Principios fundamentales de la seguridad de la

información: un enfoque tecnológico

A/C Rosina Ordoqui

Familia de normas ISO 27000

Objetivos

− Conocer la familia de normas ISO 27000− Comprender las aplicaciones de los diferentes módulos

− Proceso de implementación

3

Familia ISO 27000

Orígenes en BS7799 - 2, e ISO 17799

− ISO/IEC 27001 (BS7799 part 2) : Information Security Management System.

− ISO/IEC 27002 (ISO/IEC 17799 & BS7799 part 1): Code of practice

− ISO/IEC 27004 (BS7799-4): Information Security Metrics and Measurement

− ISO/IEC 27005 (BS7799-3): Risk assesment

4

¿Por qué una norma?

Implementación de un programa de ISMS:

− Adecuación a una metodología reconocida internacionalmente especifica sobre seguridad de la información

− Contar con un proceso definido para evaluar, implementar mantener y administrar

− Diferenciación en el mercado

− Satisfacer requerimientos de clientes, proveedores y organismos de contralor 4

¿Por qué una norma?

− Disminución de costos e inversiones a mediano y largo plazo

− Formalizar las responsabilidades operativas y legales de los usuarios tanto internos como externos

− Contemplar disposiciones legales (ley de protección de datos por ejemplo)

− Metodología para administrar los riesgos

55

Modelo de normas ISO aplicado a SGSI

66

Actuar

Planificar

Hacer

Verificar

7

Dominios de la ISO 27001

Se divide en 11 dominios:

− Dominio 1: Política de Seguridad

− Dominio 2: Organization de la Seguridad

− Dominio 3: Administración de Activos

− Dominio 4: Seguridad en RRHH

− Dominio 5: Seguridad física y ambiental

− Dominio 6: Gestión de operaciones y comunicaciones

− Dominio 7: Sistema de control de accesos

− Dominio 8: Adquisición, desarrollo y mantenimiento de sistemas de información

− Dominio 9: Administración de incidentes de seguridad de la información

− Dominio 10: Plan de continuidad de negocio

− Dominio 11: Cumplimiento7

8

Política de Seguridad

Política de Seguridad

Autorización

Legalidad

IntegridadExactitud

Confidencialidad

Disponibilidad

Confiabilidad

Protección Física

Propiedad

EficaciaEficiencia

9

Política de Seguridad

9

TextoManual de Gestión de Seguridad

Política General

Normas

Procedimientos Estándares Técnicos

10

Organización de la Seguridad

Roles y Funciones

Sponsoreo y seguimiento: Dirección de la organización Foro - Comité de Seguridad

Autorización Dueños de datos

Administración Administrador de Seguridad

Definición Area de Seguridad Informática Area legales

Control Auditoria Interna Auditoria Externa

Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas

11

Modelo de Estructura del departamento de SI

– Dentro de TI?– Departamento dependiente de TI?– Rol de Asesoría....

11

DirecciónSI ???

Comercial Operación Sistemas

Organización de la Seguridad

12

Administración de Activos

¿Qué es un activo?

– Identificación de la información mas crítica

– Identificación de los principales riesgos

– Clasificación en base a los riesgos

12

13

Administración de Activos

Identificación de los principales riesgos

– Categorías

• Fraudes informáticos• Ataques externos a las redes• Modificaciones no autorizadas de datos por empleados• Acceso y difusión inoportuna de datos sensibles• Falta de disponibilidad de los sistemas• Software ilegal• Falta de control de uso de los sistemas• Destrucción de información y equipos

13

14

Administración de Activos

Otras categorías de riesgos

• Según su origen» Naturales» Intencionales» No intencionales

• Tipos» Difusión indebida» Alteración no autorizada» Falta de disponibilidad

14

15

Definir principales agentes de riesgo para la información de cada dueño de datos:

• espías o competidores• empleados o ex- empleados desconformes• delincuentes profesionales• terroristas informáticos• hackers, crackers, etc...• clientes• proveedores• operadores bursátiles• empresas asociadas

15

Administración de Activos

16

Clasificación en base a los riesgos

• Análisis de los principales riesgos

• Categorizacion:• Confidencial

• Restringida

• Pública

• Tipo de medio:• Electrónico

• Físico

• Aprobación de los usuarios con acceso a la información y los permisos a otorgar

• Consolidación16

Administración de Activos

17

Seguridad en RRHH

Definición de puestos de trabajo y asignación de recursos

Capacitación de los usuarios

Proceso disciplinario

17

18

Seguridad en RRHH

Definición

Responsabilidades explícitas (en contratos)

Acuerdos de confidencialidad–Empleados–Personal Ocasional–Revisados bajo cambios

Monitoreo

18

19

Recursos Humanos

Capacitación de usuarios:

– Concientizacion:– TODO el personal– Sponsoreado por la Dirección – Asegurar permanencia a lo largo del tiempo– Mecanismos de control– Implementar sanciones

19

20

Recursos Humanos Algunas actividades como ejemplos:

– En persona– Presentaciones gráficas– Videoconferencias– Inducción a ingresantes– Trabajos en grupo con casos prácticos– Reunion con personal clave

– Por escrito– Evaluaciones anuales incluidas en las de desempeño– Firma de conformidad al ingresar– Material gráfico en carteleras y merchandising (tazas, pad’s para los

mouses, etc) 20

21

Recursos Humanos

En sistemas– Mensajes en pantalla de inicio, correos, intranet– Concursos vía sistemas o web

Personal de Sistemas– Seleccionar temas y procedimientos mas críticos– Identificar temas mas sensibles– Identificar fallas mas comunes

21

Definir acciones para los distintos RRHH en relacion a capacitacion y/o conscientización en SI

– Usuarios de sistemas finales– Personal de dpto. de tecnologías de la

información– Comité de seguridad– Gerencia

22

Recursos Humanos

23

Seguridad Física y Ambiental

Proteger

– Sedes – Instalaciones– Información en formato físico

De eventos

– Robos, destrucción– Catástrofes naturales– Accidentes– Acceso no autorizado

23

24

Gestión de Operaciones y Comunicaciones

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información

– En todo el ciclo de vida de los diferentes procesos de gestión de información

– Separación de funciones– Aplicación de técnicas y mejores practicas en la

infraestructura

24

Sistema de Control de Accesos

Control del acceso a la información de acuerdo a los requerimientos del negocio

Política de control de accesos

Reglas de Control de Acceso

“Todo prohibido a menos que sea explícitamente permitido”

Algunos tipos de reglas:

• De uso continuo • Optativas• Condicionales

Adquisición, Desarrollo, y Mantenimiento de Sistemas de Información

• Incorporación de seguridad a los sistemas de información

• Requerimientos identificados

– Controles automáticos o manuales– Contemplar costos de acuerdo a la etapa en que se considera

26

Administración de Incidentes de Seguridad de la Información

• Minimizar el daño producido por incidentes

– Comunicación y concientización del personal

– Comunicación de incidentes:

• Como se realiza la comunicación• Respuesta a incidentes• Retromalimentación• Aprendizaje

• Monitorear y retroalimentar

27

Plan de Continuidad de Negocio

• ¿Por qué es imporetante contar con un plan?

• Principales Etapas

• Clasificación de escenarios de acuerdo a evaluación de impacto– Identificar tipos de desastres– Ponderar su ocurrencia– Fijar alcance a desastres con mayor probabilidad

• Desarrollo de estrategia de recuperación• Implementación• Documentación del plan• Pruebas y mantenimiento

28

• Evaluación de impacto implica:

– Usuarios clave– Funciones críticas– Tiempos de tolerancia– Estimaciones económicas– Funciones a la hora de recuperación

• Selección de estrategia de recuperación

– Elaboración de estrategias y clasificación– Definir alternativas– Analizar costos– Elegir mejores estrategias

29

Plan de Continuidad de Negocio

• Documentación del plan

– Desarrollo de procedimientos técnicos y funcionales– Desarrollo de inventarios

• Pruebas y mantenimiento

Pruebas: Desarrollo de disintos casos Alinear a la realidad en la medida de lo posible

Mantenimiento:

Mecanismo para la actualización Realizar pruebas periódicas

30

Plan de Continuidad de Negocio

Cumplimiento

Requisitos Legales

– Impedir infracciones y violaciones de las leyes vigentes

– Diferentes etapas de sistemas adecuado a requisitos legales.

– Asesoramiento sobre requisitos legales específicos

Identificación de la legislación aplicable

Revisiones de la política de seguridad y la compatibilidad técnica

31

Auditoria de Sistemas

– Optimizar la eficacia del proceso de auditoria y minimizar problemas u obstáculos mediante la utilización de:

• Controles de protección de herramientas de auditoria

• Asegurar integridad del proceso

• Evitar uso inadecuado de las mismas

32

Cumplimiento

Resumen

La norma ISO 27001 nos da un marco completo para comenzar a implementar seguridad de la información en una empresa

Sin importar si realmente se piensa certificar la empresa o no, este marco permite mejorar todos los procesos con respecto a la seguridad de la información

Muchas de las indicaciones no dicen “como” pero indican “que” se debe hacer dejando un amplio espectro para buscar las mejores soluciones particulares para cada caso.

33