Seguridad informática
Blog dedicado a la publicación de apuntes de clase relacionados con la Seguridad informática.
Blog dedicado a la publicación de apuntes de clase relacionados con la Seguridad informática.
Apuntes 19 de Marzo de 2010
Clasificación de la Información
Clasificación de la información (comercial)
Clasificación de la información (militar)
Apuntes 17 de Marzo de 2010
Confidencialidad de la información
•Los recursos (hardware, software, datos) son accesibles sólo a usuarios ó procesos autorizados.
•Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información.
Confidencialidad de la Información
Ataques contra la Confidencialidad de la Información
Ataques contra la Confidencialidad de la Información
Sniffer:
Keylogger: del inglés: key (tecla) y logger (registrador);
Combinación de hardware y software que se encargan de capturar todas las pulsaciones que se realizan en el teclado, y almacenarlas en un archivo.
Controles para preservar la Confidencialidad de la Información
Autenticación
Mecanismos de autenticación
Factores de autenticación
Contraseñas
Dispositivos biométricos
Problemas:
Autorización
Mecanismos
Apuntes 12 de Marzo de 2010
ADMINISTRACION DEL RIESGO
a. Priorizar los riesgos así como identificar las prioridades de la administración.
b. Aceptable el nivel de riesgo?
Formas para el tratamiento del Riesgo
Formas de tratamiento del riesgo (2)
Documentación de Administración de riesgos
Apuntes 10 de Marzo de 2010
Técnicas de identificación de riesgos
Análisis DOFA
Debilidades Oportunidades
Fortalezas Amenazas
Es una herramienta para identificar riesgos la idea es que las fortalezas no se conviertan en amenazas.
Lluvia de ideas
Diagrama de pescado
Diagrama de flujos y de procesos
Principio de Pareto
NTC 5254 GESTION DEL RIESGO
Análisis cualitativo utiliza formatos de palabras o escalas descriptivas para describir la magnitud y la probabilidad. Ejemplo alto, medio, bajo, etc.
Calificación del riesgo (Análisis semi-cuantitativo)
RIESGO = Impacto X Probabilidad
CONSECUENCIA PROBABILIDAD
1. Insignificante Improbable
2. Bajo Remoto
3. Medio Factible
4. Grave Probable
5. Muy grave Muy probable
RIESGO INHERENTE
Insignificante 1 a 3
Bajo 4 a 6
Moderado 8 a 12
Alto 15 a 25
Riesgo Residual
Remanente queda después de aplicar un control. Riesgo sin cubrir.
Riesgo Inherente – control
Apuntes 5 de Marzo de 2010
ADMINISTRACIÓN DE RIESGOS INFORMÁTICOS
1. Activo: Elemento que tiene valor tangible e intangible para la empresa
2. Amenaza: Agentes capaces de causar daños a los activos aprovechando sus vulnerabilidades.
3. Vulnerabilidad: debilidad (característica o riesgo inherente), asociada con un activo.
Riesgo= Vulnerabilidad + Amenazas
4. Controles: Acciones o mecanismos que impiden, mitigan o reducen el riesgo.
Ejemplo:
Amenazas vulnerabilidades
Para implantar controles de seguridad (contramedidas), debemos identificar y comprender cuáles son las amenazas a las que esta expuesta la infraestructura de TI y sus vulnerabilidades explotadas en los ataques.
Administración del riesgo
Método sistemático y lógico de identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos de una actividad, función o proceso.
METODOLOGÍAS DE ADMINISTRACIÓN DE RIESGOS
Apuntes 24 de febrero de 2010
Organización de la Seguridad Informática
Responsable de la seguridad Informática:
Estructura del área de SGSI
Roles funciones y responsabilidades
Políticas de seguridad Informática
Apuntes 19 de febrero de 2010
GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
Iniciación del proyecto | Asegurar el compromiso de la dirección |
Definición del SGSI | Identificar el alcance y los límites del marco de dirección de seguridad |
Evaluación de riesgos | Realizar el inventario y evaluar el activo a proteger
Identificar y evaluar amenazas y vulnerabilidades Calcular el valor de riesgos asociados |
Administración de riesgos | Encontrar como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo aceptable. |
Entrenamiento y concientización | Los empleados pueden ser el eslabón más débil en la seguridad de la información en la organización. Se debe establecer un programa de concientización de la seguridad de la información. |
Preparación para la auditoría | Aprender a manejar el marco de seguridad y que se debe hacer antes de traerá un auditor externo para la certificación ISO 27001:2005. |
Auditoría | Aprender más sobre los pasos realizados para auditores externos y averiguar sobre los cuerpos de certificación acreditados ISO 27001:2005. |
Control y mejora continua | Aprender a mejorar la eficiencia del SGSI conforme al modelo de Administración reconocido por la ISO. |
Apuntes 17 de febrero de 2010
ISO 27001 – ISO 27002
ISO/IEC 27000 Alineadas con las normas ISO 9000, no son normas técnicas, son el debe orientado al proceso no al producto.
ISO7/IEC 27001 Sistema de gestión de la seguridad de la Información (SGI) requisitos. Establece los requisitos para un sistema de seguridad de la información certificable.
Ciclo Deming
PHVA
Estructura de la ISO 27001
Manual de seguridad
Alcance:
Capítulos a tener en cuenta:
Capítulo 7:
Capítulo 8:
Documentos exigidos:
Documentos exigidos | |
|
Clausula 4.3.1 Alcance SGSI, políticas de seguridad, metodologías, análisis de riesgos, descripción, procesos, quien hace qué y cuando. |
|
Descripción, procesos, ¿quien hace que y cuando?Análisis de riesgos:
Identificación de amenazas Identificación de riesgos Identificación de controles |
|
Cómo se realizan las tareas y las actividades específicas. |
|
Proporcionan evidencia, información del SGI. |
ISO 27002 (Dominios I)
Dominio
· Objetivode Control
o Control(es)
§ Características control(es)
Apuntes del 12 de febrero de 2010
SEGURIDAD INFORMÁTICA
Estados de la información:
Medidas de seguridad
Características de la información
La seguridad no es un producto es un proceso proactivo que requiere un análisis de riesgos, no reactivo. La seguridad es un proceso continúo. Para ello se requiere gestionar la información por medio de un SGSI.
Gestión: realización de actividades coordinadas para dirigir y controlar para lograr un objetivo determinado. Planificar, organizar, dirigir y controlar.
Gestión de seguridad informática:
Realización de actividades necesarias para organizar los niveles de seguridad en una organización.
MODELOS DE GESTION DE SEGURIDAD INFORMÁTICA
Familia de Normas ISO 27000
NIST Instituto Nacional de Normas y Tecnología
NIST 800-12
ISO/IEC
Últimos comentarios