Aud Uni 09

SESION 9: Auditoria a la Gestión de Riesgos en Seguridad de Información

AGENDA – Porqué es necesaria la seguridad de la información – Cómo establecer los requisitos de seguridad – Factores críticos para el éxito – Estándares principales – ISO 17799 - 27001

¿ Por qué es necesaria la Seguridad de Información ? 



La información y los procesos de apoyo, sistemas y redes son importantes bienes del negocio La confidencialidad, integridad y disponibilidad de la información puede ser esencial para mantener el margen de competitividad, flujo de caja, utilidad, cumplimiento legal e imagen del negocio.

¿ Por qué es necesaria la Seguridad de Información ? Las organizaciones y sus sistemas de información y redes están enfrentados en forma creciente a las amenazas de la seguridad desde una amplia gama de fuentes, incluyendo – – – – –

Fraudes apoyados por computador Espionaje Sabotaje Vandalismo Fuego o inundación.

¿ Por qué es necesaria la Seguridad de Información ? 



Las fuentes de daño tales como los virus computacionales, hacking por computador y ataques de denegación de servicio han llegado a ser más comunes, más ambiciosas y cada vez más sofisticadas. La dependencia en los sistemas de información y de servicios implica que las organizaciones son más vulnerables a amenazas de Seguridad.

¿ Por qué es necesaria la Seguridad de Información ? 



La interconexión de las redes públicas y privadas y la compartición de los recursos de la información, aumenta la dificultad de lograr protección en control de acceso. La tendencia a los sistemas de computación distribuidos ha debilitado la efectividad del control central especializado

¿ Por qué es necesaria la Seguridad de Información ? 





Muchos sistemas de información no se han diseñado para ser seguros La seguridad que se puede lograr a través de dispositivos técnicos es limitada, y debería ser apoyada por procedimientos y una gestión apropiada Identificar que controles y en qué lugar deberían estar, requiere una planificación cuidadosa y una atención detallada

¿ Por qué es necesaria la Seguridad de Información ? 





La gestión de seguridad de la información necesita, como mínimo, la participación de los proveedores, clientes o accionistas. También puede ser necesarias las opiniones de especialistas de organizaciones externas Los controles de seguridad de la información son considerablemente más baratos y más efectivos si son incorporados en la etapa de diseño y especificación de los requisitos

¿ Cómo establecer los requisitos de Seguridad ? 



Es esencial que una organización identifique sus requisitos de seguridad Existen tres fuentes principales: – La primera fuente se obtiene de evaluar los riesgos de la organización. A través de esta evaluación, se identifican las amenazas a los bienes, la vulnerabilidad, se evalúa la probabilidad de ocurrencia y se estima el impacto potencial – La segunda fuente es legal, regulatoria y los requisitos contractuales que tiene que satisfacer tanto la organización, como sus socios comerciales, los proveedores y personal externo de servicios

¿ Cómo establecer los requisitos de Seguridad ? 

Fuentes principales… – La tercera fuente es un conjunto particular de principios, objetivos y requisitos para el procesamiento de la información que una organización ha desarrollado para el apoyo a sus operaciones

Factores Críticos para el Éxito 



 



Política, objetivos y actividades de Seguridad que reflejen los objetivos del negocio Una aproximación para la implementación de la seguridad que sea consistente con la cultura organizacional Apoyo visible y compromiso de la dirección Buen entendimiento de los requisitos de seguridad, evaluación y gestión del riesgo Difusión efectiva de la seguridad por todos los directivos y empleados  SESION 6/11/06

Factores Críticos para el Éxito 





Distribución de las normas y de la guía de la política de seguridad de la información a todos los empleados y personal externo Provisión de entrenamiento y educación adecuada Utilización de un sistema de medición equilibrado y completo para evaluar el comportamiento de la gestión de seguridad de la información y la realimentación de sugerencias para su mejoramiento

Estándares Principales ISO 17799 ISO 27001

■

Gestión de Seguridad de Información

■

Gestión de Servicios TI

ITIL

■

Control de Gobierno TI

COBIT

■

Gestión de Proyectos

PMBOK

Estándares Principales ISO 9796

ISO 9798

ISO 11770

Esquemas de Firmas Digitales

Autenticación

Gestión de Claves

ISO 13888

ISO 14888

No Repudio

Firmas Digitales

COBIT Objetivos de Control para Tecnologías de Información

ISO 13335 (GMITS)

OSI Security

ISO 15408(CC)

Guía para la Gestión de Seguridad de TI

Marco de Trabajo para Sistemas Abiertos

Criterios de Evaluación para Seguridad de TI

ISO 17799/ ISO 27001 Sistema de Gestión de Seguridad de la Información

¿Qué es ISO 17799 / ISO 27001? La norma es publicada en dos partes:  ISO 17799 Parte 1: Código de buenas prácticas relativo a la gestión de la seguridad de la información;  ISO 27001 (BS 7799:2) Parte 2: Especificaciones relativas a la gestión de la seguridad de la información.

ISO/IEC 17799 (1ª parte)  ISO / IEC 17799 se presenta bajo la forma de notas de orientación y recomendaciones.  Éstas han sido reunidas a posteriori de las consultas realizadas a las empresas más importantes.  Contiene once dominios específicos compuestos de objetivos de control y medidas de seguridad.

ISO/IEC 17799 (1ª parte)  ISO / IEC 17799 se presenta bajo la forma de notas de orientación y recomendaciones.  Éstas han sido reunidas a posteriori de las consultas realizadas a las empresas más importantes.  Contiene diez dominios específicos compuestos de 36 objetivos y de 127 medidas de seguridad.

ISO/IEC 17799 (1ª parte)

Política de Seguridad

Proporcionar directivas y consejos de gestión para mejorar la seguridad de los datos. 1.

Documentación

2.

Compromisos

3.

Revisión y Evaluación

ISO/IEC 17799 (1ª parte)

Seguridad de la Organización

Facilitar la gestión de la seguridad de la información en el seno de la organización. 1.

Infraestructura interna

2.

Acceso de terceros

3.

Outsourcing

ISO/IEC 17799 (1ª parte)

Clasificación y Control de los Activos

Catalogar los activos y protegerlos eficazmente.

1.

Inventario de activos

2.

Clasificación de la Información:

Clasificación de la información Clasificación y Control de los Activos



Pública :Su conocimiento por el público no afecta el funcionamiento de la organización dueña de la información.



Sensible: Requiere un nivel mas elevado que la información pública. Se debe tener especial cuidado de una pérdida de confidencialidad o integridad por alteraciones no autorizadas.



Privada: Sólo puede ser conocido por la organización. Su divulgación puede afectar de alguna manera el funcionamiento de la organización.



Confidencial: Sólo puede ser conocida por la organización y que afecta considerablemente a ésta. Típicamente, si se comete infidencia, las sanciones legales son aplicadas a partir de esta categoría. Ejemplos ; secretos comerciales, fusiones futuras, etc.

ISO/IEC 17799 (1ª parte)

Seguridad del Personal

Reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. 1.

Incluir la seguridad en las descripciones de funciones

2.

Verificar competencias de las personas

3.

Cláusulas de confidencialidad

4.

Capacitación en seguridad

5.

Adecuados canales de información y reporte de incidentes

6.

Sanciones

ISO/IEC 17799 (1ª parte)

Seguridad física y medioambiental

ISO/IEC 17799 (1ª parte)

Impedir la violación, el deterioro y la perturbación de las instalaciones y datos industriales

■

Seguridad del área (ej.paredes, puertas, recepción, etc.)

■

Acceso físico restringido

■

Seguridad física (detectores de humo, muebles ignífugos, llaves, extintores, alarmas, etc.)

■

Evaluaciones periódicas de riesgos

■

Aislamientos

■

Suministros (ej. energía)

■

Protección de cables

■

Mantenciones a los equipos

■

Equipos obsoletos o en desusos. Políticas de destrucción.

■

Protectores de pantalla

■

Desconexión automática

■

Control de movimientos

■

Resguardo de documentación por parte de los empleados.

ISO/IEC 17799 (1ª parte)

ISO/IEC 17799 (1ª parte)

Gestión de las Comunicaciones y Operaciones

Garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información

1.

Documentación de procedimientos

2.

Control de cambios (programas en producción).

3.

Procedimientos para manejar incidentes

4.

Segregación de funciones

5.

Separación entre desarrollo y producción

6.

Proceso de Planificación

7.

Protección contra software no autorizado

8.

Back-up de información

9.

Logs de actividades de usuarios

10.

Protección uso de redes internas y públicas

11.

Administración de medios removibles (ej.cd, discos, etc.)

12.

Respaldos y documentación histórica

13.

Comercio electrónico

14.

Emails

15.

Información pública

ISO/IEC 17799 (1ª parte)

ISO/IEC 17799 (1ª parte) Control de Accesos

Controlar el acceso a los datos 1.

Política de Control de acceso

2.

Administración de usuarios y privilegios

3.

Confidencialidad de las passwords

4.

Revisión periódica de privilegios y usuarios

5.

Conexiones por redes

6.

Control de Acceso a sistemas

7.

Control de Acceso a aplicaciones

8.

Monitoreo

9.

Control equipos móviles (ej. notebooks)

10.

Teletrabajo

ISO/IEC 17799 (1ª parte)

ISO/IEC 17799 (1ª parte) Desarrollo y Mantenimiento

Garantizar que la seguridad esté incorporada a los sistemas de información. 1.

Requerimientos de seguridad y controles en sistemas

2.

Controles en las aplicaciones (ej. validaciones de ingreso y procesos, autentificación de mensajes, salidas)

3.

Controles criptográficos (ej. política de uso, técnicas de encriptación, firmas digitales, resguardo de claves criptográficas, etc.)

4.

Seguridad de archivos (ej controles sobre bases de datos, restricciones a programas fuentes, etc.)

5.

Seguridad en el proceso de desarrollo y soporte (control de cambios, testeos antes y después, outsourcing, etc.)

ISO/IEC 17799 (1ª parte)

Gestión de la Continuidad de las Operaciones

ISO/IEC 17799 (1ª parte) Reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra las averías y los siniestros mayores. 1.

Plan de continuidad del negocio

2.

Análisis de eventos, escenarios e impactos

3.

Pruebas periódicas

4.

Actualizaciones

ISO/IEC 17799 (1ª parte)

Conformidad

ISO/IEC 17799 (1ª parte) Prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y las exigencias de seguridad. 1.

Cumplimiento con requerimientos legales (ej. protección de datos, privacidad, evidencias legales, prácticas de la industria, etc.)

2.

Cumplimiento con la Política de Seguridad y estándares.

3.

Auditorías (planificadas adecuadamente, pruebas adecuadamente protegidas, etc.)

ISO/IEC 27001 (2ª parte) Una organización que basa su SGSI (sistema de gestión de la seguridad de la información o ISMS por sus siglas en ingles) sobre las disposiciones de ISO 27001(BS 7799:2) puede obtener el registro de un organismo acreditado. La organización así demuestra a sus socios que su sistema cumple tanto con los estándares de la norma, como así también con las exigencias de controles para la seguridad que son establecidos según sus propias necesidades.

¿Para qué sirve un SGSI? "Para establecer la política y los objetivos de seguridad de la información de la organización… y para lograr, a continuación estos objetivos".

ISO/IEC 27001 (2ª parte) Un sistema de gestión de la seguridad de la información (SGSI) ofrece un enfoque metodológico para administrar la información sensible con el fin de protegerla. Su ámbito de aplicación incluye a los empleados, los procesos y los sistemas informáticos.

¿A quién va dirigida ISO 17799? ISO 17799/ISO 27001 puede ser utilizada por

cualquier tipo de organización o de compañía, privada o pública. Si la organización utiliza sistemas internos o externos que poseen informaciones confidenciales, si depende de estos sistemas para el funcionamiento normal de sus operaciones o si simplemente desea probar su nivel de seguridad de la información conformándose a una norma reconocida, la norma ISO 17799 – ISO 27001.

¿A quién va dirigida ISO 17799? Tipo de empresa

Tamaño

Objetivo Principal

Pequeña empresa u organismo

Inferior a 200 empleados

Sensibilizar a la dirección general de la seguridad de la información

Empresa media (centralizada o descentralizada)

Inferior a 5000 empleados

Crear una cultura de seguridad global compatible

Empresa muy grande

Superior a 5000 empleados

Obtener una certificación de seguridad

Utilización de la norma La norma ISO 17799 contiene los temas de seguridad que deben tratarse como base de gestión La norma contiene las prácticas necesarias para constituir una política de seguridad de la información Utilización de ISO 27001 para crear un documento referencial de seguridad Interno.