Implementacin de un modelo de seguridad ISO 27k alineado con ITIL v3 y COBIT 4.

Ing: Rodrigo Ferrer V.

CISSP, CISA, ABCP, COBIT f.c, CSSA, CST, ISO 27001 L. Auditor.

www.sisteseg.com rodrigo.ferrer@sisteseg.com

Agenda INTRODUCCIN ISO 27001-27002 EL PROCESO DE SEGURIDAD SEGURIDAD EN ITIL V3 SEGURIDAD EN COBIT 4.1 GESTIN DEL RIESGO CONTROLES IMPLANTACIN DE CONTROLES CONCLUSIONES

Introducci Introduccin

Entorno actual
Privacidad, seguridad y tica Gobierno Clientes ms sofisticados Cumplimientos Cambios en la tecnologa

NEGOCIO
Reduccin presupuestos

Globalizacin

Cooperacin Proteccin propiedad intelectual Innovacin continua Clientes ms sofisticados Orientacin a procesos

Tiempo reducido al mercado

Entorno actual

oc io

TI

TI

Negocio

Ne g

Dos mundosdos lenguajes

1. 2. 3. 4.

Amenazas Riesgos Controles Tecnologas

1. 2. 3. 4.

Costos Productividad Inversiones ROI

Desequilibrio en Responsabilidades

Empresas pequeas

Empresas grandes

RACI

Procesos

Arquitectura empresarial (TOGAF)

Arquitectura de Red Segura

TOP TOP SECRET SECRET

La informacin como activo

Se busca una integracin con

BCP

DRP

SGSI

Mejores Prcticas: ITIL V3, COBIT, ISO 27001

Estrategia

Seguridad Informacin ISO 27001

Continuidad Del Negocio BS 25999

ITIL V3 ISO 20000 COBIT 4.1

GESTION RIESGOS

Certificacin ISO 27001

Cont.

ITIL V3 COBIT

BCP GESTION DE RIESGOS ISO 27001 Certificacin ISO

ISO 2700127001-27002 (ISO 27k)

Informacinel activo
Es el conjunto de datos o mensajes inteligibles creados con un lenguaje de representaci representacin y que debemos proteger ante las amenazas del entorno, durante su transmisi transmisin o almacenamiento, usando diferentes tecnolog tecnologas l lgicas, f fsicas o procedimentales.

Criterios sobre la informacin

USC Marshal Busines Model for Information Security

3DModelo de la Seguridad de la Informacin

1. 2. 3. 4. 5. 6. 7. 8. 9. Cumplimiento Globalizacin Crecimiento Tecnologa Mercados Humanos Competencia Amenazas Innovacin

Interconexin dinmica

Pensamiento sistmico sobre algo dinmico

Objetivo

INTEGRIDAD

DISPONIBILIDAD

CONFIDENCIALIDAD

Seguridad

Qu proteger?

INFORMATION

ASSESTS

CRITICAL

Inventario+clasificacin

Identificar recursos crticos

Entradas

sp800-34 NIST

El proceso de seguridad

El proceso Planear

Mantener

Implementar

Evaluar

Planear
Definir alcance Definir una poltica Definir metodologa de valoracin del riesgo Identificar riesgos Analizar y evaluar riesgos Gestin del riesgo Objetivos de control Obtener autorizacin para operar SGSI Elaborar una declaracin de aplicabilidad

Anlisis de Brecha ISO 27001

Dominio
Poltica de Seguridad Seguridad en la Organizacin. Control y Clasificacin de Activos. Aspectos de Seguridad relacionados con el recurso humano. Seguridad Fsica Administracin de la operacin de cmputo y comunicaciones. Control de Acceso Desarrollo y mantenimiento de Sistemas Continuidad del Negocio Cumplimiento de Leyes

Cumplimiento
0% 20% 33% 40% 60% 28% 40% 45% 30% 20%

Promedio

31.6%

Implementar
Implementar controles seleccionados 8 Administrativos 8 Lgicos 8 Fsicos Definir mtrica de los controles establecidos Implementar programas de educacin Gestionar la operacin del SGSI Gestionar los recursos del SGSI Implementar procedimientos Implementar estandres de configuracin Implementar herramientas de software

Evaluar
Ejecutar procedimientos de revisin Emprender revisiones regulares Medir la eficacia de los controles Revisar las valoraciones de riesgos Realizar auditoras internas

Mantener
Implementar las mejoras identificadas en el SGSI Emprender acciones correctivas y preventivas Comunicar las acciones y mejoras a las partes interesadas Asegurarse que las mejoras logran los objetivos propuestos

Resumen

ISO 27001
A.5 A.5.1 A.6 A.6.1 A.6.2 A.7 A.7.1 A.7.2 A.8 A.8.1 A.8.2 A.8.3 A.9 A.9.1 A.9.2 A.10 A.10.1 A.10.2 A.10.3 A.10.4 A.10.5 A.10.6 A.10.7 A.10.8 A.10.9 A.10.10 A.11 A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A.12 A.12.1 A.12.2 A.12.3 A.12.4 A.12.5 A.12.6 A.13 A.13.1 A.13.2 A.14 A.14.1 A.15 A.15.1 A.15.2 A.15.3 POLITICA DE SEGURIDAD Poltica de seguridad de la informacin ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN Organizacin interna Organizacin externa GESTIN DE ACTIVOS Responsabilidad sobre activos Clasificacin de la informacin SEGURIDAD EN EL RECURSO HUMANO Antes de la contratacin Durante la vigencia de la contratacin Terminacin o cambio de la contratacin SEGURIDAD FSICA Y AMBIENTAL reas seguras Seguridad en los equipos GESTIN DE LAS COMUNICACIONES Y OPERACIONES Procedimientos operacionales y responsabilidades Gestin de la prestacin de servicios por terceros Planificacin y aceptacin del sistema Proteccin contra cdigos maliciosos y mviles Respaldo Gestin de la seguridad en las redes Manejo de medios Intercambio de informacin Servicios de comercio electrnico Monitoreo CONTROL DE ACCESO Requisito del negocio para el control de acceso Gestin del acceso de los usuarios Responsabilidades de los usuarios Control de acceso a las redes Control de acceso al sistema operativo Control de acceso a las aplicaciones y a la informacin Computacin mvil y trabajo remoto ADQUISICIN, DESARROLLO Y MTO DE S.I Requisitos de seguridad de los sistemas de informacin Procesamiento correcto en las aplicaciones Controles criptogrficos Seguridad de los archivos del sistema Seguridad en los procesos de desarrollo y soporte Gestion de la vulnerabilidad tcnica GESTIN DE INCIDENTES DE SEGURIDAD Reporte sobre los eventos y las vulnerabilidades de la seguridad info. Gestin incidentes seguridad de la informacin GESTIN DE LA CONTINUIDAD DEL NEGOCIO Aspectos de seguridad en la gestin de la continuidad del negocio CUMPLIMIENTO Cumplimiento de los requisitos legales Cumplimiento de las polticas y las normas de seguridad Auditoras de los sistemas de informacin

% GAP actual

% GAP futuro

Sin embargo embargo

24%

29% No se tienen En Desarrollo Formalmente Definidas 47%

Fuente: ACIS

Seguridad en ITIL v3

ITIL V3
Governance Methods
Sk s ill e dg &

St an da rd

ow n K

le

Continual Service Improvement Service Design Service Strategies

Al ig nm

en t

se Ca

ics

d Stu

T op

ies

Spe cialt y

Templates

Service Operation
e Ex eI tiv cu o ntr c ti du

ITIL

Co n Im tinu pr al ov S em er v en ice t

St

ud y

Ai d

ic Qu

s in W k

Qualifications

Sc a

ic e erv l S nt ua em e in nt r ov Co Imp

l ab

ilit y

Service Transition

on

Gestin de la seguridad segn ITIL

Governance Methods
i Sk lls

ow Kn

e dg le

&

St an da rd

Continual Service Improvement Service Design Service Strategies

Al ig

nm en t

se Ca

opic

s die Stu

Spe cia

lty T

Templates

Service Operation
uti ec Ex I ve o ntr du cti on

ITIL

Co n Im tinu pr al ov S em erv en ice t

St u

dy

Ai ds

ick Qu

s in W

Qualifications

Sc ala

ic e erv l S nt ua eme in nt rov Co Imp

bi l

Service Transition

ity

Logrando la seguridad de la informacin en las 4 Ps ITIL SD SEGURIDAD DE LA INFORMACIN

Cont.

Un camino para implementar ITIL e ISM

Seguridad Informacin ISM

Seguridad en COBIT 4.1

Introduccin

ic t g te en a r m St ign Al

De Val l i v ue er y

IT Governance

Resource Management

Man Risk age me nt

e anc t form en Per surem Mea

Cubo de COBIT

Procesos de COBIT

Criterios de Informacin considerados por ISO 27k

Recursos de TI

Procesos de COBIT considerados por ISO 27001

Comparacin de alto nivel

Los procesos m ms implementados de COBIT

1. DS12 Manage the physical environment (3.87) 2. DS8 Manage service desk and incidents (3.70) 3. AI3 Acquire and maintain technology infrastructure (3.67) 4. DS5 Ensure systems security (3.66) 5. ME3 Ensure compliance with external requirements (3.66)

ISO 27001
A.5 A.5.1 A.6 A.6.1 A.6.2 A.7 A.7.1 A.7.2 A.8 A.8.1 A.8.2 A.8.3 A.9 A.9.1 A.9.2 A.10 A.10.1 A.10.2 A.10.3 A.10.4 A.10.5 A.10.6 A.10.7 A.10.8 A.10.9 A.10.10 A.11 A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A.12 A.12.1 A.12.2 A.12.3 A.12.4 A.12.5 A.12.6 A.13 A.13.1 A.13.2 A.14 A.14.1 A.15 A.15.1 A.15.2 A.15.3 POLITICA DE SEGURIDAD Poltica de seguridad de la informacin ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN Organizacin interna Organizacin externa GESTIN DE ACTIVOS Responsabilidad sobre activos Clasificacin de la informacin SEGURIDAD EN EL RECURSO HUMANO Antes de la contratacin Durante la vigencia de la contratacin Terminacin o cambio de la contratacin SEGURIDAD FSICA Y AMBIENTAL reas seguras Seguridad en los equipos GESTIN DE LAS COMUNICACIONES Y OPERACIONES Procedimientos operacionales y responsabilidades Gestin de la prestacin de servicios por terceros Planificacin y aceptacin del sistema Proteccin contra cdigos maliciosos y mviles Respaldo Gestin de la seguridad en las redes Manejo de medios Intercambio de informacin Servicios de comercio electrnico Monitoreo CONTROL DE ACCESO Requisito del negocio para el control de acceso Gestin del acceso de los usuarios Responsabilidades de los usuarios Control de acceso a las redes Control de acceso al sistema operativo Control de acceso a las aplicaciones y a la informacin Computacin mvil y trabajo remoto ADQUISICIN, DESARROLLO Y MTO DE S.I Requisitos de seguridad de los sistemas de informacin Procesamiento correcto en las aplicaciones Controles criptogrficos Seguridad de los archivos del sistema Seguridad en los procesos de desarrollo y soporte Gestion de la vulnerabilidad tcnica GESTIN DE INCIDENTES DE SEGURIDAD Reporte sobre los eventos y las vulnerabilidades de la seguridad info. Gestin incidentes seguridad de la informacin GESTIN DE LA CONTINUIDAD DEL NEGOCIO Aspectos de seguridad en la gestin de la continuidad del negocio CUMPLIMIENTO Cumplimiento de los requisitos legales Cumplimiento de las polticas y las normas de seguridad Auditoras de los sistemas de informacin

% GAP actual

% GAP futuro Controles ISO 27001 Controles COBIT Controles ITIL

Costo controles

Tiempo

Gestin del Riesgo

Una imagen ..

Amenazas para la ciudad de Bogota.

Source: Secretaria de Gobierno Bogota

. Pilas con
Todo lo anterior es cierto, pero 8 Nosotros somos inmunes al
riesgo 8 Eso nunca pasar aqu 8 Nosotros tenemos una poltica de seguros, eso es suficiente 8 Nosotros nunca hemos tenido problemas antes

El Riesgo
La falta de un SGSI en cualquier organizacin puede tener como consecuencia:
8 8 8 8 8 8 8 8 8 8 8 Perdida de Dinero. Perdida de tiempo. Perdida de productividad Perdida de informacin confidencial. Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios. Prdida de ingresos por ventas y cobros. Prdida de ingresos por produccin. Prdida de competitividad en el mercado. Prdida de credibilidad en el sector.

Otros eventos

Seguridad en el software
A nivel de Software C
#include <stdio.h> #include <string.h> bool IsPasswordOkay(void) { char Password[12]; gets(Password); if (!strcmp(Password, "goodpass")) return(true); else return(false); } int main(void) { bool PwStatus; puts("Enter password:"); PwStatus = IsPasswordOkay(); if (!PwStatus) { puts("Access denied"); return -1; } else puts("Access granted"); return 0; }

Buffer Overflows
16B datos

Memoria Origen Memoria Destino

Operacin De Copia

Memoria Reservada (12B)

Otra Memoria

Vulnerabilidades en la red

Ejemplo informe

Mejores prcticas en la gestin del riesgo de la Informacin

BS 7799 Parte2:2002 COBIT: Control Objetives for Information and related Technology Systems Security Engineering-Capabality Maturity Model (SSE-CMM) 3.0 Generally Accepted Information Security Principles (GAISP) ISF-Standard of Good Practice for Information Security ISO 13335 Guidelines for Management of IT Security ISO 13659:1997 Banking and Related Financial Services ISO 15408:1999 Security TechniquesEvaluation Criteria for IT Security ISO 17799:2000 NFPA 75 ISO 27002

ITIL Security Management NIST 800-12 An Introduction to Computer Security NIST 800-14 Generally Accepted Principles and Practices for Securing IT Systems NIST 800-18 Guide for Developing Security Plans for Information Technology NIST 800-53 Recommended Security Control for Federal IS OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC Guidelines for Security of IS and Networks Open Groups Managers Guide to Information Security BS 25999

Cunta Seguridad requiere o desea la U.J.T.L?

Seguridad fsica a la base

APLICACIONES BASES DE DATOS SISTEMAS OPERATIVOS SERVICIOS DE RED

SEGURIDAD FISICA

Evaluacin del riesgo y su administracin

Consecuencia

Mover

Evitar

Aceptar Reducir

Probabilidad

Herramientas

Cont.

Cont.

Cont.

Controles

Tipo de controles en el manejo del riesgo

Tcnicos o tecnolgicos

Fsicos

Administrativos

Objetivos del Manejo del riesgo

Tipos de Controles
Administrative Controls Administrative Controls 8 Manegement responsabilities Security Policies SGSI Procedures Screening Personal Classifying data BCP,DRP. Change Control Technical Controls 8 IDS 8 Encryption Physical Control 8 Security Guards Technical controls Physical Controls 8 Perimeters fences 8 Locks 8 Removal of CD-ROM

Consideraciones sobre la Implantaci Implantacin de controles administrativos

SGSISGSI-Modelo de Seguridad

Poltica Corporativa

Poltica Generales de Seguridad de la Informacin

Polticas detalladas de Seguridad de la Informacin

Procedimientos de Seguridad de la Informacin

Estndares y formatos de Seguridad de la Informacin

Pol Polticas.
Una poltica de seguridad, es una declaracin formal de las reglas que deben seguir las personas con acceso a los activos de tecnologa e informacin, dentro de una organizacin. Documento General SGSI

Procedimientos.
Los procedimientos son la descripcin detallada de la manera como se implanta una Poltica. El procedimiento incluye todas las actividades requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo. Ejemplo de procedimiento

Estndares
Es la definicin cuantitativa o cualitativa de un valor o parmetro determinado que puede estar incluido en una norma o procedimiento. Los estndares pueden estar ligados a una plataforma especfica (parmetros de configuracin) o pueden ser independientes de esta (longitud de passwords). Ejemplo de estndar de configuracin Firewall.

Formatos
Documentos utilizados para formalizar, legalizar y verificar la realizacin o no de ciertas actividades. Ejemplo de formato.

Plan de Entrenamiento en Seguridad.

El aspecto humano se debe considerar en cualquier proyecto de seguridad. Debe ser corto pero continuo. A veces es la nica solucin a ciertos problemas de seguridad como instalacin de troyanos. Debe ser apoyado por campaas publicitarias, Email, objetos etc.

Conclusiones

Conclusiones
Importancia de contar con un SGSI El SGSI es parte de la estrategia del negocio, como tal responsabilidad de la alta gerencia La implementacin de los controles es un proceso selectivo La seguridad de la informacin se enmarca dentro de un proceso continuo La informacin es el activo en el siglo 21. Seguridad de la informacin y la continuidad del negocio se interrelacionan. La seguridad es un proceso, no un producto Tiempo en la balanza con los ingresos Facilitador que proporciona confianza en los procesos de negocio Es posible implantar un modelo ISO 27001-27002 apoyados en ITIL y COBIT, entre otros.

Bibliografa
ITILV3_and_Information_Security_White_Paper_May09 Jim Clinch Bpm- Business Process Management Applied - Creating The Value Managed Enterprise [2005 Isbn1932159339] COBIT QUICK START IT Management - Strategies for Information Technology Governance - W Van Grembergen (Idea Group Publishing) - 2004 John Wiley & Sons - 2005 - Beyond Governance Creating Corporate Value Through Performance, Conformance And Responsibility Aligning Business Process Management - Service-Oriented Architecture And Lean Six Sigma For Business Results 7 Stride Implementation Approach For Itil Service Management ITIL-v3-Official Introduction To The Itil Service Lifecycle GUIA DE IMPLEMENTACION COBIT VAL IT Cobit 4.1 ISACA Risk Analysis In Theory And Practice (Elsevier CHAVAS 2004 Jean-Paul) Tech - IT - John Wiley & Sons, Reliability Of Computer Systems And Networks -- Fault Tolerance, Analysis And Design (shooman) 090102 5 Nist - Risk Management Guide For Information Technology Systems Risk Management - Fundamentals Of Risk Analysis And Risk Management - V Molak (Crc Press) - 1997

FIN