ESTANDARES DE SEGURIDAD

INFORMATICA ACIS J unio - 2002

EL MODELO ES LA BASE
Por: Fernando Jaramillo A.
2
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera


Entendiendo un Modelo de Soluciones
de Seguridad en Informtica
Estrategia

Cumplimiento
Regulaciones
Reducir Riesgos
Reducir Costos
Administrativos
Mejorar Eficiencia
de Procesos
Asegurar Propiedad
Intelectual
Asegurar
Informacin
Cliente
Defenderse Contra
Dsiputas Legales
Retorno de la
Inversin
Poltica

Cumplimiento
Regulaciones
Reducir Riesgos
Limitar Exposicin
Legal
Cumplimiento
Personas
Observancia y
Recurso
Reglas Claras
Consecuencias
Claras
Lnea Base Para
Reglamento
Arquitectura

Mejorar Eficiencia
de Procesos
Reducir Costos
Administrativos
Costo de Propiedad
Uso de las
Tecnologas
Cumplimiento
Estndares
Administracin
Integrada
Proceso de
Actualizacin y
Soporte
Retorno de la
Inversin
Diseo

Rendimiento
Importancia Tcnica
Cumplimiento
Estndares
Herramientas
Integradas
Licenciamiento
Uso de las
Tecnologas
Proceso de
Actualizacin y
Soporte
Facilidad de Uso
Escalabilidad
Flexibilidad
Soporte Multi-
Plataforma
Implementacin

Rendimiento
Importancia
Tcnica
Cumplimiento
Estndares
Herramientas
Integradas
Uso de las
Tecnologas
Proceso de
Actualizacin y
Soporte
Facilidad de Uso
Escalabilidad
Flexibilidad
Costo
Licenciamiento
Negocio Tcnico
3
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Voces de la Industria

Muchas compaas de tecnologa de informacin han
desarrollado tecnologas para manejar los retos de los negocios.
Sin embargo, muchas de esas tecnologas slo atienden
necesidades especficas dentro de todo el ambiente de seguridad
de la informacin. Pocas compaas tienen desarrolladas
tecnologas para integrar, fcilmente, con otras tecnologaspara
ayudar a proveer un ms uniforme, ms controlado y, por tanto,
ms seguro ambiente operativo.

Especialista en Seguridad, PricewaterhouseCoopers
4
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Estndares
Clasificacin de Activos
y su Control
Personal de Seguridad
Seguridad Fsica y
Ambiental
Administracin y Operacin de
Comunicaciones
Control de Acceso
Desarrollo y Mantenimiento de
Sistemas
Contingencia Business Continuity
Compliance Cumplimiento de
Aspectos Legales, Tcnicos y
Auditora
El Modelo es la Aplicacin de Estndares
Polticas de Seguridad y
Seguridad
Organizacional
5
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Riesgos: Son aquellos que pueden amenazar el logro del objetivo del
proceso. (Amenaza, debilidad, sntoma de rendimiento deficiente,
oportunidad de mejoramiento)

Controles: Son polticas y procedimientos, implantados o no, que
proporcionan la seguridad de que los riesgos de negocio han sido
reducidos a un nivel aceptable.
Riesgos y Controles de Procesos
RIESGOS CONTROLES
Para identificar los
riesgos se clasifican
en:
De negocio
Financieros
Operativos
De cumplimiento
Fraude

Para identificar los
controles se clasifican en:
Informtica
Atribuciones
Procedimientos
Documentacin
Sistema de informacin
gerencial
ACTIVIDAD
6
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Probabilidad e Impacto del Riesgo (C)
1 2 3
3
2
1
IMPACTO EN LA
ORGANIZACION

PROBABILIDAD DE
OCURRENCIA (P.O)


1 Es poco probable que ocurra
2 Es medianamente probable
que ocurra
3 Es altamente probable que
ocurra


1 Sera de bajo impacto
2 Sera de mediano
impacto
3 Sera de alto impacto

IMPACTO EN LA
ORGANIZACIN (I)
P
R
O
B
A
B
I
L
I
D
A
D
CALIFICACION DEL RIESGO
Alto
3
Medio
2
Bajo
1
Riesgo Remanente (R)
SITUACION ACTUAL (SA)
DEL CONTROL INTERNO

1 Cubre en gran parte el riesgo
2 Cubre medianamente el riesgo
3 No existe ningn tipo de medida
SITUACION ACTUAL-
CONTROL INTERNO
1 2 3
9
6
3
C
R
I
T
I
C
I
D
A
D
D
E
L

R
I
E
S
G
O
Matriz de Evaluacin de Riesgos
7
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
El Estndar de Seguridad - ISO 17799
El estndar de seguridad ISO 17799 fue preparado por la British
Standard Institution (con el nombre de BS 7799) y fue adoptado por
el comit tcnico de la ISO en Diciembre del ao 2000.

El estndar hace referencia a diez aspectos primordiales para la
seguridad informtica.

Estos aspectos son: Planes de Contingencia, Control de Acceso a
los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad
Fsica, Cumplimiento, Seguridad Personal, Seguridad de la
Organizacin, Administracin de Operaciones, Control y
Clasificacin de la Informacin y Polticas de Seguridad.
8
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - Polticas
Polticas de Seguridad y
Seguridad
Organizacional
Polticas de Seguridad:
Documento de la Poltica de Seguridad
Revisin y Evaluacin

Seguridad Organizacional
Infraestructura
Ente colegiado de Seguridad Informtica
Coordinacin de Seguridad Informtica
Nombramiento de Responsables de SI
Proceso de autorizacin para oficinas de SI
Personal especializado en SI
Cooperacin entre Organizaciones
Revisin independiente de SI
Seguridad de Ingreso a Terceros
Identificacin de riesgos por Ingreso de 3ros
Requisitos en Contratos con 3ros
Outsourcing
Requisitos en Contratos de Outsourcing





9
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Clasificacin de Activos
Responsabilidad por Activos
Inventario de Activos

Clasificacin de Informacin
Guas de Clasificacin.
Manipulacin y marcacin de Informacin




Clasificacin de Activos
y su Control
10
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - Personal
Definicin de Roles y Perfiles
Incluir la Seguridad en la responsabilidad de roles
Poltica de perfiles en funciones y cargos
Acuerdos de confidencialidad
Trminos y condiciones del contrato de trabajo

Entrenamiento de Usuarios
Entrenamiento y Educacin en SI

Respuesta a Incidentes de
Seguridad y Malfuncionamiento

Reportes de Iincidentes de Seguridad
Debilidades de reportes de Seguridad
Reportes de Malfuncionamiento de software
Aprendiendo de los incidentes
Proceso Disciplinario





Personal de Seguridad
11
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Seguridad Fsica
Areas Seguras
Permetro de Seguridad Fsica
Controles de entrada fsica
Oficinas de Seguridad
Trabajo en reas seguras
Areas aisladas de cargue y descargue

Equipos de Seguridad
Ubicacin y protecin de Equipos
Suministros de potencia
Cableados de seguridad
Mantenimiento de equipos
Seguridad de equipos premisas de apagado
Reuso o desecho de equipos

Controles Generales

Poltica de limpieza de escritorios y pantallas
Manipulacin de Propiedad


Seguridad Fsica y
Ambiental
12
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Administracin
Procedimientos de Operaciones
Procedimientos de operacin documentados
Control de cambio de operaciones
Procedimientos de administracin de incidentes
Segregacin de obligaciones
Separacin de reas de desarrollo y operaciones
Administracin de instalaciones externas
Planeacin de Sistemas
Capacity Planning Planeamiento de capacidades
Aceptacin del sistema
Proteccin de Software Malicioso
Control de software malicioso
Housekeeping Mantenimiento
Back Ups de Informacin
Logs de Operacin
Fallas de Logging
Administracin de Red
Controles de red


Administracin de Operacines y
Comunicaciones
13
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - Administracin
Manipulacin de Medios y
Seguridad
Administracin de medios removibles
Deshecho de medios
Procedimientos de administracin de informacin
Seguridad de la documentacin del sistema
obligaciones
Separacin de reas de desarrollo y operaciones
Administracin de instalaciones externas

Intercambio de Informacin y de
Software
Acuerdos de intercambio de software e informacin
Seguridad de medios en trnsito
Seguridad de Comercio Electrnico
Seguridad de Correo Electrnico
Seguridad de sistemas de oficina electrnicos
Disponibilidad pblica de sistemas
Otras formas de intercambio de informacin

Administracin de Operacines y
Comunicaciones
14
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - Control de Acceso
Requerimientos de Negocios
para Control de Acceso
Polticas de Control de Acceso


Administracin de Acceso de
Usuarios
Registro de Usuarios
Administrracin de privilegios
Administracin de Constraseas
Revisin de derechos de acceso de usuarios


Responsabilidad de Usuarios
Utilizacin de contraseas
Equipo de usuarios desatendidos

Control de Acceso
15
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Control de Acceso
Control de Acceso a Red
Polticas de uso de servicios de red
Acceso reforzado
Autenticacin de usuarios en conexin externa
Autenticacin de nodos
Diagnstico Remoto de Proteccin de Puertos
Segregacin en redes
Control de Conexin de Redes
Control de Enrutamiento de Redes
Seguridad de servicios de red

Control de acceso a Sistemas
Operativos
Identificacin automtica de terminales
Procedimientos de Log-on a Terminales
Identificacin y autenticacin de usuarios
Sistema de administracin de contraseas
Uso de utilidades del sistema
Alarma para usuarios de seguridad
Terminal Time-out Lmites de tiempo a estaciones

Control de Acceso
16
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Control de Acceso
Control de Acceso de
Aplicaciones
Restriccin de Acceso a informacin
Aislamiento de sistemas sensitivos

Monitoreo de Uso y Acceso a
Sistemas
Loggin por eventos
Identificacin automtica de terminales
Monitoreo de uso del sistema
Sincronizacin de reloj

Computacin Mvil y Teletrabajo
Computacin Mvil
Teletrabajo
Control de Acceso
17
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Desarrollo y Mantenimiento
Requerimientos de Seguridad de
Sistemas
Rquerimientos, Anlisis y Especificaciones de Seguridad

Seguridad en Aplicaciones
Validacin de ingreso de datos
Control de procesamiento
Autenticacin de mensajes
Validacin de salida de datos

Controles de Encripcin
Poltica de uso de controles de encripcin
Encripcin
Firmas digitales
Servicios de No repudiacin
Administracin de claves PKI
Desarrollo y Mantenimiento de
Sistemas
18
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Desarrollo y Mantenimiento


Seguridad de Archivos
Control de Sistemas Operativos
Proteccin de Datos
Control de acceso a librera de programas


Seguridad en Procesos de
Desarrollo y Soporte
Procesos de control de cambios
Revisin tcnica al cambio de S.O.
Restricciones en cambios de paquetes de software
Canales y cdigo Trojan
Desarrollo de software en ousorcing

Desarrollo y Mantenimiento de
Sistemas
19
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - Contingencia


Administracin de la
Contingencia o Business
Continuity Management

Procesos de Administracin de Contingencia
Contingencia y Anlisis de Impacto
Escritura e Implementacin de Planes de Contingencia
Marco de planeacin de la Contingencia
Chequeo, Mantenimiento y Reasignacin de Planes de
Contingencia
Contingencia Business Continuity
20
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - Cumplimiento
Cuplimiento de Aspectos
Legales
Identificacin de la legislacin aplicable
Derechos de Propiedad Intelectual
Salvaguarda de Registros Organizacionales
Proteccin de Datos y privacidad de informacin
personal
Prevencin de ingreso a Edificios de procesos de
Informacin
Regulacin de controles de encripcin
Obtencin de evidencias
Revisin de la Poltica de
Seguridad y su Cumplimiento
Tcnico
Cumplimiento de la poltica de seguridad
Chequeo de cumplimiento tcnico
Cosideraciones de Auditora
Controles de auditora de sistemas
Proteccin de las herramientas de auditora
Compliance Cumplimiento de
Aspectos Legales, Tcnicos y
Auditora
21
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Estndares de Seguridad - BS7799 / ISO 17799
OUTSOURCING :
Objetivo: Mantener la seguridad de la informacin cuando la
responsabilidad del procesamiento esta en manos de otra
organizacin.

Las negociaciones de outsourcing deben tener definidos claramente
en los contratos suscritos, los riesgos, los controles de seguridad y
los procedimientos para los sistemas de informacin que se
encuentren dentro de los procesos que estarn en manos de la
organizacin proveedora del outsourcing.
22
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Estndares de Seguridad - BS7799 / ISO 17799
SEGURIDAD EN CONEXIONES CON TERCEROS:
Objetivo: Mantener la seguridad de la informacin de la organizacin
que es accesada por terceros.

El acceso a la informacin de la organizacin por parte de terceros
debe ser controlado.
Se debe hacer un anlisis de riesgos para determinar las
implicaciones en seguridad y los requerimientos de control. Los
controles que se definan deben ser definidos en el contrato que se
firme con el tercero.

23
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Estndares de Seguridad - BS7799 / ISO 17799
POLITICA DE SEGURIDAD INFORMATICA:
Objetivo: Proveer directrices a la administracin y soporte para la
seguridad de la informacin.

La administracin debe ser capaz de definir la direccin de las
polticas de Seguridad de la informacin. Adems debe establecer
un claro y firme compromiso con estas polticas y divulgarlas a
travs de toda la organizacin.
24
ACIS 2002 Estndares de Seguridad Informtica
Fernando Jaramillo Aguilera
Estndares de Seguridad BS7799 / ISO 17799
POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE
UN ESTANDAR DE SEGURIDAD?

Certificaciones ISO.
Si la empresa est sometida a un proceso de compra/venta, alianza
estratgica o hace parte de una cadena de valor B2B.
Renegociacin de primas y reaseguros.

PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.