Ciclo de Vida de la Seguridad Informรกtica
Ciclo de vida de la Seguridad Informática
• Ciclo en el cual se mantiene la seguridad informática en la organización. • Está formada por un conjunto de fases. • Es un método continuo para mitigar el riesgo.
Fases del proceso de seguridad Como lo define el Sans Institute 2001
Fases del proceso de seguridad.
Evaluación
Evaluación (Assess):
Análisis de Riesgos basados en el OCTAVE method. Debilidades en Seguridad Informática (ej., auditorías, evaluación de Vulnerabilidades, pruebas de penetración, revisión de aplicaciones) Pasos a seguir para prevenir problemas
Fases del proceso de seguridad.
Evaluación
• Debilidades: • Determinar el estado de la seguridad en dos áreas principales: Técnica y No Técnica. • No técnica: Evaluación de políticas. • Técnica: Evaluación de Seguridad física, diseño de seguridad en redes, matriz de habilidades.
Fases del proceso de seguridad.
Evaluación
Otras áreas que se deben revisar: Seguridad exterior Seguridad de la basura Seguridad en el edificio Passwords Ingeniería social Clasificación de los datos Etc.
Fases del proceso de seguridad.
Evaluación
• El Análisis de Riesgos nos permitirá: • Realizar acciones: • Proactivas • Reactivas
• Administrar el Riesgo: • • • •
Identificar Analizar Evaluar Tratamiento a seguir
Fases del proceso de seguridad.
Evaluación
• Administración de Riesgos: • Método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o procesos para minimizar pérdidas. • La Administración de Riesgos se puede basar en el Estándar Australiano AS/NZ 4360:1999.
Fases del proceso de seguridad.
Evaluaciรณn Establecer el Contexto e Identificar los riesgos
Anรกlisis y Evaluaciรณn de los Riesgos
Tratar riesgos, Monitorear y comunicar
Administraciรณn (basada en el estรกndar AS/NZ 4360)
Fases del proceso de seguridad. Diseño • Actividades a desarrollar para evitar que sucedan acciones indeseables. • Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales.
Fases del proceso de seguridad. Diseño • Necesitamos políticas? • Empleados accesando Internet? • Problemas con el uso de la red o el email? • Empleados utilizando información confidencial o privada? • Acceso remoto a la organización? • Dependencia de los recursos informáticos?
• Políticas define que prácticas son o no son aceptadas.
Fases del proceso de seguridad. Diseño • Como concientizar? • • • • • • • • •
En persona, por escrito o través de la Intranet. Reuniones por departamento. Publicar artículos, boletines, noticias. Crear un espacio virtual para sugerencias y comentarios. Enviar emails con mensajes de concientización. Pegar letreros en lugares estratégicos. Dar premios a empleados. Exámenes On-line. Crear eventos de Seguridad Informática.
Fases del proceso de seguridad. Diseño
Logs en Firewalls. Se requiere Sistemas de detección de Intrusos? O necesitamos Sistemas de prevención de Intrusos? Firma digital para envío de documentos?
Fases del proceso de seguridad. Implementar ď Ž
Personal especializado pone en marcha los controles basados en el diseĂąo desarrollado.
TecnologĂas implantadas o planeadas Fuente: ISSA/BSA, 2003
Antivirus Firewalls Filtros de email
IDS Bloqueo de adjuntos Filtro de Web sites AnĂĄlisis de Vulnerabilidades Email encriptado
Implantado Planeado 99% 0% 97% 1% 74% 10% 62% 12% 62% 3% 59% 5% 43% 18% 31% 15%
Fases del proceso de seguridad. Administración y soporte
Observar las actividades normales y reaccionar ante incidentes. Monitoreo y alertas. Las respuestas se basan en el documento de Políticas de Seguridad definido.
Fases del proceso de seguridad. Administración y soporte
Forma en que se trata el incidente. Encontrar el problema y corregirlo. Prácticas forenses. Definir la responsabilidad y el causante del problema.
Fases del proceso de seguridad. Administración y soporte
Manejo de Incidentes: Organización, Identificación, Encapsulamiento, Erradicación, Recuperación y Lecciones aprendidas.
Fases del proceso de seguridad. Capacitación continua
Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organización. Habilidades y experiencia se alcanzan dentro de todo el proceso.