Avances en Seguridad de la Información

Transcripción

1 Avances en Seguridad de la Información John A. Coggan IRCA 2

2 Contenido Evolución histórica de los estándares La familia ISO/IEC Utilización de los estándares Gestión de riesgos Principios para los objetivos de seguridad Centralización de las decisiones y consecuencias Aplicación profunda de conocimiento Medición y garantías Perspectivas de aplicación y el éxito sustentable Los desafíos para la profesión Preguntas y respuestas 3 Evolución en cantidad Fuente: timeline results google - history of information security standards 4

3 Contexto estratégico Nuevos contextos Gobernación Corporativa Partes Interesadas Valor agregado Calidad Riesgos Benchmarking Integración Seguridad de Información Propiedad Intelectual Ambiente Producto Servicio Sistemas Estrategia Organización Espectro de Estándares de Certificación 5 Las normas de la familia 27k Descripción & Vocabulario Proporciona terminología y relacionamiento entre las normas Requisitos SGSI Proporciona los fundamentos de un SGSI Gestión del Riesgo Proporciona una metodología para uso en el SGSI (27001) Código de Prácticas Proporciona las mejores prácticas de control para la implantación del SGSI Guía para Implantación Proporciona directrices detalladas para la implantación de un SGSI (27001) utilizando ejemplos y estudios de caso Medición Proporciona la metodología para la medición de la efectividad del SGSI (27001) y de los controles (27002) Requisitos de Acreditación Proporciona los requisitos para acreditación de organismos acreditadores y de auditores para proporcionar servicios de certificación de SGSI (27001) 9

4 La familia : Introducción y vocabulario 27001: Requisitos para SGSI 27002:2005 Código de prácticas Orientación para la implementación Métricas y medición 27005: Gestión de Riesgos 27006:2007- Requisitos para organizaciones de certificación Orientación para auditorías de SGSI Orientación para auditorías de controles 10 La familia Orientación en comunicaciones 27011:2008 Orientación para la gestión en organizaciones de telecomunicaciones Orientación para integración de Sistemas de Gestión Gobernación y técnicas de seguridad Orientación para SGSI en organizaciones financieras Continuidad de negocios en TI y telecomunicaciones Orientación para seguridad cibernética 11

5 La familia reemplaza ISO para seguridad en redes de TI Orientación en seguridad de aplicativos de TI Reemplaza ISO TR gestión de incidentes de seguridad Orientación para seguridad en Outsourcing Orientación para evidencia digital 12 Otros estándares ISO/IEC Orientación para recuperación de desastre en tecnología de información y de comunicaciones ISO/IEC 27799:2008 Orientación para SGSI en la salud ISO :2008 Gobernación de TI. BS 25999:2007 Sistemas de Gestión de Continuidad de Negocios BS 25777:2008 SGCN Orientación para TI usar con BS :

6 Certificación Cuál es el significado de la certificación? Valor es subjetivo Corresponde a la reputación Tiene significado como comparación (con la competencia?) Estimula mejora Ayuda para incorporar principios Instrumento de lealtad con clientes Independencia provee credibilidad Reduce subjetividad en la gestión 14 Certificación Manejo de certificación Enfocada en servicios o en seguridad? Certificaciones fáciles son inútiles Evite pasar mensaje equivocado sobre seguridad Identifique procesos, productos y áreas que tengan valor Defina objetivos para la certificación Maneje el proceso de certificación Revise resultados contra los objetivos 15

7 Seleccionando una certificadora Ayuda a construir confianza entre las partes Debe ser proveedor de información útil Relevante a las actividades de la organización Proporcionar equilibrio entre recursos usados y beneficios obtenidos y Promover la utilidad sin diluir el valor 16 Certificados ISO/IEC Certificados ISO/IEC / Mundo Americas Américas America América del Sur 5530 Fuente: 11 de Agosto 2009 Total:

8 Evolución de la certificación Fuente: M u n d o Mundo Sur Sul America América S u r A m é r i c a 19 Certificados ISO/IEC Canadá, 5 Brasil, 22 Certificados por país Colombia, 4 Perú, 4 Chile, 4 México, 28 USA, 94 20

9 Certificados ISO/IEC Certificados en las Américas BSI DNV 15 Total: BVQI DQS TÜV Rheinland Group Otros certificadores 21 Seguridad de información Misión La protección de información de varios tipos de amenazas para garantizar: 1. La continuidad de los negocios 2. Minimizar los riesgos a los negocios 3. Maximizar el retorno sobre las inversiones hechas 4. Las oportunidades de negocio [Fuente: ISO/IEC 27002:2005 clausula 0.1 Qué es la Seguridad de Información?] 22

10 Desarrollando Criterios c) e) Opción 1 Nivel del riesgo Opción 2 GG RR h) NRA f) Extensión del tratamiento 26 Opción para Continuidad de Negocio Producto / Servicio Dentro del alcance Continuidad de Negocios Aceptación Transferencia Alterar, suspender o terminar Opciones para las actividades basadas en niveles aceptables de operación Documentar y aprobar Programa de Gestión de Riesgos Habilidades e Conocimientos da fuerza trabajo Instalaciones disponibles Tecnologías de soporte Datos e información Equipamiento y provisiones Partes interesadas 30

11 Gestión de Riesgos vs. GCN Gestión de Riesgos Gestión de Continuidad de Negocios Método clave Análisis de riesgos Análisis de impacto al negocio (BIA) Parámetros claves Tipo de incidente Impacto & Probabilidad Todos los tipos de eventos generalmente segmentados Impacto y Tiempo Eventos causando interrupciones significativas a los negocios Tamaño del impacto Toda tamaño (costos) de eventos generalmente segmentados Estrategia es planeada para sobrevivir a incidentes fatales pero puede también ser usado para cualquier tamaño de incidente Alcance Intensidad Foco primario en la gestión de riesgos para alcance de los objetivos del negocio De gradual hasta repentinos Foco principal en la gestión de incidentes con actividades que no son principales al núcleo del negocio Eventos rápidos y repentinos (pero las respuestas pueden ser adecuadas para incidentes graduales cuando el impacto tornase severo 31 Histórico 33 de evolución 1974 Primer plan conocido de recuperación de desastres - Norm Harris Director First National Bank of Ohio Mainframe 1980 s DR + Planes de Contingencia para soporte a los usuarios 1989 Ron Ginn publica el libro Continuity Planning que llevó a la adopción del término Business Continuity y a planes para toda el alcance de emprendimiento de negocios s proliferación de reglamentaciones y de estándares aumenta la visibilidad y interés al nivel de las altas administraciones 1994 Establecimiento del Instituto de Continuidad de Negocios (The BCI) 2005 El BCI y el Instituto de Recuperación de Desastres (DRI) publican en conjunto las Buenas Practicas ( Good practices ) de la Gestión de Continuidad de Negocios (GCN) y los requerimientos de competencia de las personas BSI publica el estándar Código de Prácticas ( Code of Practice ) BSI publica la Especificación Specification for BCM. 32

12 Jerarquía de los planes Emergency Response Plan Crisis Management Plan Directors Executives Emergency Evacuation Plan Business Continuity Plan Function Restoration Plan Operators Managers Technicians Disaster Recovery Plan 33 Medición Grado de Garantías Respaldo Demora 7 horas Hecho por robot diariamente Contiene informaciones de correos electrónicos hasta códigos fuente de software en desarrollo La política interna exige que todos los código fuente deben ser guardados en los servidores. El robot contiene 7 cartuchos y demora una semana para llenar uno de ellos. El cartucho lleno es guardado en un armario al lado del robot. El centro de cómputo usa 400 luces fluorescentes El control central del aire acondicionado está del lado opuesto de la puerta de entrada al centro de cómputo El detector de humo está debajo de las luces fluorescentes y sus balastros reactores. 40

13 Falsos Positivos Sitios de contingencia Poco o nunca usados Pocos simulacros prácticos, algunos teóricos Poco control y conocimiento sobre el nivel de cambio de configuraciones de hardware y software Suposiciones sobre el conocimiento de personas Evaluaciones de riesgo Subjetivos Segmentados en lo operacional Limitados en el tiempo Hechos en las oficinas y no en el campo de actuación 42 Falsos Positivos Anti Virus / Firewall / Procedimientos Poca medición y análisis del tráfico de Spam, Phishing, y otras productos derivados de bots, botnets, y motores de busca Cuántas son benevolentes, maliciosos, pre-programados, reactivos? SPAM centrado en filtrando correo electrónico Poco análisis sobre el uso de protocolos HTTP, P2P y IRC y anonimidad Número de equipos siendo anfitriones involuntarios (zombies o drones) Número de equipos siendo blancos de actividades de botnets (trojans, seekers) Poca o ninguna cooperación con los ISP s y CERTS para monitoreo y análisis de tráfico, captura de nodos de comando y control, identificación de los pastores y uso de contra medidas. Contra medidas - Uso de honeypots / honeynets Counter bots. 43

14 Desafíos Mejorar la cobertura y profundidad de la evaluación de riesgos Permite definir los objetivos (garantías) y las formas de medir Optar entre programas de gestión de riesgos o continuidade de negocios Usar Business case para cada propuesta Medir y revisar Mejorar comunicación de datos y hechos Aplicar métodos racionales de análisis de datos Ser fuerte (cumplimiento), inteligente (racional y sistemático) y sensible a cambios (mejora) Preguntas y respuestas

15 Gracias Diagonal (Calle) 16 No Teléfono: Fax: BOGOTA DC Carrera 49 No Of. 406 Teléfono: Fax: MEDELLIN Calle 18 No Of. 406 Teléfono: Fax: PEREIRA