Professional Documents
Culture Documents
Introduccin a los conceptos de Seguridad de informacin Entendiendo los conceptos bsicos de seguridad
pgina 1
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2 Las causas de dao como el cdigo malvolo, penetracin de computadoras, y ataques de negacin del servicio han llegado a ser ms comunes, ms ambicioso, y mas sofisticados. La seguridad de la informacin y proteger las infraestructuras crticas del negocio es importante para ambos sectores pblico y de negocios del sector privado. En ambos sectores, la seguridad de la informacin funcionar como un habilitador, por ejemplo para lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. La interconexin de las redes privadas pblicas y privadas y el compartir de recursos de informacin aumentan la dificultad de lograr el control de acceso. La tendencia a la informtica distribuida tambin ha debilitado la efectividad del control central, especializado. No se han diseado muchos sistemas de informacin seguros. La seguridad que puede lograrse a travs de los medios tcnicos es limitada, y debe apoyarse por una apropiada gestin apropiada y por los procedimientos. Identificando qu controles deben ser implementados requiere planificacin cuidadosa y atencin al detalle. La gestin de la seguridad de la informacin requiere, como un mnimo, participacin por todos los empleados de la organizacin. Tambin puede requerir la participacin de los accionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas. Asesora y Consejo de especialista de las organizaciones externas tambin puede necesitarse.
pgina 2
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2 informacin, y por llevar a cabo los controles seleccionados para protegerse contra cada uno de estos riesgos. La valoracin de riesgo debe repetirse peridicamente para estar atentos a cualquier cambio que pudiera influir en los resultados de valoracin del riesgo. .
pgina 3
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2 g) la gestin de incidentes de seguridad de la informacin y mejoras Estos controles aplican a la mayora de las organizaciones y en la mayora de los ambientes. Debe notarse que aunque todos los controles en esta norma son importantes y deben ser considerados, la relevancia de cualquier control debe determinarse a la luz de los riesgos especficos que una organizacin pudiera enfrentar. Aunque el enfoque anterior es considerado un punto de partida bueno, no reemplaza la seleccin de controles basado en una valoracin de riesgo.
pgina 4
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
2.1 Activo cualquier elemento que tenga un valor para la organizacin [ISO/IEC 133351:2004]
2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso las
polticas, los procedimientos, las pautas, prcticas o estructuras organizacionales que pueden ser de tipo administrativo, tcnico, de gestin, o de naturaleza legal. NOTA La palabra control se usa como un sinnimo para resguardo o contramedida. 2.3 pauta una descripcin que clarifica lo que debe hacerse y cmo, para lograr el conjunto de los objetivos establecidos en las polticas [ISO/IEC 13335-1:2004] 2.4 facilidades de procesamiento de informacin cualquier sistema de procesamiento de informacin, servicio o infraestructura, o las localidades fsicas que los alojan 2.5 la seguridad de informacin la preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems, otras propiedades, fuertemente relacionadas tales como la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden tambin ser involucradas. 2.6 el evento de seguridad de la informacin es una ocurrencia identificada de un sistema, servicio o estado de la red indicando una posible brecha de la poltica de seguridad de informacin o fracaso de sus resguardos, o una situacin previamente desconocida que puede ser pertinente a la seguridad. [ISO/IEC TR 18044:2004 2.7 incidente de seguridad de informacin un incidente de seguridad de la informacin se indica por un solo o una serie de eventos de seguridad de la informacin no deseados o inesperados que tienen una probabilidad significativa de comprometer las operaciones del negocio mediante las amenazas a la seguridad de la informacin.[ISO/IEC TR 18044:2004] 2.8 la poltica la intencin y direccin global como formalmente fue expresada por la gerencia o administracin 2.9 el riesgo la combinacin de la probabilidad de un evento y su consecuencia [ISO/IEC Guide 73:2002] 2.10 anlisis de riesgo el uso sistemtico de informacin para identificar las fuentes y estimar el riesgo [ISO/IEC Guide 73:2002] 2.11 la valoracin del riesgo el proceso global de anlisis de riesgo y evaluacin de riesgo [ISO/IEC Guide 73:2002] 2.12 la evaluacin del riesgo el proceso de comparar el riesgo estimado contra el criterio de un riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002] 2.13 la gestin del riesgo las actividades coordinadas para dirigir y controlar una organizacin con respecto al riesgo NOTA: La gestin del Riesgo incluye tpicamente valoracin de riesgo, tratamiento de riesgo, aceptacin de riesgo y comunicacin del riesgo.[ISO/IEC Guide 73:2002] 2.14 Tratamiento del riesgo el proceso de seleccin y aplicacin de medidas para modificar el riesgo [ISO/IEC Guide 73:2002] 2.15 tercera parte esa persona o institucin que se reconocen como un ser independiente de las partes involucradas, con respecto a un problema, trabajo o labor en cuestin [ISO/IEC Guide 2:1996] 2.16 la amenaza una causa potencial de un incidente no deseado que puede producir dao a un sistema u organizacin [ISO/IEC 13335-1:2004] 2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarse por uno o ms amenazas [ISO/IEC 13335-1:2004]
pgina 5
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
Vulnerabilidad
Riesgo
Amenaza:
Confidencialidad Disponibilidad Integridad Autenticidad (No repudio)
Evento
Plan de proteccin, Recursos de HW y SW (FW, IDS, Criptografa) para proteccin, PPPE y auditoria permanente
pgina 6
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentes de la organizacin o los sistemas individuales de informacin. La valoracin de riesgo debe incluir el enfoque sistemtico de estimar la magnitud de riesgos (el anlisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgo para determinar la importancia de los riesgos (la evaluacin de riesgo). Tambin deben realizarse peridicamente las valoraciones de riesgo para conducir los cambios en los requerimientos seguridad y en la situacin de riesgo, por ejemplo en los recursos, amenazas, las vulnerabilidades, los impactos, la evaluacin del riesgo, y cuando los cambios significativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metdica capaz de producir resultados comparables y reproducibles. La valoracin del riesgo de seguridad de la informacin debe tener un alcance claramente definido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otras reas, si es lo apropiado. El alcance de una valoracin de riesgo o puede ser la organizacin entera, o las partes de la organizacin, un sistema de informacin individual, componentes del sistema especficos, o servicios dnde esto es factible, realista, y til. Se discuten ejemplos de metodologas de valoracin de riesgo en ISO/IEC TR13335-3 (Las guas para la Gestin de la Seguridad de la informacin: Las tcnicas para el manejo de Seguridad de la INFORMACIN).
pgina 7
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, o pueden disearse nuevos controles para satisfacer las necesidades especficas de la organizacin. Es necesario reconocer que algunos controles no puedan ser aplicables a cada sistema de informacin o ambiente, y no podra ser factible para todas las organizaciones. Como un ejemplo, el pargrafo 10.1.3 describe cmo pueden dividir los deberes y funciones para prevenir el fraude y el error. No puede ser posible para las organizaciones ms pequeas dividir todos los deberes y otras maneras de lograr el mismo objetivo del control pueden ser necesarias. Como otro ejemplo, el pargrafo 10.10 describe cmo el uso del sistema puede supervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registro de eventos, podran entrar en choque con la legislacin aplicable, como proteccin de la privacidad del cliente o en el lugar de trabajo. Los controles de seguridad de informacin deben ser considerados en los sistemas, proyectos y aplicaciones diseando la especificacin de los requerimientos de seguridad en la fase de diseo. Fallas en este punto puede producir costos adicionales as y hacer menos eficaz las soluciones, y quiz, en el peor caso, incapacidad para lograr la seguridad adecuada. Debe tenerse presente que ningn conjunto de controles puede lograr la seguridad completa, y gestin adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y la efectividad en los controles de seguridad para soportar los objetivos de la organizacin.
2 Poltica de seguridad
Un poltica de seguridades es una decisin ejecutiva sobre el quehacer en el procesamiento, acceso, almacenamiento, creacin, mantenimiento y eliminacin de la informacin, para protegerla adecuadamente.
pgina 8
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
c) un armazn por establecer objetivos de control y controles, incluso la estructura de la valoracin y manejo de riesgo; d) una explicacin breve de las polticas de seguridad, principios, normas, y requerimientos de cumplimiento de importancia particular para la organizacin, incluyendo: 1) la complacencia con el legislativo, los requerimientos reguladores y contractuales; 2) la educacin de seguridad, entrenamiento, y requerimientos de conocimiento; 3) la gestin de continuidad del negocio; 4) las consecuencias de las violaciones de la poltica de seguridad de la informacin; e) una definicin de las responsabilidades generales y especficas para la gestin de la seguridad de informacin, incluyendo el informar los incidentes de seguridad de la informacin; f) las referencias a documentacin que pueden apoyar la poltica, por ejemplo la seguridad ms detallada las polticas y procedimientos para los sistemas de informacin especficos o las reglas de seguridad que los usuarios deben cumplir. Esta poltica de seguridad de informacin debe comunicarse a lo largo de la organizacin a los usuarios en un formato apropiado, accesible y entendible al lector intencional. Otra informacin La poltica de seguridad de informacin podra ser una parte de un documento de la poltica general. Si la informacin de la poltica de seguridad es distribuda fuera de la organizacin, el debe tenerse cuidado para no descubrir o revelar informacin sensible. Informacin adicional puede encontrarse en el ISO/IEC 13335-1:2004.
pgina 9
Escuela Colombiana de Ingeniera Julio Garavito SYPI Semestre II 2005 Notas del profesor Fascculo No2
f) cambios que podran afectar el enfoque de la organizacin al manejo de la seguridad de informacin, incluso los cambios al ambiente organizacional, circunstancias comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y legales, o al ambiente tcnico; g) las tendencias relacionadas con las amenazas y vulnerabilidades; h) incidentes reportados de seguridad de informacin (vea 13.1); i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6). La salida de la gestin de revisin debe incluir cualquier decisin y acciones relacionadas a: a) la mejora del enfoque de la organizacin a la gestin de la seguridad de la informacin y sus procesos; b) la mejora de objetivos de control y controles; c) la mejora en la asignacin de recursos y/o responsabilidades. Un registro de la gestin de revisin debe mantenerse. La aprobacin gerencial para la poltica revisada debe obtenerse.
pgina 10