SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Transcripción

1

2 SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

3 Seguridad de la información? Vs Seguridad? ISO/IEC ISO/IEC > SGSI Organización de Estándares Internacionales/Comisión Electrotécnica Internacional

4 Seguridad de la información? Vs Seguridad? Seguridad -> Calidad de seguro -> Exento de peligro 1 Medidas, mecanismos, herramientas para prevenir, detectar, mitigar, corregir, recuperar, sancionar = (Almacenar + procesar + comunicar)información Computadores [1] Real Academia Española

5 Proteger Activos Informáticos Información ( Datos ) Infraestructura computacional Usuarios Que se debe tener en cuenta: Leyes o marco legal Tipos de organización Servicios ofrecidos Derechos de autor Usuarios / control de acceso

6 De que depende que la SI sea exitosa? Directivos, ejecutivo o alta dirección sea consciente de la necesidad de la SI. Conocimientos y capacidades de los responsables de SI (SGSI) Socialización, aceptación, concientización de los usuarios. Equipos computacionales o sistemas de información ( Implementación de las políticas ) Delimitación clara de permisos y responsabilidades Identificación clara de vulnerabilidades, riesgos, fronteras, posibles atacantes, puntos críticos, amenazas, etc. SGSI debe ser ajustado a la realidad del negocio.

7 Objetivos de la Seguridad Minimizar y gestionar riesgos Detectar y mitigar problemas o amenazas Garantizar Recursos Limitar perdidas Recuperación Aplicar los correctivos (Sanciones, rediseño de políticas, parches, correctivos, etc.)

8 Planos de actuación de la S.I. Generalidades de la Seguridad Plano Humano Sensibilizacion y formacion Funciones, obligaciones, y responsabilidades del personal Control y supervision de los empleados Plano Organización Politicas, Normas y Procedimientos Planes de contingencia y Respuesta a incidentes Relaciones con terceros (Clientes, proveedores, etc) Plano Tecnico Selección, instalación, configuración y actualización de soluciones HW y SW Criptografía Estandarización de productos Desarrollo Seguro de Aplicaciones Plano Legislación Cumplimiento y adaptación a la legislación vigente: Ley 1273 de 2009

9 Servicios S.I. Confidencialidad Datos Almacenados en un equipo Datos guardados en dispositivos de backup Datos transmitidos Autenticación De entidad (usuario o equipo) Mutua o unilateral Del origen de los datos Integridad Protección a la replica Reclamación de origen Reclamación de propiedad No repudio De origen y/o destino Confirmación de la prestación de un servicio Referencia temporal Autorización Auditabilidad Disponibilidad del servicio Anonimato en el uso de los servicios Certificación mediante terceros de confianza

10 Consecuencias de la falta de seguridad? Principio de Defensa en profundidad

11 Sistema de Gestión de Seguridad de la Información Procesos + procedimientos + recursos + políticas + organizacional Que se debe contemplar: 1. Formalizar 2. Riesgos 3. PDCA 4. Certificar Persona Tecnología Legislación Organización

12 Sistema de Gestión de Seguridad de la Información CISO - Chief Information Security Officer Etapas de madures de un SGSI. Etapa 1: Implantación de medidas básicas seguridad por sentido común Etapa 2: Cumplimiento de la legislación vigente Leyes Acuerdos Reglamento Etapa 3: Gestión global de la seguridad de la información Políticas Metodologías Riesgos Etapa 4: Certificación de la Gestión de la Seguridad ISO 27000

13 Fases de implantación S.G.S.I. 1. Establecimiento del SGSI Inicio del Proyecto Asegurar el compromiso de la Dirección. Seleccionar y entrenar a los miembros del equipo inicial que participan en el proyecto.

14 Fases de implantación S.G.S.I. 1. Establecimiento del SGSI Definición del SGSI Identificación del alcance del SGSI y de la Política de Seguridad del SGSI. Recopilar los documentos de seguridad existentes en la organización. Preparar los procedimientos relacionados con la gestión y la operación del SGSI.

15 Fases de implantación S.G.S.I. 1. Establecimiento del SGSI Análisis de Riesgos Definición de una metodología para la clasificación de los riesgos. Creación de un inventario de activos. Evaluación de los activos a ser protegidos. Identificación y evaluación de amenazas y vulnerabilidades de los activos. Cálculo del valor de riesgo asociado a cada activo.

16 Fases de implantación S.G.S.I. 1. Establecimiento del SGSI Gestión de Riesgos Identificar y evaluar alternativas posibles para tratar los riesgos. Seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable. Redactar el documento de declaración de aplicabilidad (documento de selección de controles), que debe ser firmado por Dirección. Identificar los riesgos residuales que han quedado sin cubrir y obtener la firma de Dirección. Preparar el Plan de Tratamiento de Riesgos Preparar procedimientos para implantar los controles.

17 Fases de implantación S.G.S.I. 2. Implantación y Operación Implantación del SGSI Implantar el plan de tratamiento de riesgos. Implantar políticas y procedimientos del SGSI. Implantar los controles seleccionados. Formación y sensibilización Impartir formación entre los empleados sobre los nuevos procedimientos que se van a implantar. Concienciar a la plantilla de la importancia que el proyecto de seguridad tiene para la Organización.

18 Fases de implantación S.G.S.I. 3. Monitorización y Revisión Monitorización del SGSI Ejecutar procedimientos de monitorización para detectar errores de proceso, identificar fallos de seguridad de forma rápida y acciones a realizar. Revisión del SGSI Revisiones periódicas de la política y alcance del SGSI, así como de su eficacia. Revisiones de los niveles de riesgos residuales y riegos aceptables. Auditorías internas/externas del SGSI.

19 Fases de implantación S.G.S.I. 4. Mantenimiento y Mejora Mantenimiento del SGSI Comunicar resultados de las auditorías a las partes interesadas. Adoptar acciones correctivas y preventivas. Mejora Continua Medir el rendimiento del SGSI. Implantar las mejoras identificadas en las revisiones del SGSI.

20 S.G.S.I. Generalidades de la Seguridad

21 Exigencias de ISO para S.G.S.I. Implicación de la Dirección. Alcance del SGSI y política de seguridad. Inventario de todos los activos de información. Metodología de evaluación del riesgo. Identificación de amenazas, vulnerabilidades e impactos. Análisis y evaluación de riesgos. Selección de controles para el tratamiento de riesgos. Aprobación por parte de la dirección del riesgo residual. Declaración de aplicabilidad. Plan de tratamiento de riesgos.

22 Exigencias de ISO para S.G.S.I. Implementación de controles, documentación de políticas, procedimientos e instrucciones de trabajo. Definición de un método de medida de la eficacia de los controles y puesta en marcha del mismo. Formación y concienciación en lo relativo a seguridad de la información a todo el personal. Monitorización constante y registro de todas las incidencias. Realización de auditorías internas. Evaluación de riesgos periódica, revisión del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI.

23 Documentación de ISO para S.G.S.I. La documentación del SGSI deberá incluir: Política y objetivos de seguridad. Alcance del SGSI. Procedimientos y controles que apoyan el SGSI. Descripción de la metodología de evaluación del riesgo. Informe resultante de la evaluación del riesgo. Plan de tratamiento de riesgos.

24 Documentación de ISO para S.G.S.I. Procedimientos de planificación, manejo y control de los procesos de seguridad de la información y de medición de la eficacia de los controles. Registros. Declaración de aplicabilidad (SOA -Statement of Applicability-). Procedimiento de gestión de toda la documentación del SGSI.

25 Puntos claves de ISO para S.G.S.I. Hay una serie de controles clave que un auditor va a examinar siempre en profundidad: Política de seguridad. Asignación de responsabilidades de seguridad. Formación y capacitación para la seguridad. Registro de incidencias de seguridad. Gestión de continuidad del negocio. Protección de datos personales. Salvaguarda de registros de la organización. Derechos de propiedad intelectual.

26 Análisis y gestión de riesgos en un sistema informático 1. Recursos (Activos a proteger) Hardware Software Elementos de comunicaciones Información Oficinas y lugares de trabajo Personas Imagen y reputación

27 Análisis y gestión de riesgos en un sistema informático 2. Amenazas (Evento accidental o provocado que puede ocasionar daño o perdida de recursos) Origen Amenazas naturales Amenazas de agentes externos Amenazas de agentes internos Intencionalidad Accidentes Errores Actuaciones malintencionadas

28 Análisis y gestión de riesgos en un sistema informático 3. Vulnerabilidades (Debilidad que puede ser aprovechada por una amenaza y ocasionar perdidas) Fallos en los sistemas -> Defectos de ubicación, instalación, configuración, y/o mantenimiento Aspectos Organizativos > Falta o mala definicion Factor Humano -> Formacion, cultura, responsabilidad Equipos Software Condiciones ambientales Se define una escala cuantitativa o cualitativa para definir el nivel de la vulnerabilidad de los activos

29 Análisis y gestión de riesgos en un sistema informático 3. Incidentes de seguridad -> Materialización de una amenaza Interrupción de servicios Perdidas físicas Perdidas de activos Perdidas financieras 4. Impactos -> Medición o valoración del daño de un incidente de seguridad Bajo Medio Alto

30 Análisis y gestión de riesgos en un sistema informático 5. RIESGO: Probabilidad de que una amenaza se materialice sobre una vulnerabilidad, causando un determinado impacto en la organización 6. Defensa, salvaguardas, o medidas de seguridad Medida de seguridad activa Prevención Detección Medida de seguridad pasiva -> Corrección Defensas físicas y defensas lógicas 7. Transferencia del riesgo a terceros

31 Análisis y gestión de riesgos en un sistema informático Activos Explota Vulnerabilidades Producen Reduce Amenazas Reduce Salvaguardas Reduce Impacto Selección de Implantación Nivel de riesgo Genera

32 Gracias por atención Jean Polo Cequeda Olago 18 de Abril de 2012 copyletf GNU/GPLv3