Madrid a de Octubre de 2008 Diseño e implantación de un cuerpo normativo de Seguridad de la Información Juan Fco. Cornago Baratech Coordinador Técnico Consultoría Estratégica. CISA jcornago@sia.es
Agenda Quién es SIA Antecedentes Definición y Objetivos de un Marco Normativo Nuestro modelo Aspectos Clave Integración con el futuro
SIA en el mercado de la Seguridad de la Información Compañía española fundada en 989. +0 años de experiencia en Seguridad de la Información. Certificación UNE 502 por AENOR (ISO 200). +45 consultores especialistas en Seguridad de la Información, formados en las mejores prácticas en seguridad y con certificaciones reconocidas: CISA, CISSP, CISM, CEH, ITIL, PRINCE2, AUDITORES SGSI. Tiger Team de reconocido prestigio (54.es). SIA es una referencia de primer orden a nivel nacional en trabajos relacionados con la seguridad de la información, líder en el número de consultorías, proyectos y servicios de seguridad realizados Resultados con enfoque pragmático gracias al complemento de la experiencia de SIA en la puesta en marcha de infraestructuras de seguridad. Cultura corporativa basada en la especialización y en la orientación al cliente.
Agenda Quién es SIA Antecedentes Definición y Objetivos de un Marco Normativo Nuestro modelo Aspectos Clave Integración con el futuro
Planteamiento de necesidades Sabemos cómo estamos?. Qué riesgos tenemos?. Cómo priorizamos las acciones de mejora?. Sabemos medir el estado de la seguridad?. Cómo rentabilizo mis inversiones?. Cómo defino mi(s) política(s)?. Quién es responsable de qué?. Está alineada la estrategia de seguridad con los objetivos del negocio?. Cómo defino el ROI?.
Qué entendemos por Seguridad Garantizar AUTENTICIDAD CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD AUDITABILIDAD de la información Evitar su DESTRUCCIÓN MODIFICACIÓN REVELACIÓN Prevención Detección Recuperación Reducir PÉRDIDA RIESGO DE PÉRDIDA Basada en los criterios del Estándar Internacional ISO/IEC 2002:2005
Haga clic para modificar Dónde el estilo tener en de cuenta título la del seguridad? patrón Administradores Directivos File & Print En todas partes... Pasarela SMTP Internet Extranet RTB Dominio de clientes WWW Líneas dedicadas Usuarios Backend/CPD Otros servidores Servidor de aplicaciones BBDD Autenticación
Qué Haga clic para modificar el estilo de título necesitamos?.. del patrón Diagnóstico de seguridad. Análisis y gestión de riesgos. Plan Integral de Seguridad. Plan Estratégico de Seguridad. Plan de Seguridad. Plan Director de Seguridad.... Sistema de la Seguridad (SGSI) En definitiva.... Un sistema basado en normativas y estándares reconocidos... 2....que sea aplicable, mantenible y evaluable en la operación del día a día.......y que permita obtener la Certificación.
Cómo desarrollo el Marco Normativo? Política de Seguridad ISO 2002 Objetivos de Negocio Normas y Procedimientos Modelo SGSI Métrica s Inventario de Activ os CON LA AYUDA DE SIA s Controle UNE-ISO/IEC 200 Mejora Continua
Agenda Quién es SIA Antecedentes Definición y Objetivos de un Marco Normativo Nuestro modelo Aspectos Clave Integración con el futuro
Definición de un SGSI. Establecimiento del Marco Normativo Un Marco normativo de la Seguridad de la Información comprende: La política de Seguridad La estructura organizativa Los procedimientos Los procesos Los recursos necesarios Los Planes de Formación Alinea la Seguridad de la Información, con los Planes Estratégicos de la Organización. Es la herramienta que dispone la Dirección para implantar las políticas y objetivos de Seguridad de la Información. Establece el ciclo de mejora continua de la la Seguridad de la Información. Adecua a las necesidades y requerimientos legales y establece los procedimientos para su continua actualización.
Ventajas y objetivos del SGSI Establecimiento de una metodología de seguridad clara y estructurada. Reducción n de los riesgos y reacción temprana ante ataques. Automatización de actividades de SI (Workflows, procedimientos). Incremento de la concienciación respecto a la seguridad de la Información. La seguridad de la información queda alineada con la estrategia de la organización y con normas y buenas prácticas reconocidas. Garantiza el valor añadidoa adido de las actividades de seguridad así como de la inversión realizada (ROI). Conformidad con los requisitos legales. Reconocimiento y mejora de la imagen corporativa (Aumento de Confianza). Mejora de la gestión de la continuidad del negocio. Incorpora actividades para la mejora continua (procesos y actividades de revisión, auditorias, etc).
Agenda Quién es SIA Antecedentes Definición y Objetivos de un Marco Normativo Nuestro modelo Aspectos Clave Integración con el futuro
Modelo PDCA de un SGSI. Motor del Marco Normativo Requerimientos de Seguridad de la Información ÁREAS INVOLUCRADAS Planificación y Diseño PLAN Operación y ejecución ACT UNE-ISO/IEC 99:2002 DO Mejora continua ÁREAS INVOLUCRADAS CHECK Revisión y Auditoría la Seguridad de la Información Fuente: ISO 900 UNE 502
Interacción ISO 200 vs ISO 2002 ISO/IEC 2002:2005 Política de Seguridad. Aspectos Organización para la Seguridad. Clasificación y control de activos. Seguridad ligada al personal. Seguridad física y del entorno. Comunicaciones y Operaciones. Control de Accesos. Desarrollo y Mantenimiento de sistemas. Incidencias de Seguridad Continuidad del negocio. Conformidad. secciones 6 Objetivos de Seguridad Controles UNE-ISO/IEC 200:200 Modelo de Gestión SGSI
METODOLOGÍA Arranque Identificación Diagnóstico Plan Implantación Gestión Definir alcance Conocimiento del Entorno y Análisis Info. Identificar Amenazas y Vulnerabilidades PLAN DE PROYECTOS CUADRO DE MANDO Adoptar acciones Correctivas Definición De Hitos Entrevistas CONTRASTE Cumplimiento UNE/ISO 99 MARCO NORMATIVO REGISTROS Adoptar acciones preventivas Planificación de Entrevistas Divulgación y Petición Información INVENTARIO Identificación y Valoración de Activos ANÁLISIS DE RIESGOS Recomendación y Selección de Controles ORGANIZACIÓN DE SEGURIDAD FORMACIÓN Y DIVULGACIÓN REVISIONES AUDITORIAS ACT PLAN Modelo PDCA UNE-ISO/IEC 200 DO CHECK Análisis y Definición IMPLANTACIÓN Impl. Gestión
Agenda Quién es SIA Antecedentes Definición y Objetivos de un Marco Normativo Nuestro modelo Aspectos Clave Integración con el futuro
Organigrama Plantilla Cuadro de Mando de Clasificación concienciación concienciación Concienciación Obligaciones concienciación Protección de Sistemas de Usuario Obligaciones 0. Procedimie nto Recuperaci ón Fallos 0.2. Instalación, Implantación y Distribución de Software 0.2.2. Antivirus 0.2 Control de Software 0.2.2 Protección contra Software malicioso 0.2. Licencias 0.2.2.2 IDS 0.5 Seguridad del Correo Electrónico 0.5. Seguridad del Correo Electrónico 0.2.2. Servidores Públicos 0.. Baja de Soportes 0. Soportes 0..2 Distribución de Soportes 0.4.2 Pase a Producción Aplicaciones 0.4.2. Revisión de Logs 0.4 Operación Mantenimiento Seguro 0. 0.4. la Capacidad y Rendimiento del Sistema 0.4.4 cambios 0.4.. Planes de Implantación Servidores 0.6. Copias de Respaldo, Recuperació n y pruebas 0.6 Copias Respaldo y Recuperación 0.6.. Revisión de Logs 0.6.2 Backup y restore de servidores en producción. Seguridad en Redes y Comunic... Firewalls... Revisión de Logs.2 Admon.. SS.OO. POS.. Administració n de cuentas de usuario. Usuarios 8. Funciones Obligaciones Personal..2 Accesos.5 Gestión Accesos Remotos.5.Gestió n de Accesos Remotos Internos.5.2 Accesos Remotos Redes de Clientes 2. Análisis de software de terceros 2.2 Especifi. Requerimientos seguridad.. Incidencias Lógicas. Incidencias Seguridad..0.0. Plantilla Informes de Incidencias..2 Incidencias Físicas Aspectos clave para implantar un Marco Normativo Compromiso y apoyo de la dirección de la Organización. Compromiso del usuario y formación. Compromiso de mejora continua. Establecimiento de políticas y normas. Organización y comunicaciones. Integración del Marco Normativo en la Organización. Política de Seguridad Política de Seguridad Alcance y diseño del Proyecto 5 Política de seguridad 5 6 Organización de la Seguridad de la Información activos 8 Seguridad relacionada con los recursos humanos 9 Seguridad física y del entorno 0 Control de comunicaciones acceso y operaciones 2 Adquisición, desarrollo y mantenimiento incidentes de sistemas..2 AARR. Actas reunión 5. Definición SGSI 5.2 Control y Gestión Documental 5. Índice Marco Normativo 6.2 Contratació n de Acceso de Terceros 6. Modelo Organizativ o. Inventario Activos.2 Clasificació n y Tratamiento Información 8. Contratació n de personal 8.2 Plan 8. Funciones Personal 8.4 Plan de Formación 8. Funciones Personal 9.2 Protección del Medio Físico 9. Control de Acceso Físico 2 Cifrado de la Información.2..2.4.0. Plan de Selección Presentación Acción Objetivos de Arranque Control del Proyecto.2.2.2. AARR Diagrama del Intrínseco Proceso Proceso Seleccionado.2.0. Revisión del Análisis de Riesgos 5.0.0. Revisión Periódica Política Seguridad 6.2. Identificación Riesgo por Acceso Terceros RRHH Consultoría QMI.2. Tratamiento Técnico de la Información.2.0. Revisión Periódica Clasificación Activos 8.2. Presentación Plan de Usuarios 8.2.2 Presentación plan de Directivos 8.2. Carteles y material de 9.2. Instalación de Equipos de Usuario 9.2.2 9.2. Protección de Sistemas Críticos y CPDs 9.2.4 Protección de Sistemas de Terceros 9.2.5 Protección de Sistemas Móviles y Remotos.2.0.0. Cuadro de Mandos.2.0.0.2 Gráficos auxiliares del AARR..0.0.2 Planificación de..0.0. Entrevistas..0.0. Guiones de Plantilla Entrevistas y Actas de Check-List Reunión Explotación Legal.2.0.0. 8.2.0.0. Planning Plan Concienciaci ón Pendiente 4 Revisado 2 Iniciado 5 Modificándose Pendiente Revisión 6 Pendiente Aprobación Aprobado
Factores de Éxito La concienciación del empleado por la seguridad. Principal objetivo a conseguir. Realización de comités de dirección con descubrimiento continuo de No conformidades o acciones de mejora. Creación de un sistema de gestión n de incidencias que recoja notificaciones continuas por parte de los usuarios (Los incidentes de seguridad deben se reportados y analizados). La seguridad absoluta NO existe, se trata de reducir el riesgo a niveles aceptables. La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la Organización para tener éxito. La Seguridad debe ser inherente a los procesos de Informática y del negocio.
Riesgos Exceso de tiempos de Implantación (Costos). Temor ante el cambio (Resistencia). Discrepancias en los comités de dirección. Planes de formación inadecuados. Calendario de revisiones que no se puedan cumplir. Definición poco clara del alcance. Exceso de medidas técnicas vs formación y concienciación. Falta de comunicación de los progresos al personal de la organización.
Agenda Quién es SIA Antecedentes Definición y Objetivos de un Marco Normativo Nuestro modelo Aspectos Clave Integración con el futuro
Y para el futuro?... La Seguridad de los SI es un proceso. No es un producto
GRACIAS Juan Fco. Cornago Baratech Coordinador Técnico Consultoría Estratégica. CISA jcornago@sia.es