Mejores Pr谩cticas de Seguridad de la Informaci贸n Ing. Jorge Bernardo jbernardo@kwell.net
Nuestra Empresa
Kwell es líder en servicios de seguridad y gestión de riesgos
tecnológicos, sus principales aportes han sido incorporar al mercado los conceptos de Programas de Reducción de Riesgo, la Certificación Internacional de Seguridad de la Información, tanto de organizaciones como de profesionales y la aproximación metodológica al problema de la seguridad. Principales Servicios: Programas de evaluación y reducción de riesgos Auditorias, evaluaciones y desarrollo de políticas de seguridad Implantación de Sistema de Gestión de Seguridad de la Información (SGSI) Desarrollo de políticas de seguridad Servicios de monitoreo Investigación forense Servicio de respuesta a incidentes
Definiciones
“... LA INFORMACIÓN ES UN BIEN ECONÓMICO POR LO CUAL REQUIERE NORMAS DE PROTECCIÓN ADECUADAS ...” ¿Qué es SEGURIDAD?... Es la Administración del Riesgo. La Seguridad es un proceso ... Continuo. Los datos están en constante peligro principalmente por dos causas: errores de los usuarios o empleados y ataques intencionados o fortuitos. No se pueden eliminar los Riesgos.
Ciclo de Vida del Riesgo Hace aparecer
Agente amenaza
Amenaza
Explota
Vulnerabilidad Afecta directamente
Riesgo
Reduce
Activo Exposici贸n Guardia de seguridad Puede ser mitigado con
Lleva a
Y causa una
Puede da帽ar
¿Qué hacer?
Es necesario
Gestionar la seguridad de la información.
Estudiar la ejecución de una
Auditoria de Seguridad
Mediante una Auditoria de Seguridad, pueden identificarse los puntos fuertes y débiles de una organización con respecto al manejo de la seguridad general y de su información y se pueden definir claramente los pasos a seguir para lograr un perfeccionamiento de la misma.
Ventajas de una Auditoria de Seguridad
Mejora sustancialmente la eficiencia en la seguridad general y de la información. Minimiza el riesgo de intrusión en sus sistemas (manuales o informáticos), robos, uso indebido, alteración de información, abuso de privilegios o interrupción de los servicios ofrecidos. Elimina riegos innecesarios. Posibilita la toma de decisiones sobre la seguridad basándose en información más completa. Posibilita la definición de responsabilidades bien diferenciadas. Brinda protección para toda la organización.
¿Cuáles son las Premisas Fundamentales?
Un nivel de seguridad satisfactorio “ahora”, es mejor que un nivel de seguridad perfecto “a largo plazo”. Es imprescindible conocer los propios puntos débiles y evitar riesgos imposibles de cuantificar. Realizar y exigir auditorias periódicas mejoran la salud de los sistemas y previenen ataques e incidentes. En una organización la seguridad es tan fuerte como el punto más débil de la misma, por lo tanto, interesa concentrarse (en un principio al menos) en estos últimos. Un 75% de las agresiones intencionadas son internas a las organizaciones. Lo más productivo es concentrarse en amenazas factibles y conocidas.
Gastos de la Organizaci贸n de Seguridad de la Informaci贸n
Fuente: 2007 CSI Computer Crime and Security Survey
Incidentes en los Ăşltimos doce meses
Fuente: 2007 CSI Computer Crime and Security Survey
Tipos de Ataques en los Ăşltimos doce meses
Fuente: 2007 CSI Computer Crime and Security Survey
Conocer y Declarar Ataques
Fuente: 2007 CSI Computer Crime and Security Survey
La Normativa en el Tiempo 1998 Nuevo estándar nacional certificable
■ Certificable ■ No certificable Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI)
■Código de prácticas para usuarios
1989
■
BS 7799-2
Revisión por: • NCC (Centro Nacional de Computación) • Consorcio usuarios
■PD0003 Código de prácticas para la gestión de la seguridad de la información
1993
Estándar nacional británico
■
BS 7799
1995
1999
2002
Revisión y acercamiento a: • ISO 9001 • ISO 14001 • OCDE
Revisión conjunta de las partes 1 y 2
■
1999
■
BS 7799-2 :2002
Revisión conjunta de las partes 1 y 2
BS 7799-1 :1999
Estándar Internacional
■
BS 7799-2 :1999
■
2005
ISO/IEC 27001 :2005
Estándar Internacional (Fast Track)
■
ISO/IEC 17799 :2000
2000
■
Revisión periódica (5 años)
ISO/IEC 17799 :2005
2005
ISO 17799 - Dominios 1. 2. 3. 4. 5. 6. 7. 8.
Política de seguridad. Organización de la Seguridad de la Información. Gestión de Activos. Seguridad de los recursos humanos. Seguridad física y medioambiental. Gestión de las telecomunicaciones y operaciones. Control de accesos a los datos. Adquisición, desarrollo y mantenimiento de los sistemas de Información. 9. Gestión de Incidencias. 10.Gestión de la continuidad de las operaciones de la empresa. 11.Conformidad.
Familia de Normas ISO 2700X
S铆ntesis
La norma ISO 17799 apunta a la etapa de Normalizaci贸n mientras que la norma ISO 27001 a la Certificaci贸n.
¿Por qué y para qué Certificar?
Aseguramos “oficialmente” la disponibilidad, la integridad y la confidencialidad de la información Para garantizarle a nuestros clientes que los procesos están basados en los estándares internacionales de seguridad La existencia de recursos humanos calificados en diferentes rubros de seguridad El factor diferencial del certificado puede ser considerado en licitaciones de nuestros clientes Para crecer en la cadena de valor
Gestión de la Seguridad: SGSI Sistema de Gestión de la Seguridad de la Información (SGSI): Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. Cubre aspectos organizativos, lógicos, físicos, legales... Independiente de plataformas tecnológicas y mecanismos concretos. o Aplicación en todo tipo de organizaciones. Fuerte contenido documental.
Monitoreo vs. Management
Valor (y costo)
U G E eS
IT N MO
D A R ID
d O E OR Refinar, analizar y
Centralización acceso a datos de aplicaciones y sistemas
DATOS
Level 1
ordenar datos (información de seguridad) provenientes de distintas fuentes
MA
GU E eS d T N ME E G A N
Aplicar relevancia de negocios a la información para determinar prioridades de negocios INFORMACIÓN
Level 2
CONOCIMIENTO
Level 3
Information Delivery Maturity Level
D A RID
Actuar con conocimiento real del negocio desde un único lugar a de acuerdo con las necesidades del negocio
ACCION
Level 4
¿Cómo sería el Modelo?
Metodologías Existentes Establecimiento del Proceso de Gestión de Riesgos (cláusula 4.2.1 c) Metodología de Evaluación de Riesgos • Comerciales (COBRA 3, RAM, RA2) • Académicas (OCTAVE, PILAR) Grandes Consultoras (Deloitte, Accenture,….)
¿Qué Metodología elegimos? OCTAVE
® (Operationally Critical Threat, Asset, and Vulnerability Evaluation):
o Es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo, para que una empresa comprenda cuáles son las necesidades de seguridad de la información. o Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos dirigidos a las necesidades de seguridad.. ® The CERT reports to the Software Engineering Institute a non-academic unit of Carnegie Mellon University and was funded primarily by the U.S. Department of Defense, along with a number of other federal civil agencies and other funding comes from the private sector
OCTAVE: Aproximaci贸n
¿Cuáles son los Beneficios para su Organización? Identificar los riesgos de seguridad de información que se podrían prevenir. Aprender a manejar y valorar los riesgos de seguridad de información. Crear una estrategia de protección diseñada para reducir los riesgos de seguridad de información de mayor prioridad. Posicionar su empresa para cumplir con los requerimientos de seguridad de datos y con las leyes y nuevas reglamentaciones.
¿Cuáles son los Beneficios para su Organización? Aproximaciones a la Seguridad o Administración de Vulnerabilidades (Reactivo) - Identificar y solucionar las vulnerabilidades o Administración de Riesgos (Proactivo) – Identificar y administrar riesgos Aproximaciones para Evaluar los Riesgos de la Seguridad de la Información
Resultados
Estrategia de Protección
Organización
Plan de Mitigación
Lista de Acciones
Bienes
Action Items •action 1 •action 2
Acciones a corto plazo
www.kwell.net
Email de contacto: info@kwell.net
Argentina
México
Ciudad Autónoma de Buenos Aires: Nueva York 3394 C1419HDB +54 11 45022391
México Distrito Federal: Bahía de Magdalena 42 CP11590 + 52 55 1055 4849 / 4850
Tomás Liberti 1206 C1086AAB +54 11 1554238674