1. Seguridad de la Informacin 3 2. Seguridad de Informacin Familia ISO/IEC 27000 4 3. Seguridad de Informacin (ISO/IEC 27001) 5 4. Seguridad de Informacin (ISO/IEC 27002) 6 4.1 Contenido de la norma 6 4.2 Gua de Seguridad Informtica 8 4.3 Fases de desarrollo 21 5. Tecnologa, dimensionamiento y sus costos 22 5.1 Casos prcticos 23
3 1. Seguridad de la Informacin
La informacin es un activo que tiene un alto valor y requiere, en consecuencia, una proteccin adecuada. sta se puede presentar de las siguientes formas: impresa o escrita en papel, almacenada electrnicamente, trasmitida por correo o medios electrnicos, hablada en conversacin. La seguridad de la informacin consiste en procesos y controles diseados para protegerla de su divulgacin no autorizada, transferencia, modificacin o destruccin, a efecto de: asegurar la continuidad del negocio, minimizar posibles daos, y maximizar oportunidades. La seguridad informtica debe entenderse en el contexto de la seguridad fsica y lgica de la informacin, y por eso intenta proteger cuatro elementos: Hardware Software Datos Elementos Consumibles
4
2. Seguridad de Informacin Familia ISO/IEC 27000
La serie de normas ISO/IEC 27000 son estndares de seguridad publicados por la Organizacin Internacional para la Estandarizacin (ISO) y la Comisin Electrotcnica Internacional (IEC). La serie contiene las mejores prcticas recomendadas en Seguridad de la informacin para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestin de la Seguridad de la Informacin (SGSI), estas normas incluyen: 1. ISO/IEC 27000- es un vocabulario estndar para el SGSI. Se encuentra en desarrollo actualmente. 2. ISO/IEC 27001 - es la certificacin que deben obtener las organizaciones. Norma que especifica los requisitos para la implantacin del SGSI. Es la norma ms importante de la familia. Adopta un enfoque de gestin de riesgos y promueve la mejora continua de los procesos. Fue publicada como estndar internacional en octubre de 2005. 3. ISO/IEC 27002 - Information technology - Security techniques - Code of practice for information security management. Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es un cdigo de buenas prcticas para la gestin de seguridad de la informacin. Fue publicada en julio de 2005 como ISO 17799:2005 y recibi su nombre oficial ISO/IEC 27002:2005 el 1 de julio de 2007. 4. ISO/IEC 27003 - son directrices para la implementacin de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No est certificada actualmente. 5. ISO/IEC 27004 - son mtricas para la gestin de seguridad de la informacin. Es la que proporciona recomendaciones de quin, cundo y cmo realizar mediciones de seguridad de la informacin. Publicada el 7 de diciembre del 2009, no se encuentra traducida al espaol actualmente. 6. ISO/IEC 27005 - trata la gestin de riesgos en seguridad de la informacin. Es la que proporciona recomendaciones y lineamientos de mtodos y tcnicas de evaluacin de riesgos de Seguridad en la Informacin, en soporte del proceso de gestin de riesgos de la norma ISO/IEC 27001. Es la ms relacionada a la actual British Standard BS 7799 parte 3. Publicada en junio de 2008. 7. ISO/IEC 27006:2007 - Requisitos para la acreditacin de las organizaciones que proporcionan la certificacin de los sistemas de gestin de la seguridad de la informacin. Esta norma especfica requisitos especficos para la certificacin de SGSI y es usada en conjunto con la norma 17021-1, la norma genrica de acreditacin. 8. ISO/IEC 27007 - Es una gua para auditar al SGSI. Se encuentra en preparacin. 9. ISO/IEC 27799:2008 - Es una gua para implementar ISO/IEC 27002 en la industria de la salud. 10. ISO/IEC 27035:2011 - Seguridad de la informacin Tcnicas de Seguridad Gestin de Incidentes de Seguridad. Este estndar hace foco en las actividades de: deteccin, reporte y evaluacin de incidentes de seguridad y sus vulnerabilidades.
5 3. Seguridad de Informacin (ISO/IEC 27001) Estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements) Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI).
PILARES DE SEGURIDAD DE INFORMACIN (ISO/IEC 27001)
6 4. Seguridad de Informacin (ISO/IEC 27002) Es un conjunto de recomendaciones sobre qu medidas tomar en la institucin para asegurar los Sistemas de Informacin. Publicada en Espaa como UNE-ISO/IEC 27002:2009 desde el 9 de Diciembre de 2009. Otros pases donde tambin est publicada en espaol son, por ejemplo, Colombia (NTC-ISO-IEC 27002), Venezuela (Fondonorma ISO/IEC 27002), Argentina (IRAM-ISO-IEC 27002), Chile (NCh- ISO27002), Uruguay (UNIT-ISO/IEC 27002) o Per (como ISO 17799; descarga gratuita. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos objetivos, la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva se aplican para la gestin del riesgo analizado. Los objetivos de control son los aspectos a asegurar dentro de cada rea/seccin; y los controles son los mecanismos para asegurar los objetivos de control (gua de buenas prcticas). Para cada control establecido, se debe elaborar una gua para su implantacin) Para la elaboracin del documento que se presentar como gua de seguridad informtica es conveniente utilizar la ISO/IEC 27002, en virtud que incluye controles especficos relacionados con aspectos informticos. 4.1 Contenido de la norma 11 dominios 39 objetivos de control 133 controles Los 133 controles y 39 objetivos estn agrupados dentro de los 11 dominios descritos abajo: DOMINIO DESCRIPCIN 5. Poltica De Seguridad El documento de la poltica de seguridad de la informacin debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes. 6. Aspectos Organizativos de La Seguridad de la Informacin La gerencia debiera apoyar activamente la seguridad dentro de la organizacin a travs de una direccin clara, compromiso demostrado, asignacin explcita y reconociendo las responsabilidades de la seguridad de la informacin. 7. Gestin de Activos. Inventario de los activos debiera incluir toda la informacin necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicacin, informacin de respaldo, informacin de licencias y un valor comercial. 8. Seguridad Ligada a los Recursos Humanos. Los roles y responsabilidades de la seguridad debieran ser definidos y claramente comunicados a los candidatos para el puesto durante el proceso de pre-empleo.
7 DOMINIO DESCRIPCIN 9. Seguridad Fsica y del Entorno Se debieran utilizar permetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las reas que contienen informacin y medios de procesamiento de informacin. 10. Gestin de Comunicaciones y Operaciones. Procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la informacin y comunicacin; tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cmputo, manejo del correo y seguridad. 11. Control de Acceso. Establecer, documentar y revisar la poltica de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. 12. Adquisicin, Desarrollo y Mantenimiento De Sistemas de Informacin. Identificary acordar los requerimientos de seguridad antes del desarrollo y/o implementacin de los sistemas de informacin. 13. Gestin de Incidentes en la Seguridad de la Informacin. Procedimientos formales de reporte y de la intensificacin de un evento, ejemplo: cambios del sistema no controlados, mal funcionamiento del software o hardware, violaciones de acceso. 14. Gestin de la Continuidad del Negocio. Desarrollar y mantener un proceso gerencial para la continuidad del negocio en toda la organizacin para tratar los requerimientos de seguridad de la informacin necesarios para la continuidad comercial de la organizacin. 15. Cumplimiento. Definir explcitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la organizacin para satisfacer esos requerimientos, para cada sistema de informacin y la organizacin.
8 4.2 Gua de Seguridad Informtica Para el desarrollo de la gua en cuestin, se tomarn de referencia 5 dominios, los cuales se relacionan directamente con el rea informtica:
Gua de Seguridad Informtica ISO/IEC 27002
DOMINIO 7: GESTIN DE ACTIVOS
Activos.- Informacin: Bases de datos, la data (sorteo, providencias o actos procesales, sentencias, jurisprudencia; informacin administrativa, informacin financiera), contratos y acuerdos, resoluciones, planes de continuidad del negocio, registros de auditoras Archivos de Software: sistemas de gestin de trmite jurisdiccional, sistemas de gestin documentas, erp, sistemas operativos, entre otros. Activos de Hardware: Servidores, equipos de comunicacin, equipamiento de TICs Personal: roles y responsabilidades acorde a la capacidad y experiencia del personal de las diferentes unidades de TICs Intangibles: Imagen de transparencia, celeridad, seguridad y justicia.
No. DOMINIO 7. Gestin de Activos. 10. Gestin de Comunicaciones y Operaciones. 11. Control de Acceso. 12. Adquisicin, Desarrollo y Mantenimiento De Sistemas de Informacin. 13. Gestin de Incidentes en la Seguridad de la Informacin.
9 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO 7.1 Inventario de activos Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes. La organizacin identificar todos los activos y documentar de acuerdo a su importancia. El inventario incluir toda la informacin necesaria para recuperarse de los desastres. El no contar con un conjunto de polticas especficas as como responsables para el uso de los activos podra verse afectada la integridad y disponibilidad de la informacin. Responsable de los activos Toda la informacin y los activos asociados con los servicios de procesamiento de informacin deben ser asignada a una parte de la organizacin que acta como responsable. Una vez que se ha definido, identificado, elaborado el inventario de todos los activos de Tics de la organizacin se identificar al responsable o los responsables de controlar el uso y seguridad de estos. Adems se realizar una revisin peridica a la clasificacin y definicin de responsables de los activos y servicios que se ofrecen.
Uso aceptable de los activos Se debe identificar, documentar e implementar las reglas sobre el uso aceptable de la informacin y de los activos asociados con los servicios de procesamiento de la informacin. Las organizaciones establecern un conjunto de polticas, normas especficas, reglas, manuales de uso y dems directrices, con el fin de garantizar la seguridad y disponibilidad respecto al acceso y uso que se d a los activos, asociados a los sistemas de informacin de cada una de las organizaciones.
7.2 Directrices de clasificacin Se debe clasificar en trminos de su valor, de los requisitos legales, de la sensibilidad y la importancia para la organizacin. Las organizaciones clasificarn la informacin en trminos de valor, confidencialidad y criticidad para la organizacin, y ser revisada peridicamente mantenindose actualizada. La clasificacin debe ser lo ms sencilla y prctica en lo posible.
Al no existir una clasificacin acorde a la importancia de la informacin as como el etiquetado segn estndares internos adoptados para la organizacin podra verse afectada seriamente la integridad, disponibilidad y confidencialidad de la informacin. Etiquetado y manejo de la informacin Se debe desarrollar e implementar un conjunto de procedimientos adecuados para el etiquetado y el manejo de la informacin de acuerdo al esquema de clasificacin adoptado por la organizacin. Se debe definir un estndar de etiquetado adecuado de la informacin aprobado por la organizacin, que comprenda los formatos fsicos y electrnicos. De acuerdo al nivel de importancia de la informacin se debe definir procedimientos de manejo seguro, as como el registro de incidentes de seguridad referido a la cadena de custodia.
10 DOMINIO 10: GESTIN DE COMUNICACIONES Y OPERACIONES
No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO 10.1
Procedimientos y responsabilidades operacionales
Procedimientos de operacin documentados Preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la informacin y comunicacin; Falta de segregacin de funciones. Gestin del cambio Sistemas operacionales y el software de aplicacin sujetos a un estricto control de autoridades del cambio. Segregacin de los deberes Tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorizacin o deteccin. Separacin de los medios de desarrollo, prueba y operacin Identificar el nivel de separacin necesario entre los ambientes de desarrollo, prueba y operacin para evitar los problemas operacionales e implementar los controles apropiados. 10.2 Gestin de la entrega del servicio de terceros
Entrega del servicio Incluir acuerdos de seguridad pactados en la entrega del servicio por un tercero e incluir definiciones del servicio y aspectos de la gestin del servicio. Falta de calidad en el servicio adquirido. Monitoreo y revisin de los servicios de terceros El monitoreo y revisin de los servicios de terceros debiera asegurar que se cumplan los trminos y condiciones de seguridad de los acuerdos, y que se manejen apropiadamente los incidentes y problemas de seguridad de la informacin. Manejo de cambios en los servicios de terceros El proceso de manejar los cambios en el servicio de terceros necesita tomarlos cambios realizados por la organizacin 10.3 Planeacin y aceptacin del sistema
Gestin de la capacidad Identificar los requerimientos de capacidad de cada actividad nueva y en proceso.
Fallas de Operacin en los sistemas
Aceptacin del sistema Asegurar que los requerimientos y criterios de aceptacin de los sistemas nuevos estn claramente definidos, aceptados, documentados y probados.
11 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO 10.4 Proteccin contra el cdigo malicioso y mvil
Controles contra cdigos maliciosos Basarse en la deteccin de cdigos maliciosos y la reparacin de software, conciencia de seguridad, y los apropiados controles de acceso al sistema y gestin del cambio.
Posible prdida de informacin y atraso en las operaciones. Controles contra cdigos mviles Considerar acciones para evitar que el cdigo mvil realice acciones no- autorizadas
10.5
Respaldo o Back-Up
Respaldo o Back-Up Proporcionar medios de respaldo adecuados para asegurar que toda la informacin esencial y software se pueda recuperar despus de un desastre o falla de medios. Posible prdida de informacin crtica y suspensin de actividades 10.6 Gestin de seguridad de la red Controles de redes Implementar controles para asegurar la seguridad de la informacin en las redes, y proteger los servicios conectados de accesos no- autorizados. Posible intrusin de terceros no autorizados e interrupcin del servicio. Seguridad de los servicios de la red Determinar y monitorear regularmente la capacidad del proveedor del servicio de red para manejar los servicios contratados de una manera segura 10.7 Gestin de medios
Gestin de medios removibles Considerar lineamientos para la gestin de medios removibles Posible fuga de informacin.
Retirada de soportes Definicin de procedimientos formales para la eliminacin de medios confidenciales que ya no sern requeridos. Procedimientos para el manejo de informacin Establecer procedimientos para el manipuleo, procesamiento, almacenaje y comunicacin de la informacin consistente con su clasificacin. Seguridad de la documentacin del sistema asegurar la documentacin del sistema de manera segura 10.8 Intercambio de informacin
Polticas y procedimientos de intercambio de informacin Definir procedimientos y controles a seguirse cuando se utilizan medios de comunicacin electrnicos para el intercambio de informacin Posible fuga de informacin y suplantacin de identidades. Acuerdos de intercambio Establecer y mantener las polticas, procedimientos y estndares para proteger la informacin y medios fsicos en trnsito
12 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO
Medios fsicos en trnsito
Considerar lineamientos para proteger los medios de informacin transportados entre diferentes ubicaciones Mensajes electrnicos Definir consideraciones de seguridad para los mensajes electrnicos Sistemas de informacin Definir consideraciones a las implicancias de seguridad en la interconexin de los sistemas de informacin 10.9 Comercio electrnico
Comercio electrnico Definir consideraciones de seguridad para el comercio electrnico
Transacciones en-lnea Definir consideraciones de seguridad para Transacciones en-lnea Informacin pblicamente disponible Proteger mediante mecanismos apropiados el software, data y otra informacin que requiere un alto nivel de integridad, puesta a disposicin en un sistema pblicamente disponible, Posibles transacciones fraudulentas
10.10 Monitoreo
Registro de auditora Considerar registros de auditora cuando sea relevante. Posible incapacidad de prevenir fallos de sistemas Uso del sistema de monitoreo Determinar el nivel de monitoreo requerido para los medios individuales mediante una evaluacin del riesgo. Proteccin del registro de informacin Establecer controles para protegerse contra cambios no autorizados y problemas operacionales, Registros del administrador y operador Revisados de manera regular los registros de administrador y operador del sistema. Registro de fallas Registrar las fallas reportadas por los usuarios o por los programas del sistema relacionadas con los problemas con el procesamiento de la informacin o los sistemas de comunicacin Sincronizacin de relojes Colocar la hora del reloj de acuerdo a un estndar acordado
13
DOMINIO 11: CONTROL DE ACCESO
No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO 11.1 Requerimiento para el control del acceso Poltica de control del acceso
Establecer claramente en la poltica de control de acceso las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios. Posibles accesos no autorizados.
11.2 Gestin de acceso del usuario Registro del usuario
Definir el procedimiento de control del acceso para el registro y des- registro del usuario.
Posible otorgamiento inadecuado de permisos Gestin de privilegios
Controlar la asignacin de privilegios a travs de un proceso de autorizacin formal para los sistemas multi-usuario que requieren proteccin contra el acceso no autorizado. Gestin de las claves secretas de los usuarios
Definir polticas sobre la gestin de las claves secretas, medio comn para verificar la identidad del usuario antes de otorgar acceso a un sistema o servicio de informacin en concordancia con la autorizacin del usuario Revisin de los derechos de acceso del usuario Definir lineamientos para la revisin de los derechos de acceso 11.3 Responsabilidades del usuario
Uso de claves secretas
Formular poltica para la el uso de claves secretas de los usuarios Posible perdida y fuga de informacin
Equipo del usuario desatendido
Estar al tanto de los requerimientos de seguridad y los procedimientos para proteger el equipo desatendido por parte de los usuarios. Poltica de escritorio y pantalla limpios
Tomar en cuenta las clasificaciones de informacin para polticas de escritorio limpio y pantalla limpia. 11.4 Control de acceso a la red
Poltica sobre el uso de los servicios de la red
Formular una poltica relacionada con el uso de las redes y los servicios de la red.
Posible prdida y fuga de informacin e interrupcin de actividades.
Autenticacin del usuario para las conexiones externas
Utilizar tcnicas basadas en criptografa, dispositivos de hardware o un protocolo de desafo/respuesta para la autenticacin de los usuarios remotos. Identificacin del equipo en las redes
Utilizar la identificacin del equipo si es importante que la comunicacin slo sea iniciada desde una ubicacin o equipo especfico. Proteccin del puerto de diagnstico y configuracin remoto
Uso de un seguro y procedimientos de soporte para controlar el acceso fsico al puerto que incluya controles potenciales para el acceso a los puertos de diagnostico y configuracin.
14 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO Segregacin en redes Un mtodo para controlar la seguridad de grandes redes es dividirlas en dominios de red lgicos separados Control de conexin a la red
Los derechos de acceso a la red de los usuarios se debieran mantener y actualizar conforme lo requiera la poltica de control de acceso Control de routing de la red
Implementar controles de routing en las redes para asegurar que las conexiones de la computadora y los flujos de informacin no violen la poltica de control de acceso de las aplicaciones 11.5 Control del acceso al sistema operativo
Procedimientos para un registro seguro
Diseo del procedimiento para registrarse en un sistema de operacin de manera que minimice la oportunidad de un acceso no autorizado. Posible suspensin de actividades y del servicio. Identificacin y autenticacin del usuario
Aplicar este control a todos los tipos de usuarios (incluyendo el personal de soporte tcnico, operadores, administradores de redes, programadores de sistemas y administradores de bases de datos). Sistema de gestin de claves secretas
Los sistemas para el manejo de claves secretas debieran ser interactivos y debieran asegurar claves secretas adecuadas. Uso de las utilidades del sistema Se debieran considerar lineamientos para el uso de las utilidades del sistema: Cierre de una sesin por inactividad
Un dispositivo de cierre debiera borrar la pantalla de la sesin y tambin, posiblemente ms adelante, cerrar la aplicacin y las sesiones en red despus de un perodo de inactividad definido. Limitacin del tiempo de conexin
considerar controles sobre el tiempo de conexin para las aplicaciones de cmputo sensibles, 11.6 Control de acceso a la aplicacin y la informacin
Restriccin del acceso a la informacin
Las restricciones para el acceso se debieran basar en los requerimientos de las aplicaciones. Posible fuga y prdida de informacin Aislar el sistema confidencial
considerar los siguientes lineamientos para aislar el sistema sensible o confidencial 11.7 Computacin y tele- trabajo mvil
Computacin y comunicaciones mviles
Establecer una poltica y adoptar las medidas de seguridad apropiadas para proteger contra los riesgos de utilizar medios de computacin y comunicacin mvil. Posible suplantacin de identidad y accesos no autorizados.
15 DOMINIO 12. ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN
No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO 12.1 Requisitos de seguridad de los sistemas de informacin Anlisis y especificacin de los requisitos de seguridad Definir de lneas base de seguridad en aplicaciones e infraestructura de TI, de acuerdo a la necesidad de cada aplicacin. Posible adquisicin e implementacin de sistemas que no cumplen con medidas de seguridad reconocidas o aprobadas por la Institucin. 12.2 Tratamiento correcto de las aplicaciones Validacin de los datos de entrada. Validar los datos de entrada para evitar errores por captura de datos incorrectos. Posible liberacin en ambiente productivo de aplicaciones con vulnerabilidades de seguridad y procesamiento de datos incorrecto. Control de procesamiento interno Revisar la seguridad de las aplicaciones a nivel cdigo para detectar cualquier corrupcin de la informacin a travs de errores de procesamiento o actos deliberados. Integridad de los mensajes Evaluar los riesgos de seguridad para determinar si se requiere la integridad del mensaje e identificar el mtodo de implementacin ms apropiado. Validacin de los datos de salida Validar los datos en el procesamiento, para asegurar que la informacin almacenada sea la correcta y la apropiada para las circunstancias. Ya que an en los sistemas que han sido probados se puede producir output incorrecto. 12.3 Controles Criptogrficos Poltica de uso de controles criptogrficos Desarrollar e implementar una Poltica para el uso de controles criptogrficos, para proteger la informacin. Posible afectacin a la confidencialidad de la informacin mantenida en los sistemas y aplicaciones de la Institucin.
Posible falsificacin de la firma digital, reemplazndola con la clave pblica de un usuario. Gestin de claves Proteger las claves criptogrficas contra una modificacin, prdida y destruccin. Proteger contra la divulgacin no-autorizada, las claves secretas y privadas. Brindar seguridad fsica al equipo utilizado para generar, almacenar y archivar las claves. A manera de ejemplo, los dos tipos de tcnicas criptogrficas son:
16 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO tcnicas de claves secretas y tcnicas de claves pblicas. 12.4
Seguridad de los archivos de sistema Control del Software en explotacin Minimizar el riesgo de corrupcin de los sistemas operacionales, considerando lineamientos para controlar los cambios como son: actualizacin del software operacional, los sistemas operacionales slo deben mantener cdigos ejecutables aprobados, y no cdigos de desarrollo o compiladores. Establecer una estrategia de regreso a la situacin original (rollback) antes de implementar los cambios. Posibles fugas y prdidas de informacin confidencial en posesin de la Institucin, que pueden ser utilizadas para fines ajenos a la misma. Proteccin de los datos de prueba del sistema Para los propsitos de pruebas, evitar el uso de bases de datos operacionales conteniendo informacin personal o cualquier otra informacin confidencial. Autorizar por separado cada vez que se copia informacin operacional en un sistema de aplicacin de prueba. Control de acceso al cdigo fuente de los programas El acceso al cdigo fuente del programa y los tems asociados (como diseos, especificaciones, planes de verificacin y planes de validacin) se deben controlar estrictamente para evitar la introduccin de una funcionalidad no-autorizada y para evitar cambios no- intencionados. Implementar procedimientos estrictos de control de cambios para el mantenimiento y copiado de las bibliotecas fuentes del programa. 12.5 Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios Documentar y hacer cumplir los procedimientos formales de control del cambio para minimizar la corrupcin de los sistemas de informacin. La introduccin de sistemas nuevos y los cambios importantes a los sistemas existentes deben realizarse despus de un proceso formal de documentacin, especificacin, prueba, Posible introduccin de cambios no probados y no autorizados en los sistemas y aplicaciones de la Institucin. Posibles problemas de segregacin de funciones en desarrollo y operacin. Posible fuga de Informacin.
17 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO control de calidad e implementacin manejada. La buena prctica incluye la prueba del software nuevo en un ambiente segregado de los ambientes de produccin y desarrollo. Revisin tcnica de las aplicaciones tras efectuar cambios en el sistema operativo Revisar y probar las aplicaciones comerciales crticas, cuando se cambian los sistemas de operacin, para asegurar que no exista un impacto adverso sobre las operaciones organizacionales o en la seguridad. Asignar a un grupo o persona especfica la responsabilidad de monitorear las vulnerabilidades, as como los parches y arreglos que lancen los vendedores. Restricciones a los cambios en los paquetes de software Limitar los cambios necesarios y controlarlos estrictamente. Utilizar los paquetes de software suministrados por vendedores sin modificaciones. Fugas de Informacin Considerar puntos para limitar la filtracin de la informacin; por ejemplo, a travs del uso y explotacin de los canales encubiertos (covertchannels). Tomar medidas para protegerse contra cdigos Troyanos reduce el riesgo de la explotacin de los canales encubiertos. Externalizacin del desarrollo de software Supervisar y monitorear, el desarrollo del software abastecido externamente. Considerar puntos como contratos de licencias, propiedad de cdigos, derechos de propiedad intelectual. 12.6 Gestin de la vulnerabilidad tcnica Control de las vulnerabilidades tcnicas Obtener oportunamente la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin, la exposicin de la organizacin a dichas vulnerabilidades evaluadas, y las medidas apropiadas tomadas para tratar los riesgos asociados. Un inventario actual y completo de los activos (ver 7.1) es un Posible incapacidad para detectar problemas de seguridad en los sistemas y aplicaciones de la Institucin. Posible incapacidad para tomar las medidas necesarias de contencin, y responder oportunamente.
18 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO prerrequisito para la gestin efectiva de la vulnerabilidad tcnica. La informacin especfica necesaria para apoyar la gestin de la vulnerabilidad tcnica incluye al vendedor del software, nmeros de la versin, estado actual del empleo (por ejemplo, cul software est instalado en cul sistema), y la(s) persona(s) dentro de la organizacin responsable(s) del software.
19
DOMINIO 13.GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIN
No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO 13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin Notificacin de los eventos de seguridad de la informacin Reportar a travs de los canales gerenciales apropiados lo ms rpidamente posible los eventos de seguridad de la informacin. Tomar la conducta correcta en el caso de un evento en la seguridad de la informacin; por ejemplo: No llevar a cabo ninguna accin por cuenta propia, sino reportar inmediatamente al punto de contacto. Posible incapacidad para detectar problemas de seguridad en los sistemas y aplicaciones de la Institucin. Incapacidad para tomar las medidas necesarias de contencin, y responder oportunamente. Notificacin de puntos dbiles de seguridad Requerir que todos los usuarios empleados, contratistas y terceros de los sistemas y servicios de informacin tomen nota y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios. El mecanismo de reporte debe ser fcil y estar disponible. 13.2 Gestin de incidentes y mejoras de seguridad de la informacin Responsabilidades y procedimientos Establecer las responsabilidades y los procedimientos de la gerencia para asegurar una respuesta rpida, efectiva y metdica ante los incidentes de la seguridad de la informacin. Aprendizaje de los incidentes de seguridad de la informacin Establecer mecanismos para permitir cuantificar y monitorear los tipos, volmenes y costos de los incidentes en la seguridad de la informacin. Analizar la informacin obtenida para identificar los incidentes recurrentes o de alto impacto. Recopilacin de evidencias Recolectar, mantener y presentar evidencia para cumplir con las reglas de evidencia establecidas en la(s) jurisdiccin(es) relevante(s). Desarrollar y seguir los procedimientos
20 No. OBJETIVO DE CONTROL CONTROL ACCIN RIESGO internos cuando se recolecta y presenta evidencia para propsitos de una accin disciplinaria manejada dentro de una organizacin. Realizar en las copias del material de evidencia cualquier trabajo forense. Lo anterior aplica por ejemplo, para una accin de seguimiento contra una persona u organizacin despus de un incidente en la seguridad de la informacin involucra una accin legal (ya sea civil o criminal);
21
4.3 Fases de desarrollo La implementacin de dicha gua debe incluir el desarrollo de objetivos, polticas, procesos y procedimientos, considerando las siguientes definiciones para su elaboracin:
POLTICA: Conjunto de requisitos definidos por los responsables de un sistema, especificando en trminos generales quest y quno est permitido hacer. OBJETIVO: Enunciado global sobre el resultado final que se pretendealcanzar (qu?, dnde?, paraqu?) PROCESO: Actividades organizadas e interrelacionadas, orientadas a obtener un resultado especfico y predeterminado, conformado por las fases que se llevan a cabo por los responsables que desarrollan las funciones de acuerdocon su estructura orgnica. PROCEDIMIENTO (Mdulos que conforman un proceso): Conjunto ordenado de operaciones o actividades secuenciales desarrolladas por los responsables de la ejecucin, que deben cumplir polticas y normas establecidas, debiendo sealar la duracin o periodicidad y el flujo de documentos. Requiere identificar y sealar de cada uno de los pasos: quin?, cundo?, cmo?, dnde?, para qu?, por qu?.
22 5. Tecnologa, dimensionamiento y sus costos
En general se recomienda que se adopten tecnologas para brindar seguridad en las siguientes reas:
Esquemas de Seguridad rea Aplicativo / Software Escritorio Antivirus, Antispyware, FireWall Personal IPS local, Filtro Web, Control de Acceso a Red, Dispositivos Mviles Control de Aplicaciones / Listas Blancas/Negras Datos Encripcin de disco, Encripcin de archivos, Control de Dispositivos Prevencin de fuga de informacin local, Prevencin de fuga de informacin en la red, Administracin de permisos, Respaldo y Restauracin, Almacenamiento Empresarial (SAN) Servidor Antivirus, Antispyware, FireWall local IPS local, Filtro Web, Control de Acceso a Red, Control de Aplicaciones / Listas Blancas/Negras, Virtualizacin Red Firewall perimetrales, Prevencin de Intrusos, Firewall de Aplicaciones, Control de Acceso a Red, Anlisis de Comportamiento, Anlisis Forense, Control de Infraestructura. Correo Antispam, Antivirus, Prevencin de Fuga de Informacin Internet Filtro de Contenidos, Proxy, Antivirus, Antimalware. Riesgo y Cumplimiento Manejador de Vulnerabilidades, Remediador de Vulnerabilidades, Auditoria de Polticas, Anlisis y reporte de Riesgo, Control de Cambios, Monitor de Integridad de Archivos, SIEM, Manejador de Logs
23 5.1 Casos prcticos
CASO 1
Esquema de seguridad:
ALTA SEGURIDAD - BENEFICIOS POR COMPONENTE:
Protege, desde Internet, las aplicaciones de amenazas de seguridad, combinando en una defensa cohesiva diversos mecanismos de seguridad.
Con esta herramienta se evita que ataques maliciosos vulneren los sistemas y saturen los servidores con la finalidad de bloquear el servicio.
Ofrece actualizaciones para garantizar proteccin ante patrones de ataque y garantiza la disponibilidad de los servicios que se ofrecen en la organizacin.
INTERNET SERVIDORES DE BASES DE DATOS SERVIDORES DE APLICACIONES Firewall para servidores de Aplicaciones Sistema de Proteccin de Disponibilidad Firewall para servidores de Base de Datos Consola de Monitoreo
Sistema de Proteccin de Disponibilidad
24
Ofrece el servicio de seguridad autoadaptable, sin saturar los servidores de aplicaciones, entregando una solucin de alta seguridad que garantiza la integridad de la informacin y las aplicaciones web.
Con este componente es posible monitorear en tiempo real, la informacin que se transmite a travs de las aplicaciones web.
Automticamente aprende el comportamiento de las aplicaciones y de sus usuarios, detectando comportamientos anormales y alertando de ellos en tiempo real.
Identifica el trfico que es originado por robots y Fuentes maliciosas conocidas, para detener ataques automatizados.
Previene fraudes va web con su funcionalidad ThreatRadarFraudPrevention.
Protege a las Bases de Datos de ataques, prdida y robo de informacin a travs de un monitoreo en tiempo real con el cual, se emiten alertas y bloqueos de acceso basados en polticas de seguridad preestablecidas y que pueden ser configurables segn nuestras necesidades.
Es posible controlar y monitorear quin tiene el acceso a las bases de datos y a la informacin que se accedi, teniendo pleno control de la consulta de la informacin.
Con este componente de infraestructura se proteger uno de los recursos ms valiosos de la Institucin que es la informacin.
La consola de monitoreo alerta de posibles ataques en cualquiera de los componentes de seguridad instalados y ofrece informacin detallada de las acciones realizadas en la detencin de ataques.
As mismo, recaba informacin forense de los intentos de ataque a la infraestructura resguardada.
Firewall para servidores de Aplicaciones
Firewall para servidores de Base de Datos
Consola de Monitoreo
25
No. OBJETIVO DE CONTROL PUNTOS CLAVE PARA DIMENSIONAMIENTO TECNOLOGAS HW/SW PRECIO 12.1 Requisitos de seguridad de los sistemas de informacin Nmero de servidores Nmero de usuarios Nmero de direcciones IP Herramientas de blindaje para sistema operativo
Herramienta de Seguridad en Control de Cambios
Herramientas de Pruebas de Penetracin automatizada
Herramienta Anlisis de vulnerabilidades
(~520K USD) 12.2 Tratamiento correcto de las aplicaciones Nmero de desarrolladores de aplicaciones Nmero de aplicaciones y tamao de estas Nmero de direcciones IP
Servidores de aplicaciones
Servidores de bases de datos
Firewall para servidores de aplicaciones
Firewall para servidores de bases de datos
Consola de monitoreo
Sistema de proteccin de disponibilidad (~19,743,750USD) 12.3 Controles Criptogrficos Nmero de aplicaciones a integrar en el bus criptogrfico ya sean legacy o de terceros. Nmero de sistemas que manejan certificados digitales SSL o llaves de SSH (F5, firewalls, BlueCoat, web, servidores, etc.)
26 No. OBJETIVO DE CONTROL PUNTOS CLAVE PARA DIMENSIONAMIENTO TECNOLOGAS HW/SW PRECIO 12.4
Seguridad de los archivos de sistema Nmero de aplicaciones, servidor(es) donde se encuentra instalada la base de datos, tamao de la base de datos Nmero de base de datos, segmentos de red, nmero de sites Nmero de sistemas a integrar (Switches, Sistemas operativos, bases de datos, etc.) Nmero de servidores Unix o Windows Nmero de endpoints, Nmero de usuarios 12.5 Seguridad en los procesos de desarrollo y soporte Nmero de servidores virtuales y nmero de hypervisors Nmero de sistemas a integrar (Switches, Sistemas operativos, bases de datos, etc.) Nmero de endpoints, Nmero de salidas a Internet 12.6 Gestin de la vulnerabilidad tcnica Nmero de direcciones IP
13.1 Notificacin de eventos y puntos dbiles de seguridad de la informacin Nmero de Segmentos de red Numero de bases de datos y transacciones por base de datos, Throughput Nmero de aplicaciones web Nmero de correo saliente en hora pico / Nmero y tamao de los enlaces a Internet Perodo de retencin, Nmero de enlaces de red, Nmero de dispositivos de red con sus eventos por
27 No. OBJETIVO DE CONTROL PUNTOS CLAVE PARA DIMENSIONAMIENTO TECNOLOGAS HW/SW PRECIO segundo 13.2 Gestin de incidentes y mejoras de seguridad de la informacin Organigrama de la institucin Perodo de retencin, Nmero de enlaces de red, Nmero de dispositivos de red con sus eventos por segundo Nmero de administradores de servicios
28 CASO 2
El caso de xito ms importante ha sido la implementacin de un Data Center, en donde se centraliza todo el equipamiento y la aplicacin de polticas de seguridad, de acuerdo a la recomendacin de buenas prcticas, modelos y metodologas adoptadas en consultoras efectuadas para la implementacin de la ISO 27000. Se recomienda adoptar la estandarizacin de equipos en cada una de las regionales, lo que permite que las polticas sean de fcil aplicacin, pues el manejo de protocolos comunes representa una gran ventaja. Adicionalmente se debe implementar un Data Center Alterno de iguales caractersticas en otra regional, lo que permite la replicacin de toda la informacin y garantiza la alta disponibilidad de todas las aplicaciones. La inversin aproximada en equipamiento y Data Center ha sido de: USD 25000.000
SISTEMA DE SEGURIDAD INFORMATICA
SEGURIDAD PERIMETRAL Seguridad de acceso web Exinda Administrador de ancho de banda Seguridad de acceso web Checkpoint Filtrado Web Seguridad de correo electrnico IronPortmail - Cisco Antispam Seguridad de autenticacin ASA - Cisco Firewall, IPS Optimizacin de trfico Cisco- Wave WASS - Acelerador de trfico Autenticacin Cisco - ACS Autenticacin activos equipos de red Gestin de aplicaciones Cisco- ACE Balanceador de carga SEGURIDAD INTERNA Acceso a servidores de aplicacin Cisco - VCG Seguridad de acceso a aplicaciones en ambiente virtual Antivirus MacAfee Proteccin antivirus Proteccin de equipos Microsoft - WSUS Distribucin de parches y actualizaciones Proteccin de equipos Red Hat-Satellite Distribucin de parches y actualizaciones Proteccin de equipos de activos Cisco - ACL Configuracin de funcionalidades de seguridad en equipos activos Autenticacin de usuarios Microsoft- GPO Active Directory Configuracin de polticas de Grupo para la autenticacin de usuarios en el directorio activo Proteccin de red inalmbrica Cisco - WirelessLanController Configuracin de grupos y niveles de seguridad para la autenticacin de usuarios a la red inalmbrica, configurando las funcionalidades de la controladora a la que se anexan los accesspoint
29
TOPOLOGI SEGURIDAD DEL DATACENTER
ESQUEMA DE EQUIPAMIENTO SEGURIDAD DATACENTER
30
COSTOS APROXIMADOS
Los valores descritos a continuacin son referenciales y estn ligados a otras soluciones de tecnologa informtica, por ejemplo en los equipos activos adicionalmente a su funcionalidad de brindar los elementos de conectividad, permiten la configuracin de polticas de seguridad como listas de acceso y calidad de servicio para el trfico que pasa por la red como la telefona IP.
SEGURIDAD INVERSIN APROXIMADA Equipamiento de seguridad perimetral 5'000.000,00 Licenciamiento antivirus 1000.000,00 Consultoras de seguridad 500.000,00 Equipamiento activo y comunicaciones 18'000.000,00 Equipamiento para servidores para autenticacin y polticas de seguridad 1'000.000,00