PDF de programación - Servicios en Seguridad de la información

Servicios en seguridad de
Servicios en seguridad de

la informacióónn
la informaci

Ing: Rodrigo Ferrer V.
CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Agenda
Agenda
Agenda
Agenda

Introducción a la seguridad
Evaluación de Riesgo.
Implementación de la seguridad
Planes para la continuidad
Auditorías en seguridad
Conclusiones
Comentarios

Tiempo estimado: 60 min.

a la seguridad
Introduccióóóónnnn a la
Introducci
seguridad
a la a la
Introducci
Introducci
seguridad
seguridad

Para reflexionar…..

Información…el activo

Es el conjunto de datos o mensajes inteligibles creados
Es el conjunto de datos o mensajes inteligibles creados
Es el conjunto de datos o mensajes inteligibles creados
Es el conjunto de datos o mensajes inteligibles creados
con un lenguaje de representacióóóón y que debemos
con un lenguaje de representaci
n y que debemos
con un lenguaje de representaci
con un lenguaje de representaci
n y que debemos
n y que debemos
proteger ante las amenazas del entorno, durante su
proteger ante las amenazas del entorno, durante su
proteger ante las amenazas del entorno, durante su
proteger ante las amenazas del entorno, durante su
transmisióóóón o almacenamiento, usando diferentes
transmisi
n o almacenamiento, usando diferentes
transmisi
transmisi
n o almacenamiento, usando diferentes
n o almacenamiento, usando diferentes
gicas, fíííísicas o procedimentales.
tecnologíííías las las las lóóóógicas, f
tecnolog
sicas o procedimentales.
gicas, f
tecnolog
tecnolog
gicas, f
sicas o procedimentales.
sicas o procedimentales.

Seguridad de la Información

Objetivo del sistema

INTEGRIDAD
INTEGRIDAD

DISPONIBILIDAD
DISPONIBILIDAD

CONFIDENCIALIDAD
CONFIDENCIALIDAD

Seguridad

Qué proteger?

INFORMATION
INFORMATION

ASSESTS
ASSESTS

CRITICAL
CRITICAL

Inventario++++++++clasificaci
Inventario
clasificaci
clasificacióóóóóóóónnnnnnnn
Inventario
Inventario
clasificaci
clasificaci
Inventario
Inventario
clasificaci
clasificaci
Inventario
Inventario
clasificaci

El proceso SGSI

Planear

Mantener

Implementar

Evaluar

Planear el SGSI

 Definir alcance
 Definir una política
 Definir metodología de valoración del riesgo
 Identificar riesgos
 Analizar y evaluar riesgos
 Gestión del riesgo
 Objetivos de control
 Obtener autorización para operar SGSI
 Elaborar una declaración de aplicabilidad

Implementar el SGSI

 Plan de tratamiento del riesgo
 Implementar controles seleccionados
 Definir métrica de los controles establecidos
 Implementar programas de educación
 Gestionar la operación del SGSI
 Gestionar los recursos del SGSI
 Implementar procedimientos

Evaluar el SGSI

 Ejecutar procedimientos de revisión
 Emprender revisiones regulares
 Medir la eficacia de los controles
 Revisar las valoraciones de riesgos
 Realizar auditorías internas

Mantener el SGSI

 Implementar las mejoras identificadas en el SGSI
 Emprender acciones correctivas y preventivas
 Comunicar las acciones y mejoras a las partes interesadas
 Asegurarse que las mejoras logran los objetivos propuestos

Sin Sin Sin Sin embargo
embargo…………
embargo
embargo

24%

29%

47%

No se tienen

En Desarrollo

Formalmente Definidas

Fuente: ACIS

Integración BCP, DRP, SGSI

BCP

DRP

SGSI

Mejores Prácticas: ITIL V3, COBIT, ISO 27001

Mejores prácticas en la gestión del

riesgo de la Información

 BS 7799 Parte2:2002
 COBIT: Control Objetives for Information and

related Technology

 Systems Security Engineering-Capabality

Maturity Model (SSE-CMM) 3.0

 Generally Accepted Information Security

Principles (GAISP)

 ISF-Standard of Good Practice for Information

Security

 ISO 13335 – Guidelines for Management of IT

Security

 ISO 13659:1997 – Banking and Related

Financial Services

 ISO 15408:1999 Security Techniques-

Evaluation Criteria for IT Security

 ISO 17799:2000
 NFPA 75
 ISO 27002

 ITIL – Security Management
 NIST 800-12 An Introduction to Computer

Security

 NIST 800-14 Generally Accepted

Principles and Practices for Securing IT
Systems

 NIST 800-18 Guide for Developing

Security Plans for Information
Technology

 NIST 800-53 Recommended Security

Control for Federal IS

 OCTAVE - Operationally Critical Threat,

Asset and Vulnerability Evaluation

 OEDC – Guidelines for Security of IS and

Networks

 Open Group’s Manager’s Guide to

Information Security

 BS 25999

¿Cuánta Seguridad requiere o desea ?

Análisis de Brecha ISO 27001

Dominio

Cumplimiento

Política de Seguridad

Seguridad en la Organización.

Control y Clasificación de Activos.

Aspectos de Seguridad relacionados con el recurso humano.

Seguridad Física

Administración de la operación de cómputo y comunicaciones.

Control de Acceso

Desarrollo y mantenimiento de Sistemas

Continuidad del Negocio

Cumplimiento de Leyes

Promedio

0%

20%

33%

40%

60%

28%

40%

45%

30%

20%

31.6%

Evaluacióónn de de Riesgo
Evaluaci

Riesgo de TI
de TI

Entorno Complejo

Extranet Clientes y

Proveedores

Portales

Redes Privadas

Virtuales

E-mail /
Mensajería

Intranets y Procesos

Corporativos

 Seguridad de mis clientes o socios
 Seguridad en mi red
 Quién accede a mis aplicaciones
 Configuraciones de seguridad tengo que actualmente
 Respuesta a incidentes

¿Dónde está el peligro?

Programas
troyanos

Puertas
traseras

Denegación
de servicio

E-mail
spoofing

Robo de
Identidad

Riesgos
Técnicos

de Seguridad

Espionaje
Industrial

Leyes y

Regulaciones

Robo
Físico

Problemas
de Software

Propiedad
Intelectual

Fuente: COBIT Security Baseline – IT Governance Institute – 2004

Output

Analisis de la Infraestructura por

aplicación crítica.

 Seguridad Física.

8 Monitoreo ambiental
8 Control de acceso
8 Desastres naturales
8 Control de incendios
8 Inundaciones

 Seguridad en las conexiones a Internet.

8 Políticas en el Firewall
8 VPN
8 Detección de intrusos

 Seguridad en la infraestructura de comunicaciones.

8 Routers
8 Switches
8 Firewall
8 Hubs
8 RAS

 Seguridad en Sistema Operacionales(Unix, Windows)
 Correo Electrónico
 Seguridad en las aplicaciones.

Vulnerabilidades en la red

Ejemplo informe

Evaluación del riesgo y su administración

Consecuencia

Mover

Evitar

Aceptar

Reducir

Probabilidad

Tipo de controles en el manejo del

riesgo

TTéécnicos o
cnicos o

tecnolóógicos
gicos
tecnol

FFíísicos
sicos

Administrativos
Administrativos

Objetivos del Manejo del riesgo

Tipos de Controles

 Administrative Controls

8 Manegement responsabilities

Administrative Controls

• Security Policies SGSI
• Procedures
• Screening Personal
• Classifying data
• BCP,DRP.
• Change Control

 Technical Controls

8 IDS
8 Encryption
8 Firewall

 Physical Control

8 Security Guards
8 Perimeters fences
8 Locks
8 Removal of CD-ROM
8 CCTV

Technical controls

Physical Controls

Implementacióóóón del SGSI
Implementaci
n del SGSI
Implementaci
Implementaci
n del SGSI
n del SGSI

SGSI
SGSI
SGSI
SGSI

Política

Corporativa

Política Generales

de Seguridad

de la Información

Políticas detalladas de

Seguridad de la Información

Procedimientos de Seguridad de

la Información

Estándares y formatos de Seguridad de la Información

PolPolPolPolííííticas seguridad de la informaci
ticas seguridad de la informacióóóónnnn
ticas seguridad de la informaci
ticas seguridad de la informaci

Una política de seguridad de la información, es una
declaración formal de las reglas que deben seguir
las personas con acceso a los activos de tecnología
e información, dentro de una organización.

Documento General SGSI

Procedimientos seguridad de la

información

Los procedimientos de seguridad de la información
son la descripción detallada de la manera como se
implanta una Política. El procedimiento incluye todas
las actividades
y
responsabilidades de las personas encargadas de
llevarlos a cabo.

requeridas

y

los

roles

Ejemplo de procedimiento

Estándares seguridad de la

información

 Es la definición cuantitativa o cualitativa de un valor o
parámetro determinado que puede estar incluido en
una norma o procedimiento.

 Los estándares pueden estar

ligados a una
plataforma específica (parámetros de configuración)
o pueden ser independientes de esta (longitud de
passwords).

 Ejemplo de estándar de configuración Firewall.

Formatos del SGSI

 Documentos utilizados para formalizar, legalizar y verificar la

realización o no de ciertas actividades.

 Ejemplo de formato.

Plan de Entrenamiento en Seguridad.

 El aspecto humano se debe

considerar en cualquier proyecto
de seguridad.

 Debe ser corto pero continuo.
 A veces es la única solución a

ciertos problemas de seguridad
como instalación de troyanos.

 Debe ser apoyado por campañas

publicitarias, Email, objetos etc.

la continuidad
Planes paraparaparapara la
Planes
continuidad
la
Planes
Planes
la
continuidad
continuidad

Qué es Continuidad del servicio?

servicio

y

continuidad

del
tácticas

La
involucra
capacidades
estratégicas
preaprobadas por la dirección de una entidad
para responder a incidentes e interrupciones del
servicio con el fin de poder continuar con sus
operaciones a un nivel aceptable previamente
definido.

Business continuity strategic and tactical capability, pre-approved by management,
of an organization to plan for and respond to incidents and business interruptions in
order to continue business operations at an acceptable pre-defined level (BSI, BS-
25999,p.6.)

Gestión de la continuidad del servicio

(BCP, DRP)

Productos que componen el BCP, DRP

 Business Impact Analysis (Impacto de Análisis del

Negocio).

 Risk Assesment (Evaluación o Valoración de Riesgos).
 Estrategias de Continuidad.
 Estructura Organizacional para la Continuidad (Roles,

responsab