Seminario Calidad 2014 Material de Consulta

Transcripción

1

2

3 ISO/IEC 27001:2013 SGSI Sistemas de Gestión de la Seguridad de la Información

4 Discurso sobre Cybersecurity 29 de Mayo de 2009 none of this progress would be possible, and none of these 21st century challenges can be fully met, without America's digital infrastructure -- the backbone that underpins a prosperous economy and a strong military and an open and efficient government. Without that foundation we can't get the job done. It's long been said that the revolutions in communications and information technology have given birth to a virtual world. But make no mistake: This world -- cyberspace -- is a world that we depend on every single day. It's our hardware and our software, our desktops and laptops and cell phones and Blackberries that have become woven into every aspect of our lives. It's the broadband networks beneath us and the wireless signals around us, the local networks in our schools and hospitals and businesses, and the massive grids that power our nation. It's the classified military and intelligence networks that keep us safe, and the World Wide Web that has made us more interconnected than at any time in human history. So cyberspace is real. And so are the risks that come with it. 2 2

5 Discurso sobre Cybersecurity 29 de Mayo de 2009 It's the great irony of our Information Age -- the very technologies that empower us to create and to build also empower those who would disrupt and destroy. And this paradox -- seen and unseen -- is something that we experience every day. It's about the privacy and the economic security of American families. We rely on the Internet to pay our bills, to bank, to shop, to file our taxes. But we've had to learn a whole new vocabulary just to stay ahead of the cyber criminals who would do us harm -- spyware and malware and spoofing and phishing and botnets. Millions of Americans have been victimized, their privacy violated, their identities stolen, their lives upended, and their wallets emptied. According to one survey, in the past two years alone cyber crime has cost Americans more than $8 billion. In one brazen act last year, thieves used stolen credit card information to steal millions of dollars from 130 ATM machines in 49 cities around the world -- and they did it in just 30 minutes. In short, America's economic prosperity in the 21st century will depend on cybersecurity. And this is also a matter of public safety and national security. We count on computer networks to deliver our oil and gas, our power and our water. We rely on them for public transportation and air traffic control. Yet we know that cyber intruders have probed our electrical grid and that in other countries cyber attacks have plunged entire cities into darkness. 3 3

6 Qué ha pasado después de este discurso? 4 4

7 Veamos un ejemplo personal Dejar la computadora portátil en el asiento trasero o la cajuela del auto Políticas: Las computadoras portátiles nunca se deben dejar desatendidas en el auto. Estacionarse siempre donde exista algún tipo de protección física (estacionamiento). Tecnología: Establecer el uso de contraseñas robustas. Encriptación de la información en el disco duro del equipo de cómputo portátil. Respaldar la información en un sitio central cada semana al menos. Acuerdo legal. Hacer legalmente responsable al personal por los daños causados, en caso de no seguir los controles establecidos. Procedimientos: Monitorear que se realicen los respaldos y sean exitosos. Monitorear que se usen los controles tecnológicos establecidos. Reporte y seguimiento de incidentes. Aplicación de medidas disciplinarias. Entrenamiento: Entrenar al personal sobre los controles (políticas, tecnologías, acuerdo legal y procedimientos). 5 5

8 Veamos un ejemplo en una empresa Red Bancos alrededor del mundo Cliente: Asiste a sucursal o utiliza banca por internet Solicita transferencia Internacional Banco Cuenta origen (moneda) Banco Cuenta destino (moneda) Uso de software obsoleto Mainframe: Sistema Operativo Subsistema Transaccional Base de Datos Software aplicativo especializado para transferencias internacionales (SWIFT). Sistema mundial para transferencias internacionales i entre bancos SWIFT: Society for Worldwide Interbank Financial Telecommunication Políticas: Mantener información vigente del software instalado. Mantener información vigente de la fecha de expiración de las versiones de software. Tecnología: Herramientas de control de activos (control de software: instalación, licenciamiento, expiración, etc.) Acuerdo legal. Hacer legalmente responsable al proveedor de notificar con tiempo suficiente la expiración del software. Procedimientos: Gestión de activos y configuración (conocer la base instalada de software, versiones y fechas de expiración). Gestión de Cambios y Liberaciones (actualización periódica del software). Gestión de proveedores es (contratos, acuerdos, niveles de servicio, reuniones periódicas). Entrenamiento: Entrenar al personal de soporte técnico sobre las políticas, tecnología, acuerdos con proveedores y procedimientos. 6 6

9 Dónde utilizamos información? 7

10 Era de la Información Procesamiento Almacenamiento Ancho de Banda 8

11 Era de la Información Internet of things Cybersecurity 9

12 Era de la Información Big Data Visualization Cloud Computing 10

13 Era de la Información Mobile Computing Censura y control 11

14 Era de la Información Interactive Public Display 3D Imaging and Multimedia Applications 12

15 Era de la Información Interfaces Cerebro Computadora Robótica 13

16 Era de la Información Países sin manejo de efectivo * Estudio MasterCard

17 Información La información son datos que han sido procesados y puestos en una forma útil para el usuario. 15

18 Dónde manejamos información? 16

19 La Información: Un activo valioso y crítico 17

20 Seguridad de la Información Preservación de la: Confidencialidad Acceden quienes están autorizados Integridad Es precisa, confiable y completa Disponibilidad Etádi Está disponibleibl cuando se necesita 18

21 Organización ideal 19

22 Organización en riesgo 20

23 Marco Legal, Normativo y Contractual Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental Ley Federal de Contabilidad Gubernamental MAAGTIC Ley Federal de Protección de Datos Personales Código de Comercio Circular Única de Bancos PCI SOX etc. Circular Única de Bancos: II. Factor de Autenticación Categoría 2: Se compone de información que solo el Usuario conozca e ingrese a través de un Dispositivo de Acceso, tales como Contraseñas y Números de Identificación Personal (NIP), y deberán cumplir con las características siguientes: (46) a) En ningún caso se podrá utilizar como tales, la información siguiente: (46) i El Identificador de Usuario. (46) ii El nombre de la Institución. (46) iii Más de dos caracteres idénticos en forma consecutiva. (46) iv Más de dos caracteres consecutivos numéricos o alfabéticos. (46) No resultará aplicable lo previsto en el presente inciso para el caso de Pago Móvil, Banca Móvil y las operaciones realizadas a través de Cajeros Automáticos y Terminales punto de Venta, siempre que las Instituciones informen al Usuario al momento de la contratación, de la importancia de la composición de las Contraseñas para estos servicios. (46) b) Su longitud deberá ser de al menos seis caracteres, salvo por lo siguiente i Cuatro caracteres para los servicios ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta. ii Cinco caracteres para Pago Móvil, y iii Ocho caracteres para Banca por Internet. 21

24 Incidente de seguridad de la información El último rally fue después de que el CEO aconsejó a los empleados comprar la acción, aunque él había estado vendiendo, recuperando 16.1 MUSD en acciones vendidas. Una compañía fuerte se hubiera recuperado, a partir de un precio más bajo pero razonable, sin embargo esta empresa había ocultado miles de millones de dólares en deudas y pérdidas operativas a través de complejos esquemas contables, una vez que esto salió a la luz los inversionistas desaparecieron. 22

25 Han escuchado de algún incidente de seguridad de la información? 23

26 Por qué es importante su gestión? Compartir contraseñas Acceso a sitios no autorizados Uso indebido de equipo de cómputo Equipos desatendidos Documentos perdidos Robo Bases de datos destruidas Mantenimiento i no controlado Respaldos inservibles Redes de comunicación caídas Aplicaciones mal diseñadas Intrusión Conversaciones en lugares públicos sobre temas clave Cambios no planeados/autorizados Destrucción/disposición inadecuadas USB s sin control Inadecuada separación de funciones Infraestructura del centro de cómputo Efectos del clima Personal no controlado Terceros / outsourcing sin control Incumplimiento i legal/contractuall/ l Contratos extraviados Controles no observados 24

27 Ciclo de la información Genera Procesa Transfiere Corporativo Centro Espejo Almacena Red Dispone Clientes/ Proveedores Oficinas Regionales Oficinas Internacionales 25

28 Importancia de la Información Activo vital en la organización. Da una ventaja competitiva Permite mantener la operación Asociada al flujo de efectivo y rentabilidad Cumplir requerimientos legales y contractuales Permite proyectar una imagen pública y comercial 26

29 Ventajas de la Gestión Organizacional Legal Operativa Comercial Financiera Recursos Humanos 27

30 Gestión del Riesgo Planear Identificar, Dimensionar y Valorar los Riesgos Hacer Seleccionar, implementar y operar los controles para tratar los riesgos Gestión del Riesgo Actuar Mantener y mejorar los controles de los riesgos Checar Monitoreo y revisión de los riesgos 28

31 Valoración de Riesgos Amenazas: Terrorismo Manifestaciones Terremoto Fuego Activos Inundación Información Robo Procesos Servicios Fraude Huracán Software Hardware Infraestructura Personal Imagen etc. Falla de HW/SW Acceso no autorizado Uso ilegal del SW Falla de energía Fuga de información Errores Humanos Cambios fallidos Fallas de la red Responsabilidad legal o contractual 29

32 Valoración de Riesgos Vulnerabilidades d Falta de entrenamiento Personal molesto Falta de protección física Falta de mantenimiento Ubicación inadecuada de instalaciones Aplicaciones complicadas Falta de control de cambios Inadecuada separación de funciones Puertos de servicio ii no controlados Pruebas inadecuadas a las aplicaciones Falta de control de los datos de prueba Falta de monitoreo Falta de políticas Falta de procedimientos Falta de un plan de continuidad Falta de supervisión de proveedores Instalaciones inadecuadas 30

33 Valoración de Riesgos Acceso no autorizado Personal Molesto: Empleado envía Al DG de la compañía desde la cuenta de su gerente Cambios fallidos Falta de Control de Cambios: Personal de soporte realiza cambio de configuración en ambiente SAN en hora pico y tira la red, afectando todos los servicios Activos Impacto/Consecuencia a la organización: Financiero Legal Contractual Público Cliente Personal Ubicación del CC: Ventanas hacia la calle, se pone bomba casera en macetón frente a la ventana RIESGO Terrorismo 31

34 Valoración de Riesgos 32

35 Controles Controles Información / Procesos de la organización Objetivos Controles Controles 33

36 ISO/IEC Familia 34

37 ISO/IEC Familia ISO/IEC 27000:2012, Information Technology Security Techniques Information Security Management Systems Overview andvocabulary ISO/IEC 27001: 2013, Information Technology Security Techniques Information Security Management Systems Requirements ISO/IEC 27002:2013, Information Technology Security Techniques Code of Practice for Information Security controls ISO/IEC 27005:2011, Information Technology Security Techniques Information Security Risk Management ISO/IEC 27007:2011 Information Technology Security Techniques Guidelines for Information Security Management Systems Auditing ISO 19011: 2011 Guidelines for Auditing Management Systems 35

38 ISO/IEC Familia 1. ISO/IEC 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance 2. ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- Measurement 3. ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management 4. ISO/IEC 27006:2011 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems 5. ISO/IEC 27007:2011 Information Technology - Security Techniques Guidelines for Information Security Management Systems Auditing 6. ISO/IEC TR 27008:2011 Information technology -- Security techniques Guidelines for auditors on information security controls 36

39 ISO/IEC Familia 7. ISO/IEC 27011:2008 Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC ISO/IEC 27031:2011 Information technology -- Security techniques Guidelines for information and communications technology readiness for business continuity (consultar también: ISO 22301:2012) 9. ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC ISO/IEC 24762:2008 Information technology -- Security techniques -- Guidelines for information and communications technology disaster recovery services etc. 37

40 ISO/IEC SGSI Contexto de la organización Entender la organización y su contexto, Entender la necesidades y expectativas de las partes interesadas, Determinar el alcance del sistema de gestión de seguridad de la información, Sistema de Gestión de seguridad de la información Liderazgo Liderazgo y compromiso, Política, Roles, responsabilidades y autoridades organizacionales Planeación Acciones para abordar los riesgos y las oportunidades, Objetivos de seguridad de la información y la planeación para lograrlos Soporte Recursos, Competencia, Concientización, Comunicación e Información documentada Operación Planeación y control de la operación, Valoración de riesgos de seguridad de la información, Tratamiento de riesgos de seguridad de la información Evaluación del desempeño Monitoreo, medición, análisis y evaluación, Auditoría interna, Revisión por la dirección Mejora No conformidad y acción correctiva, Mejora continua 38

41 ISO/IEC Cláusulas 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización Entender la organización y su contexto Entender las necesidades y expectativas de las partes interesadas Determinar el alcance del sistema de gestión de seguridad de la información Sistema de gestión de seguridad de la información 5. Liderazgo Liderazgo y compromiso Política Roles, responsabilidades y autoridades organizacionales 6. Planeación Acciones para abordar el riesgo y las oportunidades d Objetivos de seguridad de la información y la planeación para lograrlos 39

42 ISO/IEC Cláusulas 7. Soporte Recursos Competencia Concientización Comunicación Información documentada 8. Operación Planeación y control de la operación Valoración de riesgos de seguridad d de la información ió Tratamiento de riesgos de seguridad de la información 9. Evaluación del desempeño Monitoreo, medición, análisis y evaluación Auditoría Interna Revisión por la dirección 10. Mejora No conformidad y acción correctiva Mejora continua 40

43 ISO/IEC Anexo A A.5 Políticas de seguridad de la información A.5.1 Guía gerencial para la seguridad de la información A.6 Organización de la seguridad de la información A.6.1 Organización interna A.6.2 Dispositivos móviles y trabajo remoto A.7 Seguridad de los recursos humanos A.7.1 Antes del empleo A.7.2 Durante el empleo A.7.3 Terminación y cambio de empleo A.8 Gestión de activos A.8.1 Responsabilidad por los activos A.8.2 Clasificación de la información A.8.3 Manejo de medios A.9 Control de acceso A.9.1 Requerimientos del negocio de control de acceso A.9.2 Gestión de Acceso de los Usuarios A.9.3 Responsabilidades d de los usuarios A.9.4 Control de acceso al sistema y aplicaciones 41

44 ISO/IEC Anexo A A.10 Criptografía A Controles criptográficos A.11 Seguridad física y ambiental A.11.1 Áreas seguras A.11.2 Equipo A12S A.12 Seguridad dde las operaciones A.12.1 Responsabilidades y Procedimientos de Operación A.12.2 Protección contra código malicioso A.12.3 Respaldo A.12.4 Registro de bitácoras y monitoreo A.12.5 Control del software de producción A.12.6 Gestión de vulnerabilidades técnicas A.12.7 Consideraciones de auditoría de los sistemas de información A.13 Seguridad de las comunicaciones A.13.1 Gestión de seguridad de la red A.13.2 Transferencia de información 42

45 ISO/IEC Anexo A A.14 Adquisición, desarrollo y mantenimiento de sistemas A.14.1 Requerimientos de seguridad de los sistemas de información A.14.2 Seguridad en los procesos de desarrollo y soporte A.14.3 Datos de prueba A.15 Relaciones con proveedores A Seguridad de la información en las relaciones con proveedores A.15.2 Gestión de la entrega de servicios del proveedor A.16 Gestión de incidentes de seguridad de la información A.16.1 Gestión de incidentes de seguridad de la información y mejoras 43

46 ISO/IEC Anexo A A.17 Aspectos de seguridad de la información de la gestión de la continuidad del negocio A.17.1 Continuidad de la seguridad de la información A.17.2 Redundancias A.18 Cumplimiento A Cumplimiento de los requerimientos legales y contractuales A.18.2 Revisiones de seguridad de la información 14 cláusulas, 35 objetivos de control y 114 controles 44

47 ISO/IEC Información Documentada 1. Alcance del SGSI. 2. Política de seguridad d de la información. ió 3. Proceso de valoración de riesgos de seguridad de la información. 4. Proceso de tratamiento de riesgos de seguridad de la información. 5. Declaración de aplicabilidad. 6. Plan de tratamiento to de riesgos. 7. Objetivos de seguridad de la información. 8. Competencias. 9. Determinada como necesaria por la organización para la eficacia del SGSI. 10. De origen externo determinada como necesaria para el SGSI. 45

48 ISO/IEC Información Documentada 11. Determinada como necesaria para tener confianza de que los procesos se ejecutan como se planearon. 12. Resultados de la valoración de riesgos de seguridad de la información. 13. Resultados del tratamientos t t de riesgos de seguridad de la información. 14. Resultados del monitoreo y medición. 15. Programas de auditorías. 16. Resultados de auditorías. 17. Resultados de la revisiones por la dirección. 18. No conformidades, acciones tomadas y resultados de las acciones correctivas. 19. Requerida de acuerdo a los controles seleccionados. 46

49 ISO/IEC Certificación IAF International Accreditation Forum Asociación mundial de organismos de acreditación de la evaluación de la conformidad OA OC Organismos de Acreditación Organización Organismo de Certificación Organización Certificada Organismos nacionales que acreditan a los Organismos de Certificación, a fin de que puedan realizar auditorías de certificación. En México existe la ema : Entidad Mexicana de Acreditación. Norma ISO 17011, evaluación de pares. Organizaciones acreditadas para llevara a cabo auditorías de certificación bajo normas internacionales. Norma: ISO y otras (ISO/IEC 27006), evaluación de acreditación. Organización interesada en certificarse bajo una norma internacional y que es auditada por un Organismos de Certificación acreditado. Norma ISO/IEC y otras. 47

50 ISO/IEC Certificación P C V1 V2 V3 V4 V5 R años Pre-certificación (P) - Una vez, en sitio. Certificación (C) Etapa 1: revisión documental y otros, remota o en sitio. Etapa 2: en sitio. Auditoría de Vigilancia (V): Una cada seis meses, hasta completar 5 auditorías, ciclo de dos años y medio (al menos una al año). Auditoría de Seguimiento (S): Cuando existan no-conformidades derivadas de una auditoría. Auditoría de Re-certificación (R): Una al cumplir el 3er año de la certificación. 48

51 Seguridad de la Información Es únicamente un tema del área de TIC? Respuesta:!NO!, es una tema de la organización en su conjunto. AnexoA de ISO 27001: 46% - TI 30% - Organización, documentación 9% - Seguridad Física 6% - Legal 5% - Proveedores y Clientes 4% - Recursos Humanos 49

52 Cómo convencer a la alta dirección? Es realmente necesario?. Cumplimiento legal, normativo y contractual Establecer una ventaja competitiva Reducción de costos, mediante la reducción de incidentes. Optimización de la operaciones, mediante la clara definición de roles y responsabilidades Encaja con la estrategia de la organización?. Simplemente explicar como la falta de confidencialidad, integridad y/o disponibilidad de la información pondrá en riesgo la realización de la estrategia de la organización. Cómo reducir los costos?. Calcular el retorno sobre la inversión en seguridad. La mayoría de los incidentes se deben al comportamiento humano, por lo tanto es más barato invertir en políticas, procesos, procedimientos, entrenamiento y concientización, comparado con la tecnología. Cómo mediremos el éxito?. Establecer objetivos claros y medibles. Contar con un esquema de medición. Contar con mecanismos para actuar cuando existan desviaciones. 50

53 Fin Dudas Preguntas Comentarios 51

54 ISO/IEC 27001:2013 SGSI Sistemas de Gestión de la Seguridad de la Información