguridad?
(CSO, CISO) A quin reporta en la
organizacin?
En qu porcentaje depende su
organizacin de la tecnologa?
Autoevaluacin
Existe una adecuada administracin de
riesgos?
Existen planes de continuidad de
negocios y recuperacin de desastres?
Con qu frecuencia se actualizan?
Est la organizacin cumpliendo con
las leyes y reglamentos de su pas y/o
internacionales?
Autoevaluacin
27/08/2012
19

ORGENES NORMAS DE
SEGURIDAD DE LA INFORMACIN.

Revisin por:
NCC (Centro
Nacional de
Computacin)
Consorcio
usuarios
1993
Estndar nacional
britnico
1995
Estndar Internacional
(Fast Track)
1999 2000
Revisin peridica
(5 aos)
2005
Nuevo
estndar
nacional
certificable
Estndar
Internacional
1998 2002
Revisin
conjuntade las
partes 1 y 2
Revisin y
acercamiento a:
ISO 9001
ISO 14001
OCDE
1999 2005
Centro de
Seguridad de
Informtica
Comercial del
Reino Unido
(CCSC/DTI)
1989
Revisin
conjuntade las
partes 1 y 2
Certificable
Cdigo de
prcticas
para
usuarios

PD0003
Cdigo de
prcticas
para la
gestin de
la seguridad
de la
informacin

BS 7799

BS 7799-1
:1999

ISO/IEC 17799
:2000

ISO/IEC 17799
:2005

BS 7799-2
:2002

BS 7799-2

BS 7799-2
:1999

ISO/IEC 27001
:2005

Historia de ISO 27001 e ISO 17799
No certificable
ISO/IEC 27002

27/08/2012
20
Que es BSI?
La British Standards Institution, cuyas siglas
corresponden a BSI, es una multinacional cuyo fin
se basa en la creacin de normas para la
estandarizacin de procesos. BSI es un
organismo colaborador de ISO y proveedor de
estas normas, son destacables la ISO 9001, ISO
14001 e ISO 27001. Entre sus actividades
principales se incluyen la certificacin, auditora y
formacin en las normas.
Es uno de los principales organismos de
certificacin del mundo con 60.000 clientes
certificados en ms de 100 pases.
que hace BSI?
Opera en todo el mundo y ofrece a las
organizaciones auditora y certificacin
independientes de sus sistemas de
gestin. Asimismo, ofrece una serie de
servicios de formacin que ayudan a todo
tipo de organizaciones a mejorar su
eficacia empresarial y a reducir sus
riesgos.
27/08/2012
21
Visin y Misin de BSI
Visin
Una empresa de servicios profesionales
independiente, global y comercial que
inspira confianza y proporciona seguridad
a los clientes por medio de soluciones
basadas en estndares.
Misin
Poner de manifiesto las mejores
cualidades de su organizacin.

Pasos para alcanzar la
certificacin
1. Elegir el estndar
2. Contactar
3. Cita con el equipo de auditora
4. Considerar la posibilidad de
formacin
5. Pre-auditora
6. La auditora formal
7. Certificacin y mucho ms

27/08/2012
22

Introducción a la Gestión de Seguridad de la Información

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Introducción a la Gestión de Seguridad de la Información

Hochgeladen von

Copyright:

Verfügbare Formate

27/08/2012

Das könnte Ihnen auch gefallen