Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
www.sisteseg.com rodrigo.ferrer@sisteseg.com
Agenda INTRODUCCIN ISO 27001-27002 EL PROCESO DE SEGURIDAD SEGURIDAD EN ITIL V3 SEGURIDAD EN COBIT 4.1 GESTIN DEL RIESGO CONTROLES IMPLANTACIN DE CONTROLES CONCLUSIONES
Introducci Introduccin
Entorno actual
Privacidad, seguridad y tica Gobierno Clientes ms sofisticados Cumplimientos Cambios en la tecnologa
NEGOCIO
Reduccin presupuestos
Globalizacin
Cooperacin Proteccin propiedad intelectual Innovacin continua Clientes ms sofisticados Orientacin a procesos
Entorno actual
oc io
TI
TI
Negocio
Ne g
1. 2. 3. 4.
1. 2. 3. 4.
Desequilibrio en Responsabilidades
Empresas pequeas
Empresas grandes
RACI
Procesos
BCP
DRP
SGSI
Estrategia
GESTION RIESGOS
Cont.
ITIL V3 COBIT
Informacinel activo
Es el conjunto de datos o mensajes inteligibles creados con un lenguaje de representaci representacin y que debemos proteger ante las amenazas del entorno, durante su transmisi transmisin o almacenamiento, usando diferentes tecnolog tecnologas l lgicas, f fsicas o procedimentales.
Interconexin dinmica
Objetivo
INTEGRIDAD
DISPONIBILIDAD
CONFIDENCIALIDAD
Seguridad
Qu proteger?
INFORMATION
ASSESTS
CRITICAL
Inventario+clasificacin
Entradas
sp800-34 NIST
El proceso de seguridad
El proceso Planear
Mantener
Implementar
Evaluar
Planear
Definir alcance Definir una poltica Definir metodologa de valoracin del riesgo Identificar riesgos Analizar y evaluar riesgos Gestin del riesgo Objetivos de control Obtener autorizacin para operar SGSI Elaborar una declaracin de aplicabilidad
Cumplimiento
0% 20% 33% 40% 60% 28% 40% 45% 30% 20%
Promedio
31.6%
Implementar
Implementar controles seleccionados 8 Administrativos 8 Lgicos 8 Fsicos Definir mtrica de los controles establecidos Implementar programas de educacin Gestionar la operacin del SGSI Gestionar los recursos del SGSI Implementar procedimientos Implementar estandres de configuracin Implementar herramientas de software
Evaluar
Ejecutar procedimientos de revisin Emprender revisiones regulares Medir la eficacia de los controles Revisar las valoraciones de riesgos Realizar auditoras internas
Mantener
Implementar las mejoras identificadas en el SGSI Emprender acciones correctivas y preventivas Comunicar las acciones y mejoras a las partes interesadas Asegurarse que las mejoras logran los objetivos propuestos
Resumen
ISO 27001
A.5 A.5.1 A.6 A.6.1 A.6.2 A.7 A.7.1 A.7.2 A.8 A.8.1 A.8.2 A.8.3 A.9 A.9.1 A.9.2 A.10 A.10.1 A.10.2 A.10.3 A.10.4 A.10.5 A.10.6 A.10.7 A.10.8 A.10.9 A.10.10 A.11 A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A.12 A.12.1 A.12.2 A.12.3 A.12.4 A.12.5 A.12.6 A.13 A.13.1 A.13.2 A.14 A.14.1 A.15 A.15.1 A.15.2 A.15.3 POLITICA DE SEGURIDAD Poltica de seguridad de la informacin ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN Organizacin interna Organizacin externa GESTIN DE ACTIVOS Responsabilidad sobre activos Clasificacin de la informacin SEGURIDAD EN EL RECURSO HUMANO Antes de la contratacin Durante la vigencia de la contratacin Terminacin o cambio de la contratacin SEGURIDAD FSICA Y AMBIENTAL reas seguras Seguridad en los equipos GESTIN DE LAS COMUNICACIONES Y OPERACIONES Procedimientos operacionales y responsabilidades Gestin de la prestacin de servicios por terceros Planificacin y aceptacin del sistema Proteccin contra cdigos maliciosos y mviles Respaldo Gestin de la seguridad en las redes Manejo de medios Intercambio de informacin Servicios de comercio electrnico Monitoreo CONTROL DE ACCESO Requisito del negocio para el control de acceso Gestin del acceso de los usuarios Responsabilidades de los usuarios Control de acceso a las redes Control de acceso al sistema operativo Control de acceso a las aplicaciones y a la informacin Computacin mvil y trabajo remoto ADQUISICIN, DESARROLLO Y MTO DE S.I Requisitos de seguridad de los sistemas de informacin Procesamiento correcto en las aplicaciones Controles criptogrficos Seguridad de los archivos del sistema Seguridad en los procesos de desarrollo y soporte Gestion de la vulnerabilidad tcnica GESTIN DE INCIDENTES DE SEGURIDAD Reporte sobre los eventos y las vulnerabilidades de la seguridad info. Gestin incidentes seguridad de la informacin GESTIN DE LA CONTINUIDAD DEL NEGOCIO Aspectos de seguridad en la gestin de la continuidad del negocio CUMPLIMIENTO Cumplimiento de los requisitos legales Cumplimiento de las polticas y las normas de seguridad Auditoras de los sistemas de informacin
% GAP actual
% GAP futuro
24%
Fuente: ACIS
Seguridad en ITIL v3
ITIL V3
Governance Methods
Sk s ill e dg &
St an da rd
ow n K
le
Al ig nm
en t
se Ca
ics
d Stu
T op
ies
Spe cialt y
Templates
Service Operation
e Ex eI tiv cu o ntr c ti du
ITIL
Co n Im tinu pr al ov S em er v en ice t
St
ud y
Ai d
ic Qu
s in W k
Qualifications
Sc a
ic e erv l S nt ua em e in nt r ov Co Imp
l ab
ilit y
Service Transition
on
Governance Methods
i Sk lls
ow Kn
e dg le
&
St an da rd
Al ig
nm en t
se Ca
opic
s die Stu
Spe cia
lty T
Templates
Service Operation
uti ec Ex I ve o ntr du cti on
ITIL
St u
dy
Ai ds
ick Qu
s in W
Qualifications
Sc ala
bi l
Service Transition
ity
Cont.
Introduccin
ic t g te en a r m St ign Al
De Val l i v ue er y
IT Governance
Resource Management
Cubo de COBIT
Procesos de COBIT
Recursos de TI
1. DS12 Manage the physical environment (3.87) 2. DS8 Manage service desk and incidents (3.70) 3. AI3 Acquire and maintain technology infrastructure (3.67) 4. DS5 Ensure systems security (3.66) 5. ME3 Ensure compliance with external requirements (3.66)
ISO 27001
A.5 A.5.1 A.6 A.6.1 A.6.2 A.7 A.7.1 A.7.2 A.8 A.8.1 A.8.2 A.8.3 A.9 A.9.1 A.9.2 A.10 A.10.1 A.10.2 A.10.3 A.10.4 A.10.5 A.10.6 A.10.7 A.10.8 A.10.9 A.10.10 A.11 A.11.1 A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A.12 A.12.1 A.12.2 A.12.3 A.12.4 A.12.5 A.12.6 A.13 A.13.1 A.13.2 A.14 A.14.1 A.15 A.15.1 A.15.2 A.15.3 POLITICA DE SEGURIDAD Poltica de seguridad de la informacin ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN Organizacin interna Organizacin externa GESTIN DE ACTIVOS Responsabilidad sobre activos Clasificacin de la informacin SEGURIDAD EN EL RECURSO HUMANO Antes de la contratacin Durante la vigencia de la contratacin Terminacin o cambio de la contratacin SEGURIDAD FSICA Y AMBIENTAL reas seguras Seguridad en los equipos GESTIN DE LAS COMUNICACIONES Y OPERACIONES Procedimientos operacionales y responsabilidades Gestin de la prestacin de servicios por terceros Planificacin y aceptacin del sistema Proteccin contra cdigos maliciosos y mviles Respaldo Gestin de la seguridad en las redes Manejo de medios Intercambio de informacin Servicios de comercio electrnico Monitoreo CONTROL DE ACCESO Requisito del negocio para el control de acceso Gestin del acceso de los usuarios Responsabilidades de los usuarios Control de acceso a las redes Control de acceso al sistema operativo Control de acceso a las aplicaciones y a la informacin Computacin mvil y trabajo remoto ADQUISICIN, DESARROLLO Y MTO DE S.I Requisitos de seguridad de los sistemas de informacin Procesamiento correcto en las aplicaciones Controles criptogrficos Seguridad de los archivos del sistema Seguridad en los procesos de desarrollo y soporte Gestion de la vulnerabilidad tcnica GESTIN DE INCIDENTES DE SEGURIDAD Reporte sobre los eventos y las vulnerabilidades de la seguridad info. Gestin incidentes seguridad de la informacin GESTIN DE LA CONTINUIDAD DEL NEGOCIO Aspectos de seguridad en la gestin de la continuidad del negocio CUMPLIMIENTO Cumplimiento de los requisitos legales Cumplimiento de las polticas y las normas de seguridad Auditoras de los sistemas de informacin
% GAP actual
Costo controles
Tiempo
Una imagen ..
. Pilas con
Todo lo anterior es cierto, pero 8 Nosotros somos inmunes al
riesgo 8 Eso nunca pasar aqu 8 Nosotros tenemos una poltica de seguros, eso es suficiente 8 Nosotros nunca hemos tenido problemas antes
El Riesgo
La falta de un SGSI en cualquier organizacin puede tener como consecuencia:
8 8 8 8 8 8 8 8 8 8 8 Perdida de Dinero. Perdida de tiempo. Perdida de productividad Perdida de informacin confidencial. Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios. Prdida de ingresos por ventas y cobros. Prdida de ingresos por produccin. Prdida de competitividad en el mercado. Prdida de credibilidad en el sector.
Otros eventos
Seguridad en el software
A nivel de Software C
#include <stdio.h> #include <string.h> bool IsPasswordOkay(void) { char Password[12]; gets(Password); if (!strcmp(Password, "goodpass")) return(true); else return(false); } int main(void) { bool PwStatus; puts("Enter password:"); PwStatus = IsPasswordOkay(); if (!PwStatus) { puts("Access denied"); return -1; } else puts("Access granted"); return 0; }
Buffer Overflows
16B datos
Operacin De Copia
Otra Memoria
Vulnerabilidades en la red
Ejemplo informe
ITIL Security Management NIST 800-12 An Introduction to Computer Security NIST 800-14 Generally Accepted Principles and Practices for Securing IT Systems NIST 800-18 Guide for Developing Security Plans for Information Technology NIST 800-53 Recommended Security Control for Federal IS OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC Guidelines for Security of IS and Networks Open Groups Managers Guide to Information Security BS 25999
SEGURIDAD FISICA
Consecuencia
Mover
Evitar
Aceptar Reducir
Probabilidad
Herramientas
Cont.
Cont.
Cont.
Controles
Tcnicos o tecnolgicos
Fsicos
Administrativos
Tipos de Controles
Administrative Controls Administrative Controls 8 Manegement responsabilities Security Policies SGSI Procedures Screening Personal Classifying data BCP,DRP. Change Control Technical Controls 8 IDS 8 Encryption Physical Control 8 Security Guards Technical controls Physical Controls 8 Perimeters fences 8 Locks 8 Removal of CD-ROM
SGSISGSI-Modelo de Seguridad
Poltica Corporativa
Pol Polticas.
Una poltica de seguridad, es una declaracin formal de las reglas que deben seguir las personas con acceso a los activos de tecnologa e informacin, dentro de una organizacin. Documento General SGSI
Procedimientos.
Los procedimientos son la descripcin detallada de la manera como se implanta una Poltica. El procedimiento incluye todas las actividades requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo. Ejemplo de procedimiento
Estndares
Es la definicin cuantitativa o cualitativa de un valor o parmetro determinado que puede estar incluido en una norma o procedimiento. Los estndares pueden estar ligados a una plataforma especfica (parmetros de configuracin) o pueden ser independientes de esta (longitud de passwords). Ejemplo de estndar de configuracin Firewall.
Formatos
Documentos utilizados para formalizar, legalizar y verificar la realizacin o no de ciertas actividades. Ejemplo de formato.
Conclusiones
Conclusiones
Importancia de contar con un SGSI El SGSI es parte de la estrategia del negocio, como tal responsabilidad de la alta gerencia La implementacin de los controles es un proceso selectivo La seguridad de la informacin se enmarca dentro de un proceso continuo La informacin es el activo en el siglo 21. Seguridad de la informacin y la continuidad del negocio se interrelacionan. La seguridad es un proceso, no un producto Tiempo en la balanza con los ingresos Facilitador que proporciona confianza en los procesos de negocio Es posible implantar un modelo ISO 27001-27002 apoyados en ITIL y COBIT, entre otros.
Bibliografa
ITILV3_and_Information_Security_White_Paper_May09 Jim Clinch Bpm- Business Process Management Applied - Creating The Value Managed Enterprise [2005 Isbn1932159339] COBIT QUICK START IT Management - Strategies for Information Technology Governance - W Van Grembergen (Idea Group Publishing) - 2004 John Wiley & Sons - 2005 - Beyond Governance Creating Corporate Value Through Performance, Conformance And Responsibility Aligning Business Process Management - Service-Oriented Architecture And Lean Six Sigma For Business Results 7 Stride Implementation Approach For Itil Service Management ITIL-v3-Official Introduction To The Itil Service Lifecycle GUIA DE IMPLEMENTACION COBIT VAL IT Cobit 4.1 ISACA Risk Analysis In Theory And Practice (Elsevier CHAVAS 2004 Jean-Paul) Tech - IT - John Wiley & Sons, Reliability Of Computer Systems And Networks -- Fault Tolerance, Analysis And Design (shooman) 090102 5 Nist - Risk Management Guide For Information Technology Systems Risk Management - Fundamentals Of Risk Analysis And Risk Management - V Molak (Crc Press) - 1997
FIN