SESION 9: Auditoria a la Gestión de Riesgos en Seguridad de Información
AGENDA – Porqué es necesaria la seguridad de la información – Cómo establecer los requisitos de seguridad – Factores críticos para el éxito – Estándares principales – ISO 17799 - 27001
¿ Por qué es necesaria la Seguridad de Información ?
La información y los procesos de apoyo, sistemas y redes son importantes bienes del negocio La confidencialidad, integridad y disponibilidad de la información puede ser esencial para mantener el margen de competitividad, flujo de caja, utilidad, cumplimiento legal e imagen del negocio.
¿ Por qué es necesaria la Seguridad de Información ? Las organizaciones y sus sistemas de información y redes están enfrentados en forma creciente a las amenazas de la seguridad desde una amplia gama de fuentes, incluyendo – – – – –
Fraudes apoyados por computador Espionaje Sabotaje Vandalismo Fuego o inundación.
¿ Por qué es necesaria la Seguridad de Información ?
Las fuentes de daño tales como los virus computacionales, hacking por computador y ataques de denegación de servicio han llegado a ser más comunes, más ambiciosas y cada vez más sofisticadas. La dependencia en los sistemas de información y de servicios implica que las organizaciones son más vulnerables a amenazas de Seguridad.
¿ Por qué es necesaria la Seguridad de Información ?
La interconexión de las redes públicas y privadas y la compartición de los recursos de la información, aumenta la dificultad de lograr protección en control de acceso. La tendencia a los sistemas de computación distribuidos ha debilitado la efectividad del control central especializado
¿ Por qué es necesaria la Seguridad de Información ?
Muchos sistemas de información no se han diseñado para ser seguros La seguridad que se puede lograr a través de dispositivos técnicos es limitada, y debería ser apoyada por procedimientos y una gestión apropiada Identificar que controles y en qué lugar deberían estar, requiere una planificación cuidadosa y una atención detallada
¿ Por qué es necesaria la Seguridad de Información ?
La gestión de seguridad de la información necesita, como mínimo, la participación de los proveedores, clientes o accionistas. También puede ser necesarias las opiniones de especialistas de organizaciones externas Los controles de seguridad de la información son considerablemente más baratos y más efectivos si son incorporados en la etapa de diseño y especificación de los requisitos
¿ Cómo establecer los requisitos de Seguridad ?
Es esencial que una organización identifique sus requisitos de seguridad Existen tres fuentes principales: – La primera fuente se obtiene de evaluar los riesgos de la organización. A través de esta evaluación, se identifican las amenazas a los bienes, la vulnerabilidad, se evalúa la probabilidad de ocurrencia y se estima el impacto potencial – La segunda fuente es legal, regulatoria y los requisitos contractuales que tiene que satisfacer tanto la organización, como sus socios comerciales, los proveedores y personal externo de servicios
¿ Cómo establecer los requisitos de Seguridad ?
Fuentes principales… – La tercera fuente es un conjunto particular de principios, objetivos y requisitos para el procesamiento de la información que una organización ha desarrollado para el apoyo a sus operaciones
Factores Críticos para el Éxito
Política, objetivos y actividades de Seguridad que reflejen los objetivos del negocio Una aproximación para la implementación de la seguridad que sea consistente con la cultura organizacional Apoyo visible y compromiso de la dirección Buen entendimiento de los requisitos de seguridad, evaluación y gestión del riesgo Difusión efectiva de la seguridad por todos los directivos y empleados SESION 6/11/06
Factores Críticos para el Éxito
Distribución de las normas y de la guía de la política de seguridad de la información a todos los empleados y personal externo Provisión de entrenamiento y educación adecuada Utilización de un sistema de medición equilibrado y completo para evaluar el comportamiento de la gestión de seguridad de la información y la realimentación de sugerencias para su mejoramiento
Estándares Principales ISO 17799 ISO 27001
■
Gestión de Seguridad de Información
■
Gestión de Servicios TI
ITIL
■
Control de Gobierno TI
COBIT
■
Gestión de Proyectos
PMBOK
Estándares Principales ISO 9796
ISO 9798
ISO 11770
Esquemas de Firmas Digitales
Autenticación
Gestión de Claves
ISO 13888
ISO 14888
No Repudio
Firmas Digitales
COBIT Objetivos de Control para Tecnologías de Información
ISO 13335 (GMITS)
OSI Security
ISO 15408(CC)
Guía para la Gestión de Seguridad de TI
Marco de Trabajo para Sistemas Abiertos
Criterios de Evaluación para Seguridad de TI
ISO 17799/ ISO 27001 Sistema de Gestión de Seguridad de la Información
¿Qué es ISO 17799 / ISO 27001? La norma es publicada en dos partes: ISO 17799 Parte 1: Código de buenas prácticas relativo a la gestión de la seguridad de la información; ISO 27001 (BS 7799:2) Parte 2: Especificaciones relativas a la gestión de la seguridad de la información.
ISO/IEC 17799 (1ª parte) ISO / IEC 17799 se presenta bajo la forma de notas de orientación y recomendaciones. Éstas han sido reunidas a posteriori de las consultas realizadas a las empresas más importantes. Contiene once dominios específicos compuestos de objetivos de control y medidas de seguridad.
ISO/IEC 17799 (1ª parte) ISO / IEC 17799 se presenta bajo la forma de notas de orientación y recomendaciones. Éstas han sido reunidas a posteriori de las consultas realizadas a las empresas más importantes. Contiene diez dominios específicos compuestos de 36 objetivos y de 127 medidas de seguridad.
ISO/IEC 17799 (1ª parte)
Política de Seguridad
Proporcionar directivas y consejos de gestión para mejorar la seguridad de los datos. 1.
Documentación
2.
Compromisos
3.
Revisión y Evaluación
ISO/IEC 17799 (1ª parte)
Seguridad de la Organización
Facilitar la gestión de la seguridad de la información en el seno de la organización. 1.
Infraestructura interna
2.
Acceso de terceros
3.
Outsourcing
ISO/IEC 17799 (1ª parte)
Clasificación y Control de los Activos
Catalogar los activos y protegerlos eficazmente.
1.
Inventario de activos
2.
Clasificación de la Información:
Clasificación de la información Clasificación y Control de los Activos
Pública :Su conocimiento por el público no afecta el funcionamiento de la organización dueña de la información.
Sensible: Requiere un nivel mas elevado que la información pública. Se debe tener especial cuidado de una pérdida de confidencialidad o integridad por alteraciones no autorizadas.
Privada: Sólo puede ser conocido por la organización. Su divulgación puede afectar de alguna manera el funcionamiento de la organización.
Confidencial: Sólo puede ser conocida por la organización y que afecta considerablemente a ésta. Típicamente, si se comete infidencia, las sanciones legales son aplicadas a partir de esta categoría. Ejemplos ; secretos comerciales, fusiones futuras, etc.
ISO/IEC 17799 (1ª parte)
Seguridad del Personal
Reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. 1.
Incluir la seguridad en las descripciones de funciones
2.
Verificar competencias de las personas
3.
Cláusulas de confidencialidad
4.
Capacitación en seguridad
5.
Adecuados canales de información y reporte de incidentes
6.
Sanciones
ISO/IEC 17799 (1ª parte)
Seguridad física y medioambiental
ISO/IEC 17799 (1ª parte)
Impedir la violación, el deterioro y la perturbación de las instalaciones y datos industriales
■
Seguridad del área (ej.paredes, puertas, recepción, etc.)
■
Acceso físico restringido
■
Seguridad física (detectores de humo, muebles ignífugos, llaves, extintores, alarmas, etc.)
■
Evaluaciones periódicas de riesgos
■
Aislamientos
■
Suministros (ej. energía)
■
Protección de cables
■
Mantenciones a los equipos
■
Equipos obsoletos o en desusos. Políticas de destrucción.
■
Protectores de pantalla
■
Desconexión automática
■
Control de movimientos
■
Resguardo de documentación por parte de los empleados.
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte)
Gestión de las Comunicaciones y Operaciones
Garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información
1.
Documentación de procedimientos
2.
Control de cambios (programas en producción).
3.
Procedimientos para manejar incidentes
4.
Segregación de funciones
5.
Separación entre desarrollo y producción
6.
Proceso de Planificación
7.
Protección contra software no autorizado
8.
Back-up de información
9.
Logs de actividades de usuarios
10.
Protección uso de redes internas y públicas
11.
Administración de medios removibles (ej.cd, discos, etc.)
12.
Respaldos y documentación histórica
13.
Comercio electrónico
14.
Emails
15.
Información pública
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte) Control de Accesos
Controlar el acceso a los datos 1.
Política de Control de acceso
2.
Administración de usuarios y privilegios
3.
Confidencialidad de las passwords
4.
Revisión periódica de privilegios y usuarios
5.
Conexiones por redes
6.
Control de Acceso a sistemas
7.
Control de Acceso a aplicaciones
8.
Monitoreo
9.
Control equipos móviles (ej. notebooks)
10.
Teletrabajo
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte) Desarrollo y Mantenimiento
Garantizar que la seguridad esté incorporada a los sistemas de información. 1.
Requerimientos de seguridad y controles en sistemas
2.
Controles en las aplicaciones (ej. validaciones de ingreso y procesos, autentificación de mensajes, salidas)
3.
Controles criptográficos (ej. política de uso, técnicas de encriptación, firmas digitales, resguardo de claves criptográficas, etc.)
4.
Seguridad de archivos (ej controles sobre bases de datos, restricciones a programas fuentes, etc.)
5.
Seguridad en el proceso de desarrollo y soporte (control de cambios, testeos antes y después, outsourcing, etc.)
ISO/IEC 17799 (1ª parte)
Gestión de la Continuidad de las Operaciones
ISO/IEC 17799 (1ª parte) Reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra las averías y los siniestros mayores. 1.
Plan de continuidad del negocio
2.
Análisis de eventos, escenarios e impactos
3.
Pruebas periódicas
4.
Actualizaciones
ISO/IEC 17799 (1ª parte)
Conformidad
ISO/IEC 17799 (1ª parte) Prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y las exigencias de seguridad. 1.
Cumplimiento con requerimientos legales (ej. protección de datos, privacidad, evidencias legales, prácticas de la industria, etc.)
2.
Cumplimiento con la Política de Seguridad y estándares.
3.
Auditorías (planificadas adecuadamente, pruebas adecuadamente protegidas, etc.)
ISO/IEC 27001 (2ª parte) Una organización que basa su SGSI (sistema de gestión de la seguridad de la información o ISMS por sus siglas en ingles) sobre las disposiciones de ISO 27001(BS 7799:2) puede obtener el registro de un organismo acreditado. La organización así demuestra a sus socios que su sistema cumple tanto con los estándares de la norma, como así también con las exigencias de controles para la seguridad que son establecidos según sus propias necesidades.
¿Para qué sirve un SGSI? "Para establecer la política y los objetivos de seguridad de la información de la organización… y para lograr, a continuación estos objetivos".
ISO/IEC 27001 (2ª parte) Un sistema de gestión de la seguridad de la información (SGSI) ofrece un enfoque metodológico para administrar la información sensible con el fin de protegerla. Su ámbito de aplicación incluye a los empleados, los procesos y los sistemas informáticos.
¿A quién va dirigida ISO 17799? ISO 17799/ISO 27001 puede ser utilizada por
cualquier tipo de organización o de compañía, privada o pública. Si la organización utiliza sistemas internos o externos que poseen informaciones confidenciales, si depende de estos sistemas para el funcionamiento normal de sus operaciones o si simplemente desea probar su nivel de seguridad de la información conformándose a una norma reconocida, la norma ISO 17799 – ISO 27001.
¿A quién va dirigida ISO 17799? Tipo de empresa
Tamaño
Objetivo Principal
Pequeña empresa u organismo
Inferior a 200 empleados
Sensibilizar a la dirección general de la seguridad de la información
Empresa media (centralizada o descentralizada)
Inferior a 5000 empleados
Crear una cultura de seguridad global compatible
Empresa muy grande
Superior a 5000 empleados
Obtener una certificación de seguridad
Utilización de la norma La norma ISO 17799 contiene los temas de seguridad que deben tratarse como base de gestión La norma contiene las prácticas necesarias para constituir una política de seguridad de la información Utilización de ISO 27001 para crear un documento referencial de seguridad Interno.