Gestión de la Seguridad de la Información

Transcripción

1 Gestión la la UNIVERSIDAD SAN PABLO CEU ESCUELA POLITÉCNICA SUPERIOR Dep. Ingeniería Sist. Electr. y Telecomunicación

2 Preámbulo De qué vamos a hablar? De un molo formal para la Gestión la en Sistemas : s, requerimientos normativos, análisis riesgos,, métricas e indicadores, Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

3 la información. Una finición Protección acuada, proporcionada y razonable la la Corporativa Preservando su su confincialidad integridad disponibilidad ++ Preservando la la integridad y disponibilidad los los recursos que que la la soportan Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

4 Dimensiones la seguridad Confincialidad Trazabilidad la Integridad Disponibilidad Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

5 La seguridad como proceso Security is a process, not a product Bruce Schneier Secrets & Lies PROCESO Entrada Dón queremos estar? Dón estamos hoy? Cómo pomos llegar? Cómo saber que Llegamos? Salida Misión y Objetivos Negocio Evaluación Cambios en el Proceso Métricas Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

6 El enfoque ISO PDCA La seguridad be gestionarse mediante un proceso sistemático, documentado y conocido por toda la. El SGSI (Sistema Gestión la la ) es la implantación ese proceso Se basa en un ciclo contínuo PDCA (Plan, Do, Check, Act)* * Ciclo Deming Planificar Hacer Establecer el SGSI Implementar y operar el SGSI SGSI Mantener y Mejorar el SGSI Monitorizar el SGSI Actuar Verificar Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

7 Los pilares la seguridad SEGURIDAD DE LA INFORMACION SEGURIDAD DE LA INFORMACION ORGANIZACION ORGANIZACION POLITICAS, POLITICAS, NORMAS NORMAS Y PROCEDIMIENTOS PROCEDIMIENTOS MEDIDAS MEDIDAS TÉCNICAS TÉCNICAS Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

8 Gestión la seguridad. Esquema general Fijar y Objetivos Requisitos legales s riesgos Definir Procedimientos Organización Tecnología Implantar Monitorizar Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

9 1. Planificar y fijar Fijar Definir Implantar Monitorizar y Objetivos la la Organización la la Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

10 1.1 y y y la la la la La seguridad la información be estar alineada con los y la cultura la Hasta qué punto penmos los sistemas TI? Qué nivel riesgo pomos asumir? Quién aceptará este nivel riesgo? Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

11 1.2 regulatorio (I) Legislación Nacional: LOPD LSSI Secretos Oficiales Firma Electrónica y y la la la la Normativa Internacional: Solvencia II, Basilea II PCI-DSS SOX Estándares y Buenas Prácticas: ISO NIST, COBIT ITIL Acuerdos es SLA`s Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

12 1.2. Ejemplo. LOPD (I) Ley Orgánica Protección Datos Carácter Personal (15/1999) y Reglamento sarrollo (RD 1720/2007) y y la la la la El objeto la LOPD es garantizar y proteger, en lo que concierne al tratamiento los datos personales, las libertas públicas y los rechos fundamentales las personas físicas y especialmente su honor e intimidad personal y familiar. Establece la obligación las empresas poner en marcha medidas stinadas a la protección datos, afectando a sistemas informáticos, ficheros soporte almacenamiento, personal, etc. Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

13 1.2. Ejemplo. LOPD (II) DATOS DE NIVEL BÁSICO Datos carácter personal - Nombre y apellidos - Dirección contacto - Teléfono - y y la la la la MEDIDAS DE SEGURIDAD Documento seguridad. Funciones y obligaciones l personal. Registro incincias. Intificación y autenticación. Relación actualizada usuarios con acceso autorizado. Procedimiento asignación, distribución y almacenamiento contraseñas que garantice su confincialidad e integridad. Contraseñas cambiadas con periodicidad y almacenadas codificadas y encriptadas. Control acceso. Gestión soportes. Copias respaldo y recuperación al menos semanalmente. Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

14 1.2. Ejemplo. LOPD (III) DATOS DE NIVEL MEDIO MEDIDAS DE SEGURIDAD Infracciones administrativas o penales. Hacienda Pública. Servicios financieros. Solvencia patrimonial y crédito. Evaluación la personalidad l individuo. Medidas l nivel básico Responsable seguridad. Auditoria bianual. Control acceso físico. y y la la la la Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

15 1.2. Ejemplo. LOPD (y IV) DATOS DE NIVEL ALTO Iología. Religión. Creencias. Origen racial o étnico. Salud. Vida sexual y y la la Datos policiales recabados sin consentimiento las personas afectadas. la la MEDIDAS DE SEGURIDAD Medidas l nivel básico y medio Registro accesos: Los datos registrados ben conservarse al menos dos años. El responsable seguridad berá revisar periódicamente la información y elaborar mensualmente un informe con las revisiones y problemas. Medidas adicionales copias respaldo. Cifrado Telecomunicaciones. Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

16 1.3 (I) Es un documento alto nivel que recoge la actitud y expectativas seguridad en la y y la la la la Expresan la conducta esperada los miembros la, las reglas a seguir y las consecuencias su incumplimiento. Es la base para la finición e implantación la seguridad, y be ser conocido por todos los miembros la. Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

17 1.3 (II) y y la la la la Declaración intenciones alto nivel. Alcance, y responsabilidas Planes Procedimientos Tareas Situación partida y meta a alcanzar, concretos y medios a emplear Describe procesos: qué, quién, cuando, dón Actividas específicas y cómo se realizan Registros y Evincias Pruebas objetivas l estado seguridad Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

18 1.3 (y III) y y la la la la / Plan Protección l servicio web Procedimiento Actualización l software l servidor Revisión los registros actividad en el servidor Tareas a realizar Revisión diaria los parches publicados por el fabricante Seguimiento las noticias sobre posibles fallos seguridad Revisión semanal los logs para tectar situaciones anómalas Configuración alertas seguridad que permitan reaccionar forma urgente ante ataques o intentos intrusión Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

19 1.4 (I) Proceso sistemático para estimar la magnitud l riesgo sobre un sistema información. y y la la la la 1. Determinar los activos relevantes, su interrelación (penncias) y su valoración, en el sentido qué perjuicio (coste) supondría su gradación. 2. Determinar a qué amenazas están expuestos 3. Estimar el impacto, finido como el daño sobre el activo rivado la materialización la amenaza. 4. Estimar el riesgo, finido como el impacto ponrado con la tasa ocurrencia (o expectación materialización) la amenaza. 5. Determinar qué salvaguardas existentes hay dispuestas y cuán eficaces son frente al riesgo. Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

20 1.4 (II) y y la la la la están expuestos a Interesan por su activos activos amenazas amenazas valor valor causan una cierta gradación gradación impacto impacto con una cierta frecuencia frecuencia Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09 riesgo riesgo Fuente: Magerit versión 2

21 1.4 (III) 1. Intificación activos y penncias y y la la la la Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

22 1.4 (IV) 2. Valoración activos en sus distintas dimensiones (propio y acumulado) y y la la la la Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

23 1.4 (V) 3. Caracterización las amenazas para cada activo, con su frecuencia e impacto y y la la la la Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

24 1.4 (VI) 4. Obtención l mapa riesgos y y la la la la Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

25 1.4 (VII) 5. Definición salvaguardas y y la la la la e s t á n e x p u e s t o s a I n t e r e s a n p o r s u a c t iv o s a c t i v o s a m e n a z a s a m e n a z a s c a u s a n u n a c ie r t a c o n u n a c ie r t a d e g r a d a c ió n d e g r a d c ió n r e s id u a l r e s id u a l f r e c u e n c ia f r e c u e n c ia r e s id u a l r e s id u a l v a lo r v a lo r im p a c t o im p a c t o r e s id u a l r e s id u a l r ie s g o r ie s g o r e s id u a l r e s id u a l s a lv a g u a r d a s s a lv a g u a r d a s Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

26 1.4 (VIII) 6. Definición un Plan seguridad y y la la la la Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

27 1.4 (y IX) y y la la la la Metodologías análisis riesgos MAGERIT OCTAVE CRAMM COBRA Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

28 Mapa situación Fijar y Objetivos Requisitos legales riesgos Definir Procedimientos Organización Tecnología. Implantar Monitorizar Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

29 2. Definición Fijar Definir Implantar Control: Monitorizar Cualquier mecanismo o actividad que previene, tecta o corrige errores o irregularidas: Organización Procedimientos Metodología l ciclo vida sarrollo Física y Lógica Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

30 Tipos (I) Control Preventivo Detectivo Disuasorio Descripción Intenta evitar la ocurrencia sucesos inseados Intenta intificar sucesos inseados en el momento o spués que hayan ocurrido Intenta disuadir a los individuos viola intencionadamente las políticas o procedimientos seguridad Ejemplos Fijar Definir Monitorizar Cortafuegos en el perímetro o filtrado virus en la pasarela correo Implantar IDS red o firmas archivos para tectar cambios en el sistema archivos Amenaza spido por violación políticas seguridad o bloqueo cuentas tras un terminado número intentos inicio sesión fallidos Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

31 Tipos (I) Control (cont) Correctivo Recuperativo Descripción Intenta remediar las circunstancias que permitieron la actividad ilegítima o volver el sistema al estado anterior a la violación Intenta restaurar los recursos perdidos y ayudar a la a recuperarse las pérdidas económicas causadas por la violación Ejemplos Fijar Definir Monitorizar Implantar Reconfiguración reglas l cortafuegos o eliminación un virus y actualización sus firmas Copias respaldo o planes continuidad negocio y recuperación sastres Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

32 Catálogo Fijar Definir Implantar Monitorizar ISO 27002:2005 (BS 7799/ISO 17799: , UNE ) Es un código buenas prácticas (no certificable) Incluye un catálogo seguridad y una guía para su implantación Se organiza en Áreas o Dominios (13) que puen tener uno o más Objetivos control (39). Para cada objetivo se scriben (133) Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

33 Áreas o dominios en ISO Fijar Definir Implantar 5-POLITICA DE SEGURIDAD Monitorizar 6-ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN 7- GESTION DE ACTIVOS 8- SEGURIDAD EN RECURSOS HUMANOS 9-SEGURIDAD FÍSICA Y DEL ENTORNO 11-CONTROL DE ACCESOS 10-GESTIÓN DE COMUNICACIONES Y OPERACIONES 12- ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN organizativa lógica física legal 13-GESTION DE INCIDENTES DE SEGURIDAD DE INFORMACION 14-GESTION DE CONTINUIDAD DEL NEGOCIO 15-CONFORMIDAD Ver ejemplos Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

34 Mapa situación Fijar y Objetivos Requisitos legales s Evaluar riesgos Definir Procedimientos Organización Tecnología. Implantar Monitorizar Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

35 3. Monitorización Fijar Definir Implantar Es necesario finir métricas e indicadores para: Monitorizar Comprobar la evolución los seguridad. El grado implantación y eficacia los y salvaguardas utilizados. Detectar las necesidas mejora y corregir sviaciones. Conocer el estado y evolución la seguridad Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

36 Ejemplos métricas (I) Fijar Definir Implantar Monitorizar Ref 8. ligada a los recursos humanos Control Selección Guía implantación Conjuntamente con RRHH, asegurar que se emplea un proceso verificación antecentes, proporcional a la clasificación seguridad la información a la que va a accer el empleado a contratar (procencia, formación, conocimientos, etc.) Posibles métricas Porcentaje nuevos empleados que hayan sido totalmente verificados y aprobados acuerdo con las políticas la empresa antes comenzar a trabajar Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

37 Ejemplos métricas (y II) Ref Control Guía implantación 10. Gestión operaciones y comunicaciones 10.5 Copias seguridad Implantar procedimientos backup y recuperación sobre los activos información más importantes. Definir la estrategia backup y recuperación Cifrar las copias seguridad que incluyan datos sensibles o valiosos Fijar Definir Posibles métricas Monitorizar Porcentaje operaciones backup y recuperación en pruebas exitosas. Implantar Tiempo medio transcurrido s la recogida los soportes backup en su almacenamiento fuera las instalaciones hasta la recuperación exitosa los datos en su ubicación. Porcentaje backups con datos sensibles o valiosos que están cifrados. Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

38 Cuadro mandos Fijar Herramientas SIM/SEM (Security Information Management / Security Event Management) Definir Monitorizar Implantar Vulnerabilidas Parches Eventos Manual Cuadro Mandos Activos Logs Controles Indicadores Alertas META enero marzo mayo julio septiembre Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

39 Cuadro Mandos. Un ejemplo Fijar Definir Implantar Monitorizar Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

40 Resumen (I). normativo Riesgo MAGERIT v2 OCTAVE CRAMM Controles BS :1996 ISO 17799:2000/05 ISO 27002:2005 Inventario Activos, Determinación Riesgo, Selección Controles Códigos buenas prácticas. Implantar y verificar Sistema Gestión (SGSI) Establecimiento la, Selección la metodología análisis riesgo y métricas, Gestión actividas CERTIFICABLE BS :2001 UNE 71502:2004 ISO 27001:2005 Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

41 Resumen (II). Grados madurez 2 Cumplimiento la legislación vigente: LOPD, LSSI, Delitos informáticos, 3 Gestión global la seguridad la información: s, planes, procedimientos, riesgos, Plan Respuesta a Incintes 1 Implantación medidas seguridad básicas por sentido común : Backup, control acceso a los recursos, 4 Certificación la Gestión : Confianza y verificabilidad por parte terceros Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09

42 Anexo. Familia ISO ISO 27000: Fundamentos y vocabulario (mayo 2009?) ISO 27001: Especificación un SGSI (octubre 2005) ISO 27002: Código buenas prácticas (junio 2005) ISO 27003: Guía implantación (septiembre 2009?) ISO 27004: Métricas (mayo 2009?) ISO 27005: Gestión riesgos (Junio 2008) ISO 27006: Criterios certificación (Febrero 2007) ISO 27007: Guía auditoría (2010?) Departamento Ingeniería Sistemas Electrónicos y Telecomunicación Arquitectura Res y Comunicaciones II Curso 2008/09