yuniorandrescastillo.galeon.com yuniorcastillo@yahoo.com Celular: 1-829-725-8571 Agenda Introduccin. Obstculos para implementar Seguridad Informtica Administracin de la Seguridad Informtica Ciclo de vida de la Seguridad Informtica Conclusiones Propuesta para los miembros del IIMV Introduccin La Informacin es un activo que como cualquier otro activo importante del negocio, tiene valor para la organizacin, consecuentemente necesita Proteccin Adecuada. Introduccin Tipos de Informacin Impresos o escritos en papel. Almacenada electrnicamente. Transmite por correo o en forma electrnica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de informacin. Introduccin La implementacin de esquemas de Administracin de la Seguridad Informtica en la institucin debe seguir estndares y mejores prcticas del mercado. Es una necesidad del negocio ante las circunstancias actuales. Introduccin Obstculos Obstculos Falta de conciencia de usuarios finales. Presupuesto. Falta de apoyo de la alta gerencia. Falta de Entrenamiento. Pobre definicin de responsabilidades. Falta de herramientas. Aspectos legales. Administracin de la Seguridad Informtica AS/NZS ISO/IEC 17799:2001 Conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administracin de la Seguridad Informtica. Son 127 controles estructurados en diez grandes reas. Genera confianza entre las instituciones que se relacionan. Porqu est siendo utilizado? nico SASI que es aceptado globalmente. Ayuda a reducir las primas de seguros. Para mejorar la Seguridad de la Informacin. Eleva la confianza de clientes y aliados en nuestra organizacin. AS/NZS ISO/IEC 17799:2001 Donde est siendo utilizado como un estndar nacional? Australia/New Zealand Brazil Czech Republic Finland Iceland Ireland Netherlands Norway Sweden AS/NZS ISO/IEC 17799:2001 AS/NZS ISO/IEC 17799:2001 AS/NZS ISO/IEC 17799:2001 Las 10 reas que cubre son: Polticas de Seguridad, Seguridad Organizacional, Clasificacin y Control de Activos, Seguridad del Personal, Seguridad Fsica y ambiental, Administraciones de las Operaciones y Comunicaciones, AS/NZS ISO/IEC 17799:2001 Las 10 reas que cubre son: Control de accesos, Desarrollo y mantenimiento de Sistemas, Administracin de la Continuidad del negocio, Cumplimiento de aspectos legales. reas que cubre el Estndar 1. Polticas de Seguridad Objetivo: Proveer direccin y soporte administrativo para la seguridad de Informacin. La administracin superior debe definir una poltica clara y apoyar la Seguridad de la Informacin a travs de la creacin y mantenimiento de una poltica de seguridad de la informacin a lo largo de la organizacin. 1. Polticas de Seguridad Documento de Polticas de Seguridad. Debe ser aprobado por la administracin, publicado y comunicado a todos los empleados. Revisin y Evaluacin. La poltica debe ser administrada por una persona quin es responsable de su mantenimiento y revisin de acuerdo a un proceso definido. 2. Seguridad Organizacional Infraestructura de la Seguridad de la Informacin: Objetivo: Administrar la seguridad de la Informacin dentro de la organizacin. Consejo directivo o un grupo designado por este debera de asumir la responsabilidad de la seguridad de informacin. 2. Seguridad Organizacional Infraestructura de la Seguridad de la Informacin: Deben ser claramente definidas las responsabilidades para la proteccin de activos de informacin fsicos y procesos de seguridad. Se deben establecer procesos de autorizacin para nuevas facilidades de procesamiento de la informacin. Es recomendable disponer de la asesora de un especialista de seguridad (para propsitos de evaluacin o de investigacin de incidentes). 2. Seguridad Organizacional Seguridad en el acceso de terceros: Objetivo: Mantener la seguridad de los dispositivos de procesamiento de la informacin organizacional y activos de informacin al que acceden terceras partes. Revisar los tipos de acceso (fsicos y lgicos). Contratos deben incluir controles. 3. Clasificacin y Control de activos Accountability para los activos: Objetivo: Mantener protecciones apropiadas para los activos organizacionales. Inventario de Activos Ayudan a asegurar que hay una efectiva proteccin de activos. Cada activo deber ser claramente identificado y se debe documentar la propiedad y clasificacin de seguridad, adems de su ubicacin actual. 3. Clasificacin y Control de activos Clasificacin de la Informacin: Objetivo: Asegurar que los activos de informacin reciben un apropiado nivel de proteccin. Controles a la informacin deben tomar en cuenta las necesidades del negocio para compartir o restringir informacin. La responsabilidad de definir la clasificacin de un tem de informacin debe permanecer con la persona nombrada como duea de la informacin. 4. Seguridad del Personal Seguridad en la definicin de trabajos: Objetivo: Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales. Todos los empleados y usuarios externos de los servicios de procesamiento de la informacin deberan firmar un acuerdo de confidencialidad. El acuerdo de confidencialidad debe hacer notar que la informacin es confidencial o secreta. 4. Seguridad del Personal Entrenamiento de usuarios: Objetivo: Asegurarse que los usuarios conocen de las amenazas y preocupaciones de la Seguridad de la Informacin. Todos los empleados de la organizacin debern recibir entrenamiento apropiado en los procedimientos y polticas organizacionales. La regularidad depender de la actualizacin o los cambios que se den en la organizacin. 4. Seguridad del Personal Respuestas a eventos de seguridad: Objetivo: Minimizar el dao del mal funcionamiento de software o de un incidente de seguridad y monitorear y aprender de tales incidentes. Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes. Usuarios debern reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios. 5. Seguridad Fsica y ambiental Respuestas a eventos de seguridad: Objetivo: Prevenir el acceso no autorizado, dao e interferencia a la informacin y premisas del negocio. Los elementos que forman parte del procesamiento de informacin sensitiva o crtica del negocio debern ser resguardados y protegidos por un permetro de seguridad definido con controles apropiados de entrada. Los equipos deben ser protegidos de cadas de electricidad y otras anomalas elctricas. 6. Administracin de Comunicaciones y Operaciones Responsabilidades y procedimientos operacionales: Objetivo: Asegurar la correcta y segura operacin de todos los elementos de procesamiento de la informacin. Los procedimientos de operacin identificados por la poltica de seguridad debern ser documentados y revisados constantemente. Los cambios en los sistemas y elementos de procesamiento de informacin deben ser controlados. 6. Administracin de Comunicaciones y Operaciones Responsabilidades y procedimientos operacionales: Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, como: Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (prdidas de servicio, negacin de servicio, datos incorrectos, brechas de confidencialidad. Procedimientos para Planes de Contingencia, Anlisis e Identificacin de las causas de un incidente, Coleccin de pistas de auditora, Reporte a las autoridades, etc. 6. Administracin de Comunicaciones y Operaciones Responsabilidades y procedimientos operacionales: Acciones a seguir para recuperarse de problemas de seguridad y correccin de fallas en los sistemas, (las acciones de emergencias deben ser documentadas en detalle). La segregacin de tareas es un mtodo de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas. reas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Produccin. 6. Administracin de Comunicaciones y Operaciones Planeamiento y Aceptacin de Sistemas: Objetivo: Minimizar los riesgos de fallas en los sistemas. Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento. Deben establecerse criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptacin. 6. Administracin de Comunicaciones y Operaciones Proteccin contra Software Malicioso: Objetivo: Proteger la integridad del Software y la Informacin. Controles contra Software Malicioso: Poltica para el cumplimiento con licencias de software y prohibir el uso de software No autorizado. Poltica para proteger contra los riesgos asociados al obtener archivos o software de redes externas. Instalacin y actualizacin regular de Antivirus y software scaneador de computadoras cono una medida preventiva. Controles contra Software Malicioso: Revisar regularmente del software y contenido de datos de los sistemas que soportan los sistemas crticos del negocio. Revisar cualquier archivo electrnico contra virus. Revisar los documentos adjuntos en correos electrnicos as como cualquier archivo que se baje de Internet contra cdigo malicioso. Procedimientos y responsabilidades administrativas para lidiar con la proteccin de virus en los sistemas, entrenamiento y reporte y recuperacin de ataques. Planes de Continuidad del Negocio para recuperarse ante ataques de virus. Procedimientos para verificar todas la informacin en relacin con software malicioso y verificar que los boletines de advertencia son verdaderos. 6. Administracin de Comunicaciones y Operaciones Soporte Continuo. Objetivo: Mantener la integridad y disponibilidad del procesamiento de la informacin y servicios de comunicacin.. Hacer copias en forma regular de la informacin esencial del negocio y del software. Se pueden utilizar los siguientes controles: Documentacin de los Backups, copias adicionales y almacenadas en una localidad remota. Los Back-ups se deben proteger fsicamente y contra las condiciones del ambiente. 6. Administracin de Comunicaciones y Operaciones Administracin de Redes. Objetivo: Asegurar la proteccin de la informacin en las redes as como de su infraestructura. Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados. Tambin se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes pblicas. 6. Administracin de Comunicaciones y Operaciones Seguridad y Manejo de los medios. Objetivo: Prevenir el dao a activos e interrupciones a actividades del negocio. Se deben definir procedimientos para la proteccin de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Los medios que no se ocupen ms en la empresa deben ser desechados en forma segura. La documentacin de sistemas puede contener informacin sensitiva por lo que debe ser almacenada con seguridad. 6. Administracin de Comunicaciones y Operaciones Intercambio de informacin y software. Objetivo: Prevenir la prdida, modificacin o mal uso de la informacin intercambiada entre organizaciones. El correo electrnico presenta los siguientes riesgos: Vulnerabilidad de los mensajes acceso no autorizado. Vulnerabilidad a errores (direcciones incorrectas). Cambio en los esquemas de comunicacin (ms personal). Consideraciones legales (prueba de origen). Controles para el acceso remoto al correo. 6. Administracin de Comunicaciones y Operaciones 7. Controles de Acceso Requerimientos del Negocio para el control de accesos: Objetivo: Controlar el acceso a la informacin. Las reglas y derechos para el control de acceso de usuarios o grupos de usuarios deben estar bien claras en un documento de polticas de acceso. Administracin del Acceso a Usuarios Objetivo: Prevenir el acceso no autorizado a Sistemas de Informacin. Deben existir procedimientos formales para el registro y eliminacin de usuarios. 7. Controles de Acceso Deben existir procesos formales para el control de los password. Usuarios deben seguir buenas prcticas de seguridad en la seleccin y uso de passwords. Control de Acceso a la red Objetivo: Proteccin de los servicios de la red. Se debe controlar el acceso a servicios internos y externos de la red. Control de acceso al Sistema operativo Objetivo: Prevenir el acceso no autorizado a la computadora. Restringir el acceso a recursos de la computadora. 7. Controles de Acceso Control de Acceso a Aplicaciones. Objetivo: Prevenir el acceso no autorizado a informacin mantenida en los Sistemas de Informacin. Monitorear el uso y acceso a los sistemas Los sistemas deben ser monitoreados para detectar desviaciones de las polticas de control de accesos y grabar eventos especficos para proveer de evidencia en caso de incidentes de seguridad. Computacin Mvil. Objetivo: Asegurar la seguridad de la informacin cuando se utilizan dispositivos mviles. 8. Desarrollo y Mantenimiento de Sistemas Requerimientos de Seguridad en los Sistemas. Objetivo: Asegurar que la seguridad es incluida en los Sistemas de Informacin. Seguridad en las Aplicaciones Prevenir la prdida, modificacin, o mal uso de los datos en las aplicaciones. Seguridad en los archivos del Sistema. Objetivo: Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura. 9. Administracin de la Continuidad del Negocio Objetivo: Actuar ante interrupciones de las actividades del Negocio y proteger procesos crticos del negocio de los efectos de fallas o desastres considerables.. Marco de trabajo para el planeamiento de las actividades del negocio. Un solo marco de trabajo de los planes de continuidad del negocio deben ser mantenidos para asegurarse que todos son desarrollados en forma consistentes , pruebas y mantenimiento. Se deben probar con frecuencia los Planes de Continuidad. 10. Cumplimiento Objetivo: Evitar brechas o violaciones a cualquier ley criminal o civil, regulatoria o contractual. Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual. Ciclo de Vida de la Seguridad Informtica Ciclo de vida de la Seguridad Informtica Ciclo en el cual se mantiene la seguridad informtica en la organizacin. Est formada por un conjunto de fases. Es un mtodo continuo para mitigar el riesgo. Fases del proceso de seguridad Como lo define el Sans Institute 2001 Evaluacin (Assess): Anlisis de Riesgos basados en el OCTAVE method. Debilidades en Seguridad Informtica (ej., auditoras, evaluacin de Vulnerabilidades, pruebas de penetracin, revisin de aplicaciones) Pasos a seguir para prevenir problemas Fases del proceso de seguridad. Evaluacin Debilidades: Determinar el estado de la seguridad en dos reas principales: Tcnica y No Tcnica. No tcnica: Evaluacin de polticas. Tcnica: Evaluacin de Seguridad fsica, diseo de seguridad en redes, matriz de habilidades. Fases del proceso de seguridad. Evaluacin Otras reas que se deben revisar: Seguridad exterior Seguridad de la basura Seguridad en el edificio Passwords Ingeniera social Clasificacin de los datos Etc. Fases del proceso de seguridad. Evaluacin El Anlisis de Riesgos nos permitir: Realizar acciones: Proactivas Reactivas Administrar el Riesgo: Identificar Analizar Evaluar Tratamiento a seguir Fases del proceso de seguridad. Evaluacin Administracin de Riesgos: Mtodo lgico y sistemtico de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, funcin o procesos para minimizar prdidas. La Administracin de Riesgos se puede basar en el Estndar Australiano AS/NZ 4360:1999. Fases del proceso de seguridad. Evaluacin Fases del proceso de seguridad. Evaluacin Establecer el Contexto e Identificar los riesgos Tratar riesgos, Monitorear y comunicar Anlisis y Evaluacin de los Riesgos Administracin (basada en el estndar AS/NZ 4360) Actividades a desarrollar para evitar que sucedan acciones indeseables. Configuraciones de Seguridad efectivas basadas en estndares de la industria y organizacionales. Fases del proceso de seguridad. Diseo Fases del proceso de seguridad. Diseo Necesitamos polticas? Empleados accesando Internet? Problemas con el uso de la red o el email? Empleados utilizando informacin confidencial o privada? Acceso remoto a la organizacin? Dependencia de los recursos informticos? Polticas define que prcticas son o no son aceptadas. Como concientizar? En persona, por escrito o travs de la Intranet. Reuniones por departamento. Publicar artculos, boletines, noticias. Crear un espacio virtual para sugerencias y comentarios. Enviar emails con mensajes de concientizacin. Pegar letreros en lugares estratgicos. Dar premios a empleados. Exmenes On-line. Crear eventos de Seguridad Informtica. Fases del proceso de seguridad. Diseo Logs en Firewalls. Se requiere Sistemas de deteccin de Intrusos? O necesitamos Sistemas de prevencin de Intrusos? Firma digital para envo de documentos? Fases del proceso de seguridad. Diseo Personal especializado pone en marcha los controles basados en el diseo desarrollado. Fases del proceso de seguridad. Implementar Tecnologas implantadas o planeadas Implantado Planeado Antivirus 99% 0% Firewalls 97% 1% Filtros de email 74% 10% IDS 62% 12% Bloqueo de adjuntos 62% 3% Filtro de Web sites 59% 5% Anlisis de Vulnerabilidades 43% 18% Email encriptado 31% 15% Fuente: ISSA/BSA, 2003 Observar las actividades normales y reaccionar ante incidentes. Monitoreo y alertas. Las respuestas se basan en el documento de Polticas de Seguridad definido. Fases del proceso de seguridad. Administracin y soporte Forma en que se trata el incidente. Encontrar el problema y corregirlo. Prcticas forenses. Definir la responsabilidad y el causante del problema. Fases del proceso de seguridad. Administracin y soporte Manejo de Incidentes: Organizacin, Identificacin, Encapsulamiento, Erradicacin, Recuperacin y Lecciones aprendidas. Fases del proceso de seguridad. Administracin y soporte Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organizacin. Habilidades y experiencia se alcanzan dentro de todo el proceso. Fases del proceso de seguridad. Capacitacin continua Conclusiones Se debe contar con una unidad de seguridad informtica en la organizacin con el apoyo de consultora externa, Impulsar un plan de concientizacin, No desconocer la importancia de la S.I., Utilizar una metodologa: ciclo de vida, Acciones deben ser proactivas y no reactivas, Utilizar estndares de la industria en la Administracin de SI y de los riesgos. Objetivo Estratgico: Implementar esquemas de Seguridad Informtica basados en Metodologas y estndares de la Industria de tal forma que se forme una base de conocimiento comn entre las instituciones miembro del Instituto Iberoamericano de Valores. 1. Conformar un equipo de trabajo en Seguridad informtica Regional, bajo la Coordinacin del Instituto Iberoamericano de Valores, integrado por profesionales en tecnologa de informacin de los BCs.
2. Elaborar gua para realizacin del Diagnstico Propuesta de Proyecto Harmonizacion de la Seguridad Informtica Estndares de Seguridad 3. Desarrollar diagnstico de seguridad informtica en las instituciones. Ejecutado por los tcnicos de informtica designados para el desarrollo del diagnstico, segn gua proporcionada para tal fin. Desarrollar el diagnstico en cada institucin. Crear una matriz regional con los hallazgos. Presentar hallazgos, conclusiones y recomendaciones en la prxima reunin de informticos del IIMV.
4. Elaborar prototipo de Seguridad Informtica y presentacin al foro de la reunin del IIMV para su aprobacin Revisar documento desarrollado por tcnicos en Seguridad Informtica Tomando como base diagnstico realizado, se tomarn todas aquellas acciones y recomendaciones que consideren ms adecuadas a fin de implementarlas en cada institucin. Estndares de Seguridad Propuesta de Proyecto Harmonizacion de la Seguridad Informtica 5. Elaborar planes de Trabajo institucionales de implementacin de dichas recomendaciones Producto de las Polticas y estndares anteriores, cada institucin deber implementar las medidas preventivas y correctivas del caso con el objetivo de nivelar los esquemas de seguridad informtica
6. Implementar y dar seguimiento al Plan de Trabajo, propio de cada Institucin. Estndares de Seguridad Propuesta de Proyecto Harmonizacion de la Seguridad Informtica GRACIAS POR SU ATENCION Autor: Ing.+Lic. Yunior Andrs Castillo S. Pgina Web: yuniorandrescastillo.galeon.com Correo: yuniorcastillo@yahoo.com Celular:1-829-725-8571 Santiago de los Caballeros, Repblica Dominicana 2014.