Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de consultores de seguridad de la información.
Estándares Internacionales de Seguridad Informática
Denunciar
Compartir
1 de 93
Más contenido relacionado
Iram iso17799 controles
1. 1
INSTITUTO ARGENTINO DE NORMALIZACIÓN
COMITÉ DE TECNOLOGÍA DE INFORMACIÓN
SUBCOMITE DE SEGURIDAD DE INFORMACIÓN
2. IRAM/ISO/IEC 17799
Gestión de la
Seguridad de la Información
Guía de selección de controles
Abril 2020
Ver 4
Presentado por:
Marcos Passarello
Comité de Tecnología de la Información
Subcomité de Seguridad de la Información
3. 3
BS 7799 - Guía de Selección de Controles
Administración
Seguridad
Información
BS 7799
4. 4
¿Qué es Seguridad de la Información?
• ISO 17799:2000 define a la misma
como la preservasión de la:
Información
Confidencialidad
Integridad
Disponibilidad
Preservar su
valor
sustancial
5. 5
Controles
de Acceso
ISO 17799 Gestión de Información
Clasificación y
Control de Activos
Política de
Seguridad de
Información
Organización de
la Seguridad
Seguridad
del Personal
Seguridad Física
Desarrollo
de Sistemas
Planificación
de Continuidad
Conformidad
Gestión de
Comunicaciones
6. 6
Organización
de la Seguridad
ISO 17799 Implementación
Clasificación
de Activos
Política de
Seguridad de
la Información
Aplicación
de ControlesProceso
Operativo
Control del
Proceso
Acciones
Correctivas
Revisión
Gerencial
8. 8
Selección de Controles de ISO 17799
• Los requerimientos de seguridad de cada
organización dependerán de:
• la naturaleza del negocio,
• cómo ésta organiza su negocio,
• sus procesos,
• que tecnología utiliza,
• los negocios con sus socios comerciales,
• los servicios y sus proveedores que utilice,
• y los riesgos a los que se enfrenta.
• Se consideran tres fuentes principales:
• Los riesgos de la organización y de sus instalaciones de
procesamiento de información
• Requrimientos legales, estatutarios y regulatorios y
obligaciones contractuales
• Requerimientos asociados a procesos de negocio,
estándares y objetivos
9. 9
Selección de Controles de ISO 17799
• Requerimientos legales
Derecho de propiedad intelecual y software copyright
Protección de los registros de la organización
Protección de datos y privacidad de información personal
Prevenir la no pérdida de las instalaciones de procesamiento
de información
Regulación de controles criptográficos
Evidenvia
• Requerimientos de negocio
Tercerización y uso de contratistas
Conformidad con estándares
Conformidad con la política de seguridad
Coordinación de actividades de seguridad
Procesamiento correcto
Disponibilidad de la información y las instalaciones de
procesamiento
10. 10
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Norma ISO 17799 Seguridad de la Información
12. 12
Dominio 1: POLÍTICA DE SEGURIDAD
Objetivo: Proporcionar dirección y apoyo gerencial para
brindar seguridad de la información.
El nivel gerencial debe establecer una dirección política clara y
demostrar apoyo y compromiso con respecto a la seguridad de
la información, mediante la formulación y mantenimiento de
una política de seguridad de la información a través de toda la
organización.
Documentación de la política de seguridad de la información.
Los responsables del nivel gerencial deben aprobar y publicar un
documento que contenga la política de seguridad y comunicarlo a
todos los empleados,según corresponda.
El documento debe poner de manifiesto su compromiso y establecer el
enfoque de la organización con respecto a la gestión de la seguridad de
la información.
13. 13
Documentación de la política de seguridad de la información.
•Como mínimo, deben incluirse las siguientes pautas:
a) definición de la seguridad de la información, sus objetivos y alcance generales
y la importancia de la seguridad como un mecanismo que permite la
distribución de la información (ver introducción);
b) una declaración del propósito de los responsables del nivel gerencial,
apoyando los objetivos y principios de la seguridad de la información;
c) una breve explicación de las políticas, principios, normas y requisitos de
cumplimiento en materia de seguridad, que son especialmente importantes para
la organización, por ejemplo:
1) cumplimiento de requisitos legales y contractuales;
2) requisitos de instrucción en materia de seguridad;
3) prevención y detección de virus y demás software malicioso;
4) administración de la continuidad comercial;
5) consecuencias de las violaciones a la política de seguridad;
14. 14
Documentación de la política de seguridad de la información.
d) una definición de las responsabilidades generales y específicas en materia
de gestión de la seguridad de la información, incluyendo la comunicación de
los incidentes relativos a la seguridad;
e) referencias a documentos que puedan respaldar la política, por ej. ,
políticas y procedimientos de seguridad más detallados para sistemas de
información específicos o normas de seguridad que deben cumplir los
usuarios.
• Esta política debe ser comunicada a todos los usuarios de la organización
de manera pertinente, accesible y comprensible.
Revisión y evaluación
•La política debe tener un propietario que sea responsable del
mantenimiento y revisión de la misma de acuerdo con un proceso definido.
15. 15
Revisión y evaluación
•El proceso debe garantizar que se lleve acabo una revisión en respuesta a
cualquier cambio que pueda afectar la base original de evaluación de riesgos,
por ej., incidentes de seguridad significativos, nuevas vulnerabilidades o
cambios en la infraestructura técnica o de la organización.
•Deben programarse revisiones periódicas de los siguientes aspectos:
a) la eficacia de la política, demostrada por la naturaleza, número e impacto de
los incidentes de seguridad registrados;
b) el costo e impacto de los controles en la eficiencia del negocio;
c) los efectos de los cambios en la tecnología.
17. 17
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Objetivo: Administrar la seguridad de la información dentro
de la organización.
Infraestructura de seguridad de la información
Debe establecerse un marco gerencial para iniciar y controlar la
implementación.
Deben establecerse adecuados foros de gestión de seguridad y
responsabilidades para cada usuario en la organización.
Se debe establecer una fuente de asesoramiento especializado en
materia de seguridad y contactos con organizaciones externas
19. 19
Objetivo: Mantener una adecuada protección de los activos
de la organización.
Inventarios de Información e Instalaciones
Designar un propietario para cada uno de ellos
Clasificación de la información
Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS
21. 21
Objetivo: Reducir los riesgos de error humano, robo,
fraude o uso inadecuado de instalaciones.
Seguridad en la definición de puestos de trabajo y la
asignación de recursos
Capacitación del usuario
Respuesta a incidentes y anomalías en materia de seguridad
Proceso disciplinario
Dominio 4: SEGURIDAD DEL PERSONAL
23. 23
Objetivo: Impedir accesos no autorizados, daños e
interferencia a las sedes e información de la empresa.
Perímetro de seguridad física
Controles de acceso físico
Seguridad del equipamiento
Suministros de energía
Cableado de energía eléctrica y de comunicaciones
Mantenimiento de equipos
Seguridad del equipamiento fuera del ámbito de la
organización
Políticas de escritorios y pantallas limpias
Retiro de bienes
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
25. 25
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Objetivo: Garantizar el funcionamiento correcto y seguro
de las instalaciones de procesamiento de la información.
Se deben establecer las responsabilidades y procedimientos
para la gestión y operación de todas las instalaciones de
procesamiento de información.
Se debe implementar la separación de funciones cuando
corresponda.
Se deben documentar los procedimientos de operación
26. 26
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Procesos de:
Planificación y aprobación de sistemas
Protección contra software malicioso
Mantenimiento back up
Administración de la red
Administración y seguridad de los medios de
almacenamiento
Acuerdos de intercambio de información y software
28. 28
Objetivo: Controlar el acceso de información.
El acceso a la información y los procesos de negocio deben ser
controlados sobre la base de los requerimientos de seguridad
y de los negocios.
Administración de accesos de usuarios
Administración de privilegios
Responsabilidades del usuario
Control de acceso a la red
Camino forzado
Autenticación de usuarios para conexiones externas
Monitoreo del acceso y uso de los sistemas
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
30. 30
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requerimientos de seguridad de los sistemas.
Objetivo: Asegurar que la seguridad es incorporada a los
sistemas de información.
Los requerimientos de seguridad deben ser identificados y
aprobados antes del desarrollo de los sistemas de
información.
32. 32
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Objetivo: Contrarrestar las interrupciones de las
actividades comerciales y proteger los procesos críticos de
los negocios de los efectos de fallas significativas o
desastres.
Se debe implementar un proceso de administración de la
continuidad de los negocios para reducir la discontinuidad
ocasionada por desastres y fallas de seguridad (que pueden
ser el resultado de, por ej., desastres naturales, accidentes,
fallas en el equipamiento, y acciones deliberadas) a un nivel
aceptables mediante una combinación de controles
preventivos y de recuperación.
Se deben analizar las consecuencias de desastres, fallas de
seguridad e interrupciones del servicio.
33. 33
Se deben analizar las consecuencias de desastres, fallas de
seguridad e interrupciones del servicio. Se deben
desarrollar e implementar planes de contingencia para
garantizar que los procesos de negocios puedan
restablecerse dentro de los plazos requeridos.
Estos planes deben mantenerse en vigencia y transformarse
en una parte integral del resto de los procesos de
administración y gestión.
La administración de la continuidad de los negocios debe
incluir controles destinados a identificar y reducir riesgos,
atenuar las consecuencias de los incidentes perjudiciales y
asegurar la reanudación oportuna de las operaciones
indispensables.
34. 34
Proceso de Administración de la Continuidad del Negocio
Se debe implementar un proceso controlado para el
desarrollo y mantenimiento de la continuidad de los
negocios en toda la organización.
Este debe contemplar los siguientes aspectos clave de la
administración de la continuidad:
a) Comprensión de los riesgos que enfrenta la organización en
términos de probabilidad de ocurrencia e impacto, incluyendo la
identificación y priorización de los procesos críticos de los
negocios;
b) comprensión del impacto que una interrupción puede tener en
los negocios (es importante que se encuentren soluciones para los
incidentes menos significativos, así como para los incidentes
graves que podrían amenazar la viabilidad de la organización ) y
definición de los objetivos comerciales de las herramientas de
procesamiento de información;
35. 35
Proceso de Administración de la Continuidad del Negocio
c) considerar la contratación de seguros que podrían formar parte del
proceso de continuidad del negocio;
d) elaboración y documentación de una estrategia de continuidad de
los negocios consecuente con los objetivos y prioridades de los
negocios acordados;
e) elaboración y documentación de planes de continuidad del negocio
de conformidad con la estrategia de continuidad acordada;
f) pruebas y actualización periódicas de los planes y procesos
implementados;
g) garantizar que la administración de la continuidad de los negocios
esté incorporada a los procesos y estructura de la organización. La
responsabilidad por la coordinación del proceso de administración
de la continuidad debe ser asignada a un nivel jerárquico
adecuado dentro de la organización, por ej. al foro de seguridad de
la información (ver 4.1.1).
36. 36
Continuidad del negocio y análisis del impacto
La continuidad de los negocios debe comenzar por la
identificación de eventos que puedan ocasionar
interrupciones en los procesos de los negocios, por ej. fallas
en el equipamiento, inundación e incendio. Luego debe
llevarse a cabo una evaluación de riesgos para determinar el
impacto de dichas interrupciones (tanto en términos de
magnitud de daño como del período de recuperación).
37. 37
Continuidad del negocio y análisis del impacto
Estas dos actividades deben llevarse a cabo con la activa
participación de los propietarios de los procesos y recursos
de negocio. Esta evaluación considera todos los procesos de
negocio y no se limita a las instalaciones de procesamiento
de la información.
Según los resultados de la evaluación, debe desarrollarse un
plan estratégico para determinar el enfoque global con el
que se abordará la continuidad de los negocios. Una vez que
se ha creado este plan, el mismo debe ser aprobado por la
gerencia.
38. 38
Elaboración e implementación de planes de continuidad
de los negocios
Los planes deben ser desarrollados para mantener o
restablecer las operaciones de los negocios en los plazos
requeridos una vez ocurrida una interrupción o falla en los
procesos críticos de los negocios.
El proceso de planificación de la continuidad de los
negocios debe considerar los siguientes puntos:
a) identificación y acuerdo con respecto a todas la
responsabilidades y procedimientos de emergencia;
b) implementación de procedimientos de emergencia para
permitir la recuperación y restablecimiento en los plazos
requeridos. Se debe dedicar especial atención a la evaluación
de la dependencias de negocios externos y a los contratos
vigentes;
39. 39
Elaboración e implementación de planes de continuidad
de los negocios
c) documentación de los procedimientos y procesos acordados;
d) instrucción adecuada del personal en materia de procedimientos
y procesos de emergencia acordados, incluyendo el manejo de
crisis;
e) prueba y actualización de los planes.
41. 41
Dominio 10 : CUMPLIMIENTO
Impedir infracciones y violaciones de las leyes del
derecho civil y penal; de las obligaciones establecidas
por leyes, estatutos, normas, reglamentos o contratos;
y de los requisitos de seguridad.
Garantizar la conformidad de los sistemas con las
políticas y estándares de seguridad de la
organización.
Maximizar la efectividad y minimizar las
interferencias de los procesos de auditoría de
sistemas.
43. Delitos tradicionalmente denominados informáticos
Relación entre RIESGOS y DELITOS informáticos
Delitos convencionales
Infracciones por “Mal uso”
44. Acceso no autorizado
Destrucción de datos
Infracción de los derechos de autor
Interceptación de e-mail
Estafas electrónicas
Transferencias de fondos
Delitos tradicionalmente denominados informáticos
Relación entre RIESGOS y DELITOS informáticos
45. Espionaje / Espionaje industrial
Terrorismo
Narcotráfico
Otros delitos: tráfico de armas, grupos extremistas
Delitos convencionales
Relación entre RIESGOS y DELITOS informáticos
46. Usos comerciales no éticos: "mailings electrónicos“
Usos no éticos: distribuir obscenidades, insultos, etc.
Publicación no autorizada: intercambio gratuito de música
Acceso a información privada de personas: bases de datos
Infracciones por “Mal uso”
Relación entre RIESGOS y DELITOS informáticos
47. 47
Principales Leyes y Proyectos de Ley
relacionados con la Seguridad
Informática en Argentina
48. 48
o Protección de Datos Personales – “Habeas Data”
o Firma Digital.
o Propiedad intelectual / Software Legal
o Regulación de las Comunicaciones Comerciales
Publicitarias por Correo Electrónico – “Antispam”
o Delitos Informáticos
o Confidencialidad de la Información y productos
protegidos
o Normativa específica del Banco Central de la
República Argentina
Principales Leyes y Proyectos de Ley relacionados
con la Seguridad Informática en Argentina
49. 49
Implementación de un Programa de
Seguridad de la Información que
contemple los requerimientos de la
Norma ISO 17799
50. 50
R
Identificación de los principales riesgos informáticos
para su compañía
P
Definición por la Dirección de una política básica de
seguridad
A Acción concreta en dos frentes:
Normativo
Implementación de un Programa de Seguridad
Ejecutivo
51. Identificación de riesgos en su compañía
Fraudes informáticos
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusión inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destrucción de información y equipos
R
Clasificación de los más críticos
52. 52
Personas y Organizaciones
dentro y/o fuera
Identificación de riesgos en su compañíaR
Competidores
Empleados descontentos
Proveedores
Clientes
Hackers
Consultores “in company”
Compañías asociadas
53. 53
en los sistemas centrales
en las PC´s
en las laptops
en los e mails
en contratos
en documentos impresos
en los legajos del personal
Donde hay información sensible
Identificación de riesgos en su compañíaR
54. Definición de una política básica de
seguridad
Breve
Clara
Implementable
Puesta en marcha por la Dirección
Difundida al personal y terceros
P
55. Definición de una política básica de
seguridad
P
Política de
Seguridad
Autorización
Protección Física
Propiedad
Eficacia
Eficiencia
Exactitud
Integridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
56. 56
Sponsoreo y seguimiento
• Dirección de la Compañía
• Comité de Seguridad
Autorización
• Dueños de datos
Definición
• Area de Seguridad Informática
• Area de Legales
Identificación de responsabilidades
de seguridad
Acción concreta: Plano NormativoA
Cumplimiento directo
• Usuarios finales
• Terceros y personal contratado
• Area de sistemas
Administración
• Administrador de Seguridad
Control
• Auditoría Interna / Externa
57. 57
Acción concreta: Plano Normativo
Normas con definiciones
Procedimientos con acción de usuarios
Estándares técnicos para los sistemas
Esquema de reportes de auditoría
De acuerdo con regulaciones y legislaciones vigentes
Desarrollo de la normativa básica y
publicación
A
58. Definición de acciones a sancionar y medidas disciplinarias a imponer
Comunicarción al personal y terceros “in company”
Utilización de convenios de confidencialidad
Definición de un sistema de “premios y
castigos” en su compañía
Acción concreta: Plano NormativoA
59. Perfil de la función
Análisis de riesgos informáticos
Participación en proyectos especiales
Administración del día a día
Objetivos y tareas básicas
Programas de trabajo rutinarios
Automatización de tareas y reportes en los sistemas
Definición e implementación de la función de
Seguridad Informática
Acción concreta: Plano EjecutivoA
60. Administración de Usuarios y Permisos en los Sistemas
Separación de Ambientes de Trabajo
Licencias legales de Software
Copias de Respaldo
Seguridad Física de las Instalaciones y Recursos
Prevención de Virus y Programas Maliciosos
Seguridad en las Comunicaciones
Auditoría Automática y Administración de Incidentes de Seguridad
Uso del Correo Electrónico
Uso de Servicios de Internet
Mejoras en los procesos del área de Sistemas
Acción concreta: Plano EjecutivoA
61. Redes internas
Accesos externos
Bases de datos
Sistemas aplicativos
Correo electrónico
Servidores, PC´s y laptops
Seguridad física
Integración con otras tecnologías
Parametrización de las redes y los
sistemas de una forma más segura
Análisis de la posibilidad de uso de softwares de seguridad avanzada
(encripción, administración centralizada, monitoreo automático)
Acción concreta: Plano EjecutivoA
62. 62
Plan de Continuidad del Negocio
Acción concreta: Plano EjecutivoA
El Plan de Continuidad del Procesamiento es parte integrante del Plan de
Continuidad del Negocio y se enmarca específicamente en:
Definir los riesgos emergentes ante una situación de interrupción no
prevista del procesamiento de la información relacionada con las
operaciones de los sistemas y definir los planes de recupero de la
capacidad de procesamiento para minimizar los impactos de la
interrupción en la correcta marcha del negocio.
El punto central es focalizarse específicamente en la recuperación de las
funciones y sistemas críticos para el negocio, cuya interrupción puede
afectar directamente los objetivos de la compañía.
63. 63
Plan de Continuidad del Negocio
Acción concreta: Plano EjecutivoA
Etapas en la Implementación del Plan
1: Clasificación de los distintos escenarios de desastres
2: Evaluación de impacto en el negocio
3: Desarrollo de una estrategia de recupero
4: Implementación de la estrategia
5: Documentación del plan de recupero
6: Testeo y mantenimiento del plan
64. 64
Acciones preventivas de monitoreo las 24 hs
Implementación de Help Desk de Seguridad
Circuitos de reportes de incidencias
Monitoreos periódicos
Auditorías
Implementación de monitoreos de
incidentes de seguridad
Acción concreta: Plano EjecutivoA
65. 65
Capacitación a los usuarios en
seguridad
Usuarios finales
Usuarios del área de sistemas
Terceros “in company”
Intranet de seguridad
Correo electrónico
Mensajes en cartelera
Presentaciones grupales
Videos institucionales
Firma de compromisos
Acción concreta: Plano EjecutivoA
Utilizando la tecnología
67. 67
Errores en asignación de Dueños de Datos
Interrelación compleja con otros proyectos
Extenso período de discusión de la normativa
Implementación prolongada en algunas tecnologías
Discusiones con proveedores de software por
soluciones
Personas “de peso” deciden aplicar las políticas para
todos menos para ellos
Casos prácticos de implementaciones: key points
68. 68
Algunas soluciones técnicas sólo son aplicables para
todos los usuarios de todas las compañías al mismo
tiempo
Prolongados períodos de evaluación de riesgos
Diferencias de criterios en clasificación de la
información
Dificultades en implementación de medidas
disciplinarias
Se deja para etapas posteriores las medidas de
contingencia de los equipos de procesamiento
Casos prácticos de implementaciones: key points
71. 71
El objetivo consiste en realizar un Intento de Intrusión Controlado
a los equipos informáticos de la compañía con el objetivo de
identificar las vulnerabilidades a las que están expuestas las redes
atacadas y definir los planes de acción para mitigar los riesgos.
Es una PRUEBA DE AUDITORIA / CONTROL / MONITOREO
muy fuerte donde se busca actuar como un “intruso” y obtener
evidencias concretas del resultado obtenido.
Metodologías de Penetration Testing
72. 72
Los accesos se intentan por vía:
• RED FISICA
• WEB
• TELEFONICA
• TRANSMISIONES
Metodologías de Penetration Testing
73. 73
En general se define si se hace:
• CON información de la compañía
• SIN información de la compañía
Metodologías de Penetration Testing
74. 74
En general las pruebas se efectúan posicionados en:
• la LAN
• la WAN
• la Zona Desmilitarizada DMZ
Metodologías de Penetration Testing
75. 75
En algunos casos se diferencian:
• PEN TEST EXTERNOS
• PEN TEST INTERNOS
Metodologías de Penetration Testing
76. 76
Metodologías de Penetration Testing
Las pruebas y herramientas que se van realizando y
utilizando, se van redefiniendo a medida que se van
ejecutando y se van observando los resultados.
77. 77
Metodologías de Penetration Testing
El enfoque de trabajo para esta práctica incluye las siguientes
actividades:
• Reconocimiento inicial de las redes y recursos
• Definición de pruebas y herramientas a utilizar
• Ejecución de las actividades
• Redefinición de pruebas y herramientas a utilizar en base a
resultados obtenidos
• Obtención de resultados y evidencias probatorias
• Limpieza de evidencias
• Documentación formal y desarrollo de Informes Finales
78. 78
Introducción al Hacking
• Identificación de Intrusos
• Definición de ataque
• Tipos de ataque y modos de prevención
79. 79
Introducción al Hacking - Intrusos
INTRUSO
“Alguien que quiere acceder a los sistemas con o
sin autorización pero con fines que pueden
perjudicar a la organización”.
81. 81
PASIVO: No altera la funcionalidad, sólo escucha y
transmite.
ACTIVO: Modificación del flujo de datos transmitido o
generación de uno falso.
Pueden ser:
• Interrupción
• Intercepción
• Modificación
• Fabricación
• Destrucción
Introducción al Hacking – Tipos de Ataques
82. 82
Ataques y Soluciones de Seguridad
• Análisis de los ataques más conocidos y sus
medidas de seguridad
• Herramientas
83. 83
Tercerización y uso de contratistas
Objetivos de control y controles ISO 17799 involucrados
4.1 Infraestructura de seguridad de la información
Administrar la seguridad de la información dentro de la organización.
4.1.6 Cooperación entre organizaciones
Falta de especificación de controles de acceso en el contrato.
Acceso no autorizado a los recursos asignados
Divulgación de claves de acceso.
4.2 Seguridad frente al acceso por parte de terceros
Mantener la seguridad de las instalaciones de procesamiento de información y de
los recursos de información de la organización a los que acceden terceras
partes.
Aplican todos los objetivos de control de ítem 4.2
84. 84
Tercerización y uso de contratistas
• 4.1 Infraestructura de seguridad de la información
Administrar la seguridad de la información dentro de la
organización.
4.1.6 Cooperación entre organizaciones
4. 2 Seguridad frente al acceso por parte de terceros
Mantener la seguridad de las instalaciones de procesamiento de
información y de los recursos de información de la organización a
los que acceden terceras partes.
Aplican todos los objetivos de control de ítem 4.2
85. 85
Tercerización y uso de contratistas
• 4.3 Tercerización
– Mantener la seguridad de la información cuando la responsabilidad por el
procesamiento de la misma fue delegada a otra organización.
– 4.3.1 Requerimientos de seguridad en contratos de tercerización
• 6.1 Seguridad en la definición de puestos de trabajo y la asignación
de recursos
– Reducir los riesgos de error humano, robo, fraude o uso inadecuado de
instalaciones.
– 6.1.3 Acuerdos de confidencialidad
• 8.1 Procedimientos y responsabilidades operativas
– Garantizar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de la información.
– 8.1.3 Procedimientos de manejo de incidentes
– 8.1.6 Administración de instalaciones externas
86. 86
Tercerización y uso de contratistas
• 8.4 Mantenimiento
– Mantener la integridad y disponibilidad de los servicios de procesamiento
y comunicación de información.
– 8.4.1 Resguardo de la información 1 Requerimientos de seguridad en contratos
de tercerización
• 8.7 Intercambios de información y software
– Impedir la pérdida, modificación o uso inadecuado de la información que
intercambian las organizaciones.
– 8.7.2 Seguridad de los medios en tránsito
– 8.7.3 Seguridad del comercio electrónico
– 8.7.4 Seguridad del correo electrónico
• 9.1 Requerimientos de negocio para el control de accesos
– Controlar el acceso de información.
– 9.1.1 Política de control de accesos
87. 87
Tercerización y uso de contratistas
• 10.3 Controles criptográficos
– Proteger la confidencialidad, autenticidad o integridad de la información.
– Aplican todos los objetivos de control de ítem 10.3 de accesos
• 10.5 Seguridad de los procesos de desarrollo y soporte.
– Mantener la seguridad del software y la información del sistema de
aplicación.
– 10.5.5 Desarrollo externo de software
• 12.1 Cumplimiento de requisitos legales
– Impedir infracciones y violaciones de las leyes del derecho civil y penal;
de las obligaciones establecidas por leyes, estatutos, normas,
reglamentos o contratos; y de los requisitos de seguridad.
– 12.1.1 Identificación de la legislación aplicable
– 12.1.2 Derechos de propiedad intelectual (DPI)
– 12.1.4 Protección de datos y privacidad de la información personal
– 12.1.5. Prevención del uso inadecuado de los recursos de procesamiento de
información
– 12.1.6 Regulación de controles para el uso de criptografía
– 12.1.7 Recolección de evidencia
88. 88
Objetivos de control
Seguridad de acceso por parte de terceros
Mantener la seguridad de las instalaciones de procesamiento de información y
de los recursos de información de la organización a los que acceden terceras
partes.
Mantenimiento (Resguardo de la información)
Mantener la integridad y disponibilidad de los servicios de procesamiento y
comunicación de información
89. 89
Objetivos de control
Procedimiento genérico
Seguridad de acceso por parte de terceros
1
Información en papel
Core systems
Internet & e-mail
Base de
seguridad
Contrato Proveedor
2 3 4
5
Control de la empresa
6
90. 90
Procedimiento de acceso por parte de terceros
Objetivos de control
1
2
3
4
5
Riesgos Puntos de control Comentarios
Falta de especificación de
controles de acceso en el
contrato
Se debe revisar si el contrato cuenta con clausulas
de acceso de personal a recurso de la
organización
La documentación debe incluir el nombre
del personal, DNI y a la empresa que
pertenece.
Se le asignan las claves de acceso al personal y
para el caso de acceso a documentación en papel
se redacta una circular indicando los autorizados
La documentación debe incluir el nombre
del personal, DNI y a la empresa que
pertenece.
Acceso no autorizado
La base de seguridad debe contener los usuarios
con nombres completos y no se deben asignar
nombres de usuarios genéricos
La base de seguridad debe contar con protección
de claves en forma encriptada, vencimientos, reglas
de ingreso, etc.
Las claves deben vencer cada 30 días,
encriptarse con algoritmos de última
generación, se debe ingresar letras y
números en las claves, etc.
La empresa debe controlar que la base sea
consistente y segura, y que además los usuarios
cuenten con el nivel de acceso solicitado y no con
uno distinto.
6
La empresa debe conttrolar que los usaurios no
divulgen sus claves de acceso a otras personas
Mediante circulares y procedimientos de
control se debe asegurar que no se
divulguen las claves de acceso
Divulgación de claves de acceso
91. 91
Objetivos de control
Procedimiento genérico
Procedimientos de Backup / Recovery
Cintas son
etiquetadas
y guardadas
Bases de Datos,
Applicaciones,
O/S
1 423 5 6
Realizar
Backups
Cintas son
rotadas
Testeo de
restauración
periódico
Demandas para
la restauración
de backups
Recuperación
de cintas
Bass de datos
Applicaciones,
O/S
7 82
Realización de
restauración
Proveedor
Control de la empresa
Contrato
92. 92
Procedimientos de Backup/Recovery
Objetivos de control
Riesgos Puntos de control Comentarios
Se ejecutan losbackups exitosamente Se debe revisarsielcontrato contienela documentación formalde
backup /políticasde recuperación yprocedimientos,y laprogramación
de losbackups.
Se le asignanclavesde acceso alpersonal primarioysecundario para las
responsabilidadesde backup /restauración.
Backupsincrementales,semanalesy mensuales.
Sign-offrealizadapara todos losbackups yrestores. Si esautomatizado,
sign-offde verificaciónalfinalizar.
Lascintasde losbackup son llevadasa un depósitofueradel lugaruna
vez pormes.
Ejecutarensayos formalesde restauraciónde lascintasdebackup
regularmente ydocumentar losresultados.
La información puede ser eficiente y
precisamente
restaurada.
Lascintasde backup se clasificanclaramente.
• La documentación deberáincluir retención,rotación. Y políticasde
reciclajepara lascintas.
• Se recomiendaque losdatos críticasreciban un backup completo
semanalmente.
• Dependiendo del grado de criticidad,la sumisión fuera del lugarpuede
ser a diario
• La clasificaciónde informacióndebe incluirmínimamente la fecha y tipo
de datos(codificado)
• Se debe limpiarlascintasralladas/repuestos.
1
2
3
4
5
6
7
8
Se debe estipularen el contrato laperiodicidad de larotaciónde cintas
• Comprobar el correctofuncionamientode losbackups ejecutados
93. 93
INSTITUTO ARGENTINO DE NORMALIZACIÓN
COMITÉ DE TECNOLOGÍA DE INFORMACIÓN
SUBCOMITE DE SEGURIDAD DE INFORMACIÓN