Hacia un Sistema de Gestión de la Seguridad de la Información: la experiencia de la Universitat Jaume I

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Hacia un Sistema de Gestión de la Seguridad de la Información: la experiencia de la Universitat Jaume I"

Andrea Ortiz Romero
hace 8 años
Vistas:

1 Hacia un Sistema de Gestión de la Seguridad de la Información: la experiencia de la Universitat Jaume I Vicent Andreu Navarro 1

2 Introducción La adaptación a la LOPD: el Documento de Seguridad del RD 994/1999 Del Documento de Seguridad al Manual de Seguridad de los Sistemas de Información Marco de referencia: UNE-ISO/IEC y UNE

al Manual de Seguridad de los Sistemas de Información

3 Idea global Adaptación a la legalidad Cambio organizativo y cultural Mejora continua de la seguridad 3

4 El proceso LOPD DS MSSI SGSI Adaptación a la LOPD Trámites administrativos Aspectos legales Aspectos técnicos PROYECTO: Auditoría legal y de seguridad 4

5 Adaptación a La LOPD Aspectos organizativos: Quién se hace responsable de la información? Implementar procedimientos para el cumplimiento de la ley Adaptar cambios a la organización existente 5

6 Adaptación a la LOPD Aspectos culturales: Respeto a la intimidad Conciencia de la importancia de la seguridad de los datos Cambios en prácticas tradicionales 6

7 El proceso LOPD DS MSSI SGSI Documento de seguridad INPUT: Auditoría LOPD Medidas organizativas Medidas técnicas PROYECTO: Redacción del documento de seguridad LOPD 7

8 El Documento de Seguridad Aspectos organizativos: Segregación de funciones: responsabilidad de los datos, responsabilidad de la seguridad. La técnica como soporte de la gestión Canal único en seguridad de la información 8

9 El Documento de Seguridad Aspectos técnicos: Políticas de seguridad y administración de la seguridad Análisis de las medidas de seguridad existentes Mejora de la seguridad para satisfacer las exigencias legales 9

10 El proceso LOPD DS MSSI SGSI Manual de Seguridad de los Sistemas de Información Ampliación del ámbito Marco de referencia Inserción en el proceso tecnológico PROYECTO: Mejora de la seguridad de los sistemas de información 10

referencia Inserción en el proceso tecnológico

11 Manual de Seguridad de los Sistemas de Información Ampliación del ámbito de aplicación a toda la información: Responsabilidad interna. Procedimientos. Responsabilidad de la seguridad. 11

12 Manual de Seguridad de los Sistemas de Información Norma interna en materia de seguridad. Inserción en el proceso tecnológico. Búsqueda de un marco de referencia: norma UNE-ISO/IEC

13 El proceso LOPD DS MSSI SGSI Sistema de Gestión de la Seguridad de la Información Directrices marcadas por las normas Mejora continua PROYECTO: Análisis de riesgos CRAMM PROYECTO: Análisis diferencial normas y

las normas Mejora continua PROYECTO: Análisis de

14 La gestión de la Seguridad de la Información UNE-ISO/IEC Código de buenas prácticas para la gestión de la seguridad de la información. UNE Especificaciones para los Sistemas de Gestión de la Seguridad de la Información. 14

15 La definición de un SGSI: Valoración de activos y Análisis de Riesgos Planificación y diseño del SGSI: Identificación y valoración de activos Estudio del riesgo al que pueden estar sometidos Análisis de riesgos: metodología CRAMM. 15

y valoración de activos Estudio del riesgo al que pueden

16 La definición de un SGSI: Valoración de activos y Análisis de Riesgos Fase I: Identificación y valoración de activos Se identifican 17 activos de información Se elabora árbol de relaciones (activo, modo de acceso, activo físico, ubicación) Se valora la importancia del activo para la organización mediante entrevistas a los responsables 16

elabora árbol de relaciones (activo, modo de acceso, activo físico, ubicación) Se

17 Activos de Información más importantes Indisponibilidad Dest Revel. Modif. Comunicaciones Asset P 15 M 1 H 3 H 12 H 1 D 2 D 1 W 2 W 1 M 2 M B T I C O S E W E D M In Or Rc Nd Rp Mr Tm Os Datos personales sensibles Expediente academico Gestion economica Matricula estudiantes Practicas e intercambios Publicaciones Titulacion

sensibles 2 2 2 2 2 2 2 3 3 1 3 6 6 3 1 3 Expediente academico 1 3 3 3 6 6 6 6 2 7 3 5 1 3 3 Gestion economica 7 7 7 7 7 7 7 7 2 4 2 3

18 La definición de un SGSI: Valoración de activos y Análisis de Riesgos Fase II: Valoración del riesgo Determinación a priori de las amenazas a estudiar Vulnerabilidad de los activos a las amenazas a partir de cuestionarios predefinidos Matriz de cálculo del nivel de riesgo 18

amenazas a estudiar Vulnerabilidad de los activos a las amenazas a

19 Impacto Cálculo del Riesgo Am. VL VL VL L L L M M M H H H VH VH VH Vuln. L M H L M H L M H L M H L M H

3 2 3 3 3 3 4 3 4 4 4 2 2 3 2 3 3 3 3 4 3 4 4 4 4 5 5 2 3 3 3 3 4 3 4 4 4 4 5 4 5 5 6 3 3 4 3 4 4 4 4 5 4

20 Riesgos más importantes Activos Amenaza Vuln Max. Riesgo Masquerading of User Identity by Outsiders!!Servicios UJIER Very High High 6!!Otros Servicios Very High High 6 Introduction of Damaging or Disruptive Software!!PCs Very High High 6!Red UJINET High High 6 Communications Infiltration!!Servicios UJIER Very High High 6!!Otros Servicios Very High High 6 Communications Failure!!Servicios UJIER High High 6 Embedding of Malicious Code!!Servicios UJIER Very High High 6!!Otros Servicios Very High High 6 System and Network Software Failure!!Servidores MS Very High High 6 Theft by Outsiders!!Edificios UJI Very High High 6 20

!Servicios UJIER Very High High 6!!Otros Servicios Very High High 6 Communications Failure!!Servicios UJIER High High 6 Embedding of Malicious Code!

21 La definición de un SGSI: Valoración de activos y Análisis de Riesgos Fase III: Gestión del riesgo Selección de contramedidas Establecimiento del umbral de riesgo admisible Priorización en función del nivel de riesgo Determinación de las amenazas a estudiar 21

22 Niveles y Umbrales de Riesgo Niveles de Riesgo Contramedidas 7 6 Umbral Riesgo Alto Altos Implantar & Auditar 5 4 Umbral Riesgo Medio Medios Implantar 3 2 Bajos Estudiar 1 22

23 Gestión de los riesgos Estado Contramedida Sin Definir Definida Implantada Implantada y Auditada Nivel de Riesgo Objetivo Alto Medio Bajo

24 Proyectos de seguridad (i) Nº Descripción Proyecto Servicio Responsable NIVSEC NIVEL Nº CM ADA Adecuación Desarrollo Aplicat ivos Desarrollo/ Propiet ario -1, AUD Auditoria Control Interno -1, CAL Manual de calidad UJI Gerencia -1,3-8 6 CAM Gest ión de cambios Servicios Informat icos -2, CLA Clasificación de la información Servicios Informat icos -2, CON Plan de cont ingencia Servicios Informat icos -1, CSN Gestión de Contraseñas Servicios Informaticos -3, DES Estandares de desarrollo Desarrollo -2, DIV Divulgación de la seguridad RRHH -2, DVI Detección de Virus e Intrusión Seguridad informatica -2, GID Gestión de identidad Servicios Informaticos -2, GIN Gest ión de incidencias Servicios Informat icos -1, INV Gest ión de invent ario Servicios Informat icos -2, ITIL Procesos ITIL Servicios Informaticos -1, JUR Aspectos contractuales y juridicos Asesoria juridica -2,

25 Proyectos de seguridad (ii) Nº Descripción Proyecto Servicio Responsable NIVSEC NIVEL Nº CM MON Monitorización Servicios Informaticos -1, ORG Organización y gestión de la seguridad Gerencia -2, POL Normas y procedimientos Servicios Informaticos -2, RED Redes y comunicación Comunicaciones -2, REM Segurizar Acceso remoto Comunicaciones -3, RRHH Mejora RRHH RRHH -1,7-5 3 SDA Seguridad en Directorio Activo Microinformatica -2, SFA Control de acceso Fisico Infraestructura y servicios -2, SFM Material y mercancias Infraestructura y servicios -2, SFO Prevención Operacional Infraestructura y servicios -2, SFP Seguridad Perimetral Infraestructura y servicios -3, VUL Analisis de vulnerabilidades Seguridad informatica -2, XNA No APLICA 0, XOC Objetivo cumplido 0,

26 La definición de un SGSI: Análisis diferencial normas UNE y UNE 71502: Verificación del grado de implantación y madurez de las cláusulas de gestión. UNE-ISO/IEC 17799: derivado directamente de la Gestión del riesgo CRAMM facilita la indexación de contramedidas respecto a la norma 26

27 La definición de un SGSI: conclusiones Incorporación de la sistemática PLAN- DO-CHECK- ACT a la seguridad de la información. PLAN ACT DO CHECK 27

28 La definición de un SGSI: conclusiones. Mayores necesidades de mejora: Clasificación de la información Control de accesos Áreas más fuertes: Organización, RRHH, Continuidad y Conformidad 28

Documentos relacionados

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema