Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cesar Seguridad Informatica
Cesar Seguridad Informatica
IIMV
Quito, Ecuador
Agenda
Introducción.
Obstáculos para implementar Seguridad
Informática
Administración de la Seguridad Informática
Ciclo de vida de la Seguridad Informática
Conclusiones
Propuesta para los miembros del IIMV
Introducción
La Información es un activo que como
cualquier otro activo importante del
negocio, tiene valor para la
organización, consecuentemente
necesita “Protección Adecuada”.
Introducción
Tipos de Información
Impresos o escritos en papel.
Almacenada electrónicamente.
Transmite por correo o en forma
electrónica.
La que se muestra en videos corporativos.
Lo que se habla en conversaciones.
Estructura corporativa de información.
Introducción
La implementación de esquemas de
Administración de la Seguridad
Informática en la institución debe
seguir estándares y mejores prácticas
del mercado.
Es una necesidad del negocio ante
las circunstancias actuales.
Introducción
Obstáculos
Obstáculos
Falta de conciencia de usuarios finales.
Presupuesto.
Falta de apoyo de la alta gerencia.
Falta de Entrenamiento.
Pobre definición de responsabilidades.
Falta de herramientas.
Aspectos legales.
Administración de la Seguridad
Informática
AS/NZS ISO/IEC 17799:2001
Conjunto de controles que dan una
serie de recomendaciones en el
desarrollo de un proceso de
Administración de la Seguridad
Informática.
Son 127 controles estructurados en
diez grandes áreas.
Genera confianza entre las
instituciones que se relacionan.
AS/NZS ISO/IEC 17799:2001
negocio,
Cumplimiento de aspectos legales.
Áreas que cubre el Estándar
1. Políticas de Seguridad
Objetivo:
Proveer dirección y soporte administrativo para
la seguridad de Información.
La administración superior debe definir una
política clara y apoyar la Seguridad de la
Información a través de la creación y
mantenimiento de una política de seguridad
de la información a lo largo de la
organización.
1. Políticas de Seguridad
Documento de Políticas de Seguridad.
Debe ser aprobado por la administración,
publicado y comunicado a todos los empleados.
Revisión y Evaluación.
La política debe ser administrada por una
persona quién es responsable de su
mantenimiento y revisión de acuerdo a un
proceso definido.
2. Seguridad Organizacional
Infraestructura de la Seguridad de la
Información:
Objetivo:
Administrar la seguridad de la Información
dentro de la organización.
Consejo directivo o un grupo designado
por este debería de asumir la
responsabilidad de la seguridad de
información.
2. Seguridad Organizacional
Infraestructura de la Seguridad de la
Información:
Deben ser claramente definidas las
responsabilidades para la protección de activos
de información ó físicos y procesos de
seguridad.
Se deben establecer procesos de autorización
para nuevas facilidades de procesamiento de la
información.
Es recomendable disponer de la asesoría de un
especialista de seguridad (para propósitos de
evaluación o de investigación de incidentes).
2. Seguridad Organizacional
Clasificación de la Información:
Objetivo:
Asegurar que los activos de información reciben un
apropiado nivel de protección.
Controles a la información deben tomar en
cuenta las necesidades del negocio para
compartir o restringir información.
La responsabilidad de definir la clasificación de
un ítem de información debe permanecer con la
persona nombrada como dueña de la
información.
4. Seguridad del Personal
Entrenamiento de usuarios:
Objetivo:
Asegurarse que los usuarios conocen de las
amenazas y preocupaciones de la Seguridad de la
Información.
Todos los empleados de la organización
deberán recibir entrenamiento apropiado en los
procedimientos y políticas organizacionales.
La regularidad dependerá de la actualización o
los cambios que se den en la organización.
4. Seguridad del Personal
Responsabilidades y procedimientos
operacionales:
Objetivo:
Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información.
Los procedimientos de operación identificados
por la política de seguridad deberán ser
documentados y revisados constantemente.
Los cambios en los sistemas y elementos de
procesamiento de información deben ser
controlados.
6. Administración de
Comunicaciones y Operaciones
Responsabilidades y procedimientos
operacionales:
Se deben establecer procedimientos y
responsabilidades para el manejo de incidentes,
como:
Procedimientos que cubran todos los tipos potenciales
de incidentes de seguridad (pérdidas de servicio,
negación de servicio, datos incorrectos, brechas de
confidencialidad.
Procedimientos para Planes de Contingencia, Análisis
e Identificación de las causas de un incidente,
Colección de pistas de auditoría, Reporte a las
autoridades, etc.
6. Administración de
Comunicaciones y Operaciones
Responsabilidades y procedimientos
operacionales:
Acciones a seguir para recuperarse de problemas de
seguridad y corrección de fallas en los sistemas, (las
acciones de emergencias deben ser documentadas en
detalle).
La segregación de tareas es un método de
reducir los riesgos del mal uso (accidental o
deliberado) de los sistemas.
Áreas de desarrollo de Sistemas y Pruebas
deben estar separadas de los Sistemas en
Producción.
6. Administración de
Comunicaciones y Operaciones
Planeamiento y Aceptación de Sistemas:
Objetivo:
Minimizar los riesgos de fallas en los sistemas.
Se debe monitorear y proyectar los
requerimientos de capacidad a fin de asegurar
que hay disponible una adecuada capacidad de
procesamiento y almacenamiento.
Deben establecerse criterios de aceptación para
nuevos sistemas de información, actualizaciones
y nuevas versiones y se deben definir pruebas
para llevarlas a cabo antes de su aceptación.
6. Administración de
Comunicaciones y Operaciones
Protección contra Software Malicioso:
Objetivo:
Proteger la integridad del Software y la Información.
Controles contra Software Malicioso:
Política para el cumplimiento con licencias de software
y prohibir el uso de software No autorizado.
Política para proteger contra los riesgos asociados al
obtener archivos o software de redes externas.
Instalación y actualización regular de Antivirus y
software scaneador de computadoras cono una
medida preventiva.
6. Administración de
Comunicaciones y Operaciones
Soporte Continuo.
Objetivo:
Mantener la integridad y disponibilidad del
procesamiento de la información y servicios de
comunicación..
Hacer copias en forma regular de la información
esencial del negocio y del software. Se pueden
utilizar los siguientes controles:
Documentación de los Backups, copias adicionales y
almacenadas en una localidad remota.
Los Back-ups se deben proteger físicamente y contra
las condiciones del ambiente.
6. Administración de
Comunicaciones y Operaciones
Administración de Redes.
Objetivo:
Asegurar la protección de la información en las redes
así como de su infraestructura.
Los administradores de la red deben
implementar controles que aseguren a los datos
en la red de accesos no autorizados.
También se deben implementar controles
adicionales para proteger los datos sensitivos
que pasan sobre redes públicas.
6. Administración de
Comunicaciones y Operaciones
Evaluación (Assess):
Análisis de Riesgos basados en el
OCTAVE method.
Debilidades en Seguridad Informática
(ej., auditorías, evaluación de
Vulnerabilidades, pruebas de
penetración, revisión de aplicaciones)
Pasos a seguir para prevenir
problemas
Fases del proceso de seguridad.
Evaluación
Debilidades:
Determinar el estado de la seguridad
en dos áreas principales: Técnica y
No Técnica.
No técnica: Evaluación de políticas.
Técnica: Evaluación de Seguridad
física, diseño de seguridad en redes,
matriz de habilidades.
Fases del proceso de seguridad.
Evaluación
Seguridad en el edificio
Passwords
Ingeniería social
Etc.
Fases del proceso de seguridad.
Evaluación
Administrar el Riesgo:
Identificar
Analizar
Evaluar
Tratamiento a seguir
Fases del proceso de seguridad.
Evaluación
Administración de Riesgos:
Método lógico y sistemático de establecer
el contexto, identificar, analizar, evaluar,
tratar, monitorear y comunicar los riesgos
asociados con una actividad, función o
procesos para minimizar pérdidas.
La Administración de Riesgos se puede
basar en el Estándar Australiano AS/NZ
4360:1999.
Fases del proceso de seguridad.
Evaluación
Logs en Firewalls.
Se requiere Sistemas de detección de
Intrusos?
O necesitamos Sistemas de
prevención de Intrusos?
Firma digital para envío de
documentos?
Fases del proceso de seguridad.
Implementar
Implantado Planeado
Antivirus 99% 0%
Firewalls 97% 1%
Filtros de email 74% 10%
IDS 62% 12%
Bloqueo de adjuntos 62% 3%
Filtro de Web sites 59% 5%
Análisis de Vulnerabilidades 43% 18%
Email encriptado 31% 15%
Fases del proceso de seguridad.
Administración y soporte
Manejo de Incidentes:
Organización,
Identificación,
Encapsulamiento,
Erradicación,
Recuperación y
Lecciones aprendidas.
Fases del proceso de seguridad.
Capacitación continua
Estándares de Seguridad
Propuesta de Proyecto “Harmonizacion de
la Seguridad Informática”
Estándares de Seguridad
Propuesta de Proyecto “Harmonizacion de
la Seguridad Informática”
Estándares de Seguridad
Consultas?