Aspectos Generales Sobre
Seguridad de la Información
M&T Consulting
Calle Las Begonias N° 552, Ofi. 47 Centro Financiero San Isidro.
Central: (511) 719-5670 / 719-5671 www.myt.com.pe
Eric Morán Añazco
MBA, PMP, Lead Auditor ISO 27001 Consulting Division Manager
[email protected] M&T Consulting
AGENDA
Por qué concientizar Activo de información
Amenaza, vulnerabilidad y riesgo de SI ¿Qué es seguridad de la Información? Objetivo de la seguridad de la información Controles de seguridad de la información Normas, estándares y buenas prácticas en
seguridad de la información
Incidentes de seguridad de la información Ingeniería Social
Concienciación en seguridad Aspectos generales del SGSI
La Importancia de Concientizar
Un grupo de hackers
anunció que publicará algunos correos electrónicos del primer ministro Óscar Valdés Dancuart,.La primera de tres partes, que ya está en Internet, contiene 1.000 documentos del Gobierno Peruano, “desde archivos PDF y Power Point de tratados del Gobierno, o de simples manuales”.
elcomercio.pe - Martes 07 de febrero de 2012 - 09:00 am
El impacto económico, político y social de los ataques cibernéticos ha dejado de ser “posible” para convertirse en “real”.
Hacker robó 2. 000 registros de clientes (mayo 2011) http://www.computerworlduk.com/ Se propaga un malware en un spam de Facebook http://www.symantec.com/ 2011 Información de 100 millones de usuarios se vio comprometida
Computerworld (US) 2011
Hasta tres millones de cuentas se vio comprometida
The New York Times 2011
Estafas a jubilados por tramitadores falsos, que conocen los datos privados de los empleados. El Comercio 2011 Publican contraseñas de más de 55.000 usuarios de Twitter El Comercio 2012
Celulares y documentos de altos funcionarios diplomáticos fueron difundidos por hackers
El Comercio 2012
'Hacker' vulneró portal de la PNP
El Comercio 2010
Cable de Wikileaks revela peligrosas infidencias en SBS
El Comercio 2011
Incluso entidades preparadas con vastos controles tecnológicos de seguridad han sido vulneradas el último año
• Elaboración de programas únicos.
• Bombardeo de información a los usuarios.
• Falla en el seguimiento del programa.
Los activos de información adoptan diversas formas:
– Documentos en papel: contratos, guías – Software: aplicativos y software de sistemas
– Dispositivos físicos: computadoras, medios removibles – Personas: clientes, personal, etc.
– Imagen y reputación de la Institución: marca – Servicios: comunicaciones, internet, energía.
Activo de Información es todo lo que es o contiene información y tiene valor para la organización. Si la información no está contenida, no es un activo de información. No confundir con activos fijos.
¿Debo considerar a la caja fuerte como un activo?
Clasificación
Marcado
Ubicación
Valorización
Propietario
Custodio
• Causa potencial de un incidente no
deseado que puede resultar en daño al
sistema o a la organización o a sus activos
• Puede ser accidental o intencional
• Los activos están sujetos a muchos tipos de
amenazas que explotan sus
vulnerabilidades:
– Desastres naturales: terremoto,
inundación, etc.
– Humanas: errores de mantenimiento,
huelga, errores de usuario
– Tecnológicas: caída de red, sobre
tráfico, falla de hardware
Amenazas por Desastres Naturales
• Incendios
• Terremotos
• Avalancha / huayco
• Inundaciones
• Otros: tornado, viento, volcán,
tsunami, tormenta de invierno,
tormenta solar, tormenta
Amenazas Tecnológicas
• Fuga de información
– Crecimiento de uso de equipos móviles
(laptops, PDA’s, celulares)
• Virus y malware
– Aumento de complejidad y eficacia de
virus y herramientas de hacking.
• Falla de sistemas de información (software
y hardware)
Amenazas causadas por Humanos
• Divulgación de
información por email
• Sabotaje
• Terrorismo
• Hackers
Vulnerabilidades
• Una vulnerabilidad es una debilidad o
ausencia de control en la seguridad de
información de una organización
• Por sí sola no causa daños
• Si no es administrada, permitirá que una
amenaza se concrete
• Ejemplo:
– Ausencia de personal clave
– Sistema de energía inestable
– Cableado desprotegido
– Falta de conciencia de seguridad
– Ausencia de sistema extinguidor de
Riesgos en seres humanos
Amenaza Vulnerabilidad
Riesgos en Documentos
Amenaza Vulnerabilidad
Riesgos en Sistemas Informáticos
Amenaza Vulnerabilidad
Riesgos en Activos Físicos
Amenaza Vulnerabilidad
Riesgo de seguridad de la información
Posibilidad que una amenaza concreta pueda
explotar una vulnerabilidad para causar una
pérdida o daño en un activo de información.
(ISO 27001).
Valor del activo Amenaza x Vulnerabilidades
Impacto Probabilidad de
Seguridad de la información
Acceso cuando sea requeridoDisponibilidad
Sólo acceden quienes están autorizados.Confidencialidad
La información y su procesamiento son exactos y completos. IntegridadPreservación de la confidencialidad, integridad y disponibilidad de la información, así mismo, otras propiedades como la autenticidad, no rechazo, contabilidad y confiabilidad también pueden ser consideradas”
ISO/IEC 27002
Objetivo de la Seguridad de Información
– Asegurar la continuidad de las operaciones de la Institución
– Minimizar los daños a la organización en caso de pérdida o revelación no autorizada de información.
– Maximimar el retorno de las inversiones y las oportunidades de negocio
La seguridad de la información no es un proceso tecnológico, es un “PROCESO DE GESTION”
Control de Seguridad de Información
Herramienta de la gestión del riesgo, incluido
políticas, pautas, estructuras organizacionales,
que pueden ser de naturaleza administrativa,
técnica, gerencial o legal.
NOTA: Control es también usado como sinónimo de salvaguardia o contramedida
NORMAS, MARCOS Y ESTANDARES
Control Interno • COSO • CobIT • Sarbanex Oxley Gestión de Riesgos • ASNZ 4360 • ISO 27005 • Octave • Magerit Gestión de Proyectos • PMBOK • CMMi Seguridad de la Información • ISO 27002 • ISO 27001 • NIST 800-14 • ITIL Continuidad de Negocios • NIST 800-34 • BS 25999 • DRIIHistoria de las Normas
1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 BS 7799-1:1995 BS 7799-1:1999 BS ISO/IEC 17799:2000 BS 7799-1:2000 NTP -ISO/IEC 17799:2004 BS 7799-2:1998 BS 7799-2:1999 BS 7799-2:2002 CÓDIGO DE PRÁCTICASPARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
ESPECIFICACIONES
PARA SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
UNE-ISO/IEC 17799:2002 2005 ISO/IEC 17799:2005 ISO/IEC 27001:2005 2006 2007 NTP -ISO/IEC 17799:2007
Normas ISO de Gestión de Seguridad de la Información
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o
privada, grande o pequeña. ISO 27001
ISO 27002 (antes 17799)
ISO 27000
Estratégico
Operativo
Política de Seguridad
Organización de la Seguridad de Información
Seguridad de los Recursos
Humanos Seguridad Física y Ambiental Gestión de activos Control de Accesos
Gestión de Operaciones y Comunicaciones Adquisición, Desarrollo y
Mant. de Sistemas Gestión de Continuidad de Negocios Gestión de Incidentes de Seguridad Cumplimiento Controles para la Gestión de la Seguridad de la Información SGSI - Sesión 01
ISO 27002 Código de Buenas prácticas de seguridad de la Inf.
6 Aspectos Organizacionales Aspectos Físicos Aspectos Técnicos Aspecto de Control 1 3 11 cláusulas 39 categorías 133 controles 1
Política de Código Móvil
Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que éste sea ejecutado.
(ISO 27002 Control 10.4.2)
El código móvil es un código de software
que se transfiere desde una computadora a
otra y luego ejecuta automáticamente y
realiza una función específica con poco o
ninguna interacción del usuario.
Política de Backup
Se deben hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación (ISO 27002 Control 10.5.1)
Política para el intercambio de información y software
Se deben establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de
comunicación. (ISO 27002 Control 10.8.1) Información
• Correo electrónico
• Voz
• Fax
• Video
Software• Descarga de
Internet
• Proveedores
Política de Sistemas de Información de Negocios
Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información de negocios. (ISO 27002 Control 10.8.5)
Los sistemas de información
permiten distribuir rápidamente y
compartir información de negocio.
•Controles de acceso
•Clasificación de información
•Identificación de usuarios
•Backup
Política de Control de Accesos
• Considerar acceso físico
y lógico.
• “Todo lo que no está
explícitamente permitido
debe estar prohibido”
Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio
Política de Pantalla y Escritorio Limpio
Se debe adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de
procesamiento de información. (ISO 27002 Control 11.3.3)
Política de uso de los servicios de la red
Los usuarios sólo deben tener acceso directo a los servicios para los que estén autorizados de una forma específica.
(ISO 27002 Control 11.4.1)
•Redes y servicios de red
permitidos
•Web
•Correo electrónico
•Mensajería instantánea
•VPN / Acceso remoto,
Política de informática móvil y comunicaciones
Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática
(ISO 27002 Control 11.7.1)
•Laptops
•Teléfonos celulares
•Agendas PDA
•Dispositivos inalámbricos
•Consideraciones:
•Uso en áreas públicas
•Software malicioso
•Backup
Política de Teletrabajo
Se debe desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo.
(ISO 27002 Control 11.7.2)
•Consideraciones:
• Robo de equipos
•Fuga de información
•Propiedad intelectual
•Auditoria a equipos
•Licencia de software
•Protección antivirus
Incidente de Seguridad de la Información
“Una o varias series de eventos inesperados y no
deseados que tienen una gran probabilidad de
comprometer las operaciones de negocios y de
amenazar la seguridad de información”
ISO/IEC 18044
“Violación de un control”
Política de uso de los controles criptográficos
La organización debe desarrollar e implementar una política de uso de las medidas criptográficas para proteger la información.
(ISO 27002 Control 12.3.1)
•Consideraciones:
• Situaciones en las que debe
utilizarse
• Nivel de protección requerido
(tipo, algoritmo)
•Responsabilidades
•Regulaciones
Ingeniería Social – un riesgo olvidado
¿Qué es Ingeniería Social?
Consiste en engañar a alguien para que
entregue información o permita el acceso no
autorizado o divulgación no autorizada, que
usualmente no daría, a un Sistema de
Información, Aplicativo o Recurso
Informático
.
Concienciación en seguridad
“Finalizar, de manera progresiva, con el
desconocimiento de la seguridad de la
información en toda la organización”
“Crear una cultura real de seguridad de la
información dentro de una organización”
1. Inventariar
Personas Tecnologia Procesos Ambiente2. Análisis
3. Evaluación
4. Tratamiento
Basado en la Norma ISO 27005 Activos y sus atributos Controles actuales Amenazas Vulnerabilidades Riesgo Efectivo Mecanismos propuestos Impacto ProbabilidadGestión de Riesgos
RelevanciaModelo de Gestión de la Seguridad de la Información – Modelo PDCA
P A RTES INTERA S A D A S Exp ectati v as y r eq u isi to s d e seg u ri d ad d e In fo rmaci ó n P A RTES INTERSA D A S Seg u ri d ad d e In fo rmaci ó n Gesti o n ad a •Implementación de Política, controles y procedimientos •Asignación de recursos(gente, tiempo y dinero) •Programa de concientización •Tratamiento de riesgo •Medición de resultados •Análisis de tendencias •Auditoria interna •Revión de la Gerencia
•Definición del alcance del Sistema •Evaluación de Riesgos. •Plan de Tratamiento de Riesgos •Definición de Políticas de Seguridad •Tratamiento de no conformidades •Acciones correctivas y preventivas ACTUAR Mantener y mejorar el SGSI PLANEAR Establecer el SGSI HACER Implementar y operar el SGSI VERIFICAR Monitorear y revisar el SGSI
Estructura de la norma ISO 27001
0. Introducción
• General
• Enfoque de procesos • Compatibilidad con otros
sistemas de gestión 1. Alcance • General • Aplicación 2. Referencias normativa 3. Términos y definiciones 4. Sistema de gestión de seguridad de información 5. Responsabilidad de la gerencia 6. Auditorias internas del SGSI 7. Revisión por la dirección del SGSI
8. Mejora del SGSI Anexo A: Objetivos de control y controles Anexo B: Principios OECD y la Norma Internacional Anexo C: Correspondencia entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional
Requisitos obligatorios de ISO 27001
Cláusula 4: Sistema de Gestión de Seguridad
de la Información
• Requerimientos Generales:
– Indica que el proceso utilizado está basado en el modelo PDCA.
• Estableciendo y Administrando el SGSI:
– Establecer el SGSI (Plan)
– Implementar y operar el SGSI. (Do) – Monitorear y revisar el SGSI. (Check) – Mantener y mejorar el SGSI. (Act)
• Requerimientos de Documentación:
– Son parte del sustento del proceso de funcionamiento del SGSI.
• Generales
• Control de Documentos • Control de Registros
Cláusula 5: Responsabilidad de la dirección
• El Compromiso de la Dirección, se evidencia:
– Estableciendo la política de seguridad de información
– Garantizando el establecimiento de planes y objetivos de la seguridad
de información
– Estableciendo reglas y responsabilidades
– Comunicando a la organización la importancia de estar de acuerdo con
los objetivos de seguridad
– Brindando recursos para planificar, implementar, operar y mantener el
SGSI
– Decidiendo los niveles de riesgo aceptables.
Provisión de recursos
Capacitación, concientización y
Cláusula 7: Revisión de la Gestión del SGSI
• La dirección debe revisar el SGSI para asegurar su conveniencia, suficiencia y efectividad continua.
Revisión de la Gestión del SGSI
Resultados de auditorías y revisiones del SGSI Retroalimentación de terceras partes interesadas
Técnicas, productos o procedimientos para mejorar el SGSI Estado de las acciones preventivas y correctivas
Vulnerabilidades o amenazas no dirigidas adecuadamente en la Evaluación del Riesgo previa
Resultados de las mediciones de efectividad
Acciones de seguimiento de revisiones previas Cambios que pudieran afectar el SGSI
Recomendaciones para la mejora
Mejora de la efectividad del SGSI Actualización de la Evaluación del Riesgo y Plan de Tratamiento del Riesgo
Modificación de los procedimientos y controles que afectan la seguridad de la información
Necesidades de recursos Mejora de la medición de la efectividad de los controles
Entradas Salidas Al menos 1 vez al año Debe realizarse a intervalos planificados
Cláusula 8: Mejora del SGSI
Identificar las no-conformidades Determinar las causas
Evaluar la necesidad de acciones para que no vuelvan a ocurrir
Determinar e implementar acciones correctivas
Registrar los resultados
Revisar la eficacia de las acciones implementadas
Identificar las no conformidades potenciales y sus causas
Determinar e implementar acciones preventivas
Registrar los resultados
Revisar las acciones preventivas tomadas
Identificar cambios en los riesgos Controlar riesgos modificados
Acciones Correctivas
Eliminan las causas de las no-conformidades, para
prevenir su repetición
Acciones Preventivas
Acciones para protegerse contra no-conformidades
futuras
Procedimientos del SGSI
SGSI
4.2.2 h • Procedimiento de gestión y respuesta a incidentes de seguridad 4.2.3 a • Procedimiento de gestión de riesgos de seguridad 4.3.2 • Procedimiento para la gestión y control de documentos 4.3.3 • Procedimiento para el control deregistros del SGSI 6
•Procedimiento para Auditorias Internas 8.2 • Procedimiento para Acciones Correctivas 8.3 • Procedimiento para Acciones Preventivas Fuente: ISO 27001:2005
Estructura del SGSI
Política de Seguridad de la Información
Estructura
Organizacional
Comité de Seguridad Equipos de TrabajoPlan de Seguridad
Políticas específicas de seguridad Capacitación y toma de concienciaEstructura Organizacional del SGSI
Comité de Gestión de Seguridad
Gerencia General, Gerentes de líneaEquipo de Trabajo
-
Jefes de Área, Coordinadora de InformáticaGRACIAS !!!
Lic. Eric Morán Añazco
MBA, PMP, Lead Auditor ISO 27001
Consulting Manager
