EL MODELO ES LA BASE Por: Fernando Jaramillo A. 2 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera
Entendiendo un Modelo de Soluciones de Seguridad en Informtica Estrategia
Cumplimiento Regulaciones Reducir Riesgos Reducir Costos Administrativos Mejorar Eficiencia de Procesos Asegurar Propiedad Intelectual Asegurar Informacin Cliente Defenderse Contra Dsiputas Legales Retorno de la Inversin Poltica
Cumplimiento Regulaciones Reducir Riesgos Limitar Exposicin Legal Cumplimiento Personas Observancia y Recurso Reglas Claras Consecuencias Claras Lnea Base Para Reglamento Arquitectura
Mejorar Eficiencia de Procesos Reducir Costos Administrativos Costo de Propiedad Uso de las Tecnologas Cumplimiento Estndares Administracin Integrada Proceso de Actualizacin y Soporte Retorno de la Inversin Diseo
Rendimiento Importancia Tcnica Cumplimiento Estndares Herramientas Integradas Licenciamiento Uso de las Tecnologas Proceso de Actualizacin y Soporte Facilidad de Uso Escalabilidad Flexibilidad Soporte Multi- Plataforma Implementacin
Rendimiento Importancia Tcnica Cumplimiento Estndares Herramientas Integradas Uso de las Tecnologas Proceso de Actualizacin y Soporte Facilidad de Uso Escalabilidad Flexibilidad Costo Licenciamiento Negocio Tcnico 3 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Voces de la Industria
Muchas compaas de tecnologa de informacin han desarrollado tecnologas para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologas slo atienden necesidades especficas dentro de todo el ambiente de seguridad de la informacin. Pocas compaas tienen desarrolladas tecnologas para integrar, fcilmente, con otras tecnologaspara ayudar a proveer un ms uniforme, ms controlado y, por tanto, ms seguro ambiente operativo.
Especialista en Seguridad, PricewaterhouseCoopers 4 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Estndares Clasificacin de Activos y su Control Personal de Seguridad Seguridad Fsica y Ambiental Administracin y Operacin de Comunicaciones Control de Acceso Desarrollo y Mantenimiento de Sistemas Contingencia Business Continuity Compliance Cumplimiento de Aspectos Legales, Tcnicos y Auditora El Modelo es la Aplicacin de Estndares Polticas de Seguridad y Seguridad Organizacional 5 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, sntoma de rendimiento deficiente, oportunidad de mejoramiento)
Controles: Son polticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable. Riesgos y Controles de Procesos RIESGOS CONTROLES Para identificar los riesgos se clasifican en: De negocio Financieros Operativos De cumplimiento Fraude
Para identificar los controles se clasifican en: Informtica Atribuciones Procedimientos Documentacin Sistema de informacin gerencial ACTIVIDAD 6 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Probabilidad e Impacto del Riesgo (C) 1 2 3 3 2 1 IMPACTO EN LA ORGANIZACION
PROBABILIDAD DE OCURRENCIA (P.O)
1 Es poco probable que ocurra 2 Es medianamente probable que ocurra 3 Es altamente probable que ocurra
1 Sera de bajo impacto 2 Sera de mediano impacto 3 Sera de alto impacto
IMPACTO EN LA ORGANIZACIN (I) P R O B A B I L I D A D CALIFICACION DEL RIESGO Alto 3 Medio 2 Bajo 1 Riesgo Remanente (R) SITUACION ACTUAL (SA) DEL CONTROL INTERNO
1 Cubre en gran parte el riesgo 2 Cubre medianamente el riesgo 3 No existe ningn tipo de medida SITUACION ACTUAL- CONTROL INTERNO 1 2 3 9 6 3 C R I T I C I D A D D E L
R I E S G O Matriz de Evaluacin de Riesgos 7 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera El Estndar de Seguridad - ISO 17799 El estndar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comit tcnico de la ISO en Diciembre del ao 2000.
El estndar hace referencia a diez aspectos primordiales para la seguridad informtica.
Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Fsica, Cumplimiento, Seguridad Personal, Seguridad de la Organizacin, Administracin de Operaciones, Control y Clasificacin de la Informacin y Polticas de Seguridad. 8 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 - Polticas Polticas de Seguridad y Seguridad Organizacional Polticas de Seguridad: Documento de la Poltica de Seguridad Revisin y Evaluacin
Seguridad Organizacional Infraestructura Ente colegiado de Seguridad Informtica Coordinacin de Seguridad Informtica Nombramiento de Responsables de SI Proceso de autorizacin para oficinas de SI Personal especializado en SI Cooperacin entre Organizaciones Revisin independiente de SI Seguridad de Ingreso a Terceros Identificacin de riesgos por Ingreso de 3ros Requisitos en Contratos con 3ros Outsourcing Requisitos en Contratos de Outsourcing
9 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 Clasificacin de Activos Responsabilidad por Activos Inventario de Activos
Clasificacin de Informacin Guas de Clasificacin. Manipulacin y marcacin de Informacin
Clasificacin de Activos y su Control 10 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 - Personal Definicin de Roles y Perfiles Incluir la Seguridad en la responsabilidad de roles Poltica de perfiles en funciones y cargos Acuerdos de confidencialidad Trminos y condiciones del contrato de trabajo
Entrenamiento de Usuarios Entrenamiento y Educacin en SI
Respuesta a Incidentes de Seguridad y Malfuncionamiento
Reportes de Iincidentes de Seguridad Debilidades de reportes de Seguridad Reportes de Malfuncionamiento de software Aprendiendo de los incidentes Proceso Disciplinario
Personal de Seguridad 11 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 Seguridad Fsica Areas Seguras Permetro de Seguridad Fsica Controles de entrada fsica Oficinas de Seguridad Trabajo en reas seguras Areas aisladas de cargue y descargue
Equipos de Seguridad Ubicacin y protecin de Equipos Suministros de potencia Cableados de seguridad Mantenimiento de equipos Seguridad de equipos premisas de apagado Reuso o desecho de equipos
Controles Generales
Poltica de limpieza de escritorios y pantallas Manipulacin de Propiedad
Seguridad Fsica y Ambiental 12 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 Administracin Procedimientos de Operaciones Procedimientos de operacin documentados Control de cambio de operaciones Procedimientos de administracin de incidentes Segregacin de obligaciones Separacin de reas de desarrollo y operaciones Administracin de instalaciones externas Planeacin de Sistemas Capacity Planning Planeamiento de capacidades Aceptacin del sistema Proteccin de Software Malicioso Control de software malicioso Housekeeping Mantenimiento Back Ups de Informacin Logs de Operacin Fallas de Logging Administracin de Red Controles de red
Administracin de Operacines y Comunicaciones 13 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 - Administracin Manipulacin de Medios y Seguridad Administracin de medios removibles Deshecho de medios Procedimientos de administracin de informacin Seguridad de la documentacin del sistema obligaciones Separacin de reas de desarrollo y operaciones Administracin de instalaciones externas
Intercambio de Informacin y de Software Acuerdos de intercambio de software e informacin Seguridad de medios en trnsito Seguridad de Comercio Electrnico Seguridad de Correo Electrnico Seguridad de sistemas de oficina electrnicos Disponibilidad pblica de sistemas Otras formas de intercambio de informacin
Administracin de Operacines y Comunicaciones 14 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 - Control de Acceso Requerimientos de Negocios para Control de Acceso Polticas de Control de Acceso
Administracin de Acceso de Usuarios Registro de Usuarios Administrracin de privilegios Administracin de Constraseas Revisin de derechos de acceso de usuarios
Responsabilidad de Usuarios Utilizacin de contraseas Equipo de usuarios desatendidos
Control de Acceso 15 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 Control de Acceso Control de Acceso a Red Polticas de uso de servicios de red Acceso reforzado Autenticacin de usuarios en conexin externa Autenticacin de nodos Diagnstico Remoto de Proteccin de Puertos Segregacin en redes Control de Conexin de Redes Control de Enrutamiento de Redes Seguridad de servicios de red
Control de acceso a Sistemas Operativos Identificacin automtica de terminales Procedimientos de Log-on a Terminales Identificacin y autenticacin de usuarios Sistema de administracin de contraseas Uso de utilidades del sistema Alarma para usuarios de seguridad Terminal Time-out Lmites de tiempo a estaciones
Control de Acceso 16 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 Control de Acceso Control de Acceso de Aplicaciones Restriccin de Acceso a informacin Aislamiento de sistemas sensitivos
Monitoreo de Uso y Acceso a Sistemas Loggin por eventos Identificacin automtica de terminales Monitoreo de uso del sistema Sincronizacin de reloj
Computacin Mvil y Teletrabajo Computacin Mvil Teletrabajo Control de Acceso 17 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 Desarrollo y Mantenimiento Requerimientos de Seguridad de Sistemas Rquerimientos, Anlisis y Especificaciones de Seguridad
Seguridad en Aplicaciones Validacin de ingreso de datos Control de procesamiento Autenticacin de mensajes Validacin de salida de datos
Controles de Encripcin Poltica de uso de controles de encripcin Encripcin Firmas digitales Servicios de No repudiacin Administracin de claves PKI Desarrollo y Mantenimiento de Sistemas 18 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 Desarrollo y Mantenimiento
Seguridad de Archivos Control de Sistemas Operativos Proteccin de Datos Control de acceso a librera de programas
Seguridad en Procesos de Desarrollo y Soporte Procesos de control de cambios Revisin tcnica al cambio de S.O. Restricciones en cambios de paquetes de software Canales y cdigo Trojan Desarrollo de software en ousorcing
Desarrollo y Mantenimiento de Sistemas 19 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 - Contingencia
Administracin de la Contingencia o Business Continuity Management
Procesos de Administracin de Contingencia Contingencia y Anlisis de Impacto Escritura e Implementacin de Planes de Contingencia Marco de planeacin de la Contingencia Chequeo, Mantenimiento y Reasignacin de Planes de Contingencia Contingencia Business Continuity 20 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera ESTANDAR ISO 17799 - Cumplimiento Cuplimiento de Aspectos Legales Identificacin de la legislacin aplicable Derechos de Propiedad Intelectual Salvaguarda de Registros Organizacionales Proteccin de Datos y privacidad de informacin personal Prevencin de ingreso a Edificios de procesos de Informacin Regulacin de controles de encripcin Obtencin de evidencias Revisin de la Poltica de Seguridad y su Cumplimiento Tcnico Cumplimiento de la poltica de seguridad Chequeo de cumplimiento tcnico Cosideraciones de Auditora Controles de auditora de sistemas Proteccin de las herramientas de auditora Compliance Cumplimiento de Aspectos Legales, Tcnicos y Auditora 21 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Estndares de Seguridad - BS7799 / ISO 17799 OUTSOURCING : Objetivo: Mantener la seguridad de la informacin cuando la responsabilidad del procesamiento esta en manos de otra organizacin.
Las negociaciones de outsourcing deben tener definidos claramente en los contratos suscritos, los riesgos, los controles de seguridad y los procedimientos para los sistemas de informacin que se encuentren dentro de los procesos que estarn en manos de la organizacin proveedora del outsourcing. 22 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Estndares de Seguridad - BS7799 / ISO 17799 SEGURIDAD EN CONEXIONES CON TERCEROS: Objetivo: Mantener la seguridad de la informacin de la organizacin que es accesada por terceros.
El acceso a la informacin de la organizacin por parte de terceros debe ser controlado. Se debe hacer un anlisis de riesgos para determinar las implicaciones en seguridad y los requerimientos de control. Los controles que se definan deben ser definidos en el contrato que se firme con el tercero.
23 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Estndares de Seguridad - BS7799 / ISO 17799 POLITICA DE SEGURIDAD INFORMATICA: Objetivo: Proveer directrices a la administracin y soporte para la seguridad de la informacin.
La administracin debe ser capaz de definir la direccin de las polticas de Seguridad de la informacin. Adems debe establecer un claro y firme compromiso con estas polticas y divulgarlas a travs de toda la organizacin. 24 ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera Estndares de Seguridad BS7799 / ISO 17799 POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UN ESTANDAR DE SEGURIDAD?
Certificaciones ISO. Si la empresa est sometida a un proceso de compra/venta, alianza estratgica o hace parte de una cadena de valor B2B. Renegociacin de primas y reaseguros.
PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.