Este documento trata sobre la gestión y seguridad de la información. Explica conceptos clave como la triada de seguridad de la información (confidencialidad, integridad y disponibilidad), los procesos de gestión de seguridad (políticas, estándares, procedimientos), y el diseño de políticas de seguridad de la información. Además, destaca la importancia de la concienciación de los empleados para hacer efectiva la implementación de las políticas y controles de seguridad.
5. Seguridad de la Información 5
¿Qué es la seguridad de la
información?
<< Preservación de la confidencialidad, la
integridad y la disponibilidad de la información,
pudiendo, además, abarcar otras propiedades
como la autenticidad, responsabilidad, fiabilidad
o el no repudio >>
ISO 27001
7. Seguridad de la Información 7
Coste vs Beneficio
El coste de la «no-seguridad» es mayor que el de la «seguridad». Dicho
de otra forma, la gestión de la seguridad tiene que fundamentarse en
un análisis coste-beneficio.
El problema es que la cuantificación del coste en este caso depende
del análisis de riesgos.
8. Seguridad de la Información 8
Gestión de la Seguridad
La seguridad de la información implica determinar qué
hay que proteger y por qué, de qué se debe proteger y
cómo protegerlo.
La seguridad de la información implica la
implementación de estrategias que cubran los procesos
de la organización en los cuales la información es el
activo primordial.
9. Seguridad de la Información 9
Gestión de la Seguridad
Ejemplo: Un sistema informático seguro puede incluir técnicas sofisticadas
de criptografía, detección de intrusos y seguimiento de la actividad
interna. No obstante, la simple negligencia de un empleado relativa a la
política de claves de seguridad puede permitir el acceso a un intruso.
Es importante entender que un sistema de seguridad incluye también a
personas y procedimientos, más allá de los sistemas informáticos en sí.
En palabras de Bruce Schneier, «si piensas que la tecnología puede
solucionar tus problemas de seguridad, eso quiere decir que no
comprendes los problemas y que no comprendes la tecnología».
11. Seguridad de la Información 11
Perspectivas
El punto de vista legal concierne a las regulaciones
internacionales, nacionales y regionales que protegen
básicamente la privacidad y los derechos de propiedad
intelectual.
12. Seguridad de la Información 12
Perspectivas
La perspectiva técnica es la del desarrollo, análisis,
configuración y despliegue de elementos técnicos
(hardware, software, redes) que tiene determinadas
características relacionadas con la seguridad.
13. Seguridad de la Información 13
Perspectivas
La visión organizativa considera esencialmente la seguridad
como un elemento fundamental para el negocio, dado que
permite asegurar que los procesos de negocio se realizan sin
disrupciones en cuanto a la confidencialidad, disponibilidad
e integridad de la información.
14. Seguridad de la Información 14
Perspectivas
La perspectiva organizativa de la seguridad se basa en el
análisis de riesgos, dado que el coste de las brechas o
ataques contra la seguridad es un elemento a evitar de difícil
estimación. Esto incluye también los riesgos legales, dado
que en la mayoría de las empresas se guarda información
personal al menos de los
clientes.
15. Seguridad de la Información 15
Perspectivas
La seguridad de la información en una
organización básicamente implica la
protección de los activos necesarios para
que la organización cumpla con su misión
frente al daño o la destrucción. Por esa
naturaleza, es una actividad crítica en la
empresa.
Dado que no puede conseguirse un nivel
perfecto de seguridad, la decisión del
grado de seguridad (y el coste que se
incurre en obtenerla) es una decisión
básica de gestión.
16. Seguridad de la Información 16
Perspectivas
Realidades:
Desgraciadamente, en muchas ocasiones los usuarios
perciben las medidas de seguridad como controles
innecesarios, engorrosos o excesivos. Por ello, los controles de
seguridad deben justificarse adecuadamente y la actitud de
los empleados hacia la seguridad debe ser objeto de
formación, entrenamiento y explicación.
17. Seguridad de la Información 17
Sistemas de Información
La seguridad es un proceso continuo de mejora y no un estado de un
sistema por lo que las políticas y controles establecidos para la
protección de la información deberán revisarse, probarse y adecuarse,
de ser necesario, ante los nuevos riesgos que se identifiquen.
19. Seguridad de la Información
La Seguridad es un
asunto económico?
Unidad 3
19
20. Seguridad de la Información 20
Seguridad y Dinero
Dado que la seguridad cuesta dinero, el problema
fundamental es buscar un equilibrio entre el coste de la
seguridad y el impacto económico de los riesgos probables.
Es importante entender la vertiente económica de la
seguridad, dado que aparentemente los avances técnicos en
seguridad (como lo fue la criptografía en su día) no mejoran la
seguridad de las empresas si éstas no la ponen en práctica.
21. Seguridad de la Información 21
Seguridad y Dinero
En general, la seguridad implica costes incluso más allá del
coste de los sistemas, software o tiempo de expertos en la
configuración y diseño de los mismos.
También tiene un coste en la forma de la resistencia de los
empleados o su frustración, que en ocasiones ven las medidas
de seguridad como impedimentos para realizar su trabajo
más ágilmente.
22. Seguridad de la Información 22
Seguridad y Dinero
Por eso, muchas tecnologías de seguridad comienzan a
utilizarse cuando se dan los dos siguientes elementos:
23. Seguridad de la Información 23
Marco económico
La idea es que hay unos costes, tanto desde el punto de
vista del ataque como del de la defensa, y posterior
mitigación del daño. Los atacantes se enfrentan a medidas
de defensa explícitas y a la identificación de
vulnerabilidades.
En general para que un atacante incurra en un «coste
de ruptura» o CTB los beneficios de su acción tienen que
ser superiores.
24. Seguridad de la Información 24
Marco económico
Retorno de la inversión en
seguridad de la
información (ROSI)
25. Seguridad de la Información 25
Marco económico
Punto de vista 1:
Los beneficios de los ataques son difíciles de estimar a priori,
pero en general, si se pretende vender información
confidencial, por ejemplo, para el fraude de tarjetas de
crédito, en general el coste de explorar las vulnerabilidades
es bajo en relación al beneficio posible.
Solo cuando los mecanismos de protección sean más
complejos de burlar un atacante no lo seguirá intentando.
26. Seguridad de la Información 26
Marco económico
Punto de vista 2:
Por otro lado, los motivos de los atacantes son subjetivos, e
incluyen motivaciones no económicas, que les pueden llevar
a incurrir en CTBs mayores que los beneficios económicos
esperados (que en ocasiones es ninguno simplemente).
La estimación del CTB puede hacerse mediante la
contratación de un «penetration testing», donde se contratan
servicios de profesionales que intentan realizar un ataque en
condiciones realistas.
27. Seguridad de la Información 27
Costes Básicos
Coste de construcción de las medidas defensivas, incluyendo
la configuración de firewalls, sistemas redundantes, IDS, etc.
Coste de reparación de vulnerabilidades. En una
configuración simple, esto puede consistir en mantener el
software actualizado con los últimos parches, pero en
ocasiones esto no es suficiente, y hace falta un esfuerzo
proactivo en buscar vulnerabilidades potenciales según
aparecen.
28. Seguridad de la Información 28
Actividad (1)
3.1 Modelos de retorno de inversión ROSI
En esta actividad se cumplirán los siguientes objetivos:
• Parte 1: Realizar una lectura comprensiva del documento
• Parte 2: Investigar y profundizar sobre uno de los modelos
seleccionados, y preparar una presentación.
29. Seguridad de la Información 29
Norma ISO 27001
https://www.youtube.com/watch?v=BNdPQU32p2Y
30. Seguridad de la Información 30
Triada SGI
Estos tres atributos pueden utilizarse como criterio para los controles de
seguridad dentro de las organizaciones. Sus atributos «inversos», de
carácter negativo o no deseable, son la revelación, la alteración y la
destrucción.
31. Seguridad de la Información 31
Triada SGI
Confidencialidad: Es la propiedad de prevenir la
revelación y divulgación intencionada o no intencionada
de información a personas o sistemas no autorizados.
Las amenazas a la confidencialidad son
múltiples y los medios para conseguir acceso
muy diversos.
Un ejemplo de técnica para obtener
información confidencial es el conocido
phishing. Con el auge de las redes sociales
on-line como Facebook también ha llegado
el phishing
32. Seguridad de la Información 32
Triada SGI
Integridad: Es la propiedad que busca mantener los datos
libres de modificaciones no autorizadas.
La integridad de la información se gestiona de acuerdo a tres
principios básicos:
• Dar acceso de acuerdo al criterio del menor privilegio (criterio need-
to-know).
• Separación de obligaciones (duties).
• Rotación de obligaciones.
33. Seguridad de la Información 33
Triada SGI
Integridad: Es la propiedad que busca mantener los datos
libres de modificaciones no autorizadas.
34. Seguridad de la Información 34
Triada SGI
Disponibilidad: Es la característica, cualidad o condición de la
información de encontrarse a disposición de quienes deben
acceder a ella como usuarios autorizados, ya sean personas,
procesos o aplicaciones.
En el contexto de la seguridad de la información, habitualmente se habla de
la disponibilidad en dos situaciones típicas:
• Ataques de denegación de servicio (denial of service, DoS).
• Pérdidas de datos o capacidades de procesamiento de datos debidas a
catástrofes naturales (terremotos, inundaciones, etc.) o a acciones
humanas (bombas, sabotajes, etc.).
35. Seguridad de la Información 35
Triada SGI
Disponibilidad: Es la característica, cualidad o condición de la
información de encontrarse a disposición de quienes deben
acceder a ella como usuarios autorizados, ya sean personas,
procesos o aplicaciones.
36. Seguridad de la Información 36
Triada SGI
Disponibilidad:
Un ataque DoS sobre un sistema es básicamente un ataque por el cual
los recursos de cómputo del sistema se redirigen por medios externos a
tareas que impiden su uso por los usuarios legítimos.
Las pérdidas de datos por catástrofes naturales pueden parecer a muchas
empresas posibilidades remotas, por lo que en ocasiones tienden a
subestimarse. Este tipo de catástrofes o eventos sobrevenidos son el objeto
de los planes de contingencia.
37. Seguridad de la Información
La Seguridad es un
proceso?
Unidad 3
37
38. Seguridad de la Información 38
Procesos
La gestión de la seguridad implica la identificación de activos de
información y el desarrollo, documentación e implementación de
políticas, normas, procedimientos y directrices que garanticen su
disponibilidad, integridad y confidencialidad.
Las herramientas de gestión (como la clasificación de datos, la
formación y concienciación sobre seguridad, la evaluación de
riesgos y el análisis de riesgos) se utilizan para identificar las
amenazas, clasificar los activos y su vulnerabilidad para establecer
controles de seguridad eficaces.
40. Seguridad de la Información 40
Política General
Esta es una política general de alto nivel y de carácter
estratégico de la que se derivan las demás.
Típicamente contiene lo siguiente:
• Una declaración de la importancia de los recursos de información
en la empresa.
• Una declaración de compromiso de la dirección clara con la
seguridad de la información.
• Un compromiso de delegación a las políticas derivadas de ella.
41. Seguridad de la Información 41
Políticas Funcionales
Esta políticas son también de alto nivel, por lo que indican qué
debe hacerse pero no detallan el cómo (esto vendrá detallado
concretamente en los procedimientos).
Típicamente, estas políticas afectan a un área funcional o un
determinado tipo de aplicación, como puede ser la «política
de uso del correo electrónico».
42. Seguridad de la Información 42
Estándares, directrices y
procedimientos
Los estándares, directrices y procedimientos son medios para
implementar las políticas.
Los estándares especifican el uso de ciertas tecnologías o
métodos de un modo uniforme. Son obligatorios y en ocasiones
implican determinados compromisos con ciertos sistemas
operativos o fabricantes de software.
43. Seguridad de la Información 43
Estándares, directrices y
procedimientos
Las directrices son similares a los estándares pero son solo
recomendaciones, no son de obligado cumplimiento. Son un
mecanismo más flexible que los estándares y pueden utilizarse
para determinar estándares.
Los procedimientos (a veces denominados «prácticas») son
descripciones detalladas de los pasos para llevar a cabo una
determinada tarea para que los usuarios los puedan llevar a
cabo sin dudas.
44. Seguridad de la Información 44
Estándares, directrices y
procedimientos
Líneas base (baselines) que son descripciones sobre cómo
configurar determinados elementos de seguridad para que
sean aplicados de manera uniforme en toda la organización.
45. Seguridad de la Información 45
Estándares, directrices y
procedimientos
46. Seguridad de la Información 46
Actividad (2)
3.2 Políticas de Seguridad de la Información
En esta actividad se cumplirán los siguientes objetivos:
• Parte 1: Realizar una lectura comprensiva del documento
• Parte 2: Realizar una clasificación de las políticas: general y
funcionales; estándares, directrices y procedimientos.
49. Seguridad de la Información 49
Gestión de la Seguridad
Es importante resaltar la importancia de los programas de
concienciación (o educación) de los empleados,
necesarios para hacer efectiva la implementación de
políticas, estándares y procedimientos.
50. Seguridad de la Información 50
Diseño de Políticas
• Las políticas tienen muchas utilidades, por ejemplo,
pueden ser literalmente un salvavidas durante un
desastre, o podrían ser un requisito de una función
reguladora.
• La política también puede proporcionar protección
contra la responsabilidad debida a un trabajador o
definir acciones para el control de los secretos
comerciales.
51. Seguridad de la Información 51
Diseño de Políticas
• El término «política» es uno de esos términos que pueden
significar varias cosas en seguridad de la información. Por
ejemplo, existen políticas de seguridad en servidores, que
se refieren al control de acceso y la información de
enrutamiento.
• Los estándares, procedimientos y directrices también se
conocen como políticas en el sentido más amplio de la
seguridad.
52. Seguridad de la Información 52
Diseño de Políticas
• Las políticas se definen como controles administrativos de
carácter temático, a veces denominadas políticas
funcionales.
• Por ello se adopta la siguiente definición de política.
53. Seguridad de la Información 53
Diseño de Políticas
• Por lo tanto, las políticas no son directrices o estándares, ni
tampoco obviamente procedimientos.
• Las políticas describen la seguridad en términos generales y
no específicos. Pueden considerarse las «plantillas» o
«requisitos generales» que determinan cómo se diseñarán e
implementarán los diferentes elementos de la seguridad.
54. Seguridad de la Información 54
Diseño de Políticas - Error
• La diferencia entre política e implementación es importante.
• Por ejemplo, si una política estableciese que el login único debe
hacerse con un producto concreto de una empresa, cuando el
mercado evolucione, puede que otros productos sean mejores. No
parece razonable que el objetivo (que es lo que define la política) esté
ligado a un producto o tecnología concreta, al menos en la mayoría
de los casos. Ahora bien, la política sí que puede indicar la
obligatoriedad de que, independientemente de la elección de
producto final, se documenten las razones de por qué se ha
seleccionado.
55. Seguridad de la Información 55
Diseño de Políticas - Objetivos
• El diseño de políticas es importante porque estas definen los
objetivos de la seguridad. Además, la participación de la
dirección en la definición de las políticas proporciona un
mensaje claro sobre la implicación y compromiso de la
organización en sus niveles directivos. Las políticas, salvo
excepciones convenientemente documentadas y
aprobadas, se aplican a la organización entera, por lo que
facilitan tener unos estándares de seguridad coherentes, y
esto es algo que los clientes pueden apreciar y hace la
gestión más sencilla.
56. Seguridad de la Información 56
Diseño de Políticas - Objetivos
• Por último, las políticas son útiles para gestionar los litigios. Si
se amonesta a un empleado por una acción relacionada
con la seguridad, y no había política escrita, es complicado
justificar esa amonestación.
57. Seguridad de la Información 57
Diseño de Políticas - Componentes
1. Propósito: incluye la definición del porqué de esta política, es
decir, qué se quiere controlar o qué riesgos mitigar en
concreto.
En este caso se hace referencia a la búsqueda de
vulnerabilidades, uno de los riesgos que habitualmente se
identifican como importantes en las aplicaciones web por su
propia naturaleza.
SANs Templates: https://www.sans.org/information-security-policy/
58. Seguridad de la Información 58
Diseño de Políticas - Componentes
2. Ámbito: se especifica a qué procesos dentro de la empresa
se aplica la política (en este caso, a cualquier desarrollo o
mantenimiento de aplicaciones web), quién lleva a cabo los
procedimientos que implementarán la política, y qué grado de
diseminación tendrá.
SANs Templates: https://www.sans.org/information-security-policy/
59. Seguridad de la Información 59
Diseño de Políticas - Componentes
3. Descripción de la política en sí. En este caso se detalla
cuándo se debe realizar, su duración, las herramientas a utilizar,
cómo se deben expresar sus resultados, etc. Podemos
considerar ésta como una política bastante detallada.
SANs Templates: https://www.sans.org/information-security-policy/
60. Seguridad de la Información 60
Diseño de Políticas - Componentes
4. Responsabilidades. Quién es responsable de que se cumpla
la política, en este caso es una combinación del staff de
seguridad y el personal implicado en el desarrollo de la
aplicación web o su mantenimiento.
En algunas ocasiones, los responsables pueden ser todo el
personal de la empresa, por ejemplo, si la política hace
referencia a la gestión del correo electrónico de la empresa,
que implica a todos los empleados.
SANs Templates: https://www.sans.org/information-security-policy/
61. Seguridad de la Información 61
Diseño de Políticas - Adicionales
• Sección de definiciones para hacer precisa la política en sí.
• Las políticas provienen de la implementación de la gestión
que es un ciclo de mejora continua, deben tener algún
mecanismo de seguimiento de versiones o revisiones.
•
• Reutilización de estándares, concretamente, definiciones de
OWASP.
SANs Templates: https://www.sans.org/information-security-policy/
62. Seguridad de la Información
MUCHAS
GRACIAS
Autor: Luis David Narváez
Máster en Seguridad Informática
62