PDF de programación - El papel del Plan Director de Seguridad en las organizaciones

El papel del Plan
Director de
Seguridad en las
organizaciones

Antonio Villalón Huerta
Director Técnico de Explotación
S2 Grupo

Introducción

● El Plan Director de Seguridad (PDS) es la herramienta
que permite a una organización definir sus actividades
en Seguridad de los Sistemas de Información a corto,
medio y largo plazo.

● Determinando el estado de seguridad en que se

encuentra mi organización y conociendo mi estado
objetivo, puedo trazar una planificación que me permita
alcanzar dicho objetivo.

2

Para empezar a trabajar...

● Antes de poder definir un Plan Director de Seguridad en
la organización es necesario identificar los objetivos y
las necesidades en materias de Seguridad de la
Información:
– Requisitos de seguridad en el negocio.
– Criticidad de la información.
– Legislación aplicable.
– ...

● Decisión a nivel estratégico: la seguridad debe ser

respaldada al más alto nivel directivo.

3

El primer problema

● ¿Cómo plasmo las directrices estratégicas en seguridad

tangible?

● Debo hablar de ‘seguridad’ de una forma objetiva:

– ISO 13335 / UNE 71501
– ISO 15408
– …
– UNE-ISO/IEC 17799:2002, ISO/IEC 17799:2005

● La norma ISO 17799 me permite marcar un objetivo de

cumplimiento cuantitativo, un objetivo objetivo.

4

UNE-ISO/IEC 17799:2005

Estratégico

Política de seguridad

Aspectos organizativos para la

seguridad

Clasificación y control de

activos

Control de accesos

Táctico

Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal

Operativo

Conformidad

Gestión de incidentes de

seguridad de la

información

Seguridad de recursos

humanos

Seguridad física y del

entorno

Adquisición, desarrollo y

mantenimiento de

sistemas

Gestión de comunicaciones y

operaciones

Gestión de continuidad del

negocio

5

Y ahora, ¿qué?

● Conociendo cuantitativamente mis objetivos, debo

identificar mi situación actual.

● Sé donde quiero estar: sabiendo donde estoy

actualmente podré planificar el camino.

● ¿Cómo? Auditoría ISO 17799:2005. Mido objetivamente

mi seguridad en todos sus ámbitos:
– Físico.
– Lógico.
– Organizativo.
– Legal.

6

Auditoría ISO17799

● Una auditoría ISO 17799 proporciona información precisa
acerca del nivel de cumplimiento de la norma a diferentes
niveles: global, por dominios, por objetivos y por controles.



Cumplimientos

Gestión de continuidad del negocio

Política de seguridad

100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

Seguridad organizativa. Organización de la seguridad

Clasificación y control de activos

Desarrollo y mantenimiento de sistemas

Seguridad de personal

Control de acceso

Seguridad física o ambiental

Gestión de comunicaciones y operaciones

Objetivo

PDS Año 2

PDS Año 1

Auditoría cumplimiento por dominio

7

Auditoría ISO17799: un ejemplo

● Dominio: Control de acceso.

– Objetivo: Prevenir el acceso no autorizado a los servicios

de red.
• Control: Restricción de las posibilidades de conexión a

la red corporativa desde otras redes.

● Análisis:

– Test de visibilidad.
– Test de penetración.
– Test de propagación.
– Revisión reglas de cortafuegos.
– Revisión registros NIDS.
– …

8

Planificación

● Conozco cuantitativamente la situación actual y mi
situación objetivo. Ya puedo planificar el camino a
seguir: Plan Director de Seguridad.

Nivel objetivo ISO 17799

l



o
r
t
n
o
c
e
d
s
o
n
m
o
D



i

i

Cumplimientos con la normativa

Gestión de continuidad del negocio

Desarrollo y mantenimiento de

sistemas

Control de acceso

Gestión de comunicaciones y

operaciones

Seguridad física o ambiental

Seguridad de personal

Clasificación y control de activos

Seguridad organizativa. Organización

de la seguridad

Política de seguridad

0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

70,0%

80,0%

90,0%

100,0%

Grado de cumplimiento

9

El camino a seguir...

● Identificación de iniciativas y proyectos concretos, e

implantación y seguimiento de los mismos:
– Plazos.
– Costes.
– Asignación de recursos.
– ...

● Factor crítico de éxito: avance permanente.

– 'Retroceder nunca,...'

10

Un ejemplo

● Iniciativa para reforzar los controles de acceso a la

información.

● Plazo estimado: 2 meses.
● Inversión: 8.000,00 euros.
● Tareas a desarrollar:

– Implantación nuevo cortafuegos.
– Configuración ACLs en routers.
– Políticas de contraseñas robustas.
– Honeytokens.
– Procedimientos de autorización de acceso.
– Definición de usuarios nominativos.
– …

● Incremento dominio ISO 17799:2005: 43% → 78%

11

Plan de trabajo

● Hitos intermedios y auditorías de cumplimiento en el

camino: control de la implantación.

● Hito más crítico: nivel mínimo aceptable. Hasta no

superarlo, debo preocuparme seriamente.



Nivel de

cumplimiento
ISO 17799 (%)

Z%

Objetivo estratégico: Nivel de seguridad

D

Y%

Nivel de seguridad
necesario a corto plazo

C

B

PAU

Acciones urgentes

X%

A

Situación

actual

t0

t1

t2

t3

Tiempo

12

Para acabar...

● El Plan Director de Seguridad tiene como primer gran

objetivo el alcance de los niveles de seguridad
estratégicamente aceptables.

● No sólo es importante el alcance, sino también el

mantenimiento.
– Debo mantener en el tiempo los niveles alcanzados.
– No puedo permitirme ir hacia atrás.

• Cambios en el entorno.

● Alcanzado un nivel aceptable, puedo plantearme la

certificación UNE 71502 / ISO 27001.
– El ‘nivel aceptable’ incluirá la definición de un SGSI.

13

Conclusiones

● Tres pilares fundamentales para el Plan Director de

Seguridad:
– Punto de partida.
– Objetivo marcado.
– Camino a recorrer entre ambos.

● No sólo es importante la definición del PDS: lo son más

su cumplimiento y el avance permanente.

● Una vez he alcanzado mi objetivo debo mantenerlo a

toda costa.

14

The End…

¡¡MUCHAS GRACIAS!!

15