Seguridad Informática

Presentación del Curso

Doc. Fidel Garcia
Unidad 1:
La Seguridad Informática
Semana 3 – Sesión 2:

Seguridad de la información y su
relación con los estándares ISO 27001.

Datos/Observaciones
Seguridad de la Información y su
relación con los estándares ISO 27001.
Semana 3 – Sesión 1
Logro de la Sesión:

El alumno conocerá el detalle del estándar

ISO27001 y como su implementación aporta en las
mejoras de SI

Datos/Observaciones
 En la session
anterior trato de…

Datos/Observaciones
Datos/Observaciones
 ✓ ISO27001
✓ COBIT
✓ ITIL

Datos/Observaciones
Estándares

ISO
Es la Organización Internacional de estandarización,
se dedica a desarrollar y publicar normas
internaciones
IEC
Es la Comisión Electrotécnica Internacional,
prepara y publica Estándares Internacionales para
todas las tecnologías eléctricas, electrónicas y
relacionadas.
Datos/Observaciones
ISO

Datos/Observaciones
ISO
✓ ISO 27001:2013
“Es la norma principal de requisitos de un Sistema de
Gestión de Seguridad de la Información. Los SGSIs deberán
ser certificados por auditores externos a las organizaciones.
En su Anexo A, contempla una lista con los objetivos de
control y controles que desarrolla la ISO 27002”

✓ ISO 27002:2013
“Guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de
la información con 11 dominios, 39 objetivos de control y 133
controles.”
Datos/Observaciones
ISO27001 - ¿Qué es?
• ISO/IEC 27001 es un estándar para la seguridad de la información
(Information technology - Security techniques - Information security
management systems - Requirements) aprobado y publicado como estándar
internacional en octubre de 2005 por International Organization for
Standardization y por la comisión International Electrotechnical Commission
• Describe cómo gestionar la seguridad de la información en una empresa
• Puede ser implementada en cualquier tipo de organización, con o sin fines de
lucro, privada o pública, pequeña o grande. Está redactada por los mejores
especialistas del mundo en el tema y proporciona una metodología para
implementar la gestión de la seguridad de la información en una organización
• Se ha convertido en la principal norma a nivel mundial para la seguridad de
la información

Datos/Observaciones
Gestión de la Seguridad IT:
ISO 27001

Datos/Observaciones
 ¿POR QUE CREES QUE
SERIA UTIL SU
IMPLEMENTACIÓN DEL
ISO27001?
Datos/Observaciones
ISO27001 ¿Porqué es importante?
• Identificar, calificar y hacer un tratamiento adecuado de
los riesgos
• Implementación de un equipo de seguridad proactivo
• Mitigar lo máximo posible cualquier incidente de
seguridad
• Proteger la empresa y la información que posee
• Dar cumplimiento a la normatividad y legislación
vigente
• Fomentar la cultura organizacional, la capacitación y
toma de conciencia en seguridad informática
Datos/Observaciones
ISO27001 - Como se implementa

Datos/Observaciones
 ISO27001 – Nivel de Madurez
Inexistente: Repetible:
• Carencia completa de cualquier proceso reconocible. La empresa no ha • Se identifican en forma general los activos de información.
0 reconocido siquiera que existe unproblema a resolver.Se han implementado
controles en su infraestructura de TI, seguridad física, seguridad de recursos
3 • Se clasifican los activos de información.
• Los servidores públicos de la entidad tienen conciencia sobre la seguridad de
humanos entre otros, sin embargo no están alineados a un Modelo de la información.
Seguridad. • Los temas de seguridad y privacidad de la información se tratan en los
• No se reconoce la información como un activo importante para su misión y comités del modelo integrado de gestión.
objetivos estratégicos. • La entidad cuenta con un plan de diagnóstico para IPv6.
• No se tiene conciencia de la importancia de la seguridad de la información en
la entidad.

Inicial: Administrado:
• Se han identificado las debilidades en la seguridad de la información. • Se revisa y monitorea periódicamente los activos de información de la
1 • Los incidentes de seguridad de la información se tratan de forma reactiva.
• Se tiene la necesidad de implementar el MSPI, para definir políticas, procesos
4 Entidad.
• Se utilizan indicadores para establecer el cumplimiento de las políticas de
y procedimientos que den respuesta proactiva a las amenazas sobre seguridad y privacidad de la información.
seguridad de la información que se presentan en la Entidad.. • Se evalúa la efectividad de los controles y medidas necesarias para disminuir
los incidentes y prevenir su ocurrencia en el futuro.
• La entidad cuenta con ambientes de prueba para el uso del protocolo IPv6.
Definido:
• Ha realizado un diagnóstico que le permite establecer el estado actual de la
2 seguridad de la información.
• La Entidad ha determinado los objetivos, alcance y límites de la seguridad de
Optimizado :
• En este nivel se encuentran las entidades en las cuales la seguridad es un
la información.
• La Entidad ha establecido formalmente políticas de Seguridad de la 5 valor agregado para la organización.
• Se utilizan indicadores de efectividad para establecer si la entidad
información y estas han sido divulgadas.
• La Entidad tiene procedimientos formales de seguridad de la Información
• La Entidad tiene roles y responsabilidades asignados en seguridad y
privacidad de la información.
• La Entidad ha realizado un inventario de activos de información aplicando
una metodología.
• La Entidad trata riesgos de seguridad de la información a través de una
metodología.
• Se implementa el plan de tratamiento de riesgos.
•Datos/Observaciones
La entidad cuenta con un plan de transición de IPv4 a IPv6.
ISO27001 – Nivel de Madurez

Datos/Observaciones
 ISO27001 – Análisis

% de # NC
% de conformidad con ISO 27001:2013 Dominio conformi # NC menore
por requerimiento dad mayores s # NC OK
Contexto 1 Contexto de la organización 5% 5 0 0
de la
2 Liderazgo 1% 14 0 0
organiza…
15% % de conformidad 3 Planificación 0% 31 0 0
Proceso de 4 Soporte 10% 14 3 0
Liderazgo 10%
mejora 5 Funcionamiento 0% 3 0 0
5%
6 Evaluación de Rendimiento 5% 23 0 0
0% Evaluación 7 Proceso de mejora 0% 11 0 0
Planificaci
de
ón
Rendimi…

Funcionam
Soporte
iento

Datos/Observaciones
ISO27002 - Análisis
Respecto a los dominios de seguridad de la información se encuentra con la siguiente
calificación:

► Políticas de Seguridad de la Información (2,0)

► Organización de Seguridad de la Información (1,0)
► Seguridad de los Recursos Humanos (2,0)
► Gestión de Activos (3,0)
► Control de Acceso (1,0)
► Criptografía (1,0)
► Seguridad Física y del Entorno (3,0)
► Seguridad de las Operaciones (2,0)
► Seguridad de las Comunicaciones (1,7)
► Adquisición, Desarrollo y Mantenimiento de Sistemas (1,0)
► Relación con los proveedores (1,6)
► Gestión de Incidentes de Seguridad de la Información (1,0)
► Continuidad del negocio (0,0)
Cumplimiento
Datos/Observaciones
► (1,7)
ISO27002 - Análisis
12

% de conformidad con ISO 27002:2013 10

por dominios
8
# NC OK
% de conformidad 6

A.5 # NC alta
80% 4 efectividad
A.18 A.6
70%
60% 2 # NC baja
A.17 A.7 efectividad
50%
40% 0
30% A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 A.16 A.17 A.18
A.16 20% A.8
10%
0%

A.15 A.9

A.14 A.10 Aprobados

A.13 A.11 No Aprobados

A.12 No Aplican

Datos/Observaciones
ISO27001 – Análisis Riesgos

Datos/Observaciones
ISO27001 - Propuestas
Propuesta de 13 proyectos para mejorar la seguridad de la organización

Datos/Observaciones
 ISO27001 - Implementación
Duración total de 24 meses, dando comienzo en Ene 2016

Datos/Observaciones
ISO27001 – Inver$ión

Datos/Observaciones
ISO27001 – ¿Qué se logra?
✓ Definición de roles y responsabilidades
✓ Definición de un sistema de gestión documental común
✓ Definición de política de seguridad
✓ Definición de proceso de auditorias internas
✓ Gestión de indicadores
✓ Definición de proceso de revisión por dirección
✓ Definición del proceso y realización de análisis de riesgos
✓ Identificación de activos y amenazas
✓ Calculo del impacto potencial y del riesgo para cada activo
✓ Propuesta de proyectos
✓ Ejecución de proyectos
✓ Auditoría de cumplimiento
Datos/Observaciones
ISO27001 – Documentación
✓ Política de clasificación de la información.
✓ Política de control de acceso.
✓ Política de uso adecuado de los recursos de la empresa.
✓ Política de acceso remoto o teletrabajo.
✓ Política de comunicación de información.
✓ Política de gestión de activos
✓ Política de gestión de la continuidad
✓ Política de gestión de incidentes
✓ Política de cifrado
✓ Política en seguridad operativa
✓ Política de Recursos Humanos
✓ Política de seguridad física y ambiental.
✓ Política de adquisición, desarrollo y mantenimiento de los sistemas
✓ Política de relación con los suministradores
Datos/Observaciones
ISO27001 – Antes vs Ahora
Cumplimiento
Dominio % de conformidad antes de implementación
% de conformidad tras implementación % De conformidad deseado
A.5
1
A.18 0.9
A.6
0.8
0.7
A.17 A.7
0.6
0.5
0.4
0.3
A.16 0.2 A.8
0.1
0

A.15 A.9

A.14 A.10

A.13 A.11

Datos/Observaciones A.12
ISO 27002 - Aplicación

Aplicación

Control de acceso
Segregación de funciones

Características
Bloqueo de acceso al DBA u otros usuarios
privilegiados a datos corporativos (datos confidenciales,
DBAs externos)
Restricción de comandos privilegidos ( DBA) basado
en filtrado de dirección IP
Protección de los datos frente a modificaciones no
autorizadas (Integridad)
Datos/Observaciones Fuerte control de acceso sobre los datos corporativos
ISO 27002 - Aplicación

• El administrador de la BD alter system…….

intenta un “alter system”
remoto
DBA
Reglas basados en dirección
IP bloquean la acción
create …
• El administrador de RRHH realiza HR
HR
acciones no autorizadas en HR Realm
HR DBA 3pm Monday
producción.

Reglas basadas en
fecha/hora bloquean la
acción

Datos/Observaciones
ISO 27002 - Aplicación

CONTROL DE ACCESO (Dominio 7)

• Requisitos de la Organización para el control de
acceso
• Administración del acceso de usuarios
• Responsabilidades de los usuarios
• Control de acceso de la Red
• Control de acceso al Sistema Operativo
• Control de acceso de las Aplicaciones
• Acceso y uso del Sistema de Monitoreo
• Computadoras móviles y trabajo a distancia

Datos/Observaciones
ISO 27002 - Aplicación

Datos/Observaciones
ISO 27002 - Aplicación
Registro/Creación

Nuevos Empleados entran en

la Empresa
Propagación

Cuentas & Políticas

Revocación Mantenimiento/Gestión
Empleados dejan Cambios y Soporte a
la Empresa Usuarios

Datos/Observaciones
ISO 27002 - Aplicación

El problema: Islas de
Información
• Cada Usuario tiene multiples
identidades parciales, una en
cada entorno.
CONSECUENCIAS
• Multiples puntos de
administración.
• Multiples administradores
• Inconsistencia de datos
• Falta de una “vista”unificada de
la identidad
Datos/Observaciones
ISO 27002 - Aplicación

Datos/Observaciones
ISO 27002 - Aplicación
Proteger, Consolidar, Detectar, Monitorizar, Administrar, Alertar y Report

Audit Audit Custom Proactive Audit Audit Data Audit Audit

Dashboard Reports Reports Detection Policy Admin Mining & Archival Collection
and Alerts Mgmt Analysis Mgmt

Microsoft
Other third
9i 10g 10g Application EBusiness PeopleSoft * Siebel * SQL
Party sources
Release 2 Release 1 Release 2 Server * Suite * Server *
*

V1 Administration
C SDK Java SDK
Audit Collectors
Custom Collectors
Audit Agent

Reporting y Alertas AV Admin

Datos/Observaciones Auditor
 ¿QUE
APRENDIMOS
HOY ACERCA DE
ISO27001?
Datos/Observaciones