"Metodolog#a de Comprobaci$n ISO % & ' 12( 12(1 (3. Página 1

Transcripción

1 !! "Metodolog#a de Comprobaci$n ISO % & ' () *+,-.-/0 12( 12(1 (3 Página 1

2 Proposición Desarrollar una metodología que se utilice para identificar cuales son las diferencias existentes en una empresa entre la infraestructura de seguridad informática definida y lo que requiere la ISO Página 2

3 Definiciones ISO International Standard Organization Metodología Plan de trabajo Infraestructura de seguridad informática Seguridad definida en una empresa. Abarca desde las políticas hasta parámetros técnicos implementados IRAM Instituto Argentino de Normalización Página 3

4 Definiciones Foco de revisión Qué se debe revisar para comprobar su verdadero cumplimiento Seguridad informática Es la disciplina que protege su equipo y todo lo asociado a él (edificio, terminales, discos, impresoras, archivos, cableado, programas, etc.), inclusive a la información, para que ésta no sea destruida (intencional o accidentalmente), divulgación o modificación. Medidas de cumplimiento Verificar que lo que se solicita está efectivamente realizado. Página 4

5 Definiciones Política de seguridad informática B.C.P. Son documentos que expresan la visión general de la organización con relación a un aspecto determinado de la seguridad. Business Continuity Planning (plan de continuidad del negocio). D.R.P. Disaster Recovery Planning (plan de recuperación de desastres). Página 5

6 Definiciones Clasificación de la información Proceso por el cual se otorga cierta clasificación a la información de la empresa (pública, confidencial, restringida y secreta), de acuerdo a la cual se asociará el nivel de seguridad. Página 6

7 Introducción Arquitectura de Seguridad Informática en la Empresa Aplicación de la metodología propuesta ISO Trabajos de Seguridad Informática derivados de la aplicación de la metodología Página 7

8 Introducción ISO conocida públicamente Esta siendo aplicada en Argentina y en el mundo Basilea II COBIT SAS70 B.C.R.A Página 8

9 Introducción ACTIVOS PONDERADOS POR RIESGO Riesgo de Crédito Riesgo de Mercado Riesgo de Operativo Basilea II Página 9

10 Introducción Es el riesgo de una pérdida directa o indirecta resultante de un fallo en los procesos, en el personal, en los sistemas internos o por acontecimientos externos. Riesgo de Operativo Basilea II Página 10

11 Introducción Planificación Entrega y soporte Adquisición e implementación Monitoreo COBIT Página 11

12 Introducción Entrega y soporte Definición de los niveles de servicio. Administración de servicios prestados por terceros. Administración de la capacidad y del desempeño. Garantía de un servicio continuo. Garantía de la seguridad de los sistemas. Identificación e imputación de costos. Educación y capacitación de los usuarios. COBIT Página 12

13 Introducción Entrega y soporte Asistencia y asesoramiento de los clientes de tecnología de información. Administración de la configuración. Administración de problemas e incidentes. Administración de datos. Administración de instalaciones. Administración de operaciones. COBIT Página 13

14 Introducción A modo de resumen, se detallan a continuación los puntos salientes: Representa una revisión profunda de las actividades de control, del ambiente de tecnología. Incluye un reporte de opinión del auditor. NO es un conjunto de objetivos de control o actividades de control pre-determinados que la organización debe lograr y no es un checklist de auditoría. SAS70 Página 14

15 Introducción Es un texto ordenado de las normas sobre requisitos operativos mínimos del área de Sistemas de Información (SI). Fecha 12/12/2000. Orígenes en norma Fecha: diciembre de B.C.R.A Página 15

16 Sección 1. Introducción Generalidades. Sección 2. Organización y control del área de sistemas de información. Sección 3. Normativa y procedimientos de operación de sistemas, programación y tecnología. Sección 4. Sección 5. Control de operaciones computarizadas o procesos. Proveedores externos. Sección 6. Seguridad lógica. B.C.R.A Página 16

17 Sección 7. Introducción Continuidad del procesamiento de datos. Sección 8. Teleprocesamiento y telecomunicaciones. Sección 9. Sistemas aplicativos. Sección 10. Sistema de transferencias de fondos (SWIFT, MEP, otros) y cámaras compensadoras electrónicas. Sección 11. Cajeros automáticos, banca telefónica y "home banking". B.C.R.A Página 17

18 Introducción La no aplicación de la misma básicamente, se debe a: La normas es muy amplia (abarcativa). Las empresas aun no cuentan con la necesidad de certificar en la misma. No existe una metodología para establecer qué diferencias concretas existen entre la estructura de seguridad informática definida en la empresa y lo que requiere la ISO Página 18

19 Introducción Es importante destacar el último punto, ya que de la aplicación de la misma se podrán desarrollar los planes de acción necesarios. ISO rige a las grandes corporaciones mundiales, entidades gubernamentales, fuerzas armadas y otras empresas. Es de considerar la cultura organizacional que posea la empresa. Página 19

20 Introducción La ISO ha reemplazado a otros documentos de mejores prácticas internacionales Libro Anaranjado Libro Blanco BS-7799 Mejores prácticas de consultoras internacionales Página 20

21 1990 Historia Libro Anaranjado (Departamento de Estado de E.E.U.U.) 1992 Information Tecnology Security Evaluation Criteria Libro Blanco (Alemania, Francia, Gran Bretaña y los Países Bajos) Página 21

22 1995 British Standars Institution Historia BS ISO I.R.A.M. Página 22

23 Objetivos Principales de la Metodología Aplicar sistemáticamente los focos de revisión propuestos en la metodología. Establecer medidas de cumplimiento y no la realización de pruebas sustantivas. Página 23

24 Plan de Trabajo ANÁLISIS DE LA ISO 1 INFORME FINAL DE DIFERENCIAS 6 Trabajos de Seguridad Informática derivados de la aplicación de la metodología PLANIFICACIÓN DE TAREAS POR CAPÍTULO 2 DISCUSIÓN DE DIFERENCIAS CON LA EMPRESA 5 ARMADO DE INFORMES BORRADOR POR CAPÍTULO 4 APLICACIÓN DE LA METODOLOGÍA 3 Página 24

25 Contenido ISO Esta norma ha creado el marco de referencia sobre la cual debe estar definida la arquitectura de seguridad informática de una empresa. En su contenido se detallan 10 áreas genéricas 10 objetivos de control y 36 sub-objetivos. Página 25

26 Contenido ISO Políticas de seguridad Políticas de seguridad de la información. Página 26

27 Metodología de Comprobación 3. Políticas de seguridad ENTRE OTRAS COSAS VERIFICAR... Estamentos directivos. Política de SI (definición y propietario) Responsabilidades y funciones de SI. Foco de revisión Página 27

28 Contenido ISO La seguridad en la empresa La infraestructura de la seguridad informática. La seguridad ante el acceso de terceros. Terciarización. Página 28

29 Metodología de Comprobación 4. La seguridad en la empresa Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Conformación de un Comité de SI. Identificación de recursos y procesos de SI y sus responsables. Contratos con terceros (cumplimiento de políticas y normas de SI). Convenios de SI con otras empresas. Implementación de revisiones independientes sobre la SI. Identificación y evaluación de riesgos (matriz de riesgos). Requerimientos para la terciarización de la gestión de la SI. Página 29

30 Contenido ISO Control y clasificación de los bienes Rendición de cuentas. Clasificación de la información. Página 30

31 Metodología de Comprobación 5. Control y clasificación de bienes Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Clasificación de la información. Revisión periódica de la clasificación por el propietario. Definición de procedimientos para el manejo de la información de acuerdo a la clasificación de la misma. Página 31

32 Contenido ISO Seguridad del personal La seguridad en la definición de tareas y en los recursos. Capacitación del usuario. Como responder ante los defectos e incidentes relacionados con la seguridad. Página 32

33 Metodología de Comprobación 6. Seguridad del personal Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Responsabilidades en el mantenimiento de las politicas de SI y de la toma de personal. Firma de acuerdos de confidencialidad y cumplimiento de las políticas de SI. Derechos y responsabilidades de los empleados. Derechos a capacitación. Procedimiento para denunciar incidentes de SI. Procesos de sanciones. Página 33

34 Contenido ISO Seguridad física y ambiental Áreas seguras. Seguridad de los equipos. Controles generales. Página 34

35 Metodología de Comprobación 7. Seguridad física y ambiental Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Definición de perímetro de seguridad y acceso de elementos al edificio. Infraestructura de seguridad física. Acceso de personas y elementos. Seguridad de los equipos de riesgos ambientales y fallas de suministro o anomalías eléctricas. Estructura de cableado. Mantenimiento de los equipos. Política de escritorios despejados/pantallas. Página 35

36 Contenido ISO Gestión de operaciones y comunicaciones Responsabilidades y procesamiento operativos. Planificación y aceptación del sistema. Protección contra software perjudicial. Operaciones preparatorias. Gestión de red. Seguridad y manejo de los medios. Intercambio de información y de software. Página 36

37 Metodología de Comprobación 8. Gestión de operaciones y comunicaciones Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Definición de procedimientos operativos (gestión de incidentes, etc.). Separación de ambientes de producción y desarrollo. Segregación de funciones (carga/verificación, procesos de logon, etc.). Mediciones de capacidad de procesamiento. Aceptación de sistemas nuevos o modificaciones. Procedimientos contra software malicioso. Mínimos de backups y seguridad asociada a los mismos... Página 37

38 Metodología de Comprobación 8. Gestión de operaciones y comunicaciones Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Registros de logs de actividades de los usuarios. Gestión de red separada de funciones de SI. Procedimientos para la administración de medios de almacenamiento (etiquetado, destrucción, encripción, transporte, etc.). Segurización en el comercio electrónico (identificación, autenticación, no repudio, etc.). Segurización del correo electrónico. Página 38

39 Contenido ISO Control de acceso Requerimiento de la empresa para el control de acceso. Gestión de acceso del usuario. Responsabilidades del usuario. Control de acceso a la red. Control de acceso al sistema operativo. Control de acceso a las aplicaciones. Acceso y uso del sistema de monitoreo. Computación móvil y teleworking. Página 39

40 Metodología de Comprobación 9. Control de acceso Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Políticas de control de acceso a los servicios informáticos (user-id, autorización del propietario, nivel de acceso/perfil, etc.). Políticas de revisión de los accesos otorgados. Procedimiento para asignación de passwords y su cuidado (temporales, especiales, de emergencia, etc.). Protección de equipos, conexiones y direccionamiento. Políticas sobre el uso de red. Procedimientos para las conexiones externas (identificación, autenticación, logs, etc.)... Página 40

41 Metodología de Comprobación 9. Control de acceso Foco de revisión ENTRE OTRAS COSAS VERIFICAR... División de grandes redes (diferentes dominios). Procedimientos para log-on de usuarios a la red. Gestión de password. Control de utilitarios sensitivos. Acceso a las aplicaciones mediante menúes. Verificación de perfiles. Procedimientos de SI para trabajo móvil. Página 41

42 Contenido ISO Desarrollo y mantenimiento de los sistemas Requisitos de seguridad de los sistemas. Seguridad en los sistemas de aplicación. Controles. Seguridad de los archivos del sistema. La seguridad en los procesos de desarrollo y soporte. Página 42

43 Metodología de Comprobación 10. Desarrollo y mantenimiento de los sistemas Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Procedimientos de control de cambios a los sistemas (niveles de autorización, revisar los cambios, aprobación formal, garantizar su implementación, documentación, control de versiones, seguimiento a los cambios, etc.). Medidas para minimizar canales secretos y códigos troyanos (QA). Control de ingreso de transacciones a las aplicaciones. Políticas sobre el uso de controles criptográficos (gestión de claves, roles y responsabilidades, etc.)... Página 43

44 Metodología de Comprobación 10. Desarrollo y mantenimiento de los sistemas Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Políticas sobre el uso de firmas digitales. Desarrollo por terceros (contratos, certificación de la calidad, acuerdos de depósito, prueba del trabajo, etc.). Página 44

45 Contenido ISO Gestión de continuidad de las actividades comerciales Aspectos de la gestión de continuidad de las actividades comerciales. Página 45

46 Metodología de Comprobación 11. Gestión y continuidad en las operaciones del negocio Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Definición de un plan de continuidad de negocios que contenga, entre otras cosas, los riesgos, las amenazas, entender su impacto, contratación de un sitio alterno, formular y documentar la estrategia de continuidad, evaluar y actualizar los procedimientos, etc. Definir responsables y sus responsabilidades. Alcance del plan (BCP o DRP)... Página 46

47 Metodología de Comprobación 11. Gestión y continuidad en las operaciones del negocio Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Definir condiciones para activar el plan, procedimientos de emergencia, procedimientos para la reanudación de las tareas, etc. Pruebas y mantenimiento. Página 47

48 Contenido ISO Cumplimiento El cumplimiento de los requisitos legales. Revisiones de la política de seguridad y del cumplimiento de los requerimientos técnicos. Consideraciones para la auditoría de sistemas. Página 48

49 Metodología de Comprobación 12. Cumplimiento Foco de revisión ENTRE OTRAS COSAS VERIFICAR... Procedimientos para controles específicos de regulaciones locales, contractuales, estatutarios, etc. Cumplimiento de la seguridad otorgada según la clasificación de la información realizada. Cumplimiento con estatutos o regulaciones. Cumplimiento de las políticas de SI por otras gerencias. Cumplimiento de requerimientos de auditoría. Página 49

50 Conclusiones Entendemos que la metodología propuesta es aplicable a cualquier segmento de empresa y que la misma establecerá las diferencias existentes entre la infraestructura de seguridad informática definida y lo que pregona la ISO Página 50

51 Conclusiones Factores críticos de éxito para la aplicación de la metodología: Apoyo y compromiso manifiestos por parte de la Alta Gerencia. Conocimientos amplios en materia de seguridad informática. Un claro entendimiento de los requerimientos de la metodología. Página 51

52 Conclusiones BENEFICIOS Reconocimiento internacional. Aun no es mandatorio, pero... Procesos de seguridad informática definidos para evaluar, implementar y monitorear. Página 52

53 Conclusiones BENEFICIOS Estrategia/Metodología. Gerenciamiento y gestión de la seguridad informática. Página 53

54 ISO BS BS Bibliografía American Society for Industrial Security Canadian Society for Industrial Security CERT Coordination Center Communications Security Establishment BIBLIOGRAFIA Computer Security Institute The European Forum for Electronic Business (EEMA) (see Information Security Solutions Europe Conference) Electronic Frontier Foundation Página 54

55 BIBLIOGRAFIA Bibliografía Forum of Incident Response and Security Teams (FIRST) FIRST Member Security Teams High-Tech Crime Network Information Security Forum Information Systems Security Association (ISSA) The Institute Of Information Security - INSTIS International Association for Cryptologic Research ICSA Labs Italian Computer Antivirus Research Organization National Security Institute SANS Institute The USENIX Association Mejores Prácticas Internacionales de Seguridad Informática Página 55

56 Anexos El único anexo a considerar es la norma ISO , que se puede encontrar en Página 56

57 Determinación de futuras investigaciones en la misma línea Sería conveniente realizar una comparativa entre la metodología propuesta y la metodología COBIT, con el fin de potenciar la metodología objeto de la presente tesis. Página 57

58 Agradezco desde ya su atención y su tiempo. Muchas gracias! Página 58