Upload
waydi-ferney-farfan-diaz
View
483
Download
10
Embed Size (px)
Citation preview
1
Seguridad en Redes Telemáticas.
Sistemas de Gestión de la Seguridad. ISO 17799 y
UNE 71502.
SGSI
2
1.- Introducción
1.1.- Glosario
1.2- Problemática de seguridad y orígenes de ISO 17799.
1.3.- Definición de ISO 17799
2.- Estructura de la norma
2.1.- Dominios de control y objetivos.
3.- Aplicación de ISO 17799
3.1.- Auditoría
3.2.- Consultoría
3.3.- Implantación. Ejemplo.
4.- Ventajas.
5.- SGSI en España: UNE 71502:2004
6.- Conclusiones.
INDICE
3
1.- Introducción. Glosario.
• Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
• Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos.
• Riesgo: Posibilidad de que una amenaza se materialice.
• Impacto: Consecuencia sobre un activo de la materialización de una amenaza.
4
• Control: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
• BSI: Instituto Británico de Normas Técnicas (British Standard Institute)
• ISO: Organización de Regulación Internacional de Normas Técnicas.
• AENOR: Asociación Española de Normalización y Certificación. Organismo certificador español.
1.- Introducción. Glosario.
5
• Auditoría:– Examen sistemático de los estados de cualquier naturaleza de una
empresa u organización.
• Consultoría:– Servicio prestado por un tercero independiente y calificada en la
investigación de problemas relacionados con politica, organización, procedimientos y métodos: Recomendación de medidas apropiadas y prestación de asistencia en la aplicación de dichas recomendaciones.
1.- Introducción. Glosario.
6
• Establecer qué se entiende por seguridad.
• Diferentes criterios de evaluación de la seguridad:
– Internos a una organización.
– Sectoriales
– Nacionales
– Internacionales
1.- Introducción. Problemática de la seguridad.
7
• La seguridad de la información se define como la preservación de:
– Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso.
– Integridad: Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento.
– Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
1.- Introducción. Problemática de la seguridad.
8
• 1995 – El BSI publica la norma BS 7799: código de buenas prácticas para la gestión de la seguridad de la información.
• 1998 – El BSI publica BS 7799-2, especificaciones para los SGSI.
• 2000 – Tras la revisión de ambas partes surge
ISO/IEC 17799.
• 2002 – La norma ISO 17799 se adopta como UNE 17799.
• 2004 –La norma se establece como UNE 71502.
1.- Introducción. Orígenes de ISO 17799.
9
• Objetivo ISO 17799: Proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.
• Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE.
1.- Introducción. Definición ISO 17799.
10
• UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:
1. Política de seguridad.2. Aspectos organizativos para la seguridad.3. Clasificación y control de activos.4. Seguridad ligada al personal.5. Seguridad física y del entorno.6. Gestión de comunicaciones y operaciones.7. Control de accesos.8. Desarrollo y mantenimiento de sistemas.9. Gestión de continuidad del negocio.10.Conformidad con la legislación.
2.- Estructura de la norma.
11
• De estos diez dominios se derivan:
- 36 objetivos de control (resultados que
se esperan alcanzar mediante la implementación de controles)
- 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).
2.- Estructura de la norma.
12
• Niveles de seguridad:
– Lógica: Confidencialidad, integridad y disponibilidad del software y datos de un SGI.
– Organizativa: Relativa a la prevención, detección y corrección de riesgos.
– Física: Protección de elementos físicos de las instalaciones: servidores, PCs…
– Legal: Cumplimiento de la legislación vigente.
En España: LOPD (Ley Orgánica de Protección de Datos).
2.- Estructura de la norma.
13
2.- Estructura de la norma.
14
• 1.- POLÍTICA DE SEGURIDAD (S. Organizativa)
– Dirigir y dar soporte a la gestión de la seguridad de la información.
– Alta dirección: política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la información.
2.- Estructura de la norma. Dominios de Control
15
• 2.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD (S. Organizativa)
– Gestionar la seguridad de la información dentro de la organización.
– Mantener la seguridad de los activos accedidos por terceros.
– Mantener la seguridad de la información si la responsabilidad de su tratamiento pasa a otra organización.
– Enfoque multidisciplinar: La seguridad no sólo es un aspecto técnico.
2.- Estructura de la norma. Dominios de Control
16
• 3.- CLASIFICACIÓN Y CONTROL DE ACTIVOS.
(S. Organizativa)
– Mantener una protección adecuada sobre los activos de la organización.
– Asegurar un nivel de protección adecuado a los activos de información.
– Inventario: Cada activo debe tener un nivel de protección de acuerdo a su criticidad.
2.- Estructura de la norma. Dominios de Control
17
• 4.- SEGURIDAD LIGADA AL PERSONAL. (S. Organizativa)
– Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.
– Asegurar que los usuarios son conscientes de las amenazas Y riesgos, y que están preparados para sostener la política de seguridad de la organización.
– Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.
2.- Estructura de la norma. Dominios de Control
18
• 5.- SEGURIDAD FISICA Y DEL ENTORNO. (S. Física)
– Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.
– Evitar pérdidas, daños o comprometer los activos así como la
interrupción de las actividades de la organización.
– Prevenir las exposiciones a riesgo o robos de información y de
recursos de tratamiento de información.
– Areas de trabajo de la organización y sus activos protegidas en función de su criticidad. Posibles riesgos: robo, incendio …
2.- Estructura de la norma. Dominios de Control
19
• 6.- GESTION DE COMUNICACIONES Y OPERACIONES
(S. Lógica)
– Minimizar el riesgo de fallos en los sistemas.
– Proteger la integridad del software y de la información.
– Mantener la integridad y la disponibilidad de los servicios de
tratamiento de información y comunicación.
– Asegurar la salvaguarda de la información en las redes y la
protección de su infraestructura de apoyo. Firewalls.
– Prevenir la pérdida, modificación o mal uso de la información
intercambiada entre organizaciones.
2.- Estructura de la norma. Dominios de Control
20
• 7.- CONTROL DE ACCESOS. (S. Lógica)
– Controlar los accesos a la información.
– Evitar accesos no autorizados a los sistemas de información.
– Evitar el acceso de usuarios no autorizados.
– Protección de los servicios en red.
– Evitar accesos no autorizados a ordenadores.
– Evitar el acceso no autorizado a la información contenida en los sistemas.
– Detectar actividades no autorizadas.
– Garantizar la seguridad de la información cuando se usan
dispositivos de informática móvil y teletrabajo.
2.- Estructura de la norma. Dominios de Control
21
• 8.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS.
(s. Lógica)
– Asegurar que la seguridad está incluida dentro de los sistemas de información.
– Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.
– Proteger la confidencialidad, autenticidad e integridad de la
información.
– Mantener la seguridad del software y la información de la
aplicación del sistema.
2.- Estructura de la norma. Dominios de Control
22
• 9.- GESTIÓN DE CONTINUIDAD DEL NEGOCIO.
(S. Organizativa)
– Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.
– Planes de contingencia probados y revisados periodicamente.
2.- Estructura de la norma. Dominios de Control
23
• 10.- CONFORMIDAD CON LA LEGISLACIÓN.
(S. Legal)
– Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.
– Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.
2.- Estructura de la norma. Dominios de Control
24
3.- Aplicación de ISO 17799
• 3.1.- AUDITORÍA.• Trabajo de auditoría en 4 niveles:
– Seguridad lógica.– Seguridad física.– Seguridad organizativa.– Seguridad legal.
Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.
25
3.- Aplicación de ISO 17799
• 3.2.- CONSULTORÍA.– Conociendo el nivel de cumplimiento actual, es
posible determinar el nivel mínimo aceptable y el nivel objetivo en la organización:
• Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad necesarias para trabajar con la información corporativa.
• Nivel objetivo: Estado de seguridad de referencia
para la organización,con un alto grado de cumplimiento ISO 17799. Previo a la Certificación UNE 71502.
26
3.- Aplicación de ISO 17799
• 3.3.- IMPLANTACIÓN. EJEMPLO.
• ISO 17799 no es una norma tecnológica.
– Redactada de forma flexible.
– Implantación en todo tipo de organizaciones sin importar su tamaño o sector de negocio.
27
3.- Aplicación de ISO 17799
• 3.3.- IMPLANTACIÓN. EJEMPLO.
• Dominio de control: Gestión de comunicaciones y operaciones
– Objetivo de control: proteger la integridad del software y de la informacion.
• Control: Controles contra software malicioso.
“Se deberían implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concienciar a los usuarios”.
28
3.- Aplicación de ISO 17799
• 3.3.- IMPLANTACIÓN. EJEMPLO.
• Tras un trabajo de Consultoría se establecería:
– Normativa de uso de software: definición y publicitación en la Intranet.
– Filtrado de contenidos: X - Content Filtering v3.4.
– Antivirus de correo: Y – Antivirus v2.0.
– Antivirus personal: Z - Antivirus v4.5.
29
4.- Ventajas.
– Aumento de la seguridad efectiva de los sistemas de información.
– Garantías de continuidad del negocio.
– Correcta planificación y gestión de la seguridad.
– Mejora contínua a través del proceso de auditoría interna.
– Incremento de los niveles de confianza de los clientes.
– Aumento del valor comercial y mejora de la imagen de la
organización.
– CERTIFICACIÓN UNE 71502.
30
5.- SGSI en España: UNE 71502:2004
• Marco general del SGSI:– La organización debe establecer y mantener un SGSI
documentado.
• Proceso de Certificación (AENOR):– Certificación del SGSI conforme a la Norma UNE
71502:2004 implantación de los controles descritos en la norma UNE-ISO/IEC 17799.
– Procesos de certificación en las empresas de mayor tamaño: MAGERIT, (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas).
31
5.- SGSI en España: UNE 71502:2004• Fases proceso de Certificación (AENOR):
– Solicitud de la certificación: cumplimentar cuestionario(Empresa).
– Análisis de la documentación: Informe de deficiencias de la documentación (AENOR).
– Visita previa para analizar el SGSI: Informe de la visita previa (AENOR).
– Auditoría del SGSI:• Informe de disconformidades (AENOR).
• Plan de acciones correctivas (Empresa).
– Evaluación y decisión: Auditoría extraordinaria, en caso de no cumplimiento de los requisitos de certificación (Empresa).
– Emisión del certificado.
– Auditorías de seguimiento anuales.
– Auditoría de renovación al tercer año.
32
5.- SGSI en España: UNE 71502:2004
• Modelo PDCA: – Plan-Do-Check-Act (Planificar, Hacer, Verificar, Actuar)
33
6.- Conclusiones.
• ISO 17799: norma internacional. Recomendaciones para realizar la gestión de la seguridad de la información, adoptada en España como norma UNE-ISO/IEC 17799 (UNE 71502).
• Estructura: 10 dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.
• Implantación ISO 17799: Consultoría que adapte los requerimientos de la norma a las necesidades de cada organización concreta.
• Ventaja principal ISO 17799: primer paso hacia la certificación según UNE 71502.
• La seguridad TOTAL no existe.