Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Transcripción

1

2 Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad. 2

3 Expresión visión Metas Expectativas Objetivos 3

4 Gestión Ética (Governance: Honesty & Integrity -Ethics) Manejo de Riesgos (Risk Management) Cumplimiento (Compliance) Estabilidad de operaciones (Business Resilience) Madurez colectiva (Awareness & Training) Fiscalización (Monitoring) Divulgación y ajuste (Reporting, feedback & adjusting) 4

5 Gestión ética (Governance): Visión Código de Ética organizacional Políticas Estándares y Guías (Best Practices) Procedimientos Roles y responsabilidades: Segregación de funciones Responsabilidad (Accountability) Métricas de cumplimiento Compromiso con enfoque de continuidad (Business resilience) Planificación del proceso 5

6 Manejo de riesgo: Identificación de riesgos y Gap Analisys Metodologías y estándares: NIST SP , 14, 18, 26, 30, 37 Octave CobIT & ValIT COSO ISO 17799:2002 & ITIL OCEG Red Book RFC 2196 Site Security Handbook PCI & VISA Cardholder InfoSec Program Controles y métricas: Preventivos Mitigación Correctivos Avalúo de controles 6

7 Avalúo regulatorio (Legal Assessment): Identificación del entorno regulatorio aplicable Estimación de impacto organizacional Integración y contacto con asesores legales externos Cumplimiento con regulaciones (Compliance): Tecnológicas (IT Regulatory Compliance) Operacionales (Non IT Regulations) De la industria o negocio (Industry related regulations) Gestión de incidentes: Manejo de evidencia electrónica Computación forense Integración y contacto con agencias del orden público 7

8 Estabilidad y confiabilidad (Business resilience): Continuidad de operaciones (Business Continuity Plan) Recuperación frente a desastres (Disaster Recovery Plan) Confiabilidad en permanencia(business Resilience) Madurez colectiva organizacional: Plan de concienciación (Awareness & Training Plan) Lealtad y compromiso del personal (Employee Adherence) Responsabilidad personal (Non-Compliance consequences) Métricas de cumplimiento 8

9 Avalúo de sistemas: Configuración de sistemas y servicios Pruebas de sistemas y de TI s Autenticación y controles de acceso Análisis de vulnerabilidades (Vulnerability Assessment) Administración de seguridad de la Red( Network Security Administration) Respuesta a incidentes (Risk and Emergency Response): Comité de Emergencias Procedimientos: detección, respuesta, recuperación y corrección Comunicación y colaboración 9

10 Fiscalización de cumplimiento (Monitoring): Sistémico Systemic monitoring Periódico mediante: Auditorías internas Auditoriás externas Auditorías por agencia(s) reguladoras Divulgación y ajuste (Reporting, feedback & adjusting): Divulgación de hallazgos (Disclosure) Mitigación efectiva (Remediation & Due Dilligence) Actualización y ajustes (Plan modification & update) 10

11 Redifinición de Prácticas Modificación de Roles Integración de tecnologías 11

12 Políticas Procedimientos Guías o prácticas generalmente aceptadas Manuales Controles 12

13 Fisica & Lógica Uso aceptable de la(s) tecnología(s): Estaciones de trabajo Navegación Servidores y servicios en red Laptops-Netbooks Telefonía integral Unidades de almacenamiento móviles (Pen/Jump drives) Herramientas de comunicación: Correo electrónico Mensajería instantánea & Chat Sedes virtuales de socialización Servicios de conexión (P2P) y transferencia de archivos Servicios de transmisión de voz & vídeo Acceso local y remoto a servicios Autenticación Copias de resguardo Auditoría (monitoring) de la seguridad 13

14 Flujo de información (entre & dentro) procesos: Seguridad de los depósitos transitorios y permanentes Controles y protección mientras navega dentro de la organización Controles y protección cuando sale del perímetro Integridad de la información: Disponibilidad (a tiempo, precisa, completa, actualizada) Certeza de su veracidad e integridad (no adulterada accidental o intencionalmente) Protegida frente acceso indebido (ie. Cifrada) Reproducible de forma consistente Recuperable en caso de destrucción o pérdida 14

15 Balance entre seguridad y necesidad de acceso: Controles efectivos que contribuyan a la eficiencia Protección de la privacidad asegurando cumplimiento Acopio de métricas para estimar productividad y efectividad (tecnología(s) & control(es)) Implicaciones de seguridad en procesos críticos: Disponibilidad ATH/DTP Intercambio/Integración de información entre procesos Integridad de almacenes de datos/transacciones Impacto en Human-Computer Interaction: Integración de servicios & aplicaciones & herramientas Destrezas tecnológicas & dominio de procesos Apoyo técnico (interno/externo) 15

16 Estándares de la industria Controles: Manuales Sistémicos Tecnológicos Percepción vs. realidad 16

17 Jerarquía de roles: Top level management Legal Counsel Compliance Officer Internal auditor Security Officer IT Human Resources Business units Responsabilidades IT: Descripción plazas tareas competencias Distribución de tiempo Asignación de recursos Fiscalización de cumplimiento 17

18 Diseño estratégico de seguridad: Qué controlar? Cuáles controles integrar? Qué medidas de respuesta? Implantación: Herramientas Afinamiento Fiscalización: Baselines Patrones o Tendencias Acción: Comité de respuesta Alertas y nivel de escalada Controles de mitigación y recuperación Avalúo: Periódico Extraordinario 18

19 Tecnología: Controles de acceso Copias de resguardo Cifrado Control y fiscalización de la(s) Red(es): Firewall s Proxy s IDS/IPS Net & Hosts Net Monitoring & Net Scanning Configuración, Parchos y Actualizaciones Redundancia y replicación Personas: Políticas Plan de concienciación Programa de seguridad (Security Plan- IR, DR & BC) 19

20 Sistemas y/o Servicios: Instalación & Mantenimiento SaaS Cloud computing Fiscalización de la infraestructura (red) Prevención y recuperación: DRP BCP Prevención y anticipo (nuevas tendencias): Computación forense Análisis de penetración Análisis de vulnerabilidades 20

21 Protección de propiedad intelectual: Terceros Proveedores Organización Control de duplicación o diseminación: Programación Bancos de datos Secretos de negocio Publicaciones en medio electrónico Digital Rights Management 21

22 OCTAVE COBit ValIT Ernst & Young Network Security Illustrated, Albanese & Sonnenreich, McGraw Hill, NY,

23 Otras Referencias 23

24 Modelo Organizacional de confiabilidad Modelo CobiT CobiT Security Baseline ISACA, Business Model for Information Security UCISA Information Security Toolkit Solutionary, Security Measurement 24

25 NIST Risk Management Guide NIST Risk Management Framework GAO, Information Security Risk Assessment ITCi, Risk Management: Practical guidance on how to prepare for successful audits IT Policy Compliance Group CMM Capabilities practices IT Governance Institute, Information Risks IT Governance, Risk & Complaince (Basado en CobiT) OCEG, Foundation Guidelines (RedBook) OCEG, GRC Capability Model (Redbook) 25

26 Deloitte, Defining and Classifying Operational Risk, 2007 NIST Risk Management Framework Roles & Responsibilities CERT, First Responders Guide to Computer Forensics NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática Amador et als., Seguridad Computacional ent, Network Auditing Strategies CyberIntelligence Report (2009) 26