Aspectos Generales Sobre Seguridad de la Información

Transcripción

1 Aspectos Generales Sobre Seguridad de la Información Eric Morán Añazco MBA, PMP, Lead Auditor ISO Consulting Division Manager M&T Consulting M&T Consulting Calle Las Begonias N 552, Ofi. 47 Centro Financiero San Isidro. Central: (511) /

2 AGENDA Por qué concientizar Activo de información Amenaza, vulnerabilidad y riesgo de SI Qué es seguridad de la Información? Objetivo de la seguridad de la información Controles de seguridad de la información Normas, estándares y buenas prácticas en seguridad de la información Incidentes de seguridad de la información Ingeniería Social Concienciación en seguridad Aspectos generales del SGSI

3 La Importancia de Concientizar El impacto económico, político y social de los ataques cibernéticos ha dejado de ser posible para convertirse en real. Un grupo de hackers anunció que publicará algunos correos electrónicos del primer ministro Óscar Valdés Dancuart,.La primera de tres partes, que ya está en Internet, contiene documentos del Gobierno Peruano, desde archivos PDF y Power Point de tratados del Gobierno, o de simples manuales. elcomercio.pe - Martes 07 de febrero de :00 am

4 La Importancia de Concientizar Incluso entidades preparadas con vastos controles tecnológicos de seguridad han sido vulneradas el último año Se propaga un malware en un spam de Facebook Hacker robó registros de clientes (mayo 2011) Información de 100 millones de usuarios se vio comprometida Computerworld (US) 2011 Hasta tres millones de cuentas se vio comprometida The New York Times 2011 Publican contraseñas de más de usuarios de Twitter El Comercio 2012 Estafas a jubilados por tramitadores falsos, que conocen los datos privados de los empleados. El Comercio 2011 Celulares y documentos de altos funcionarios diplomáticos fueron difundidos por hackers El Comercio 2012 'Hacker' vulneró portal de la PNP El Comercio 2010 Cable de Wikileaks revela peligrosas infidencias en SBS El Comercio 2011

5 La Importancia de Concientizar

6 La Importancia de Concientizar

7 Errores Comunes Elaboración de programas únicos. Bombardeo de información a los usuarios. Falla en el seguimiento del programa.

8 Activo de Información Activo de Información es todo lo que es o contiene información y tiene valor para la organización. Si la información no está contenida, no es un activo de información. No confundir con activos fijos. Los activos de información adoptan diversas formas: Documentos en papel: contratos, guías Software: aplicativos y software de sistemas Dispositivos físicos: computadoras, medios removibles Personas: clientes, personal, etc. Imagen y reputación de la Institución: marca Servicios: comunicaciones, internet, energía.

9 Son activos de Información? Debo considerar a la caja fuerte como un activo?

10 Propiedades de un Activo de Información Clasificación Marcado Ubicación Valorización Propietario Custodio

11 Amenazas Causa potencial de un incidente no deseado que puede resultar en daño al sistema o a la organización o a sus activos Puede ser accidental o intencional Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: Desastres naturales: terremoto, inundación, etc. Humanas: errores de mantenimiento, huelga, errores de usuario Tecnológicas: caída de red, sobre tráfico, falla de hardware

12 Amenazas por Desastres Naturales Incendios Terremotos Avalancha / huayco Inundaciones Otros: tornado, viento, volcán, tsunami, tormenta de invierno, tormenta solar, tormenta eléctrica/relámpago

13 Amenazas Tecnológicas Fuga de información Crecimiento de uso de equipos móviles (laptops, PDA s, celulares) Virus y malware Aumento de complejidad y eficacia de virus y herramientas de hacking. Falla de sistemas de información (software y hardware)

14 Amenazas causadas por Humanos Divulgación de información por Sabotaje Terrorismo Hackers Ingeniería Social

15 Vulnerabilidades Una vulnerabilidad es una debilidad o ausencia de control en la seguridad de información de una organización Por sí sola no causa daños Si no es administrada, permitirá que una amenaza se concrete Ejemplo: Ausencia de personal clave Sistema de energía inestable Cableado desprotegido Falta de conciencia de seguridad Ausencia de sistema extinguidor de incendios

16 Riesgos en seres humanos Amenaza Vulnerabilidad Consecuencia

17 Riesgos en Documentos Amenaza Vulnerabilidad Consecuencia

18 Riesgos en Sistemas Informáticos Amenaza Vulnerabilidad Consecuencia

19 Riesgos en Activos Físicos Amenaza Vulnerabilidad Consecuencia

20 Riesgo de seguridad de la información Posibilidad que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. (ISO 27001). Probabilidad de ocurrencia x Impacto Amenaza x Vulnerabilidades Valor del activo

21 Seguridad de la información Confidencialidad Sólo acceden quienes están autorizados. Disponibilidad Acceso cuando sea requerido Información Integridad La información y su procesamiento son exactos y completos. Preservación de la confidencialidad, integridad y disponibilidad de la información, así mismo, otras propiedades como la autenticidad, no rechazo, contabilidad y confiabilidad también pueden ser consideradas ISO/IEC 27002

22 Objetivo de la Seguridad de Información Asegurar la continuidad de las operaciones de la Institución Minimizar los daños a la organización en caso de pérdida o revelación no autorizada de información. Maximimar el retorno de las inversiones y las oportunidades de negocio ISO/IEC La seguridad de la información no es un proceso tecnológico, es un PROCESO DE GESTION

23 Control de Seguridad de Información Herramienta de la gestión del riesgo, incluido políticas, pautas, estructuras organizacionales, que pueden ser de naturaleza administrativa, técnica, gerencial o legal. NOTA: Control es también usado como sinónimo de salvaguardia o contramedida ISO/IEC 27002

24 NORMAS, MARCOS Y ESTANDARES Control Interno COSO CobIT Sarbanex Oxley Gestión de Riesgos ASNZ 4360 ISO Octave Magerit Gestión de Proyectos PMBOK CMMi Seguridad de la Información ISO ISO NIST ITIL Continuidad de Negocios NIST BS DRII

25 Historia de las Normas BS :1995 CÓDIGO DE PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN BS ISO/IEC 17799:2000 BS :2000 NTP -ISO/IEC 17799:2004 NTP -ISO/IEC 17799:2007 BS :1999 UNE-ISO/IEC 17799:2002 ISO/IEC 17799:2005 ESPECIFICACIONES PARA SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN BS :1998 BS :2002 BS :1999 ISO/IEC 27001:

26 Normas ISO de Gestión de Seguridad de la Información ISO/IEC es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. ISO ISO ISO (antes 17799) ISO ISO ISO 27005

27 BREAK: de 10 minutos

28 ISO Código de Buenas prácticas de seguridad de la Inf. Controles para la Gestión de la Seguridad de la Información Estratégico Política de Seguridad 6 Aspectos Organizacionales 1 Aspectos Físicos 3 Aspectos Técnicos 1 Aspecto de Control SGSI - Sesión 01 Organización de la Seguridad de Información 11 cláusulas 39 categorías 133 controles Gestión de activos Control de Accesos Cumplimiento Gestión de Incidentes de Seguridad Seguridad de los Recursos Humanos Seguridad Física y Ambiental Operativo Adquisición, Desarrollo y Mant. de Sistemas Gestión de Operaciones y Comunicaciones Gestión de Continuidad de Negocios

29 Política de Código Móvil Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho código móvil opera de acuerdo a una política de seguridad definida y que se debe prevenir que éste sea ejecutado. (ISO Control ) El código móvil es un código de software que se transfiere desde una computadora a otra y luego ejecuta automáticamente y realiza una función específica con poco o ninguna interacción del usuario.

30 Política de Backup Se deben hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, en concordancia con la política acordada de recuperación (ISO Control )

31 Política para el intercambio de información y software Se deben establecer políticas, procedimientos y controles formales de intercambio con el fin de proteger la información a través de todos los tipos de instalaciones de comunicación. (ISO Control ) Información Correo electrónico Voz Fax Video Software Descarga de Internet Proveedores

32 Política de Sistemas de Información de Negocios Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la información asociada con la interconexión de sistemas de información de negocios. (ISO Control ) Los sistemas de información permiten distribuir rápidamente y compartir información de negocio. Controles de acceso Clasificación de información Identificación de usuarios Backup Contingencias

33 Política de Control de Accesos Una política de control de acceso debe ser establecida, documentada y revisada y debe estar basada en los requerimientos de seguridad y del negocio (ISO Control ) Considerar acceso físico y lógico. Todo lo que no está explícitamente permitido debe estar prohibido

34 Política de Pantalla y Escritorio Limpio Se debe adoptar una política de escritorio limpio para papeles y medios removibles de almacenamiento así como una política de pantalla limpia para instalaciones de procesamiento de información. (ISO Control )

35 Política de uso de los servicios de la red Los usuarios sólo deben tener acceso directo a los servicios para los que estén autorizados de una forma específica. (ISO Control ) Redes y servicios de red permitidos Web Correo electrónico Mensajería instantánea VPN / Acceso remoto,

36 Política de informática móvil y comunicaciones Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de protegernos contra los riesgos cuando se usan dispositivos de informática (ISO Control ) Laptops Teléfonos celulares Agendas PDA Dispositivos inalámbricos Consideraciones: Uso en áreas públicas Software malicioso Backup Robo

37 Política de Teletrabajo Se debe desarrollar e implementar una política, planes operacionales y procedimientos para las actividades de teletrabajo. (ISO Control ) Consideraciones: Robo de equipos Fuga de información Propiedad intelectual Auditoria a equipos Licencia de software Protección antivirus

38 Incidente de Seguridad de la Información Una o varias series de eventos inesperados y no deseados que tienen una gran probabilidad de comprometer las operaciones de negocios y de amenazar la seguridad de información Violación de un control ISO/IEC 18044

39 Política de uso de los controles criptográficos La organización debe desarrollar e implementar una política de uso de las medidas criptográficas para proteger la información. (ISO Control ) Consideraciones: Situaciones en las que debe utilizarse Nivel de protección requerido (tipo, algoritmo) Responsabilidades Regulaciones

40 Ingeniería Social un riesgo olvidado Qué es Ingeniería Social? Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente no daría, a un Sistema de Información, Aplicativo o Recurso Informático. El Arte de engañar a las personas

41 Concienciación en seguridad Finalizar, de manera progresiva, con el desconocimiento de la seguridad de la información en toda la organización Crear una cultura real de seguridad de la información dentro de una organización

42 Gestión de Riesgos Activos y sus atributos Personas Tecnologia 1. Inventariar 2. Análisis Ambiente Procesos Basado en la Norma Controles actuales Mecanismos propuestos ISO Tratamiento 3. Evaluación Amenazas Riesgo Efectivo Probabilidad Relevancia Impacto Vulnerabilidades

43 PARTES INTERASADAS Expectativas y requisitos de seguridad de Información PARTES INTERSADAS Seguridad de Información Gestionada Modelo de Gestión de la Seguridad de la Información Modelo PDCA Tratamiento de no conformidades Acciones correctivas y preventivas Definición del alcance del Sistema Evaluación de Riesgos. Plan de Tratamiento de Riesgos Definición de Políticas de Seguridad ACTUAR Mantener y mejorar el SGSI PLANEAR Establecer el SGSI Medición de resultados Análisis de tendencias Auditoria interna Revión de la Gerencia VERIFICAR Monitorear y revisar el SGSI HACER Implementar y operar el SGSI Implementación de Política, controles y procedimientos Asignación de recursos (gente, tiempo y dinero) Programa de concientización Tratamiento de riesgo

44 Estructura de la norma ISO Introducción General Enfoque de procesos Compatibilidad con otros sistemas de gestión 1. Alcance General Aplicación 2. Referencias normativa 3. Términos y definiciones 4. Sistema de gestión de seguridad de información 5. Responsabilidad de la gerencia 6. Auditorias internas del SGSI 7. Revisión por la dirección del SGSI 8. Mejora del SGSI Anexo A: Objetivos de control y controles Anexo B: Principios OECD y la Norma Internacional Anexo C: Correspondencia entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional Requisitos obligatorios de ISO Objetivos de control y controles (Desarrollado en ISO 17799)

45 Cláusula 4: Sistema de Gestión de Seguridad de la Información Requerimientos Generales: Indica que el proceso utilizado está basado en el modelo PDCA. Estableciendo y Administrando el SGSI: Establecer el SGSI (Plan) Implementar y operar el SGSI. (Do) Monitorear y revisar el SGSI. (Check) Mantener y mejorar el SGSI. (Act) Requerimientos de Documentación: Son parte del sustento del proceso de funcionamiento del SGSI. Generales Control de Documentos Control de Registros

46 Cláusula 5: Responsabilidad de la dirección El Compromiso de la Dirección, se evidencia: Estableciendo la política de seguridad de información Garantizando el establecimiento de planes y objetivos de la seguridad de información Estableciendo reglas y responsabilidades Comunicando a la organización la importancia de estar de acuerdo con los objetivos de seguridad Brindando recursos para planificar, implementar, operar y mantener el SGSI Decidiendo los niveles de riesgo aceptables. Provisión de recursos Capacitación, concientización y competencia

47 Cláusula 7: Revisión de la Gestión del SGSI La dirección debe revisar el SGSI para asegurar su conveniencia, suficiencia y efectividad continua. Entradas Salidas Resultados de auditorías y revisiones del SGSI Retroalimentación de terceras partes interesadas Estado de las acciones preventivas y correctivas Técnicas, productos o procedimientos para mejorar el SGSI Resultados de las mediciones de efectividad Vulnerabilidades o amenazas no dirigidas adecuadamente en la Evaluación del Riesgo previa Acciones de seguimiento de revisiones previas Cambios que pudieran afectar el SGSI Recomendaciones para la mejora Revisión de la Gestión del SGSI Mejora de la efectividad del SGSI Actualización de la Evaluación del Riesgo y Plan de Tratamiento del Riesgo Modificación de los procedimientos y controles que afectan la seguridad de la información Necesidades de recursos Mejora de la medición de la efectividad de los controles Debe realizarse a intervalos planificados Al menos 1 vez al año

48 Cláusula 8: Mejora del SGSI Mejora Continua Acciones Correctivas Eliminan las causas de las no-conformidades, para prevenir su repetición Acciones Preventivas Acciones para protegerse contra no-conformidades futuras Identificar las no-conformidades Determinar las causas Evaluar la necesidad de acciones para que no vuelvan a ocurrir Determinar e implementar acciones correctivas Registrar los resultados Revisar la eficacia de las acciones implementadas Identificar las no conformidades potenciales y sus causas Determinar e implementar acciones preventivas Registrar los resultados Revisar las acciones preventivas tomadas Identificar cambios en los riesgos Controlar riesgos modificados

49 Procedimientos del SGSI Procedimiento para la gestión y control de documentos Procedimiento para el control de registros del SGSI 6 Procedimiento para Auditorias Internas a Procedimiento de gestión de riesgos de seguridad 8.2 Procedimiento para Acciones Correctivas h Procedimiento de gestión y respuesta a incidentes de seguridad SGSI 8.3 Procedimiento para Acciones Preventivas Fuente: ISO 27001:2005

50 Estructura del SGSI Política de Seguridad de la Información Estructura Organizacional Plan de Seguridad Comité de Seguridad Equipos de Trabajo Políticas específicas de seguridad Capacitación y toma de conciencia Procedimientos Guías, Instructivos Simulacros Controles Técnicos

51 Estructura Organizacional del SGSI Comité de Gestión de Seguridad Gerencia General, Gerentes de línea Equipo de Trabajo - Jefes de Área, Coordinadora de Informática Oficial de Seguridad de la Información

52 Lic. Eric Morán Añazco MBA, PMP, Lead Auditor ISO Consulting Manager GRACIAS!!!