Upload
jcpacheco54
View
124
Download
0
Embed Size (px)
Citation preview
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 1/39
SEGURIDAD DE LA
INFORMACIÓNMódulo 1: Sesión Nº1
Elaborado por:JC Pacheco
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 2/39
AGENDA
1. La Seguridad, Conceptos y definiciones
2. Seguridad Informática vs Seguridad de la Información3. Riesgos: Conceptos y definiciones
4. Relación entre seguridad y riesgo
5. Componentes del riesgo.
6. Qué es un modelo de gestión de la seguridad
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 3
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 3/39
Seguridad: Conceptos y definiciones
1. Cualidad de seguro.(Libre y exento de todopeligro, daño o riesgo)
2. Certeza
(conocimiento cierto yclaro de algo).
Según el RAE
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 4
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 4/39
Seguridad: Conceptos y definicionesRequerimi
entos de
Seguridad
• Confidencialidad• Integridad• Disponibilidad
Política de
Seguridad
• Qué está y• Qué NO está
permitido.
Mecanismos
de Seguridad
• Refuerza la política• Meta: Nunca en
estado no permitido
Aseguramiento de
Seguridad
• Requerimientos vs
Necesidades
• Políticas vs
Requerimientos
• Mecanismos vs Políticas
Dependede
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 5
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 5/39
Seguridad, Conceptos y definiciones
SISTEMA
Deja haceracciones no permitidas
Deja hacersolo acciones
permitidas
INSEGURO SEGURO
Componente HUMANO:
• Conocer y comprender principios de seguridad• Cómo esos principios se aplican en una situación dada
• Cómo definir requerimientos y su política adecuada
• Cómo utilizar la tecnología para implementar la política
Sin personas quelogren esto
NO HABRÁSISTEMA SEGURO
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 6
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 6/39
Seguridad de la Información vs Seguridad Informática
Seguridad de la Información
Información documental y biológicaProcesos de Negocio
Políticas Análisis deRiesgos
Información en
computadorasProcesosinformáticos
Mecanismos yProcedimientos
Seguridad Informática
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 7
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 7/39 [email protected]
Riesgo: Conceptos y definiciones
• (Del it. risico o rischio, y este del ár. clás. rizq ,lo que depara la providencia). (RAE)
• 1. m. Contingencia o proximidad de un daño.(RAE)
• 2. m. Cada una de las contingencias quepueden ser objeto de un contrato de seguro.(RAE)
• Daño potencial que puede surgir por unproceso presente o evento futuro. (Wikipedia)
• Evento o situación incierta, que de suceder,tiene un efecto en los objetivos del proyecto(PMBOK)
Riesgo
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 8
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 8/39 [email protected]
9
La exposición a la posibilidad de
ocurrencia de ciertas cosas tales
como pérdida o ganancia
económica, daño físico, retrasos,
daño a la salud pública, etc. que
surgen como consecuencia de
seguir un curso particular de
acción. (Aduanas de Chile)
“Posibilidad de que se produzca
un impacto dado en la
organización” (Magerit)
Riesgo: otras definiciones
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 9/39 [email protected]
Riesgos, Conceptos y definiciones
Amenaza Vs Riesgo Amenaza es:
I. Todo lo que tenga probabilidad de ocurrir,causando daño. (Wikipedia)
II. Causa potencial de un incidente no deseado,el que puede ocasionar un daño al sistema o ala organización (ISO27000)
Riesgo es:I. Efecto de la incertidumbre sobre los objetivos
(ISO31000)II. El resultado de la posibilidad de una amenaza
explotando la vulnerabilidad de un activo.(ISO27000)
Sin la ocurrencia de amenazas el riesgo seríacero.
Tomado de:www.scienceinthebox.com/es_ES/safety/pic
/risk_assessment.jpg
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 10
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 10/39 [email protected]
11
Situaciones inciertas, nocontrolables, noprevistas (amenazas).
Deficiencias
en losprocesos oen la
gestión.(vulnerabili
dades).
Activos dela organización
Impacto como
resultadodel riesgo
Elementos del riesgo
RIESGO
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 11/39 [email protected]
Consecuencias probables de un riesgo
Naturaleza
• Indica los problemasprobables• P.E. Interfaz mal
definida para el HW(riesgo técnico)
Alcance
• Combina la severidad(cuán serio es elproblema?)
• Con su distribucióngeneral (que proporcióndel proceso o de laorganización se afecta?)
Cuandoocurre
• Cuándo y por cuántotiempo se dejará sentirel impacto
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 12
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 12/39 [email protected]
13
Resumiendo….
La Amenaza
El Impacto delRiesgo
Estrategia deMitigación
El Riesgo esposibilidad de ladestrucción de
la casa
LaVulnerabilidad
El Activo
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 13/39 [email protected]
Relación entre seguridad y riesgo
Riesgo Seguridad
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 14
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 14/39 [email protected]
Modelo de gestión de la seguridadModelo:
(Del it. modello).1. m. Arquetipo o punto de referencia para
imitarlo o reproducirlo. Representación en
pequeño de algo.
2. m. En las obras de ingenio y en las acciones morales,ejemplar que por su perfección se debe seguir e imitar.
3. m. Esquema teórico, generalmente en forma
matemática, de un sistema o de una realidad compleja
Gestión
(Del it. gesio).
1. Acción o efecto de gestionar o
administrar
2. m. En las obras de ingenio y en las
acciones morales, ejemplar que por superfección se debe seguir e imitar.
Concreción de acciones para el logro de
un objetivo
Entonces, Modelo de Gestión de la Seguridad es elentorno o marco de referencia para la
administración de la SEGURIDAD en unaorganización
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 15
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 15/39 [email protected]
Gestión de la seguridad: ISO27000
….en el tiempo
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 16
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 16/39 [email protected]
ISO27000: La Familia: Publicadas
Descripción Código del estándarGestión de la seguridad de la Información: Overview ISO/IEC 27000:2009
Sistema de Gestión de la información de seguridad ISO/IEC 27001:2005
Código de buenas prácticas para GSI (ISO17799) ISO/IEC 27002:2007
Guía para la implementación del SGSI ISO/IEC 27003:2010Métricas para la gestión de seguridad ISO/IEC 27004:2009
Gestión de riesgos en SI ISO/IEC 27005:2008
Requisitos para los organismos de acreditación de SGSI ISO/IEC 27006:2007
Guía para la GSI en Telecomunicaciones c/ISO/IEC 27002 ISO/IEC 27011:2008Guía para habilitar las TIC para la Continuidad de Negocio ISO/IEC 27031:2011
Conceptos y revisión general de Seguridad en Redes ISO/IEC 27033-1:2009
GSI en el sector salud utilizando ISO/IEC27002 ISO 27799:2008
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 17
/ /
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 17/39 [email protected]
ISO27000: La Familia: en Desarrollo
Descripción Código delestándar
Guía para la Auditoria de un SGSI (foco en el sistema de gestión) ISO/IEC 27007
Guía para auditores de los controles del SGSI (foco en los controles de seguridadde la información)
ISO/IEC 27008
Guía para la implementación integrada de ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27013Marco de referencia para el gobierno de seguridad de información ISO/IEC 27014
Guía para la Gestión de SI en los sectores financiero y seguros ISO/IEC 27015
Guía para la seguridad en Internet (“del buen vecino” en Internet) ISO/IEC 27032
Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada) ISO/IEC 27033
Guía para la seguridad de aplicaciones ISO/IEC 27034
Gestión de Incidentes de Seguridad ISO/IEC 27035
Guía para la seguridad con Terceros (outsourcing) ISO/IEC 27036
Guía para la identificación, recolección, y/o adquisición y preservación de evidenciadigital.
ISO/IEC 27037
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 18
26/08/2011 I i d I i í d S f IIS f UNI 19
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 18/39 [email protected]
ISO27005: Gestión del Riesgo en SI
Establecimientodel Contexto
Evaluación delRiesgo
Tratamiento delRiesgo
Aceptación del
Riesgo
Comunicación
del riesgo y plande tratamiento
Monitoreo y
Revisión delRiesgo
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 19
26/08/2011 I tit t d I i í d S ft IIS ft UNI 20
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 19/39
• Revisa y evalúa el
desempeño
(eficiencia y
eficacia) del SGSI.
•Realiza los cambios
necesarios para llevar
al SGSI a máximo
rendimiento.
• Envuelve la
implantación yoperación de los
controles.
• Diseño del SGSI,
• Evaluación de riesgosde los activos de la
información
• Selección de
controles adecuados. Plan (plani
ficar)
Do
(hacer)
Check (contro
lar )
Act
(actuar )
Gestión de la seguridad: ISO2700126/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 20
26/08/2011 I tit t d I i í d S ft IIS ft UNI 21
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 20/39
ISO27000: en Cifras al 2009
0
20
40
60
80
100
120
2008 2009
82
117
Nro. Países solicitantes
2008
2009
0
2000
40006000
8000
10000
12000
14000
2008 2009
9246
12934
Nro. Certificados 27001 emitidos
2008
2009
Fuente: www.iso.org
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 21
26/08/2011 I tit t d I i í d S ft IIS ft UNI 22
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 21/39
Gestión de la seguridad: SOGP del ISF
INSTALACIONES DE TI
SDDesarrollo
deSistemas
CBAplicacionesde Negocio
Críticas
SMGestión deSeguridad
NWRedes
UEAmbiente
de UsuarioFinal
CIAmbiente
deCómputo
• El Estándar de Buenas Prácticas (SoGP)
del Foro de Seguridad de Información
(ISF) es una referencia práctica sobre
seguridad de la información y temas
relacionados con los riesgos de
información; con un enfoque de negocios.• Está alineado con los principales
estándares como ITIL, CMM,
ISO20000, ISO9001, ISO/IEC2700x,
NIST, PCI DSS e información general de
conceptos de gobierno de la seguridad.
• Se complementa con la experiencia
recogida por el ISF durante la realización
de sus proyectos.
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 22
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 23
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 22/39
SOGP del ISF: Aspectos principales1. Cumplimiento de estándares.
i. SOGP como herramienta que apoya lacertificación ISO27001. Alineada a toda lafamilia ISO2700, incluyendo: la 27014(gobernanza de seguridad) y 27036 (Tercerosexternos)
ii. Incluye tópicos como : Delitos Informáticos(Cibercrime), Computación en la Red (CloudComputing) y Seguridad en dispositivosmóviles.
iii. Proporciona información detallada y propone
controles para Infraestructura Crítica y AccesoInalámbrico.
iv. Es una herramienta para habilitar elcumplimiento de los estándares COBIT y PCIDSS.
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 23
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 24
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 23/39
SOGP del ISF: Aspectos principales2. Validación de proveedores
i. Asegura que los requerimientos de
seguridad de la información sean las
premisas para trabajar con terceros.
ii. Sirven como base para la comprensión yevaluación del nivel de seguridad de la
información implementada por los
proveedores
iii. Asegura que la cadena de suministroestá sujeta a un nivel de seguridad de la
información que puede responder a los
riesgos.
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 24
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 25
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 24/39
SOGP del ISF: Aspectos principales3. Evaluación de Riesgos
i. La evaluación de riesgos ayuda a
reducir la frecuencia e impacto de los
incidentes de seguridad, y mejora la
seguridad de la información
ii. SOGP complementa a cualquier
metodología de evaluación de riesgos
que se utilice, incluyendo la
metodología de análisis de riesgos de lainformación de ISF (IRAM)
iii. Ofrece 50 tipos de amenazas y los
controles potenciales para aplicación
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 25
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 26
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 25/39
SOGP del ISF: Aspectos principales4. Políticas, Controles y Procedimientos
i. Puede ser adoptado como base de una
política de seguridad de la información
general.
ii. Es una herramienta efectiva para laidentificación de brecha existentes en la
política, los controles y procedimientos de
seguridad de la información, entre lo que
tenemos y lo que queremos ser.iii. Reduce el esfuerzo necesario en una
organización para la implementación de un
SGSI
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 26
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 27
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 26/39
SOGP del ISF: Aspectos principales5. Toma de conciencia
i. Contiene tópicos específicos que ayudarán almejoramiento de la toma de conciencia enseguridad y soportarán actividadescorrespondientes dentro de la organización.
ii. Dirige cómo se podría aplicar la seguridad de la
información en un ambiente local, lo querepresenta una actividad de concientización enseguridad.
iii. Lograr que la organización tome conciencia delrol de la seguridad de la información, de manera
consistente a través de la propia organizacióngenerará altos niveles de protección y evitarápotenciales daños costosos para la reputación dela organización.
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 27
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 28
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 27/39
SOGP del ISF: Aspectos principales
i. SOGP está integrada con la herramienta
de Benchmarking de ISF, lo que
proporciona una base para la realización
de una evaluación, detallada o de alto
nivel, de las fortalezas de los controles de
seguridad de la información a lo largo y
ancho de la organización.
ii. Ayuda a mejorar la gestión de los
ejecutivos y la confianza de los
interesados, por la capacidad de análisis
objetivos del nivel real de seguridad
6. Evaluación de la seguridad de la Información
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 28
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 29
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 28/39
SOGP del ISF: Aspectos principales
i. SOGP se constituye en una completa
herramienta de referencia para atender a
nuevos requerimientos de seguridad de la
información o a la mejora de los controlesexistentes.
ii. EL estar basado en tópicos intuitivos de
seguridad permiten versatilidad en su
aplicación.
iii. Evitar tener que identificar controles desde
cero, ahorrando costo y tiempo
7. Mejora de la seguridad
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 29
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 30
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 29/39
Gestión de la seguridad: ISM3Modelo de Madurez de la Gestión de la Seguridad de la Información
(Information Security Management Maturity Model)Especificar, Implementar, Operar y Evaluar SGSIs
Aplicable a cualquier organización independientemente de su tamaño ygiro
Ayuda a mejorar los sistemas ISM de la organización, resaltandodiferencias entre el nivel actual y el nivel deseado de madurez
Evalúa cuantitativamente la madurez del SGSI de una organización y su
ambiente de control de seguridad de la información
Útil como guía para priorizar inversiones. Comparando los objetivos deseguridad y los objetivos de madurez.
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 30
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 31
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 30/39
Gestión de la seguridad: ISM3
M o d e l o d
e G S I
Modelo Organizativo
Modelo deSeguridadContextual
Modelo deSistemas
deInformación
Estratégico Táctico Operativo
P r o c e s o
s I S M Nivel de Madurez
ISM3-0: existe riesgo, inversión impredecible
ISM3-1: Reducción de riesgo, inversiónmínima
ISM3-2: Mayor reducción de riesgo, inversiónmoderada
ISM3-3: Alta reducción de riesgo técnico,inversión seria
ISM3-4: Alta reducción de riesgo técnico einterno, inversión seria
MODELOORIENTADOAL PROCESO
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 31
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 32
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 31/39
Gestión de la seguridad: ISM3SentidoComún
• Políticas
• Procedimientos
BuenasPrácticas
• Contraseñas• Único Acceso
Leccionesde
Incidentes
• Mejorar elfirewall
• Mejorar elAntivirus
EspecíficoAnálisis
de riesgos
• OCTAVE• Magerit
SegúnCliente
• Personal delproyecto A notenga acceso
al proyecto B
Para elegir unControl
MODELO FLEXIBLE,SE ADAPTA ALNEGOCIO
26/08/2011 Instituto de Ingeniería de Software IISoft UNI 32
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 33
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 32/39
Information Security Management Maturity Model ("ISM3") está
construido con base en estándares como ITIL, ISO 20000, ISO
9001, CMM, ISO/IEC 27001, e información general de conceptos de
gobierno de la seguridad. Mientras que la ISO/IEC 27001 está basada
en controles. ISM3 basado en procesos, incluye métricas de proceso.
Gestión de la seguridad: ISM3st tuto de ge e a de So t a e So t U 33
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 34
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 33/39
Modelo de gestión de la seguridad
ControlesActivos
Vulnerabilidades
Riesgo
AmenazasAgente deamenaza
Organización
Pone valor
Aplica
Enfrenta
Reduce
Afecta
Desea apropiarse, abusar o dañar
Explota
Provoca
Genera
g
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 35
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 34/39
Roles y Responsabilidades en SGSIg
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 36
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 35/39
Implementación y Certificación de un SGSIg
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 37
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 36/39
Consecuencias del Riesgo
• Horas hombre perdidas por una brecha de seguridad?.• Equipos que no producenPérdida de productividad
• Sitio WEB fuera por un incidente de seguridad?• Pérdida de acceso a INTERNET?Pérdida de ventas por fuera deservicio
• Restaurar datos de un backup puede ser muy costoso.• Qué si se destruyen los backups?Pérdida de Datos
• Planes estratégicos revelados,
• Información financiera sensible
Compromiso de Datos por
divulgación o modificación
• Se podría necesitar comprar un nuevo equipo• Servicios de recuperación de datos.Costos de reparación
• Hacer noticia como víctimas de una brecha de seguridad.• Fuga de clientes, etcPérdida de imagen
ROI como Reducción del Riesgo.
ROI mide mejora esperada contra costo de la mejora. P.e. Reducción en 50% deriesgos, frente a comprar un FW
g
. .
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 38
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 37/39
Ejemplo de ataque: Phishing – Ing. Social
Cliente de Banco de Credito
Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a travesde Banca en la Red han sido realizados desde diferentes direcciones IP.
Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, odebido a que usted ha utilizado mas de un computador para acceder a su cuenta.
Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestrossistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos queingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridadrequieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011.
Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo lerecordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, yaque no lo hacemos.De ante mano le agradecemos su cooperacion en este aspecto.
Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar elsiguiente enlace:
De: Banco de Credito <[email protected]>Fecha: 18 de agosto de 2011 13:14
Asunto: Estimado Cliente Verificacion Urgente
Para: *********@gmail.com
http://bcpzonasegura.viabcperu.in/bcp/ https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 39
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 38/39
Ejemplos posibles ataques a una red
26/08/2011 Instituto de Ingeniería de Software - IISoft - UNI 40
5/10/2018 Seguridad de la información-sesion 1-v1 - slidepdf.com
http://slidepdf.com/reader/full/seguridad-de-la-informacion-sesion-1-v1 39/39
Preguntas?