El Círculo Virtuoso de la Seguridad en la Información Desayuno Técnico Abril 2010

Transcripción

1 El Círculo Virtuoso de la Seguridad en la Información Desayuno Técnico Abril 2010

2 La seguridad en la información de las empresas y corporaciones, es hoy en día un asunto que a todos preocupa, pero que no siempre se resuelve satisfactoriamente. La cuestión es que no sólo se trata de implementar un software/hardware. Tampoco únicamente de publicar un manual de políticas.

3 En nuestra experiencia hemos aprendido a integrar las áreas involucradas en un equipo colaborativo. Es así que hemos creado nuestro propio modelo, basado en estándares internacionales, pero con un enfoque práctico y probado

4 Antecedentes Evolución de prácticas administrativas Globalización Escándalos financieros Nuevos requerimientos regulatorios (Sarbanes-Oxley) Evolución tecnológica Facilidad de acceso y almacenamiento de información Búsqueda y adopción de estándares Velocidad de innovación (Redes Sociales) Amenazas Oportunidades d Pérdidas / fugas de información Problemas en la continuidad id d de operaciones Impactos económicos importantes t Aprovechar mejores prácticas Redefinir y formalizar esquemas actuales de seguridad de la información

5 Defining Information Security Information security covers all information processes, physical and electronic, regardless whether they involve people and technology or relationships with trading partners, customers, authorities and third parties.

6

7 Por qué se le debe dar importancia al tema? Qué debemos considerar? Quiénes se deben involucrar? Cómo se deben involucrar?

8 Algunos porqué. Aumentan pérdidas y denuncias por delitos informáticos: IC3 y FBI El monto por pérdidas relacionadas a los delitos informáticos en Estados Unidos se duplicó durante 2009, al rebasar los $550 millones de dólares, de acuerdo al último reporte Internet Crime Report 2009, liberado por el Internet Crime Complaint Center (IC3). El 92.02% de las denuncias provinieron de Estados Unidos, 1.7% de Canadá, 0.96% del Reino Unido, 0.59% de Australia, 0.42% de la India. Mientras que México acaparó 0.16% de las denuncias, arriba de países como Sudáfrica y Filipinas, lo cual incluyeron al país de habla hispana entre las 10 naciones que más denuncias ingresan ante el Centro.

9 Algunos porqué. Robo de información a ONU, India y Dalai Lama apunta a China Las evidencias i apuntan hacia el territorio i chino como la ubicación desde donde se perpetró un ataque coordinado para sustraer información De acuerdo con los investigadores del Monitor de Información Bélica de Citizen Lab, que hicieron público el hallazgo del ataque, les llevó ocho meses monitorear a los atacantes. Encontraron que los hackers tenían en su poder información clasificada de gobiernos, instituciones i i académicas y de empresas.

10 Algunos porqué. Impunidad impulsa cibercrimen en el mundo "Un reporte de la firma PandaLabs afirma que durante 2010 se mantendrá una tendencia de crecimiento de códigos maliciosos, cibercrimen y robos de información. los troyanos se mantienen como los códigos maliciosos preferidos por los cibercriminales, pues son los que mayor beneficio económico entregan a través del robo de identidad y hurto de datos confidenciales. Junto con el alto beneficio económico, los expertos de la compañía afirmaron que la falta de sanciones más severas para los cibercriminales y el fácil acceso a herramientas de desarrollo de troyanos mantendrán el incremento en la permanencia de estos códigos maliciosos a lo largo de

11 Algunos porqué. Plan de continuidad de negocios El 37.5% de los negocios no estaban preparados para hacer frente a la contingencia provocada en México por la influenza humana AH1N1, de acuerdo con cifras oficiales citadas por Alcatel-Lucent. cent

12 Algunos porqué. Servidores de bases de datos: caramelos para hackers Información sensible y mala gestión en seguridad los convierte en objetivos tentadores. Las bases de datos albergan los datos confidenciales más fáciles de vender de una compañía: listas de clientes, la nómina y muchos otros inventarios estructurados que significan información sensible. Los administradores de las bases de datos no suelen ser duchos en prácticas de seguridad y las propias bases de datos están a menudo ligadas a aplicaciones web que han resultado fáciles de asaltar. En su estudio anual sobre intrusiones, el equipo forense de computación de Verizon Business informó que en 2008 las bases de datos constituyeron el 30% de las intrusiones. Peor aún, las intromisiones en las bases de datos son el 75% de todos los reportes que se notifican como penetrados.

13 Algunos que debemos considerar. - Organización de la Seguridad Seguridad de RH Asegurar que los empleados, Administrar la implementación y el contratistas y personal externo sean las mantenimiento de la Seguridad de personas adecuadas para desempeñar Información dentro de la organización, los roles que se les han asignado, asignando roles y responsabilidades. conozcan sus responsabilidades y obligaciones en la organización, estén conscientes de las amenazas y preocupaciones de Seguridad de Información, estén preparados para Administración i ió de Activos apoyar la Política de Seguridad Lograr y mantener un nivel de (reduciendo así el riesgo de error protección adecuado de la información humano) y que el término o cambio de y activos organizacionales empleo se realice de forma ordenada.

14 Algunos que debemos considerar. Seguridad Física y Ambiental Prevenir acceso físico no autorizado, daño e interferencia a la información, interrupción de actividades, así como pérdidas, daños, robo o compromiso de activos de la organización. Admón. de Comunicaciones y Operaciones Asegurar la operación, minimizar el riesgo de fallas, detectar actividades no autorizadas, mantener la integridad y disponibilidad de los centros de procesamiento de información, software y redes. Control de Accesos Controlar el acceso a la información, asegurando el acceso de usuarios autorizados y previniendo acceso a usuarios no autorizados a los sistemas de información, centros de procesamiento, redes, sistemas operacionales y procesos de negocio, con el fin de prevenir robo, mal uso o compromiso de la información organizacional.

15 Algunos que debemos considerar. Admisión, Desarrollo y Mantenimiento i t a Sistemas Asegurar que la seguridad sea parte integral de los sistemas de información, protegiendo la confidencialidad, autenticidad e integridad de la información. Administración de la Continuidad id d del Negocio Contrarrestar las interrupciones a las operaciones del negocio y asegurar su restablecimiento oportuno, protegiendo los procesos críticos de desastres o fallas en los sistemas de información. Administración de Incidentes de Seguridad de Información Asegurar que los eventos y debilidades de Seguridad de Información sean comunicados oportunamente para realizar la aplicación de medidas correctivas en base a una efectiva y consistente administración de incidentes en Seguridad de Información. Normatividad Asegurar el cumplimiento de leyes, estatutos, regulaciones y obligaciones contractuales, así como de los requerimientos de seguridad.

16 Primeras conclusiones: 1. La Información es un activo importante de la empresa 2. La Seguridad de Información es tema relevante de toda la organización 3 Se requiere tener un modelo que 3. Se requiere tener un modelo que administre este activo

17 Cuál es la base de un buen gobierno en Seguridad de Informacion? Cuatro pilares: Compromiso de la Alta Dirección Visión y Estrategia Estructura para la administración de Seguridad de Información Entrenamiento y Concientización

18 Cómo?

19 Compromiso de la Alta Dirección Formalizar las inquietudes de la alta administración sobre los riesgos en seguridad de información en una política que esté basada en mejores prácticas y estándares internacionales Etbl Establecer un proceso y mecanismos donde d la alta administración tenga un rol relevante en la difusión, actualización e implementación de la política

20 Visión y Estrategia Desarrollar modelo efectivo para mitigar los riegos en seguridad de información Basarse en estándares internacionales y mejores prácticas adaptándolas a la madurez de la empresa Darle prioridad a lo que representa mayor amenaza de acuerdo a los objetivos de la empresa Establecer un modelo operativo dinámico y flexible que facilite la continuidad y mantenga el interés Establecer los roles requeridos así como los conocimientos y habilidades necesarios

21 Algunos estándares a considerar..

22 Pi Prioridad idden Base a Riesgos Risk Assessment threats / likelihood vulnerabilities / exploitation assets / impact risk / countermeasures Test & Review scanning audit of controls Operational Security patches th incident handling training Risk Mitigation safeguard implementation additional controls

23 Estructura para la administración de la seguridad de Información Proyecto? Proceso?

24 Definición Desarrollo Promoción Seguimiento Política Lineamientos Estándares Procedimientos Definición Auditoría Avance Implementación

25 Equipo Directivo Equipo de especialistas Definición Auditoría Areas Funcionales Avance

26 Entrenamiento y Concientización Capacitación Ejecutiva Capacitación y Certificación de equipo de especialistas Entrenamiento a empleados Incorporación en planes de inducción Difusión en medios normales de la empresa, por ejemplo tableros de avisos, intranet Participación i ió con cápsulas de información ió en juntas directivas importantes

27 Este modelo organiza el esfuerzo mediante: Generación de expectativas, involucramiento y compromiso. Generación de medios para asegurar un esfuerzo permanente. 1) Involucrando a la alta dirección para validar políticas y conseguir que se promuevan 2) Creando un comité ejecutivo para involucrar, validar y difundir. 3) Organizando especialistas en seguridad y administración de riesgo, en un equipo técnico de trabajo interdisciplinario (entre empresas o departamentos), que genera, define e implementa los lineamientos. i

28 Este modelo organiza el esfuerzo mediante: Generación de medios para asegurar un esfuerzo permanente 4) Integrando auditores para revisar avances como garantía de vigilancia sobre la evolución del modelo. 5) Asegurando cubrir estándares internacionales 6) Utilizando el software/hardware adecuado al caso 7) Estableciendo métricas indicadoras do pertinentes.

29 Este modelo organiza el esfuerzo mediante: Generación de medios para asegurar un esfuerzo permanente 8) Mediante mecanismos que permitan superar los principales obstáculos a la permanencia en la seguridad de la información: - Madurez en la cultura de la seguridad. - Comunicación (reuniones de avance) entre los niveles. - Certificaciones para contar con un equipo técnico capacitado.

30 Comentarios Finales No es un proceso sencillo Es un proceso de mejora continua Requiere colaboración de toda la organización Requiere de recursos tanto humanos como financieros Es un proceso importante y crece su relevancia en la medida que las cadenas de valor en la empresa crecen y los mercados se hacen globales

31 El Círculo Virtuoso de la Seguridad en la Información