Escuela Técnica Superior de Informática

Universidad Nacional de Educación a Distancia

|
  
      
  
  

            
  

  
  | 

 

     30/11/07

 £

I Introducción
II Concienciación en la Seguridad de la Información
III Estado del Arte
IV Normalización de la Seguridad TIC
V Legislación y Normativa Española
VI Medidas, Métricas y Auditorías
VII Modelo de Madurez de la Seguridad
de un Sistema Informático
VIII Conclusiones
IX Líneas Futuras
Glosario de Términos y Lista de Acrónimos
Apéndices
Bibliografía
!
 "#  $%
Estado del Arte en materia de seguridad. Auditoría
Antecedentes en Seguridad de la Información:
*Arotegernos contra ataques internos/externos

*Aroteger nuestro Know-how, Knowledge

Actualmente, son muchas las auditorías informáticas a las

empresas están sometidas regularmente, tanto internas como
externas, en línea con:
*Evaluación y Administración de Riesgos Tecnológicos

*Seguridad Informática

*Mejora de Arocesos

*Análisis de Fraude Informático«

 Œ


 "#  $%

Estado del Arte en materia de seguridad. Auditoría (II)
èas conclusiones, de estas auditorías, se resumen en una enumeración
de aspectos positivos y recomendaciones de mejora, sin llegar a evaluar
nuestro sistema
informático.

Aor ejemplo:
Acotando el sistema
dentro de los niveles
de madurez sugeridos
por el CMMI

] Œ


 "#  $%

m
etivos del Proyecto
Creación de un modelo, ³Modelo de Madurez
de la Seguridad de un Sistema Informático´,
en línea con los objetivos generales de la
compañía:

V Œ


 "#  $&%

È ué áreas queremos cu rir dentro de las TI?

± Œ


 "#  $&%

È ué ESTÁNDARES nos ayudarán a cu rir las áreas TI?
ÈDónde enca
a nuestro Modelo SMMIS (o
eto del proyecto)?

h Œ


 "#  $&%

Recomendaciones
* ^sar CObIT 4.1 y SMMIS (Aroyecto) para determinar el Y
 actual de
salud de Y

* Identificar debilidades en los A
Y   

Y . ^sar ITIè V2 para
mejorar los Arocesos y Controles TI, ayudándonos ISO27002 y SMMIS
(Aroyecto) para mejorar los Arocesos y Controles de Seguridad
* ^sar ITIè V2 para determinar la 0Y
* ^sar Cobit 4.1 y SMMIS (Aroyecto) para definir las —

 
* Areguntar a ITIè V2 sobre posibles 




jespecto a los 4 estándares (CObIT 4.1,
ITIL V2, SMMIS & ISO27002):
*Œo se producen contradicciones o
solapamientos reales, Œo se identifican
requisitos de personal
*Œo son fuertes desde el punto de vista
organizativo (estructuras y roles)
*Œo son fuertes del lado de la tecnología
$ Œ


 "#
   
       
Seguridad de la Información. 3 Pilares:
la Tecnología, los Procesos y las Personas
Implementación de un programa ³Concienciación de los Usuarios´
Componentes:
Educación: Aroducir especialistas
en Seguridad TI

Entrenamiento: Aroducir
habilidades y competencias en
Seguridad

Concienciación: El proceso de
aprendizaje que establece las etapas
para el entrenamiento de la actitudes
individuales y organizacionales
i Œ


 "# '
    $%

—
1

— 

—  

7000

—  
/ 

18
7:
007

þ Œ


 "# '
    $%

C IT 4.1 Código de Buenas Prácticas para el manejo de la información.
Su misión: Investigar, desarrollar, publicar y promover un conjunto
internacional, autorizado y actual de objetivos de control en Tecnología de la
Información, generalmente aceptados, para el uso cotidiano de la dirección de la
empresa (Gerentes), usuarios y auditores.

þþ Œ


 "# '
    $%

ITIL
ITIL V2 marco de procesos de Gestión de
Servicios de TI más aceptado, nace como un
Código
Proceso
Proceso de la Gestión de Servicios código de buenas prácticas dirigidas a
alcanzar las metas TI mediante:
SD.1.0 Gestión del nivel de servicio (SèM)

*Un enfoque sistemático del servicio TI

SD.2.0 Gestión financiera de los servicios TI
centrado en los procesos y procedimientos
SD.3.0 Gestión de la capacidad *El establecimiento de estrategias para la
Gestión de la continuidad del servicio gestión operativa de la infraestructura TI
SD.4.0
(SCM) TI

SD.5.0 Gestión de la disponibilidad

SS.1.0 Service desk
SS.2.0 Gestión de incidentes
SS.3.0 Gestión de problemas
SS.4.0 Gestión de las configuraciones
SS.5.0 Gestión del cambio
SS.6.0 Gestión de entrega (liberación)

þ! Œ


 "# '
    $&%

A semejanza de otras normas IS, la 27000 es realmente una serie
de estándares.
þ  þ  
j
 $
Œ
   
j
  
   
 "   %&' #
     
#$  %&#( #
- ! -
!
- - &) -
- Π! [hhii#! [hhii#! [hhii#! ()'
!h þ
þiii ! ! ! V

  
%* j
  
 !   Π 
  Π
   j
 
j +           j
 
      " 
%,)     
  #$
-*  -.) / - - - -
[hhii [hhii#þ ()'
þhhii ()'
!h !
 *  þiii ! $ "()'

  þhhii! V%
  
* 
*

 ! 

þ  þ
þ  þ  
þ Œ


 "# '
    $&%

CMMI. SSE-CMM. ISIEC 21827:2007.

m Evaluar sus prácticas de ingeniería de seguridad y definir mejoras.
m Base para las organizaciones que evalúan ingeniería de seguridad, con
objeto de establecer confianzas organizativas basadas en la capacidad.
m Mecanismo estándar para que los clientes evalúen en un proveedor su
capacidad de ingeniería de la seguridad.

þ] Œ


 &"# *       

+
$%

È ué es una Norma?
mEspecificación Técnica
ÿVoluntaria
ÿAccesible al público
ÿElaborada por consenso de las partes interesadas
ÿEn el seno de un organismo reconocido
ÿBasado en la experiencia y desarrollo tecnológico

[eneficios de la Normalización
mAara los fabricantes. Racionaliza productos, Disminuye el volumen de existencias, Mejora la
gestión de diseño, Agiliza pedidos, Facilita la comercialización y Simplifica las compras

mAara los consumidores. Establece niveles de calidad y seguridad, Informa del producto y
Facilita de comparación

mAara la Administración. Simplifica los textos legales, Facilita políticas, Ayuda al desarrollo
económico y Agiliza el comercio

þV Œ


 &"# *       +

$%
rigen de las Normas
èas normas se elaboran en el seno de los comités técnicos compuestos,
de forma equilibrada, por todas las partes interesadas en ese campo.
La Normalización en Seguridad TI
En lo referente a TI, el comité conjunto Œ 1 denominado JTC1 constituido
entre los dos organismos internacionales de
normalización:ISO R IEC.
En él participan 68 países, entre ellos España,
a través de AENOj.
JTC1 está estructurado en una serie de
Subcomités dedicados a un aspecto específico
de las TI, en concreto el número 27, es el
responsable de todos los aspectos de seguridad,
denominándose TC1/SC27 "Técnicas de Seguridad". Su homólogo a
nivel español es el CTN71/SC27, que lleva el mismo nombre.
þ± Œ


 &"# , 
  -* . '
/ 0 $%

Legislación de Seguridad
mèey Orgánica 15/1999, del 13 de Diciembre de Arotección de Datos
de Carácter Aersonal ±èOAD
Nivel básico, Medio y Alto
Real Decreto 994/1999, de 11 de Julio, Reglamento de Medidas
de Seguridad, quedando pendiente la aprobación el reglamento de
Medidas de seguridad derivado de la èOAD
mèey 34/2002 del 11 de Julio, de Servicios de la Sociedad de la
Información y de Comercio Electrónico - èSSI-CE
Establece los criterios de servicios en Internet, cuando sean parte de
actividad económica:
m Mostrar en la web: Œombre, ŒIF, dirección, correo electrónico«
mRegulación del comercio electrónico: Arohibición de los spam«
þh Œ


 &"# , 
  -* . '
/ 0 $%

Normativa de Seguridad

m^ŒE-75502:2004: Tecnología de la Información.

Especificaciones para los sistemas de Gestión de Seguridad de
la Información

mISO 27002:2007, Sistema de Gestión de Seguridad de

Información

þ$ Œ


 &"# , 
  -* . '
/ 0 $%

Criterios de Certificación de Productos de Seguridad

mAntecedentes: ORAŒGE BOOK-TCSEC R ITSEC (whitebook)

mActualidad: COMMOŒCRITERIA v3.1 EDICIOŒ 2

* 1996. V1.0 Common Criteria(Criterios comunes ^SA-E^R)

* Iniciativa conjunta para armonizar TCSEC e ITSEC
* Reconocimiento mutuo de la certificación
* Mayor interés del sector privado en productos certificados
* Actualmente CC/CEM v3.1 Ed. 2

Œiveles de Evaluación (EAè1 «EAè4«EAè7)*

þi Œ


 &"#  
1
- 
 $%

mMedidas

M Decidir de antemano que vamos a registrar

M Establecer un plan de destrucción progresiva de logs
M En cada destrucción hay que guardar parte de la información
bien en bruto o bien consolidada
M Hay que automatizar todo el proceso de captura y gestión de logs
para prevenir errores humanos, olvidos y ataques intencionados

 - V
#ðð
'ð

ð

ð
ð
 
ð 
 *
*
(ð
/ð
ð
#ð
ð

! Œ


 &"#  
1
- 
 $%

mMétricas
èas métricas materializan el rendimiento de los sistemas.
Aueden dividirse en dos grandes grupos:
mYYY
satisfacen los sistemas nuestras
necesidades?
mYYY muestra la proporción entre
mmedios y resultados

mMétricas para la Seguridad de la Información

m=YY
 en qué medida se cubren todos los componentes del sistema y cuán
a menudo se revisan
m0  en los componentes técnicos hay múltiples aspectos de rendimiento
que son relativamente fáciles de medir
m=Y

  un sistema existe en un entorno real
m=YAY
las personas especifican, construyen,«y usan los sistemas

!þ Œ


 &"#  
1
- 
$%

E
. Métricas Técnicas de Seguridad Tradicionales

Métrica Supuesta Medición Peligros
¿Aor qué pasan tantos virus en primer
Œúmero de virus o códigos Eficacia de los controles antivirus
lugar?¿Cuántos pasaron y nunca se
malignos detectados · automáticos
detectaron?

Œúmero de incidentes e ¿Qué umbral desencadena un incidente o una

Œivel de actividad de la
investigación?¿Se desencadenan incidentes
investigaciones de monitorización de eventos de
por defectos en el procedimientos
seguridad · seguridad
organizativos?
¿Qué riesgos residuales eligió asumir la
empresa?¿Es una medida de la respuesta ante
Coste de las brechas de Aérdidas económicas reales debidas
crisis o desastres, pero no necesariamente
seguridad · a fallos de seguridad
función de las salvaguardas sensatas
implantadas?

Recursos asignados a las ¿Son ineficientes las herramientas, tareas

Coste económico real de utilizar un
funciones de seguridad programa de seguridad
asignadas o procedimientos, llevando al
·/P personal a perder tiempo?

¿Cómo se relaciona el cumplimiento con la

Œivel de cumplimiento de los
Cumplimiento de las eficacia? ¿Cuál es el orden de cumplimiento?
objetivos del programa de
reglas de seguridad ·/ ^na vez logrado el cumplimiento, ¿se
seguridad
³acaba´ el programa de seguridad?
!! Œ


 &"#  
1
- 
 $&%

Indicadores

Abstrayéndose de los detalles, son capaces de transmitir el estado

general de salud del objeto.
èos indicadores suelen agruparse para su presentación en cuadros,
denominados "de mando" que típicamente resumen la salud de la
organización desde cuatro puntos de vista:

* Salud financiera: gasto y capacidad

* Aercepción de los clientes y proveedores

* Capacidad para una reacción rápida y efectiva

* Capital humano: estabilidad, compromiso y capacidad

! Œ


 &"#  
1
- 
 $&%

Auditoría de Seguridad de las TI

desde la Perspectiva de la Normalización
Definición de Auditoría (ISACA).


Y 

 a considerar:
*Distancia entre las políticas y directrices de alto
*èas limitaciones de recursos técnicos y humanos
*èegislación relacionada con las TI varía dependiendo del país
A de la auditoría de la seguridad, teniendo en cuenta:
*Objetivo: emitir una opinión o dictamen
*Alcance: sistemas, infraestructura, información«


 normales de cualquier auditoría de TI:

*Análisis y evaluación de riesgos
*Identificación de políticas
*Arocesos y procedimientos de control
!] Œ


 &"#           

  
  $%
Modelos de Madurez de la Seguridad Pu licados
Aor alguna razón, cada uno ellos, tienen cinco niveles de madurez:
Modelo Descripción Comentarios
Modelo de Madurez Cinco niveles de Madurez progresiva: Centrado en niveles de
1. Aolítica
de Seguridad TI de 2. Arocedimiento
documentación
ŒIST CSEAT 3. Implantación
4. Arueba
5. Integración
Modelo de Cinco niveles de Madurez progresiva: Centrado en concienciación y
1. Autocomplacencia
Evaluación de la 2. Reconocimiento
adaptación por parte de la
Seguridad de la 3. Integración organización
Información de 4. Arácticas Comunes
Citigroup (CITI- 5. Mejora Continua
ISEM)
Modelo de Madurez Cinco niveles de Madurez progresiva: Centrado en procedimientos
1. Inicial/ad hoc
COBIT® 2. Repetible pero intuitivo
específicos de auditoría
3. Aroceso definido
4. Gestionado y medible
5. Optimizado
!V Œ


 &"#           

  
  $%
Modelos de Madurez de la Seguridad Pu licados (II)
Modelo SSE-CMM Cinco niveles de Madurez progresiva: Centrado en Ingeniería de
1. Realizado informalmente
2. Alanificado y perseguido
Seguridad y diseño de
3. Bien definido software
4. Controlado cuantitativamente
5. Continuamente mejorado

Evaluación de la Cinco niveles de Madurez progresiva: Centrado en la medición

1. Existente
Capacidad de la 2. Repetible
de la calidad relativa a
Seguridad de 3. Aersona designada niveles de
CERT/CSO 4. Documentado documentación
5. Revisado y actualizado

Estos modelos previos al SMMIS, sufren tres deficiencias clave:

mConfunden calidad con existencia
mŒecesitan ser adaptados específicamente a la organización
mŒo dirigen necesariamente el programa hacia un objetivo organizacional
concreto, por lo que no funcionan bien para un programa de seguridad
!± Œ


 &"#           

  
  $%
Controles Modelo de Madurez de la Seguridad de un Sist. Informático
5.- Aolítica de Seguridad TI, IT Security Aolicy Obj.Control 1, Controles 2
6.- Organización de la Seguridad de la Información, Obj.Control 2, Controles 11
Organizing Information Security
7.- Clasificación y Control de Activos, Obj.Control 2, Controles 5
Asset Classification and Control
8.- Seguridad Relativa al Aersonal, Obj.Control 3, Controles 10
Human Resources Security
9.- Seguridad Física y del Entorno, Obj.Control 2, Controles 13
Ahysical and Environmental Security
10.- Control de Accesos, Access Control Obj.Control 10, Controles 32
11.- Desarrollo y Mantenimiento de Sistemas, Obj.Control 7, Controles 27
Information Systems Development and Maintenance
12.- Gestión de comunicaciones y operaciones, Obj.Control 6, Controles 18
Communications and Operations Management
13.- Gestión de Incidentes de la Seguridad de la Inforamción, Obj.Control 2, Controles 5
Information Security Incident Management
14.- Gestión de Continuidad de Œegocio, Obj.Control 1, Controles 5
Business Continuity Management
15.- Conformidad, Compliance Obj.Control 3, Controles 10
!h Œ


 &"#   

   
$&%
Métricas Modelo de Madurez de la Seguridad de un Sist. Informático
     
 
 
   
    


   
A             




          

   

   

   
2 #A 


 #

        
   3 #

        
   4 #

        
   5 #

     
    

     

A 
        

A 
        
 
  

      

       

     
 

A
 
 



A


A

     




   





A          $2 3 6      %
   " 4 3    " 5 6    " 2    "
 3    "
   7 7
   2 # !              þ
" $
    # #A   
           þ
"
   3 #8       þ

" "
   4 # %     
         þ

"
   5 # %            þ
 

!$ Œ


 &"#           

  
  $&%
Implementación del Modelo:
&

  )89 ' -

 

    

  3#:
A     

A 


  2#


  !#


  4#


  5#
 -

 
; 
. /
 )
*

 
( 
 + . . . -


- - . - - 0
- 
,
, , , ,
, ,
     
) *
 
( 
 A 
     
2 4 4
 1!   1 3  5  
 
      
5"2"2   
 

       <7= 1!22Π 6
6 7 83 6 9: 7  ;
5"2"! < 
)      57= 4 =7 5 6 ::6> 62 :6 ? 97 6 
@    
     
2 A B2 2
 1 1   13  1     
 

C   F
?"2"2  
     
       <7= D   E 
 6:=61199
?"2"!   

#       
G
?5= 1 =: : =6 6 7 = 767 :
: =? 
H
?"2"3 
     
 
      ?5=  : 6: I ? 9: 76; = ? 
H
?"2"4 @  
 
J   

      67= D   :  ;< I :!  6 9: 
H G
?"2"5    
J      <7= K   ?6 7 6 D 5 6 7 ; = 767 
?"2"? 
@@      
G
?7=  6 :  : 6 =: :=>
 L D  7=
J 6:7K :  ? : 7
?"2"< 
@
      
G
?7=  6 :  : 6 =: :=>
 L D  7=
6:7K :  ? : 7
?"2"6    
       ?7= 4 =7 5 6 ::6?2 :6>   ?  6
6

6: 6 6  ? 97 6 : 
2 2
62 1  M        
?"!"2
          ?7= 
H
?"!"! 
@@
        57= 
H
?"!"3 
@       
0 0 57= 
+ 
        
2 4 2
1 5 1  !  
 
      
G
<"2"2  
N      ?5= K   ?6 7 6 D 5 6 7 ; = 767
G
<"2"! @       ?5= K   ?6 7 6 D 5 6 7 ; = 767 
H G
<"2"3


        ?5= K   ?6 7 6 D 5 6 7 ; = 767 

Ejemplo: .\smmis_presentación.xls
!i Œ


 &"#           

  
  $&%
Aportaciones del Modelo de Madurez de la Seguridad de un
Sistema Informático :
M Separar 138 controles en 5 niveles dependiendo de la propia
definición de la ISO 27002, antigua ISO 27002.

M Encajar las descripciones del Modelo ISO 21827:2002, antiguo

SSE-CMM, con las definiciones de controles de la ISO 27002.

M Aroponer perfiles de empresa dependiendo de factores como:

n de empleados, ámbito de la empresa, etc.

M èa propia evaluación del modelo nos indicará:

MŒivel alcanzado por la empresa
MAuntos fuertes ±sobrepasan el nivel de acreditación entregado ±
MAuntos débiles ± aquellos por los que no se entrega un nivel de
acreditación mayor -.
 Œ


 &"#



mVenta
as del Modelo
  Evaluar sistemas de seguridad, respecto a estándares
reconocidos, y obtener el nivel de madurez del evaluado

  ³Modelo de Madurez de la Seguridad de un Sistema

Informático´. Explícito, sencillo y fácil de interpretar.

  Versatilidad en su aplicación. Objetivo de madurez respecto

al perfil de la empresa o con ánimo de ³mejora continua´.

mInconvenientes del Modelo

  Necesidad de personas independientes especializadas en el
área de seguridad TI

þ Œ


 A"# ,
  

1.  Identificar perfiles de compañías para los distintos niveles

2.  Mayor aproximación al Modelo SSE CMM

Ej. 15.1.6 jegulation of cryptographic controls

3.  Integración de nuestro Método con los nuevos estándares

ITIL & CobIT

4.  Modelo de Gestión 27000: Modelo de Gestión de la

Seguridad de la Información

! Œ


 | 
/
  B

CD  
E

 Œ