Modelo de Arquitectura de Seguridad de la Información (MASI)

(1)

Modelo de Arquitectura de

Seguridad de la Información (MASI)

Angélica Flórez Abril, MSc.

Universidad Pontificia Bolivariana

Bucaramanga, Colombia

(2)

Contenido

• Introducción

• IT Governance, Risk and Compliance

• Modelo de Arquitectura de Seguridad de la

Información - MASI

– Reconocimiento de la infraestructura

– Análisis de la infraestructura y su seguridad

– Análisis de riesgos

– Políticas de seguridad de la información

(3)

(4)

Seguridad Informática vs. Seguridad de

la Información

Seguridad

de la

Información

Recurso

Humano

Procesos

de

Negocio

Seguridad

Informática

TI

Seguridad de la Información

(5)

Qué es la Seguridad de la

Información?

“Es un proceso que busca proteger la información, contra un

compendio de amenazas, en pro de asegurar la continuidad del

negocio, disminuir los posibles daños y maximizar el retorno de

la inversión de la organización.

La Seguridad de la Información se tiene que preocupar por crear

estrategias que permitan proteger la información y el

conocimiento de la organización, bajo el control de un proceso

ordenado y secuencial que muestre un indicador positivo que

refleje el aumento del nivel de seguridad.”

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.

(6)

Qué es la Seguridad Informática?

“Es un proceso continuo, donde la condición de los

controles de la institución es un indicador de su

postura de seguridad”

(7)

Qué es la Seguridad Informática?

“Disciplina del conocimiento donde se busca cerrar la brecha

de los eventos inesperados que puedan comprometer los

activos de una organización y así contar con estrategias

para avanzar ante cualquier eventualidad.”

Jeimy Cano. Inseguridad Informática:

Un concepto dual en seguridad informática. 2004

.

(8)

Preventivo

De

detección

Correctivo

De

Monitoreo

Concienciar los usuarios del

sistema de las políticas de

uso.

Monitorización del sistema en

búsqueda de manipulaciones

no autorizadas.

Repara daños al

sistema atacado.

Revisiones constantes del

estado de la red y el

sistema.

De Acceso

Privilegios de uso del

sistema.

CONTROL

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.

(9)

Qué es la Inseguridad Informática?

“Es una estrategia de reflexión y acción para

repensar la seguridad informática como una

disciplina que es al mismo tiempo concepto y

realidad”.

Jeimy Cano. Inseguridad Informática:

Un concepto dual en seguridad informática. 2004.

(10)

Dualismo de la Seguridad Informática

“Repensar la SI como un continuo entre técnicas de hacking y análisis de

riesgos, que permita a las organizaciones aprender de sus fallas de

seguridad y fortalecer sus esquemas de seguridad, no para contar con

mayores niveles de seguridad, sino para evidenciar el nivel de dificultad

que deben asumir los intrusos para ingresar a los sistemas.”

Jeimy Cano. Inseguridad Informática: Un concepto dual en seguridad informática. 2004.

(11)

Dualismo de la Seguridad Informática

“Aplicamos técnicas

de seguridad

informática para

reducir los riesgos

e implementar

controles,

Vemos como podemos

saber qué tantas

vulnerabilidades

tenemos que nos

hacen inseguros,

para tomar medidas

correctivas.”

(12)

Dualismo de la Seguridad Informática

“Cuando ocurre una falla de seguridad las

personas se vuelven mas experimentadas y

saben qué hacer.”

“Sistemas mal diseñados (pensamiento natural

en SI) no están preparados para fallar

(pensamiento dual en inseguridad

informática).

(13)

Estándares de Seguridad Informática

 ISO/IEC 27002:2005 (Antes 17799) Information Security –

Security Techniques – Code of practice for information

security management.

◦ Hace recomendaciones sobre los controles.

◦ No establece requisitos que al cumplirse pudiese certificarse.

 ISO/IEC 27001:2006: Information Security – Security

Techniques – Information Security Management Systems –

Requirements.

◦ Planificar-Hacer-Verificar-Actuar

◦ Establecer, implementar, operar, hacer seguimiento, revisar,

mantener y mejorar el Sistema de Gestión de Seguridad de la

Información (SGSI)

(14)

IT Governance, Risk and

Compliance

(15)

Reflexión…

“Today, enterprises are acknowledging that a

mishmash of technologies and processes

working in silos inevitably leads

to inefficiency,

increased costs and present higher risks to the

organization”

.

Khalid Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining disciplines for better enterprise security.

(16)

RISK MANAGEMENT STRATEGIES

IT Governance, Risk Management y Compliance

• IT governance

establishes decision structures and

tracking mechanisms.

– ¿Cómo se toman las decisiones?

– ¿Quién toma las decisiones?

– ¿Quien mantiene la contabilidad?

– ¿Cómo los resultados de las decisiones son medidas y

monitorizadas?

(17)

RISK MANAGEMENT STRATEGIES

IT Governance, Risk Management y Compliance

• IT risk management

helps mitigate adverse effects

and identifies opportunities.

– Adaptación al cambio en las necesidades del negocio.

– Una arquitectura tecnológica debe soportar los cambios

con flexibilidad, automatización y eficiencia.

(18)

RISK MANAGEMENT STRATEGIES

IT Governance, Risk Management y Compliance

• IT compliance

establishes and monitors IT controls.

– Código de buenas prácticas

– Responsabilidades corporativas

– Cumplimiento regulatorio y legal

(19)

Modelo de Administración de la Inseguridad

Informática

Jeimy Cano. Administrando la Inseguridad Informática. Abril, 2007.

Arquitectura de seguridad Expectativas

Corporativas Objetivos del _Negocio

Infraestructura de seguridad Cultura de

Seguridad _{Buenas Prácticas}Estándares y

Configuración y Adecuación Prácticas de Seguridad Informática Procedimientos de Operación

NIVEL ESTRATÉGICO

NIVEL OPERACIONAL

NIVEL TÁCTICO

(20)

Modelo de Arquitectura de

Seguridad de la Información

(21)

¿Qué es Arquitectura de Seguridad

Informática?

“Organización lógica para los procesos,

estructuras y acuerdos de una corporación

que reflejan la integración y regulación de los

requerimientos del modelo operacional de la

misma”

(22)

¿Qué es Arquitectura de Seguridad

Informática?

“Correlación de los elementos que permiten

diseñar y construir un esquema gerencial que:

organice, administre y gestione los procesos

de la organización, bajo los fundamentos de

las buenas prácticas de la SI alineados con las

expectativas de la Alta Gerencia.”

July Calvo, Diego Parada, Angélica Flórez. Proyecto Metodología para la implementación del Modelo de Arquitectura de Seguridad de la Información (MASI), 2010.

(23)

MASI

• Formulación de la expectativas del negocio

• Lineamientos generales de la ASI

Estratégico

• Instrumentalización de la ASI a través de estándares y

normas

Táctico

• Definición del comportamiento de los actores del negocio

(usuarios, alta gerencia, clientes, proveedores, entre otros)

en la ejecución de sus funciones, detallando el cómo se

realizan los procesos definidos en la ASI.

Operacional

(24)

Modelo Arquitectura de Seguridad de

la Información (MASI)

Arquitectura de

Seguridad de

la Informacion

Negocio

Marco normativo

de seguridad de la

información

Gestión de la

Arquitectura de

Seguridad de la

Inforemación

Acuerdos

Infraestructura de

Seguridad de la

Información

(25)

(26)

Método de MASI

• Conocer el Negocio:

–

conocimiento detallado de las expectativas del negocio respecto a la SI.

• Definir el Marco Normativo de SI:

– plasmar en documentos las expectativas de la Alta Gerencia, así como los compromisos que

deberán ser adquiridos por los actores para dar cumplimiento a éstas.

• Gestión de la Arquitectura:

– Identificar las oportunidades de mejora de la ASI, es decir, evaluar si la ASI está alineada con los

elementos del MASI, los actores y los procesos de negocio.

• Definir los acuerdos:

– establecer las estrategias de comunicación entre el Área de seguridad de la información y la Alta

Gerencia.

•

• Establecer la Infraestructura de Seguridad:

– las medidas de protección existentes en las tecnologías de la información implantadas en los

diferentes sistemas de información de la organización, permitiendo mitigar los riesgos relacionados

con la confidencialidad, integridad y disponibilidad de la información.

(27)

MASI: Negocio

Negocio

Plan de Desarrollo

Balanced Scorecard

Metas

Visión

Misión

(28)

MASI: Marco normativo de la SI

Marco normativo

de seguridad de la

información

Marco Normativo

Política

Directrices

Normas

Procedimientos

Normativa

Corporativa

(29)

MASI: Marco normativo de la SI

NORMATIVA DE LA SI

Marco normativo

de seguridad de la

información

(30)

MASI: Gestión de la Seguridad

Gestión de la

Arquitectura

de Seguridad

Análisis de

Riesgo

Observación y Atención a Incidentes

Evaluación

y Revisión

Entrenamiento

Actualización

Mantenimiento

Gestión de la

Arquitectura de

Seguridad de la

Inforemación

(31)

MASI: Acuerdos

Determinan

Prioridades

Competencias y

Habilidades

Nivel de Compromiso

Nivel de Inversión

Alinear la agenda interna

Físicas

Lógicas

Administrativas

Acuerdos

(32)

MASI: Infraestructura de Seguridad

(33)

Estudio de Caso: Política y

Directrices de SI de la Universidad

de la Excelencia - UE

(34)

Conclusiones (1)

Recomendación a la alta gerencia y a los

profesionales del área de tecnología:

hacer de

la seguridad de la información parte

fundamental en el negocio

, que les permita

ofrecer sus mejores oficios en el desarrollo de

estrategias para la protección de los recursos

informáticos y la información.

(35)

Conclusiones (2)

Los profesionales que trabajamos en seguridad

de la información, ¿qué tanto estamos

proponiendo y generando para que la alta

gerencia se preocupe por lo temas de

(36)

Conclusiones (3)

La arquitectura de seguridad de la información

debe ser dinámica, de tal manera que cambie

a medida que el negocio lo hace, y debe ser

flexible permitiendo autoevaluación y ajuste

de acuerdo a los cambios e inconvenientes

encontrados.

(37)

Conclusiones (4)

Los profesionales de TI, ¿cómo estamos

“vendiendo” el concepto de seguridad de la

información y la importancia del mismo en el

(38)

Referencias

• CALVO, July. PARADA, Diego. Metodología para la implementación del Modelo de Arquitectura de Seguridad de la Información (MASI), 2010. Directora: Angélica Flórez Abril.

• CALVO, July. PARADA, Diego. Diseño de la Arquitectura de la Red de la Universidad Pontificia Bolivariana Seccional Bucaramanga, 2008. Directora: Angélica Flórez Abril.

• CANO, Jeimy. Arquitecturas de Seguridad Informática:

Entre la administración y el gobierno de la Seguridad de la Información. En: SEMINARIO DE ACTUALIZACION EN SEGUIDAD INFORMATICA. (2008:

Bucaramanga). Documento Modulo I Seminario de Actualización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 28.

• CANO, Jeimy. InSeguridad Informática: Un concepto dual en Seguridad Informática [Colombia]: Junio de 2004. Disponible en Web:

http://www.acis.org.co/fileadmin/inseg-inf.pdf.

• Khalid, Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining disciplines for better enterprise security. Disponible en Web: http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1294206,00.html.

• MINISTERIO DE ADMINISTRACIONES PÚBLICAS, España Metodología Magerit. Madrid: http://www.csi.map.es/csi/pg5m20.htm, 2005. • CARVAJAL, Armando. Fundamentos de la Seguridad de la Información. En: ESPECIALIZACION EN SEGURIDAD INFORMATICA. (2008:

Bucaramanga). Documento Modulo II Especialización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 69. • ALMANZA, Andrés. Seguridad en Redes y Sistemas Operativos. En: ESPECIALIZACION EN SEGURIDAD INFORMATICA. (2007: Bucaramanga).

Documento Modulo III Especialización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 231. • ALVAREZ, Juan Rafael. Arquitectura de Seguridad [Medellín, Colombia]: Diciembre 11 de 2003. Disponible en Web:

http://www.fluidsignal.com/index.php?option=com_content&task=view&id=55&Itemid=107#20031112.

• ACOSTA, Mario. Estado actual de la Seguridad Informática en ITSON [Sonora, Mexico]: junio de 2006. Disponible en Web:

http://www.amereiaf.org.mx/4reuniondeverano/VIERNES_Seguridad_de_TI_en_ITSON_2006.pdf.

• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro I Método”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf.

• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro II Catalogo de Elementos”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/catalogo_v11_final.pdf.

• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro III Guía de Técnicas”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/tecnicas_v11_final.pdf.