SEGURIDAD DE LA INFORMACION
50
1 1 “INTRODUCCIÓN A LA SEGURIDAD “INTRODUCCIÓN A LA SEGURIDAD INFORMATICA Y DE LA INFORMACION” INFORMATICA Y DE LA INFORMACION” Módulo I: Módulo I: INTRODUCCIÓN A LA SEGURIDAD INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN DE LA INFORMACIÓN GISI GISI – – IEEE IEEE – – UTN UTN – – FRC FRC Facundo N. Oliva Cúneo Facundo N. Oliva Cúneo
description
Introducción a concepto de Seguridad de la Información. Plantea un marco conceptual integral sobre el cuál avanzar en los diversos tópicos cubiertos por la temática de la Seguridad de la Información.
Transcript of SEGURIDAD DE LA INFORMACION
11
“INTRODUCCIÓN A LA SEGURIDAD “INTRODUCCIÓN A LA SEGURIDAD INFORMATICA Y DE LA INFORMACION”INFORMATICA Y DE LA INFORMACION”
Módulo I:Módulo I:
INTRODUCCIÓN A LA SEGURIDAD INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓNDE LA INFORMACIÓN
GISI GISI –– IEEE IEEE –– UTN UTN –– FRCFRCFacundo N. Oliva CúneoFacundo N. Oliva Cúneo
22
IntroducciónIntroducción
LA INFORMACION ES UN BIEN VALIOSO. El valor de la información es tan importante como para determinar el poder relativo de un grupo de personas sobre otro.
LA INFORMACION ES FRAGIL. La fragilidad de la información está dada, en general, por los medios que la sustentan, por los problemas técnicos que presentan dichos medios y por su exposición al alcance de personas que quieran dañarla y/o robarla. En el caso particular de la información manejada por computadoras, su fragilidad está dada por las amenazas asociadas a las debilidades y vulnerabilidades de los medios de almacenamiento, procesamiento y transmisión, siendo las fallas técnicas, las catástrofes, las impericias y los intrusos (como saboteadores y hackers), solo unos pocos ejemplos de dichas amenazas.
33
..
INFORMACIÓNINFORMACIÓN
44
Información: ConceptoInformación: Concepto
EXISTE EN MUCHAS FORMAS:
RESPECTO AL TIPO DE REPRESENTACION, puede estar dada en:o Números, letras o símbolos en general, combinados según las reglas de algún lenguaje de representación, constituyendo así datos o mensajes inteligibles.o Imágenes, por ejemplo, fotografías, esquemas, planos, mapas cartográficos, etc.,o Sonidos, como la voz hablada, tonos, música, etc.,o Medios audiovisuales, por ejemplo, programas de televisión, películas, etc.
RESPECTO AL SOPORTE, puede estar almacenada:o en papel, ya sea escrita, dibujada, impresa, etc.,o en forma electrónica, magnética, o de forma de ser recuperada por medios ópticos.
RESPECTO AL MEDIO DE COMUNICACION, la información puede ser transmitida:o en forma coloquial, por ej. en una exposición o conversación (directa o telefónicamente)o por correo postal,o por medios electromagnéticos en general, ya sea:
§ Medios guiados: conductores eléctricos formando líneas de transmisión, (guías de ondas, cables coaxiales, cables paralelos, cables de par trenzado, etc.), conductores ópticos (las fibras ópticas)§ Medios no guiados: información transmitida por OEM en el aire o vacío (i.e. redes wireless)
CUALQUIERA SEA LA FORMA QUE ADQUIERA O LOS MEDIOS POR LOS CUÁLES SE DISTRIBUYE O ALMACENA, SIEMPRE DEBE ESTAR PROTEGIDA
55
Información: PropiedadesInformación: PropiedadesLa información en buen estado, goza de ciertas propiedades que
deben ser preservadas para mantenerla así.Las propiedades fundamentales de la información son:- CONFIDENCIALIDAD- INTEGRIDAD- DISPONIBILIDADLa información puede tener también otras propiedades que serán de interés según el caso. Estás son:- AUTENTICIDAD- CONTROL- AUDITABILIDAD- CONFIABILIDADAdicionalmente pueden considerarse algunos otros aspectos, relacionados con los anteriores, pero que incorporan algunas consideracionesparticulares. Estos son:- PROTECCION A LA REPLICA- NO REPUDIO- LEGALIDAD
66
Información: PropiedadesInformación: PropiedadesCONFIDENCIALIDAD (O PRIVACIDAD):
Propiedad de que esta se mantiene secreta y no revelada a entidades (individuos o procesos) no autorizados a conocerla. Al preservar dicha propiedad, se garantiza que la información es conocida y accedida sólo por aquellas personas autorizadas a hacerlo.
INTEGRIDAD:Propiedad de que esta permanece coherente, completa e inalterada, a menos, en este último caso, que sea modificada por una entidad (individuo o proceso) autorizada, y lo haga en forma pertinente y correcta. La preservación de dicha propiedad garantiza la exactitud, coherencia y totalidad de la información y los métodos de procesamiento.Integridad de un sistema: Propiedad de que los recursos del mismo permanecen inalterados, ya sean recursos de almacenamiento, procesamiento o distribución.La integridad de un activo es la propiedad que salvaguarda su exactitud y totalidad.
DISPONIBILIDAD (U OPERATIVIDAD):Propiedad de que esta se mantiene accesible y usable cada vez que una entidad autorizada a hacerlo lo requiera. La preservación de dicha propiedad garantiza que la información estarásiempre disponible para ser usada bajo demanda, ya sea para su consulta y/o procesamiento, por las personas o procesos autorizados.Disponibilidad de de un sistema: Propiedad de que los recursos del mismo se mantiene operativos, cada vez que una entidad autorizada los necesite. La preservación de esta propiedad requiere que la información se mantenga correctamente almacenada, en los formatos preestablecidos para su recuperación en forma satisfactoria, con el hardware que la contiene y el software correspondiente funcionando normalmente.
77
Información: PropiedadesInformación: PropiedadesAUTENTICIDAD:
Propiedad que permite asociarla a una entidad (proceso o usuario). La preservación de esta propiedad permite asegurar el origen de la información, validando a la entidad emisora de la misma, evitándose el acceso descontrolado a la información y a los recursos, y la suplantación de identidades.La aplicación mas evidente de la autenticación es en el control de accesos. En general, el proceso de control de accesos consiste típicamente de dos etapas: identificación y autenticación. En la identificación, la entidad (proceso o usuario) dice quién es, y en la autenticación, la entidad demuestra ser quién dice ser. Hay varios métodos para autenticar y se abordarán en el capítulo correspondiente.identificar y autenticar no es lo mismo. Autenticación verifica Identificación.
CONTROL:Propiedad que permite asegurar que sólo los usuarios autorizados pueden decidir quién accede a la información, cuándo y cómo.
AUDITABILIDAD:Propiedad que garantiza que todos los eventos de un sistema sean registrados para posteriores controles o auditorias.
CONFIABILIDAD:Propiedad que garantiza que la información generada sea adecuada para sustentar la toma de decisiones y la ejecución de las misiones y funciones. Garantiza que la información es válida y utilizable en tiempo, forma y distribución.
88
Información: PropiedadesInformación: PropiedadesPROTECCION A LA REPLICA (O A LA DUPLICACION):Propiedad que garantiza que una transacción sólo puede realizarse una vez, a menos que se especifique lo contrario. La preservación de dicha propiedad garantiza que si un intruso logra atrapar y copiar una transacción con el propósito de reproducirla simulando ser el remitente original, no pueda completar satisfactoriamente dichas transacciones.
NO REPUDIO:Propiedad que garantiza que cualquier entidad que envió o recibió información, no pueda alegar ante terceros, que no la envió o no la recibió.
LEGALIDAD:Propiedad que garantiza que la información se ajusta al cumplimiento de las leyes, normas, reglamentaciones o disposiciones a las que está sujeto la organización.
99
..
SEGURIDADSEGURIDADDE LADE LA
INFORMACIÓNINFORMACIÓN
1010
Seguridad de la Información: ConceptoSeguridad de la Información: Concepto
Como cualquier otra temática de la seguridad en tecnología, consiste en la detección y control de riesgos.
EL BIEN PROTEGIDO ES LA INFORMACION
Trata de la protección de la información de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno sobre las inversiones y las oportunidades comerciales.
1111
Seguridad de la Información: ConceptoSeguridad de la Información: ConceptoLos pilares que en general hacen seguro a un sistema son la:Los pilares que en general hacen seguro a un sistema son la:
CONFIDENCIALIDAD,CONFIDENCIALIDAD,INTEGRIDAD, YINTEGRIDAD, Y
DISPONIBILIDAD.DISPONIBILIDAD.
1212
Seguridad de la Información: ConceptoSeguridad de la Información: ConceptoConservando las propiedades de confidencialidad,
integridad y disponibilidad de los datos, se puede decir que estos se mantienen seguros.
1313
Seguridad de la Información: DefiniciónSeguridad de la Información: DefiniciónLa SEGURIDAD DE LA INFORMACION trata de la
preservación de las propiedades de interés en cada caso, fundamentalmente:
la confidencialidad,la integridad y
la disponibilidad.
Además, la preservación de la confiabilidad, autenticidad, control y auditabilidad es típicamente necesario.
También el no-repudio, protección a la réplica y legalidad, pueden estar involucradas y ser necesario mantenerlas.
1414
Seguridad de la informaciSeguridad de la informacióónn: Necesidad: NecesidadNecesitan algún grado de seguridad de la
información, personas y organizaciones que:- manejen información,- hagan uso de la tecnología informática y de comunicaciones, y- se interconecten a través de redes y sistemas no confiables.
Necesitan además algún grado de conocimientos en seguridad informática todas las personas que tiene alguna responsabilidad
sobre menores con posibilidad de acceso a Internet.
1515
Seguridad de la informaciSeguridad de la informacióónn: Necesidad: NecesidadEl gráfico siguiente muestra algunos activos que vulnerados podrían tener impacto, en distintos tipos de organizaciones.
1616
Seguridad de la informaciSeguridad de la informacióónn::Datos de la RealidadDatos de la Realidad
Estadística elaborado por la NSA y el FBI donde se detallan las pérdidas que tienen las organizaciones ante distintos incidentes ocurridos por la falta de seguridad de la información.
1717
Lograr la Seguridad de la InformaciLograr la Seguridad de la InformacióónnLa seguridad que puede lograrse solo por medios
técnicos es insuficiente: no tienen la posibilidad de brindar cobertura a la totalidad de aspectos a tener en cuenta, y aún en los casos donde las soluciones puedan apoyarse en medios técnicos, estos son insuficientes por si solos.
Enfoque adecuado: los medios técnicos deben encontrarse en el marco de un Sistema Integral de Gestión de Seguridad de la Información (SGSI), al cuál complementan y respaldan, y sin el cual no son satisfactorios.
Los medios técnicos son la herramienta con que se implementan determinados procesos de seguridad informática
1818
..
AREAS DE LAAREAS DE LASEGURIDADSEGURIDAD
DE LADE LAINFORMACIÓNINFORMACIÓN
1919
AREAS DE LA SEGURIDAD DE LA INFORMACIÓNAREAS DE LA SEGURIDAD DE LA INFORMACIÓNLas normas, procedimientos y herramientas que se utilizan en
seguridad de la información se pueden clasificar en las siguientes áreas, de acuerdo con el tipo de función que cumplen:
Seguridad Organizativa (o Funcional o Administrativa)
Seguridad Lógica (o Técnica)
Seguridad Física
Seguridad Legal
2020
AREAS DE LA SEGURIDAD DE LA INFORMACIÓNAREAS DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Organizativa (o Funcional o Administrativa):
Asegura el cumplimiento de normas, estándares y procedimientos físico-técnicos.
Seguridad Lógica (o Técnica):Actúan directa o indirectamente sobre la información
procesada por los equipos.Seguridad Física:
Actúan directamente sobre la parte tangible.Seguridad Legal
Evita las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de
seguridad.
2121
AREAS DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚNAREAS DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚNISO/IEC 27002:2005 (ex ISO/IEC 17799ISO/IEC 27002:2005 (ex ISO/IEC 17799--2005)2005)
En concordancia con la norma ISO/IEC 27002, la Seguridad de la Información puede pensarse formada por once DOMINIOS o CLÁUSULAS.
Cada CLÁUSULA contiene un número de CATEGORÍAS o TEMAS DE SEGURIDAD principales, que suman 39 en total.
Cada CATEGORÍA contiene un número de CONTROLES DE SEGURIDAD, que suman 133 en total.
Así, los tópicos que se deben contemplar en una solución efectiva y eficiente de Seguridad de la Información son 133.
2222
ISO/IEC 27002:2005: ISO/IEC 27002:2005: DominiosDominios.. 1- Política de
Seguridad11- Cumplimiento
1111dominiosdominios
3939PuntosPuntos
133133Controles
2- Organizaciónde la Seguridad
10- Gestión de la Cont.de las Actividades
8- Adquisición, Desa. yManten. de Sist. Controles
3- Gestión de Activos9- Gestión de Incidentes
4- Seguridaddel RRHH
7- Controlde Accesos
5- Seguridad Físicay Ambiental
6- Gestión de Operac.y Comunic.
2323
ISO/IEC 27002:2005: ISO/IEC 27002:2005: DominiosDominios5 Política de seguridad de la información5.1 Política de seguridad de la información. Objetivo: Proporcionar a la gerencia la dirección
y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.
6 Organización de la seguridad de la información6.1 Organización interna. Objetivo: Manejar la seguridad de la información dentro de la
organización.6.2 Grupos o personas externas. Objetivo: Mantener la seguridad de la información y los
medios de procesamiento deinformación de la organización que son ingresados, procesados, comunicados a, omanejados por, grupos externos.
7 Gestión de activos7.1 Responsabilidad por los activos. Objetivo: Lograr y mantener una apropiada protección
de los activos organizacionales.7.2 Clasificación de la información. Objetivo: Asegurar que la información reciba un nivel de
protección apropiado.
2424
ISO/IEC 27002:2005: ISO/IEC 27002:2005: DominiosDominios8 Seguridad de recursos humanos8.1 Antes del empleo. Objetivo: Asegurar que los empleados, contratistas y terceros entiendan
sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.
8.2 Durante el empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas e inquietudes de la seguridad de la información, sus responsabilidades y obligaciones, y estén equipadas para apoyar la política de seguridad organizacional en el curso de su trabajo normal, y reducir el riesgo de error humano.
8.3 Terminación o cambio de empleo. Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada.
9 Seguridad física y ambiental9.1 Áreas seguras. Objetivo: Evitar el acceso físico no autorizado, daño e interferencia con la
información y los locales de la organización.9.2 Equipo de seguridad. Objetivo: Evitar pérdida, daño, robo o compromiso de los activos y
la interrupción de las actividades de la organización.
2525
ISO/IEC 27002:2005: ISO/IEC 27002:2005: DominiosDominios10 Gestión de las comunicaciones y operaciones10.1 Procedimientos y responsabilidades operacionales. Objetivo: Asegurar la operación correcta
y segura de los medios de procesamiento de la información.10.2 Gestión de la entrega del servicio de terceros. Objetivo: Implementar y mantener el nivel
apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.
10.3 Planeación y aceptación del sistema. Objetivo: Minimizar el riesgo de fallas en el sistema.10.4 Protección contra el código malicioso y móvil. Objetivo: Proteger la integridad del software y
la integración.10.5 Respaldo o Back-Up. Objetivo: Mantener la integridad y disponibilidad de la información y
los medios de procesamiento de información.10.6 Gestión de seguridad de la red. Objetivo: Asegurar la protección de la información en redes y
la protección de la infraestructura de soporte.10.7 Gestión de medios. Objetivo: Evitar la divulgación no-autorizada; modificación, eliminación o
destrucción de activos; y la interrupción de las actividades comerciales.10.8 Intercambio de información. Objetivo: Mantener la seguridad en el intercambio de
información y software dentro de la organización y con cualquier otra entidad externa.10. 9 Servicios de comercio electrónico. Objetivo: Asegurar la seguridad de los servicios de
comercio electrónico y su uso seguro.10.10 Monitoreo. Objetivo: Detectar las actividades de procesamiento de información no
autorizadas.
2626
ISO/IEC 27002:2005: ISO/IEC 27002:2005: DominiosDominios11 Control del acceso11.1 Requerimiento del negocio para el control del acceso. Objetivo: Controlar el
acceso a la información.11.2 Gestión de acceso del usuario. Objetivo: Asegurar el acceso del usuario
autorizado y evitar el acceso no autorizado a los sistemas de información.11.3 Responsabilidades del usuario. Objetivo: Evitar el acceso de usuarios no-
autorizados, evitar poner en peligro la información y evitar el robo de información y los medios de procesamiento de la información.
11.4 Control de acceso a la red. Objetivo: Evitar el acceso no autorizado a los servicios de la red.
11.5 Control del acceso al sistema operativo. Objetivo: Evitar el acceso no autorizado a los sistemas operativos.
11.6 Control de acceso a la aplicación y la información. Objetivo: Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación.
11.7 Computación y tele-trabajo móvil. Objetivo: Asegurar la seguridad de la información cuando se utiliza medios de computación y tele-trabajo móviles.
2727
ISO/IEC 27002:2005: ISO/IEC 27002:2005: DominiosDominios12 Adquisición, desarrollo y mantenimiento de los sistemas de información12.1 Requerimientos de seguridad de los sistemas de información. Objetivo: Garantizar que la
seguridad sea una parte integral de los sistemas de información.12.2 Procesamiento correcto en las aplicaciones. Objetivo: Prevenir errores, pérdida,
modificación no autorizada o mal uso de la información en las aplicaciones.12.3 Controles criptográficos. Objetivo: Proteger la confidencialidad, autenticidad o integridad a
través de medios criptográficos.12.4 Seguridad de los archivos del sistema. Objetivo: Garantizar la seguridad de los archivos del
sistema.12.5 Seguridad en los procesos de desarrollo y soporte. Objetivo: Mantener la seguridad del
software y la información del sistema de aplicación.12.6 Gestión de la Vulnerabilidad Técnica. Objetivo: Reducir los riesgos resultantes de la
explotación de las vulnerabilidades técnicas publicadas.
13 Gestión de un incidente en la seguridad de la información13.1 Reporte de los eventos y debilidades de la seguridad de la información. Objetivo: Asegurar
que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correctiva oportuna.
13.2 Gestión de los incidentes y mejoras en la seguridad de la información. Objetivo: Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información.
2828
ISO/IEC 27002:2005: ISO/IEC 27002:2005: DominiosDominios14 Gestión de la continuidad del negocio14.1 Aspectos de la seguridad de la información de la gestión de la continuidad
del negocio. Objetivo: Contraatacar las interrupciones a las actividades comerciales y proteger los procesos comerciales críticos de los efectos de fallas importantes o desastres en los sistemas de información y asegurar su reanudación oportuna.
15 Cumplimiento15.1 Cumplimiento de los requerimientos legales. Objetivo: Evitar las violaciones a
cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad.
15.2 Cumplimiento de las políticas y estándares de seguridad, y cumplimiento técnico. Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional.
15.3 Consideraciones de auditoria de los sistemas de información. Objetivo: Maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditoria del sistema de información.
2929
3030
AREAS DE LA SG. DE LA INFORM. Y DOMINIOS ISOAREAS DE LA SG. DE LA INFORM. Y DOMINIOS ISO
3131
Normas ISO de Seguridad InformáticaNormas ISO de Seguridad Informática
Norma ISONorma ISO--IEC 27002:2005 (17799:2005)IEC 27002:2005 (17799:2005)Tecnología de la Información – Técnicas de
seguridad – Código para la práctica de la gestión de la seguridad de la información
Norma ISONorma ISO--IEC 27001:2005IEC 27001:2005Tecnología de la Información – Técnicas de
seguridad – Sistema de Gestión de Seguridad de la Información – Requerimientos
3232
..SISTEMA EN ELSISTEMA EN EL
CONTEXTO DE LACONTEXTO DE LASEGURIDADSEGURIDAD
DE LADE LAINFORMACIÓNINFORMACIÓN
3333
ACTIVOS (ASSET)ACTIVOS (ASSET)Un activo, es cualquier cosa que tenga valor para la organización.
Existen muchos tipos de activos, incluyendo:a) Información: Toda representación o comunicación de conocimiento propio o de interés para la
organización, en cualquier forma.b) Recursos de Información: Toda entidad que le brinda soporte al almacenamiento,
procesamiento o transmisión de información (o a los datos a partir de los cuáles dicha información se puede construir). Son recursos de información las Bases de datos, archivos de datos, mensajes en una red de comunicaciones (sea de datos o de telefonía), documentación de los sistemas, manuales de usuario, material de capacitación, procedimientos operativos o de soporte, planes de continuidad, acuerdos para contingencias, información archivada, contratos y acuerdos, información de investigaciones, rastros de auditoria, el código de programación de programas creados por la organización, etc.
RECURSOS DE INFORMACIONa) Activos o recursos software: Todo programa de computador creado o adquirido por la organización.
Son recursos software los sistemas operativos y software del sistema de quipos en general (computadores, equipos de red, equipos de seguridad), herramientas de desarrollo y utilidades, software de aplicación, suites ofimáticas, etc.
b) activos o recursos físicos: equipo de cómputo, de comunicación, medios removibles. Etc.c) servicios: servicios de computación y comunicación, servicios generales; por ejemplo, calefacción,
iluminación, energía y aire acondicionado;d) personal, y sus calificaciones, capacidades y experiencia;e) intangibles, tales como la reputación y la imagen de la organización.
El inventariado de activos ayuda a asegurar que se realice una protección efectiva de los mismos. El proceso de compilar un inventario de activos es un pre-requisito
importante de la gestión del riesgo.
3434
SISTEMA DE INFORMACIONSISTEMA DE INFORMACIONEs posible encontrar diversas formas de definir el concepto
tradicional de sistema de información. La siguiente es una posible:
Sistema de Información se refiere a un conjunto de Recursos de Tecnologías de la Información independientes pero organizados para el manejo de la información según determinados procedimientos, tanto automatizados como manuales.
Se entiende por “manejo de la información” la recopilación, almacenamiento, procesamiento, mantenimiento, transmisión o difusión de información.
Se entiende por Recursos de Tecnología de la Información, todo recurso utilizado para el manejo de la información. Son recursos de tecnología de la información (o recursos IT) los siguientes: Información, Recursos de Información, Recursos de software, Recursos de hardware, Recursos Humanos, Servicios
3535
Sistema en Seguridad de la InformaciónSistema en Seguridad de la InformaciónEn el contexto de la seguridad de la información, un sistema de información está formado por los activos y
recursos de tecnologías de información, mas las personas, el entorno donde actúan y todas las
interacciones entre estos elementos.
Personas (gerent., admin., usus, pers. de limp., etc.) Computadores (PCs, Servidores, Dispositivos de Red)Medios de Enlace (cables UTP, señ. Wireless, etc.)PapelesMedios de almacenamiento digitalEntornoEtc.Interacciones entre estos elementos
3636
Sistema Informático para la Seguridad Sistema Informático para la Seguridad InformáticaInformática
3737
Ejemplo aspectos de la Seguridad Informática: Ejemplo aspectos de la Seguridad Informática: Seguridad en el DesarrolloSeguridad en el Desarrollo
Inyección SQL: Autenticación de Usuario en una DBInyección SQL: Autenticación de Usuario en una DB
““selectselect ** from from tabla_usuariostabla_usuarios wherewhere” ” ““usuariousuario= ‘$= ‘$user’ and user’ and claveclave= ‘$= ‘$pwdpwd’’””
3838
Ejemplo aspectos de la Seguridad Informática: Ejemplo aspectos de la Seguridad Informática: Seguridad en el DesarrolloSeguridad en el Desarrollo
Inyección SQL: Autenticación de Usuario en una DBInyección SQL: Autenticación de Usuario en una DBIngresandoIngresando cualquier cosa como clave, y la siguiente cadena en el cualquier cosa como clave, y la siguiente cadena en el
usuario: usuario: administrador’administrador’ oror 1=11=1”” ““oror”” “’“’1=11=1
Se logra la siguiente sentencia, siempre valida:Se logra la siguiente sentencia, siempre valida:““selectselect ** from tblUsers wherefrom tblUsers where””““useruser_id= ‘_id= ‘administrador’administrador’ oror 1=11=1”” ““oror””“’“’1=11=1’’ and passwdand passwd= ‘cualquier= ‘cualquier__valor’valor’””
3939
..
SISTEMA DE GESTION DE SISTEMA DE GESTION DE SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACIONINFORMACION
4040
EL CICLO DE VIDA DE LA SEGURIDAD DE LA INFORMACIÓNEL CICLO DE VIDA DE LA SEGURIDAD DE LA INFORMACIÓNEl ciclo de vida de la seguridad de la información, consta
de las siguientes etapas:
Identificación del Sistema de Información de la organización
Identificación de los Requerimientos y Expectativas de Seguridad de la Información
Realizar la Valoración del Riesgo (risk assessment)
Diseñar un Sistema de Gestión (o Administración) de Seguridad de la Información (o SGSI, o ISMS por las siglas de Information Security Management System)
Establecer, implementar, operar, monitorear, revisar, mantener y mejorar el ISMS, en forma continua.
4141
Requerimientos de SeguridadRequerimientos de SeguridadEs esencial que una organización identifique sus requerimientos de
seguridad.
Existen tres fuentes principales de requerimientos de seguridad:
- Una fuente deriva de evaluar los riesgos que enfrenta la organización, tomando en cuenta la estrategia general y los objetivos de la organización. Mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.
- Otra fuente son los requerimientos legales, normativos, reglamentarios, estatuitarios y contractuales que debe cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios (proveedores), y su ambiente socio-cultural.
- Otra fuente es el conjunto específico de principios, objetivos y requisitos comerciales para el procesamiento de la información que la organización ha desarrollado para respaldar sus operaciones.
4242
La evaluaciLa evaluacióón de riesgosn de riesgosLa evaluación de riesgos es una consideración sistemática de los siguientes puntos:
a) impacto potencial en los negocios de una falla de seguridad, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos;b) probabilidad de ocurrencia de dicha falla, tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.
La evaluación del riesgo debiera incluir el enfoque sistemático de calcular la magnitud de los riesgos (análisis del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la importancia de los riesgos (evaluación del riesgo).
Los resultados de esta evaluación ayudarán a:- orientar y a determinar las prioridades y las acciones de gestión adecuadas para la administración de los riesgos concernientes a seguridad de la información, y- para la implementación de los controles seleccionados a fin de brindar protección contra dichos riesgos.
Los resultados de la evaluación del riesgo debieran ayudar a:- guiar y determinar las acciones de gestión apropiadas para la administración de los riesgos concernientes a seguridad de la información, y- establecer las prioridades para manejar los riesgos de la seguridad de la información y para implementar los controles seleccionados para protegersecontra estos riesgos.
4343
SGSISGSI
4444
SGSISGSIPlanificar (Plan): Establecer el ISMSEstablecer las políticas, los objetivos, los procesos y procedimientos del
ISMS pertinentes a la gestión de riesgos y la mejora de la seguridad de la información para entregar resultados de acuerdo con las políticas y objetivos generales de la organización.
Hacer (Do): Implementar y operar el ISMSImplementar y operar las políticas, controles, procesos y procedimientos
del ISMS.
Evaluar (Check): monitorear y examinar (revisar) el ISMSEvaluar y, en cuando sea aplicable, medir el rendimiento de los procesos
encontraste con las políticas y los objetivos del ISMS y la experiencia práctica, e informar los resultados a la gerencia para su examen.
Actualizar (Act): Mantener y mejorar el ISMSTomar acciones correctivas y preventivas, sobre la base de los resultados
de la auditoria interna del ISMS y del examen de la gestión o de otra información relevante, para lograr la mejora continua del SGSI.
4545
SGSISGSI
4646
SGSISGSI
..
4747
SGSISGSI
..
4848
SGSISGSI..
4949
Gestión de la SeguridadGestión de la Seguridad.. 2) ASEGURAR
1) POLITICA de SEGURIDAD
3) MONITORIZAR yREACCIONAR
4) COMPROBAR
5) GESTIONAR y MEJORAR
• Cortafuegos• Software fiable• IPsec• PKI
• IDS
• Escaneo de vulnerabilidades
•Administraciónde recursos
5050
Modelo de SeguridadModelo de Seguridad
..
