Seguridad Informtica

1
Seguridad Informática

• M.C. Juan Carlos Olivares Rojas

2
Sistema de Gestión de Seguridad de la Información
3
(No Transcript)
4
Riesgos de Seguridad Informática
5
Riesgos de Seguridad Informática
6
Pasos Recomendados en una Estrategia
7
Evaluación de Activos
8
COBIT

• Control Objective for Information related
  Technology.

9
ITIL

• IT Infrastructure Library, incluye definiciones
  de las mejores prácticas para la gestión de
  Servicios. La definición se divide en dos
  volúmenes
• Soporte de Servicios
• Distribución de Servicios

10
Ejercicio 1

• El Hospital Santa Cecilia, el cual cuenta con
  más de 100 años de operación en la ciudad de
  Monterrey, cuenta con tres hospitales satélites
  en donde se atienden urgencias y medicina
  familiar.
• Desde hace dos años implementó un sistema para
  sistematizar las historias clínicas de sus
  pacientes. Al momento llevan un 30 de avance en
  la captura de esa información, por lo que existe
  todavía gran cantidad de información en archivos
  de papel.

11
Ejercicio 1

• El Hospital cuenta con más de 300 equipos de
  cómputo conectados a través de su red local, los
  cuales mantienen estrecha comunicación con el
  equipo central. Así mismo maneja conexiones con
  aseguradoras para la transferencia de información
  referente a trámites de sus pacientes.
• Hace cinco años, el hospital se conectó a
  Internet, ya que esto facilitaba la comunicación
  con sus clientes y proveedores.

12
Ejercicio 1

• Existen canales de comunicación tales como el
  correo electrónico y mensajería, por donde fluye
  todo tipo de información (incluyendo la
  transferencia de archivos).
• A mediados del año pasado lanzó su portal del
  área de laboratorio y check up, con lo cual sus
  clientes pueden acceder a sus resultados de
  laboratorio y enviárselos a su doctor.

13
Ejercicio 1

• Dentro de los planes de expansión, el hospital
  está considerando asociarse con la Clínica Mayo
  con el fin de transferir tecnología y establecer
  acuerdos de investigación. Actualmente el
  Hospital cuenta con un Centro de Investigación
  líder a nivel mundial en Neurocirugía y cuenta
  con dos investigadores que han ganado premios
  Nobel por las investigaciones realizadas en este
  campo. Esto le ha dado una ventaja competitiva a
  este hospital.

14
Ejercicio 1

• En los próximos meses se empezará a realizar un
  reemplazo de equipo de cómputo y se necesita
  tomar una decisión sobre como disponer del equipo
  viejo.
• Con base en esta información, tú como
  especialista en seguridad debes de realizar un
  estudio de la problemática y realizar
  recomendaciones.

15
Ejercicio 1

• De acuerdo a tu criterio, lista los activos por
  orden de importancia.
• Contra que situaciones protegerías dichos
  activos?
• Cómo protegerías dichos activos?
• Qué harías con el equipo viejo?

16
Ejercicio 2

• Entre los incidentes más recientes en el Hospital
  Santa Cecilia se cuentan los siguientes
• Se han detectado numerosos equipos a los cuales
  los empleados le han instalado aplicaciones como
  Hotbar y Messenger Plus. Otros tienen
  instalados utilerías que les permiten ver la
  temperatura de la ciudad en su desktop. Sin
  embargo, estas aplicaciones son shareware y no
  están soportadas.

17
Ejercicio 2

• Se han reportado clientes del hospital
  notificando la recepción de un mail con una liga
  que les solicita la actualización de los datos
  para ingresar al portal del Laboratorio. El
  hospital nunca ha enviado mensajes de ese tipo.
• Su portal de banca electrónica estuvo
  sobrecargado durante dos días imposibilitando a
  sus clientes acceder al mismo.

18
Ejercicio 2

• Existe software no licenciado instalado en los
  equipos del hospital.
• Un empleado de sistemas fue despedido y en
  represalia copió el archivo de contraseñas de
  acceso al sistema de información de pacientes.
• Se detectó virus en diversos equipos a pesar de
  contar con software antivirus instalado.

19
Ejercicio 2

• Se han detectado accesos no autorizados a los
  sistemas.
• Qué eventos de los explicados en la sesión han
  afectado al hospital?
• Con base en tu experiencia que harías para
  corregir esta situación?

20
Ejercicio 3

• Identifica qué principio y activo es el más
  importante para cada una de las siguientes
  organizaciones. Justifica tu respuesta.
• Secretaría de Hacienda
• Ejército
• Empresa farmacéutica
• Amazon.com
• Sistema de Escolar de una Universidad

21
Ejercicio 3

• Sistema de emergencias telefónica 066
• Su equipo de cómputo personal.
• Banco
• Carrier de telecomunicaciones.
• Coca Cola.

22
Ejercicio 4

• La empresa Alfa-2030 ha estado trabajando en los
  últimos años desarrollando servicios on-line de
  seguros de todo tipo para empresas. Su negocio
  está basado en transacciones en Internet a través
  de su portal de Internet donde los clientes
  realizan todas sus transacciones como
  contratación de los seguros, pagos electrónicos
  en línea, renovaciones, reclamaciones,
  cancelaciones, etc.

23
Ejercicio 4

• Esta empresa ha experimentado desde hace meses
  ciertos incidentes en materia de seguridad de
  información, que a continuación se describen
• Recién se ha creado el equipo de seguridad de
  información de la empresa, sus procesos
  operativos de Seguridad son incipientes
  (respaldos de información, manejo de capacidad,
  controles de acceso lógico, etc.).

24
Ejercicio 4

• La tecnología para proteger la seguridad de
  información ha estado poco ausente de hecho este
  equipo de Seguridad ha iniciado con planes de
  adquirir tecnologías.
• El presidente de la empresa ha solicitado a un
  experto en seguridad de información que estime
  los riesgos para cada una de las siguientes
  amenazas

25
Ejercicio 4

• Acceso no autorizado a la información de los
  clientes.
• Software malicioso que afecte a los principales
  sistemas de la empresa
• Denegación de servicios a su portal de Internet

26
Ejercicio 4

• A partir del caso anterior, escriba un reporte
  donde determine los riesgos (niveles) para cada
  una de las amenazas descritas, tendrá que
  justificar sus respuestas en cuanto a describir
  las vulnerabilidades y sus impactos.
• De manera adicional, escriba un reporte, donde
  mencionen al menos 5 controles de Seguridad de
  información que mitiguen las amenazas descritas
  en este caso. 

27
Ejercicio 5

• La empresa Alfa-2030 ha decidido iniciar con un
  programa formal de Seguridad de información como
  una función importante y su propio presupuesto en
  la organización, Ricardo Aranguren ha sido
  nombrado como Director de Seguridad de
  Información dependiendo en forma directa de la
  Dirección General, de momento sólo se la ha
  asignado a tres personas para esta nueva función.

28
Ejercicio 5

• Lo primero que la dirección genera le ha
  solicitado al Director de seguridad de
  información es establecer una política específica
  del uso del e-mail dado que han ocurrido
  últimamente incidentes en el mismo tales como
  virus y gusanos que han causado pérdidas al
  negocio, además hay personal que al parecer abusa
  de este servicio haciendo mal uso del mismo.

29
Ejercicio 5

• Escribe un reporte con está política especifica
  con un mínimo de 6 párrafos (cuerpo de la
  política). Asegúrate que este documento contenga
  estas secciones
• Antecedentes
• Objetivo
• Cuerpo del documento
• Responsabilidades
• Definición de términos

30
Ejercicio 6

• La empresa Alfa-2030 ha estado trabajando en los
  últimos años desarrollando servicios on-line de
  seguros de todo tipo para empresas. Su negocio
  está basado en transacciones en Internet a través
  de su portal de Internet donde los clientes
  realizan todas sus transacciones como
  contratación de los seguros, pagos electrónicos
  en línea, renovaciones, reclamaciones,
  cancelaciones, etc.

31
Ejercicio 6

• El Director general ha solicitado realizar un
  plan de trabajo para desarrollar los
  procedimientos operativos de Seguridad de
  información para su portal de Internet.
• Se debe realizar un reporte que seleccione la
  prioridad del desarrollo de los siguientes
  procedimientos operativos (justifiquen su
  respuesta)

32
Ejercicio 6

• Procedimientos de respaldos de Información
• Procedimientos de control de acceso lógico a la
  información
• Procedimientos de control de cambios
• Procedimientos de control de software malicioso

33
Ejercicio 7

• EL Hospital El Milagro ha estado desarrollando
  actividades en el medio por más de 5 años, el
  director del Hospital le ha llamado a un equipo
  especializado en seguridad de información debido
  a que se ha sentido frustrado por haber invertido
  mucho dinero en seguridad de información sin
  tener resultados positivos.
• EL director en una entrevista mencionó lo
  siguiente (en resumen)

34
Ejercicio 7

• El área de seguridad depende del área de redes
• Al parecer nunca le alcanza al Hospital el dinero
  que se solicita para inversiones en el área de
  seguridad.
• Los usuarios de los sistemas de información
  tienen la impresión que la función de seguridad
  nunca los ha tomado en cuenta.

35
Ejercicio 7

• El gasto de inversión en equipos de seguridad
  como Firewalls, licencias de antivirus,
  detectores de intrusos, etc. se ha disparado.
• Al parecer estos equipos no han sido efectivos
  dado que han ocurrido incidentes de Seguridad y
  no se ha protegido al Hospital de estos impactos
  causados.
• Hace poco un auditor externo mencionó que no vio
  ningún procedimiento operativo de seguridad.

36
Ejercicio 7

• El encargado de redes batalla mucho para que le
  apruebe los proyectos el Hospital dado que el
  lenguaje que usa es muy técnico.
• Realizar un comentario que brinde consejos al
  Director General para poder ir armando la
  estrategia de la función de Seguridad de
  Información, favor de justificar sus respuestas.

37
Ejercicio 7

• De manera adicional se deben realizar las
  siguientes actividades
• Visión de seguridad de información (a 5 años)
• Misión de seguridad de información
• Que dimensión será la más relevante en un
  Hospital (Disponibilidad, confidencialidad,
  Integridad, autenticidad y no repudiación)
• Establecer 5 objetivos de seguridad de
  información.

38
Ejercicio 8

• Retomando el caso del Hospital Santa Cecilia y de
  acuerdo a la información proporcionada en el
  mismo realiza lo siguiente
• Escribe una política de seguridad corporativa
  (Máximo tres párrafos).
• Identifica tres políticas específicas que
  consideras deben de desarrollarse.

39
Ejercicio 8

• Lista tres recomendaciones que harías a los
  empleados del hospital en cuanto a
• Respaldo de información
• Correo electrónico
• Manejo de usuarios y contraseñas
• Uso de equipo de cómputo.

40
Ejercicio 9

• Para el caso del Hospital Santa Cecilia, se
  requiere realizar un análisis de riesgo. Dado que
  no se cuenta con datos que sustenten un análisis
  cualitativo, se requiere que realices un análisis
  cualitativo para los tres principales activos que
  identifiques. Para ello deberás realizar lo
  siguiente
• Identificar los tres principales activos que
  consideres.

41
Ejercicio 9

• Identificar al menos una vulnerabilidad para cada
  uno.
• Identificar al menos una posible amenaza para
  cada vulnerabilidad.
• Estimar la probabilidad de ocurrencia de esa
  amenaza (alta, media o baja).
• Calcular los riesgos de cada amenaza (Riesgo
  probabilidad x Impacto).
• Definir el tratamiento que darás a cada riesgo
  (disminuirlo, transferirlo, aceptarlo).

42
Referencias

• Morales, R. (2008) Curso de Seguridad
  Informática, SI040001, ITESM.
• González, H. (2008), Curso de Seguridad
  Informática II, UNID Sede Morelia.

43
Preguntas, dudas y comentarios?