Norma ISO 27001:2013 para la validación de la seguridad informática. Nombre del Ponente: Pablo Corona Fraga

Transcripción

1 Norma ISO 27001:2013 para la validación de la seguridad informática Nombre del Ponente: Pablo Corona Fraga

2 Robo físico

3 Robo digital

4

5 20,000,000 Everything! The Internet Of Everything 18,000,000 Number Of Devices In Use Globally (In Thousands) 16,000,000 14,000,000 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 We are here Connected Cars Wearables Connected TVs Internet Of Things Tablets Smartphones PCs E 2015E 2016E 2017E 2018E Source: BI Intelligence Es mates

6

7

8 Qué quieren?

9 Qué saben hacer?

10 Seguridad de la información Confidencialidad Propiedad de que la información no esté disponible ni se revele a personas, entidades o procesos no autorizados Disponibilidad Propiedad de que una entidad autorizada tenga acceso y la use según la demanda Integridad Propiedad de salvaguardar la exactitud de de los activos completos

11

12 Serie ISO La familia cuenta con muchas norma, entre ellas: ISO/IEC Vocabulario e introducción ISO/IEC Especificación ISO/IEC Guía de Controles ISO/IEC Guía de Implementación ISO/IEC Métricas ISO/IEC Gestión de Riesgos ISO/IEC Guía de certificación para SGSI ISO/IEC Lineamientos para evaluación de controles ISO/IEC ISO27k para telecoms ISO/IEC ISO27k para cómputo en la nube ISO/IEC ISO27k PDP para proveedores de nube ISO ISO27k para sector salud

13 Sistema de Gestión de Seguridad de la Información Dirección Alcance Política SGSI Compromiso de la dirección Gerencia Regulación aplicable Objetivos del SGSI Capacitación y Concienciación Evaluación de riesgos SOA Control Documental Metodología Evaluación Monitoreo y revisión de controles Auditoría Interna Acciones correctivas y preventivas Operación Tratamiento Implementación de controles

14 Indicadores de desempeño Leyes Regulaciones Estandares Autoridades Intereses Generales Beneficios comunes Intereses políticos Contratos SLA Clientes Cumplimiento del contrato Seguridad / Confidenciaidad NDA Propiedad intelectual Objetivos Estrategicos Presupuesto Objetivos de Negocio Políticas Socios / Inversionistas Dirección / C-Level Ingresos / Ganancias / ROI Reputación Sanciones/ Multas/ Penas Ingresos / Ganancias Bonos / Opciones Uso de recursos y optimización Empleo Objetivos Objetivos de Operación Procesos Procedimientos Administración Bonos Promociones Salario Actividades diarias Indicadores de Operación Promociones Crecimiento personal/ Reconocimiento operación Salario

15 Qué protegemos? Políticas específicas De quién lo protegemos? Consecuen cias de su incumplimie nto? Política Por qué lo protegemos? Qué hacer ante una vulneración? Cuál es tu parte?

16 La documentación debe: Ser solo la que necesaria La que será leida La que será seguida Cuidar que la documentación no sea solo para la auditoría

17 Monitoreo Lenguaje adecuado Análisis Automatización

18 Métricas, estadísticas y gráficas? Número de tickets Bitácoras llenas Cantidad de incidentes Cambios cerrados (en tiempo) Equipos con antivirus

19 Monitoreo Establecer Entradas y salidas Establecer métricas Establecer mecanismos de medición Establecer KPI s Establecer metas con respecto a KPI s

20 Indicadores de desempeño Cumplimiento de leyes, Declaraciones de impuestos,... Ahorro, beneficios, calidad, tiempos de respuesta, riesgos de negocio, Retorno de inversión, EBITDA, P&L, Multas Sanciones, COBIT, TOGAF, BSC, Eficiencia, Objetivos ITIL, ISO/IEC , ISO/IEC 27001, Actividades diarias, beneficios, metas, hitos, milestones,

21 Puntos clave Concienciación del empleado en materia de seguridad. Realización de comités a distintos niveles (operativos, de dirección, etc.) con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos. Creación de un sistema de gestión de incidentes que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. La seguridad no es un producto, es un proceso. La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. La seguridad debe ser inherente a los procesos de información y del negocio.

22 Comunicación de riesgos Monitoreo y análisis de criticidad Análisis de riesgos Definición del contexto Análisis y evaluación de riesgos Análisis de riesgos Identificación de riesgos Valoración de riesgos Evaluación de riesgos no si Tratamiento de riegos no si Aceptación de riesgos

23 Controles Administrativos, Físicos y Tecnológicos 5. POLÍTICA DE SEGURIDAD. 6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. 7. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 8. GESTIÓN DE ACTIVOS. 9. CONTROL DE ACCESO. 10. CONTROLES CRIPTOGRÁFICOS 11. SEGURIDAD FÍSICA Y DEL AMBIENTAL. 15. RELACIÓN CON PROVEEDORES 12. SEGURIDAD EN OPERACIONES 16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 13. SEGURIDAD EN LAS COMUNICACIONES 17. ASPECTO DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO 14. ADQUISICIÓN, DESARROLLO Y MANTENIMINETO DE SISTEMAS. 18.CUMPLIMIENTO

24 A.5 Políticas de seguridad de la información A.5.1 Gestión de la dirección para la seguridad de la información A Políticas de seguridad de la información A Revisión de las políticas de seguridad de la información A.6 Organización de la seguridad de la información A.6.1 Organización interna A Roles y responsabilidades de seguridad de la información A Segregación de tareas A Contacto con autoridades A Contactocon grupos de especialinterés A Seguridad de la información en la administración de proyectos A.6.2 Los dispositivos móviles y teletrabajo A Política de dispositivos móvil A El teletrabajo A.7 Seguridadligadaa los recursos humanos A.7.1 Previo al empleo A Investigación A.7.1.2Términosy Condicionesde empleo A.7.2 Durante el empleo A Responsabilidades de la Dirección A Concientización, educación y capacitación en seguridad de la información A.7.2.3Proceso disciplinario A.7.3 Terminación o cambio de empleo A Responsabilidades en la terminación o cambio de empleo A.8 Gestión de activos A.8.1 Responsabilidad sobre los activos A Inventario de los activos A Propiedad de los activos A Uso aceptable de los activos A Devolución de los activos A.8.2 Clasificación de la información A Clasificación de la Información A Etiquetado de la información A.8.2.3Manejo de los activos A.8.3 Manejo de medios A Gestión de medios removibles A Disposición medios A Transferencia de medios físicos A.9 Control de acceso A.9.1 Requisitos del negocio para el control de acceso A Política de control de acceso A.9.1.2Acceso a las redes y serviciosde la red A.9.2 Gestión de acceso de usuarios A.9.2.1Registroy cancelaciónde usuarios A Provisión de acceso de usuarios A Gestión de derechos de acceso privilegiado A Gestión de la información secreta de autenticación de los usuarios A Revisión de los derechos de acceso de usuario A.9.2.6Eliminacióno ajuste de los derechos de acceso A.9.3Responsabilidadesdel usuario A Uso de información secreta de autenticación A. 9.4Control de acceso a sistemas y aplicaciones A.9.4.1Restricciónde acceso a la información A Procedimientos de inicio de sesión seguros A Sistema de administración de contraseñas A Uso de privilegiosde los programasde utilidades A Control de acceso a código fuente del programa. A.10 Criptografía A.10.1 Controles criptográficos A Política sobre el uso de controles criptográficos A Gestión de llaves A.11 Seguridad física y ambiental A.11.1 Áreas seguras A Perímetro de seguridad física A Controles físicos de entrada A Aseguramientode oficinas, salas e instalaciones A Proteccióncontraamenazasexternas y ambientales A Trabajo en áreas seguras A áreas de entregay carga A.11.2 Equipo A Ubicación y protección de equipo Control A Servicios públicos A Seguridaddel cableado A Mantenimiento de equipos A Retiro de activos A Seguridad de los equipos y activos fuera de las instalaciones A Disposicióno reutilizaciónsegura del equipo A Equipo de usuario desatendido A Políticade pantallay escritoriolimpio A.12 Seguridad de las operaciones A.12.1 Procedimientos y responsabilidades operativas A Procedimientos operativos documentados A Gestión de cambios A Gestión de capacidad A Separaciónde entornosde desarrollo, pruebas y operación A12.2 Protección contra malware A Controles contra el malware A.12.3 Respaldos A Respaldo de la información A.12.4 Registro y monitoreo A Registro de eventos A Protección de la información del registro A Registros del administradory operador A Sincronizacióndel reloj A.12.5 Control del software operacional A Instalación de software en sistemas operacionales A.12.6 Gestión de Vulnerabilidades Técnicas A Gestiónde las vulnerabilidadestécnicas A Restricciones en la instalación de software A.12.7 Consideraciones de auditoría a sistemas de información A Controlesde auditoria a los sistemas de información A.13 Seguridad en las comunicaciones A.13 1 Gestión de la seguridad en la red A Controles de red A Seguridad en los servicios de red A Segregación en redes A.13.2 Transferencia de información A Políticas y procedimientos de transferencia de información A Acuerdos de transferencia de información A Mensajeríaelectrónica A Acuerdos de confidencialidad o no divulgación A.14 Adquisición, desarrollo y mantenimiento de sistemas A.14.1 Requisitos de seguridad para los sistemas de información A Análisisy especificaciónde requisitosde seguridad A Serviciosde aplicacionesseguras en redes públicas A Protección de aplicaciones de servicios de transacciones A.14.2 Seguridad en desarrollo y procesos de soporte A Política de desarrollo seguro A Procedimientos de control de cambios a sistemas A Revisión técnica de aplicaciones después de cambios en la plataforma de operación A Restriccionesa los cambiosen los paquetes de software A Principios de ingeniería en sistemas seguros A Entornode desarrolloseguro A Desarrollo de sistemas subcontratado (outsourcing) A Pruebas de seguridad a los sistemas A, Pruebas de aceptación a los sistemas A.14.3 Datos de prueba A Protección de datos de prueba A.15 Relaciones con los proveedores A.15.1 Seguridad de la información en relación con proveedores A Política de seguridad de la información para la relación con proveedores A Abordar laseguridaddentrode acuerdos con proveedores A Cadena de suministro en Tecnologías de la información y comunicaciones A.15.2Gestiónde entregade serviciosde proveedores A Monitoreo y revisión de los servicios de proveedores A Gestiónde cambiosen los serviciosde proveedores A.16 Gestión de incidentes de seguridad de la información A.16.1 Gestión de incidentes de seguridad de la información y mejoras A Responsabilidadesy procedimientos A Notificación de los eventos de seguridad de la información A Notificación de los puntos débiles de la seguridad A Evaluación y decisión sobre los eventos de seguridad de información A Respuesta a incidentes de seguridad de la información A Aprendizaje de los incidentes de seguridad de la información A Recopilación de evidencias A.17 Aspecto de seguridad de la información en la Gestión de la continuidad del negocio A.17.1 Continuidad de la seguridad de la información A Planificación de la continuidad de la información de seguridad A Implementación de continuidad de seguridad de la información A Verificar, revisar y evaluar la continuidad de seguridad de la información A.17.2 Redundancias A Disponibilidad de instalaciones de procesamiento de información A.18 Cumplimiento A.18.1 Cumplimiento con requisitos legales y contractuales A Identificación de la legislación aplicable y requisitos contractuales A Derechos de propiedadintelectual A Protección de registros A Protección de datos y privacidad de la información personal A Regulación de los controles criptográficos A.18.2 Revisiones a la seguridad de la información A Revisión independiente de la seguridad de la información A Cumplimientode las políticasy normas de seguridad A Revisión de cumplimiento técnico

25 Nivel de Confiabilidad de la organización Nivel de Gestión Nivel técnico Análisis de vulnerabilidades Nivel de profundidad para la evaluación Constitución formal Acuerdos con proveedores Políticas Procedimientos Establecimiento de políticas y procedimientos Implementación y monitoreo de controles Poner a prueba los controles Los niveles pueden sumar las condiciones de cada uno de los niveles anteriores.

26 Pruebas de seguridad Físico Personas Sistemas / Redes Aplicaciones Acceso a edificios y cerraduras Ingeniería social Sistemas operativos Web (.net, php, xml, http/s) Bases de datos CCTV y sistemas de identificación Concientización de seguridad Routers, Switches, Firewalls y VPN Java, C++ y revisión de código Auditorías fuera de horas de trabajo Intervención de comunicaciones y redes inalámbricas Simulaciones de Phishing Redes sociales y políticas de publicación VoIP / telefonía Equipo portátil /móvil Denegación de Servicio Pruebas con y sin credenciales de acceso reales Asegurar aplicaciones de terceros

27

28 El cuerpo humano es el sistema más antiguo que hemos asegurado

29

30

31

32

33

34

35 GRACIAS Pablo Corona Fraga Gerente de Certificación de Sistemas de Gestión de TI Normalización y Certificación Electrónica S.C ext. 427 pcoronaf@nyce.org.mx