PDF de programación - Servicios en Seguridad de la información

Servicios en Seguridad de la
Servicios en Seguridad de la

información.
información.

Ing: Rodrigo Ferrer V.
CISSP
CISSP
CISSP
CISSP
CISACISACISACISA
BS (BS (BS (BS (British
lead Auditor 27001
Standard) lead
British Standard)
Auditor 27001
leadlead
Standard)
British
British
Standard)
Auditor 27001
Auditor 27001
ASIS Member 262546
ISACA Member
IEEE Member
[email protected]

CONFIDENCIAL

Agenda
Agenda
Agenda
Agenda

Introducción.
Marco de Referencia
BS ISO/IEC 17799.
Evaluación de Riesgo.
Matrices de Riesgo.
Definición de Políticas, procedimientos y

Estandares

Conclusiones

Servicios en Seguridad.

Tiempo estimado: 60 min.

CONFIDENCIAL

Introducción
Introducción
Introducción
Introducción

Red Segura

RED SEGURA

CONFIDENCIAL

Información

Es el conjunto de datos o mensajes inteligibles
Es el conjunto de datos o mensajes inteligibles
Es el conjunto de datos o mensajes inteligibles
Es el conjunto de datos o mensajes inteligibles

creados con un lenguaje de representación y que
creados con un lenguaje de representación y que
creados con un lenguaje de representación y que
creados con un lenguaje de representación y que

debemos proteger ante las amenazas del entorno,
debemos proteger ante las amenazas del entorno,
debemos proteger ante las amenazas del entorno,
debemos proteger ante las amenazas del entorno,

durante su transmisión o almacenamiento, usando
durante su transmisión o almacenamiento, usando
durante su transmisión o almacenamiento, usando
durante su transmisión o almacenamiento, usando

diferentes
diferentes
diferentes
diferentes

tecnologías
tecnologías
tecnologías
tecnologías

lógicas,
lógicas,
lógicas,
lógicas,

físicas
físicas
físicas
físicas

o
o
o
o

procedimentales.
procedimentales.
procedimentales.
procedimentales.

CONFIDENCIAL

Objetivo en Seguridad (Costo)

INTEGRIDAD
INTEGRIDAD

DISPONIBILIDAD
DISPONIBILIDAD

CONFIDENCIALIDAD
CONFIDENCIALIDAD

Seguridad

CONFIDENCIAL

Qué ayudar a proteger?: C.I.A

INFORMATION
INFORMATION

ASSESTS
ASSESTS

CRITICAL
CRITICAL

Inventario++clasificacion
clasificacion
Inventario

CONFIDENCIAL

Los controles y procedimientos

buscan:

Deteccion
Deteccion

Evaluacion
Evaluacion

Retardar
Retardar

Responder
Responder

Disuadir
Disuadir

CONFIDENCIAL

La seguridad como Proceso

Assestment

Audit

Trainning

Policy

Implementation

CONFIDENCIAL

Fuentes de los problemas de seguridad
Fuentes de los problemas de seguridad
Fuentes de los problemas de seguridad
Fuentes de los problemas de seguridad
en las Empresas.
en las Empresas.
en las Empresas.
en las Empresas.

Amenazas

Físicas.

20%

Empleado
Descontento

9%

Virus
4%

Empleado
Deshonesto

10%

Ataque del

exterior

2%

Errores
Humanos

55%

Fuente: Computer Security Institute

CONFIDENCIAL

Estado de las Políticas de Seguridad
Estado de las Políticas de Seguridad
Estado de las Políticas de Seguridad
Estado de las Políticas de Seguridad

en las Empresas Colombianas
en las Empresas Colombianas
en las Empresas Colombianas
en las Empresas Colombianas

24%

29%

47%

No se tienen

En Desarrollo

Formalmente Definidas

Fuente: ACIS 2004

CONFIDENCIAL

Marco de Referencia
Marco de
Referencia
Marco de
Marco de
Referencia
Referencia

Evaluación de de Riesgo
Evaluación

Riesgo de TI
de TI

El Riesgo
El Riesgo
El Riesgo
El Riesgo

La falta de Políticas de Seguridad en cualquier
organización puede tener como consecuencia:

8 Perdida de Dinero.
8 Perdida de tiempo.
8 Perdida de productividad
8 Perdida de información confidencial.
8 Pérdida de clientes.
8 Pérdida de imagen.
8 Pérdida de ingresos por beneficios.
8 Pérdida de ingresos por ventas y cobros.
8 Pérdida de ingresos por producción.
8 Pérdida de competitividad en el mercado.
8 Pérdida de credibilidad en el sector.

CONFIDENCIAL

COBIT

CONFIDENCIAL

Procesos y Aplicaciones Críticas

CONFIDENCIAL

Por qué realizar una Evaluación de
Por qué realizar una Evaluación de
Por qué realizar una Evaluación de
Por qué realizar una Evaluación de

Riesgo.
Riesgo.
Riesgo.
Riesgo.

Identificar, Analizar, y evaluar.
Conocer los riesgos
Ejercicio de entendimiento de toda la organización.
Identificar los procesos críticos del negocio y las

aplicaciones que los soportan.

Presentar un diagnóstico de la Situación Actual.
Identificar los puntos de mayor atención y focalizar

el esfuerzo.

Risk is a function of the likelihood of a given
threat-source.s exercising a particular potential
vulnerability, and the resulting impact of that
adverse event on the organization.

CONFIDENCIAL

Identificar amenazas
Identificar amenazas
Identificar amenazas
Identificar amenazas

importante considerar

Es
posibles, sin importar que tan probables sean o no.

todas

las amenazas

8 Acceso no autorizados
8 Fraude
8 Perdida de Confidencialidad
8 Uso inapropiado de recursos
8 Fallas de Hardware
8 Fallas de canales de comunicaciones
8 Virus
8 Negación de Servicio.
8 Incumplimiento de Normas.
8 Perdida de Laptops
8 Fallas de Potencia
8 Incendio

CONFIDENCIAL

Resultados ISO 17799-ISO 27001

Dominio

Cumplimiento

Política de Seguridad

Seguridad en la Organización.

Control y Clasificación de Activos.

Aspectos de Seguridad relacionados con el recurso humano.

Seguridad Física

Administración de la operación de cómputo y comunicaciones.

Control de Acceso (falta sistemas)

Desarrollo y mantenimiento de Sistemas

Continuidad del Negocio

Cumplimiento de Leyes

Promedio

0%0%0%0%

20%20%20%20%

33%33%33%33%

40%40%40%40%

60%60%60%60%

28%28%28%28%

40%40%40%40%

45%45%45%45%

30%30%30%30%

20%20%20%20%

31.6%

CONFIDENCIAL

Analisis de la Infraestructura

 Seguridad Física.

8 Monitoreo ambiental
8 Control de acceso
8 Desastres naturales
8 Control de incendios
8 Inundaciones

 Seguridad en las conexiones a Internet.

8 Políticas en el Firewall
8 VPN
8 Detección de intrusos

 Seguridad en la infraestructura de comunicaciones.

8 Routers
8 Switches
8 Firewall
8 Hubs
8 RAS

 Seguridad en Sistema Operacionales(Unix, Windows)
 Correo Electrónico
 Seguridad en las aplicaciones.

CONFIDENCIAL

Evaluación en Seguridad Física
Evaluación en Seguridad Física
Evaluación en Seguridad Física
Evaluación en Seguridad Física

El objetivos es prevenir accesos no autorizados,
daños, robos a los activos del negocio y la
organización.
La evaluación de riesgo permite identificar las áreas
mas criticas y definir los controles requeridos.
• Perímetros de seguridad.
• Seguridad de equipos.( medio ambiente).
• Escritorios limpios.

CONFIDENCIAL

Source: Secretaria de Gobierno Bogota

Seguridad Física Centro de Computo

CONFIDENCIAL

Matrices de Riesgo

Ejemplo Matriz de Riesgo

Amenazas Vulnerabilidades

Falla de switch
principal de la
red LAN

No hay procedimientos
de contingencia.

Ocurrencia
del evento
anualizada

(1-5)

1

No hay procedimiento
formal de
almacenamiento de la
configuración de los
switches.
No hay inventario
actualizado

Impacto

Factor de

Control

Riesgo

(1-10)

4

(1-5)

3

Procedimientos de
Contingencia.

Contrato de
mantenimiento
Gestión de red.
Procedimientos de
cambio de
configuraciones

Costo
Control

FR/CC

1

4

CONFIDENCIAL

Metodología Análisis de Riesgo

CONFIDENCIAL

Opciones para el tratamiento del

riesgo

 Controlar el riesgo
 Aceptarlo
 Evitarlo
 Transferirlo

CONFIDENCIAL

Tipos de Controles

 Administrative Controls

8 Manegement responsabilities

Administrative Controls

• Security Policies
• Procedures
• Screening Personal
• Classifying data
• BCP,DRP.
• Change Control

 Technical Controls

8 IDS
8 Encryption

 Physical Control

8 Security Guards
8 Perimeters fences
8 Locks
8 Removal of CD-ROM

Technical controls

Phyiscal Controls

CONFIDENCIAL

Definición de Políticas,
Definición de Políticas,
Definición de Políticas,
Definición de Políticas,

procedimientos y estándares
procedimientos y estándares
procedimientos y estándares
procedimientos y estándares

La seguridad de la información
La seguridad de la información
La seguridad de la información
La seguridad de la información

Política
Política
Política
Política

Corporativa
Corporativa
Corporativa
Corporativa

Política Generales
Política
Generales
Política
Política
Generales
Generales

de de de de Seguridad
Seguridad
Seguridad
Seguridad
de la
de la Información
Información
de la
de la
Información
Información

Políticas detalladas
Políticas
detalladas dededede
detalladas
Políticas
Políticas
detalladas

de la Información
Seguridad de la
Seguridad
Información
de la
Seguridad
Seguridad
de la
Información
Información

Procedimientos de de de de Seguridad
Procedimientos
Seguridad dededede
Seguridad
Procedimientos
Procedimientos
Seguridad

la Información
la
Información
la la
Información
Información

de la Información
Seguridad de la
Estándares de de de de Seguridad
Estándares
Información
de la
Seguridad
Estándares
Estándares
Seguridad
de la
Información
Información

CONFIDENCIAL

Políticas.
Políticas.
Políticas.
Políticas.

Una política de seguridad, es una declaración formal
de las reglas que deben seguir las personas con
acceso a los activos de tecnología e información,
dentro de una organización.

CONFIDENCIAL

Procedimientos.

Los procedimientos son la descripción detallada de la manera
como se implanta una Política. El procedimiento incluye todas
las actividades requeridas y los roles y responsabilidades de las
personas encargadas de llevarlos a cabo.

CONFIDENCIAL

Estándares

 Es la definición cuantitativa o cualitativa de un valor o parámetro
incluido en una norma o

determinado que