Issuu on Google+

Mejores Pr谩cticas de Seguridad de la Informaci贸n Ing. Jorge Bernardo jbernardo@kwell.net


Nuestra Empresa

Kwell es líder en servicios de seguridad y gestión de riesgos

tecnológicos, sus principales aportes han sido incorporar al mercado los conceptos de Programas de Reducción de Riesgo, la Certificación Internacional de Seguridad de la Información, tanto de organizaciones como de profesionales y la aproximación metodológica al problema de la seguridad. Principales Servicios: Programas de evaluación y reducción de riesgos Auditorias, evaluaciones y desarrollo de políticas de seguridad Implantación de Sistema de Gestión de Seguridad de la Información (SGSI) Desarrollo de políticas de seguridad Servicios de monitoreo Investigación forense Servicio de respuesta a incidentes


Definiciones

“... LA INFORMACIÓN ES UN BIEN ECONÓMICO POR LO CUAL REQUIERE NORMAS DE PROTECCIÓN ADECUADAS ...” ¿Qué es SEGURIDAD?... Es la Administración del Riesgo. La Seguridad es un proceso ... Continuo. Los datos están en constante peligro principalmente por dos causas: errores de los usuarios o empleados y ataques intencionados o fortuitos. No se pueden eliminar los Riesgos.


Ciclo de Vida del Riesgo Hace aparecer

Agente amenaza

Amenaza

Explota

Vulnerabilidad Afecta directamente

Riesgo

Reduce

Activo Exposici贸n Guardia de seguridad Puede ser mitigado con

Lleva a

Y causa una

Puede da帽ar


¿Qué hacer?

Es necesario

Gestionar la seguridad de la información.

Estudiar la ejecución de una

Auditoria de Seguridad

Mediante una Auditoria de Seguridad, pueden identificarse los puntos fuertes y débiles de una organización con respecto al manejo de la seguridad general y de su información y se pueden definir claramente los pasos a seguir para lograr un perfeccionamiento de la misma.


Ventajas de una Auditoria de Seguridad

Mejora sustancialmente la eficiencia en la seguridad general y de la información. Minimiza el riesgo de intrusión en sus sistemas (manuales o informáticos), robos, uso indebido, alteración de información, abuso de privilegios o interrupción de los servicios ofrecidos. Elimina riegos innecesarios. Posibilita la toma de decisiones sobre la seguridad basándose en información más completa. Posibilita la definición de responsabilidades bien diferenciadas. Brinda protección para toda la organización.


¿Cuáles son las Premisas Fundamentales?

Un nivel de seguridad satisfactorio “ahora”, es mejor que un nivel de seguridad perfecto “a largo plazo”. Es imprescindible conocer los propios puntos débiles y evitar riesgos imposibles de cuantificar. Realizar y exigir auditorias periódicas mejoran la salud de los sistemas y previenen ataques e incidentes. En una organización la seguridad es tan fuerte como el punto más débil de la misma, por lo tanto, interesa concentrarse (en un principio al menos) en estos últimos. Un 75% de las agresiones intencionadas son internas a las organizaciones. Lo más productivo es concentrarse en amenazas factibles y conocidas.


Gastos de la Organizaci贸n de Seguridad de la Informaci贸n

Fuente: 2007 CSI Computer Crime and Security Survey


Incidentes en los Ăşltimos doce meses

Fuente: 2007 CSI Computer Crime and Security Survey


Tipos de Ataques en los Ăşltimos doce meses

Fuente: 2007 CSI Computer Crime and Security Survey


Conocer y Declarar Ataques

Fuente: 2007 CSI Computer Crime and Security Survey


La Normativa en el Tiempo 1998 Nuevo estándar nacional certificable

■ Certificable ■ No certificable Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI)

■Código de prácticas para usuarios

1989

BS 7799-2

Revisión por: • NCC (Centro Nacional de Computación) • Consorcio usuarios

■PD0003 Código de prácticas para la gestión de la seguridad de la información

1993

Estándar nacional británico

BS 7799

1995

1999

2002

Revisión y acercamiento a: • ISO 9001 • ISO 14001 • OCDE

Revisión conjunta de las partes 1 y 2

1999

BS 7799-2 :2002

Revisión conjunta de las partes 1 y 2

BS 7799-1 :1999

Estándar Internacional

BS 7799-2 :1999

2005

ISO/IEC 27001 :2005

Estándar Internacional (Fast Track)

ISO/IEC 17799 :2000

2000

Revisión periódica (5 años)

ISO/IEC 17799 :2005

2005


ISO 17799 - Dominios 1. 2. 3. 4. 5. 6. 7. 8.

Política de seguridad. Organización de la Seguridad de la Información. Gestión de Activos. Seguridad de los recursos humanos. Seguridad física y medioambiental. Gestión de las telecomunicaciones y operaciones. Control de accesos a los datos. Adquisición, desarrollo y mantenimiento de los sistemas de Información. 9. Gestión de Incidencias. 10.Gestión de la continuidad de las operaciones de la empresa. 11.Conformidad.


Familia de Normas ISO 2700X


S铆ntesis

La norma ISO 17799 apunta a la etapa de Normalizaci贸n mientras que la norma ISO 27001 a la Certificaci贸n.


¿Por qué y para qué Certificar?

Aseguramos “oficialmente” la disponibilidad, la integridad y la confidencialidad de la información Para garantizarle a nuestros clientes que los procesos están basados en los estándares internacionales de seguridad La existencia de recursos humanos calificados en diferentes rubros de seguridad El factor diferencial del certificado puede ser considerado en licitaciones de nuestros clientes Para crecer en la cadena de valor


Gestión de la Seguridad: SGSI Sistema de Gestión de la Seguridad de la Información (SGSI): Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. Cubre aspectos organizativos, lógicos, físicos, legales... Independiente de plataformas tecnológicas y mecanismos concretos. o Aplicación en todo tipo de organizaciones. Fuerte contenido documental.


Monitoreo vs. Management

Valor (y costo)

U G E eS

IT N MO

D A R ID

d O E OR Refinar, analizar y

Centralización acceso a datos de aplicaciones y sistemas

DATOS

Level 1

ordenar datos (información de seguridad) provenientes de distintas fuentes

MA

GU E eS d T N ME E G A N

Aplicar relevancia de negocios a la información para determinar prioridades de negocios INFORMACIÓN

Level 2

CONOCIMIENTO

Level 3

Information Delivery Maturity Level

D A RID

Actuar con conocimiento real del negocio desde un único lugar a de acuerdo con las necesidades del negocio

ACCION

Level 4


¿Cómo sería el Modelo?


Metodologías Existentes Establecimiento del Proceso de Gestión de Riesgos (cláusula 4.2.1 c) Metodología de Evaluación de Riesgos • Comerciales (COBRA 3, RAM, RA2) • Académicas (OCTAVE, PILAR) Grandes Consultoras (Deloitte, Accenture,….)


¿Qué Metodología elegimos? OCTAVE

® (Operationally Critical Threat, Asset, and Vulnerability Evaluation):

o Es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo, para que una empresa comprenda cuáles son las necesidades de seguridad de la información. o Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos dirigidos a las necesidades de seguridad.. ® The CERT reports to the Software Engineering Institute a non-academic unit of Carnegie Mellon University and was funded primarily by the U.S. Department of Defense, along with a number of other federal civil agencies and other funding comes from the private sector


OCTAVE: Aproximaci贸n


¿Cuáles son los Beneficios para su Organización? Identificar los riesgos de seguridad de información que se podrían prevenir. Aprender a manejar y valorar los riesgos de seguridad de información. Crear una estrategia de protección diseñada para reducir los riesgos de seguridad de información de mayor prioridad. Posicionar su empresa para cumplir con los requerimientos de seguridad de datos y con las leyes y nuevas reglamentaciones.


¿Cuáles son los Beneficios para su Organización? Aproximaciones a la Seguridad o Administración de Vulnerabilidades (Reactivo) - Identificar y solucionar las vulnerabilidades o Administración de Riesgos (Proactivo) – Identificar y administrar riesgos Aproximaciones para Evaluar los Riesgos de la Seguridad de la Información


Resultados

Estrategia de Protección

Organización

Plan de Mitigación

Lista de Acciones

Bienes

Action Items •action 1 •action 2

Acciones a corto plazo


www.kwell.net

Email de contacto: info@kwell.net

Argentina

México

Ciudad Autónoma de Buenos Aires: Nueva York 3394 C1419HDB +54 11 45022391

México Distrito Federal: Bahía de Magdalena 42 CP11590 + 52 55 1055 4849 / 4850

Tomás Liberti 1206 C1086AAB +54 11 1554238674


Mejores Prácticas de Seguridad de la Información