Seguridad Informtica

Tecnologa de la Informacin
FCE UBA

Lic. Mario A. Pettersen

info@pettersen.com.ar

Seguridad

Estado de cualquier sistema que nos indica que ese

sistema est libre de peligro, dao o riesgo, al nivel
que la organizacin requiere.

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Peligro o Dao

Todo aquello que pueda afectar el funcionamiento directo

de un sistema o los resultados que se obtienen del
mismo.

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Aseguramiento
Es la base sobre la que se construye la toma de decisiones de una
organizacin.
Certidumbre de que la informacin sobre la que sustentan sus
decisiones de misin crtica es confiable, segura y est disponible
cuando se la necesita.
Utilizacin de informacin y de diferentes actividades operativas, con
el fin de proteger la informacin, los sistemas de informacin y las
redes, de forma de preservar la disponibilidad, la integridad, la
confidencialidad, la autenticacin y el no repudio, ante el riesgo de
impacto de amenazas, sean stas locales o remotas a travs de
cualquier medio de comunicacin.

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Seguridad Informtica
Asegurar que los recursos del sistema de informacin de
una organizacin sean utilizados de la manera que se
decidi y que la informacin que se considera
importante no sea fcil de acceder por cualquier
persona que no se encuentre acreditada.

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Condiciones
Integridad
Confidencialidad
Disponibilidad
Irrefutabilidad

Seguridad Informtica
Informacin

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Cualidades de la Informacin
Seguridad Informtica
Informacin
Integridad
Confidencialidad
Disponibilidad
Irrefutabilidad
Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Cualidades de la Informacin
Integridad:
No ser modificada en forma no autorizada o no prevista,
por la accin de cualquier agente intencionado o
accidental.
Seguridad Informtica
Informacin
Integridad
Confidencialidad
Disponibilidad
Irrefutabilidad

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Cualidades de la Informacin
Confidencialidad:
No estar disponible para agentes no autorizados
Seguridad Informtica
Informacin
Integridad
Confidencialidad
Disponibilidad
Irrefutabilidad

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Cualidades de la Informacin
Disponibilidad:
Estar presente en tiempo, forma y de acuerdo a
los requerimientos establecidos.
Seguridad Informtica
Informacin
Integridad
Confidencialidad
Disponibilidad
Irrefutabilidad

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Cualidades de la Informacin
Irrefutabilidad:
Que no se pueda negar la autora.
(No-Rechazo o No Repudio)
Seguridad Informtica
Informacin
Integridad
Confidencialidad
Disponibilidad
Irrefutabilidad

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Objetivos
Proteger los activos informticos
SIN impedir el trabajo de los operadores en lo que
necesiten para el desempeo de sus funciones,
pudiendo utilizar el sistema informtico con toda
confianza.

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Activos a Proteger
Objetos o recursos de valor empleado en una empresa u
organizacin

Informacin
Infraestructura
Usuarios

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Las Amenazas
Eventos que pueden causar un incidente de seguridad
en una empresa u organizacin produciendo prdidas o
daos potenciales en sus activos.

Los usuarios
Los programas maliciosos
Los intrusos
Los siniestros
El personal informtico interno
Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Las Vulnerabilidades
Es una debilidad que puede ser explotada con la
materializacin de una o varias amenazas a un activo.

Polticas que no se cumplen

Errores de programacin
Software desactualizado

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Los Riesgos
Son la probabilidad de ocurrencia de un evento que puede ocasionar
un dao potencial a servicios, recursos o sistemas de una empresa.

Controlar: Fortalecer los controles existentes y/o agregar

nuevos controles.
Mitigar: Establecer polticas que disminuyan la probabilidad de
que un riesgo ocurra
Eliminar: Eliminar el activo relacionado y con ello se elimina el
riesgo.
Compartir: Mediante acuerdos contractuales parte del riesgo
se traspasa a un tercero.
Aceptar : Se determina que el nivel de exposicin es adecuado
y por lo tanto se acepta.

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Modelo
Poltica de Seguridad:
Conjunto de Normas y Procedimientos

Seguridad de un Sistema Informtico

Fsica

Tcnica

Administrativa

Plan de Contingencia
Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Seguridad / Costo / Operatividad

La seguridad informtica no debe impedir el normal trabajo de

los usuarios a travs de las herramientas que cada uno
necesita para cumplir su funcin
Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Normas
BS 7799 (British Standards)
ISO 17799 (International Organization for Standarization)
IRAM/ISO/IEC 27000 (Instituto Argentino de Normalizacin /
International Organization for Standarization /
International Electrotechnical Commission)
Tecnologa de la Informacin
Tcnicas de Seguridad
Sistemas de Gestin de la Seguridad de la Informacin
Requisitos

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Norma ISO/IEC 27001

Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestin de la Seguridad de la
Informacin (SGSI)

Ciclo de Deming: PDCA

- Plan (Planificar)
- Do
(Hacer)
- Check (Verificar)
- Act
(Actuar).

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

10

Norma ISO/IEC 27001

27000: Publicada en mayo de 2009. Contiene la descripcin general y
vocabulario a ser empleado en toda la serie
27001: Requisitos de un Sistema de Gestin de Seguridad de la Informacin.
Una lista con los objetivos de control y controles que desarrolla la ISO 27002)
27002: Gua de buenas prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la informacin
27003: Gua de implementacin de SGSI e informacin acerca del uso del
modelo PDCA y de los requisitos de sus diferentes fases.
27004: Especifica las mtricas y las tcnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantacin de un SGSI y de los
controles relacionados.
27005: Gua para la gestin del riesgo de la seguridad de la informacin
27006: Requisitos para acreditacin de entidades de auditora y certificacin
de sistemas de gestin de seguridad de la informacin
Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

Seguridad Informtica Tecnologa de la Informacin UBA FCE M.A.Pettersen

11