Seguridad de la información
Omar Olivos
olivosomar@gmail.com Huancayo Abril 2011
AGENDA
Seguridad de la Información SI - Olas Riesgo
Componentes
Encuesta de Seguridad
Componente Humano
SEGURIDAD DE LA INFORMACIÓN
La seguridad de la información tiene como propósito proteger la información registrada, independientemente del lugar en que selocalice: impresos en papel, en los discos duros de las computadoras o incluso en la memoria de las personas que las conocen.
CIA
C
Confidencialidad
I
Información
A
Integridad
Disponibilidad
CID
La seguridad de la información se caracteriza aquí como la preservación de:
Confidencialidad Integridad
•asegurando que sólo quienes estén autorizados pueden acceder a lainformación •asegurando que la información y sus métodos de proceso son exactos y completos •asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran
Disponibilidad
OLAS DE SEGURIDAD DE LA INFORMACIÓN
Tercera Ola
OLAS
1. Técnica 2. Gerencia 3. Institucionalización
Basie von Solms, “Information Security – The Third Wave? 2000”INSTITUCIONALIZACIÓN
Estandarización de la Seguridad de la Información
Como se si no me falta algo
Certificación Internacional de la Seguridad de la Información
Que nivel tengo
Institucionalización
Cultivar una cultura de seguridad en la organización
Amenazas Internas
Implementar métricas para medir los aspectos de la Seguridad de la Información dinámicamente
Se estan siguiendolas políticas
RIESGOS
Componentes
RIESGO
Riesgo =
Amenaza x Vulnerabilidad Contra Medidas
x Valor
Ira Winkler , “Zen and the Art of Information Security”
VALOR
•Valor Financiero •Activos
Monetario
•Valor Potencial •Calcular
•Valor para el adversario
Incomodidad
Competencia
AMENAZA
Quien
Que
TIPOS DE AMENAZAS
• Naturales
• Intencionales• Involuntarias
VULNERABILIDAD Debilidades
Técnicas
Físicas
Operacionales
Personales
CONTRAMEDIDAS
Técnicas
Precauciones
Físicas
Operacionales
Personales
SEGURIDAD DE LA INFORMACIÓN
ISO/IEC 15408-1
CONCEPTOS
Concepto
Propietarios Contramedidas Vulnerabilidades Agentes Amenazantes Amenazas Riesgo Activo
Descripción
Dueños de los activos.Medidas de protección Fallas o ausencia de controles de seguridad Entidades que tienen la capacidad de presentar una amenaza. Entidades que explotan las vulnerabilidades de los activos La probabilidad que los activos puedan ser comprometidos Infraestructura de sistemas, información, datos, aplicaciones y programas
PROGRAMA DE SEGURIDAD
Aceptar Pérdidas Identificar Vulnerabilidades AsociarValor Costo/Beneficio
Riesgo =
Amenaza x Vulnerabilidad
Contra Medidas
x Valor
¿MINIMIZAR U OPTIMIZAR EL RIESGO?
Eliminar riesgos Completamente seguro Minimizar Costo Alto Optimizar Análisis
PRESUPUESTO SEGURIDAD
1) Determinar vulnerabilidades 2) Probabilidad de pérdida 3) Contramedidas 4) Costo Contramedidas 5) Una contramedida mitiga 1 o mas vulnerabilidades
6) ROIcontramedidas
7) Calcular costo total
Ira Winkler , “Zen and the Art of Information Security”
ENCUESTAS DE SEGURIDAD
http://www.gocsi.com
INCIDENTES SEGURIDAD
Porcentaje de empresas que experimentaron incidentes de seguridad
Fuente: CSI Computer Crime and Security Survey 2008
TIPOS DE INCIDENTES
Porcentajes por Tipos de incidentes de seguridad Fuente: CSI Computer Crime andSecurity Survey 2008
PROMEDIO DE PERDIDAS
Perdidas en miles de dólares
Fuente: CSI Computer Crime and Security Survey 2008
TECNOLOGIAS UTILIZADAS
Técnologías utilizadas para el control de la seguridad
Fuente: CSI Computer Crime and Security Survey 2008
EVALUAR LA SEGURIDAD
Técnicas utilizadas para evaluar la seguridad
Fuente: CSI Computer Crime and Security Survey...
Regístrate para leer el documento completo.