ESTANDARES DE SEGURIDAD INFORMATICA ACIS Junio - 2002

EL MODELO ES LA BASE Por: Fernando Jaramillo A.

Entendiendo un Modelo de Soluciones de Seguridad en Informtica

Estrategia
Cumplimiento Regulaciones Reducir Riesgos Reducir Costos Administrativos Mejorar Eficiencia de Procesos Asegurar Propiedad Intelectual Asegurar Informacin Cliente Defenderse Contra Dsiputas Legales Retorno de la Inversin

Poltica
Cumplimiento Regulaciones Reducir Riesgos Limitar Exposicin Legal Cumplimiento Personas Observancia y Recurso Reglas Claras Consecuencias Claras Lnea Base Para Reglamento

Arquitectura
Mejorar Eficiencia de Procesos Reducir Costos Administrativos Costo de Propiedad Uso de las Tecnologas Cumplimiento Estndares Administracin Integrada Proceso de Actualizacin y Soporte Retorno de la Inversin

Diseo
Rendimiento Importancia Tcnica Cumplimiento Estndares Herramientas Integradas Licenciamiento Uso de las Tecnologas Proceso de Actualizacin y Soporte Facilidad de Uso Escalabilidad Flexibilidad Soporte MultiPlataforma

Implementacin
Rendimiento Importancia Tcnica Cumplimiento Estndares Herramientas Integradas Uso de las Tecnologas Proceso de Actualizacin y Soporte Facilidad de Uso Escalabilidad Flexibilidad Costo Licenciamiento

Negocio
2

Tcnico
ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

Voces de la Industria

Muchas compaas de tecnologa de informacin han desarrollado tecnologas para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologas slo atienden necesidades especficas dentro de todo el ambiente de seguridad de la informacin. Pocas compaas tienen desarrolladas tecnologas para integrar, fcilmente, con otras tecnologaspara ayudar a proveer un ms uniforme, ms controlado y, por tanto, ms seguro ambiente operativo.
Especialista en Seguridad, PricewaterhouseCoopers

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

El Modelo es la Aplicacin de Estndares

Estndares
Polticas de Seguridad y Seguridad Organizacional Clasificacin de Activos y su Control Personal de Seguridad Seguridad Fsica y Ambiental Administracin y Operacin de Comunicaciones Control de Acceso

Desarrollo y Mantenimiento de Sistemas

Contingencia Business Continuity Compliance Cumplimiento de Aspectos Legales, Tcnicos y Auditora

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

Riesgos y Controles de Procesos

Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, sntoma de rendimiento deficiente, oportunidad de mejoramiento) Controles: Son polticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable.
RIESGOS
Para identificar los riesgos se clasifican en: De negocio Financieros Operativos De cumplimiento Fraude

ACTIVIDAD

CONTROLES Para identificar los controles se clasifican en: Informtica Atribuciones Procedimientos Documentacin Sistema de informacin gerencial

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

Matriz de Evaluacin de Riesgos

Probabilidad e Impacto del Riesgo (C)
CALIFICACION DEL RIESGO
P R O B A B I L I D A D

Riesgo Remanente (R)

3 2 1 1 2 3
IMPACTO EN LA ORGANIZACION

Alto Medio Bajo

3
2 1

C R I T I C I D A D

D E L R I E S G O

9 6 3 1 2 3
SITUACION ACTUALCONTROL INTERNO

PROBABILIDAD DE OCURRENCIA (P.O) 1 2 3 Es poco probable que ocurra Es medianamente probable que ocurra Es altamente probable que ocurra

IMPACTO EN LA ORGANIZACIN (I) 1 2 3 Sera de bajo impacto Sera de mediano impacto Sera de alto impacto

SITUACION ACTUAL (SA) DEL CONTROL INTERNO 1 Cubre en gran parte el riesgo 2 Cubre medianamente el riesgo 3 No existe ningn tipo de medida

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

El Estndar de Seguridad - ISO 17799

El estndar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comit tcnico de la ISO en Diciembre del ao 2000. El estndar hace referencia a diez aspectos primordiales para la seguridad informtica. Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Fsica, Cumplimiento, Seguridad Personal, Seguridad de la Organizacin, Administracin de Operaciones, Control y Clasificacin de la Informacin y Polticas de Seguridad.

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 - Polticas

Polticas de Seguridad:
Documento de la Poltica de Seguridad Revisin y Evaluacin

Polticas de Seguridad y Seguridad Organizacional

Seguridad Organizacional Infraestructura

Ente colegiado de Seguridad Informtica Coordinacin de Seguridad Informtica Nombramiento de Responsables de SI Proceso de autorizacin para oficinas de SI Personal especializado en SI Cooperacin entre Organizaciones Revisin independiente de SI

Seguridad de Ingreso a Terceros

Identificacin de riesgos por Ingreso de 3ros Requisitos en Contratos con 3ros

Outsourcing
Requisitos en Contratos de Outsourcing ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera
8

ESTANDAR ISO 17799 Clasificacin de Activos

Responsabilidad por Activos

Inventario de Activos

Clasificacin de Informacin
Clasificacin de Activos y su Control
Guas de Clasificacin. Manipulacin y marcacin de Informacin

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 - Personal

Definicin de Roles y Perfiles

Incluir la Seguridad en la responsabilidad de roles Poltica de perfiles en funciones y cargos Acuerdos de confidencialidad Trminos y condiciones del contrato de trabajo

Entrenamiento de Usuarios
Entrenamiento y Educacin en SI

Respuesta a Incidentes de Seguridad y Malfuncionamiento

Personal de Seguridad
Reportes de Iincidentes de Seguridad Debilidades de reportes de Seguridad Reportes de Malfuncionamiento de software Aprendiendo de los incidentes Proceso Disciplinario

10

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 Seguridad Fsica

Areas Seguras
Permetro de Seguridad Fsica Controles de entrada fsica Oficinas de Seguridad Trabajo en reas seguras Areas aisladas de cargue y descargue

Equipos de Seguridad
Ubicacin y protecin de Equipos Suministros de potencia Cableados de seguridad Mantenimiento de equipos Seguridad de equipos premisas de apagado Reuso o desecho de equipos

Seguridad Fsica y Ambiental

Controles Generales
Poltica de limpieza de escritorios y pantallas Manipulacin de Propiedad

11

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 Administracin Procedimientos de Operaciones

Procedimientos de operacin documentados Control de cambio de operaciones Procedimientos de administracin de incidentes Segregacin de obligaciones Separacin de reas de desarrollo y operaciones Administracin de instalaciones externas

Planeacin de Sistemas
Capacity Planning Planeamiento de capacidades Aceptacin del sistema

Administracin de Operacines y Comunicaciones

Proteccin de Software Malicioso

Control de software malicioso

Housekeeping Mantenimiento
Back Ups de Informacin Logs de Operacin Fallas de Logging

Administracin de Red
Controles de red

12

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 - Administracin Manipulacin de Medios y Seguridad

Administracin de medios removibles Deshecho de medios Procedimientos de administracin de informacin Seguridad de la documentacin del sistema obligaciones Separacin de reas de desarrollo y operaciones Administracin de instalaciones externas

Administracin de Operacines y Comunicaciones

Intercambio de Informacin y de Software

Acuerdos de intercambio de software e informacin Seguridad de medios en trnsito Seguridad de Comercio Electrnico Seguridad de Correo Electrnico Seguridad de sistemas de oficina electrnicos Disponibilidad pblica de sistemas Otras formas de intercambio de informacin ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

13

ESTANDAR ISO 17799 - Control de Acceso Requerimientos de Negocios para Control de Acceso
Polticas de Control de Acceso

Administracin de Acceso de Usuarios

Registro de Usuarios Administrracin de privilegios Administracin de Constraseas Revisin de derechos de acceso de usuarios

Control de Acceso

Responsabilidad de Usuarios
Utilizacin de contraseas Equipo de usuarios desatendidos ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

14

ESTANDAR ISO 17799 Control de Acceso Control de Acceso a Red

Polticas de uso de servicios de red Acceso reforzado Autenticacin de usuarios en conexin externa Autenticacin de nodos Diagnstico Remoto de Proteccin de Puertos Segregacin en redes Control de Conexin de Redes Control de Enrutamiento de Redes Seguridad de servicios de red

Control de Acceso

Control de acceso a Sistemas Operativos

Identificacin automtica de terminales Procedimientos de Log-on a Terminales Identificacin y autenticacin de usuarios Sistema de administracin de contraseas Uso de utilidades del sistema Alarma para usuarios de seguridad Terminal Time-out Lmites de tiempo a estaciones ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

15

ESTANDAR ISO 17799 Control de Acceso Control de Acceso de Aplicaciones

Restriccin de Acceso a informacin Aislamiento de sistemas sensitivos

Monitoreo de Uso y Acceso a Sistemas

Loggin por eventos Identificacin automtica de terminales Monitoreo de uso del sistema Sincronizacin de reloj

Control de Acceso

Computacin Mvil y Teletrabajo

Computacin Mvil Teletrabajo

16

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 Desarrollo y Mantenimiento Requerimientos de Seguridad de Sistemas

Rquerimientos, Anlisis y Especificaciones de Seguridad

Seguridad en Aplicaciones
Validacin de ingreso de datos Control de procesamiento Autenticacin de mensajes Validacin de salida de datos

Controles de Encripcin
Poltica de uso de controles de encripcin Encripcin Firmas digitales Servicios de No repudiacin Administracin de claves PKI

Desarrollo y Mantenimiento de Sistemas

17

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 Desarrollo y Mantenimiento

Seguridad de Archivos
Control de Sistemas Operativos Proteccin de Datos Control de acceso a librera de programas

Seguridad en Procesos de Desarrollo y Soporte

Procesos de control de cambios Revisin tcnica al cambio de S.O. Restricciones en cambios de paquetes de software Canales y cdigo Trojan Desarrollo de software en ousorcing

Desarrollo y Mantenimiento de Sistemas

18

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 - Contingencia

Administracin de la Contingencia o Business Continuity Management

Procesos de Administracin de Contingencia Contingencia y Anlisis de Impacto Escritura e Implementacin de Planes de Contingencia Marco de planeacin de la Contingencia Chequeo, Mantenimiento y Reasignacin de Planes de Contingencia

Contingencia Business Continuity

19

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

ESTANDAR ISO 17799 - Cumplimiento Cuplimiento de Aspectos Legales

Identificacin de la legislacin aplicable Derechos de Propiedad Intelectual Salvaguarda de Registros Organizacionales Proteccin de Datos y privacidad de informacin personal Prevencin de ingreso a Edificios de procesos de Informacin Regulacin de controles de encripcin Obtencin de evidencias

Revisin de la Poltica de Seguridad y su Cumplimiento Tcnico

Cumplimiento de la poltica de seguridad Chequeo de cumplimiento tcnico

Cosideraciones de Auditora
Controles de auditora de sistemas Proteccin de las herramientas de auditora
20

Compliance Cumplimiento de Aspectos Legales, Tcnicos y Auditora

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

Estndares de Seguridad - BS7799 / ISO 17799

OUTSOURCING : Objetivo: Mantener la seguridad de la informacin cuando la responsabilidad del procesamiento esta en manos de otra organizacin. Las negociaciones de outsourcing deben tener definidos claramente en los contratos suscritos, los riesgos, los controles de seguridad y los procedimientos para los sistemas de informacin que se encuentren dentro de los procesos que estarn en manos de la organizacin proveedora del outsourcing.

21

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

Estndares de Seguridad - BS7799 / ISO 17799

SEGURIDAD EN CONEXIONES CON TERCEROS: Objetivo: Mantener la seguridad de la informacin de la organizacin que es accesada por terceros. El acceso a la informacin de la organizacin por parte de terceros debe ser controlado. Se debe hacer un anlisis de riesgos para determinar las implicaciones en seguridad y los requerimientos de control. Los controles que se definan deben ser definidos en el contrato que se firme con el tercero.

22

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

Estndares de Seguridad - BS7799 / ISO 17799

POLITICA DE SEGURIDAD INFORMATICA: Objetivo: Proveer directrices a la administracin y soporte para la seguridad de la informacin. La administracin debe ser capaz de definir la direccin de las polticas de Seguridad de la informacin. Adems debe establecer un claro y firme compromiso con estas polticas y divulgarlas a travs de toda la organizacin.

23

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera

Estndares de Seguridad BS7799 / ISO 17799

POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UN ESTANDAR DE SEGURIDAD?

Certificaciones

ISO. Si la empresa est sometida a un proceso de compra/venta, alianza estratgica o hace parte de una cadena de valor B2B. Renegociacin de primas y reaseguros.
PORQUE

BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.

24

ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera