Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY
Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles de Seguridad Gestión de un SGSI
Qué es información? La información constituye un importante activo, esencial para las necesidades empresariales de una organización. La información puede existir de muchas maneras. Puede estar impresa o escrita en papel, puede estar almacenada electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en videos, o exponer oralmente en conversaciones. ISO / IEC 27002:2005 Datos Proceso Información
Objetivo de seguridad de la información Proteger los intereses de aquellos que dependen de la información, y de los sistemas y comunicaciones que entregan la información. Preservación de la confidencialidad, integridad y disponibilidad de la información; además de otras propiedades, que también pueden estar involucradas como la autenticación, registro de responsabilidad (accountability), el no repudio y la confiabilidad. ISO 27001:2005, cláusula 3.4
A qué se expone la empresa? Robo Dinero, información empresarial del negocio, propiedad intelectual, recursos digitales. Pérdidas de productividad Corrupción de datos, gastos extraordinarios para recuperarse de emergencias informáticas no previstas, indisponibilidaes, etc.? Pérdidas indirectas Daño a la imagen de la empresa, pérdida de confianza, etc.. Exposición legal Incumplimiento de contratos, compromisos de confidencialidad, actividad ilegal de usuarios en los sistemas, etc.
Qué es la seguridad de la información? Confidencialidad: Propiedad por la cual la información no esté disponible ni sea divulgada a individuos, organismos o procesos no autorizados. ISO 27001:2005, cláusula 3.3 Integridad: Propiedad de proteger la precisión y la totalidad de los activos. ISO 27001:2005, cláusula 3.8 Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte de un organismo autorizado ISO 27001:2005, cláusula 3.2
2. Datos de actualidad www.ic3.gov
Denuncias recibidas anualmente por IC3 23 % MAS 336.655 2009
Mecanismos para perpetuar fraudes
1. United States 65.4% 2. United Kingdom 9.9% 3. Nigeria 8.0% 4. Canada 2.6% 5. Malaysia 0.7% 6. Ghana 0.7% 7. South Africa 0.7% 8. Spain 0.7% 9. Cameroon 0.6% 10. Australia0.5% Top 10 (perpetrators)
Seguridad y Control La realidad actual evidencia la necesidad de tener informes, guías o estándares de Seguridad y de Control internacionalmente aceptados (algunos son llamados mejores prácticas). Su aplicación permite verificar o certificar un efectivo control de la Tecnología de Información o de la Seguridad de la información a nuestros clientes, socios, auditores, reguladores y accionistas.
Modelos de Gestión actuales Las empresas y organizaciones se acercan a los Estándares Internacionales y mejores prácticas: ITIL 39% COBIT 27% ISO 27000 26% PMBoK 24% CMMI 10% Encuesta 2008 Tecnologías de la Información 2008 Deloitte S.C.
Quienes participan en el proceso de Seguridad Visión anterior Tema tecnológico. Responsabilidades en roles técnicos y operativos. Actividades no integradas. Visión actual Problema de toda la empresa. Estructura en Seguridad. Compuesta por tres grandes dimensiones : Procesos, personas y tecnología.
La seguridad es un proceso Política de Seguridad Inf. Los productos por si solos no han resuelto los problemas de seguridad de la información... Tecnología Es un trabajo continuo, que involucra aspectos tecnológicos además de procesos y personas, para lo cual se requieren soluciones integrales. estrategia Personas Procesos
Quienes participan en el proceso de Seguridad Gobierno Corporativo Gobierno de Tecnología Gobierno de Seguridad de la Información El programa de SI es un método de mitigación de riesgos como otros controles y acciones de gobernabilidad que debe estar alineado al gobierno corporativo. Dentro del gobierno de Tecnología, el IS Gov. debe asegurar la CIA (Confidentiality, Integrity, Availability).
Como estamos hoy? Es el peor caso de ROBO DE IDENTIDAD que jamás haya visto!!!
3. Norma ISO/IEC 27001 Un poco de historia:
Cronología de la norma ISO/IEC 27001-27002 27002 BS 7799:1995 BS 7799-1 ISO/IEC 17799:2000 ISO IEC 17799:2005 ISO/IEC 27002:2007 BS 7799-1:1999 Revisada en UK 1999 UK committee decision to submit ISO fastrack Ciclo de revision Normal en UK Decision del Comite Internal de cambiar el numero 1995 2000 2005 2007 Ciclo de revision Normal en UK BS 7799-2:1999 developer to support certification BS 7799-2 Decision del Comite Internal de cambiar el numero ISO IEC 27001:2005
Qué es una norma? Es un documento que: Se basa en el consenso. Fue aceptado por un grupo conocido. Establece reglas, guías o características para la aplicación general o repetitiva de actividades o sus resultados. Apunta a lograr un orden óptimo dentro de un contexto dado. Se apoya en resultados científicos, tecnológicos y experiencias consolidadas.
ISO/IEC 27001 (Audiencia) Está dirigida a empresas y autoridades de todos los tamaños pero no al usuario privado. Puede considerarse que la 27002, está destinada a empresas de servicios del area de auditoría y certificación.
Fundamentos de la norma ISO/IEC 27001 Está dirigida a empresas y autoridades de todos los tamaños pero no al usuario privado (Alcance). Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI). Enfoque de Seguridad de la Información basado en el Análisis, Evaluación y Tratamiento de Riesgos, con la finalidad de reducirlos a niveles asumibles (no existe la seguridad absoluta). Gestión de la seguridad de la información con un enfoque de procesos, imbuida en el negocio de la organización y no como un producto, tecnología o proyecto de una única área. Mejora continua de la eficacia del SGSI y de sus controles de seguridad, basada en mediciones objetivas (métricas).
4. ISO/IEC 27001 Catálogo de Controles de Seguridad
Cláusulas de la Norma ISO 27001 0 - Introducción 1- Alcance 2- Referencia Normativa 3- Términos y Definiciones 4- Sistema de Gestión de Seguridad de la Información 5- Responsabilidad de la Dirección 6- Auditoría Interna del SGSI 7- Revisión por la Dirección del SGSI 8- Mejora del SGSI Anexo A- Objetivos de Control y Controles Anexos B y C (informativos) y Bibliografía REQUISITOS AUDITABLES
ISO/IEC 27001: Anexo A Catálogo de Controles de Seguridad El propósito es constituir un catálogo de controles agrupados en 10 dominios conceptuales. Cada dominio tiene varios objetivos de control, o sea, propósitos específicos que contrarrestan debilidades percibidas o determinadas por las buenas prácticas. Por cada objetivo de control se proponen controles apropiados para materializar el objetivo.
Anexo A de la norma ISO/IEC27001 Continuidad del Negocio Gestión de incidentes Política de Seguridad Organización de Seguridad Compra desarrollo mantenimiento de sistemas Sistema de Gestión de Seguridad de la Información Gestión de activos Control de Accesos Gestión de comunicaciones y operaciones Seguridad física y ambiental Seguridad de RRHH
Ejemplo de Control de Seguridad 1. Políticas de Seguridad Objetivos de control: Proporcionar dirección y soporte gerencial al esfuerzo de seguridad de la información. Controles asociados: Documento de Seguridad Informática Revisión y evaluación periódica.
SGSI basado en el MMC (PDCA) Cliente Desarrollar el SGSI 4.2.1 y 4.3 Cliente Plan Implementar y Operar el SGSI 4.2.2 y 5 Do Act Mantener y Mejorar el SGSI 4.2.4 y 8 Check Monitorear y revisar el SGSI 4.2.3, 6 y 7 Ciclo de vida del SGSI
5. Gestión de un SGSI
El modelo PDCA en el SGSI Planificar e implementar el SGSI Operar el SGSI Documentar y mejorar el SGSI Monitorear / evaluar el SGSI
Materializar un SGSI Proyecto de Desarrollo de un SGSI Paso 1 Paso 2 Paso 3 A. Definición del alcance B. Definición de Política de Seguridad C. Identificación de activos de información. D. Definición de los valores de los activos de información E. Valorización de los activos F. Análisis GAP G. Análisis de Riesgos H. Selección de Controles I. Definición de estructura Documentaria. H. Preparación del SOA (doc. de Aplicabilidad) Inicio desarrollo SGSI Proyecto de Implementación de un SGSI Fin de desarrollo SGSI
Priorización de Implementación SGSI Cont Corto plazo Desarrollo de Políticas, Estándares, y Procedimientos Mediano Plazo Implementación de Procedimientos y controles Tecnológicos Largo Plazo Implementación de Controles Tecnológicos Cont
Plan Planificar e implementar el SGSI Definir el alcance del SGSI de acuerdo con los siguientes criterios: Sector (características del negocio). Estructura organizacional, organización interna. Ubicaciones. Aspectos técnicos (plataformas, equipos de TI,..).
Plan Planificar e implementar el SGSI Política del SGSI (política de seguridad de alto nivel): Objetivos y principios generales. Aspectos legales, contractuales y específicos del sector. Estrategias de gestión de riesgo, organización de SI, etc.. = Directivas de la Dirección de la empresa.
Plan Gestión de riesgos en ISO 27001 La organización demostrará que ha definido e identificado un método de análisis de riesgo adecuado, y que ha llevado acabo un análisis de riesgo cubriendo todos los activos de información. ISO 27001:2005, cláusula 4.2.1 Hay que desarrollar criterio para la aceptación del riesgo e identificar el nivel de riesgo aceptable. ISO 27001 Cláusula 4.2.1 C Obtener la aprobación de la Dirección de la organización para el riesgo residual propuesto y para implementar y mantener el SGSI. ISO 27001 Cláusula 4.2.1.h / I
Requisitos de un Sistema de Gestión de Riesgos Se debe contar con un sistema para la gestión del riesgo operativo que permita identificar, medir, controlar, mitigar y monitorear los riesgos derivados de fallas en : Tecnologías de información Procesos Personas Eventos externos Legislación
Metodologías de Gestión de Riesgos AS 4360 (Australia) NIST SP 800-30 (USA) MAGERIT 2.0 (España) EBIOS (Francia) OCTAVE (Cert)
Esquema de Gestión de Riesgos Análisis de riesgos Identificación y valoración de activos Identificación de amenazas Evaluación de impacto Identificación de vulnerabilidades Riesgos del negocio Clasificación de riesgos Revisión de controles de seguridad existentes Gap análisis Aceptación de riesgos Grado de aseguramiento Identificación de Nuevos controles de seguridad Implementación y Reducción del riesgo Tratamiento del riesgo Política y procedimientos
Plan Planificar e implementar el SGSI Realizar el primer ciclo del análisis de riesgos Definir un conjunto de controles para el tratamiento de los riesgos. Justificar la elección realizada Justificación del empleo del control y de los objetivos que se van a alcanzar. La planificación del SGSI debe ser presentada a la gerencia, quien debe aprobarla.
SGSI Politica de SI Implementación de los controles Política de SI Alcance Análisis de riesgos Elección de controles Posibles impactos Documentos del sistema Eficacia Control
Do Operación del SGSI Elaborar un plan para el tratamiento de los riesgos (involucramiento de la gerencia, def. responsables, prioridades,...). Implementar el plan (logro de objetivos de seguridad establecidos). Implementación de los controles seleccionados. Implementar acciones de monitoreo y control (definir métricas e indicadores) Cuadro de Mando Integral.
Do Operación del SGSI Implementación de las acciones de concientización. Hacerse cargo de la gestión de la operación y de la gestión de los recursos. Elaborar la documentación requerida en SOA
Check Monitoreo / evaluación de la operación Evaluar el procedimiento (de monitoreo) para: Detectar las desviaciones y los errores en los controles actuales de seguridad. Identificar los incidentes y las violaciones (frustradas y exitosas) a la seguridad. Obtener una base para que la gerencia pueda evaluar el actual SGSI. Mostrar e impulsar escenarios de reacción.
Check Monitoreo / evaluación de la operación Revisiones periódicas de la eficacia del SGSI Debe tenerse en cuenta Resultados de auditorías internas, externas, revisiones... Identificar los incidentes de seguridad y su tratamiento. Requisitos y retroalimentación de todas las partes interesadas del sector correspondiente de la organización.
Check Monitoreo / evaluación de la operación Verificación periódica de si se mantiene sin cambios el umbral de aceptación del riesgo residual. Debe tenerse en cuenta los cambios en: La estructura de la organización. La tecnología empleada. Requisitos y procesos de la organización. Los escenarios de amenazas. Las situaciones legales y / o contractuales.
Act Complementar / mejorar el SGSI Implementar en el SGSI el potencial de mejora identificado. Integrar en forma útil (a veces dolorosa) las experiencias de nuestra u otras organizaciones. Discutir todos los cambios al SGSI con todas las partes interesadas. Prestar atención a que todas las mejoras alcancen los objetivos previstos.
Compromisos de la Gerencia Establecer una política de SI. Asegurar que se establezcan objetivos y planes de seguridad. Establecer puestos específicos de SI y adjudicarles los roles y responsabilidades. Hacer marketing y difusión en la organización a favor de la SI. Poner a disposición recursos suficientes para operar y seguir desarrollando el SGSI. Definir el nivel aceptable de riesgo. Realizar / hacer realizar revisiones del SGSI.
Pirámide de la documentación Política de SI Lineamientos / guías Instrucciones de trabajo de SI, operación, contratos, Documentos del sistema
Requisitos del SGSI Pirámide de la documentación Documentos operativos Documentación de gestión de riesgos Tablas de análisis de riesgos Resultados de estudios Registros de reuniones Estándares, normas Procedimientos Documentos como evidencia Registros de acceso Registros de incidentes de seguridad de la inf. Acuerdos de nivel de servicio Registros para la solución de fallas Van a la par
Documentación (qué) Política de seguridad del SGSI. Alcance del SGSI. Documentación de observación de riesgos. Documentación de gestión de riesgos. Registros/protocolos a partir de los requisitos de la ISO27001 Justificación de la elección de los controles y los objetivos relacionados. Documentación de los procesos y procedimientos del SGSI. Objetivo: mostrar que el SGSI se vive!!!!
Documentación (cómo) En todo momento deben estar disponible la última versión de los documentos. Revisión periódica, y eventual corrección. Se deben retirar de circulación los documentos obsoletos. Se deben poder reconocer las modificaciones al documento así como su estado de revisión. Los documentos de fuentes externas deben ser reconocibles como tales.
Qué es lo que se certifica? Se certifica la implementación de un SGSI, en cumplimiento con los requerimientos dados en la ISO/IEC 27002 y basándose en los controles de seguridad definidos en el estándar internacional ISO/IEC 27001.
CONSIDERACIONES BASICAS Se deben atender los riesgos con mayor impacto y probabilidad. Considerar presupuesto y recursos para la implementación de controles. No podemos mejorar lo que no podemos medir. La seguridad absoluta no existe
Gracias por su atención!!!!!!! Ing. Evelyn Ant n CISA, CISM, CGEIT evelynanton@gmail.com