Upload
dinhkhanh
View
220
Download
6
Embed Size (px)
Citation preview
Aspectos Generales Sobre
Seguridad de la Información
M&T Consulting
Calle Las Begonias N° 552, Ofi. 47
Centro Financiero San Isidro.
Central: (511) 719-5670 / 719-5671
www.myt.com.pe
Eric Morán Añazco
MBA, PMP, Lead Auditor ISO 27001
Consulting Division Manager
M&T Consulting
AGENDA
Por qué concientizar
Activo de información
Amenaza, vulnerabilidad y riesgo de SI
¿Qué es seguridad de la Información?
Objetivo de la seguridad de la información
Controles de seguridad de la información
Normas, estándares y buenas prácticas en
seguridad de la información
Incidentes de seguridad de la información
Ingeniería Social
Concienciación en seguridad
Aspectos generales del SGSI
La Importancia de Concientizar
Un grupo de hackers
anunció que publicará
algunos correos
electrónicos del primer
ministro Óscar Valdés
Dancuart,.La primera de
tres partes, que ya está en
Internet, contiene 1.000
documentos del Gobierno
Peruano, “desde archivos
PDF y Power Point de
tratados del Gobierno, o de
simples manuales”.
elcomercio.pe - Martes 07 de febrero de 2012 - 09:00 am
El impacto económico, político y social de los ataques cibernéticos ha
dejado de ser “posible” para convertirse en “real”.
Hacker robó 2. 000 registros de
clientes (mayo 2011) http://www.computerworlduk.com/
Se propaga un malware en un
spam de Facebook
http://www.symantec.com/
2011
Información de 100
millones de usuarios se vio
comprometida
Computerworld (US) 2011
Hasta tres millones de
cuentas se vio
comprometida
The New York Times
2011
Estafas a jubilados por
tramitadores falsos, que
conocen los datos privados de
los empleados.
El Comercio 2011
Publican contraseñas de
más de 55.000 usuarios de
El Comercio 2012
Celulares y documentos de altos
funcionarios diplomáticos fueron
difundidos por hackers
El Comercio 2012
'Hacker' vulneró portal
de la PNP
El Comercio 2010
Cable de Wikileaks revela
peligrosas infidencias en
SBS
El Comercio 2011
Incluso entidades preparadas con vastos controles tecnológicos
de seguridad han sido vulneradas el último año
La Importancia de Concientizar
La Importancia de Concientizar
La Importancia de Concientizar
• Elaboración de programas
únicos.
• Bombardeo de información a los
usuarios.
• Falla en el seguimiento del
programa.
Errores Comunes
Los activos de información adoptan diversas formas:
– Documentos en papel: contratos, guías
– Software: aplicativos y software de sistemas
– Dispositivos físicos: computadoras, medios removibles
– Personas: clientes, personal, etc.
– Imagen y reputación de la Institución: marca
– Servicios: comunicaciones, internet, energía.
Activo de Información es todo lo que es o contiene información y
tiene valor para la organización. Si la información no está contenida,
no es un activo de información. No confundir con activos fijos.
Activo de Información
¿Debo considerar a la caja fuerte como un activo?
¿Son activos de Información?
Clasificación Marcado Ubicación
Valorización Propietario Custodio
Propiedades de un Activo de Información
• Causa potencial de un incidente no deseado que puede resultar en daño al sistema o a la organización o a sus activos
• Puede ser accidental o intencional
• Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades:
– Desastres naturales: terremoto, inundación, etc.
– Humanas: errores de mantenimiento, huelga, errores de usuario
– Tecnológicas: caída de red, sobre tráfico, falla de hardware
Amenazas
Amenazas por Desastres Naturales
• Incendios
• Terremotos
• Avalancha / huayco
• Inundaciones
• Otros: tornado, viento, volcán,
tsunami, tormenta de invierno,
tormenta solar, tormenta
eléctrica/relámpago
Amenazas Tecnológicas
• Fuga de información
– Crecimiento de uso de equipos móviles
(laptops, PDA’s, celulares)
• Virus y malware
– Aumento de complejidad y eficacia de
virus y herramientas de hacking.
• Falla de sistemas de información (software
y hardware)
Amenazas causadas por Humanos
• Divulgación de
información por email
• Sabotaje
• Terrorismo
• Hackers
• Ingeniería Social
Vulnerabilidades
• Una vulnerabilidad es una debilidad o ausencia de control en la seguridad de información de una organización
• Por sí sola no causa daños
• Si no es administrada, permitirá que una amenaza se concrete
• Ejemplo:
– Ausencia de personal clave
– Sistema de energía inestable
– Cableado desprotegido
– Falta de conciencia de seguridad
– Ausencia de sistema extinguidor de incendios
Riesgos en seres humanos
Amenaza Vulnerabilidad
Consecuencia
Riesgos en Documentos
Amenaza Vulnerabilidad
Consecuencia
Riesgos en Sistemas Informáticos
Amenaza Vulnerabilidad
Consecuencia
Riesgos en Activos Físicos
Amenaza Vulnerabilidad
Consecuencia
Riesgo de seguridad de la información
Posibilidad que una amenaza concreta pueda
explotar una vulnerabilidad para causar una
pérdida o daño en un activo de información.
(ISO 27001).
Valor del activo Amenaza Vulnerabilidades x
Impacto Probabilidad de
ocurrencia x
Seguridad de la información
Acceso cuando
sea requerido
Disponibilidad
Sólo acceden
quienes están
autorizados.
Confidencialidad
La información y su
procesamiento son
exactos y completos.
Integridad
Preservación de la confidencialidad, integridad y disponibilidad de la
información, así mismo, otras propiedades como la autenticidad, no rechazo,
contabilidad y confiabilidad también pueden ser consideradas” ISO/IEC 27002
Información
Objetivo de la Seguridad de Información
– Asegurar la continuidad de las
operaciones de la Institución
– Minimizar los daños a la organización
en caso de pérdida o revelación no
autorizada de información.
– Maximimar el retorno de las inversiones
y las oportunidades de negocio
La seguridad de la información no es un proceso tecnológico, es un “PROCESO DE GESTION”
ISO/IEC 27002
Control de Seguridad de Información
Herramienta de la gestión del riesgo, incluido
políticas, pautas, estructuras organizacionales,
que pueden ser de naturaleza administrativa,
técnica, gerencial o legal. NOTA: Control es también usado como sinónimo de salvaguardia o contramedida
ISO/IEC 27002
NORMAS, MARCOS Y ESTANDARES
Control Interno
• COSO
• CobIT
• Sarbanex Oxley
Gestión de Riesgos
• ASNZ 4360
• ISO 27005
• Octave
• Magerit
Gestión de Proyectos
• PMBOK
• CMMi
Seguridad de la Información
• ISO 27002
• ISO 27001
• NIST 800-14
• ITIL
Continuidad de Negocios
• NIST 800-34
• BS 25999
• DRII
Historia de las Normas
1995 20001999199819971996 2004200320022001
BS 7799-1:1995
BS 7799-1:1999
BS ISO/IEC
17799:2000BS 7799-1:2000
NTP -ISO/IEC
17799:2004
BS 7799-2:1998
BS 7799-2:1999
BS 7799-2:2002
CÓDIGO DE PRÁCTICAS
PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
ESPECIFICACIONES
PARA SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
UNE-ISO/IEC
17799:2002
2005
ISO/IEC
17799:2005
ISO/IEC
27001:2005
2006 2007
NTP -ISO/IEC
17799:2007
Normas ISO de Gestión de Seguridad de la Información
ISO/IEC 27000 es un conjunto de estándares
desarrollados -o en fase de desarrollo- por
ISO (International Organization for
Standardization) e IEC (International
Electrotechnical Commission), que
proporcionan un marco de gestión de la
seguridad de la información utilizable por
cualquier tipo de organización, pública o
privada, grande o pequeña. ISO 27001
ISO 27002
(antes 17799)
ISO 27000
ISO 27003 ISO 27004 ISO 27005
BREAK: de 10 minutos
Estratégico
Operativo
Política de Seguridad
Organización de la
Seguridad de Información
Seguridad de los Recursos
Humanos
Seguridad Física y
Ambiental
Gestión de activos Control de Accesos
Gestión de Operaciones y
Comunicaciones
Adquisición, Desarrollo y
Mant. de Sistemas
Gestión de Continuidad de
Negocios
Gestión de Incidentes de
Seguridad Cumplimiento
Controles para
la Gestión de
la Seguridad
de la
Información
SGSI - Sesión 01
ISO 27002 Código de Buenas prácticas de seguridad de la Inf.
6 Aspectos Organizacionales
Aspectos Físicos
Aspectos Técnicos
Aspecto de Control
1
3
11 cláusulas
39 categorías
133 controles
1
Política de Código Móvil
Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho
código móvil opera de acuerdo a una política de seguridad definida y que se debe
prevenir que éste sea ejecutado.
(ISO 27002 Control 10.4.2)
El código móvil es un código de software
que se transfiere desde una computadora a
otra y luego ejecuta automáticamente y
realiza una función específica con poco o
ninguna interacción del usuario.
Política de Backup
Se deben hacer regularmente copias de seguridad de toda la información esencial del
negocio y del software, en concordancia con la política acordada de recuperación
(ISO 27002 Control 10.5.1)
Política para el intercambio de información y software
Se deben establecer políticas, procedimientos y controles formales de intercambio con
el fin de proteger la información a través de todos los tipos de instalaciones de
comunicación.
(ISO 27002 Control 10.8.1)
Información
• Correo electrónico
• Voz
• Fax
• Video
Software
• Descarga de Internet
• Proveedores
Política de Sistemas de Información de Negocios
Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la
información asociada con la interconexión de sistemas de información de negocios.
(ISO 27002 Control 10.8.5)
Los sistemas de información
permiten distribuir rápidamente y
compartir información de negocio.
•Controles de acceso
•Clasificación de información
•Identificación de usuarios
•Backup
•Contingencias
Política de Control de Accesos
• Considerar acceso físico
y lógico.
• “Todo lo que no está
explícitamente permitido
debe estar prohibido”
Una política de control de acceso debe ser establecida, documentada y revisada y debe
estar basada en los requerimientos de seguridad y del negocio
(ISO 27002 Control 11.1.1)
Política de Pantalla y Escritorio Limpio
Se debe adoptar una política de escritorio limpio para papeles y medios removibles de
almacenamiento así como una política de pantalla limpia para instalaciones de
procesamiento de información.
(ISO 27002 Control 11.3.3)
Política de uso de los servicios de la red
Los usuarios sólo deben tener acceso directo a los servicios para los que estén
autorizados de una forma específica.
(ISO 27002 Control 11.4.1)
•Redes y servicios de red
permitidos
•Web
•Correo electrónico
•Mensajería instantánea
•VPN / Acceso remoto,
Política de informática móvil y comunicaciones
Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de
protegernos contra los riesgos cuando se usan dispositivos de informática
(ISO 27002 Control 11.7.1)
•Laptops
•Teléfonos celulares
•Agendas PDA
•Dispositivos inalámbricos
•Consideraciones:
•Uso en áreas públicas
•Software malicioso
•Backup
•Robo
Política de Teletrabajo
Se debe desarrollar e implementar una política, planes operacionales y procedimientos
para las actividades de teletrabajo.
(ISO 27002 Control 11.7.2)
•Consideraciones:
• Robo de equipos
•Fuga de información
•Propiedad intelectual
•Auditoria a equipos
•Licencia de software
•Protección antivirus
Incidente de Seguridad de la Información
“Una o varias series de eventos inesperados y no
deseados que tienen una gran probabilidad de
comprometer las operaciones de negocios y de
amenazar la seguridad de información”
ISO/IEC 18044
“Violación de un control”
Política de uso de los controles criptográficos
La organización debe desarrollar e implementar una política de uso de las medidas
criptográficas para proteger la información.
(ISO 27002 Control 12.3.1)
•Consideraciones:
• Situaciones en las que debe
utilizarse
• Nivel de protección requerido
(tipo, algoritmo)
•Responsabilidades
•Regulaciones
Ingeniería Social – un riesgo olvidado
¿Qué es Ingeniería Social?
Consiste en engañar a alguien para que
entregue información o permita el acceso no
autorizado o divulgación no autorizada, que
usualmente no daría, a un Sistema de
Información, Aplicativo o Recurso
Informático.
“El Arte de engañar a las personas”
Concienciación en seguridad
“Finalizar, de manera progresiva, con el
desconocimiento de la seguridad de la
información en toda la organización”
“Crear una cultura real de seguridad de la
información dentro de una organización”
1. Inventariar Personas Tecnologia
Procesos Ambiente
2. Análisis
3. Evaluación 4. Tratamiento
Basado en la
Norma
ISO 27005
Activos y sus
atributos
Controles
actuales
Amenazas
Vulnerabilidades
Riesgo Efectivo
Mecanismos
propuestos
Impacto
Probabilidad
Gestión de Riesgos
Relevancia
Modelo de Gestión de la Seguridad de la Información – Modelo PDCA P
AR
TE
S I
NT
ER
AS
AD
AS
Ex
pe
cta
tiva
s y r
eq
uis
ito
s d
e s
eg
uri
da
d d
e In
form
ac
ión
PA
RT
ES
IN
TE
RS
AD
AS
S
eg
uri
da
d d
e In
form
ac
ión
G
es
tio
na
da
•Implementación de Política, controles y
procedimientos
•Asignación de recursos (gente, tiempo y dinero)
•Programa de concientización
•Tratamiento de riesgo
•Medición de resultados
•Análisis de tendencias
•Auditoria interna
•Revión de la Gerencia
•Definición del alcance del Sistema
•Evaluación de Riesgos.
•Plan de Tratamiento de Riesgos
•Definición de Políticas de Seguridad
•Tratamiento de no conformidades
•Acciones correctivas y preventivas
ACTUAR
Mantener y mejorar el
SGSI
PLANEAR
Establecer el SGSI
HACER
Implementar y operar el
SGSI
VERIFICAR
Monitorear y revisar el
SGSI
Estructura de la norma ISO 27001
0. Introducción
• General
• Enfoque de procesos
• Compatibilidad con otros sistemas de gestión
1. Alcance
• General
• Aplicación
2. Referencias normativa
3. Términos y definiciones
4. Sistema de gestión de seguridad de
información
5. Responsabilidad de la gerencia
6. Auditorias internas del SGSI
7. Revisión por la dirección del SGSI
8. Mejora del SGSI Anexo A: Objetivos
de control y controles
Anexo B: Principios OECD y la Norma
Internacional
Anexo C: Correspondencia
entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional
Requisitos obligatorios de ISO 27001
Objetivos de control y controles (Desarrollado en ISO 17799)
Cláusula 4: Sistema de Gestión de Seguridad
de la Información
• Requerimientos Generales:
– Indica que el proceso utilizado está basado en el modelo PDCA.
• Estableciendo y Administrando el SGSI:
– Establecer el SGSI (Plan)
– Implementar y operar el SGSI. (Do)
– Monitorear y revisar el SGSI. (Check)
– Mantener y mejorar el SGSI. (Act)
• Requerimientos de Documentación:
– Son parte del sustento del proceso de funcionamiento del SGSI.
• Generales
• Control de Documentos
• Control de Registros
Cláusula 5: Responsabilidad de la dirección
• El Compromiso de la Dirección, se evidencia:
– Estableciendo la política de seguridad de información
– Garantizando el establecimiento de planes y objetivos de la seguridad
de información
– Estableciendo reglas y responsabilidades
– Comunicando a la organización la importancia de estar de acuerdo con
los objetivos de seguridad
– Brindando recursos para planificar, implementar, operar y mantener el
SGSI
– Decidiendo los niveles de riesgo aceptables.
Provisión de recursos
Capacitación,
concientización y
competencia
Cláusula 7: Revisión de la Gestión del SGSI
• La dirección debe revisar el SGSI para asegurar su conveniencia,
suficiencia y efectividad continua.
Revisión
de la
Gestión
del SGSI
Resultados de auditorías y revisiones del SGSI
Retroalimentación de terceras partes interesadas
Técnicas, productos o procedimientos para mejorar el SGSI
Estado de las acciones preventivas y correctivas
Vulnerabilidades o amenazas no dirigidas adecuadamente
en la Evaluación del Riesgo previa
Resultados de las mediciones de efectividad
Acciones de seguimiento de revisiones previas
Cambios que pudieran afectar el SGSI
Recomendaciones para la mejora
Mejora de la efectividad del SGSI
Actualización de la Evaluación del
Riesgo y Plan de Tratamiento del
Riesgo
Modificación de los procedimientos y
controles que afectan la seguridad de
la información
Necesidades de recursos
Mejora de la medición de la
efectividad de los controles
Entradas Salidas
Al menos 1 vez
al año Debe realizarse
a intervalos
planificados
Cláusula 8: Mejora del SGSI
Identificar las no-conformidades
Determinar las causas
Evaluar la necesidad de acciones para que no vuelvan a ocurrir
Determinar e implementar acciones correctivas
Registrar los resultados
Revisar la eficacia de las acciones implementadas
Identificar las no conformidades potenciales y sus causas
Determinar e implementar acciones preventivas
Registrar los resultados
Revisar las acciones preventivas tomadas
Identificar cambios en los riesgos
Controlar riesgos modificados
Acciones Correctivas
Eliminan las causas de las
no-conformidades, para
prevenir su repetición
Acciones Preventivas
Acciones para protegerse
contra no-conformidades
futuras
Mejora Continua
Procedimientos del SGSI
SGSI
4.2.2 h
• Procedimiento de gestión y respuesta a incidentes de seguridad
4.2.3 a
• Procedimiento de gestión de riesgos de seguridad
4.3.2
• Procedimiento para la gestión y control de documentos
4.3.3
• Procedimiento para el control de registros del SGSI
6
•Procedimiento para Auditorias Internas
8.2
• Procedimiento para Acciones Correctivas
8.3
• Procedimiento para Acciones Preventivas
Fuente: ISO 27001:2005
Estructura del SGSI
Política de Seguridad de la Información
Estructura Organizacional
Comité de Seguridad
Equipos de Trabajo
Plan de Seguridad
Políticas específicas de
seguridad
Capacitación y toma de
conciencia Procedimientos
Guías, Instructivos
Simulacros Controles Técnicos
Estructura Organizacional del SGSI
Comité de Gestión de Seguridad
Gerencia General, Gerentes de línea
Equipo de Trabajo
- Jefes de Área, Coordinadora
de Informática
Oficial de Seguridad de la Información
GRACIAS !!!
Lic. Eric Morán Añazco MBA, PMP, Lead Auditor ISO 27001
Consulting Manager [email protected]