Upload
perlallamaz
View
1.972
Download
3
Embed Size (px)
Citation preview
Ciclo de Vida de la Seguridad Informática
Ciclo de vida de la Seguridad Informática
• Ciclo en el cual se mantiene la seguridad informática en la organización.
• Está formada por un conjunto de fases.• Es un método continuo para mitigar el riesgo.
Fases del proceso de seguridad
Como lo define el Sans Institute 2001
Evaluación (Assess): Análisis de Riesgos basados en el
OCTAVE method. Debilidades en Seguridad Informática
(ej., auditorías, evaluación de Vulnerabilidades, pruebas de penetración, revisión de aplicaciones)
Pasos a seguir para prevenir problemas
Fases del proceso de seguridad.Evaluación
• Debilidades:– Determinar el estado de la seguridad en
dos áreas principales: Técnica y No Técnica.– No técnica: Evaluación de políticas.– Técnica: Evaluación de Seguridad física,
diseño de seguridad en redes, matriz de habilidades.
Fases del proceso de seguridad.Evaluación
Otras áreas que se deben revisar: Seguridad exterior Seguridad de la basura Seguridad en el edificio Passwords Ingeniería social Clasificación de los datos Etc.
Fases del proceso de seguridad.Evaluación
• El Análisis de Riesgos nos permitirá:– Realizar acciones:
• Proactivas• Reactivas
– Administrar el Riesgo:• Identificar• Analizar• Evaluar• Tratamiento a seguir
Fases del proceso de seguridad.Evaluación
• Administración de Riesgos:– Método lógico y sistemático de establecer el
contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o procesos para minimizar pérdidas.
– La Administración de Riesgos se puede basar en el Estándar Australiano AS/NZ 4360:1999.
Fases del proceso de seguridad.Evaluación
Fases del proceso de seguridad.Evaluación
Establecer el Contexto e
Identificar los riesgos
Tratar riesgos, Monitorear y
comunicar
Análisis y Evaluación de los
Riesgos
Administración (basada en el estándar AS/NZ 4360)
• Actividades a desarrollar para evitar que sucedan acciones indeseables.
• Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales.
Fases del proceso de seguridad.Diseño
Fases del proceso de seguridad.Diseño
• Necesitamos políticas?– Empleados accesando Internet?– Problemas con el uso de la red o el email?– Empleados utilizando información confidencial o
privada?– Acceso remoto a la organización?– Dependencia de los recursos informáticos?
• Políticas define que prácticas son o no son aceptadas.
• Como concientizar?– En persona, por escrito o través de la Intranet.– Reuniones por departamento.– Publicar artículos, boletines, noticias.– Crear un espacio virtual para sugerencias y
comentarios.– Enviar emails con mensajes de concientización.– Pegar letreros en lugares estratégicos.– Dar premios a empleados.– Exámenes On-line.– Crear eventos de Seguridad Informática.
Fases del proceso de seguridad.Diseño
Logs en Firewalls. Se requiere Sistemas de detección de
Intrusos? O necesitamos Sistemas de
prevención de Intrusos? Firma digital para envío de
documentos?
Fases del proceso de seguridad.Diseño
Personal especializado pone en marcha los controles basados en el diseño desarrollado.
Fases del proceso de seguridad.Implementar
Tecnologías implantadas o planeadas
Implantado PlaneadoAntivirus 99% 0%Firewalls 97% 1%Filtros de email 74% 10%IDS 62% 12%Bloqueo de adjuntos 62% 3%Filtro de Web sites 59% 5%Análisis de Vulnerabilidades 43% 18%Email encriptado 31% 15%
Fuente: ISSA/BSA, 2003
Observar las actividades normales y reaccionar ante incidentes.
Monitoreo y alertas. Las respuestas se basan en el
documento de Políticas de Seguridad definido.
Fases del proceso de seguridad.Administración y soporte
Forma en que se trata el incidente. Encontrar el problema y corregirlo. Prácticas forenses. Definir la responsabilidad y el causante
del problema.
Fases del proceso de seguridad.Administración y soporte
Manejo de Incidentes: Organización, Identificación, Encapsulamiento, Erradicación, Recuperación y Lecciones aprendidas.
Fases del proceso de seguridad.Administración y soporte
Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organización.
Habilidades y experiencia se alcanzan dentro de todo el proceso.
Fases del proceso de seguridad.Capacitación continua
Conclusiones
• Se debe contar con una unidad de seguridad informática en la organización ó con el apoyo de consultoría externa,
• Impulsar un plan de concientización,• No desconocer la importancia de la S.I.,• Utilizar una metodología: “ciclo de vida”,• Acciones deben ser proactivas y no reactivas,• Utilizar estándares de la industria en la
Administración de SI y de los riesgos.