Documentos de Académico
Documentos de Profesional
Documentos de Cultura
NDICE SEGURIDAD
INTRODUCCIN
ANLISIS Y GESTIN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIN SEGURIDAD DE TI EN LA TECNOLOGA
MARCO NORMATIVO
MARCO LEGISLATIVO
MARCO NORMATIVO
(Amutio, 2007)
Necesidad/obligacin de demostrar que se realiza una gestin competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y proporcionadas a los riesgos a los que est expuesta la organizacin
MARCO NORMATIVO
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Espaol: AENOR
MARCO NORMATIVO
La normalizacin de algoritmos criptogrficos para los servicios de integridad, autenticacin y no repudio; as como la normalizacin de algoritmos criptogrficos de los servicios de confidencialidad para ser utilizados conforme a las polticas internacionalmente aceptadas.
MARCO NORMATIVO
Amutio (2007)
ISO/IEC JTC1/SC27
GT1: requisitos, servicios de seguridad y guas. Identificacin de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestin de seguridad de la informacin. GT2: mecanismos y tcnicas de seguridad. Mecanismos relacionados con la autenticacin, el control de acceso, la confidencialidad, el no repudio, la gestin de claves y la integridad de los datos; as como de tcnicas criptogrficas o no criptogrficas. GT3: criterios de evaluacin de la seguridad. Evaluacin de la seguridad de los productos y sistemas de tecnologas de la informacin. Se distinguen fundamentalmente los criterios de evaluacin de la seguridad y la metodologa para la aplicacin de los citados criterios.
MARCO NORMATIVO
MARCO NORMATIVO
Amutio (2007)
MARCO NORMATIVO
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Espaol: AENOR
MARCO NORMATIVO
NORMAS MS RELEVANTES UNE 71501 (IS 13335), guas para la gestin de la seguridad de las TI IS 15408, criterios comunes para la evaluacin de la seguridad de las TI
Serie 27000
ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM)
MARCO NORMATIVO
MARCO NORMATIVO
Baon (2003) Regula la evaluacin objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de informacin. Supone:
Un acuerdo internacional sobre los requisitos exigibles al
mtodo de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificacin del trabajo de los evaluadores en cada nivel Un catlogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje comn para la expresin de la seguridad de los productos
MARCO NORMATIVO
IS 15408
MARCO NORMATIVO
MARCO NORMATIVO
Estado de situacin En proyecto: Information security management fundamentals and vocabulary. ISO/IEC IS 27001:2005 Information technology Security techniques - Information security management systems. Norma disponible desde el 14 de octubre de 2005. ISO/IEC IS 17799:2005 Information technology Security techniques Code of practice for information security management. Norma disponible desde el 10 de junio de 2005. La numeracin '27002' entra en vigor en abril de 2007. En proyecto: Information security management system implementation guidance. En proyecto: Information technology Security techniques - Information security management measurements. En proyecto: Information Security Risk Management. En proyecto: Requirements for the accreditation of bodies providing certification of information security management systems. En reserva. En reserva. En reserva.
MARCO NORMATIVO
reas Riesgos Poltica Organizacin de la seguridad de la informacin Gestin de activos Recursos humanos Entorno fsico Communicaciones y gestin de explotacin Control de acceso Adquisicin y mantenimiento Gestin de incidents Gestin de la continuidad Conformidad
Proyectos, normas e informes tcnicos 27005 27000, 27001, 17799 27001, 17799 27005, 15816 18028-1, 18028-2, 18028-3, 18028-4, 18028-5 14516, 15816, 15945 15945 15947, 18043, 18044 24762 13335-2
MARCO NORMATIVO
ISO 27001
(Garca, 2007)
MARCO NORMATIVO
ISO 27001
(Garca, 2007)
Ante los clientes: Fidelizacin y captacin de nuevos clientes gracias a la garanta que se ofrece en la prestacin de servicios Se mejora la comunicacin con el cliente Mayor confianza al cliente (empresas, particulares, etc) Aumento de la satisfaccin del cliente (empresas, particulares, etc)
Ante la gestin de la organizacin: Conocimiento y depuracin de los procesos internos Mejora de los procesos y de los servicios prestados Ahorro de tiempo y de recursos necesarios Mejor gestin de los recursos Estmulo para entrar en un proceso de mejora continua
MARCO NORMATIVO
Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas
MARCO NORMATIVO
MARCO NORMATIVO
- identificar los diferentes tratamientos del riesgo - seleccionar los controles y objetivos de los mismos que posibilitarn dicho tratamiento.
MARCO NORMATIVO
MARCO NORMATIVO
MARCO NORMATIVO
ISO 27004
(Llaneza, 2007) El Proyecto de Norma 27004 contiene tcnicas para medir el comportamiento de los controles implantados en atencin a un anlisis de riesgos previo Objetivos del proceso de medida:
Evaluar la eficacia de la implantacin de los controles de seguridad. Evaluar la eficacia del sistema de gestin de seguridad de la informacin incluyendo la mejora continua. Proporcionar un estado de seguridad para dirigir la revisin de la gestin, facilitar las mejoras de la seguridad y contribuir a auditoras de seguridad. Comunicar el valor de la seguridad a la organizacin. Servir como aportacin al plan de tratamiento de riesgos y de evaluacin de riesgos.
MARCO NORMATIVO
SGSI
Objetivo de Control Efectividad
Resultado
Control
Implementacin
Medida Derivada
Funcin de Medicin Entidad atributo atributo atributo Mtodo de Medida Medida Base
MARCO NORMATIVO
Prepararse para las medidas Requisitos de negocio Poltica de Seguridad Gestin de Riesgo Seleccin de Control
Plan
Establecer SGSI
Partes Interesadas Do
Implementar y Manejar el SGSI Mantener y Mejorar el SGSI
Check
Informacin de Requisitos de Seguridad y Expectativas Definir Medidas - Identificar los requisitos de negocio para medir e informar - Determinar las medidas de efectividad requeridas para los controles elegidos
Recoger y analizar datos - Medidas de control - Conciencia Evaluar e informar de los resultados - Supervisar - Auditar - Medir
MARCO NORMATIVO
Los requisitos de los stakeholders. La poltica de seguridad de la informacin de la organizacin. La informacin necesaria para satisfacer los requisitos legales, regulatorios y contractuales. La relacin coste-beneficio del rendimiento de cada control individual u objetivo de control.
Seleccionar los controles y objetivos de control especficos a incluir en el programa de medicin segn las prioridades identificadas.
MARCO NORMATIVO
Mtodos de medicin
Auditoras internas o externas. Evaluacin de riesgos y anlisis de riesgos. Cuestionarios y preguntas. Utilizacin del registro de acontecimientos. Produccin de registros, informes y pistas de auditora. Informes de incidentes Muestras estadsticas. Pruebas.
MARCO NORMATIVO
Participantes o stakeholders involucrados en cada medida, El propietario de la informacin y medida El cliente El recolector El comunicador El revisor
MARCO NORMATIVO
MARCO NORMATIVO
ISO 17799/27002
(Prats, 2007) La norma ISO 17799 es un conjunto de recomendaciones sobre qu medidas tomar en la empresa para asegurar los Sistemas de Informacin. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin del riesgo analizado.
MARCO NORMATIVO
MARCO NORMATIVO
Establecer criterios formales para clasificar el riesgo. Establecer una clasificacin de riesgos y aprobar por la direccin las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la direccin. Tener en cuenta principios de proporcionalidad en la seleccin de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia.
MARCO NORMATIVO
POLTICA DE SEGURIDAD
Documento
MARCO NORMATIVO
ORGANIZACIN DE LA SEGURIDAD
Organizacin interna
Comisin de gestin para la Seguridad de la Informacin. Coordinacin de la Seguridad de la Informacin. Asignacin de responsabilidades sobre Seguridad de la Informacin. Proceso de autorizacin de recursos para el tratamiento de la informacin. Acuerdos de confidencialidad. Contactos con autoridades. Contactos con grupos de inters. Revisin Independiente de la Seguridad de la Informacin.
MARCO NORMATIVO
ORGANIZACIN DE LA SEGURIDAD
Partes externas Identificacin de riesgos relacionados con terceros. Seguridad en las relaciones con clientes.
MARCO NORMATIVO
GESTIN DE ACTIVOS
Responsabilidad de los activos Inventario de activos. Propiedad de los activos. Uso aceptable de activos de informacin
MARCO NORMATIVO
GESTIN DE ACTIVOS
Clasificacin de la informacin
Guas de clasificacin.
Marcado y tratamiento de la informacin.
MARCO NORMATIVO
RECURSOS HUMANOS
Antes de la contratacin
Perfiles y responsabilidad Revisin y verificacin Trminos y condiciones de la relacin laboral
Durante la contratacin
Gestin de responsabilidades Educacin y capacitacin en seguridad de la informacin Procesos disciplinarios
MARCO NORMATIVO
SEGURIDAD FSICA
reas seguras
MARCO NORMATIVO
SEGURIDAD FSICA
Seguridad de los equipos
Mantenimiento de equipos
Seguridad de equipos fuera de los locales de la Organizacin
MARCO NORMATIVO
Segregacin de tareas
Separacin de entornos de desarrollo, pruebas y operacin
MARCO NORMATIVO
Prestacin de servicios
Monitorizacin y revisin de servicios de terceras partes Gestin de cambios
MARCO NORMATIVO
Copias de seguridad
Copia de la informacin
MARCO NORMATIVO
Gestin de soportes
Gestin de soportes removibles Eliminacin de soportes Procedimientos de utilizacin de la informacin Seguridad de la documentacin de sistemas
MARCO NORMATIVO
MARCO NORMATIVO
Registros de auditora
Revisin de uso de sistemas Proteccin de logs Logs de administradores y operadores Logs de fallo del sistema Sincronizacin de relojes
MARCO NORMATIVO
CONTROL DE ACCESO
Requerimientos del negocio para el control de accesos Poltica de control de accesos
Registro de usuarios Gestin de privilegios Gestin de contraseas de usuario Revisin de los derechos de acceso de los usuarios
MARCO NORMATIVO
CONTROL DE ACCESO
Responsabilidades de los usuarios
Uso de contraseas Equipamiento informtico de usuario desatendido Poltica de pantallas y mesas limpias
MARCO NORMATIVO
CONTROL DE ACCESO
Control de accesos al sistema operativo
Procedimientos de log-on seguro Identificacin y autenticacin de los usuarios Sistema de gestin de contraseas Utilizacin de utilidades del sistema Timeout de sesiones
MARCO NORMATIVO
CONTROL DE ACCESO
Porttiles y teletrabajo
MARCO NORMATIVO
Procesamiento correcto de aplicaciones Validacin de los datos de entrada Control de proceso interno Integridad de mensajes Validacin de los datos de salida
MARCO NORMATIVO
Seguridad de los ficheros del sistema Control del software en explotacin Proteccin de los datos de prueba del sistema Control de acceso al cdigo fuente
MARCO NORMATIVO
MARCO NORMATIVO
MARCO NORMATIVO
MARCO NORMATIVO
CONFORMIDAD LEGAL
Cumplimiento de los requerimientos de seguridad
Identificacin de la legislacin aplicable Derechos de propiedad intelectual Salvaguarda de los registros de la organizacin Proteccin de datos de carcter personal y de la intimidad de las personas Evitar el mal uso de los recursos de tratamiento de informacin Reglamentacin de los controles de cifrado
MARCO NORMATIVO
CONFORMIDAD LEGAL
Conformidad con polticas, estndares y cumplimiento tcnico Controles de auditora de sistemas de informacin Proteccin de las herramientas de auditora de sistemas de informacin
MARCO NORMATIVO
ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM)
MARCO NORMATIVO
SCOPE
MARCO NORMATIVO
SYSTEMS SECURITY ENGINEERING PROCESS AREAS PA01 Administer Security Controls PA02 Assess Impact PA03 Assess Security Risk PA04 Assess Threat PA05 Assess Vulnerability PA06 Build Assurance Argument PA07 Coordinate Security PA08 Monitor Security Posture PA09 Provide Security Input PA10 Specify Security Needs PA11 Verify and Validate Security
MARCO NORMATIVO
PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES PA12 Ensure Quality PA13 Manage Configuration PA14 Manage Project Risk PA15 Monitor and Control Technical Effort PA16 Plan Technical Effort PA17 Define Organizations Systems Engineering Process PA18 Improve Organizations Systems Engineering Process PA19 Manage Product Line Evolution PA20 Manage Systems Engineering Support Environment PA21 Provide Ongoing Skills and Knowledge PA22 Coordinate with Suppliers
MARCO NORMATIVO
Level 1
1.1 Base Practices are Performed
Level 2
2.1 Planning Performance 2.2 Disciplined Performance 2.3 Verifying Performance 2.4 Tracking Performance
Level 3
3.1 Defining a Standard Process 3.2 Perform the Defined Process 3.3 Coordinate the Process
Level 4
4.1 Establishing Measurable Quality Goals 4.2 Objectively Managing Performance
Level 5
5.1 Improving Organizational Capability 5.2 Improving Process Effectiveness