Seguridad de la InformaciÃ³n

Seguridad de la Información 

Seguridad 

De la Información 

Ing. Max Lazaro 

Oficina Nacional de Gobierno 

Electrónico e Informática

Nuevos Escenarios 

Seguridad de la Información


Qué se debe asegurar ? 

“LA INFORMACION es un ACTIVO” 

La información debe considerarse como un 

recurso con el que cuentan las Organizaciones 

y por lo tanto tiene valor para éstas, al igual 

que el resto de los activos, debe estar 

debidamente protegida.


Contra qué se debe proteger la 

Información ?


Amenazas 

Password cracking 

Fraudes informáticos 

Exploits 

Man in the middle 

Violación de la privacidad de los empleados 

Denegación de servicio 

Escalamiento de privilegios 

Puertos vulnerables abiertos 

Servicios de log inexistentes o que no son chequeados 

Últimos parches no instalados 

Desactualización 

Backups inexistentes 

Destrucción de equipamiento 

Instalaciones default 

Keylogging 

Hacking de Centrales Telefónicas 

Port scanning


Más Amenazas!! 

Spamming 

Violación de contraseñas 

Virus 

Mails anónimos con agresiones 

Interrupción de los servicios 

Intercepción y modificación y violación de e-mails 

Captura de PC desde el exterior 

Incumplimiento de leyes y regulaciones 

Acceso clandestino a redes 

Acceso indebido a documentos impresos 

Indisponibilidad de información clave 

Falsificación de información 

para terceros 

Ingeniería social 

empleados deshonestos 

Programas “bomba, troyanos” 

Destrucción de soportes documentales 

Robo o extravío de notebooks, palms 

Propiedad de la información 

Robo de información 

Intercepción de comunicaciones voz y 

wireless 

Agujeros de seguridad de redes conectadas

BOTNETS – Facilitando Ataques DDoS 


Extorsionador 

CE 

Ruteador del 

Borde del ISP 

Conexión de la 

Última Milla 

Zombies 

Instalación del cliente: 

Servidor/FW/Switch/Ruteador 

• ¡BOTNETs para Rentar! 

• Un BOTNET está compuesto de computadoras 

que han sido violadas y contaminadas con 

programas (zombies) que pueden ser 

instruidos para lanzar ataques desde una 

computadora de control central 

• Los BOTNETs permiten todos los tipos de 

ataques DDOS: Ataques ICMP, Ataques TCP, 

Ataques UDP y sobrecarga de http 

• Las opciones para desplegar BOTNETs son 

extensas y se crean nuevas herramientas para 

aprovechar las vulnerabilidades más recientes 

de los sistemas 

• Un BOTNET relativamente pequeño con 

únicamente 1000 zombies puede causar una 

gran cantidad de daños. 

• Por ejemplo: 1000 PCs caseras con un ancho 

de banda upstream promedio de 128KBit/s 

pueden ofrecer más de 100MBit/s 

• ¡El tamaño de los ataques está aumentando 

constantemente!



Por qué aumentan las amenazas ? 

Algunas 

Causas 

Crecimiento exponencial de las Redes y 

Usuarios Interconectados – Dependencia. 

Profusión de las BD On-Line 

Inmadurez de las Nuevas Tecnologías 

Alta disponibilidad de Herramientas 

Automatizadas de Ataques 

Nuevas Técnicas de Ataque Distribuido 

(Ej:DDoS) 

Técnicas de Ingeniería Social


Vulnerabilidades 

• Inadecuado compromiso de la dirección. 

• Personal inadecuadamente capacitado y concientizado. 

• Inadecuada asignación de responsabilidades. 

• Ausencia de políticas/ procedimientos. 

• Ausencia de controles 

(físicos/lógicos) 

(disuasivos/preventivos/detectivos/correctivos) 

• Ausencia de reportes de incidentes y vulnerabilidades. 

• Inadecuado seguimiento y monitoreo de los controles.


Qué se debe garantizar ?

Dimensiones críticas de la información 

E 

Información 

D 

T 

Prevenir 

Cambios no autorizados en 

Activos de Información 

E-commerce 

I 

6 

+ 5 

= 

Prevenir 

Divulgación no autorizada de 


C 


Información 

(dimensiones) 

• Validez y Precisión de información y 

sistemas. 

•SINO: Información manipulada, incompleta, 

corrupta y por lo tanto mal desempeño de 

funciones 

• Secreto impuesto de acuerdo 

con políticas de seguridad 

• SINO: Fugas y filtraciones de 

información; accesos no 

autorizados; pérdida de 

confianza de los demás 

(incumplimiento de leyes y 

Autenticidad de 

compromisos) 

D 

quien hace uso de datos o 

servicios 

Trazabilidad del uso 

de servicios (quién, cuándo) 

o datos (quien y que hace) 

7x24x365 

No repudio 

(Compromisos) 

Confiabilidad 

Prevenir 

Destrucción no autorizada de 


• Acceso en tiempo correcto y confiable a 

datos y recursos. 

• SINO: Interrupción de Servicios o Baja 

Productividad

Acciones de la ONGEI 



• Actualmente la ONGEI apoya a las entidades 

públicas en los siguientes principales servicios: 

•Análisis de vulnerabilidades de los servidores 

Web de las Entidades Publicas. 

•Boletines de Seguridad de la información 

•Boletines de Alertas de Antivirus. 

•Presentaciones técnicas sobre seguridad. 

•Consultorías y apoyo en recomendaciones 

técnicas.


Política de Seguridad de la 

Información para el Sector Público


Que se entiende por Politica de Seguridad ? 

Las políticas de seguridad son las reglas y 

procedimientos que regulan la forma en que una 

organización previene, protege y maneja los riesgos de 

diferentes daños. 

Como tiene éxito una Politica ? 

Si se quiere que las políticas de seguridad sean aceptadas, deben 

integrarse a las estrategias del negocio, a su misión y visión, 

con el propósito de que los que toman las decisiones reconozcan 

su importancia e incidencias en las proyecciones y utilidades de la 

organización.


• Con fecha 23 de julio del 2004 la PCM a través 

de la ONGEI, dispone el uso obligatorio de la 

Norma Técnica Peruana “NTP – ISO/IEC 

17799:2004 EDI. Tecnología de la Información: 

Código de Buenas Prácticas para la Gestión de 

la Seguridad de la Información” en entidades del 

Sistema Nacional de Informática. 

• Se Actualizó el 25 de Agosto del 2007 con la 

Norma Técnica Peruana “NTP – ISO/IEC 

17799:2007 EDI.


Cuales son los temas o dominios a 

considerar dentro de un plan de 

Seguridad?


Los 11 dominios de control de ISO 17799 (27002) 

1. Política de seguridad: 

Se necesita una política que refleje las expectativas de 

la organización en materia de seguridad, a fin de 

suministrar administración con dirección y soporte. La 

política también se puede utilizar como base para el 

estudio y evaluación en curso. 

2. Aspectos organizativos para la seguridad: 

Sugiere diseñar una estructura de administración 

dentro la organización, que establezca la 

responsabilidad de los grupos en ciertas áreas de la 

seguridad y un proceso para el manejo de respuesta a 

incidentes.


3. Clasificación y Control de Activos: 

Inventario de los recursos de información de la 

organización y con base en este conocimiento, debe 

asegurar que se brinde un nivel adecuado de 

protección. 

4. Seguridad de Recursos Humanos: 

Necesidad de educar e informar a los empleados 

actuales y potenciales sobre lo que se espera de ellos 

en materia de seguridad y asuntos de 

confidencialidad. Implementa un plan para reportar 

los incidentes. 

5. Seguridad física y del Entorno: 

Responde a la necesidad de proteger las áreas, el 

equipo y los controles generales.


6. Gestión de Comunicaciones y Operaciones: Los 

objetivos de esta sección son: 

• Asegurar el funcionamiento correcto y seguro de las 

instalaciones de procesamiento de la información. 

• Minimizar el riesgo de falla de los sistemas. 

• Proteger la integridad del software y la información. 

• Conservar la integridad y disponibilidad del procesamiento y la 

comunicación de la información. 

• Garantizar la protección de la información en las redes y de la 

infraestructura de soporte. 

• Evitar daños a los recursos de información e interrupciones en 

las actividades de la institución. 

• Evitar la pérdida, modificación o uso indebido de la 

información que intercambian las organizaciones.


7. Control de accesos: 

Establece la importancia de monitorear y 

controlar el acceso a la red y los recursos de 

aplicación como protección contra los abusos 

internos e intrusos externos. 

8. Adquisición, Desarrollo y Mantenimiento de los 

sistemas: 

Recuerda que en toda labor de la tecnología de la 

información, se debe implementar y mantener la 

seguridad mediante el uso de controles de 

seguridad en todas las etapas del proceso.


9. Gestión de Incidentes de la Seguridad de la 

información 

Asegurar que los eventos y debilidades en la 

seguridad de la información sean comunicados de 

manera que permitan una acción correctiva a tiempo. 

10. Gestión de Continuidad del Negocio 

Aconseja estar preparado para contrarrestar las 

interrupciones en las actividades de la organización y 

para proteger los procesos importantes de la 

organización en caso de una falla grave o desastre. 

11. Cumplimiento: 

Evitar brechas de cualquier ley civil o criminal, 

estatutos, obligaciones regulatorias o contractuales y 

de cualquier requerimiento de seguridad.


Los 11 Dominios de la NTP ISO 17799 - 2007 

Gestión de 

la continuidad 


incidentes 

Desarrollo y 

mantenimiento 

Cumplimiento 

integridad 

Política de 

seguridad 

Información 

disponibilidad 

Confidencialidad 

Organización de 

la Seguridad 

Gestiòn de 

Activos 

Seguridad 

del personal 

Control de accesos 


comunicaciones 

y operaciones 

Seguridad física 

y medioambiental



SGSI 

Modelo P-H-V-A 

Metodología de la ISO/IEC 

27001


SGSI 

• El sistema de gestión de la seguridad de la información 

(SGSI) es la parte del sistema de gestión de la empresa, 

basado en un enfoque de riesgos del negocio, para: 

establecer, 

implementar, 

operar, 

monitorear, 

mantener y mejorar la seguridad de la información. 

• Incluye. 

Estructura, políticas, actividades, responsabilidades, prácticas, 

procedimientos, procesos y recursos.

(Planificar /Hacer /Verificar Seguridad /Actuar) 

de la Información 

•El SGSI adopta el siguiente modelo: 

Definir la política de 

seguridad 

Establecer el alcance del SGSI 

Realizar los análisis de riesgos 

Seleccionar los controles 

Planificar 

PHVA 

Hacer 

Implantar el plan de gestión de 

riesgos 

Implantar el SGSI 

Implantar los controles. 

Implantar indicadores. 

Adoptar acciones correctivas 

Adoptar acciones preventivas 

Actuar 

Verificar 

Revisiones del SGSI por parte de 

la Dirección. 

Realizar auditorías internas del SGSI

Establecer el SGSI (Plan) Seguridad de la Información 

• Establecer la política de seguridad, objetivos, metas, procesos y 

procedimientos relevantes para manejar riesgos y mejorar la 

seguridad de la información para generar resultados de acuerdo con 

una política y objetivos marco de la organización. 

• Definir el alcance del SGSI a la luz de la organización. 

• Definir la Política de Seguridad. 

• Aplicar un enfoque sistémico para evaluar el riesgo.

Establecer el SGSI (Plan) Seguridad de la Información 

• Identificar y evaluar opciones para tratar el riesgo 

Mitigar, eliminar, transferir, aceptar 

• Seleccionar objetivos de control y controles a 

implementar. 

A partir de los controles definidos por la ISO/IEC 17799 

• Establecer enunciado de aplicabilidad

Implementar y operar (Do) 


• Implementar y operar la política de seguridad, controles, procesos y 

procedimientos. 

• Implementar plan de tratamiento de riesgos. 

Transferir, eliminar, aceptar 

• Implementar los controles seleccionados. 

Mitigar 

• Aceptar riesgo residual. 

Firma de la alta dirección para riesgos que superan el nivel 

definido.

Implementar y operar (Do) 


• Implementar medidas para evaluar la eficacia de los controles 

• Gestionar operaciones y recursos. 

• Implementar programas de Capacitación y concientización. 

• Implementar procedimientos y controles de detección y respuesta a 

incidentes.

Monitoreo y Revisión (Check) 


• Evaluar y medir la performance de los procesos contra la política de 

seguridad, los objetivos y experiencia practica y reportar los 

resultados a la dirección para su revisión. 

Revisar el nivel de riesgo residual aceptable, considerando: 

• Cambios en la organización. 

• Cambios en la tecnologías. 

• Cambios en los objetivos del negocio. 

• Cambios en las amenazas. 

• Cambios en las condiciones externas (ej. Regulaciones, 

leyes). 

Realizar auditorias internas. 

Realizar revisiones por parte de la dirección del SGSI.

Monitoreo y Revisión (Check) 


• Se debe establecer y ejecutar procedimientos de monitoreo para: 

• Detectar errores. 

• Identificar ataques a la seguridad fallidos y exitosos. 

• Brindar a la gerencia indicadores para determinar la 

adecuación de los controles y el logro de los objetivos de 

seguridad. 

• Determinar las acciones realizadas para resolver brechas a 

la seguridad. 

• Mantener registros de las acciones y eventos que pueden impactar 

al SGSI. 

• Realizar revisiones regulares a la eficiencia del SGSI.

Mantenimiento y mejora del SGSI (Act) 


• Tomar acciones correctivas y preventivas, basadas en los 

resultados de la revisión de la dirección, para lograr la mejora 

continua del SGSI. 

Medir el desempeño del SGSI. 

Identificar mejoras en el SGSI a fin de implementarlas. 

Tomar las acciones apropiadas a implementar en el ciclo en 

cuestión (preventivas y correctivas). 

Comunicar los resultados y las acciones a emprender, y 

consultar con todas las partes involucradas. 

Revisar el SGSI donde sea necesario implementando las 

acciones seleccionadas.


PECERT


• Con fecha 22 de Agosto del 2009, en el diario 

oficial el Peruano la Resolución Ministerial 

360-2009-PCM, que crea el Grupo de Trabajo 

denominado Coordinadora de Respuestas a 

Emergencias en Redes Teleinformáticas de la 

Administración Pública del Perú – PECERT 

• La cual permitirá generar un marco de trabajo 

de cooperación entre los ministerios del sector 

público para mejorar los niveles de seguridad de 

la información en las entidades públicas.


La norma permitirá que: 

•ONGEI será un CSIRT de coordinación 

•Cada Ministerio creara un CSIRT 

operativo.


Portal de Coordinación de Emergencias en Redes Teleinformáticas 

http://www.pecert.gob.pe


Establecimiento e Implementación PeCERT 

Equipo Formal PeCERT 

Cantidad 

Ministerios del Perú 17 

Entrenamiento al Personal PeCERT (Ministerios, 

ODP’s) 

Asistentes 

Ponentes 

Taller de Seguridad de la Información en el Gobierno (Julio 2009) 80 E & Y, OSINERMING, IRIARTE 

& ASOCIADOS, ONP, 

DIVINDAT, RENIEC, CONASEV, 

TELEFONICA. 

Taller de Seguridad de la Información (Febrero 2010) 50 

BI ARGENTINA 

Reunión de Coordinación PeCERT (Marzo 2010) 30 TELEFONICA 

Taller de Asistencia Técnica en Materia de Seguridad Cibernética (Mayo 2010) 40 OEA, ARCERT, VENCERT, 

CTIRGov BRASIL, CERTuy, 

ESPAÑA 

Taller de Gestión de Riesgos (Junio 2010) 30 SIDIF Latinoamérica 

Reunión de Grupo de Trabajo PeCERT (Setiembre 2010) 22 Enhacke


Actividades del PeCERT 

• 451 informes de vulnerabilidad de Páginas Web a Nivel Nacional 

con vulnerabilidades (2008 a la fecha). 30% páginas altamente 

criticas. 

• Avisos de seguridad para usuarios técnicos avanzados, 

publicados en el portal Web. 

• Campaña de difusión del Proyecto PeCERT en las Redes 

Sociales de ONGEI (Facebook: Gobierno Electrónico Perú- 

Ongei, Twitter: @Peru_e_Gobierno). 

• 37 Plantillas de Políticas de Seguridad según los 11 dominios de 

la NTP-ISO/ IEC 17799:2007 EDI, publicados en el portal Web. 

• Elaboración de un formato estándar para reportar incidentes de 

seguridad a las diversas entidades.


Incidentes - Seguridad de la Información 

Estadísticas 

• 138 Incidentes de Seguridad en Portales Web de la 

Administración Pública (Octubre 2009 a la Actualidad) 

• 54 Entidades de provincia, y 55 Lima metropolitana. 

• 52 notificaciones de Incidentes a las Entidades públicas 

(Octubre 2010 a la actualidad) 

• Fuente: http://www.zone-h.org , 

http://bohemioshackersteam.blogspot.com/ 

Foros de google, etc etc.


Encuesta de Seguridad 2010 

• Según la Resolución Ministerial 187-2010-PCM 

autoriza la ejecución de la Encuesta de Seguridad 

2010, publicado en el Diario “El Peruano” el 15 de 

Junio 2010, la cuál abarca preguntas de los 11 

dominios de la NTP-ISO/ IEC 17799:2007 EDI. 

Segunda Edición. 

i) Se ha recepcionado 150 reportes. 

ii) 150 entidades de las 271, lo cuál corresponde al 

56% del total.


Clasificación de la Encuesta de Seguridad 

2010: 

Política de Seguridad 

de la Información 

Poder Legislativo (1) 

Poder Judicial (1) 

Poder Ejecutivo (86) 

Organismos Autónomos (20) 

Gobiernos Regionales (8) 

Gobiernos Provinciales (4) 

Municipalidades (30) 

39% 

31% 

30% 

No iniciado 

Elaborada y en 

revision 

emitida 

mediante 

normativa 

Elaboración de Análisis 

de Riesgos 

14% 

47% 

39% 

No 

iniciado 

En 

proceso 

Concluido 

Personal para la 

implementacion 

17% Personal propio 

de la entidad 

consultoria 

contratada 

83% 

Documento de Brecha 

39% 

8% 

53% 

No 

iniciado 

En 

proceso 

Concluido


1. Politicas de Seguridad 

75 75 

71 

60 

62 

25 25 

29 

40 

38 

Si % 

No % 

A B C D E 

Preguntas


2. Organización para la seguridad de la 

información 

34 

66 

14 

86 

75 77 

25 23 

9 

91 

25 

75 

54 

46 

Si % 

No % 

A B C D E F G 

Preguntas


Este material podrá obtenerlo en 

http://www.pecert.gob.pe 

en la Sección “Documentos” 

También encontrará allí plantillas para la 

implementación de políticas especificas


• Las organizaciones requieren de un enfoque de varias capas para asegurar 

y proteger sus activos críticos y las infraestructuras. 

• Como defensa ante las amenazas y los riesgos de la internet, las 

organizaciones deben: 

Identificar los principales activos, su ubicación, los propietarios de los 

procesos de negocio, y la criticidad. 

Realizar evaluaciones de riesgos. 

Mantenerse al día con los últimos parches de sistema operativo y 

actualizaciones de productos. 

Instalar defensas interna en el perímetro de la red tales como routers, 

firewalls, scanners, y monitorización de red y sistemas de análisis. 

Actualizar y ampliar las políticas de seguridad de la tecnología de 

información y los procedimientos. 

Proporcionar capacitación de seguridad de sensibilización para los 

empleados, clientes y mandantes. 

Formalizar un proceso de gestión de incidentes.


• La mejor Infraestructura de Seguridad de la 

Información no puede garantizar que las intrusiones 

u otros actos dolosos no sucedan. 

• Cuando se producen incidentes de información o de 

tecnología, siempre se critica la falta de una 

organización, por no tener un medio eficaz para 

responder.


La rapidez con que una organización 

puede Reconocer, Analizar y 

Responder a un incidente limitará el 

daño y reducir el costo de la 

recuperación.


www.ongei.gob.pe 

mlazaro@pcm.gob.pe 

Muchas gracias……..

Seguridad de la InformaciÃ³n - Ongei

¡Convierta sus PDFs en revista en línea y aumente sus ingresos!

Seguridad de la InformaciÃ³n - Ongei

¡Convierta sus PDFs en revista en línea y aumente sus ingresos!

Delete template?

Save as template ?