TEMA: PONENTE: PROEXPORT (Colombia) Miguel

Transcripción

1 TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP y GSEC Luis Armando López L B. Ingeniero Electrónico de la Universidad del Bosque, Diplomado en Gestión n de Proyectos de la Santo Tomas, experiencia en Seguridad de la Información n como Auditor

2 Caminando hacia la implementación de un SGSI Luis A. López Miguel Arévalo Mayo 2007

3 Agenda Motivación y Antecedentes Antecedentes Definiciones Normatividad Conclusiones y recomendaciones VP&DR/ GGOSDI

4 Motivación Con la charla se busca explicar qué es un SGSI basado en la norma ISO27001 y compartir la experiencia de cómo se ha venido implementando en ETB en la búsqueda de obtener una mayor satisfacción del Cliente y como factor diferenciador Generar el concepto de Servicios Productos con Calidad y conseguridad

5 Antecedentes Problemática Incremento Vulnerabilidades Vulnerabilidades por Año Q Datos tomados de CERT:

6 Antecedentes Problemática Diversidad de Amenazas Robo Físico Inundación Incendio Terremoto Vandalismo Sabotaje Fallas Eléctricas Hackers/ Crackers SPAM Virus/ Troyanos / Gusanos DoS/ DDoS (Negación Serv.) Intrusiones Fraude por Computador Espionaje por computador LO ACTUAL : Ingeniería Social Phishing Vishing (VoIP) Pharming

7 Antecedentes Problemática Aumento Pérdidas Tomado de encuesta de CSI/FBI 2006:

8 Antecedentes Problemática Diversidad en los Requisitos de Seguridad Auditoría Leyes Encripción Etica S.I Autenticación Seguridad Física Autorización No repudio Control de acceso

9 Antecedentes Problemática Diversidad en la Defensa Antivirus Firewall AntiSpam Control de Acceso Físico y lógico VPN Certificados Digitales Smart Cards / Tokens IDS IPS HoneyPots Chequeos de Integridad Encripción de archivos / Sesiones Políticas de Seguridad Auditorias Tomado de encuesta de AusCert 2006:

10 Antecedentes Problemática Diversidad en la Defensa Fuente: Tomado de encuesta de AusCert 2006:

11 Antecedentes Problemática Aumento Inversión Tomado de encuesta de CSI/FBI 2006:

12 Antecedentes Calculo general del riesgo Riesgo V Activo Probabilidad Impacto

13 Antecedentes Problemática

14 Antecedentes Iniciativas empresariales Auditorias Infraestructura en seguridad Procesos Manejo de incidentes Hacking ético

15 Antecedentes Organización Madurez Cultura

16 Definiciones Definición de SGSI? Un Sistema de Gestión de Seguridad de la Información (SGSI) es una parte de un sistema general de gestión de la organización, basado en un enfoque de gestión de riesgos del negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Un SGSI incluye estructura organizacional, políticas, actividades de planeación, responsabilidades, prácticas, procedimientos, procesos y recursos. *[1] Un SGSI es un proceso formal, documentado y conocido por toda la organización, con el que se gestiona la seguridad de la información, identificando los riesgos de seguridad de su información, gestionándolos de forma coherente a sus políticas, de una forma estructurada, sistemática, documentada, eficaz y eficiente, dentro de los cambios de la misma organización y su entorno.

17 Definiciones Que es SGSI? Confidencialidad Procesos Integridad Disponibilidad SG Normatividad Política de seguridad Documentos y registros Enfoque basado en procesos Implementación via un PHVA Metodología para el monitoreo Auditorias Mejora continua

18 Definiciones Como opera un SGSI? Especificaciones y Requerimientos de Seguridad del Proceso de Negocio Definición de requerimientos y acuerdos Evaluación del riesgo Implementación de mejores practicas Métricas y reportes Periodicidad de ejecución Mejora continua Impacto en la continuidad del negocio Impacto en la cultura en seguridad de la información Proceso de Negocio Sin Seguridad Gestionada SGSI Proceso de Negocio Con Seguridad Gestionada

19 Definiciones Como opera un SGSI? Análisis de Vulnerabilidades y Riesgos Clasificación de Información Correspondencia de políticas (y/o generación de nuevas políticas) Gestión de Riesgos (postura) Selección de Controles e Integración a la Arquitectura de Seguridad Declaración de Aplicabilidad Documentación Implementación de Controles Auditoria interna SGSI (para la incorporación del proceso) Alistamiento para otros procesos de seguridad (nivel táctico y op) Información Componentes de Tecnología SGSI Proceso de Negocio Con Seguridad Gestionada Nota : -aplicación de procesos de seguridad

20 Definiciones Como opera un SGSI? Información Componentes de Tecnología SGSI Proceso de Negocio Con Seguridad Gestionada Nota : -Inventario completo de riesgos, políticas, controles. Información de segundo nivel

21 Definiciones Como opera un SGSI? *[3] MANUAL DE SEGURIDAD MANUAL DE SEGURIDAD PROCEDIMIENTOS PROCEDIMIENTOS INSTRUCCIONES INSTRUCCIONES CHECKLISTS CHECKLISTS FORMULARIOS FORMULARIOS REGISTROS REGISTROS REPORTES REPORTES DOCUMENTO MAESTRO REGISTRO Y PROCEDIMIENTOS DE CONTROL DE DOCUMENTACIÓN DOCUMENTO MAESTRO REGISTRO Y PROCEDIMIENTOS DE CONTROL DE DOCUMENTACIÓN Información Componentes de Tecnología SGSI Proceso de Negocio Con Seguridad Gestionada Nota : -Procedimiento Gestión de la Documentación - Registros y Plantillas actuales.

22 Definición SGSI en acción Proceso de negocio SGSI BCP DRP AV Med PB MI AR V C I M Plan Con Políticas Plan de capacitación Firewall IPS Perímetros físicos Documentación Indicadores Clasificación

23 Normatividad Descripción general SGSI ISO GR AS/NZ 4360 CMPSI ISO GR BS ISO 9001 NIST Metodología OSSTMM Metodología AR EBIOS GARM BCM ISO GTI ISO 2000 Mejores Practicas Sector Metodología ISSAF

24 Normatividad ISO SGSI requisitos Estrategia de mejora continua : círculo de Deming

25 Normatividad Familia ISO ISO Fundamentos y Vocabulario * ISO/IEC Requerimientos de un SGSI ISO/IEC ISO/IEC después del 2007 ISO/IEC Lineamientos para Implantarun SGSI ** ISO/IEC Lineamiento para Mediciones en un SGSI * ISO/IEC Lineamiento para Gestión del Riesgo * ISO/IEC Requisitos para la acreditación de entidades de Auditoria ISO: Organización internacional de estándares IEC: Comisión Internacional de Electrotécnia

26 Normatividad ISO SGSI requisitos Establecer las políticas, objetivos, procesos y procedimientos del SGSI relevantes a la gestión de riesgos y a la mejora de la seguridad de la información para lograr resultados acordes con las políticas y objetivos de la organización. PLANEAR *[1] Tomar acciones preventivas y correctivas, basadas en los resultados de la auditoria interna del SGSI y en la revisión de la gerencia u otra información relevante, para lograr la mejora continua del SGSI. CLIENTES: REQUERIMIENTOS Y EXPECTATIVAS DE SEGURIDAD HACER IMPLEMENTAR Y OPERAR IMPLEMENTAR EL SGSI Y OPERAR EL SGSI ESTABLECER EL SGSI ESTABLECER EL SGSI CICLO DE DESARROLLO, MANTENIMIENTO Y MEJORA ACTUAR MANTENER Y MEJORAR EL MANTENER SGSI Y MEJORAR EL SGSI CLIENTES: SEGURIDAD GESTIONADA VERIFICAR Implementar y operar las políticas, controles, procesos y procedimientos del SGSI. MONITOREAR Y REVISAR MONITOREAR EL SGSI Y REVISAR EL SGSI Evaluar y, donde sea aplicable, medir el desempeño del proceso contra las políticas, objetivos y la experiencia práctica del SGSI, para reportar los resultados a la gerencia para su revisión. Estrategia de mejora continua : círculo de Deming

27 Normatividad Niveles Nivel 1 Políticas, Alcances, Análisis de Riesgos, SOA Políticas Manual de Políticas y de Seguridad (ISMS) Nivel 2 Nivel 3 Nivel 4 Describe los procesos como cuando - donde Describe como se deben hacer las tareas y actividades específicas Provee Evidencia concreta y objetiva de cumplimiento de los requerimientos del ISMS Procedimientos Instrucciones de Trabajo, checklists, formatos Registros

28 Normatividad ISO H V A Aprobación de la dirección 9 PLANEACIÓN Declaración de aplicabilidad Selección Objetivos de control y controles para el tratamiento de riesgos Identificación y evaluación de opciones para el tratamiento de riesgos Valoración de riesgos Identificación de riesgos Definición enfoque sistemático hacia la valoración del riesgo Definición Política de SGSI, en términos del negocio, la organización, su ubicación, sus activos y la tecnología Definición del Alcance, en términos del negocio, la organización, su ubicación, sus activos y la tecnología

29 Normatividad ISO Hacer V A IMPLEMENTAR Y OPERAR EL SGSI GESTION IMPLEMENTAR OPERAR Politica Controles Procesos de manejo De recursos Plan de tratamiento Procesos de seguridad Procesos de seguridad

30 Normatividad ISO A Verificar Seguimiento y revisión del SGSI REGISTRAR REVISAR DETERMINAR Acciones Eventos Plan de tratamiento Implementar Controles Periodicamente Auditorias Internas Por la dirección Acciones Cambios

31 Normatividad ISO Actuar Mantener y mejorar el SGSI EJECUCIÓN COMUNICACIÓN Implemetar mejoras Emprender acciones correctivas Asegurar que las mejoras se cumplan Periodicamente Acciones Resultados Mejoras Aceptación

32 Normatividad ISO SGSI requisitos IDENTIFICACION COMPONENTES IDENTIFICACION COMPONENTES POLITICAS DE GESTION POLITICAS DE RIESGOS DE GESTION DE RIESGOS CONTROLES DEL ESTANDAR CONTROLES Y DE OTRAS DEL ESTANDAR FUENTES Y DE OTRAS FUENTES DECISION, COMPROMISO GERENCIAL DECISION, ASIGNACION COMPROMISO RESPONSABLES GERENCIAL ASIGNACION RESPONSABLES ALINEAMIENTO PROCESOS DE NEGOCIO DEFINICIÓN DE POLÍTICAS DE SEGURIDAD DEFINICIÓN DE POLÍTICAS DE SEGURIDAD DEFINIR ALCANCE DEL SGSI DEFINIR ALCANCE DEL SGSI REALIZAR EL ANALISIS DE RIESGOS PARA EL REALIZAR EL ALCANCE ANALISIS DEL DE SGSI RIESGOS PARA EL ALCANCE DEL SGSI DEFINIR LA GESTION DE LOS RIESGOS DEFINIR LA IDENTIFICADOS GESTION LOS RIESGOS IDENTIFICADOS SELECCIÓN DE OBJETIVOS Y CONTROLES SELECCIÓN A DE IMPLEMENTAR OBJETIVOS Y CONTROLES A IMPLEMENTAR POLITICAS POLITICAS ALCANCE DEL SGSI ALCANCE DEL SGSI RESULTADOS AR RESULTADOS AR POSTURA ANTE EL RIESGO POSTURA RESPONSABILIDADES ANTE EL RIESGO Y RESPONSABILIDADES FUNCIONES Y FUNCIONES DECLARACION DE APLICABILIDAD DECLARACION DE APLICABILIDAD IMPLEMENTACION DE CONTROLES IMPLEMENTACION DE CONTROLES ARQUITECTURA, PROCEDIMIENTOS ARQUITECTURA, / ACTUALIZACION PROCEDIMIENTOS / ACTUALIZACION

33 Normatividad AS/ NZ 4360 y Gestión del riesgo 1. Establecer Marco General 2. Identificar Riesgos Comunicar y consultar 3. Análisis de Riesgos Monitorear y Revisar 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Fases del estándar AS/NZ 4360

34 Tratamiento del riesgo VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO Riesgo residual no aceptable Reducir probabilidad Valorar prioridades de riesgo Riesgo Aceptable? Reducir consecuenci a NO SI Transferir total o parcialmente Aceptar Evitar EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO Considerar factibilidad, costos y beneficios, y niveles de riesgo Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Monitorear y Revisar Transferir Reducir Reducir Evitar consecuenci total o IMPLEMENTAR probabilidad a parcialmente PLANES DE Porción Porción TRATAMIENTO retenida transferida NO Riesgo residual SI Retener aceptable?

35 Normatividad ISO ISO Política de seguridad Organización para la Seg de la Info Gestión de activos 11 Dominios Control de accesos Seguridad del recurso humano Cumplimiento Seguridad física y del entorno 39 Objetivos de control Adquisición, desarrollo y mto. de sistemas de información Gestión de comunicaciones y operaciones Gestión de la continuidad del negocio Gestión de incidentes de seguridad de la información 133 Controles

36 Normatividad ISO Política de seguridad Organización para la Seg de la Info Gestión de activos Documentada y comunicada Revisada periódicamente Organización interna Controles y riesgos del acceso de 3ras partes Inventario de activos Definición de responsabilidades Clasificación basada en el impacto en el negocio

37 Normatividad ISO Control de accesos Seguridad del recurso humano Cumplimiento Seguridad física y del entorno A nivel de usario A nivel de aplicación A nivel de sistema operativo A nivel de red Computación móvil Antes de la contratación Durante la relación laboral Al finalizar (o cambiar) la relación Protección intelectual Protección de los registros de la organización Cumplimeinto de la legislación (protección de datos y privacidad Perímetros de seguridad física Seguridad de los equipos

38 Normatividad ISO Adquisición, desarrollo y mto. de sistemas de información Gestión de comunicaciones y operaciones Gestión de la continuidad del negocio Gestión de incidentes de seguridad de la información Requerimientos de seguridad Procedimientos de control de cambio Separación de entornos Criptografía Responsabilidades y procedimientos Gestión de los servicios tercerizados Protección contra código malicioso/móvil Intercambio de información Seguridad de la red Comercio electrónico Monitoreo Planes de continuidad de negocios Planificación de la continuidad Prueba de los planes de continuidad Mantenimiento y actualización de los BCP Reporte de eventos y debilidades Procedimientos Aprendizaje Recolección de evidencia

39 Conclusiones y recomendaciones Contar con SGC orientado a los procesos del negocio Implementación de procesos de manejo de incidentes Definición del alcance en función de la medición de madurez y cultura Iniciar con el proceso de AR Diagnostico inicial muestra un panorama