Seguridad Informática - Instituto Iberoamericano de Mercados de

Anuncio
Seguridad Informática
Necesidad del Uso de Estándares
IIMV
Quito, Ecuador
Agenda






Introducción.
Obstáculos para implementar Seguridad
Informática
Administración de la Seguridad Informática
Ciclo de vida de la Seguridad Informática
Conclusiones
Propuesta para los miembros del IIMV
Introducción

La Información es un activo que como
cualquier otro activo importante del
negocio, tiene valor para la
organización, consecuentemente
necesita “Protección Adecuada”.
Introducción

Tipos de Información






Impresos o escritos en papel.
Almacenada electrónicamente.
Transmite por correo o en forma
electrónica.
La que se muestra en videos corporativos.
Lo que se habla en conversaciones.
Estructura corporativa de información.
Introducción


La implementación de esquemas de
Administración de la Seguridad
Informática en la institución debe
seguir estándares y mejores prácticas
del mercado.
Es una necesidad del negocio ante
las circunstancias actuales.
Introducción
Obstáculos
Obstáculos







Falta de conciencia de usuarios finales.
Presupuesto.
Falta de apoyo de la alta gerencia.
Falta de Entrenamiento.
Pobre definición de responsabilidades.
Falta de herramientas.
Aspectos legales.
Administración de la Seguridad
Informática
AS/NZS ISO/IEC 17799:2001



Conjunto de controles que dan una
serie de recomendaciones en el
desarrollo de un proceso de
Administración de la Seguridad
Informática.
Son 127 controles estructurados en
diez grandes áreas.
Genera confianza entre las
instituciones que se relacionan.
AS/NZS ISO/IEC 17799:2001

Porqué está siendo utilizado?




Único SASI que es aceptado
globalmente.
Ayuda a reducir las primas de seguros.
Para mejorar la Seguridad de la
Información.
Eleva la confianza de clientes y aliados
en nuestra organización.
AS/NZS ISO/IEC 17799:2001

Donde está siendo utilizado como un
estándar nacional?

Australia/New Zealand

Brazil

Czech Republic

Finland

Iceland

Ireland

Netherlands

Norway

Sweden
AS/NZS ISO/IEC 17799:2001
AS/NZS ISO/IEC 17799:2001

Las 10 áreas que cubre son:






Políticas de Seguridad,
Seguridad Organizacional,
Clasificación y Control de Activos,
Seguridad del Personal,
Seguridad Física y ambiental,
Administraciones de las Operaciones y
Comunicaciones,
AS/NZS ISO/IEC 17799:2001

Las 10 áreas que cubre son:
Control de accesos,
 Desarrollo y mantenimiento de Sistemas,
 Administración de la Continuidad del
negocio,
 Cumplimiento de aspectos legales.

Áreas que cubre el Estándar
1. Políticas de Seguridad

Objetivo:


Proveer dirección y soporte administrativo para
la seguridad de Información.
La administración superior debe definir una
política clara y apoyar la Seguridad de la
Información a través de la creación y
mantenimiento de una política de seguridad
de la información a lo largo de la
organización.
1. Políticas de Seguridad

Documento de Políticas de Seguridad.


Debe ser aprobado por la administración,
publicado y comunicado a todos los empleados.
Revisión y Evaluación.

La política debe ser administrada por una
persona quién es responsable de su
mantenimiento y revisión de acuerdo a un
proceso definido.
2. Seguridad Organizacional

Infraestructura de la Seguridad de la
Información:

Objetivo:


Administrar la seguridad de la Información
dentro de la organización.
Consejo directivo o un grupo designado
por este debería de asumir la
responsabilidad de la seguridad de
información.
2. Seguridad Organizacional

Infraestructura de la Seguridad de la
Información:



Deben ser claramente definidas las
responsabilidades para la protección de activos
de información ó físicos y procesos de
seguridad.
Se deben establecer procesos de autorización
para nuevas facilidades de procesamiento de la
información.
Es recomendable disponer de la asesoría de un
especialista de seguridad (para propósitos de
evaluación o de investigación de incidentes).
2. Seguridad Organizacional

Seguridad en el acceso de terceros:

Objetivo:



Mantener la seguridad de los dispositivos de
procesamiento de la información
organizacional y activos de información al
que acceden terceras partes.
Revisar los tipos de acceso (físicos y
lógicos).
Contratos deben incluir controles.
3. Clasificación y Control de activos

Accountability para los activos:

Objetivo:


Mantener protecciones apropiadas para los activos
organizacionales.
Inventario de Activos


Ayudan a asegurar que hay una efectiva protección de
activos.
Cada activo deberá ser claramente identificado y se
debe documentar la propiedad y clasificación de
seguridad, además de su ubicación actual.
3. Clasificación y Control de activos

Clasificación de la Información:

Objetivo:



Asegurar que los activos de información reciben un
apropiado nivel de protección.
Controles a la información deben tomar en
cuenta las necesidades del negocio para
compartir o restringir información.
La responsabilidad de definir la clasificación de
un ítem de información debe permanecer con la
persona nombrada como dueña de la
información.
4. Seguridad del Personal

Seguridad en la definición de trabajos:

Objetivo:



Reducir los riesgos de errores humanos, robo,
fraude o mal uso de las facilidades organizacionales.
Todos los empleados y usuarios externos de
los servicios de procesamiento de la
información deberían firmar un acuerdo de
confidencialidad.
El acuerdo de confidencialidad debe hacer
notar que la información es confidencial o
secreta.
4. Seguridad del Personal

Entrenamiento de usuarios:

Objetivo:



Asegurarse que los usuarios conocen de las
amenazas y preocupaciones de la Seguridad de la
Información.
Todos los empleados de la organización
deberán recibir entrenamiento apropiado en los
procedimientos y políticas organizacionales.
La regularidad dependerá de la actualización o
los cambios que se den en la organización.
4. Seguridad del Personal

Respuestas a eventos de seguridad:

Objetivo:



Minimizar el daño del mal funcionamiento de software
o de un incidente de seguridad y monitorear y
aprender de tales incidentes.
Debe establecerse un procedimiento formal de
reporte de incidentes como de respuesta a
incidentes.
Usuarios deberán reportar cualquier debilidad
de seguridad observada o sospechas que
tengan de los sistemas o servicios.
5. Seguridad Física y ambiental

Respuestas a eventos de seguridad:

Objetivo:



Prevenir el acceso no autorizado, daño e interferencia
a la información y premisas del negocio.
Los elementos que forman parte del
procesamiento de información sensitiva o crítica
del negocio deberán ser resguardados y
protegidos por un perímetro de seguridad
definido con controles apropiados de entrada.
Los equipos deben ser protegidos de caídas de
electricidad y otras anomalías eléctricas.
6. Administración de
Comunicaciones y Operaciones

Responsabilidades y procedimientos
operacionales:

Objetivo:



Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información.
Los procedimientos de operación identificados
por la política de seguridad deberán ser
documentados y revisados constantemente.
Los cambios en los sistemas y elementos de
procesamiento de información deben ser
controlados.
6. Administración de
Comunicaciones y Operaciones

Responsabilidades y procedimientos
operacionales:

Se deben establecer procedimientos y
responsabilidades para el manejo de incidentes,
como:


Procedimientos que cubran todos los tipos potenciales
de incidentes de seguridad (pérdidas de servicio,
negación de servicio, datos incorrectos, brechas de
confidencialidad.
Procedimientos para Planes de Contingencia, Análisis
e Identificación de las causas de un incidente,
Colección de pistas de auditoría, Reporte a las
autoridades, etc.
6. Administración de
Comunicaciones y Operaciones

Responsabilidades y procedimientos
operacionales:



Acciones a seguir para recuperarse de problemas de
seguridad y corrección de fallas en los sistemas, (las
acciones de emergencias deben ser documentadas en
detalle).
La segregación de tareas es un método de
reducir los riesgos del mal uso (accidental o
deliberado) de los sistemas.
Áreas de desarrollo de Sistemas y Pruebas
deben estar separadas de los Sistemas en
Producción.
6. Administración de
Comunicaciones y Operaciones

Planeamiento y Aceptación de Sistemas:

Objetivo:



Minimizar los riesgos de fallas en los sistemas.
Se debe monitorear y proyectar los
requerimientos de capacidad a fin de asegurar
que hay disponible una adecuada capacidad de
procesamiento y almacenamiento.
Deben establecerse criterios de aceptación para
nuevos sistemas de información, actualizaciones
y nuevas versiones y se deben definir pruebas
para llevarlas a cabo antes de su aceptación.
6. Administración de
Comunicaciones y Operaciones

Protección contra Software Malicioso:

Objetivo:


Proteger la integridad del Software y la Información.
Controles contra Software Malicioso:



Política para el cumplimiento con licencias de software
y prohibir el uso de software No autorizado.
Política para proteger contra los riesgos asociados al
obtener archivos o software de redes externas.
Instalación y actualización regular de Antivirus y
software scaneador de computadoras cono una medida
preventiva.
6. Administración de
Comunicaciones y Operaciones

Controles contra Software Malicioso:






Revisar regularmente del software y contenido de datos de los
sistemas que soportan los sistemas críticos del negocio.
Revisar cualquier archivo electrónico contra virus.
Revisar los documentos adjuntos en correos electrónicos así
como cualquier archivo que se baje de Internet contra código
malicioso.
Procedimientos y responsabilidades administrativas para lidiar con
la protección de virus en los sistemas, entrenamiento y reporte y
recuperación de ataques.
Planes de Continuidad del Negocio para recuperarse ante ataques
de virus.
Procedimientos para verificar todas la información en relación con
software malicioso y verificar que los boletines de advertencia son
verdaderos.
6. Administración de
Comunicaciones y Operaciones

Soporte Continuo.

Objetivo:


Mantener la integridad y disponibilidad del
procesamiento de la información y servicios de
comunicación..
Hacer copias en forma regular de la información
esencial del negocio y del software. Se pueden
utilizar los siguientes controles:


Documentación de los Backups, copias adicionales y
almacenadas en una localidad remota.
Los Back-ups se deben proteger físicamente y contra
las condiciones del ambiente.
6. Administración de
Comunicaciones y Operaciones

Administración de Redes.

Objetivo:



Asegurar la protección de la información en las redes
así como de su infraestructura.
Los administradores de la red deben
implementar controles que aseguren a los datos
en la red de accesos no autorizados.
También se deben implementar controles
adicionales para proteger los datos sensitivos
que pasan sobre redes públicas.
6. Administración de
Comunicaciones y Operaciones

Seguridad y Manejo de los medios.

Objetivo:




Prevenir el daño a activos e interrupciones a actividades
del negocio.
Se deben definir procedimientos para la protección
de documentos, discos, cintas, bases de datos,
etc., del robo o acceso no autorizado.
Los medios que no se ocupen más en la empresa
deben ser desechados en forma segura.
La documentación de sistemas puede contener
información sensitiva por lo que debe ser
almacenada con seguridad.
6. Administración de
Comunicaciones y Operaciones

Intercambio de información y software.

Objetivo:


Prevenir la pérdida, modificación o mal uso de la
información intercambiada entre organizaciones.
El correo electrónico presenta los siguientes
riesgos:





Vulnerabilidad de los mensajes ó acceso no autorizado.
Vulnerabilidad a errores (direcciones incorrectas).
Cambio en los esquemas de comunicación (más
personal).
Consideraciones legales (prueba de origen).
Controles para el acceso remoto al correo.
7. Controles de Acceso

Requerimientos del Negocio para el control de
accesos:
 Objetivo:



Controlar el acceso a la información.
Las reglas y derechos para el control de acceso de
usuarios o grupos de usuarios deben estar bien claras en
un documento de políticas de acceso.
Administración del Acceso a Usuarios
 Objetivo:


Prevenir el acceso no autorizado a Sistemas de
Información.
Deben existir procedimientos formales para el registro y
eliminación de usuarios.
7. Controles de Acceso


Deben existir procesos formales para el control de los
password.

Usuarios deben seguir buenas prácticas de seguridad en
la selección y uso de passwords.
Control de Acceso a la red
 Objetivo:



Protección de los servicios de la red.
Se debe controlar el acceso a servicios internos y
externos de la red.
Control de acceso al Sistema operativo
 Objetivo:


Prevenir el acceso no autorizado a la computadora.
Restringir el acceso a recursos de la computadora.
7. Controles de Acceso

Control de Acceso a Aplicaciones.
 Objetivo:


Monitorear el uso y acceso a los sistemas


Prevenir el acceso no autorizado a información
mantenida en los Sistemas de Información.
Los sistemas deben ser monitoreados para detectar
desviaciones de las políticas de control de accesos y
grabar eventos específicos para proveer de evidencia en
caso de incidentes de seguridad.
Computación Móvil.
 Objetivo:

Asegurar la seguridad de la información cuando se
utilizan dispositivos móviles.
8. Desarrollo y Mantenimiento de
Sistemas

Requerimientos de Seguridad en los Sistemas.
 Objetivo:


Seguridad en las Aplicaciones


Asegurar que la seguridad es incluida en los Sistemas
de Información.
Prevenir la pérdida, modificación, o mal uso de los datos
en las aplicaciones.
Seguridad en los archivos del Sistema.
 Objetivo:

Asegurar que los proyectos de TI y actividades de
soporte son conducidas en una manera segura.
9. Administración de la Continuidad
del Negocio

Objetivo:


Actuar ante interrupciones de las actividades del
Negocio y proteger procesos críticos del negocio de
los efectos de fallas o desastres considerables..
Marco de trabajo para el planeamiento de las
actividades del negocio.

Un solo marco de trabajo de los planes de continuidad del
negocio deben ser mantenidos para asegurarse que
todos son desarrollados en forma consistentes , pruebas
y mantenimiento.

Se deben probar con frecuencia los Planes de
Continuidad.
10. Cumplimiento

Objetivo:
Evitar brechas o violaciones a cualquier ley
criminal o civil, regulatoria o contractual.
Procedimientos apropiados deben ser
implementados para asegurarse del
cumplimiento de las restricciones legales en el
uso de materiales con respecto a cuales
pueden ser derechos de propiedad intelectual.


Ciclo de Vida de la Seguridad
Informática
Ciclo de vida de la Seguridad
Informática



Ciclo en el cual se mantiene la seguridad
informática en la organización.
Está formada por un conjunto de fases.
Es un método continuo para mitigar el
riesgo.
Fases del proceso de seguridad
Como lo define el Sans Institute 2001
Fases del proceso de seguridad.
Evaluación

Evaluación (Assess):



Análisis de Riesgos basados en el
OCTAVE method.
Debilidades en Seguridad Informática
(ej., auditorías, evaluación de
Vulnerabilidades, pruebas de
penetración, revisión de aplicaciones)
Pasos a seguir para prevenir
problemas
Fases del proceso de seguridad.
Evaluación

Debilidades:



Determinar el estado de la seguridad
en dos áreas principales: Técnica y No
Técnica.
No técnica: Evaluación de políticas.
Técnica: Evaluación de Seguridad
física, diseño de seguridad en redes,
matriz de habilidades.
Fases del proceso de seguridad.
Evaluación

Otras áreas que se deben revisar:
Seguridad exterior
 Seguridad de la basura
 Seguridad en el edificio
 Passwords
 Ingeniería social
 Clasificación de los datos
 Etc.

Fases del proceso de seguridad.
Evaluación

El Análisis de Riesgos nos permitirá:

Realizar acciones:
Proactivas
 Reactivas


Administrar el Riesgo:
Identificar
 Analizar
 Evaluar
 Tratamiento a seguir

Fases del proceso de seguridad.
Evaluación

Administración de Riesgos:


Método lógico y sistemático de establecer
el contexto, identificar, analizar, evaluar,
tratar, monitorear y comunicar los riesgos
asociados con una actividad, función o
procesos para minimizar pérdidas.
La Administración de Riesgos se puede
basar en el Estándar Australiano AS/NZ
4360:1999.
Fases del proceso de seguridad.
Evaluación
Establecer el
Contexto e
Identificar los
riesgos
Análisis y
Evaluación de
los Riesgos
Tratar riesgos,
Monitorear y
comunicar
Administración (basada en el estándar AS/NZ 4360)
Fases del proceso de seguridad.
Diseño


Actividades a desarrollar para evitar
que sucedan acciones indeseables.
Configuraciones de Seguridad
efectivas basadas en estándares de la
industria y organizacionales.
Fases del proceso de seguridad.
Diseño

Necesitamos políticas?






Empleados accesando Internet?
Problemas con el uso de la red o el email?
Empleados utilizando información confidencial o
privada?
Acceso remoto a la organización?
Dependencia de los recursos informáticos?
Políticas define que prácticas son o no son
aceptadas.
Fases del proceso de seguridad.
Diseño

Como concientizar?









En persona, por escrito o través de la Intranet.
Reuniones por departamento.
Publicar artículos, boletines, noticias.
Crear un espacio virtual para sugerencias y
comentarios.
Enviar emails con mensajes de concientización.
Pegar letreros en lugares estratégicos.
Dar premios a empleados.
Exámenes On-line.
Crear eventos de Seguridad Informática.
Fases del proceso de seguridad.
Diseño




Logs en Firewalls.
Se requiere Sistemas de detección de
Intrusos?
O necesitamos Sistemas de
prevención de Intrusos?
Firma digital para envío de
documentos?
Fases del proceso de seguridad.
Implementar

Personal especializado pone en
marcha los controles basados en el
diseño desarrollado.
Tecnologías implantadas o
planeadas
Fuente: ISSA/BSA, 2003
Antivirus
Firewalls
Filtros de email
IDS
Bloqueo de adjuntos
Filtro de Web sites
Análisis de Vulnerabilidades
Email encriptado
Implantado Planeado
99%
0%
97%
1%
74%
10%
62%
12%
62%
3%
59%
5%
43%
18%
31%
15%
Fases del proceso de seguridad.
Administración y soporte



Observar las actividades normales y
reaccionar ante incidentes.
Monitoreo y alertas.
Las respuestas se basan en el
documento de Políticas de Seguridad
definido.
Fases del proceso de seguridad.
Administración y soporte




Forma en que se trata el incidente.
Encontrar el problema y corregirlo.
Prácticas forenses.
Definir la responsabilidad y el causante
del problema.
Fases del proceso de seguridad.
Administración y soporte

Manejo de Incidentes:
Organización,
 Identificación,
 Encapsulamiento,
 Erradicación,
 Recuperación y
 Lecciones aprendidas.

Fases del proceso de seguridad.
Capacitación continua


Debe ser continuo con todo el Ciclo de
Vida en la medida que se extienda en
toda la organización.
Habilidades y experiencia se alcanzan
dentro de todo el proceso.
Conclusiones






Se debe contar con una unidad de seguridad
informática en la organización ó con el apoyo
de consultoría externa,
Impulsar un plan de concientización,
No desconocer la importancia de la S.I.,
Utilizar una metodología: “ciclo de vida”,
Acciones deben ser proactivas y no reactivas,
Utilizar estándares de la industria en la
Administración de SI y de los riesgos.
Propuesta de Proyecto “Harmonizacion de
la Seguridad Informática”
Objetivo Estratégico: Implementar esquemas de Seguridad Informática
basados en Metodologías y estándares de la Industria de tal forma que se
forme una base de conocimiento común entre las instituciones miembro del
Instituto Iberoamericano de Valores.
1.
Conformar un equipo de trabajo en Seguridad
informática Regional, bajo la Coordinación del
Instituto Iberoamericano de Valores, integrado por
profesionales en tecnología de información de los
BC’s.
2.
Elaborar guía para realización del Diagnóstico
Estándares de Seguridad
Propuesta de Proyecto “Harmonizacion de
la Seguridad Informática”
Desarrollar diagnóstico de seguridad informática en las
instituciones.
3.
•
•
•
•
Ejecutado por los técnicos de informática designados para el desarrollo
del diagnóstico, según guía proporcionada para tal fin.
Desarrollar el diagnóstico en cada institución.
Crear una matriz regional con los hallazgos.
Presentar hallazgos, conclusiones y recomendaciones en la próxima
reunión de informáticos del IIMV.
Elaborar prototipo de Seguridad Informática y presentación al
foro de la reunión del IIMV para su aprobación
4.
•
•
Revisar documento desarrollado por técnicos en Seguridad Informática
Tomando como base diagnóstico realizado, se tomarán todas aquellas
acciones y recomendaciones que consideren más adecuadas a fin de
implementarlas en cada institución.
Estándares de Seguridad
Propuesta de Proyecto “Harmonizacion de
la Seguridad Informática”
Elaborar planes de Trabajo institucionales de
implementación de dichas recomendaciones
5.

6.
Producto de las Políticas y estándares anteriores, cada
institución deberá implementar las medidas preventivas y
correctivas del caso con el objetivo de nivelar los
esquemas de seguridad informática
Implementar y dar seguimiento al Plan de
Trabajo, propio de cada Institución.
Estándares de Seguridad
Consultas?
Descargar