SegurIDad Gustavo Aldegani Consultor Independiente en Seguridad Informática

Transcripción

1 SegurIDad 2004 Gustavo Aldegani Consultor Independiente en Seguridad Informática

2 Objetivo Analizar los aspectos de la Seguridad Informática en ambientes de Empresa que preocupan a los tomadores de decisiones y proponer un sistema de contramedidas

3 Temas a desarrollar Parte 1 Parte 2 Escenario actual de la Seguridad Informática De que proteger los sistemas de negocios. Puntos de vulnerabilidad. Legislaciones que afectan a la Seguridad Normativas y Estándares Seguridad Interna y Externa. Políticas de Seguridad. Planes de contingencia Análisis funcional de los ataques actuales y sus contramedidas Tecnologías Intrusion Detection/Prevention Firewalls sobre capa 7 Sistemas Appliance Consideraciones Finales

4 Escenario Actual de la Seguridad Informática

5 Escenario 11/09/2001 demostró la importancia de la Seguridad Informática Preventiva (Planes de Recuperación de Desastres) Los incidentes desde el LoveLetter al Blaster demostraron que el problema de mantener funcionando los negocios de manera segura no está en la tecnología disponible sino de su Organización y Control

6 Escenario Local Presupuestos pesificados y disminuidos Mantenimiento o aumento de los objetivos a cumplir Dificultad de tomar decisiones que impliquen compras de tecnología

7 Escenario Local La reducción de inversión en Seguridad Informática genera riesgos para la Continuidad Segura de los Negocios La reducción de inversión general en IT de la empresa genera riesgos para la Continuidad Segura de los Negocios La reducción de inversión en IT de empresas clientes, proveedoras y aliadas genera riesgos para la Continuidad Segura de los Negocios

8 Informe FBI-CSI 2003 Encuesta a 530 organizaciones de diferentes sectores que cuentan con Areas responsables de la Seguridad Informática Compañías de Alta Tecnología, Sector financiero, Agencias de Gobierno, Manufactureras, Telecomunicaciones, Educativas, Servicios Legales, Servicios Médicos, Transporte, Ventas Minoristas. Todas cuentan con Areas de Seguridad Informática

9

10

11

12

13

14

15 266 M 378 M 456 M 202 M

16 De que proteger los sistemas de negocios.

17 Ataques y Contramedidas Tipos de ataque más registrados Abuso interno de acceso a redes Virus Accesos no autorizados de origen interno Contramedidas Gestión Segura de Identidades Antivirus Gestión Segura de Identidades Tipos de Ataques que generaron mayor cantidad de pérdidas económicas Robo de Información propietaria Denial of Service Gestión Segura de Identidades Criptografía Firewall Detección/Prevención de Intrusiones Virus Antivirus

18 Ataques a la disponibilidad de los servicios. Ataques a la integridad de la información. Ataques a confidencialidad de la información.

19 Ataques a la Disponibilidad de la Información Riesgos Contramedidas Denial of Service Dirigido Configuraciones Adecuadas Denial of Service por Virus Problemas de los entornos Interconectados Spyware (consumo de recursos para transmisión) Monitoreo de Vulnerabilidades Implementación de Intrusion Detection/Prevention Restricciones en uso de los servicios de Internet por parte del personal

20 Ataques a la integridad de la información Riesgo Contramedidas Ataques directos a la Integridad Acción directa Acción potencial de una Troyanización Daño colateral provocado por un virus Monitoreo de Integridad de información que debe permanecer constante en el tiempo Antivirus de Red, Servidores y Estaciones de Trabajo Ataques colaterales a la Integridad Provocación del reseteo del equipo atacado Monitoreo de Vulnerabilidades Implementación de Intrusion Detection/Prevention Virus con módulo de ataque PMD

21 Ataques a confidencialidad de la información Riesgo Ataques directos a la Confidencialidad Spyware Robo de Información por medio de Virus Contramedidas Sistema de Gestión Segura de Identidades Encripción de Información Crítica cuando está almacenada Encripción de Información Crítica cuando se Transmite Uso de Certificados Digitales para Autenticar Emisor y Receptor Implementación de Intrusion Detection/Prevention

22 Puntos de vulnerabilidad. Las conexiones y los servicios de Internet. Abuso de recursos de Internet (chat, e- mails personales, distracciones, spamming). Sabotajes internos y externos. Las debilidades internas provocadas por el personal y por la tecnología Hipótesis de conflictos en entornos interconectados.

23 Riesgos básicos de los servicios de Internet Virus en archivos adosados a mensajes WWW Entrada al sistema de archivos infectados por virus IRC Virus que explotan IRC Ataques que explotan la habilitación de los puertos I Ataques combinados

24 Abuso de recursos de Internet Riesgos generados por abuso de y WWW Aumento de probabilidad de entrada de virus, troyanos y otros programas dañinos Efectos colaterales genrados por programas dañinos Transmisión de mensajes de , transmisiones provenientes de Spyware Consumo no racional de los recursos tecnológicos Riesgos generados por IRC Propagación de Virus Genración de Ataques

25 Contramedidas para el abuso de recursos de Internet Contramedidas Lograr que el personal sólo utilice los recursos de Internet para tareas realcionadas con el trabajo Montar un esquema técnico y administrativo que permita organizar y controlar el punto anterior Implementar un sistema de excepciones Incorporar el cumplimiento de estas contramedidas al esquema reglamentario de la empresa Sustento legal de las contramendidas (consultar con un abogado especialista en Derecho Informático) El recurso es contratado y/o generado por el empresa La adminsitración es de la empresa La responsabilidad de uso es del peronal dentro del marco de la provisión de herramientas de trabajo

26 Sabotajes internos y externos Las acciones bajo modelo vandálico no son consideradas sabotaje Sabotajes Internos Infección con virus convencionales Infección con virus de Daño Dirigido Acciones para la Troyanización de Servidores Sabotajes Externos Ataques de Denial of Service Infección con virus de Daño Dirigido

27 Las debilidades internas provocadas por el personal Vulnerabilidades provocadas por el personal Empleados disconformes Empleados con privilegios informáticos críticos que se retiran de la empresa Empleados indebidamente capacitos (impericia) Empleados informáticamente sobrecapacitados Contramedidas Gestión Segura de Indentidades Capacitación del Personal Implementación de un esquema adecuado de Organización y Control de la Seguridad

28 Las debilidades internas provocadas por la tecnología Vulnerabilidades provocadas por la Tecnología Complejidad de Administración de la Seguridad Generación de Ventanas de Riesgo debidas a Complejidad de Adminsitración y Limitaciones de Recursos Contramedidas Gestión Segura de Identidades Implementación de Intrusión Detction/Prevention Implementación de un esquema adecuado de Organización y Control de la Seguridad

29 Hipótesis de conflictos en entornos interconectados Riesgos generados por Interconexiones con Clientes, Proveedores y Aliados Estratégicos a través de Internet Ataques directos Ataques indirectos Ataques de virus de Servidor Contramedidas Considerar a la red nopropia como insegura Implementación de Antivirus de Red y en Servidores Implementación de VPNs Sistemas de Encriptación Certificados Digitales

30 Ataques y Contramedidas Tipos de ataque más registrados Abuso interno de acceso a redes Virus Accesos no autorizados de origen interno Contramedidas Sistema de Administración y Control Gestión Segura de Identidades Antivirus Gestión Segura de Identidades Tipos de Ataques que generaron mayor cantidad de pérdidas económicas Robo de Información propietaria Denial of Service Gestión Segura de Identidades Criptografía (Cert. Digitales - VPNs) Firewall Detección/Prevención de Intrusiones (Monitoreo de Vulnerabilidades) Virus Antivirus

31 Legislaciones que afectan a la Seguridad Impacto de la Ley de Habeas Data y Firma Digital en la Seguridad Informática de las empresas. El estándar nacional, regional e internacional IRAM-ISO-IEC

32 Impacto de la Ley de Habeas Data en la Seguridad Informática de las Empresas

33 Ley de Habeas Data ARTICULO 1.- (Objeto) La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional. Incluye a bases de datos de organizaciones de áreas como Financieras y Salud, entre otras.

34 Ley de Habeas Data ARTICULO 2.- (Definiciones) A los fines de la presente ley se entiende por: - Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. - Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Toda información referente datos como la salud de las personas no sólo es considerada Dato Personal sino es definida específicamente como Dato Sensible.

35 Ley de Habeas Data ARTICULO 5.- (Consentimiento) 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley

36 Ley de Habeas Data - Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. - Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. - Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos. Deberá definirse un responsable de la base de datos, esto no tiene que ser personalizado sino que alcanzaría con un cargo existente en el organigrama. La definición se realiza por medio de un procedimiento administrativo incluido en la Política de Seguridad existente (de no existir de manera formal, se deberá documentar una)

37 Ley de Habeas Data - Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado. - Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley. Para el área Salud los Titulares de los datos son los pacientes, para la financiera son los clientes.

38 Ley de Habeas Data - Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos. Los usuarios de los datos son los responsables de las bases de datos de las organizaciones

39 Ley de Habeas Data ARTICULO 4.- (Calidad de los datos) 7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. La base de datos deberá prever un procedimiento de destrucción auditada de datos luego de un tiempo determinado de acuerdo a necesidades operativas. Este procedimeinto deberá estar documentado en la Política de Seguridad.

40 Ley de Habeas Data ARTICULO 9.- (Seguridad de los datos) 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. La responsabilidad sobre la Seguridad Informática de la base de datos pertenece a las Organizaciones y a quienes se conectan a ella (los mecanismos de seguridad no sólo deben estar en la base misma y en la transmisión de los datos sino también en las comutadoras conectadas a la base de manera directa -red de área local- o remota).

41 Ley de Habeas Data 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. Las Organizaciones que no implementen Seguridad Informática en sus sistemas, no podrán utilizarlos para almacenar, recibir y enviar datos de sus clientes.

42 Ley de Habeas Data ARTICULO 11.- (Cesión) 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. 2. El consentimiento para la cesión es revocable. Deberán existir mecanismos por medio de los cuales se registre la cesión de los datos por parte de sus dueños

43 Ley de Habeas Data ARTICULO 12.- (Transferencia internacional) 1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados. 2. La prohibición no regirá en los siguientes supuestos: a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo anterior; Se deberán implementar mecanismos seguros para la transmisión de datos

44 Ley de Habeas Data ARTICULO 21.- (Registro de archivos de datos. Inscripción) 1. Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control. Terminó el Censo

45 Ley de Habeas Data 2. El registro de archivos de datos debe comprender como mínimo la siguiente información: g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; h) Tiempo de conservación de los datos; i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. Estos puntos requieren de una Política de Seguridad Informática

46 Impacto de la Ley de Firma Digital en la Seguridad Informática de las Empresas

47 Ley de Firma Digital ARTICULO 1.- Objeto. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley. ARTICULO 2.- Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante encontrándose esta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.

48 Ley de Firma Digital ARTICULO 3.- Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia. Este artículo define la igualdad de validez entre la firma digital y la hológrafa. Por lo tanto: cualquier organización que maneje documentación que requiera ser firmada de manera hológrafa para que tenga validez legal, podrá utilizar un sistema de Firma Digital para lograr la misma validez legal, pero no así uno de firma electrónica o cualquier otro sistema de elección propia.

49 Ley de Firma Digital ARTICULO 5.- Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez. La firma electrónica puede seguir siendo utilizada, pero carece de validez legal a menos que esté respaldada por un convenio de partes

50 Ley de Firma Digital ARTICULO 25.- Obligaciones del titular del certificado digital. Son obligaciones del titular de un certificado digital: a) mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación; b) utilizar un dispositivo de creación de firma digital técnicamente confiable; c) solicitar la revocación de su certificado al Certificador Licenciado ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma; d) informar sin demora al certificador licenciado el cambio de alguno de los datos contenidos en el certificado digital que hubiera sido objeto de verificación. El cumplimiento de las obligaciones requiere de un sistema de seguridad informática específico.

51 Conceptos sobre Firma Digital utilizados en la Ley Argentina Firma Digital Herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales similar a los documentos hológrafos. Conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje.

52 Conceptos sobre Firma Digital utilizados en la Ley Argentina Firma Digital No implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente. Instrumento con características técnicas y normativas. Existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.

53 Conceptos sobre Firma Digital utilizados en la Ley Argentina Funcionamiento Utiliza procedimientos matemáticos que relacionan al documento firmado con información propia del firmante y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse que los contenidos no han sido modificados.

54 Conceptos sobre Firma Digital utilizados en la Ley Argentina Funcionamiento El firmante genera, mediante una función matemática, una huella digital del mensaje. FIRMANTE ALGORITMO HASH MENSAJE FINGERPRINT DEL MENSAJE

55 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL

56 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, luego descifra la firma digital del mensaje utilizando la clave pública del firmante y obtendrá la huella digital del mensaje original; MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE FIRMA DIGITAL

57 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, luego descifra la firma digital del mensaje utilizando la clave pública del firmante y obtendrá la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo. MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE COMPARACION

58 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales Documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. Permiten verificar que una clave pública específica pertenece, efectivamente, a un individuo determinado. Ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona.

59 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales Contienen una clave pública y un nombre. Habitualmente, un certificado también contiene una fecha de expiración, el nombre de la Autoridad Certificante que emitió ese certificado, un número de serie y otra información. El certificado propiamente dicho está firmado digitalmente por el emisor del certificado.

60 Certificado Digital CERTIFICADO DIGITAL CLAVE PUBLICA DEL SOLICITANTE OTROS DATOS ENCRIPCION CON HASH HASH DEL CERTIFICADO ENCRIPCION CON PRIVADA DE ENTIDAD CERTIFICANTE

61 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales El formato de los certificados está definido por el estándar internacional ITU-T X.509. Los certificados pueden ser leídos o escritos por cualquier aplicación que cumpla con el mencionado estándar.

62 La Norma IRAM-ISO 17799

63 Antecedentes 1995 se publica BS se revisa BS se adopta como ISO se homologa como IRAM la ONTI la toma como base para la definición de Políticas de Seguridad Informática para la Función Pública

64 IRAM-ISO-IEC La Norma de Seguridad Informática para Empresas 17799, aceptada como estándar por todo el mundo desde hace años, ha sido homologada por el Instituto Argentino de Racionalización en septiembre de Esto posibilita que todo requerimiento de Auditoría Interna, Externa, o proveniente de Clientes, Proveedores o Socios Estratégicos tenga un marco de referencia único.

65 IRAM-ISO-IEC La es la norma madre de las ISO de Seguridad Informática, por lo que su contenido está focalizado en las pautas para el gerenciamiento de la Seguridad Informática de las Organizaciones, sus Políticas de Seguridad y sus Planes de Continuidad de Negocios.

66 IRAM-ISO-IEC Definición Conjunto de normas de Seguridad de la Información sujeto a Auditoría y reconocido Globalmente

67 IRAM-ISO-IEC Apoya los esfuerzos de los gerentes de tecnología de la información facilitando la toma de decisiones de compra incrementando la cooperación entre múltiples departamentos por ser la seguridad un interés común ayudando a consolidar la seguridad como prioridad empresarial

68 IRAM-ISO-IEC Es una compilación de recomendaciones para las prácticas exitosas de seguridad que toda organización puede aplicar independientemente de su tamaño o sector. Fue redactada intencionalmente para que fuera flexible y no induce a las personas que la cumplían para que prefirieran una solución de seguridad específica.

69 IRAM-ISO-IEC Las recomendaciones son neutrales en cuanto a la tecnología Discute la necesidad de contar con firewalls, pero no profundiza sobre los tipos de firewalls y cómo se utilizan Esto conlleva a que algunos detractores de la norma digan que es muy general y que tiene una estructura muy imprecisa y sin valor real.

70 IRAM-ISO-IEC La flexibilidad es intencional por cuanto es imposible desarrollar una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo de la tecnología.

71 IRAM-ISO-IEC Beneficios Mayor seguridad en la empresa. Planeación y manejo de la seguridad más efectivos. Alianzas comerciales y e-commerce más seguras. Mayor confianza en el cliente. Auditorías de seguridad más precisas y confiables. Menor Responsabilidad civil

72 Estrategias Si no se tiene un sistema formal de organización y control de la Seguridad Informática, puede servir de base para realizar uno. Aunque no se necesite certificar, sirve como guía para configurar la Política de Seguridad de la empresa.

73 Las diez áreas de control Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles No todos los controles podrán aplicarse a cada empresa, sin embargo la norma ayuda a identificar los controles relevantes para cada empresas.

74 Organización de la Seguridad Objetivo: Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

75 Clasificación y Control de Activos Objetivo: Mantener una adecuada protección de los activos de la organización.

76 Seguridad Personal Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.

77 Seguridad Física y Ambiental Objetivo: Impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa.

78 Control de Accesos Objetivo: Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos la seguridad y de los negocios.

79 Desarrollo y Mantenimiento de Sistemas Objetivo: Asegurar que la seguridad es incorporada a los sistemas de información.

80 Administración de la Continuidad de Negocios Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.

81 Cumplimiento Objetivo: Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

82 Implementación El tiempo estimado para el proceso de adecuación de para la certificación es de seis a nueve meses dependiendo de la complejidad de la infraestructura del Area de Sistemas

83 Implementación No es un checklist de parámetros tecnológicos Resulta imposible una adecuación basada sólo en modificaciones de la configuración de la tecnología Es una "estructura" (no una lista) de recomendaciones para el gerenciamiento de la Seguridad Informática.

84 Implementación El tipo de norma hace imposible la aplicación de una metodología estándar, ya que se requiere un reanálisis de riesgo de las unidades de negocio de la empresa

85 Implementación La mejor forma de implementar la norma con éxito es mediante un proceso de reingeniería rápida y proactiva que lleve a la Seguridad Informática de la Empresa a su nivel óptimo, racionalice la inversión en tecnología y deje a la estructura en condiciones de obtener una certificación

86 La y su relación con las 9000 y Una adecuación o certificación a ISO tiene valor en sí misma y potencia una certificación ISO 9000 como lo hace una 14000

87 Auditoría - Evaluación de Estado bajo 17799

88 Auditoría - Evaluación de Estado bajo 17799

89 Políticas de Seguridad. Cadenas de Responsables Normas y procedimientos Documentación Dinámica

90 Cadenas de Responsables Area de Seguridad Informática (cuando no se debe cumplir un modelo establecido) 2 Responsables Máximos Grupo de Adminsitración de la Seguridad Grupo de Asistencia Técnica Grupo de HelpDesk -Reporte de Incidentes Grupo de Respuesta a Incidentes - Control Dos o más individuos capacitados para cada cargo con rotación ascendenteo paralela en la escala de capacitación Un individio puede cumplir más de una función compatible

91 Normas y procedimientos Utilización de la como modelo Un punto de control a cumplir de la norma puede requerir más de un procedimeinto

92 Política de Seguridad basada en Controles contra software malicioso Se deben implementar controles de detección y prevención para la protección contra software malicioso, y procedimientos adecuados de concientización de usuarios. La protección contra software malicioso debe basarse en la concientización en materia de seguridad y en controles adecuados de acceso al sistema y administración de cambios. Se deben tener en cuenta los siguientes controles: a) una política formal que requiera el uso de software con licencia y prohíba el uso de software no autorizado (ver ); b) una política formal con el fin de proteger contra los riesgos relacionados con la obtención de archivos y software desde o a través de redes externas, o por cualquier otro medio, señalando qué medidas de protección deberían tomarse (ver también 10.5, especialmente y ); c) instalación y actualización periódica de software de detección y reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida precautoria o rutinaria, d) realización de revisiones periódicas del contenido de software y datos de los sistemas que sustentan procesos críticos de al empresa. La presencia de archivos no aprobados o modificaciones no autorizadas debe ser investigada formalmente;

93 Política de Seguridad basada en a) Política de uso de software con licencia Sólo está permitido el uso de software con licencia en toda la organización. Se prohibe la instalación de cualquier tipo de software por parte de los usuarios El personal de Tecnología es el único autorizado para instalar software en cualquier computadora de la organización En caso de que algún usuario necesite la instalación de un software específico por razones de trabajo, el supervisor del área correspondiente se lo solicitará al supervisor de Tecnología por medio de un procedimiento formal y documentado El personal de tecnología será responsable de llevar adelante un inventario de software e implementar mecanismos automáticos y manuales para detectar la instalación de cualquier tipo de software por parte de personal no autorizado