SEMINARIO TALLER SISTEMA INTEGRADO DE GESTIÓN Y AUDITORÍAS INTERNAS EN EL ESTADO COLOMBIANO

Transcripción

1 SEMINARIO TALLER SISTEMA INTEGRADO DE GESTIÓN Y AUDITORÍAS INTERNAS EN EL ESTADO COLOMBIANO Sistema de ges+ón de seguridad de la información Referentes norma+vos, generalidades, integración al Sistema Integrado de Ges+ón en el Estado Colombiano. Estudio de caso. CARLOS GILBERTO DELGADO BOGOTÁ, JULIO DEL 2013

2 Obje+vo Conocer como implementar un SGSI Reconocer los fundamentos y las fases de implementación de un SGSI Reconocer la integracion en un sistema integrado.

3 Logo usado por Apple. Video de Ken Robinson UN BUEN INICIO Podemos hacer las cosas de manera diferente? Se requiere la par6cipación de todos!!

4 All for one, One for All

5 La mejor Medida de Seguridad!!! Uso racional de la tecnología. Desconéctate!!!

6 Nuevo Modelo de Gobierno en Línea Cero Papel Información Abierta Trámites y Servicios En<dad Digital Abierta Polí<ca y Estrategia Concentrada Colaboración Centrada en el Usuario Múl<ples Canales

7 Nuevo Modelo de Gobierno en Línea Temas Prioritarios

8 Por que? La evolución de la tecnología se enfoca en su facilidad de uso Se incrementa el uso de la red y las las aplicaciones en entornos de red Movilidad Ubiquidad Analogía Red Cableada Red Inalámbricas Fuente: Dilbert.com - Daily Strip

9 Teletrabajo 9

10 Evolución Diferentes estados de los usuarios móviles. 10

11 Ejemplo de Pishing. COMO SE HACE

12 Menor conocimiento mayor daño Herramientas libres Manuales Ejemplos Hacktivismo Desconocimiento

13 Como realizar algunos ataques Nos puede poner en problemas?

14

15 Lo que podemos hacer es hacérselo lo mas dizcil posible!!! SI EL ENEMIGO QUIERE OBTENER ACCESO A SUS SISTEMAS, LO HARÁ!! CORREO ANÓNIMO, CLAVES WEP WPA HACKING WITH GOOGLE?

16 Ponernos de acuerdo.. Concepto base Elementos Protector Agresor (puede ser interno, externo) Elemento de valor Definición, la seguridad es la interrelación dinámica (competencia) entre el agresor y el protector para obtener el elemento de valor Taller 1.Sistema de no formal de SGSI 16

17 Elementos fundamentales Fuente EC-Council

18 Obje?vos de la seguridad Fundamentales Confidencialidad Integridad Disponibilidad Donde Estamos Adicionales Auten+cidad Autorización Auditoria (informá+ca forense) Modelo AAA (Auten+cacion, Autorizacion, Auditoria) 18

19 P1: El intruso al sistema u+lizará la manera que haga más fácil su acceso y posterior ataque P2: los datos confidenciales deben protegerse sólo hasta que ese secreto pierda su valor como tal. P3: las medidas de control se implementan para que tengan un comportamiento efec+vo, eficiente, sean fáciles de usar y apropiadas al medio. Principios, Herramientas, Hacking COMO PENSAR COMO ELLOS COMO LO HACEN

20 Fases de un ataque Es un proceso natural!!! No? Fuente EC-Council

21 Herramientas Backtrack (con+ene 200 herramientas) Ophcrack Wireshark Cain y Abel AirCrack Iptools La gran mayoría Libres Ejemplos

22 Medidas, controles QUE PODEMOS HACER

23 Seguridad de la Información La seguridad de la información consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Para garan+zar que la seguridad de la información es ges+onada correctamente, se debe hacer uso de un proceso sistemá+co, documentado y conocido por toda la organización. Por información se en+ende Aquella documentación en poder de una organización e independientemente de la forma en que se guarde o transmita (escrita, representada mediante diagramas o impresa en papel, almacenada electrónicamente, proyectada en imágenes, enviada por fax o correo, o, incluso, transmi+da de forma oral en una conversación presencial o telefónica), de su origen (de la propia organización o de fuentes externas) y de la fecha de elaboración.

24 Factores a aclarar Amenaza, Una causa potencial de un incidente no- deseado, el cual puede resultar en daño a un sistema u organización (ISO/ IEC :2004) Vulnerabilidad, La debilidad de un ac+vo o grupo de ac+vos que puede ser explotada por una o más amenazas. (ISO/IEC :2004) Riesgo, Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002) Incidentes de seguridad informa<ca, Un incidente de Seguridad Informá+ca está definido como un evento que atente contra la Confidencialidad, Integridad y Disponibilidad de la información y los recursos tecnológicos de la organzaicion. 24

25 Familia ISO ISO 27000:Términos y definiciones que se emplean en toda la serie ISO 27001: Es la norma principal de la serie y con+ene los requisitos del sistema de ges+ón de seguridad de la información. ISO 27002: Es una guía de buenas prác+cas que describe los obje+vos de control y controles recomendables en cuanto a seguridad de la información. No es cer+ficable. ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. ISO 27005:Establece las directrices para la ges+ón del riesgo en la seguridad de la información. ISO 27006: Especifica los requisitos para la acreditación de en+dades de auditoría y cer+ficación de sistemas de ges+ón de seguridad de la información. ISO 27007: Consiste en una guía de auditoría de un SGSI.

26 Propuesta ISO

27

28 Antes de todo La primera consideración importante que tiene que hacerse a la hora de abordar la implantación de un SGSI es restringirse a un ámbito manejable y reducido. Taller de Definir Alcance No es necesario ni aconsejable, muchas veces ni siquiera viable, el abarcar toda la organización o gran parte de ella si no se cuentan con los recursos materiales y humanos. Entendiendo que la implantación es sólo la primera parte, después el SGSI debe mantenerse y eso requiere también de una cierta dedicación.

29 Taller Definir Alcance

30 Planear Conocer la Institución Entrevistas Reuniones Reunión con la dirección y partes interesadas, Documento de la política Matriz de Activos, Criterios de Valoración, Identificación y Gestión de Activos Modelo MECI, ANZ 4360, Otave, Magerit 30

31 Siguiente paso Realizar el Gap Análisis. Esta tares permite analizar la brecha frente a los requerimientos y nos puede dar una línea base Taller Gap Análisis, plan+lla para GAP 31

32 Comité de seguridad. Los par+cipantes de este comité son los que tratan Los problemas de seguridad y las no conformidades Discuten y deciden las soluciones a los mismos Iden+fican cambios significa+vos y como deben ser ges+onados Valoran si los controles implantados son suficientes y coordinan la implantación de los nuevos Resuelven los asuntos interdisciplinarios Revisan y aprueban directrices y normas, proponen obje+vos a la dirección y revisan con ella la marcha de los mismos. En la medida de lo posible deberían colaborar todas las áreas de la organización de manera que todas las decisiones fueran lo más informadas y consensuadas posible.

33 Algunas responsabilidades clave La Dirección +ene varias de las responsabilidades clave en la puesta en marcha y funcionamiento del SGSI. Es la Dirección la que debe: Aprobar la Polí+ca y los obje+vos de seguridad. Aprobar los riesgos residuales, aquellos que quedan tras la aplicación de controles de seguridad y que en ese momento no se pueden reducir más, por lo que la organización debe asumirlos. Aprobar los planes de formación y auditorías. Realizar la revisión del SGSI.

34 Responsable de Sistemas. Tiene entre sus obligaciones: Llevar a cabo las ac+vidades de ges+ón del SGSI actuando en coordinación con el responsable de seguridad. Administrar y ges+onar las cuentas de los usuarios y los privilegios de acceso de cada uno de ellos. Asegurarse de que sólo las personas autorizadas a tener acceso a la información y los sistemas cuentan con él. Asegurarse de que los sistemas +enen los niveles de disponibilidad requeridos por la organización. Incluir en los requisitos para nuevos desarrollos los aspectos de seguridad que apliquen.

35 Propietario de ac?vos Definir si el ac+vo está afectado por la Ley de Protección de Datos (Ley Estatutaria No.1581 de 2012) y aplicarle en su caso, los procedimientos correspondientes. Definir quienes pueden tener acceso a la información, cómo y cuándo, de acuerdo con la clasificación de la información y la función a desempeñar. Informar al Responsable de Seguridad de la Información cuando detecte cualquier incidencia para tratarla y corregirla. Implementar las medidas de seguridad necesarias en su área para evitar fraudes, robos o interrupción en los servicios. En los casos que aplique, asegurarse de que el personal y los contra+stas +enen cláusulas de confidencialidad en sus contratos y son conscientes de sus responsabilidades.

36 Personal en general Cualquier integrante de la organización deberá: Conocer y comprender la Polí+ca de Seguridad y los procedimientos que apliquen a su trabajo. Llevar a cabo su trabajo, asegurándose de que sus acciones no producen ninguna infracción de seguridad. Comunicar las incidencias de seguridad que detecte mediante el canal establecido para ello. Terceras partes Cualquier en+dad externa a la organización que de alguna manera tenga acceso a los ac+vos de información de la misma (clientes, usuarios, contra+stas, etc.) debería: Conocer la Polí+ca de Seguridad y entender su impacto en las relaciones con la organización. Cumplir lo es+pulado en los contratos respecto a la seguridad de la información de los ac+vos con los que trabajan. Comunicar las incidencias de seguridad que detecten.

37 Polí?ca de seguridad "una Polí<ca de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permi+do en el área de seguridad durante la operación general del sistema. La RFC 1244 define Polí<ca de Seguridad como: "una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informá+cos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organiza+vas que se requerirán." (4) "(...) una polí+ca de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas. La define la Dirección, estableciendo en ella de forma clara las líneas de actuación en esta área, que deben estar alineadas con los obje+vos de negocio. La polí+ca de seguridad de la información se debe revisar a intervalos planificados

38 ANÁLISIS DE RIESGOS

39 Realizar análisis de riesgos El análisis de riesgos es la piedra angular de un SGSI. Es la ac+vidad cuyo resultado nos va a dar información de dónde residen los problemas actuales o potenciales que tenemos que solucionar para alcanzar el nivel de seguridad deseado. La valoración del riesgo debe iden+ficar las amenazas que pueden comprometer los ac+vos, su vulnerabilidad e impacto en la organización, determinando el nivel del riesgo. MECI es marco de referencia, pero se puede tomar modelos para complementarlo, MECI proviene de ASNZ Hoy día se actualiza a iso31000, se puede complementar con Magerit para sistemas de información.

40 Taller Iden+ficación de Riesgos Macroprocesos: Ges+ón NTIC s Proceso: Desarrollo de proyectos informá+cos Obje<vos del proceso: Iden+ficar y validar la necesidad de crear un proyecto, definiendo caracterís+cas específicas con los involucrados, op+mizando los recursos disponibles, estableciendo sí es posible desarrollarlo con los recursos Zsicos y humanos de la División de Informá+ca. Verificar la disponibilidad de los servicios que ofrece la División de Informá+ca, a toda la comunidad Neogranadina. Implementar medidas para el control y el seguimiento a los incidentes de Seguridad de la información Revisar los obje+vos y el riesgos es no cumplirlos

41 Inventario de Ac+vos Debe abordarse la elaboración de un inventario de ac+vos que recoja los principales ac+vos de información de la organización, y cómo deben valorarse esos ac+vos en función de su relevancia para la misma y del impacto que ocasionaría un fallo de seguridad en ellos. Las tareas son: (taller) Iden+ficación de los ac+vos de información. Inventario de ac+vos. Valoración de los ac+vos.

42 Se denomina ac+vo a aquello que +ene algún valor para la organización y por tanto debe protegerse. De manera que un ac+vo de información es aquel elemento que con+ene o manipula información. IDENTIFICACIÓN DE LOS ACTIVOS DE INFORMACIÓN

43 INVENTARIO DE LOS ACTIVOS El inventario de ac+vos que se va a u+lizar para la ges+ón de la seguridad no debería duplicar otros inventarios Debe recoger los ac+vos más importantes e iden+ficarlos de manera clara y sin ambigüedades.

44 REALIZAR EL ANÁLISIS DE RIESGOS

45 Hay cuatro +pos de decisiones para tratar los riesgos que se consideran no aceptables: Transferirlo: El riesgo se traspasa a otra organización, por ejemplo mediante un seguro. Eliminarlo: Se elimina el riesgo, que normalmente sólo se puede hacer eliminando el ac+vo que lo genera, por ello esta opción no suele ser viable. Mi<garlo: Es decir, reducir el riesgo, normalmente aplicando controles de seguridad. Asumirlo: Otra opción común es aceptar que no se puede hacer nada y por lo tanto se asume ese riesgo.

46 Donde detectar amenazas y vulnerabilidades de los ac?vos informá?cos Cuando? Se almacena Se transporta

47 Selección de controles Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. U+lizar para ello los controles del Anexo A de ISO (los controles de la ISO 27002) La importancia de la selección de controles es básica para cualquier SGSI. Se debe definir la medición de la eficacia de los controles seleccionados grupos de controles y especificar cómo estas medidas son u+lizadas para evaluar la eficacia de los controles. La eficacia del SGSI depende de la eficacia de los controles implantados. Para conocer la eficacia de los controles es imprescindible implantar indicadores que proporcionen información. Gap Análisis muestra los controles.

48 Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. (esto debe pasar por el comité) Realizar la Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la jus+ficación de cualquier control del Anexo A excluido. Riesgo Inherente Riesgo Residual, ISO El riesgo inherente es aquél al que se enfrenta una en+dad en ausencia de acciones de la dirección para modificar su probabilidad o impacto. El riesgo residual es aquél que permanece después de que la dirección desarrolle sus respuestas a los riesgos.

49 Fase de hacer (do)

50 Los principales documentos a generar son: Polí6ca de seguridad. Con las líneas generales que la organización desea seguir en seguridad. Inventario de ac6vos. Con la descripción de los ac+vos de información de la organización y su valoración para la misma. Análisis de riesgos. Con los valores de riesgo de cada uno de los ac+vos. Declaración de aplicabilidad Procedimientos. Con la descripción de las tareas a realizar para la ejecución de los controles que lo necesiten o de las tareas de administración del SGSI. Registros. Son las evidencias de que se han realizado las tareas definidas para el SGSI. Son muy importantes de cara a poder medir la eficacia de las medidas implantadas así como a jus+ficar las labores realizas frente a las auditorías del sistema (tanto internas como externas).

51 Fase de chequear (check)

52 Auditoría interna Tiene por objeto la medida y evaluación de la eficacia de otros controles, mediante la auditoría se determinar si los obje+vos de los controles, los controles, los procesos y los procedimientos: Están conformes con los requisitos de la Norma UNE/ISO- IEC Están conformes con la legislación y regulaciones aplicables. Están conformes con los requisitos de seguridad iden+ficados. Están implementados y mantenidos de manera efec+va. Dan el resultado esperado. Si se detectan no conformidades, deben tomarse las acciones oportunas para corregirlas.

53 Fase de actuar

54 ISO Esta norma con+ene 11 capítulos de controles de seguridad que con+enen un total de 133 controles de seguridad. Puede servir de guía prác+ca para la ges+ón de la seguridad de la información. No es una norma cer+ficable. Los obje+vos de control contemplados en la Norma son

55 Áreas de control

56

57

58

59

60 Sección 6. Seguridad de los recursos humanos

61 Seguridad de recursos humanos Antes Durante y al Finalizar el empleo Obje+vo: Asegurar que los empleados, contra+stas y terceros en+endan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

62 Seguridad asica y ambiental Áreas seguras Obje+vo: Evitar el acceso Zsico no autorizado, daño e interferencia con la información y los locales de la organización. Los medios de procesamiento de información crí+ca o confidencial debieran ubicarse en áreas seguras, protegidas por los perímetros de seguridad definidos, con las barreras de seguridad y controles de entrada apropiados. Debieran estar Zsicamente protegidos del acceso no autorizado, daño e interferencia. Perímetros, controles de acceso, oficinas seguras, áreas publicas, Manejo de equipo de cómputo, asignación, re+ro y re- uso.

63

64 Ges<ón de las comunicaciones y operaciones Procedimientos y responsabilidades operacionales Obje+vo: Asegurar la operación correcta y segura de los medios de procesamiento de la información. Se debieran establecer las responsabilidades y procedimientos para la ges+ón y operación de todos los medios de procesamiento de la información. Esto incluye el desarrollo de los procedimientos de operación apropiados. Cuando sea apropiado, se debiera implementar la segregación de deberes para reducir el riesgo de negligencia o mal uso deliberado del sistema.

65

66 Adquisición, desarrollo y mantenimiento de los sistemas de información Requerimientos de seguridad de los sistemas de información Obje+vo: Garan+zar que la seguridad sea una parte integral de los sistemas de información. Los sistemas de información incluyen sistemas de operación, infraestructura, aplicaciones comerciales, productos de venta masiva, servicios y aplicaciones desarrolladas por el usuario. El diseño e implementación del sistema de información que soporta el proceso comercial puede ser crucial para la seguridad. Se debieran iden+ficar y acordar los requerimientos de seguridad antes del desarrollo y/o implementación de los sistemas de información.

67 Control del acceso Requerimiento del negocio para el control del acceso Obje+vo: Controlar el acceso a la información. Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad. Las reglas de control del acceso debieran tomar en cuenta las polí+cas para la divulgación y autorización de la información. Escritorios y Pantallas limpios (Circular de Escritorio Limpio)

68

69 Ges<ón de un incidente en la seguridad de la información Reporte de los eventos y debilidades de la seguridad de la información Obje+vo: Asegurar que los eventos y debilidades de la seguridad de la información asociados con los sistemas de información sean comunicados de una manera que permita que se realice una acción correc+va oportuna. Se debieran establecer procedimientos formales de reporte y de la intensificación de un evento. Todos los usuarios empleados contra+stas y terceros debieran estar al tanto de los procedimientos para el reporte de los diferentes +pos de eventos y debilidades que podrían tener un impacto en la seguridad de los ac+vos organizacionales. Creacion de los Csirt. Ciberseguridad, CiberDefensa 69

70

71 GESTION DE CONTINUIDAD DEL NEGOCIO La ges+ón de la con+nuidad de negocio consta de varias tareas encaminadas a la obtención de un plan de con+nuidad eficaz y viable que permita a la organización recuperarse tras un incidente grave en un plazo de +empo que no comprometa su con+nuidad. La con+nuidad del negocio se define como la capacidad de una organización de reaccionar ante incidentes e interrupciones del negocio, de manera que sus procesos crí+cos no dejen de ejecutarse. Ges+onar la con+nuidad del negocio es el proceso de iden+ficar las amenazas que pueden ocasionar interrupciones en la organización y planificar las acciones necesarias para que, si llegan a ocurrir, se minimice el impacto y se pueda llevar a cabo la recuperación de los procesos en un plazo determinado de +empo.

72 BIA

73 RTO RPO

74 Fases Fase de No<ficación ó Detección: Debe instruirse al personal para que informen en caso de que detecten cualquier incidencia grave mediante un canal de comunicación claro y preciso. Fase de ac<vación: El Responsable asignado para la tarea deberá valorar si la incidencia que ha sido reportada es mo+vo suficiente para ac+var el Plan de Con+nuidad. Fase de recuperación: En esta fase se trata de volver a poner en funcionamiento los sistemas y servicios, en una ubicación alterna+va si fuera necesario, y de reparar el daño que hayan sufrido en la ubicación original. Fase de restablecimiento: En esta fase se recogen las ac+vidades necesarias para restaurar los sistemas y servicios en su ubicación original o en una nueva si no fuera posible volver a la anterior.

75

76 En Colombia marco legal LEY ESTATUTARIA 1266 DEL 31 DE DICIEMBRE DE 2008 Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, credi+cia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Ver esta ley. LEY 1273 DEL 5 DE ENERO DE 2009 Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado de la protección de la información y de los datos - y se preservan integralmente los sistemas que u+licen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Ver esta ley. LEY 1341 DEL 30 DE JULIO DE 2009 Por la cual se definen los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones - TIC-, se crea la Agencia Nacional del Espectro y se dictan otras disposiciones. LEY ESTATUTARIA 1581 DE 2012 Entró en vigencia la Ley 1581 del 17 de octubre 2012 de PROTECCIÓN DE DATOS PERSONALES, sancionada siguiendo los lineamientos establecidos por el Congreso de la República y la Sentencia C- 748 de 2011 de la Corte Cons+tucional.

77 SGSI en un Sistema Integrado Integracion de la polí+ca Introduccion elementos del SGSI en los procesos actuales Generar procedimientos propios del SGSI Vincular procesos comunes Generacion de indicadores

78 Conclusiones SGSI integra todas las áreas de la ins+tución que manejan algún +po de información SGSI trabaja antes de los problemas, durante y después SGSI es un proceso, no uno o varios productos, esto indica que es con+nuo y lleva la mejora constante, bajo la revisión con+nua de todos sus elementos. La mejora con<nua nos prepara para evitar nuevos problemas y también para corregir los existentes, acá es donde se convierte en una herramienta de contra- medidas. 78

79 SESIÓN DE PREGUNTAS Y RESPUESTAS? Carlos Gilberto Delgado Beltran carlosg.delgado@gmail.com 79

80 DATOS DE CONTACTO DEL CONFERENCISTA CARLOS GILBERTO DELGADO BELTRAN Correo CEF CONSULTORÍA, ESTRATEGIA Y FORMACIÓN- Website: Conmutador Bogotá: Móvil: FUNDASUPERIOR Website: Conmutador Bogotá: Móvil: