Cómo organizar un proyecto de seguridad de la información en el. M. en C. Ulises Castillo. CISSP, CISM, CISA. Julio, 2009

Transcripción

1

2 Cómo organizar un proyecto de seguridad de la información en el M. en C. Ulises Castillo. CISSP, CISM, CISA. Julio, 2009

3 Agenda

4 Agenda 0. Lineamientos generales

5 Agenda 0. Lineamientos generales 1. Problemática actual

6 Agenda 0. Lineamientos generales 1. Problemática actual 2. Proceso sugerido

7 Agenda 0. Lineamientos generales 1. Problemática actual 2. Proceso sugerido 3. Preparación inicial del team

8 Agenda 0. Lineamientos generales 1. Problemática actual 2. Proceso sugerido 3. Preparación inicial del team 4. Un posible aterrizaje del ISO-27001

9 Agenda 0. Lineamientos generales 1. Problemática actual 2. Proceso sugerido 3. Preparación inicial del team 4. Un posible aterrizaje del ISO El Modelo de Zonas y Servicios

10 Agenda 0. Lineamientos generales 1. Problemática actual 2. Proceso sugerido 3. Preparación inicial del team 4. Un posible aterrizaje del ISO El Modelo de Zonas y Servicios 6. Conclusiones

11 0. Lineamientos Generales

12 Lineamientos Generales Tiempo vs. Profundidad Opiniones vs. Hechos Tendencia a exagerar del expositor

13 Preguntas al público Quiénes están encargados específicamente de la seguridad? Quiénes están encargados indirectamente de la seguridad? Alguien de auditoría y/o del OIC?

14 1. Problemática actual

15 Vulnerabilidades, amenazas y riesgos Equipos, sistemas, aplicaciones 7

16 Vulnerabilidades, amenazas y riesgos Vulnerabilidades Equipos, sistemas, aplicaciones 7

17 Vulnerabilidades, amenazas y riesgos Amenazas Vulnerabilidades Equipos, sistemas, aplicaciones 7

18 Vulnerabilidades, amenazas y riesgos Amenazas explotan Vulnerabilidades Equipos, sistemas, aplicaciones 7

19 Vulnerabilidades, amenazas y riesgos Amenazas explotan generan Riesgos Vulnerabilidades Equipos, sistemas, aplicaciones 7

20 Vulnerabilidades, amenazas y riesgos Amenazas explotan generan Riesgos Vulnerabilidades Equipos, sistemas, aplicaciones 7

21 Vulnerabilidades, amenazas y riesgos Amenazas explotan generan Riesgos Vulnerabilidades Equipos, sistemas, aplicaciones Probabilidad de ocurrencia Impacto al negocio 7

22 Vulnerabilidades, amenazas y riesgos Amenazas explotan generan Riesgos Vulnerabilidades Equipos, sistemas, aplicaciones Probabilidad de ocurrencia Impacto al negocio 7

23 Vulnerabilidades, amenazas y riesgos Controles Amenazas explotan generan Riesgos se administran con Vulnerabilidades Equipos, sistemas, aplicaciones Probabilidad de ocurrencia Impacto al negocio 7

24 Vulnerabilidades, amenazas y riesgos Controles Amenazas explotan generan Riesgos se administran con Vulnerabilidades Equipos, sistemas, aplicaciones Probabilidad de ocurrencia Impacto al negocio Buscar el mejor balance entre costo de los controles y el impacto al negocio 7

25 Marcos de Referencia (ISO ) Lineamientos de Seguridad y Privacidad de la El gran reto Decreto de Austeridad Presiones de usuarios y altos directivos LAASP, Órgano Interno de Control

26 Marcos de Referencia (ISO ) Lineamientos de Seguridad y Privacidad de la El gran reto Decreto de Austeridad Presiones de usuarios y altos directivos LAASP, Órgano Interno de Control

27 Marcos de Referencia (ISO ) Lineamientos de Seguridad y Privacidad de la El gran reto Decreto de Austeridad Presiones de usuarios y altos directivos LAASP, Órgano Interno de Control

28 2. Proceso general sugerido

29 Proceso sugerido Crear/ Preparació Identificaci Estudio de Mercado Concientiz ación de Preparación de Bases (Anexos Técnicos)

30 3. Preparación inicial del equipo de trabajo

31 Preparación inicial del team Adquirir libros de seguridad Tomar cursos y/o diplomados Formación de CISSPs : muy recomendable Certificación auditores ISO-27001: cuestión de enfoques Complementar con cursos específicos de tecnologías Material de apoyo de Scitum (!gratuitos!) DVDs de Introducción a la seguridad Magazcitum (revista electrónica: White papers de difusión (bajarlos en

32 El ISO y el CISSP

33 El ISO y el CISSP ISO Similar al ISO 9000 (Sistema de Gestión) Certificación de empresas por procesos Los auditores se certifican para ejecutar su función después de un curso especializado.

34 El ISO y el CISSP ISO Similar al ISO 9000 (Sistema de Gestión) Certificación de empresas por procesos Los auditores se certifican para ejecutar su función después de un curso especializado. CISSP Los especialistas se certifican después de un examen bastante difícil Se exige una experiencia de algunos años en temas de seguridad

35 El ISO y el CISSP ISO Similar al ISO 9000 (Sistema de Gestión) Certificación de empresas por procesos Los auditores se certifican para ejecutar su función después de un curso especializado. Políticas de Seguridad ISO Organización de la Seguridad Administración de Activos Seguridad en los Recursos Humanos Seguridad Física y Ambiental Administración de Operaciones y Comunicaciones Control de Accesos Adquisición, Desarrollo y Mantenimiento de Software Administración de Incidentes de Seguridad Administración de la Continuidad del Negocio Cumplimiento CISSP Los especialistas se certifican después de un examen bastante difícil Se exige una experiencia de algunos años en temas de seguridad CISSP Seguridad de la Información y Manejo de Riesgos Criptografía Arquitectura y Diseño de la Seguridad Seguridad en las Operaciones Seguridad Física y Ambiental Seguridad en Redes y Telecomunicaciones Control de Accesos Seguridad en las Aplicaciones Recuperación en caso de Desastres y Continuidad del Negocio (BCP/DRP) Cuestiones legales, Cumplimiento, Regulaciones

36 4. Un posible aterrizaje del ISO-27001

37 La norma ISO-27001

38 La norma ISO-27001

39 La norma ISO Políticas de Seguridad. A5

40 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6

41 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7

42 Administración de Activos. A7 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Seguridad de los Recursos Humanos. A8

43 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7 C U M P L I M I E N T O. A15 Seguridad de los Recursos Humanos. A8

44 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7 C U M P L I M I E N T O. A15 Seguridad de los Recursos Humanos. A8 Administración de la Continuidad del Negocio. A14

45 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7 C U M P L I M I E N T O. A15 Seguridad de los Recursos Humanos. A8 Administración de la Continuidad del Negocio. A14 Administració n de Incidentes. A13

46 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7 C U M P L I M I E N T O. A15 Control de Acceso. A11 Seguridad de los Recursos Humanos. A8 Administración de la Continuidad del Negocio. A14 Administració n de Incidentes. A13

47 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7 C U M P L I M I E N T O. A15 Control de Acceso. A11 Seguridad de los Recursos Humanos. A8 Administración de la Continuidad del Negocio. A14 Adquisición, Desarrollo y Mantenimiento de Sistemas. A12 Administració n de Incidentes. A13

48 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7 C U M P L I M I E N T O. A15 Control de Acceso. A11 Seguridad de los Recursos Humanos. A8 Administración de la Continuidad del Negocio. A14 Adquisición, Desarrollo y Mantenimiento de Sistemas. A12 Administración de las Operaciones y Comunicaciones A10 Administració n de Incidentes. A13

49 La norma ISO Políticas de Seguridad. A5 Organización de la Seguridad de la Información. A6 Administración de Activos. A7 C U M P L I M I E N T O. A15 Control de Acceso. A11 Seguridad de los Recursos Humanos. A8 Administración de la Continuidad del Negocio. A14 Adquisición, Desarrollo y Mantenimiento de Sistemas. A12 Administración de las Operaciones y Comunicaciones A10 Administració n de Incidentes. A13 Segurida d Física y del Entorno A9

50 Modelo Integral de Seguridad 16

51 Modelo Integral de Seguridad SEGURIDAD INTERNA. A10, A11, A12 OPERACIÓN SEGURIDAD EXTERNA (perímetro externo). A10, A11 SEGURIDAD FÍSICA A9 ESTRATÉGICO MODELO DE GOBIERNO A5, A6, A7, A8, A15 16

52 Modelo Integral de Seguridad SEGURIDAD INTERNA. A10, A11, A12 OPERACIÓN SEGURIDAD EXTERNA (perímetro externo). A10, A11 SEGURIDAD FÍSICA A9 ESTRATÉGICO MODELO DE GOBIERNO A5, A6, A7, A8, A15 Sistema de Gestión y Tablero de Control A15 16

53 Modelo Integral de Seguridad SEGURIDAD INTERNA. A10, A11, A12 OPERACIÓN SEGURIDAD EXTERNA (perímetro externo). A10, A11 SEGURIDAD FÍSICA A9 ESTRATÉGICO Sistema de Gestión y Tablero de Control A15 BCP y DRP A14 MODELO DE GOBIERNO A5, A6, A7, A8, A15 16

54 Modelo Integral de Seguridad SEGURIDAD INTERNA. A10, A11, A12 OPERACIÓN SEGURIDAD EXTERNA (perímetro externo). A10, A11 SEGURIDAD FÍSICA A9 ESTRATÉGICO MODELO DE GOBIERNO A5, A6, A7, A8, A15 Sistema de Gestión y Tablero de Control A15 BCP y DRP A14 SOC INTEGRAL / Proceso (vistas del negocio, monitoreo, administración de incidentes) A10, A13 16

55 . Modelo Integral de Seguridad SEGURIDAD INTERNA. A10, A11, A12 OPERACIÓN SEGURIDAD EXTERNA (perímetro externo). A10, A11 SEGURIDAD FÍSICA A9 ESTRATÉGICO MODELO DE GOBIERNO A5, A6, A7, A8, A15 Sistema de Gestión y Tablero de Control A15 BCP y DRP A14 SOC INTEGRAL / Proceso (vistas del negocio, monitoreo, administración de incidentes) A10, A13 16

56 Protección aplicativa y servicios Web APLICACIONES Y SERVICIOS Protección de bases de datos y transacciones Desarrollo seguro de aplicaciones LAN Inalámbrica VoIP WAN REDES USUARIO Configuraciones seguras Seguridad de la Información en el EndPoint Administración de Identidades y Directorio de Infraestructura SEGURIDAD INTERNA. A10, A11, A12 17

57 5. El Modelo de Zonas y Servicios

58 Modelo de Zonas y Servicios Pensado para: Cumplir cabalmente con el decreto de austeridad. Tener una cobertura integral de la seguridad. Ser implementado: En organizaciones medianas y grandes Con niveles de servicio muy concretos y medibles (tablero de control). Por varios proveedores (Telecomunicaciones, PCs/LANs, Servidores y BDs, Desarrollo, Seguridad y otros.) Por etapas. Aumentar la probabilidad de éxito y la visibilidad política del

59 Elementos del Modelo de Zonas y Servicios Zonas de Servidores Zonas de Usuarios típicos Zonas Zonas de Usuarios De información Sensitiva Servicios Generales Análisis de Riesgos y Estrategia de Seguridad Normatividad de usuarios Programa de concientización Zonas de Enlace con La Red WAN Zonas de Acceso a Internet Servicios particulares Protección del perímetro Control de accesos y admón. identidades Seguridad en configuraciones Seguridad en información almacenada Seguridad en transacciones y Desarrollo de software seguro

60 6. Conclusiones

61 Conclusiones La Seguridad de la Información es una prioridad del Gobierno Federal Pensar globalmente. Actuar localmente Aterrizar el ISO Pensar en fases Modelo de Zonas y Servicios Prepararse antes de salir a concurso Lograr patrocinios claros de la dirección Quiero seguridad vs. Identifiquemos nuestros riesgos y administrémoslos Buena suerte

62 !! Muchas Gracias!!! Ulises Castillo scitum.com.mx