2. Seguridad
La necesidad de mantener la reserva y
confidencialidad de la información relacionada
a la organización como a sus usuarios o
clientes es crítica; es por ello que se debe
implantar un Sistema de Seguridad
Informática, en el cual se incluyen un conjunto
de políticas, procedimientos y estrategias que
permitirá mantener y mejorar la
confidencialidad, integridad y disponibilidad de
los sistemas informáticos y de la información.
3. Agenda
Introducción al Riesgo Corporativo
Incidentes relevantes de Riesgos a nivel
mundial, regional y local
Introducción a la Seguridad de la Información
Principales amenazas de seguridad
Beneficios del cumplimiento de la norma NTP-
ISO/IEC 17799:2007
4. Agenda
Introducción al Riesgo Corporativo
Incidentes relevantes de Riesgos a nivel
mundial, regional y local
Introducción a la Seguridad de la Información
Principales amenazas de seguridad
Beneficios del cumplimiento de la norma NTP-
ISO/IEC 17799:2007
5. ¿Que es el Riesgo?
Riesgo es la posibilidad de que un evento ocurra y
afecte desfavorablemente el logro de los objetivos
estratégicos, operacionales, de cumplimiento y/o
reporte.
Riesgo = P(posibilidad u ocurrencia) x I(impacto)
Un evento es un acontecimiento
procedente de factores internos
(infraestructura, personal,
procesos, tecnología) o externos
(económicos, medioambientales,
político, sociales, tecnológicos)
que tiene un impacto negativo
para la Compañía.
6. Principales Categorías de
Riesgo
Riesgo Estratégico
Riesgo de Prestigio
Riesgo de Cumplimiento
Riesgo Operacional
Riesgo de Estrategia de Salida
Riesgo País
Riesgo Contractual
Riesgo de Acceso
Riesgo Sistémico y de Concentración
8. Agenda
Introducción al Riesgo Corporativo
Incidentes relevantes de Riesgos a nivel
mundial, regional y local
Introducción a la Seguridad de la Información
Principales amenazas de seguridad
Beneficios del cumplimiento de la norma NTP-
ISO/IEC 17799:2007
13. Agenda
Introducción al Riesgo Corporativo
Incidentes relevantes de Riesgos a nivel
mundial, regional y local
Introducción a la Seguridad de la
Información
Principales amenazas de seguridad
Beneficios del cumplimiento de la norma NTP-
ISO/IEC 17799:2007
14. Seguridad de la Información
La seguridad de la información consiste en procesos y
controles diseñados para proteger la información de su
divulgación no autorizada, transferencia, modificación o
destrucción, a los efectos de:
asegurar la continuidad del negocio;
minimizar posibles daños al negocio;
maximizar oportunidades de negocios.
15. Seguridad de la información
(Cont…)
La seguridad de la información se caracteriza
aquí como la preservación de:
su confidencialidad, asegurando que sólo quienes
estén autorizados pueden acceder a la información;
Su integridad, asegurando que la información y sus
métodos de proceso son exactos y completos;
Su disponibilidad, asegurando que los usuarios
autorizados tienen acceso a la información y a sus
activos asociados cuando lo requieran
16. Alcance de la seguridad
Tecnologías.
Sistemas
aplicativos
Base de Datos
Computadoras
portables
Correo electrónico
Internet/Intranet
Cintas Magnéticas
CD
Telefonía
Transmisiones
satelitales
Video Conferencias
DVD
Documentos Impresos
Planillas e informes de
trabajo
Publicaciones internas
Publicaciones a
terceros
Comprobantes
Legales
Planos
Manuales y otros
Gente
Conocimiento propio de las
personas
Documentación de la compañía
fuera de la misma
17. Sistema de Gestión de la
Seguridad
El Sistema de Gestión de Seguridad de la Información es la
parte del sistema de gestión de la empresa, basado en un
enfoque de riesgos del negocio, para: establecer,
implementar, operar, monitorear, mantener y mejorar la
seguridad de la información.
El propósito de un sistema de gestión de la seguridad es
garantizar que los riesgos de la seguridad de la información
son conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática,
estructurada, continua, repetible, eficiente y adaptada a los
cambios que se produzcan en la organización, los riesgos, el
entorno y las tecnologías.
La definición de la información crítica de la información es un
factor clave el diseño de un sistema de seguridad.
20. Agenda
Introducción al Riesgo Corporativo
Incidentes relevantes de Riesgos a nivel
mundial, regional y local
Introducción a la Seguridad de la Información
Principales amenazas de seguridad
Beneficios del cumplimiento de la norma NTP-
ISO/IEC 17799:2007
21. Amenazas
Información Privada
compartida en la Red
Accesos no Autorizados
a la Información de la
empresa.
Interrupción de los
Servicios Informáticos
Recepción de mails
engañosos
Claves de usuarios
compartidas
22. Agenda
Introducción al Riesgo Corporativo
Incidentes relevantes de Riesgos a nivel
mundial, regional y local
Introducción a la Seguridad de la Información
Principales amenazas de seguridad
Beneficios del cumplimiento de la norma
NTP-ISO/IEC 17799:2007
24. NTP-ISO/IEC 17799: 2007
Esta norma contiene 11 cláusulas de control de seguridad y una cláusula
introductoria conteniendo temas de evaluación y tratamiento del riesgo:
a)Política de Seguridad
b)Organizando la seguridad de la Información
c)Gestión de activos
d)Seguridad en Recursos Humanos
e)Seguridad física y ambiental
f)Gestión de comunicaciones y operaciones
g)Control de acceso
h)Adquisición, desarrollo y mantenimientos de sistemas de información
i)Gestión de incidentes de los sistemas de información
j)Gestión de la continuidad del negocio
k)Cumplimiento
Esta norma incluye 39 categorías que se describen mediante:
Un objetivo de control declarando lo que se debe alcanzar
Uno o más controles que pueden ser aplicados para alcanzar el objetivo
25. Beneficios
Permite minimizar los riesgos.
Proteger la información crítica, a través de una
gestión estructurada y permanente, sobre la
base de un análisis y evaluación del riesgo.
Permite lograr prácticas efectivas en la gestión
de seguridad, considerando controles de
seguridad recomendados por las mejores
prácticas de la industria.
Permite establecer un marco para la
certificación ISO17799
27. Seguridad de las aplicaciones
La ingeniería del software proporciona
metodologías, técnicas, modelos y
herramientas para desarrollar sistemas de
información de calidad que se ajusten a las
necesidades del cliente. Los requisitos del
sistema son el núcleo del proceso de
desarrollo para poder ser debidamente
integrados en los modelos de diseño y en la
implementación final. Debemos ser capaces
de crear una solución integrada y robusta que
respete las necesidades del cliente.
28. Seguridad de las aplicaciones
(cont…)
Por un lado los requisitos funcionales definen
el comportamiento del sistema especificando
funcionalidades que han de estar disponibles
para satisfacer las necesidades del cliente, sin
embargo estas funcionalidades pueden ser
proporcionadas de varias formas, siendo los
requisitos no funcionales los que indican como
ha de construirse el software contemplando
aspectos de rendimiento, restricciones de
diseño, interfaces externas, calidad o
seguridad.
29. Seguridad de las aplicaciones
(cont…)
• “Su acceso es 100% seguro porque usamos cifrado
de 128 bits”
• “¿Necesitamos seguridad? Usemos SSL.”
• “¿Necesitamos autenticación fuerte? Lo resolveremos
con PKI.”
• “Usamos un cifrado secreto de grado militar.”
• “Tenemos un excelente firewall.”
“Resolvamos las funcionalidades primero, y después
agregaremos la seguridad.”
31. Iniciación
Determinar genéricamente cuál será el valor que
generará el producto.
Incluir en el equipo un miembro que será
responsable por los aspectos de seguridad
32. • Elaboración
• Recolección de requerimientos
• Identificación de activos
• Tangibles
• Intangibles
• Valuación de activos
33. Construcción
• Arquitectura detallada y patrones de diseño
• Implementación
• Pruebas
• Seguridad, testing y aseguramiento de la calidad
• Certificación
34. Transición
Verificaciones sobre la documentación
Verificaciones sobre los procesos de manejo de bugs
y manejo de incidentes
Verificaciones sobre las políticas de respaldo
35. Principios
1. Claridad
2. Calidad
3. Involucrar a todos los personajes clave
4. Usar tecnología probada
5. Operación a prueba de fallas
7. Privilegios apropiados
1. Mínimo privilegio
2. Privilegio necesario
8. Privilegios apropiados
36. Principios (cont…)
9. Interactuando con los Usuarios
1. Acerca de confiar en los usuarios
2. Ayude a los usuarios
3. Interfaces de usuario
10. Software de terceros
1. Código fuente
2. Verificación
11. Proteger o evitar la Manipulación de datos sensibles
12. ¡Ataque primero. En papel!
13. ¡Piense “fuera de la caja”!
14. ¡Sea humilde!
16. Las revisiones son su mejor aliado
1. Revisiones de diseño
2. Revisiones de código