El Círculo Virtuoso g en la de la Seguridad Información Desayuno – Técnico Abril 2010 La seguridad en la información de las empresas y corporaciones, es hoy en día un asunto que a todos preocupa, preocupa pero que no siempre se resuelve satisfactoriamente. La cuestión es que no sólo se trata de implementar un software/hardware. Tampoco únicamente de publicar un manual de políticas. En nuestra experiencia hemos aprendido a integrar las áreas involucradas en un equipo i colaborativo. l b ti Es asíí que h E hemos creado d nuestro t propio i modelo, basado en estándares internacionales, pero con un enfoque práctico… práctico y probado Antecedentes • Evolución de prácticas administrativas – Globalización – Escándalos financieros – Nuevos requerimientos regulatorios (Sarbanes-Oxley) • Amenazas A • Evolución tecnológica – Facilidad de acceso y almacenamiento de información – Búsqueda Bú q d y adopción d ió d de estándares – Velocidad de innovación (Redes Sociales) • Oportunidades O t id d – Pérdidas / fugas de información – Aprovechar mejores prácticas – Problemas P bl en lla continuidad ti id d d de operaciones – Redefinir d f y fformalizar l esquemas actuales de seguridad de la información – Impactos económicos i importantes t t Defining Information Security • Information securityy covers all information processes, physical and electronic, regardless whether they i involve l people l and d technology h l or relationships with trading partners, customers authorities and third customers, parties. • ¿Por qué se le debe dar importancia al tema? • ¿Qué debemos considerar? • ¿Quiénes se deben involucrar? • ¿Cómo se deben involucrar? Al Algunos porqué…. é Aumentan pérdidas y denuncias por delitos informáticos: IC3 y FBI • “El monto por pérdidas relacionadas a los delitos informáticos en Estados Unidos se duplicó p durante 2009, al rebasar los $550 millones de dólares, de acuerdo al último reporte Internet Crime Report 2009, liberado por el Internet Crime Complaint Center (IC3).” • El 92.02% de las denuncias provinieron de Estados Unidos, 1.7% de Canadá, 0.96% del Reino Unido, 0.59% de Australia, 0.42% de la India. Mientras que México acaparó 0.16% de las denuncias, arriba de países como Sudáfrica y Filipinas, lo cual incluyeron al país de habla hispana entre las 10 naciones que más denuncias ingresan ante el Centro. Centro ” http://www.netmedia.info/security/aumentan-perdidas-y-denuncias-ic3-fbi Algunos g porqué…. p q Robo de información a ONU, India y Dalai Lama apunta a China • “Las evidencias “L id i apuntan t hacia h i ell territorio t it i chino hi como la ubicación desde donde se perpetró un ataque coordinado para sustraer información …” • “De acuerdo con los investigadores del Monitor de Información Bélica de Citizen Lab, que hicieron público el hallazgo del ataque, les llevó ocho meses monitorear a los atacantes. Encontraron que los hackers tenían en su poder información clasificada l ifi d de d gobiernos, bi instituciones i i i académicas y de empresas.” http://www.netmedia.info/security/robo-de-informacion-onu-india-dalai-lama-apunta-a-china Algunos g porqué…. p q Impunidad impulsa cibercrimen en el mundo • "Un Un reporte de la firma PandaLabs afirma que durante 2010 se mantendrá una tendencia de crecimiento de códigos maliciosos, cibercrimen y robos de información.” • “…los troyanos se mantienen como los códigos maliciosos preferidos por los cibercriminales, pues son los que mayor beneficio económico entregan a través del robo de identidad y hurto de datos confidenciales.” • “Junto con el alto beneficio económico, los expertos de la compañía í afirmaron fi que la l falta f l de d sanciones i más á severas para los cibercriminales y el fácil acceso a herramientas de desarrollo de troyanos mantendrán el incremento en la permanencia de estos códigos maliciosos a lo largo de 2010.” 2010. http://www.netmedia.info/security/impunidad-impulsa-cibercrimen-en-el-mundo Algunos g porqué…. p q “…Plan de continuidad de negocios” • “El 37 37.5% 5% d de llos negocios i no estaban t b preparados d para hacer frente a la contingencia provocada en México por la influenza humana AH1N1, de acuerdo con cifras oficiales citadas por Alcatel Alcatel-Lucent.” L cent ” http://www.netmedia.info/networking/ofrecen-plan-de-continuidad-de-negocios Algunos porqué…. S Servidores id d bases de b de d datos: d t caramelos l para hackers h k • “Información sensible y mala gestión en seguridad los convierte en objetivos tentadores.” tentadores. • “Las bases de datos albergan los datos confidenciales más fáciles de vender de una compañía: listas de clientes, la nómina y muchos otros inventarios estructurados que significan información sensible. Los administradores de las bases de datos no suelen ser duchos en prácticas de seguridad y las propias bases de datos están a menudo ligadas g a aplicaciones p web q que han resultado fáciles de asaltar.” • “En su estudio anual sobre intrusiones, el equipo ‘forense’ de computación t ió d de Verizon V i B i Business iinformó f ó que en 2008 llas b bases de datos constituyeron el 30% de las intrusiones. Peor aún, las intromisiones en las bases de datos son el 75% de todos los reportes que se notifican como penetrados. http://www.informationweek.com.mx/analysis/servidores-de-bases-de-datos-caramelos-para-hackers/ Al Algunos que d debemos b considerar……. id - Organización de la Seguridad Administrar la implementación y el mantenimiento de la Seguridad g de Información dentro de la organización, asignando roles y responsabilidades. – Administración Ad i i ió de d Activos A i Lograr y mantener un nivel de protección p otecc ó adecuado de la a información o ac ó y activos organizacionales – Seguridad de RH Asegurar que los empleados, contratistas y personal externo sean las personas adecuadas p p para desempeñar p los roles que se les han asignado, conozcan sus responsabilidades y obligaciones g en la organización, g estén conscientes de las amenazas y preocupaciones de Seguridad de Información, estén preparados para apoyar la Política de Seguridad (reduciendo así el riesgo de error humano) y que el término o cambio de empleo se realice de forma f ordenada. Al Algunos que d debemos b considerar……. id – Seguridad Física y Ambiental Prevenir acceso físico no autorizado, daño e interferencia a la información, interrupción de actividades, así como pérdidas, daños, robo o compromiso de activos de la organización. – Admón. de Comunicaciones y Operaciones Asegurar la operación, minimizar el g de fallas,, detectar actividades no riesgo autorizadas, mantener la integridad y disponibilidad de los centros de procesamiento de información, software y redes. – Control de Accesos Controlar el acceso a la información, asegurando el acceso de usuarios autorizados y previniendo acceso a usuarios no autorizados a los sistemas de información, centros de procesamiento, redes,, sistemas operacionales p yp procesos de negocio, con el fin de prevenir robo, mal uso o compromiso de la información organizacional. Al Algunos que d debemos b considerar……. id – Admisión, Desarrollo y M t i i t a Sistemas Mantenimiento Si t – Administración de la C ti id d del Continuidad d l Negocio N i Asegurar que la seguridad sea parte integral g de los sistemas de información, protegiendo la confidencialidad, autenticidad e integridad de la información. Contrarrestar las interrupciones a las operaciones del negocio y asegurar su restablecimiento oportuno, protegiendo los procesos críticos de desastres o fallas en los sistemas de información. – Administración de Incidentes de Seguridad de Información – Normatividad Asegurar que los eventos y debilidades de Seguridad de Información sean comunicados oportunamente para realizar la aplicación de medidas correctivas en base a una efectiva y consistente administración de incidentes en Seguridad de Información. Asegurar el cumplimiento de leyes leyes, estatutos, regulaciones y obligaciones contractuales, así como de los requerimientos de seguridad seguridad. Primeras conclusiones: 1 La Información es un 1. n acti activo o importante de la empresa 2 La Seguridad de Información es tema 2. relevante de toda la organización 3 Se requiere tener un modelo que 3. administre este activo ¿C ál es lla b ¿Cuál base d de un b buen gobierno bi en Seguridad de Informacion? • Cuatro C pilares: il – Compromiso de la Alta Dirección – Visión y Estrategia – Estructura para la administración de Seguridad de Información – Entrenamiento y Concientización ¿Cómo? Compromiso de la Alta Dirección • Formalizar las inquietudes de la alta administración sobre los riesgos en seguridad de información en una política que esté basada en mejores prácticas y estándares internacionales • Establecer E t bl un proceso y mecanismos i d donde d lla alta administración tenga un rol relevante en la difusión, actualización e implementación de la política Visión y Estrategia • Desarrollar modelo efectivo para mitigar los riegos en seguridad de información • Basarse en estándares internacionales y mejores prácticas adaptándolas a la madurez de la empresa • Darle prioridad a lo que representa mayor amenaza de acuerdo a los objetivos de la empresa p • Establecer un modelo operativo dinámico y flexible que facilite la continuidad y mantenga el interés • Establecer los roles requeridos así como los conocimientos y habilidades necesarios Algunos estándares a considerar …….. P i id d en Base Prioridad B a Riesgos Ri ……… Risk Assessment • threats / likelihood • vulnerabilities / exploitation • assets / impact • risk / countermeasures Test & Review • scanning • audit of controls Operational Security • patches t h • incident handling • training Risk Mitigation • safeguard implementation • additional controls Estructura para la administración de la seguridad de Información ¿Proyecto? ¿ oceso? ¿Proceso? Definición Desarrollo P Promoción ió Seguimiento Definición Política Lineamientos Estándares Procedimientos Auditoría Avance Implementación p E i Di Equipo Directivo ti Definición Equipo de especialistas Auditoría Avance Areas Funcionales Entrenamiento y Concientización • Capacitación Ejecutiva • Capacitación y Certificación de equipo de especialistas • Entrenamiento a empleados • Incorporación p en p planes de inducción • Difusión en medios normales de la empresa, por ejemplo tableros de avisos, intranet • Participación P ti i ió con cápsulas á l d de iinformación f ió en juntas directivas importantes Este modelo organiza el esfuerzo mediante: Generación de expectativas, involucramiento y compromiso. Generación de medios para asegurar un esfuerzo permanente. p 1) Involucrando a la alta dirección para validar políticas y conseguir que se promuevan j para p 2)) Creando un comité ejecutivo involucrar, validar y difundir. 3) Organizando especialistas en seguridad g y administración de riesgo, g , en un equipo técnico de trabajo interdisciplinario (entre empresas o departamentos), que genera, d fi e iimplementa define l t llos li lineamientos. i t Este modelo organiza el esfuerzo mediante: Generación de medios para asegurar un esfuerzo permanente 4) Integrando auditores para revisar avances como garantía de vigilancia sobre la evolución del modelo. 5) Asegurando g cubrir estándares internacionales 6) Utilizando el software/hardware / adecuado al caso 7) Estableciendo métricas indicadoras d do p pertinentes. Este modelo organiza el esfuerzo mediante: …Generación de medios para asegurar un esfuerzo permanente 8) Mediante mecanismos que permitan superar los principales obstáculos a la permanencia en la seguridad de la información: - Madurez en la cultura de la seguridad. - Comunicación ((reuniones de avance)) entre los niveles. - Certificaciones para contar o con o un equipo q po técnico capacitado. Comentarios Finales No es un proceso sencillo ill Es un proceso de mejora continua Requiere colaboración de toda la organización Requiere de recursos tanto humanos como financieros ¾ Es un proceso importante y crece su relevancia en la medida que las cadenas de valor en la empresa p crecen y los mercados se hacen globales ¾ ¾ ¾ ¾ El Círculo Virtuoso de la Seguridad en la Información