Fundamentos de Seguridad de Informacion_2.ppt

Fundamentos Seguridad de la Información

Objetivo Adquirir los conocimientos básicos en seguridad de la información de acuerdo con estándares internacionales para: La formación PROFESIONAL de TI La IMPLEMENTACION PRACTICA en las organizaciones

DEFINICIONES Seguridad de Información La información es un activo más de la empresa, como cualquier otro activo necesita ser protegido. pro tegido. Seguridad de Información es la protección de la información de un amplio rango de amenazas en orden de asegurar la continuidad del negocio, minimizar el riesgo y maximizar el retorno de inversión en oportunidades de negocio.

Seguridad TI Esta orientada a la seguridad de la Información dentro de los límites de la infraestructura de red y tecnología.

Que aspectos de la información proteger? Confidencialidad: Asegurar que la información sea accesible solo por las personas que están autorizadas.

Integridad: Asegurar la exactitud e integridad de la información.

Disponibilidad: Asegurar que los usuarios autorizados puedan acceder a esta cuando se requiera.

Normativas ISO de Seguridad de Información ISO 27001 Provee el modelo para implementar, operar, monitorear, revisar y mantener un Sistema de Gestión de Seguridad de Información.

ISO 27002 Mejores prácticas para la implementación de un sistema de gestión de Seguridad de Información.

Normas, Metodologías, Legislaciones aplicables •

• •

•

• • •

Information Systems and Audit Control Association - ISACA: CISM Certified Information Security Manager British Standards Institute: BS 7799 International Standards Standards Organization: Organization: ISO 27001 / 27002 Lead Auditor ITSEC –  Information Technology Security Evaluation Criteria: White Book Sans Institute Sarbanes Oxley SBS – Circular 140

ISO 27001 - Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI)

Metodología para Implementar un SGSI

• Requerimientos Generales • Estableciendo un SGSI • Implementando y Operando el SGSI • Monitoreando y Revisando el SGSI • Manteniendo y Mejorando un SGSI

Metodología para Implementar un SGSI

Generalidades • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). • Basado en las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002. • Tiene su origen en la revisión de la norma británica o British Standard BS 7799-2:2002. • Alineado con las normas ISO 9000 de Gestión de la Calidad.

Beneficios • • • • • • • • •

Garantiza una gestión adecuada de Seguridad de Información. Identificación de los activos críticos de la empresa a través del análisis de riesgos. Define las responsabilidades y estructura de la organización Mejora el conocimiento e importancia de Seguridad de Información a nivel gerencial. Mejora la percepción de los clientes, socios de negocio y personal interno. Permite diferenciarse de la competencia. Se enfoca en las responsabilidades de todo el personal, generando conciencia en la Seguridad de la Información. Asegurar que la continuidad del negocio se maneja de manera profesional. Mejora la percepción interna y externa de un manejo adecuado de los riesgos a la seguridad de la información.

Objetivos • Alinear la seguridad de la información al cumplimiento de los objetivos del negocio. • Identificar, administrar y reducir el rango de los riesgos a los que la información se encuentra constantemente expuesta. • Proveer un estándar para la Gestión de la Seguridad de la Información.

Alcance • Cuenta con 11 secciones, 39 objetivos de control y 133 controles.  – Política de Seguridad  – Organización de la Seguridad de la Información  – Gestión de Activos  – Seguridad de los Recursos Humanos  – Seguridad Física y del Entorno  – Gestión de Comunicaciones y Operaciones  – Control de Accesos  – Adquisición, Desarrollo y Mantenimiento de Sistemas de Información  – Gestión de Incidentes de Seguridad de la Información  – Gestión de la Continuidad de Negocio  – Conformidad/Cumplimiento

Metodología para Implementar un SGSI

ANÁLISIS DE BRECHAS Antes de definir el plan de seguridad es necesario identificar el estado y nivel de madurez actual en Seguridad de Información. Para esto se debe realizar un Análisis de Brechas respecto a los 11 dominios de la ISO 27002 y se determinar el nivel de madurez (CMMI) alcanzado en cada uno de estos.

Niveles de Madurez CMMI aplicados a la ISO 27001

Nivel CMMI

Adecuación del nivel a la ISO 27002

0: No existente

No existe Política de Seguridad de Información.

1: Inicial - Proceso -  Proceso es impredecible, pobremente controlado y reactivo.

La política de seguridad no esta formalizada, falta de procedimientos formales.

2: Manejado  – El proceso se caracteriza por proyectos que son generalmente reactivos

Existen políticas y procedimientos, se han aprobado y publicado, pero están incompletos o no cubren las necesidades de la organización.

3: Definido  – El proceso se caracteriza por su organización y es pro-activo.

Existen políticas y procedimientos, se han aprobado y publicado, y cubren las necesidades de la organización.

4: Cualitativamente manejado  – El proceso es medido y controlado

Controles implementados y revisados como atributos de documentos validados.

5: Optimizado  – Proceso orientado a la mejora continua.

Revisión periódica de los procesos permiten su actualización y mejora.

Gestión de Riesgos

Gestión de Riesgos Amenaza: Cualquier evento que puede provocar un •   Amenaza: Cualquier daño a un activo de información explotando una vulnerabilidad. Ej: Cortes de fluido eléctrico, terremoto, hackers, phishing, SQL injection, Cambios en el alcance, etc. •   Vulnerabilidad: Debilidad Vulnerabilidad: Debilidad en un sistema, o activo de información que puede ser aprovechado por una amenaza de forma accidental o intencional provocando una brecha de seguridad. Ej: Contraseñas débiles, especificadores de requerimientos incompleta, ausencia de segregación de funciones, ausencia de UPS en CPD, etc.

DEFINICIONES Impacto: Magnitud del daño provocado por una •   Impacto: Magnitud amenaza que aprovecha una vulnerabilidad. Riesgo: Probabilidad de que una amenaza aproveche •   Riesgo: Probabilidad una vulnerabilidad cuya consecuencia resulta en un impacto adverso para la organización.

Gestión de Riesgos • Gestión de Riesgos involucra tres procesos:  – Análisis de Riesgos: Determinar las amenazas y probabilidad asociada a un activo de información.  – Mitigación del Riesgo: Plan de acción para mitigar el riesgo asociado a un activo de información.  – Evaluación y Análisis: Proceso continuo de manejo del riesgo.

Metodología de Gestión de Riesgos 0. Características del sistema (BIA) 1. Identificación de  Amenazas  Amenaza sy Vulnerabilidades  2. Determinar la Probabilidad 3. Análisis de Impacto 4. Determinación del Riesgo 5. Recomendaciones de Control (Plan de acción) 6. Revisión del Riesgo

Ejemplo de Análisis de Riesgos Fuente de Amenaza

Amenaza

Vulnerabilidades

Pérdida de fluido eléctrico Sucursales

 Ausencia o falla en los equipos equipos de UPS, generadores

Fallas en los equipo de Telecomunicaciones en 1 sucursal

 Ausencia de lineas de datos datos de Backup

Impacto

M

Probabilida d de Ocurrencia B*

Falta de mantenimientos programados M

B*

MA

B

MA

M

Formato de Implementaciópn incompleto o con errores Fallas en la puesta en producción

Errores en la migración de Datos Pérdida de archivos fuente

Pérdida de Servicios Falla de los sistemas de información

Fallas en programación, logica de negocio. Falta de procedimientos de control de cambios Pruebas de Calidad incompletas  Ausencia de documentación PC´s configuradas incorrectamente Errores en configuracion Servidores Especificaciones de requerimientos no claras o incompletas

Matriz de Riesgos Resultante Matriz de Riesgos

3

Muy Alto

4,7,11

5

10

9

Alto

IMPACTO

1,2,6

8

Medio

Bajjo

Baja

Media

PROBABILIDAD

Alta

Muy Alta

Plan de acción para mitigar el riesgo

Riesgo

Plan de Accion

Responsable

Revisar documento de especificaciones de instalación y configuración de BD y OAS de SONDA

Gustavo Artica / Marco Guillen / Daniel Arrascue

Validar configuración de PC por SONDA.

Daniel Arrascue

 Alto Pruebas de configuración de Pc´s cliente.

Gustavo Artica / Daniel  Arrascue

Pruebas de configuracion de OAS, BD.

Daniel Arrascue / Jesus Cañari

Dividir control de cambios (parches) PC´de SHAC

Daniel Arrascue

Fecha de Implementación

Fecha de Verificacion

ISO 27002 - Código de Buenas Prácticas para la implementación de un Sistema de Gestión de Seguridad de la Información

Dominios de la Norma ISO 27000

1. Política de Seguridad  2. Organización de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

1. Política de Seguridad • Documento de la Política de Seguridad de Información • Revisión de la política de seguridad de información.

 2. Organización de la Seguridad Seguridad de la Información

1. Política de Seguridad

 2. Organización de la Seguridad Seguridad de la  Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

 2. Organización de la Seguridad Seguridad de la Información • Organización Interna:  – Compromiso de la Gerencia  – Identificación de responsabilidades de SI  – Acuerdos de confidencialidad

• Organización con respecto a terceros:  – Identificación de riesgos de accesos a terceros  – Abordando la seguridad con clientes y proveedores.

3. Gestión de Activos

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información

3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

3. Gestión de Activos • Responsabilidad sobre los activos.  – Inventario de Activos.  – Propiedad de los Activos.  – Uso aceptable de activos.

• Clasificación de la Información.  – Directrices (Publica, sensitiva, confidencial)  – Etiquetado de la información.

 4. Seguridad de los Recursos Recursos Humanos

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos

 4. Seguridad de los Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

 4. Seguridad de los Recursos Recursos Humanos

• Antes del empleo o contratación de personal  – Screening  – Términos y condiciones de SI en el contrato de trabajo.

• Durante el empleo  – Concienciación de SI  – Sanciones por infracciones en SI

• Al momento del cese o movimiento  – Devolución de activos  – Retiro de privilegios.

5. Seguridad Física y del Entorno

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos

5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

5. Seguridad Física y del Entorno

• Seguridad de las áreas  – Seguridad física del perímetro (tarjetas de acceso)  – Controles físicos de ingreso (CPD, registro de visitas).  – Asegurando oficinas cuartos y equipos  – Protección contra amenazas de terceros y medio ambiente (incendios, inundaciones, etc).

5. Seguridad Física y del Entorno

• Seguridad de los equipos  – Instalaciones de apoyo (UPS, grupo Electrógeno)  – Seguridad en el cableado (proteger cableado a intercepciones o daño).  – Mantenimiento de equipos (Plan de mantenimiento y ejecución)  – Retiro y baja de equipos (Procedimientos de eliminación de data).  –  Autorización de retiro de equipos (firmas autorizadas)

6. Gestión de Comunicaciones y Operaciones

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno

6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

6. Gestión de Comunicaciones y Operaciones

• Procesos de comunicaciones y Operaciones Seguras  – Procedimientos documentados  – Control de cambios  – Segregación de funciones  – Separación de los ambientes de producción desarrollo y Pruebas.

• Gestión de servicios de entrega a terceros.  – Servicios dentro del SLA  – Monitoreo de servicios y control de cambios

6. Gestión de Comunicaciones y Operaciones

• Planeamiento y aceptación de sistemas.  – Planeamiento de la Capacidad  – Procedimientos y criterios de aceptación de sistemas.

• Protección frente a código malicioso. • Backup • Gestión de la seguridad en las redes. • Manejo de Medios Magnéticos  – Gestión de medios removibles, eliminación.  – Manejo de la información,

6. Gestión de Comunicaciones y Operaciones

• Intercambio de Información.  – Procedimientos y políticas.  – Acuerdos de intercambio, medios magnéticos en transito.  – Mensajería electrónica (debe ser protegida).  – Sistemas de información del Negocio (proteger acceso)

• Servicios de comercio electrónico  – Transacciones en línea, información pública.

6. Gestión de Comunicaciones y Operaciones

• Intercambio de Información.  – Procedimientos y políticas.  – Acuerdos de intercambio, medios magnéticos en transito.  – Mensajería electrónica (debe ser protegida).  – Sistemas de información del Negocio (accesos)

• Servicios de comercio electrónico  – Transacciones en línea, información pública.

• Monitoreo  – Log’s de auditoría auditoría y fallas, monitoreo monitoreo del uso del sistema, protección de log’s.

7. Control de Accesos

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones

7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

7. Control de Accesos

• Requerimientos del Negocio (política) • Gestión de accesos a Usuarios  – Registro de usuarios, gestión de privilegios y contraseña, revisión de derechos.

• Responsabilidades de Usuario  – Uso de usuario y contraseña.  – Escritorios desatendidos.  – Política de escritorio limpios

• Control de Accesos a Red.  – Autenticación de conexiones externas.

7. Control de Accesos

• Control de Accesos a Red (cont.)  – Identificación de equipos en la Red.  – Diagnóstico remoto y configuración de protección de puertos.  – Segregación de redes.  – Control de conexiones a red (restringir a usuarios)

• Control de accesos a sistemas operativos  – Log On seguros  – Identificación y autenticación de usuarios.  – Gestión de password de sistemas  – Sesiones expiradas, tiempos de conexión.

7. Control de Accesos

• Control de Accesos a Aplicaciones  – Restricciones de acceso a la información.  – Aislamiento de información sensitiva.

• Computadoras móviles y trabajo remoto.  –

Trabajo a distancia.

8. Adquisición, Desarrollo y Mantenimiento de SI

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos

8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

8. Adquisición, Desarrollo y Mantenimiento de SI

• Requerimientos de seguridad en los SI • Procesamiento correcto de aplicaciones (validación de ingreso y salida, integridad) • Criptografía • Seguridad en los Sistemas de Archivos. • Seguridad en los procesos de desarrollo y soporte. (control de cambios, revisiones luego de cambios en el S.O, fuga de información, outsourcing). • Gestión de vulnerabilidades

9. Gestión de Incidentes de Seguridad de Información

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

9. Gestión de Incidentes de Seguridad de  Información 10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

9. Gestión de Incidentes de Seguridad de Información

• Reporte de debilidades e incidentes de Seguridad de Información. • Gestión de Incidentes de Seguridad de Información y mejoras.

10. Gestión de la Continuidad de Negocio

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información

10. Gestión de la Continuidad de Negocio 11. Conformidad/Cumplim Conformidad/Cumplimiento iento

10. Gestión de la Continuidad de Negocio

• Aspectos de Seguridad de Información en la continuidad del Negocio. • Continuidad del Negocio y evaluación del Riesgo. • Marco de referencia del Plan de Continuidad. • Pruebas, mantenimiento y reevaluación del Plan de Continuidad.

11. Conformidad/Cumplimiento

1. Política de Seguridad  2. Organización de de la Seguridad de la Información Información 3. Gestión de Activos  4. Seguridad de los Recursos Recursos Humanos 5. Seguridad Física y del Entorno 6. Gestión de Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes de Seguridad de la  Información 10. Gestión de la Continuidad de Negocio

11. Conformidad/Cumplimiento

11. Conformidad/Cumplimiento

• Cumplimiento con requerimientos legales  – Identificación de la Legislación Aplicable (Circular SBS-139)  – Derechos de Propiedad Intelectual  – Protección de Datos

• Cumplimiento con políticas, estándares y técnicas de Seguridad. • Consideraciones de Auditoría a los Sistemas de Información.