Seguridad de la información-sesion 1-v1
-
Upload
independent -
Category
Documents
-
view
0 -
download
0
Transcript of Seguridad de la información-sesion 1-v1
Curso: Especialización en Auditoria de
Sistemas y Seguridad de la Información
ISO/IEC-27001 ISO/IEC - 27002
Elaborado por: J.C. Pacheco
AGENDA
1. La Seguridad, Conceptos y definiciones
2. Seguridad Informática vs Seguridad de la Información
3. Riesgos: Conceptos y definiciones
4. Relación entre seguridad y riesgo
5. Componentes del riesgo.
6. Qué es un modelo de gestión de la seguridad
26/08/2011 3
Seguridad: Conceptos y definiciones
1. Cualidad de seguro. (Libre y exento de todo peligro, daño o riesgo)
2. Certeza
(conocimiento cierto y claro de algo).
Según el RAE
26/08/2011 4
Seguridad: Conceptos y definiciones Requerimientos de
Seguridad
• Confidencialidad
• Integridad
• Disponibilidad
Política de Seguridad
• Qué está y
• Qué NO está permitido.
Mecanismos de Seguridad
• Refuerza la política
• Meta: Nunca en estado no permitido
Aseguramiento de Seguridad
• Requerimientos vs Necesidades
• Políticas vs Requerimientos
• Mecanismos vs Políticas
Depende
de
26/08/2011 5
Seguridad, Conceptos y definiciones
SISTEMA
Deja hacer
acciones no
permitidas
Deja hacer
solo acciones
permitidas
INSEGURO SEGURO
Componente HUMANO:
• Conocer y comprender principios de seguridad
• Cómo esos principios se aplican en una situación dada
• Cómo definir requerimientos y su política adecuada
• Cómo utilizar la tecnología para implementar la política
Sin personas que
logren esto
NO HABRÁ
SISTEMA SEGURO
26/08/2011 6
Seguridad de la Información vs Seguridad Informática
Seguridad de la Información
Información documental y biológica
Procesos de Negocio
Políticas Análisis de
Riesgos
Información en computadoras
Procesos informáticos
Mecanismos y Procedimientos
Seguridad Informática
26/08/2011 7
Riesgo: Conceptos y definiciones
• (Del it. risico o rischio, y este del ár. clás. rizq,
lo que depara la providencia). (RAE)
• 1. m. Contingencia o proximidad de un daño.
(RAE)
• 2. m. Cada una de las contingencias que
pueden ser objeto de un contrato de seguro.
(RAE)
• Daño potencial que puede surgir por un
proceso presente o evento futuro. (Wikipedia)
• Evento o situación incierta, que de suceder,
tiene un efecto en los objetivos del proyecto
(PMBOK)
Riesgo
26/08/2011 8
9
La exposición a la posibilidad de
ocurrencia de ciertas cosas tales
como pérdida o ganancia
económica, daño físico, retrasos,
daño a la salud pública, etc. que
surgen como consecuencia de
seguir un curso particular de
acción. (Aduanas de Chile)
“Posibilidad de que se produzca
un impacto dado en la
organización” (Magerit)
Riesgo: otras definiciones
26/08/2011
Riesgos, Conceptos y definiciones
Amenaza Vs Riesgo
Amenaza es:
I. Todo lo que tenga probabilidad de ocurrir, causando daño. (Wikipedia)
II. Causa potencial de un incidente no deseado, el que puede ocasionar un daño al sistema o a la organización (ISO27000)
Riesgo es:
I. Efecto de la incertidumbre sobre los objetivos (ISO31000)
II. El resultado de la posibilidad de una amenaza explotando la vulnerabilidad de un activo. (ISO27000)
Sin la ocurrencia de amenazas el riesgo sería cero.
Tomado de:
www.scienceinthebox.com/es_ES/safety/pic
/risk_assessment.jpg
26/08/2011 10
11
Situaciones inciertas, no controlables, no
previstas (amenazas).
Deficiencias en los
procesos o en la
gestión. (vulnerabili
dades).
Activos de
la organización
Impacto como
resultado del riesgo
Elementos del riesgo
RIESGO
26/08/2011
Consecuencias probables de un riesgo
Naturaleza
• Indica los problemas probables
• P.E. Interfaz mal definida para el HW (riesgo técnico)
Alcance
• Combina la severidad (cuán serio es el problema?)
• Con su distribución general (que proporción del proceso o de la organización se afecta?)
Cuando ocurre
• Cuándo y por cuánto tiempo se dejará sentir el impacto
26/08/2011 12
13
Resumiendo….
La Amenaza
El Impacto del
Riesgo
Estrategia de
Mitigación
El Riesgo es
posibilidad de la
destrucción de
la casa
La
Vulnerabilidad
El Activo
26/08/2011
Modelo de gestión de la seguridad Modelo:
(Del it. modello).
1. m. Arquetipo o punto de referencia para imitarlo o reproducirlo. Representación en pequeño de algo.
2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfección se debe seguir e imitar.
3. m. Esquema teórico, generalmente en forma matemática, de un sistema o de una realidad compleja
Gestión (Del it. gesio).
1. Acción o efecto de gestionar o administrar
2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfección se debe seguir e imitar.
Concreción de acciones para el logro de un objetivo
Entonces, Modelo de Gestión de la Seguridad es el entorno o marco de referencia para la
administración de la SEGURIDAD en una organización
26/08/2011 15
ISO27000: La Familia: Publicadas
Descripción Código del estándar
Gestión de la seguridad de la Información: Overview ISO/IEC 27000:2009
Sistema de Gestión de la información de seguridad ISO/IEC 27001:2005
Código de buenas prácticas para GSI (ISO17799) ISO/IEC 27002:2007
Guía para la implementación del SGSI ISO/IEC 27003:2010
Métricas para la gestión de seguridad ISO/IEC 27004:2009
Gestión de riesgos en SI ISO/IEC 27005:2008
Requisitos para los organismos de acreditación de SGSI ISO/IEC 27006:2007
Guía para la GSI en Telecomunicaciones c/ISO/IEC 27002 ISO/IEC 27011:2008
Guía para habilitar las TIC para la Continuidad de Negocio ISO/IEC 27031:2011
Conceptos y revisión general de Seguridad en Redes ISO/IEC 27033-1:2009
GSI en el sector salud utilizando ISO/IEC27002 ISO 27799:2008
26/08/2011 17
ISO27000: La Familia: en Desarrollo
Descripción Código del
estándar
Guía para la Auditoria de un SGSI (foco en el sistema de gestión) ISO/IEC 27007
Guía para auditores de los controles del SGSI (foco en los controles de seguridad
de la información) ISO/IEC 27008
Guía para la implementación integrada de ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27013
Marco de referencia para el gobierno de seguridad de información ISO/IEC 27014
Guía para la Gestión de SI en los sectores financiero y seguros ISO/IEC 27015
Guía para la seguridad en Internet (“del buen vecino” en Internet) ISO/IEC 27032
Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada) ISO/IEC 27033
Guía para la seguridad de aplicaciones ISO/IEC 27034
Gestión de Incidentes de Seguridad ISO/IEC 27035
Guía para la seguridad con Terceros (outsourcing) ISO/IEC 27036
Guía para la identificación, recolección, y/o adquisición y preservación de evidencia
digital. ISO/IEC 27037
26/08/2011 18
ISO27005: Gestión del Riesgo en SI
Establecimiento del Contexto
Evaluación del Riesgo
Tratamiento del Riesgo
Aceptación del Riesgo
Comunicación del riesgo y plan de tratamiento
Monitoreo y Revisión del
Riesgo
26/08/2011 19
• Monitorear SGSI
• Revisa y evalúa el desempeño (eficiencia y eficacia) del SGSI.
• Mejorar el SGSI • Realiza los cambios
necesarios para llevar al SGSI a máximo rendimiento.
• Implementar y Operar el SGSI
• Envuelve la implantación y operación de los controles.
• Establecer el SGSI,
• Declaración de Aplicabilidad
• Evaluación de riesgos de los activos de la información
• Selección de controles adecuados.
Plan (planificar)
Do (hacer)
Check (controlar)
Act
(actuar)
Gestión de la seguridad: ISO27001
26/08/2011 20
ISO27000: en Cifras al 2009
0
20
40
60
80
100
120
2008 2009
82
117
Nro. Países solicitantes
2008
2009
0
2000
4000
6000
8000
10000
12000
14000
2008 2009
9246
12934
Nro. Certificados 27001 emitidos
2008
2009
Fuente: www.iso.org
26/08/2011 21
Gestión de la seguridad: SOGP del ISF
INSTALACIONES DE TI
SD Desarrollo
de
Sistemas
CB Aplicaciones
de Negocio
Críticas
SM Gestión de
Seguridad
NW Redes
UE Ambiente
de Usuario
Final
CI Ambiente
de
Cómputo
• El Estándar de Buenas Prácticas (SoGP)
del Foro de Seguridad de Información
(ISF) es una referencia práctica sobre
seguridad de la información y temas
relacionados con los riesgos de
información; con un enfoque de negocios.
• Está alineado con los principales
estándares como ITIL, CMM,
ISO20000, ISO9001, ISO/IEC2700x,
NIST, PCI DSS e información general de
conceptos de gobierno de la seguridad.
• Se complementa con la experiencia
recogida por el ISF durante la realización
de sus proyectos.
26/08/2011 22
SOGP del ISF: Aspectos principales 1. Cumplimiento de estándares.
i. SOGP como herramienta que apoya la
certificación ISO27001. Alineada a toda la
familia ISO2700, incluyendo: la 27014
(gobernanza de seguridad) y 27036 (Terceros
externos)
ii. Incluye tópicos como : Delitos Informáticos
(Cibercrime), Computación en la Red (Cloud
Computing) y Seguridad en dispositivos
móviles.
iii. Proporciona información detallada y propone
controles para Infraestructura Crítica y Acceso
Inalámbrico.
iv. Es una herramienta para habilitar el
cumplimiento de los estándares COBIT y PCI
DSS.
26/08/2011 23
SOGP del ISF: Aspectos principales
2. Validación de proveedores
i. Asegura que los requerimientos de
seguridad de la información sean las
premisas para trabajar con terceros.
ii. Sirven como base para la comprensión y
evaluación del nivel de seguridad de la
información implementada por los
proveedores
iii. Asegura que la cadena de suministro
está sujeta a un nivel de seguridad de la
información que puede responder a los
riesgos.
26/08/2011 24
SOGP del ISF: Aspectos principales
3. Evaluación de Riesgos
i. La evaluación de riesgos ayuda a
reducir la frecuencia e impacto de los
incidentes de seguridad, y mejora la
seguridad de la información
ii. SOGP complementa a cualquier
metodología de evaluación de riesgos
que se utilice, incluyendo la
metodología de análisis de riesgos de la
información de ISF (IRAM)
iii. Ofrece 50 tipos de amenazas y los
controles potenciales para aplicación
26/08/2011 25
SOGP del ISF: Aspectos principales
4. Políticas, Controles y Procedimientos
i. Puede ser adoptado como base de una
política de seguridad de la información
general.
ii. Es una herramienta efectiva para la
identificación de brecha existentes en la
política, los controles y procedimientos de
seguridad de la información, entre lo que
tenemos y lo que queremos ser.
iii. Reduce el esfuerzo necesario en una
organización para la implementación de un
SGSI
26/08/2011 26
SOGP del ISF: Aspectos principales 5. Toma de conciencia
i. Contiene tópicos específicos que ayudarán al
mejoramiento de la toma de conciencia en
seguridad y soportarán actividades
correspondientes dentro de la organización.
ii. Dirige cómo se podría aplicar la seguridad de la
información en un ambiente local, lo que
representa una actividad de concientización en
seguridad.
iii. Lograr que la organización tome conciencia del
rol de la seguridad de la información, de manera
consistente a través de la propia organización
generará altos niveles de protección y evitará
potenciales daños costosos para la reputación de
la organización.
26/08/2011 27
SOGP del ISF: Aspectos principales
i. SOGP está integrada con la herramienta
de Benchmarking de ISF, lo que
proporciona una base para la realización
de una evaluación, detallada o de alto
nivel, de las fortalezas de los controles de
seguridad de la información a lo largo y
ancho de la organización.
ii. Ayuda a mejorar la gestión de los
ejecutivos y la confianza de los
interesados, por la capacidad de análisis
objetivos del nivel real de seguridad
6. Evaluación de la seguridad de la Información
26/08/2011 28
SOGP del ISF: Aspectos principales
i. SOGP se constituye en una completa
herramienta de referencia para atender a
nuevos requerimientos de seguridad de la
información o a la mejora de los controles
existentes.
ii. EL estar basado en tópicos intuitivos de
seguridad permiten versatilidad en su
aplicación.
iii. Evitar tener que identificar controles desde
cero, ahorrando costo y tiempo
7. Mejora de la seguridad
26/08/2011 29
Gestión de la seguridad: ISM3 Modelo de Madurez de la Gestión de la Seguridad de la Información
(Information Security Management Maturity Model)
Especificar, Implementar, Operar y Evaluar SGSIs
Aplicable a cualquier organización independientemente de su tamaño y giro
Ayuda a mejorar los sistemas ISM de la organización, resaltando diferencias entre el nivel actual y el nivel deseado de madurez
Evalúa cuantitativamente la madurez del SGSI de una organización y su ambiente de control de seguridad de la información
Útil como guía para priorizar inversiones. Comparando los objetivos de seguridad y los objetivos de madurez.
26/08/2011 30
Gestión de la seguridad: ISM3
Mode
lo d
e G
SI
Modelo Organizativo
Modelo de Seguridad Contextual
Modelo de Sistemas
de Información
Estratégico Táctico Operativo
Pro
ce
sos IS
M Nivel de Madurez
ISM3-0: existe riesgo, inversión impredecible
ISM3-1: Reducción de riesgo, inversión mínima
ISM3-2: Mayor reducción de riesgo, inversión moderada
ISM3-3: Alta reducción de riesgo técnico, inversión seria
ISM3-4: Alta reducción de riesgo técnico e interno, inversión seria
MODELO
ORIENTADO
AL PROCESO
26/08/2011 31
Gestión de la seguridad: ISM3 Sentido Común
• Políticas
• Procedimientos
Buenas Prácticas
• Contraseñas
• Único Acceso
Lecciones de
Incidentes
• Mejorar el firewall
• Mejorar el Antivirus
Específico Análisis
de riesgos
• OCTAVE
• Magerit
Según Cliente
• Personal del proyecto A no tenga acceso al proyecto B
Para elegir un
Control
MODELO FLEXIBLE,
SE ADAPTA AL
NEGOCIO
26/08/2011 32
Information Security Management Maturity Model ("ISM3") está
construido con base en estándares como ITIL, ISO 20000, ISO
9001, CMM, ISO/IEC 27001, e información general de conceptos de
gobierno de la seguridad. Mientras que la ISO/IEC 27001 está basada
en controles. ISM3 basado en procesos, incluye métricas de proceso.
Gestión de la seguridad: ISM3
26/08/2011 33
Modelo de gestión del riesgo
Controles Activos
Vulnerabilida
des
Riesgo
Amenazas Agente de
amenaza
Organización Pone valor
Aplica
Enfrenta
Reduce
Afecta
Desea apropiarse, abusar o dañar
Explota
Provoca
Genera
26/08/2011 34
Consecuencias del Riesgo
• Horas hombre perdidas por una brecha de seguridad?.
• Equipos que no producen Pérdida de productividad
• Sitio WEB fuera por un incidente de seguridad?
• Pérdida de acceso a INTERNET?
Pérdida de ventas por fuera de servicio
• Restaurar datos de un backup puede ser muy costoso.
• Qué si se destruyen los backups? Pérdida de Datos
• Planes estratégicos revelados,
• Información financiera sensible
Compromiso de Datos por divulgación o modificación
• Se podría necesitar comprar un nuevo equipo
• Servicios de recuperación de datos. Costos de reparación
• Hacer noticia como víctimas de una brecha de seguridad.
• Fuga de clientes, etc Pérdida de imagen
ROI como Reducción del Riesgo.
ROI mide mejora esperada contra costo de la mejora. P.e. Reducción en 50% de
riesgos, frente a comprar un FW
26/08/2011 37
Ejemplo de ataque: Phishing – Ing. Social
Cliente de Banco de Credito Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a traves de Banca en la Red han sido realizados desde diferentes direcciones IP. Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta. Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros sistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011.
Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo le recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya que no lo hacemos. De ante mano le agradecemos su cooperacion en este aspecto.
Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar el siguiente enlace:
De: Banco de Credito <[email protected]>
Fecha: 18 de agosto de 2011 13:14
Asunto: Estimado Cliente Verificacion Urgente
Para: *********@gmail.com
https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
http://bcpzonasegura.viabcperu.in/bcp/ https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea
26/08/2011 38