COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Transcripción

1 COBIT 4.1 DS5 Garantizar la Seguridad de los Sistemas By Juan Antonio Vásquez

2 La necesidad de mantener la integridad de la información y proteger los activos de TI, requiere de un proceso de administración de la seguridad. Este proceso incluye establecer y mantener roles y responsabilidades de seguridad, políticas, estándares y procedimientos de TI. La administración de seguridad también incluye monitorear la seguridad y pruebas periódicas, así como realizar acciones correctivas sobre las debilidades o incidentes de seguridad identificados. Una efectiva administración seguridad protege todos los activos de TI para minimizar el impacto en el negocio causado por vulnerabilidades o incidentes de seguridad.

3 Los Criterios de Información que se cumplen para satisfacer los requerimientos de calidad, fiduciarios o seguridad del negocio son, primarios: Confidencialidad, Integridad. Secundarios: Disponibilidad, Cumplimiento, Confiabilidad. Las áreas del enfoque de Gobierno de TI que se cubren son, primarias: Administración de Riesgos. Asimismo, los Recursos Esenciales de TI que se requieren son: Aplicaciones, Información, Infraestructura y Personas.

4 El proceso satisface el requerimiento del negocio de TI para mantener la integridad de la información y de la infraestructura de procesamiento y minimizar el impacto de las vulnerabilidades e incidentes de seguridad. Para ello se enfoca en definir políticas, procedimientos y estándares de seguridad de TI y en monitorear, detectar, reportar y solucionar las vulnerabilidades e incidentes de seguridad. Se logra con el entendimiento de los requerimientos, vulnerabilidades y amenazas de seguridad. La administración de identidades y autorizaciones de los usuarios de forma estandarizada. Probando la seguridad de forma regular.

5 DS5.1 Administración de la Seguridad de TI Administrar la seguridad de TI al nivel más alto apropiado dentro de la organización, de manera que las acciones de administración de la seguridad estén en línea con los requerimientos del negocio. DS5.2 Plan de Seguridad de TI Asegurar que el plan está implementado en las políticas y procedimientos de seguridad, junto con las inversiones apropiadas en los servicios, personal, software y hardware. Comunicar las políticas y procedimientos de seguridad a los interesados y a los usuarios.

6 DS5.3 Administración de Identidad Asegurar que los usuarios (internos, externos y temporales) y su actividad en todos los sistemas se identifican de manera única. DS5.4 Administración de Cuentas del Usuario Los procedimientos deben aplicarse a todos los usuarios, incluyendo administradores (usuarios privilegiados), usuarios externos e internos, para casos normales y de emergencia.

7 DS5.5 Pruebas, Vigilancia y Monitoreo de la Seguridad Garantizar que la implementación de la seguridad en TI sea probada y monitoreada de forma pro-activa. La seguridad en TI debe ser reacreditada periódicamente para garantizar que se mantiene el nivel seguridad aprobado. DS5.6 Definición de Incidente de Seguridad Definir claramente y comunicar las características de incidentes de seguridad potenciales para clasificarlos propiamente y tratados por el proceso de gestión de incidentes y problemas.

8 DS5.7 Protección de la Tecnología de Seguridad Garantizar que la tecnología relacionada con la seguridad sea resistente al sabotaje y no revele documentación de seguridad innecesaria. DS5.8 Administración de Llaves Criptográficas Determinar que las políticas y procedimientos para organizar la generación, cambio, revocación, destrucción, distribución, certificación, almacenamiento, captura, uso y archivo de llaves criptográficas estén implantadas, para garantizar la protección de las llaves contra modificaciones y divulgación no autorizadas.

9 DS5.9 Prevención, Detección y Corrección de Software Malicioso Poner medidas preventivas, detectivas y correctivas (en especial contar con parches de seguridad y control de virus actualizados) para proteger los sistemas de la información y a la tecnología contra malware (virus, gusanos, spyware, correo basura). DS5.10 Seguridad de la Red Usar técnicas de seguridad y procedimientos de administración asociados (firewalls, dispositivos de seguridad, segmentación de redes y detección de intrusos, etc.) para autorizar acceso y controlar los flujos de información desde y hacia las redes.

10 DS5.11 Intercambio de Datos Sensitivos Las transacciones de datos sensibles se intercambian solo a través de una ruta o medio con controles para proporcionar autenticidad de contenido, prueba de envío, prueba de recepción y no repudio del origen.

11 Matriz RACI Auditoría debe ser Consultada en las seis actividades.

12 Modelo de Madurez Nivel 0 ó No Existente cuando [ ] las responsabilidades y la rendición de cuentas no están asignadas. No hay reportes de seguridad de TI ni un proceso de respuesta para resolver brechas de seguridad de TI. Nivel 1 o Inicial o Ad Hoc cuando [ ] la seguridad de TI se lleva a cabo de forma reactiva. No se mide la seguridad de TI. Las brechas de seguridad de TI ocasionan respuestas con acusaciones personales, debido a que las responsabilidades no son claras.

13 Nivel 2 o Repetible pero Intuitivo cuando [ ] no se analiza la información relevante que producen aunque los sistemas. Los reportes de la seguridad de TI son incompletos, engañosos o no aplicables. La seguridad de TI es vista como responsabilidad y disciplina de TI. Nivel 3 o Definido cuando [ ] las responsabilidades de la seguridad de TI están asignadas y entendidas, pero no continuamente implementadas. Existe un plan de seguridad de TI y existen soluciones de seguridad motivadas por un análisis de riesgo.

14 Nivel 4 o Administrado y Medible cuando las responsabilidades de seguridad de TI se asignan, administran e implementan claramente. Regularmente se realiza un análisis de impacto y de riesgos. Los KGIs y KPIs ya están definidos pero no se miden aún. Nivel 5 u Optimizado cuando la seguridad TI es responsabilidad del negocio y la gerencia de TI y está integrada con los objetivos de seguridad del negocio. Se atienden inmediatamente los incidentes de seguridad con procedimientos formales de respuesta soportados por herramientas automatizadas. La información sobre amenazas y vulnerabilidades se recolecta y analiza sistemáticamente. Se implementan oportunamente los controles para mitigar riesgos.