ISO/IEC-27001 ISO/IEC - 27002 Elaborado por: J.C. Pacheco jcpacheco@computer.org SEGURIDAD DE LA INFORMACIN Mdulo 1: Sesin N1 jcpacheco@computer.org AGENDA 1. La Seguridad, Conceptos y definiciones 2. Seguridad Informtica vs Seguridad de la Informacin 3. Riesgos: Conceptos y definiciones 4. Relacin entre seguridad y riesgo 5. Componentes del riesgo. 6. Qu es un modelo de gestin de la seguridad 26/08/2011 3 jcpacheco@computer.org Seguridad: Conceptos y definiciones 1. Cualidad de seguro. (Libre y exento de todo peligro, dao o riesgo) 2. Certeza (conocimiento cierto y claro de algo). Segn el RAE 26/08/2011 4 jcpacheco@computer.org Seguridad: Conceptos y definiciones Requerimi entos de Seguridad Confidencialidad Integridad Disponibilidad Poltica de Seguridad Qu est y Qu NO est permitido. Mecanismos de Seguridad Refuerza la poltica Meta: Nunca en estado no permitido Aseguramiento de Seguridad Requerimientos vs Necesidades Polticas vs Requerimientos Mecanismos vs Polticas Depende de 26/08/2011 5 jcpacheco@computer.org Seguridad, Conceptos y definiciones SISTEMA Deja hacer acciones no permitidas Deja hacer solo acciones permitidas INSEGURO SEGURO Componente HUMANO: Conocer y comprender principios de seguridad Cmo esos principios se aplican en una situacin dada Cmo definir requerimientos y su poltica adecuada Cmo utilizar la tecnologa para implementar la poltica Sin personas que logren esto
NO HABR SISTEMA SEGURO 26/08/2011 6 jcpacheco@computer.org Seguridad de la Informacin vs Seguridad Informtica Seguridad de la Informacin Informacin documental y biolgica Procesos de Negocio Polticas Anlisis de Riesgos Informacin en computadoras Procesos informticos Mecanismos y Procedimientos Seguridad Informtica 26/08/2011 7 jcpacheco@computer.org Riesgo: Conceptos y definiciones (Del it. risico o rischio, y este del r. cls. rizq, lo que depara la providencia). (RAE) 1. m. Contingencia o proximidad de un dao. (RAE) 2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro. (RAE) Dao potencial que puede surgir por un proceso presente o evento futuro. (Wikipedia) Evento o situacin incierta, que de suceder, tiene un efecto en los objetivos del proyecto (PMBOK) Riesgo 26/08/2011 8 jcpacheco@computer.org 9 La exposicin a la posibilidad de ocurrencia de ciertas cosas tales como prdida o ganancia econmica, dao fsico, retrasos, dao a la salud pblica, etc. que surgen como consecuencia de seguir un curso particular de accin. (Aduanas de Chile) Posibilidad de que se produzca un impacto dado en la organizacin (Magerit) Riesgo: otras definiciones 26/08/2011 jcpacheco@computer.org Riesgos, Conceptos y definiciones Amenaza Vs Riesgo Amenaza es: I. Todo lo que tenga probabilidad de ocurrir, causando dao. (Wikipedia) II. Causa potencial de un incidente no deseado, el que puede ocasionar un dao al sistema o a la organizacin (ISO27000) Riesgo es: I. Efecto de la incertidumbre sobre los objetivos (ISO31000) II. El resultado de la posibilidad de una amenaza explotando la vulnerabilidad de un activo. (ISO27000) Sin la ocurrencia de amenazas el riesgo sera cero. Tomado de: www.scienceinthebox.com/es_ES/safety/pic /risk_assessment.jpg 26/08/2011 10 jcpacheco@computer.org 11 Situaciones inciertas, no controlables, no previstas (amenazas). Deficiencias en los procesos o en la gestin. (vulnerabili dades). Activos de la organizacin Impacto como resultado del riesgo Elementos del riesgo RIESGO 26/08/2011 jcpacheco@computer.org Consecuencias probables de un riesgo Naturaleza Indica los problemas probables P.E. Interfaz mal definida para el HW (riesgo tcnico) Alcance Combina la severidad (cun serio es el problema?) Con su distribucin general (que proporcin del proceso o de la organizacin se afecta?) Cuando ocurre Cundo y por cunto tiempo se dejar sentir el impacto
26/08/2011 12 jcpacheco@computer.org 13 Resumiendo. La Amenaza El Impacto del Riesgo Estrategia de Mitigacin El Riesgo es posibilidad de la destruccin de la casa La Vulnerabilidad El Activo 26/08/2011 jcpacheco@computer.org Relacin entre seguridad y riesgo Riesgo Seguridad 26/08/2011 14 jcpacheco@computer.org Modelo de gestin de la seguridad Modelo: (Del it. modello). 1. m. Arquetipo o punto de referencia para imitarlo o reproducirlo. Representacin en pequeo de algo. 2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar. 3. m. Esquema terico, generalmente en forma matemtica, de un sistema o de una realidad compleja Gestin (Del it. gesio). 1. Accin o efecto de gestionar o administrar 2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar. Concrecin de acciones para el logro de un objetivo Entonces, Modelo de Gestin de la Seguridad es el entorno o marco de referencia para la administracin de la SEGURIDAD en una organizacin 26/08/2011 15 jcpacheco@computer.org Gestin de la seguridad: ISO27000 .en el tiempo 26/08/2011 16 jcpacheco@computer.org ISO27000: La Familia: Publicadas Descripcin Cdigo del estndar Gestin de la seguridad de la Informacin: Overview ISO/IEC 27000:2009 Sistema de Gestin de la informacin de seguridad ISO/IEC 27001:2005 Cdigo de buenas prcticas para GSI (ISO17799) ISO/IEC 27002:2007 Gua para la implementacin del SGSI ISO/IEC 27003:2010 Mtricas para la gestin de seguridad ISO/IEC 27004:2009 Gestin de riesgos en SI ISO/IEC 27005:2008 Requisitos para los organismos de acreditacin de SGSI ISO/IEC 27006:2007 Gua para la GSI en Telecomunicaciones c/ISO/IEC 27002 ISO/IEC 27011:2008 Gua para habilitar las TIC para la Continuidad de Negocio ISO/IEC 27031:2011 Conceptos y revisin general de Seguridad en Redes ISO/IEC 27033-1:2009 GSI en el sector salud utilizando ISO/IEC27002 ISO 27799:2008 26/08/2011 17 jcpacheco@computer.org ISO27000: La Familia: en Desarrollo Descripcin Cdigo del estndar Gua para la Auditoria de un SGSI (foco en el sistema de gestin) ISO/IEC 27007 Gua para auditores de los controles del SGSI (foco en los controles de seguridad de la informacin) ISO/IEC 27008 Gua para la implementacin integrada de ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27013 Marco de referencia para el gobierno de seguridad de informacin ISO/IEC 27014 Gua para la Gestin de SI en los sectores financiero y seguros ISO/IEC 27015 Gua para la seguridad en Internet (del buen vecino en Internet) ISO/IEC 27032 Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada) ISO/IEC 27033 Gua para la seguridad de aplicaciones ISO/IEC 27034 Gestin de Incidentes de Seguridad ISO/IEC 27035 Gua para la seguridad con Terceros (outsourcing) ISO/IEC 27036 Gua para la identificacin, recoleccin, y/o adquisicin y preservacin de evidencia digital. ISO/IEC 27037 26/08/2011 18 jcpacheco@computer.org ISO27005: Gestin del Riesgo en SI Establecimiento del Contexto Evaluacin del Riesgo Tratamiento del Riesgo Aceptacin del Riesgo Comunicacin del riesgo y plan de tratamiento Monitoreo y Revisin del Riesgo 26/08/2011 19 jcpacheco@computer.org Monitorear SGSI Revisa y evala el desempeo (eficiencia y eficacia) del SGSI. Mejorar el SGSI Realiza los cambios necesarios para llevar al SGSI a mximo rendimiento. Implementar y Operar el SGSI Envuelve la implantacin y operacin de los controles. Establecer el SGSI, Declaracin de Aplicabilidad Evaluacin de riesgos de los activos de la informacin Seleccin de controles adecuados. Plan (planificar) Do (hacer) Check (controlar) Act (actuar) Gestin de la seguridad: ISO27001 26/08/2011 20 jcpacheco@computer.org ISO27000: en Cifras al 2009 0 20 40 60 80 100 120 2008 2009 82 117 Nro. Pases solicitantes 2008 2009 0 2000 4000 6000 8000 10000 12000 14000 2008 2009 9246 12934 Nro. Certificados 27001 emitidos 2008 2009 Fuente: www.iso.org 26/08/2011 21 jcpacheco@computer.org Gestin de la seguridad: SOGP del ISF INSTALACIONES DE TI SD Desarrollo de Sistemas CB Aplicaciones de Negocio Crticas SM Gestin de Seguridad NW Redes UE Ambiente de Usuario Final CI Ambiente de Cmputo El Estndar de Buenas Prcticas (SoGP) del Foro de Seguridad de Informacin (ISF) es una referencia prctica sobre seguridad de la informacin y temas relacionados con los riesgos de informacin; con un enfoque de negocios. Est alineado con los principales estndares como ITIL, CMM, ISO20000, ISO9001, ISO/IEC2700x, NIST, PCI DSS e informacin general de conceptos de gobierno de la seguridad. Se complementa con la experiencia recogida por el ISF durante la realizacin de sus proyectos. 26/08/2011 22 jcpacheco@computer.org SOGP del ISF: Aspectos principales 1. Cumplimiento de estndares. i. SOGP como herramienta que apoya la certificacin ISO27001. Alineada a toda la familia ISO2700, incluyendo: la 27014 (gobernanza de seguridad) y 27036 (Terceros externos) ii. Incluye tpicos como : Delitos Informticos (Cibercrime), Computacin en la Red (Cloud Computing) y Seguridad en dispositivos mviles. iii. Proporciona informacin detallada y propone controles para Infraestructura Crtica y Acceso Inalmbrico. iv. Es una herramienta para habilitar el cumplimiento de los estndares COBIT y PCI DSS. 26/08/2011 23 jcpacheco@computer.org SOGP del ISF: Aspectos principales 2. Validacin de proveedores i. Asegura que los requerimientos de seguridad de la informacin sean las premisas para trabajar con terceros. ii. Sirven como base para la comprensin y evaluacin del nivel de seguridad de la informacin implementada por los proveedores iii. Asegura que la cadena de suministro est sujeta a un nivel de seguridad de la informacin que puede responder a los riesgos. 26/08/2011 24 jcpacheco@computer.org SOGP del ISF: Aspectos principales 3. Evaluacin de Riesgos i. La evaluacin de riesgos ayuda a reducir la frecuencia e impacto de los incidentes de seguridad, y mejora la seguridad de la informacin ii. SOGP complementa a cualquier metodologa de evaluacin de riesgos que se utilice, incluyendo la metodologa de anlisis de riesgos de la informacin de ISF (IRAM) iii. Ofrece 50 tipos de amenazas y los controles potenciales para aplicacin 26/08/2011 25 jcpacheco@computer.org SOGP del ISF: Aspectos principales 4. Polticas, Controles y Procedimientos i. Puede ser adoptado como base de una poltica de seguridad de la informacin general. ii. Es una herramienta efectiva para la identificacin de brecha existentes en la poltica, los controles y procedimientos de seguridad de la informacin, entre lo que tenemos y lo que queremos ser. iii. Reduce el esfuerzo necesario en una organizacin para la implementacin de un SGSI 26/08/2011 26 jcpacheco@computer.org SOGP del ISF: Aspectos principales 5. Toma de conciencia i. Contiene tpicos especficos que ayudarn al mejoramiento de la toma de conciencia en seguridad y soportarn actividades correspondientes dentro de la organizacin. ii. Dirige cmo se podra aplicar la seguridad de la informacin en un ambiente local, lo que representa una actividad de concientizacin en seguridad. iii. Lograr que la organizacin tome conciencia del rol de la seguridad de la informacin, de manera consistente a travs de la propia organizacin generar altos niveles de proteccin y evitar potenciales daos costosos para la reputacin de la organizacin. 26/08/2011 27 jcpacheco@computer.org SOGP del ISF: Aspectos principales i. SOGP est integrada con la herramienta de Benchmarking de ISF, lo que proporciona una base para la realizacin de una evaluacin, detallada o de alto nivel, de las fortalezas de los controles de seguridad de la informacin a lo largo y ancho de la organizacin. ii. Ayuda a mejorar la gestin de los ejecutivos y la confianza de los interesados, por la capacidad de anlisis objetivos del nivel real de seguridad 6. Evaluacin de la seguridad de la Informacin 26/08/2011 28 jcpacheco@computer.org SOGP del ISF: Aspectos principales i. SOGP se constituye en una completa herramienta de referencia para atender a nuevos requerimientos de seguridad de la informacin o a la mejora de los controles existentes. ii. EL estar basado en tpicos intuitivos de seguridad permiten versatilidad en su aplicacin. iii. Evitar tener que identificar controles desde cero, ahorrando costo y tiempo 7. Mejora de la seguridad 26/08/2011 29 jcpacheco@computer.org Gestin de la seguridad: ISM3 Modelo de Madurez de la Gestin de la Seguridad de la Informacin (Information Security Management Maturity Model) Especificar, Implementar, Operar y Evaluar SGSIs Aplicable a cualquier organizacin independientemente de su tamao y giro Ayuda a mejorar los sistemas ISM de la organizacin, resaltando diferencias entre el nivel actual y el nivel deseado de madurez Evala cuantitativamente la madurez del SGSI de una organizacin y su ambiente de control de seguridad de la informacin til como gua para priorizar inversiones. Comparando los objetivos de seguridad y los objetivos de madurez. 26/08/2011 30 jcpacheco@computer.org Gestin de la seguridad: ISM3 M o d e l o
d e
G S I
Modelo Organizativo Modelo de Seguridad Contextual Modelo de Sistemas de Informacin Estratgico Tctico Operativo P r o c e s o s
I S M
Nivel de Madurez ISM3-0: existe riesgo, inversin impredecible ISM3-1: Reduccin de riesgo, inversin mnima ISM3-2: Mayor reduccin de riesgo, inversin moderada ISM3-3: Alta reduccin de riesgo tcnico, inversin seria ISM3-4: Alta reduccin de riesgo tcnico e interno, inversin seria MODELO ORIENTADO AL PROCESO 26/08/2011 31 jcpacheco@computer.org Gestin de la seguridad: ISM3 Sentido Comn Polticas Procedimientos Buenas Prcticas Contraseas nico Acceso Lecciones de Incidentes Mejorar el firewall Mejorar el Antivirus Especfico Anlisis de riesgos OCTAVE Magerit Segn Cliente Personal del proyecto A no tenga acceso al proyecto B Para elegir un Control MODELO FLEXIBLE, SE ADAPTA AL NEGOCIO 26/08/2011 32 jcpacheco@computer.org Information Security Management Maturity Model ("ISM3") est construido con base en estndares como ITIL, ISO 20000, ISO 9001, CMM, ISO/IEC 27001, e informacin general de conceptos de gobierno de la seguridad. Mientras que la ISO/IEC 27001 est basada en controles. ISM3 basado en procesos, incluye mtricas de proceso. Gestin de la seguridad: ISM3 26/08/2011 33 jcpacheco@computer.org Modelo de gestin del riesgo Controles Activos Vulnerabilida des Riesgo Amenazas Agente de amenaza Organizacin Pone valor Aplica Enfrenta Reduce Afecta Desea apropiarse, abusar o daar Explota Provoca Genera 26/08/2011 34 jcpacheco@computer.org Roles y Responsabilidades en SGSI 26/08/2011 35 jcpacheco@computer.org Implementacin y Certificacin de un SGSI 26/08/2011 36 Tomado de: jcpacheco@computer.org Consecuencias del Riesgo
Horas hombre perdidas por una brecha de seguridad?. Equipos que no producen Prdida de productividad Sitio WEB fuera por un incidente de seguridad? Prdida de acceso a INTERNET? Prdida de ventas por fuera de servicio Restaurar datos de un backup puede ser muy costoso. Qu si se destruyen los backups? Prdida de Datos Planes estratgicos revelados, Informacin financiera sensible Compromiso de Datos por divulgacin o modificacin Se podra necesitar comprar un nuevo equipo Servicios de recuperacin de datos. Costos de reparacin Hacer noticia como vctimas de una brecha de seguridad. Fuga de clientes, etc Prdida de imagen ROI como Reduccin del Riesgo. ROI mide mejora esperada contra costo de la mejora. P.e. Reduccin en 50% de riesgos, frente a comprar un FW 26/08/2011 37 jcpacheco@computer.org Ejemplo de ataque: Phishing Ing. Social
Cliente de Banco de Credito
Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a traves de Banca en la Red han sido realizados desde diferentes direcciones IP. Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta.
Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros sistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011.
Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo le recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya que no lo hacemos. De ante mano le agradecemos su cooperacion en este aspecto.
Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar el siguiente enlace:
De: Banco de Credito <banco_de_credito_bcp@bcp.com.pe> Fecha: 18 de agosto de 2011 13:14 Asunto: Estimado Cliente Verificacion Urgente Para: *********@gmail.com
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea http://bcpzonasegura.viabcperu.in/bcp/ https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea 26/08/2011 38 jcpacheco@computer.org Ejemplos posibles ataques a una red 26/08/2011 39 jcpacheco@computer.org Preguntas? 26/08/2011 40