Title: Fundamentos tericos de Seguridad de la Informacin
1Fundamentos teóricos de Seguridad de la
Información
Argentina - Mayo de 2009
2Tópicos
- Seguridad de la Información
- Gestión Seguridad de la Información
- Política Seguridad de la Información
- Tratamiento de la Información
- Clasificación de Información
- Amenazas y Vulnerabilidades
3Objetivo
- Presentar los principales fundamentos teóricos de
la Seguridad de la Información
4Histórico
- Desde el início de la civilización humana,
siempre hubo una preocupación con las
informaciones y con los conocimientos
proporcionados por ella
- El proceso de la escrita de algunos pueblos
antiguos já utilizaban maneras de garantizar la
seguridad en las informaciones
5Histórico
- Los Egípcios utilizaban la escrita con señales
para proteger y perpetuar su conocimiento
- Los primeros métodos de criptografía aparecieron
en esta época
- La preocupación crecio considerablemente en la
era moderna, con surgimiento de los ordenadores
6Histórico
- Negócios muy dependientes de la información y de
los sistemas computacionales
- Ambientes cada vez mais complejos, heterogenereos
e integrados.
7Seguridad de la Información
- La información, los sistemas y las redes de
ordenadores son activos fundamentales para los
negócios. La información tiene tanto o más valor
que cualquier otro bien de la organización
8Seguridad de la Información
- Seguridad Condición de ese o aquel en que se
puede fiarse.
- Información cualquier bien, tangible o
intangible, que tenga valor para una persona
física, entidad o empresa, incluyendo
- base de datos y documentos
- herramientas de desarrollo y utilitarios
- servicios de transmisión y recepción.
9Seguridad de la Información
- Las acciones que vengan a viabilizar y asegurar
la disponibilidad, la integridad, la
confidenciabilidad y la autenticidad de la
Información
10Seguridad de la Información
Disponibilidad
- propiedad de que la información esté accesible y
utilizable sobre la demanda por una persona
física o determinado sistema o entidad
11Seguridad de la Información
Integridad
- propiedad de que la información no fue cambiada,
incluso cuanto al origem y al destino, o
destruída
12Seguridad de la Información
Confidencialidad
- propiedad de que la información no esté
disponible o enunciada a la persona física,
sistema o entidad no autorizado y credenciado
13Seguridad de la Información
Autencidad
- propiedad de que la información fue producida,
expedida, cambiada o destruida por una
determinada persona física, o por determinado
sistema o entidad
14Seguridad de la Información
DICA
15Seguridad de la Información
No Repugnación
- propiedad de la protección contra la falsa
negación del envolucramiento en una asociación, o
sea, garantizar la autoria de determinadas
acciones impidiendo el repúdio (negación) de la
misma
16Evolución de la Seguridad de la Información
- Seguridad no es solamente un problema
tecnológico, pero una gestión inteligente de la
información en todos los ambientes
17Seguridad de la Información
Personas
18ABNT NBR ISO/IEC 27002
- Seguridad de la información es la protección de
las informaciones de los diversos tipos de
amenazas para minimizar daño al negócio y
garantizar su continuidad, maximizando el returno
de las inversiones y las oportunidades de negócio
19La Gestión de la Seguridad de la Información
- La Gestión de la Seguridad de la Información es
obtenida a partir de la implementación de um
conjunto de controles adecuados, incluyendo
políticas, procesos, procedimientos, estructuras
organizacionales y funciones de hardware y
software
20La Gestión de la Seguridad de la Información
- Apoyo de la alta dirección
- Política de la seguridad que refleje los
objetivos del negócio
- Comprometimiento y apoyo visible de todos los
niveles de la organización
- Buen entendimiento de los requisitos de seguridad
y gestión de riesgos
- Proporcionar divulgación, conscientización,
entrenamiento y educación adecuados
- Provisión de recursos financieros
21Política de Seguridad de la Información
- documento fundamental para el establecimiento de
la gestión de seguridad de la información
- fornece el direccionamiento y soporte
administrativo necesario para la gestión da
Seguridad de la Información
- documento de fácil entendimiento y necesita ser
creada a partir de la realidad y necesidades del
negócio de la organización
- Direcciona e integra el conjunto de documentos
para la gestión de la seguridad
22Política de Seguridad de la Información
- Todos estos documentos (normas, modelos,
procedimientos y orientaciones) deben ser creados
y mantenidos, de acuerdo con la jerarquia de la
documentación de la organización
23Política de Seguridad de la Información
- La política de la seguridad trae los seguintes
benefícios
- Orientar las acciones de la seguridad
- Definir el alcance de la seguridad en la
organización
- Auxiliar en la identificación del real valor de
los recursos e informaciones asociados con el
negócio
- Permitir la adocción de soluciones integradas y
homogeneas
- Servir de referencia para la auditoria, apuración
y evaluación de responsabilidad
24Política de Seguridad de la Información
25Seguridad de la Información en su trabajo
- Tratamento de la información
- Amenazas, Vulnerabilidades e Incidentes
26Conclusión
- Seguridad de la Información es
- un problema tecnológico y humano
- la protección de todos los activos
igualitariamente
- es fator crítico de éxito!
27 Gracias! LUIZ ANTONIO RECH Gerente
Operacional Loterías CAIXA ECONOMICA
FEDERAL Brasil luiz.rech_at_caixa.gov.br
28(No Transcript)
29Tratamiento de la Información
- Procedimentos que contemplan el procesamiento,
almazenaje, transmisión, clasificación,
reclasificación y destruicción de las
informaciones
- Define como debe ser tratada las informaciones en
su ciclo de vida y en los diversos tipos de
soporte
- Reproducción, Expedicción, Divulgación Interna y
Externa, Transporte, Armazenamiento, Transmisión,
Archivamento y Descarte
- Papel,Microformas,Medio magnético, óptico y otros
medios eletronicos,Correo eletronico,Archivo
electronico y Telas de sistemas informatizados
30Clasificación de la Información
- Proceso básico para la gestión de la seguridad de
la información
- Enfoque en los aspectos de sigilo de la
información y no en las cuestiones de
archivamento y documentación
- Procura dar protección adecuada a la información
en función de su valor, requisitos legales
asociados, sensibilidad y criticidad para la
organización
31Clasificación de la Información
- La clasificación define como la información será
tratada a lo largo de su ciclo de vida
- Cuanto mayor el grado de sigilo más sensible la
información
- Cuanto mayor el grado de sigilo más grande el
cuidado a ser tomado, mayor costo para mantenerla
DICA
32Seguridad Física
- Conjunto de medidas vueltas para la prevención y
la obstrucción de las acciones u ocurencias
adversas de cualquier naturaleza que puedan
comprometer las áreas o las instalaciones donde
sean tratadas las informaciones
33Credenciamiento
- Habilitación de personas físicas o entidades para
el tratamiento de Informaciones sigilosas
- Identificación,credencial, catraca,etc
34Seguridad Lógica
- Conjunto de medidas vueltas para la prevención y
la obstrucción de las acciones u ocorrencias
adversas de cualquier naturaleza que puedan
comprometer medios computacionales donde sean
tratadas las Informaciones
35Seguridad Lógica
- define quien puede tener acceso, sobre cuales
condiciones y lo que puede ser realizado. Esta
definición debe ser basada en los princípios
necesidad de conocer y privilégios mínimos
- Identificación y Autenticación
- la identificación es el nombre por el cual el
usuário es conocido o se presenta para el sistema
y la autenticación es la confirmación de la
identidad del usuário (seña).
36Criptografia
- Es un de los más utilizados mecanismos para
asegurar la confidencialidad e integridad
- Princípios, medios y métodos de transformación de
la información con el objetivo de mascarar su
contenido, impedir modificaciones, uso no
autorizado y acceso inapropriado
37Amenazas
- Son los agentes o condiciones que causan
incidentes que comprometen las informaciones y
sus activos por medio de la exploración de la
vulnerabilidad
- Causan impacto en los negócios de la organización
38Vulnerabilidades
- Son fragilidades presentes o asociadas a los
activos que manipulan informaciones que, cuando
exploradas por amenaza, permite la ocurrencia de
un incidente de seguridad, afectando
negativamente uno o más princípios de la
seguridad de la información - DICA
39Amenaza Vulnerabilidad
Incidentes
40Amenazas
- Amenazas externas o internas
- La amenazas siempre existirán
- Independiente de los controles de seguridad
- Los controles pueden eliminar las
vulnerabilidades y reducir/neutralizar las
amenazas
41Amenazas
- Clasificación de las amenazas
42Amenazas
- Procedimiento inadecuado de funcionários
- Funcionários mal entrenados
- Otras acciones intencionales
43Vulnerabilidades
- Vulnerabilidades son pasivas
- Son problemas en potencial
- La vulnerabilidade sola no es un problema
- La vulnerabilidade necesita ser explorada
- El agente causador o condición favorable
44Vulnerabilidades
- Clasificación de las Vulnerabilidades
45Vulnerabilidades
- Instalaciones edificales fuera del modelo
- Falta de extintores de incendio
- Falta de detectores de humo
46Vulnerabilidades
- Vulnerabilidades Naturales
47Vulnerabilidades
- Vulnerabilidades de Hardware
48Vulnerabilidades
- Vulnerabilidades de Software
- Indisponibilidad del recurso
49Vulnerabilidades
- Vulnerabilidades de Mídia
- Radiación eletromagnética
50Vulnerabilidades
- Vulnerabilidades de Comunicación
- Fallas en el canal de seguridad
51Vulnerabilidades
- Salida de informaciones confidenciales
- No ejecutar procedimientos de seguridad
52Incidentes
- Un levantamiento del CERT-BR (Centro de Estudios,
Respuesta y Tratamiento de Incidentes de
Seguridad en Brasil www.cert.br) demonstró que
los incidentes relacionados a la Seguridad de la
Información crecieron de forma considerable en
los últimos años, pasando de poco más de 3.100 en
1999 para aproximadamente 198.000 en 2006
53Incidentes
Total de Incidentes Reportados al CERT.br por
año Año (1999 hasta Junio de 2007)
54Incidentes
55Incidentes
Cual relación de los incidentes y las
propriedades de seguridad?
Interrupción
Disponibilidad
Modificación
Integridad
Interceptación
Confidencialidad
Fabricación
Autenticidad
56Incidentes
- Para agilizar la exploración de
vulnerabilidades, los atacantes desarrollan
códigos maliciosos
- Son programas desarrollados para acciones danosas
57Códigos Maliciosos
- Principales tipos de Códigos Maliciosos
58Códigos Maliciosos
- Programas que contaminan articulos o programas
- Usuário abre el articulo o ejecuta el programa
59Códigos Maliciosos
- No contamina otros articulos
- No necesita ser explicitamente ejecutado para
propagarse
- Explora vulnerabilidades de software
- Se propaga automaticamente
60Códigos Maliciosos
- Programa que hace más de que parece
- Tarjeta virtual, juego, protector de tela, álbun,
agenda, etc
- Pueden instalar keyloogers, backdoors, robar
señas, destruir archivos, etc
- Es más utilizado para robo de señas de accesso al
Internet Banking
61Códigos Maliciosos
- Monitoran actividades del sistema
- Enviar las informaciones para terceros
- Pueden instalar otros spywares
- Monitorar teclas o regiones de tela
62Códigos Maliciosos
- Backdoors (puerta del fondo)
- Crean canales de entrada en los sistemas
- Atacante instala backdoor para poder volver a los
sistemas
- Abre una puerta TCP en el sistema
- Puede ser instalado por um caballo de Troya
63Códigos Maliciosos
- Posue un dispositivo de comunicación con el
atacante
- Puede ser controlado remotamente
- El controlador del Bot puede
- Disparar una negación del servicio
64Códigos Maliciosos
- Son redes infectadas por bots
- Aumentan mucho el poder de ataque
- Atacante posue control sobre vários ordenadores