Issuu on Google+

PO LITIC AS DE SEGURIDAD INFO RMATIC A

EL MODELO ES LA BASE Por: Daniel Perez Pereyra


Entendiendo un Modelo de Soluciones de Seguridad en Informática Estrategia

Política

Arquitectura

Diseño

Implementación

Cumplimiento Regulaciones Reducir Riesgos Reducir Costos Administrativos Mejorar Eficiencia de Procesos Asegurar Propiedad Intelectual Asegurar Información Cliente Defenderse Contra Dsiputas Legales Retorno de la Inversión

Cumplimiento Regulaciones Reducir Riesgos Limitar Exposición Legal Cumplimiento Personas Observancia y Recurso Reglas Claras Consecuencias Claras Línea Base Para Reglamento

Mejorar Eficiencia de Procesos Reducir Costos Administrativos Costo de Propiedad Uso de las Tecnologías Cumplimiento Estándares Administración Integrada Proceso de Actualización y Soporte Retorno de la Inversión

Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Licenciamiento Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Soporte MultiPlataforma

Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Costo Licenciamiento

Negocio 2

Técnico ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


Voces de la Industria

“Muchas compañías de tecnología de información han desarrollado tecnologías para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologías sólo atienden necesidades específicas dentro de todo el ambiente de seguridad de la información. Pocas compañías tienen desarrolladas tecnologías para integrar, fácilmente, con otras tecnologías…para ayudar a proveer un más uniforme, más controlado y, por tanto, más seguro ambiente operativo.”  Especialista en Seguridad, PricewaterhouseCoopers

3

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


El Modelo es la Aplicación de Estándares

Estándares Políticas de Seguridad y Seguridad Organizacional Clasificación de Activos y su Control Personal de Seguridad

Administración y Operación de Comunicaciones Control de Acceso Desarrollo y Mantenimiento de Sistemas Contingencia “Business Continuity”

Seguridad Física y Ambiental

4

“Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


Riesgos y Controles de Procesos Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento) Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable. RIESGOS Para identificar los riesgos se clasifican en: •De negocio •Financieros •Operativos •De cumplimiento •Fraude

5

ACTIVIDAD

CONTROLES Para identificar los controles se clasifican en: •Informática •Atribuciones •Procedimientos •Documentación •Sistema de información gerencial

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


Matriz de Evaluación de Riesgos Riesgo Remanente (R)

Probabilidad e Impacto del Riesgo (C) CALIFICACION DEL RIESGO P R O B A B I L I D A D

3

Alto

3

2

Medio

2

1

Bajo

1

1

2

3

IMPACTO EN LA ORGANIZACION

PROBABILIDAD DE OCURRENCIA (P.O)

C R I T I C I D A D

D E L R I E S G O

9 6 3 1

2

3

SITUACION ACTUALCONTROL INTERNO

IMPACTO EN LA ORGANIZACIÓN (I)

SITUACION ACTUAL (SA) DEL CONTROL INTERNO

1

Es poco probable que ocurra

1

Sería de bajo impacto

1 Cubre en gran parte el riesgo

2

Es medianamente probable que ocurra

2

Sería de mediano impacto

2 Cubre medianamente el riesgo

Es altamente probable que ocurra

3

3 6

3 No existe ningún tipo de medida

Sería de alto impacto ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


El Estándar de Seguridad - ISO 17799

El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000. El estándar hace referencia a diez aspectos primordiales para la seguridad informática. Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad.

7

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 - Políticas Políticas de Seguridad:

•Documento de la Política de Seguridad •Revisión y Evaluación

Políticas de Seguridad y Seguridad Organizacional

Seguridad Organizacional •Infraestructura

•Ente colegiado de Seguridad Informática •Coordinación de Seguridad Informática •Nombramiento de Responsables de SI •Proceso de autorización para oficinas de SI •Personal especializado en SI •Cooperación entre Organizaciones •Revisión independiente de SI

•Seguridad de Ingreso a Terceros •Identificación de riesgos por Ingreso de 3ros •Requisitos en Contratos con 3ros

•Outsourcing

•Requisitos en Contratos de Outsourcing

8

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 – Clasificación de Activos

Responsabilidad por Activos •Inventario de Activos

Clasificación de Información Clasificación de Activos y su Control

9

•Guías de Clasificación. •Manipulación y marcación de Información

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 - Personal Definición de Roles y Perfiles

•Incluir la Seguridad en la responsabilidad de roles •Política de perfiles en funciones y cargos •Acuerdos de confidencialidad •Términos y condiciones del contrato de trabajo

Entrenamiento de Usuarios •Entrenamiento y Educación en SI

Respuesta a Incidentes de Seguridad y “Malfuncionamiento” Personal de Seguridad

10

•Reportes de Iincidentes de Seguridad •Debilidades de reportes de Seguridad •Reportes de “Malfuncionamiento” de software •Aprendiendo de los incidentes •Proceso Disciplinario

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 – Seguridad Física Areas Seguras

•Perímetro de Seguridad Física •Controles de entrada física •Oficinas de Seguridad •Trabajo en áreas seguras •Areas aisladas de cargue y descargue

Equipos de Seguridad

•Ubicación y proteción de Equipos •Suministros de potencia •Cableados de seguridad •Mantenimiento de equipos •Seguridad de equipos premisas de apagado •Reuso o desecho de equipos

Seguridad Física y Ambiental

11

Controles Generales •Política de limpieza de escritorios y pantallas •Manipulación de Propiedad

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 Administración Procedimientos de Operaciones •Procedimientos de operación documentados •Control de cambio de operaciones •Procedimientos de administración de incidentes •Segregación de obligaciones •Separación de áreas de desarrollo y operaciones •Administración de instalaciones externas

Planeación de Sistemas

Administración de Operaciónes y Comunicaciones

•“Capacity Planning” – Planeamiento de capacidades •Aceptación del sistema

Protección de Software Malicioso •Control de software malicioso

“Housekeeping” – Mantenimiento •Back – Ups de Información •Logs de Operación •Fallas de Logging

Administración de Red •Controles de red

12

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 - Administración Manipulación de Medios y Seguridad

•Administración de medios removibles •Deshecho de medios •Procedimientos de administración de información •Seguridad de la documentación del sistema • obligaciones •Separación de áreas de desarrollo y operaciones •Administración de instalaciones externas

Administración de Operaciónes y Comunicaciones

Intercambio de Información y de Software •Acuerdos de intercambio de software e información •Seguridad de medios en tránsito •Seguridad de Comercio Electrónico •Seguridad de Correo Electrónico •Seguridad de sistemas de oficina electrónicos •Disponibilidad pública de sistemas •Otras formas de intercambio de información

13

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 - Control de Acceso Requerimientos de Negocios para Control de Acceso •Políticas de Control de Acceso

•Administración de Acceso de Usuarios •Registro de Usuarios •Administrración de privilegios •Administración de Constraseñas •Revisión de derechos de acceso de usuarios

Control de Acceso

•Responsabilidad de Usuarios •Utilización de contraseñas •Equipo de usuarios desatendidos

14

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 – Control de Acceso •Control de Acceso a Red

•Políticas de uso de servicios de red •Acceso reforzado •Autenticación de usuarios en conexión externa •Autenticación de nodos •Diagnóstico Remoto de Protección de Puertos •Segregación en redes •Control de Conexión de Redes •Control de Enrutamiento de Redes •Seguridad de servicios de red

Control de Acceso

Control de acceso a Sistemas Operativos

•Identificación automática de terminales •Procedimientos de Log-on a Terminales •Identificación y autenticación de usuarios •Sistema de administración de contraseñas •Uso de utilidades del sistema •Alarma para usuarios de seguridad •“Terminal Time-out” Límites de tiempo a estaciones 15

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 – Control de Acceso •Control de Acceso de Aplicaciones •Restricción de Acceso a información •Aislamiento de sistemas sensitivos

Monitoreo de Uso y Acceso a Sistemas •Loggin por eventos •Identificación automática de terminales •Monitoreo de uso del sistema •Sincronización de reloj

Control de Acceso

•Computación Móvil y Teletrabajo •Computación Móvil •Teletrabajo

16

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 – Desarrollo y Mantenimiento •Requerimientos de Seguridad de Sistemas •Rquerimientos, Análisis y Especificaciones de Seguridad

Seguridad en Aplicaciones •Validación de ingreso de datos •Control de procesamiento •Autenticación de mensajes •Validación de salida de datos

•Controles de Encripción

•Política de uso de controles de encripción •Encripción •Firmas digitales •Servicios de No repudiación •Administración de claves PKI

17

Desarrollo y Mantenimiento de Sistemas

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 – Desarrollo y Mantenimiento

•Seguridad de Archivos

•Control de Sistemas Operativos •Protección de Datos •Control de acceso a librería de programas

Seguridad en Procesos de Desarrollo y Soporte

•Procesos de control de cambios •Revisión técnica al cambio de S.O. •Restricciones en cambios de paquetes de software •Canales y código “Trojan” •Desarrollo de software en “ousorcing”

18

Desarrollo y Mantenimiento de Sistemas

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 - Contingencia

•Administración de la Contingencia o “Business Continuity Management” •Procesos de Administración de Contingencia •Contingencia y Análisis de Impacto •Escritura e Implementación de Planes de Contingencia •Marco de planeación de la Contingencia •Chequeo, Mantenimiento y Reasignación de Planes de Contingencia

Contingencia “Business Continuity”

19

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


ESTANDAR ISO 17799 - Cumplimiento •Cuplimiento de Aspectos Legales

•Identificación de la legislación aplicable •Derechos de Propiedad Intelectual •Salvaguarda de Registros Organizacionales •Protección de Datos y privacidad de información personal •Prevención de ingreso a Edificios de procesos de Información •Regulación de controles de encripción •Obtención de evidencias

•Revisión de la Política de Seguridad y su Cumplimiento Técnico •Cumplimiento de la política de seguridad •Chequeo de cumplimiento técnico

•Cosideraciones de Auditoría •Controles de auditoría de sistemas •Protección de las herramientas de auditoría 20

“Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


GRACIAS 21

ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo Aguilera


normativas de seguridad