Sistemas de Gestión de la Seguridad de la Información: Seguridad Eficiente Mariano Benito Gómez Director de Seguridad SGI Soluciones Globales Internet
Jornadas de Seguridad y Comercio Electrónico Sistemas de Gestión de Seguridad de la Información: La Seguridad Eficiente Referencia: SGI-SGSI-PRE-032 Código Interno: SGISA 20226/06 Versión: 1 Soluciones Globales Internet 2006 Mariano J. Benito Gómez mjbenito@sgi.es Director de Seguridad SGI Zaragoza, 02 de Marzo de 2.006 El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.
Una Breve Introducción Estado de la Seguridad 2006 SGSI: Ingeniería de Seguridad SGSI: Estándares Conclusiones
Una Breve Introducción Estado de la Seguridad 2006 SGSI: Ingeniería de Seguridad SGSI: Estándares Conclusiones
Grupo GMV Grupo GMV: soluciones en TICs para los mercados aeroespacial, defensa, transporte, telecomunicaciones y e-business Más de 550 empleados (90% titulados) Actividad internacional superior al 50% Grupo Tecnológico Industrial GMV, S.A. Fundada en 1984 Sociedad Holding Mercados aeroespacial y defensa Aplicaciones avanzadas en otros mercados Mercado aeroespacial EEUU Mercados de las Telecomunicaciones y e-business Mercados de Transporte e Industria Mercados aeroespacial y defensa Portugal Desarrollo y aplicaciones de Galileo SGI proporciona las más avanzadas soluciones tecnológicas seguras en TICs para mejorar los procesos de organizaciones líderes por innovación SGI mantiene un firme compromiso con la calidad total en todas sus soluciones El astronauta Pedro Duque inició su carrera profesional en Grupo GMV
Soluciones Globales Internet S.A. Soluciones Globales Internet S.A. lleva desde 1995 prestando servicios especializados en los sectores de Telecomunicaciones y e-business Liderazgo en Seguridad Lógica, SGSI implantado en sus sedes de Madrid, Sevilla y Barcelona, UNE-EN 71502:2004. Implantación del primer firewall en España, en 1993. SGI cuenta con la certificación UNE-EN ISO 9001: 2000 de calidad en todas sus sedes, y con la certificación medioambiental UNE-EN ISO 14001: 1996 por AENOR, en sus oficinas centrales de Madrid. Recursos Equipo Humano Infraestructura Valladolid Sevilla Madrid Barcelona Un equipo de cerca de 140 profesionales (90% de Ingenieros en Telecomunicaciones e Informática) Colaboración tecnológica con Grupo GMV Unas instalaciones de aprox. 7000 m 2 en el P.T.M. de Tres Cantos (Madrid) Delegaciones en Sevilla, Barcelona, Valladolid Laboratorios propios de I+D
Una Breve Introducción Estado de la Seguridad 2006 SGSI: Ingeniería de Seguridad SGSI: Estándares Conclusiones
Evolución de Internet y las soluciones de Seguridad 1996 1996 2006 2006 Seguridad? Empresas tienen FR 256k Varios MB: ATM, T3, T1,... Cortafuegos, multifw,... Primeras web, estáticas Webs dinámicas: blogs, J2EE,.net, e-banking Test Intrusión Email poco usado Spam, listas de correo,... Formato SMTP, antivirus, Conexión desde casa a 9k ADSL, WiFi,.. FW personal P2P?... Consideraciones legales IRC? Virus llegan en diskettes Sólo visionarios piensan en seguridad Mensajería Instantánea, mirc, Web chats Virus por correo, gusanos troyanos Las empresas dedican presupuesto a seguridad... Antivirus corporativos Estamos aquí
Necesidades de seguridad Algunas preocupaciones habituales de un Responsable de Seguridad Keep good guys in, bad guys out! Que no me cambien la página Web Virus, troyanos, código espía,... Tener backups, al menos del servidor. Pocos/malos cambios de contraseñas Y cuanto todo falla, restaurar el servicio en caso de incidente. Porqué hago lo que hago?
Actitudes 2006 (i). Tengo que ser invulnerable Necesidad No me puede pasar nunca nada, cueste lo que cueste Necesito herramientas para cualquier circunstancia Cómo trabaja? Gasto continuo en seguridad. Compra y usa licencias de todo tipo de productos en cuanto están disponible en el mercado. Verifica constantemente vulnerabilidades y foros de seguridad Resultados Mejorables Tiene un SIMO: Hay tantos productos que en ocasiones no sabe, no puede o no tiene capacidad para usarlos correctamente Está preparado para algunos peligros que, simplemente, no va a tener. Y tendrá algunos problemas para los que no tendrá herramienta. Conclusión No conseguirá ser invulnerable, aunque tendrá respuestas para casi todo. El gasto en seguridad es una pequeña fortuna.
Actitudes 2006 (ii). La seguridad de Santa Bárbara Necesidad Cómo trabaja? Somos pequeñitos, quién nos va a atacar? Esas cosas les pasan a otros Anda, cómo va a pasar eso? No hay que ser catastrofistas Trabajo simbólico o nulo... hasta que pasa algo. Entonces todo son prisas, urgencias y carreras. No cree que haya problemas diferentes al hacker o al virus. Resultados Malos Sólo se toman medidas elementales (y a veces ni eso). Y sin el incidente es pequeño, ni se toman medidas o se responde. Se suele negar que haya pasado algo (a veces ni se sabe) Vida tranquila vs. infartos y disgustos (y despidos) Conclusión Tendrá un problema sin solución, o imposible de resolver sobre la marcha. Es sólo cuestión de tiempo. El problema le hundirá, tal vez mucho, tal vez del todo.
Actitudes 2006 (iii). Me ha dicho mi amigo... Necesidad Ninguna. Se fía de terceros, porque no conoce. Cómo trabaja? Peligro! El jefe está con sus amigos! Alguien le recomienda algo (con suerte, lo ha probado antes) Yo también lo necesito (aunque no tenga del todo claro por qué) Resultados Variables, dependiendo del buen tino del consejero Se compran licencias, pero luego no se usan. Se compran licencias, pero no saben cómo o para qué usarlas. Se crea una falsa sensación de seguridad. Pero si tenemos de todo! Conclusión Quizás pierda un amigo en el primer incidente de seguridad Pero seguro que la culpa es del de seguridad
Actitudes 2006 (iv). Hagamoslo lo mejor posible Necesidad Cómo trabaja? Intenta conocer el campo razonablemente bien. Tiene una idea razonablemente correcta de sus necesidades Lleva trabajando un tiempo en ellas y/o seguirá haciendolo Prudencia e información. Intenta ir por delante de los problemas Intenta ir corrigiendo los problemas poco a poco. Resultados Habitualmente bueno. Invierte su presupuesto con sensatez Tiene un horizonte de trabajo a largo plazo. Se informa, reflexiona y puede responder los porqués de su trabajo Pero a veces el resto de la empresa no le entiende. Pero a veces tiene que jugar órdagos para conseguir más presupuesto El día que algo falle Conclusión Una vida de equilibrista. Más tensión de la debida, y quizás algún día caiga, a pesar de todo Perfil del Buen Profesional
Problemas de Seguridad 2006 (II) Quién decide qué es necesario comprar? Nuevas necesidades legales Seguridad vs. Seguridad de la Información La Seguridad es asunto de estado Natural evolución de las tecnologías Algunos eventos recientes Reducción de costes Criterios meramente económicos Quien compra no entiende de seguridad Antes LOPD, LSSICE, LGT,... Ahora LPI, Sobarnes-Oxley, CCEE,... Abogados especialistas en TI. El impacto del caso ENRON. Patriot Act, guerra electrónica Más implicación de los Gobiernos. el caso www.maec.gov.ma Pueden hacerse anteriores imposibles? Puedo hacer mejor lo que ya hago? El caso Windsor Torres Gemelas Incendio en el CPD de Iberia. Puedo tener más seguridad con menos dinero?
Problemas de Seguridad 2006 (III) En su mayoría, los NUEVOS PROBLEMAS NO SON meramente TECNOLÓGICOS, sino de INTEGRACIÓN de la seguridad con el RESTO DE ACTIVIDADES DE UNA EMPRESA Dirección Selección de Personal Finanzas Abogados En muchos casos, la Seguridad sigue siendo un elemento extraño en las organizaciones. Sabe que es necesaria, pero es un gasto. Otra preocupación Por qué tengo que gastar en seguridad? Más leyes. Losinformáticos no entienden Dirección Ya no se discute la necesidad de seguridad, pero sí conocer como de bien estamos en seguridad ES NECESARIO GESTIONAR LA SEGURIDAD Cómo tener mejor seguridad? Cómo medirlo? Cómo gestionarlo?
En otras palabras Existen Soluciones MÁS EFICACES y MÁS EFICIENTES que las aproximaciones clásicas para resolver los PROBLEMAS de Seguridad ACTUALES o FUTUROS de MI Organización?
Una Breve Introducción Estado de la Seguridad 2006 SGSI: Ingeniería de Seguridad SGSI: Estándares Conclusiones
Breve glosario Amenaza Evento que puede desencadenar un incidente de seguridad, produciendo daños o pérdidas materiales o inmateriales en un activo. Activo Recurso del Sistema de Información o relacionado con este, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. Impacto Consecuencia sobre un activo de la materialización de una amenaza Riesgo Es la posibilidad de que se produzca un impacto determinado en un activo, en un conjunto de activos o en toda la organización. Control Práctica, procedimiento o mecanismo que reduce el nivel de riesgo. Eficacia de un Control Facultad de un control para lograr los objetivos de seguridad para los que fue diseñado. Fuente: UNE 71501-1:2001 UNE 71502:2004
El Sistema de Gestión de Seguridad de la Información Objetivos Es un Sistema de Gestión que comprende Responsables Política Estructura Organizativa Procedimientos Procesos Recursos Coordinación Eficiencia Qué hacer Para implantar la Gestión de la Seguridad de la Información Es la herramienta de que dispone la dirección para llevar a cabo las Políticas Y los Objetivos de Seguridad Gestión
Ciclo de Vida del SGSI Ciclo de Resolución Actuar Carencias/Incidentes NOK Planificar Implantar Verificar OK Actuar Mantenimiento Ciclo de Mantenimiento Ciclo de Mejora Fuente: UNE 71502:2004 Actuar Ideas/Mejoras
Elementos de un SGSI (i) UNE 71502:2004 BS7799-2:2001 ISO 27001:2006 Sistema de Gestión MAGERIT OCTAVE, CRAMM,... UNE 71501:2001 Análisis de Riesgos Controles de Seguridad ISO 17799:2000/2005 BS 7799-1:1996 ISO 27002:2006
Elementos de un SGSI (ii). Sistema de Gestión NORMATIVA DE REFERENCIA UNE 71502:2004 BS 7799-2:2001 ISO 27001:2006 Incluye: Determinar la Política de Seguridad Sistema de Gestión Qué elementos gestionan su Seguridad con el SGSI. Y cuales no. Selección de metodología de Análisis de Riesgo y otras métricas Procesos Comunes del Sistema, que apoyan al resto de las actividades
Elementos de un SGSI (iii). Análisis de Riesgos Incluye: Inventario de Activos Determinación de Riesgo de Seguridad de cada uno de los activos Decidir qué riesgos son aceptables, y qué riesgos no lo son y requieren mejora. Aprobación por la Dirección. Análisis de Riesgos Selección de Controles ESTÁNDARES DE REFERENCIA MAGERIT OCTAVE, CRAMM,... UNE 71501:2001
Elementos de un SGSI (v). Sistema de Gestión Incluye: Implantar los controles de la Norma de Referencia seleccionados anteriormente Controles de Seguridad Verificar que los controles están correctamente implantados Verificar que los controles proporcionan la seguridad que se espera ISO 17799:2000/2005 BS 7799-1:1996 ISO 27002:2006 Verificar si existen controles alternativos que puedan proporcionar mejor seguridad
Métricas: Eficiencia de la Seguridad en el SGSI Planificar Definir Nivel de Seguridad Objetivo de Nivel de Seguridad Implantar Presupuesto para ese objetivo Verificar Nivel de Seguridad Actuar Carencias/Incidentes Verificar Mala Planificación Mala Implantación Actuar Mantenimiento Actuar Ideas/Mejoras Objetivo Cumplido!!! Puedo mejorar la Seguridad Nivel de Seguridad en Función de Nivel de Inversión Establecimiento de Objetivos
Mejora Continua de Seguridad Estado Actual de Seguridad Objetivo inherente al SGSI Política de Seguridad Objetivos de Seguridad Objetivos Logrados Diseño de Plan de Acción Correcciones sobre el Plan Ejecución del Plan de Acción Verificación de Resultados Mediante el uso de métricas
Una Breve Introducción Estado de la Seguridad 2006 SGSI: Ingeniería de Seguridad SGSI: Estándares Conclusiones
Estándares de SGSI: Definición del SGSI Sistema de Gestión UNE 71502: 2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información NORMATIVA ESPAÑOLA INDICE 1. OBJETO Y CAMPO DE APLICACIÓN 2. NORMAS PARA CONSULTA 3. TÉRMINOS Y DEFINICIONES 4. MARCO GENERAL DEL SGSI 5. IMPLANTACIÓN DEL SGSI 6. EXPLOTACIÓN 7. REVISIÓN DEL SGSI 8. PROCESO DE MEJORA 9. BIBLIOGRAFÍA ISO 27001:2006 NORMATIVA INTERNACIONAL En un 99% traduce UNE 71502:2004. En un futuro cercano, absorberá certifica BS 7799-2:2001 NORMATIVA BRITÁNICA. primera versión de un SGSI (IMSM), UNE 71502 la evolucionó. ES POSIBLE CERTIFICAR UN SGSI contra estas NORMAS
Estándares de SGSI: Controles de Seguridad Controles de Seguridad ISO 17799:2000 Código de Buenas Práctivas para la Gestión de la Seguridad de la Información NORMATIVA INTERNACIONAL 10 capítulos de actuación 129 controles de seguridad de posible aplicación ISO 17799:2005 Actualización de la ISO 17799:2000 11 capítulos de actuación ( Incidentes de Seguridad es capítulo propio) 137 controles de Seguridad de posible aplicación. ISO 27002:2006 Redenominación de ISO 17799:2005, BS 7799-1:1996 NORMATIVA BRITÁNICA. primera versión de la norma, evolucionada por el resto de estándares NO es POSIBLE CERTIFICAR nada contra estas normas
Estructura de Contenidos ISO 17799:2000 (i) 3.- Política de Seguridad 4.- Estructura Organizativa para la Seguridad 5.- Clasificación y Control de Activos 6.- Seguridad en el Personal 7.- Seguridad Física y del Entorno 9.- Control de Accesos 8.- Gestión de Comunicaciones y Operaciones 10.- Desarrollo y Mantenimiento de Sistemas 11.- Gestión de Continuidad del Negocio 12.- Cumplimiento Legal Fuente: ISO 1779:2000 y AENOR
Estructura de Contenidos ISO 17799:2000 (ii) 3.- Política de Seguridad de la Información 2-1 3.1 Política de Seguridad de la Información. 2-1 4.- Estructura Organizativa para la Seguridad 10-6 4.1 Estructura Interna para la Seguridad de la Información. 7-3 4.2 Seguridad para los Accesos de Terceras partes. 2-2 4.3 Externalización y Outsourcing. 1 1
Estructura de Contenidos ISO 17799:2000 (iii) 5.- Clasificación y Control de Activos 3-2 5.1 Responsabilidad sobre los Activos. 1-1 5.2 Clasificación de la Información. 2-1 6.- Seguridad del Personal 10-2 6.1 6.2 Seguridad en la definición del trabajo y los recursos. 4-1 Formación. 1-1 6.3 Respuesta ante incidencias y mal funcionamiento de la Seguridad. 5-1
Estructura de Contenidos ISO 17799:2000 (iv) 7.- Seguridad Física y del entorno 13-6 7.1 7.2 7.3 Áreas Seguras. 5-2 Seguridad de los equipos. 6-2 Controles Generales. 2-2 8.- Gestión de Comunicaciones y Operaciones 24-12 8.1 8.2 8.3 8.4 8.5 8.6 8.7 Procedimientos y Responsabilidades de Operación. 6-3 Planificación y Aceptación del Sistema. 2-1 Protección contra Software Malicioso. 1-1 Gestión Interna de Soportes Fijos. 3-1 Gestión de Redes. 1-1 Gestión y Utilización de Soportes removibles. 4-1 Intercambio de Información y Software. 7-4
Estructura de Contenidos ISO 17799:2000 (v) 9.- Control de Accesos 31-13 9.1 9.2 Requisitos de Negocio para el Control de Accesos. 1 1 Registro de Usuarios. 4 2 9.3 Responsabilidades de Usuario. 2 1 9.4 9.5 9.6 9.7 Control de Acceso en Red. 9 3 Control de Acceso en SS.OO. 8 2 Control de Acceso de Aplicaciones. 2 1 Seguimiento de accesos y usos del Sistema. 3 2 9.8 Informática móvil y Teletrabajo. 2 1
Estructura de Contenidos ISO 17799:2000 (vi) 10.- Desarrollo y Mantenimiento de Sistemas 18 8 10.1 Requisitos de Seguridad de Sistemas. 1 1 10.2 Seguridad en Sistemas de Aplicaciones. 4 2 10.3 Controles Criptográficos. 5 2 10.4 Seguridad de los Ficheros de Sistema. 3 1 10.5 Seguridad en los procesos de Desarrollo y Soporte. 5 2
Estructura de Contenidos ISO 17799:2000 (vii) 11.- Gestión de Continuidad de Negocio 5 2 11.1 Aspectos de la Gestión de Continuidad de Negocio. 5 2 12.- Cumplimiento Legal 11 4 12.1 Conformidad con los requisitos Legales. 7 2 12.2 Revisiones de la Política de Seguridad y de la Conformidad Técnica. 2 1 12.3 Consideraciones sobre la auditoría de Sistemas. 2 1
Una Breve Introducción Estado de la Seguridad 2006 SGSI: Ingeniería de Seguridad SGSI: Estándares Conclusiones
Conclusiones Un SGSI es una herramienta ÚTIL de ayuda a la toma de decisiones en materia de Seguridad en una Organización. Un SGSI es una herramienta diseñada para ser RENTABLE, y ofrecer RENTABILIDAD Un SGSI trabaja como gestor de los controles de seguridad y soporte a decisiones de selección de los más útiles. La implantación de un SGSI no es trivial, es recomendable APOYO experto. El SGSI como primer paso hacia la INGENIERÍA DE SEGURIDAD.
Jornadas de Seguridad y Comercio Electrónico Sistemas de Gestión de Seguridad de la Información: La Seguridad Eficiente Referencia: SGI-SGSI-PRE-032 Código Interno: SGISA 20226/06 Versión: 1 Soluciones Globales Internet 2006 Mariano J. Benito Gómez mjbenito@sgi.es Director de Seguridad SGI Zaragoza, 02 de Marzo de 2.006 El presente documento ha sido clasificado como "Información No Clasificada" dentro del marco del Sistema de Gestión de la Seguridad de la Información (SGSI) de SGI. Dicha clasificación permite a su receptor la utilización y difusión de la información contenida en el documento, referenciando la fuente de información y con respeto a los derechos de propiedad intelectual de la fuente, y ello sin perjuicio del cumplimiento de la normativa sobre propiedad intelectual y sobre protección de datos de carácter personal.