Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare una empresa de Scribd logo

Iram iso17799 controles

Descargar como PPT, PDF
M
MarcosPassarello2

Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de consultores de seguridad de la información.

Presentaciones relacionadas

Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
1 de 93
1 INSTITUTO ARGENTINO DE NORMALIZACIÓN COMITÉ DE TECNOLOGÍA DE INFORMACIÓN SUBCOMITE DE SEGURIDAD DE INFORMACIÓN
IRAM/ISO/IEC 17799 Gestión de la Seguridad de la Información Guía de selección de controles Abril 2020 Ver 4 Presentado por: Marcos Passarello Comité de Tecnología de la Información Subcomité de Seguridad de la Información
3 BS 7799 - Guía de Selección de Controles Administración Seguridad Información BS 7799
4 ¿Qué es Seguridad de la Información? • ISO 17799:2000 define a la misma como la preservasión de la: Información Confidencialidad Integridad Disponibilidad Preservar su valor sustancial
5 Controles de Acceso ISO 17799 Gestión de Información Clasificación y Control de Activos Política de Seguridad de Información Organización de la Seguridad Seguridad del Personal Seguridad Física Desarrollo de Sistemas Planificación de Continuidad Conformidad Gestión de Comunicaciones
6 Organización de la Seguridad ISO 17799 Implementación Clasificación de Activos Política de Seguridad de la Información Aplicación de ControlesProceso Operativo Control del Proceso Acciones Correctivas Revisión Gerencial
7 Amenazas Vulnerabilidades ActivosRiesgosControles Requerimientos de seguridad Valor de los activos y Potenciales impactos exponen tienen incrementan incrementan incrementancubiertos por indican protegen contra aprovechan Evaluación de riesgos Impacto sobre la Organización
8 Selección de Controles de ISO 17799 • Los requerimientos de seguridad de cada organización dependerán de: • la naturaleza del negocio, • cómo ésta organiza su negocio, • sus procesos, • que tecnología utiliza, • los negocios con sus socios comerciales, • los servicios y sus proveedores que utilice, • y los riesgos a los que se enfrenta. • Se consideran tres fuentes principales: • Los riesgos de la organización y de sus instalaciones de procesamiento de información • Requrimientos legales, estatutarios y regulatorios y obligaciones contractuales • Requerimientos asociados a procesos de negocio, estándares y objetivos
9 Selección de Controles de ISO 17799 • Requerimientos legales  Derecho de propiedad intelecual y software copyright  Protección de los registros de la organización  Protección de datos y privacidad de información personal  Prevenir la no pérdida de las instalaciones de procesamiento de información  Regulación de controles criptográficos  Evidenvia • Requerimientos de negocio  Tercerización y uso de contratistas  Conformidad con estándares  Conformidad con la política de seguridad  Coordinación de actividades de seguridad  Procesamiento correcto  Disponibilidad de la información y las instalaciones de procesamiento
10 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO 17799 Seguridad de la Información
11 Dominios de Norma ISO 17799 Dominio 1 - Política de Seguridad
12 Dominio 1: POLÍTICA DE SEGURIDAD Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la información. El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso con respecto a la seguridad de la información, mediante la formulación y mantenimiento de una política de seguridad de la información a través de toda la organización. Documentación de la política de seguridad de la información. Los responsables del nivel gerencial deben aprobar y publicar un documento que contenga la política de seguridad y comunicarlo a todos los empleados,según corresponda. El documento debe poner de manifiesto su compromiso y establecer el enfoque de la organización con respecto a la gestión de la seguridad de la información.
13 Documentación de la política de seguridad de la información. •Como mínimo, deben incluirse las siguientes pautas: a) definición de la seguridad de la información, sus objetivos y alcance generales y la importancia de la seguridad como un mecanismo que permite la distribución de la información (ver introducción); b) una declaración del propósito de los responsables del nivel gerencial, apoyando los objetivos y principios de la seguridad de la información; c) una breve explicación de las políticas, principios, normas y requisitos de cumplimiento en materia de seguridad, que son especialmente importantes para la organización, por ejemplo: 1) cumplimiento de requisitos legales y contractuales; 2) requisitos de instrucción en materia de seguridad; 3) prevención y detección de virus y demás software malicioso; 4) administración de la continuidad comercial; 5) consecuencias de las violaciones a la política de seguridad;
14 Documentación de la política de seguridad de la información. d) una definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información, incluyendo la comunicación de los incidentes relativos a la seguridad; e) referencias a documentos que puedan respaldar la política, por ej. , políticas y procedimientos de seguridad más detallados para sistemas de información específicos o normas de seguridad que deben cumplir los usuarios. • Esta política debe ser comunicada a todos los usuarios de la organización de manera pertinente, accesible y comprensible. Revisión y evaluación •La política debe tener un propietario que sea responsable del mantenimiento y revisión de la misma de acuerdo con un proceso definido.
15 Revisión y evaluación •El proceso debe garantizar que se lleve acabo una revisión en respuesta a cualquier cambio que pueda afectar la base original de evaluación de riesgos, por ej., incidentes de seguridad significativos, nuevas vulnerabilidades o cambios en la infraestructura técnica o de la organización. •Deben programarse revisiones periódicas de los siguientes aspectos: a) la eficacia de la política, demostrada por la naturaleza, número e impacto de los incidentes de seguridad registrados; b) el costo e impacto de los controles en la eficiencia del negocio; c) los efectos de los cambios en la tecnología.
16 Dominio 2 Organización de la Seguridad
17 Dominio 2: ORGANIZACION DE LA SEGURIDAD Objetivo: Administrar la seguridad de la información dentro de la organización. Infraestructura de seguridad de la información  Debe establecerse un marco gerencial para iniciar y controlar la implementación.  Deben establecerse adecuados foros de gestión de seguridad y responsabilidades para cada usuario en la organización.  Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas
18 Dominio 3 Clasificación y Control de Activos
19 Objetivo: Mantener una adecuada protección de los activos de la organización.  Inventarios de Información e Instalaciones  Designar un propietario para cada uno de ellos  Clasificación de la información Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS
20 Dominio 4 Seguridad del Personal
21 Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. Seguridad en la definición de puestos de trabajo y la asignación de recursos Capacitación del usuario Respuesta a incidentes y anomalías en materia de seguridad Proceso disciplinario Dominio 4: SEGURIDAD DEL PERSONAL
22 Dominio 5 Seguridad Fìsica y Ambiental
23 Objetivo: Impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa.  Perímetro de seguridad física  Controles de acceso físico  Seguridad del equipamiento  Suministros de energía  Cableado de energía eléctrica y de comunicaciones  Mantenimiento de equipos  Seguridad del equipamiento fuera del ámbito de la organización  Políticas de escritorios y pantallas limpias  Retiro de bienes Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
24 Dominio 6 Gestión de Operaciones y Comunicaciones
25 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Objetivo: Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.  Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información.  Se debe implementar la separación de funciones cuando corresponda.  Se deben documentar los procedimientos de operación
26 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de:  Planificación y aprobación de sistemas  Protección contra software malicioso  Mantenimiento back up  Administración de la red  Administración y seguridad de los medios de almacenamiento  Acuerdos de intercambio de información y software
27 Dominio 7 Sistema de Control de Accesos
28 Objetivo: Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos de seguridad y de los negocios.  Administración de accesos de usuarios  Administración de privilegios  Responsabilidades del usuario  Control de acceso a la red  Camino forzado  Autenticación de usuarios para conexiones externas  Monitoreo del acceso y uso de los sistemas Dominio 7: SISTEMA DE CONTROL DE ACCESOS
29 Dominio 8 Desarrollo y Mantenimiento de Sistemas
30 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Objetivo: Asegurar que la seguridad es incorporada a los sistemas de información.  Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.
31 Dominio 9 Plan de Continuidad del Negocio
32 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.  Se debe implementar un proceso de administración de la continuidad de los negocios para reducir la discontinuidad ocasionada por desastres y fallas de seguridad (que pueden ser el resultado de, por ej., desastres naturales, accidentes, fallas en el equipamiento, y acciones deliberadas) a un nivel aceptables mediante una combinación de controles preventivos y de recuperación.  Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.
33  Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio. Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos.  Estos planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administración y gestión.  La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables.
34 Proceso de Administración de la Continuidad del Negocio  Se debe implementar un proceso controlado para el desarrollo y mantenimiento de la continuidad de los negocios en toda la organización.  Este debe contemplar los siguientes aspectos clave de la administración de la continuidad: a) Comprensión de los riesgos que enfrenta la organización en términos de probabilidad de ocurrencia e impacto, incluyendo la identificación y priorización de los procesos críticos de los negocios; b) comprensión del impacto que una interrupción puede tener en los negocios (es importante que se encuentren soluciones para los incidentes menos significativos, así como para los incidentes graves que podrían amenazar la viabilidad de la organización ) y definición de los objetivos comerciales de las herramientas de procesamiento de información;
35 Proceso de Administración de la Continuidad del Negocio c) considerar la contratación de seguros que podrían formar parte del proceso de continuidad del negocio; d) elaboración y documentación de una estrategia de continuidad de los negocios consecuente con los objetivos y prioridades de los negocios acordados; e) elaboración y documentación de planes de continuidad del negocio de conformidad con la estrategia de continuidad acordada; f) pruebas y actualización periódicas de los planes y procesos implementados; g) garantizar que la administración de la continuidad de los negocios esté incorporada a los procesos y estructura de la organización. La responsabilidad por la coordinación del proceso de administración de la continuidad debe ser asignada a un nivel jerárquico adecuado dentro de la organización, por ej. al foro de seguridad de la información (ver 4.1.1).
36 Continuidad del negocio y análisis del impacto  La continuidad de los negocios debe comenzar por la identificación de eventos que puedan ocasionar interrupciones en los procesos de los negocios, por ej. fallas en el equipamiento, inundación e incendio. Luego debe llevarse a cabo una evaluación de riesgos para determinar el impacto de dichas interrupciones (tanto en términos de magnitud de daño como del período de recuperación).
37 Continuidad del negocio y análisis del impacto  Estas dos actividades deben llevarse a cabo con la activa participación de los propietarios de los procesos y recursos de negocio. Esta evaluación considera todos los procesos de negocio y no se limita a las instalaciones de procesamiento de la información.  Según los resultados de la evaluación, debe desarrollarse un plan estratégico para determinar el enfoque global con el que se abordará la continuidad de los negocios. Una vez que se ha creado este plan, el mismo debe ser aprobado por la gerencia.
38 Elaboración e implementación de planes de continuidad de los negocios  Los planes deben ser desarrollados para mantener o restablecer las operaciones de los negocios en los plazos requeridos una vez ocurrida una interrupción o falla en los procesos críticos de los negocios.  El proceso de planificación de la continuidad de los negocios debe considerar los siguientes puntos: a) identificación y acuerdo con respecto a todas la responsabilidades y procedimientos de emergencia; b) implementación de procedimientos de emergencia para permitir la recuperación y restablecimiento en los plazos requeridos. Se debe dedicar especial atención a la evaluación de la dependencias de negocios externos y a los contratos vigentes;
39 Elaboración e implementación de planes de continuidad de los negocios c) documentación de los procedimientos y procesos acordados; d) instrucción adecuada del personal en materia de procedimientos y procesos de emergencia acordados, incluyendo el manejo de crisis; e) prueba y actualización de los planes.
40 Dominio 10 Cumplimiento
41 Dominio 10 : CUMPLIMIENTO  Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.  Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización.  Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas.
42 Relación entre RIESGOS y DELITOS informáticos
Delitos tradicionalmente denominados informáticos Relación entre RIESGOS y DELITOS informáticos Delitos convencionales Infracciones por “Mal uso”
 Acceso no autorizado  Destrucción de datos  Infracción de los derechos de autor  Interceptación de e-mail  Estafas electrónicas  Transferencias de fondos Delitos tradicionalmente denominados informáticos Relación entre RIESGOS y DELITOS informáticos
 Espionaje / Espionaje industrial  Terrorismo  Narcotráfico  Otros delitos: tráfico de armas, grupos extremistas Delitos convencionales Relación entre RIESGOS y DELITOS informáticos
 Usos comerciales no éticos: "mailings electrónicos“  Usos no éticos: distribuir obscenidades, insultos, etc.  Publicación no autorizada: intercambio gratuito de música  Acceso a información privada de personas: bases de datos Infracciones por “Mal uso” Relación entre RIESGOS y DELITOS informáticos
47 Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Argentina
48 o Protección de Datos Personales – “Habeas Data” o Firma Digital. o Propiedad intelectual / Software Legal o Regulación de las Comunicaciones Comerciales Publicitarias por Correo Electrónico – “Antispam” o Delitos Informáticos o Confidencialidad de la Información y productos protegidos o Normativa específica del Banco Central de la República Argentina Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Argentina
49 Implementación de un Programa de Seguridad de la Información que contemple los requerimientos de la Norma ISO 17799
50 R Identificación de los principales riesgos informáticos para su compañía P Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Implementación de un Programa de Seguridad Ejecutivo
Identificación de riesgos en su compañía Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos R Clasificación de los más críticos
52 Personas y Organizaciones dentro y/o fuera Identificación de riesgos en su compañíaR Competidores Empleados descontentos Proveedores Clientes Hackers Consultores “in company” Compañías asociadas
53 en los sistemas centrales en las PC´s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal Donde hay información sensible Identificación de riesgos en su compañíaR
Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P
Definición de una política básica de seguridad P Política de Seguridad Autorización Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad
56 Sponsoreo y seguimiento • Dirección de la Compañía • Comité de Seguridad Autorización • Dueños de datos Definición • Area de Seguridad Informática • Area de Legales Identificación de responsabilidades de seguridad Acción concreta: Plano NormativoA Cumplimiento directo • Usuarios finales • Terceros y personal contratado • Area de sistemas Administración • Administrador de Seguridad Control • Auditoría Interna / Externa
57 Acción concreta: Plano Normativo Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes Desarrollo de la normativa básica y publicación A
Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros “in company” Utilización de convenios de confidencialidad Definición de un sistema de “premios y castigos” en su compañía Acción concreta: Plano NormativoA
Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas Definición e implementación de la función de Seguridad Informática Acción concreta: Plano EjecutivoA
 Administración de Usuarios y Permisos en los Sistemas  Separación de Ambientes de Trabajo  Licencias legales de Software  Copias de Respaldo  Seguridad Física de las Instalaciones y Recursos  Prevención de Virus y Programas Maliciosos  Seguridad en las Comunicaciones  Auditoría Automática y Administración de Incidentes de Seguridad  Uso del Correo Electrónico  Uso de Servicios de Internet Mejoras en los procesos del área de Sistemas Acción concreta: Plano EjecutivoA
Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC´s y laptops Seguridad física Integración con otras tecnologías Parametrización de las redes y los sistemas de una forma más segura Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) Acción concreta: Plano EjecutivoA
62 Plan de Continuidad del Negocio Acción concreta: Plano EjecutivoA El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en:  Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía.
63 Plan de Continuidad del Negocio Acción concreta: Plano EjecutivoA Etapas en la Implementación del Plan 1: Clasificación de los distintos escenarios de desastres 2: Evaluación de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementación de la estrategia 5: Documentación del plan de recupero 6: Testeo y mantenimiento del plan
64 Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías Implementación de monitoreos de incidentes de seguridad Acción concreta: Plano EjecutivoA
65 Capacitación a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros “in company” Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Acción concreta: Plano EjecutivoA Utilizando la tecnología
66 Implementación de un Programa de Seguridad: Casos
67  Errores en asignación de Dueños de Datos  Interrelación compleja con otros proyectos  Extenso período de discusión de la normativa  Implementación prolongada en algunas tecnologías  Discusiones con proveedores de software por soluciones  Personas “de peso” deciden aplicar las políticas para todos menos para ellos Casos prácticos de implementaciones: key points
68  Algunas soluciones técnicas sólo son aplicables para todos los usuarios de todas las compañías al mismo tiempo  Prolongados períodos de evaluación de riesgos  Diferencias de criterios en clasificación de la información  Dificultades en implementación de medidas disciplinarias  Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento Casos prácticos de implementaciones: key points
69 Ethical Hacking y Seguridad de la Información • Alineación con Norma ISO 17799
70 Metodologías de Penetration Testing – Ethical Hacking
71 El objetivo consiste en realizar un Intento de Intrusión Controlado a los equipos informáticos de la compañía con el objetivo de identificar las vulnerabilidades a las que están expuestas las redes atacadas y definir los planes de acción para mitigar los riesgos. Es una PRUEBA DE AUDITORIA / CONTROL / MONITOREO muy fuerte donde se busca actuar como un “intruso” y obtener evidencias concretas del resultado obtenido. Metodologías de Penetration Testing
72 Los accesos se intentan por vía: • RED FISICA • WEB • TELEFONICA • TRANSMISIONES Metodologías de Penetration Testing
73 En general se define si se hace: • CON información de la compañía • SIN información de la compañía Metodologías de Penetration Testing
74 En general las pruebas se efectúan posicionados en: • la LAN • la WAN • la Zona Desmilitarizada DMZ Metodologías de Penetration Testing
75 En algunos casos se diferencian: • PEN TEST EXTERNOS • PEN TEST INTERNOS Metodologías de Penetration Testing
76 Metodologías de Penetration Testing Las pruebas y herramientas que se van realizando y utilizando, se van redefiniendo a medida que se van ejecutando y se van observando los resultados.
77 Metodologías de Penetration Testing El enfoque de trabajo para esta práctica incluye las siguientes actividades: • Reconocimiento inicial de las redes y recursos • Definición de pruebas y herramientas a utilizar • Ejecución de las actividades • Redefinición de pruebas y herramientas a utilizar en base a resultados obtenidos • Obtención de resultados y evidencias probatorias • Limpieza de evidencias • Documentación formal y desarrollo de Informes Finales
78 Introducción al Hacking • Identificación de Intrusos • Definición de ataque • Tipos de ataque y modos de prevención
79 Introducción al Hacking - Intrusos INTRUSO “Alguien que quiere acceder a los sistemas con o sin autorización pero con fines que pueden perjudicar a la organización”.
80 Introducción al Hacking - Intrusos HACKER CRACKER PHREAKER Otros
81 PASIVO: No altera la funcionalidad, sólo escucha y transmite. ACTIVO: Modificación del flujo de datos transmitido o generación de uno falso. Pueden ser: • Interrupción • Intercepción • Modificación • Fabricación • Destrucción Introducción al Hacking – Tipos de Ataques
82 Ataques y Soluciones de Seguridad • Análisis de los ataques más conocidos y sus medidas de seguridad • Herramientas
83 Tercerización y uso de contratistas Objetivos de control y controles ISO 17799 involucrados 4.1 Infraestructura de seguridad de la información Administrar la seguridad de la información dentro de la organización. 4.1.6 Cooperación entre organizaciones Falta de especificación de controles de acceso en el contrato. Acceso no autorizado a los recursos asignados Divulgación de claves de acceso. 4.2 Seguridad frente al acceso por parte de terceros Mantener la seguridad de las instalaciones de procesamiento de información y de los recursos de información de la organización a los que acceden terceras partes. Aplican todos los objetivos de control de ítem 4.2
84 Tercerización y uso de contratistas • 4.1 Infraestructura de seguridad de la información Administrar la seguridad de la información dentro de la organización. 4.1.6 Cooperación entre organizaciones 4. 2 Seguridad frente al acceso por parte de terceros Mantener la seguridad de las instalaciones de procesamiento de información y de los recursos de información de la organización a los que acceden terceras partes. Aplican todos los objetivos de control de ítem 4.2
85 Tercerización y uso de contratistas • 4.3 Tercerización – Mantener la seguridad de la información cuando la responsabilidad por el procesamiento de la misma fue delegada a otra organización. – 4.3.1 Requerimientos de seguridad en contratos de tercerización • 6.1 Seguridad en la definición de puestos de trabajo y la asignación de recursos – Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. – 6.1.3 Acuerdos de confidencialidad • 8.1 Procedimientos y responsabilidades operativas – Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. – 8.1.3 Procedimientos de manejo de incidentes – 8.1.6 Administración de instalaciones externas
86 Tercerización y uso de contratistas • 8.4 Mantenimiento – Mantener la integridad y disponibilidad de los servicios de procesamiento y comunicación de información. – 8.4.1 Resguardo de la información 1 Requerimientos de seguridad en contratos de tercerización • 8.7 Intercambios de información y software – Impedir la pérdida, modificación o uso inadecuado de la información que intercambian las organizaciones. – 8.7.2 Seguridad de los medios en tránsito – 8.7.3 Seguridad del comercio electrónico – 8.7.4 Seguridad del correo electrónico • 9.1 Requerimientos de negocio para el control de accesos – Controlar el acceso de información. – 9.1.1 Política de control de accesos
87 Tercerización y uso de contratistas • 10.3 Controles criptográficos – Proteger la confidencialidad, autenticidad o integridad de la información. – Aplican todos los objetivos de control de ítem 10.3 de accesos • 10.5 Seguridad de los procesos de desarrollo y soporte. – Mantener la seguridad del software y la información del sistema de aplicación. – 10.5.5 Desarrollo externo de software • 12.1 Cumplimiento de requisitos legales – Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. – 12.1.1 Identificación de la legislación aplicable – 12.1.2 Derechos de propiedad intelectual (DPI) – 12.1.4 Protección de datos y privacidad de la información personal – 12.1.5. Prevención del uso inadecuado de los recursos de procesamiento de información – 12.1.6 Regulación de controles para el uso de criptografía – 12.1.7 Recolección de evidencia
88 Objetivos de control Seguridad de acceso por parte de terceros Mantener la seguridad de las instalaciones de procesamiento de información y de los recursos de información de la organización a los que acceden terceras partes. Mantenimiento (Resguardo de la información) Mantener la integridad y disponibilidad de los servicios de procesamiento y comunicación de información
89 Objetivos de control Procedimiento genérico Seguridad de acceso por parte de terceros 1 Información en papel Core systems Internet & e-mail Base de seguridad Contrato Proveedor 2 3 4 5 Control de la empresa 6
90 Procedimiento de acceso por parte de terceros Objetivos de control 1 2 3 4 5 Riesgos Puntos de control Comentarios Falta de especificación de controles de acceso en el contrato Se debe revisar si el contrato cuenta con clausulas de acceso de personal a recurso de la organización La documentación debe incluir el nombre del personal, DNI y a la empresa que pertenece. Se le asignan las claves de acceso al personal y para el caso de acceso a documentación en papel se redacta una circular indicando los autorizados La documentación debe incluir el nombre del personal, DNI y a la empresa que pertenece. Acceso no autorizado La base de seguridad debe contener los usuarios con nombres completos y no se deben asignar nombres de usuarios genéricos La base de seguridad debe contar con protección de claves en forma encriptada, vencimientos, reglas de ingreso, etc. Las claves deben vencer cada 30 días, encriptarse con algoritmos de última generación, se debe ingresar letras y números en las claves, etc. La empresa debe controlar que la base sea consistente y segura, y que además los usuarios cuenten con el nivel de acceso solicitado y no con uno distinto. 6 La empresa debe conttrolar que los usaurios no divulgen sus claves de acceso a otras personas Mediante circulares y procedimientos de control se debe asegurar que no se divulguen las claves de acceso Divulgación de claves de acceso
91 Objetivos de control Procedimiento genérico Procedimientos de Backup / Recovery Cintas son etiquetadas y guardadas Bases de Datos, Applicaciones, O/S 1 423 5 6 Realizar Backups Cintas son rotadas Testeo de restauración periódico Demandas para la restauración de backups Recuperación de cintas Bass de datos Applicaciones, O/S 7 82 Realización de restauración Proveedor Control de la empresa Contrato
92 Procedimientos de Backup/Recovery Objetivos de control Riesgos Puntos de control Comentarios Se ejecutan losbackups exitosamente Se debe revisarsielcontrato contienela documentación formalde backup /políticasde recuperación yprocedimientos,y laprogramación de losbackups. Se le asignanclavesde acceso alpersonal primarioysecundario para las responsabilidadesde backup /restauración. Backupsincrementales,semanalesy mensuales. Sign-offrealizadapara todos losbackups yrestores. Si esautomatizado, sign-offde verificaciónalfinalizar. Lascintasde losbackup son llevadasa un depósitofueradel lugaruna vez pormes. Ejecutarensayos formalesde restauraciónde lascintasdebackup regularmente ydocumentar losresultados. La información puede ser eficiente y precisamente restaurada. Lascintasde backup se clasificanclaramente. • La documentación deberáincluir retención,rotación. Y políticasde reciclajepara lascintas. • Se recomiendaque losdatos críticasreciban un backup completo semanalmente. • Dependiendo del grado de criticidad,la sumisión fuera del lugarpuede ser a diario • La clasificaciónde informacióndebe incluirmínimamente la fecha y tipo de datos(codificado) • Se debe limpiarlascintasralladas/repuestos. 1 2 3 4 5 6 7 8 Se debe estipularen el contrato laperiodicidad de larotaciónde cintas • Comprobar el correctofuncionamientode losbackups ejecutados
93 INSTITUTO ARGENTINO DE NORMALIZACIÓN COMITÉ DE TECNOLOGÍA DE INFORMACIÓN SUBCOMITE DE SEGURIDAD DE INFORMACIÓN

Más contenido relacionado

Iram iso17799 controles

  • 1. 1 INSTITUTO ARGENTINO DE NORMALIZACIÓN COMITÉ DE TECNOLOGÍA DE INFORMACIÓN SUBCOMITE DE SEGURIDAD DE INFORMACIÓN
  • 2. IRAM/ISO/IEC 17799 Gestión de la Seguridad de la Información Guía de selección de controles Abril 2020 Ver 4 Presentado por: Marcos Passarello Comité de Tecnología de la Información Subcomité de Seguridad de la Información
  • 3. 3 BS 7799 - Guía de Selección de Controles Administración Seguridad Información BS 7799
  • 4. 4 ¿Qué es Seguridad de la Información? • ISO 17799:2000 define a la misma como la preservasión de la: Información Confidencialidad Integridad Disponibilidad Preservar su valor sustancial
  • 5. 5 Controles de Acceso ISO 17799 Gestión de Información Clasificación y Control de Activos Política de Seguridad de Información Organización de la Seguridad Seguridad del Personal Seguridad Física Desarrollo de Sistemas Planificación de Continuidad Conformidad Gestión de Comunicaciones
  • 6. 6 Organización de la Seguridad ISO 17799 Implementación Clasificación de Activos Política de Seguridad de la Información Aplicación de ControlesProceso Operativo Control del Proceso Acciones Correctivas Revisión Gerencial
  • 7. 7 Amenazas Vulnerabilidades ActivosRiesgosControles Requerimientos de seguridad Valor de los activos y Potenciales impactos exponen tienen incrementan incrementan incrementancubiertos por indican protegen contra aprovechan Evaluación de riesgos Impacto sobre la Organización
  • 8. 8 Selección de Controles de ISO 17799 • Los requerimientos de seguridad de cada organización dependerán de: • la naturaleza del negocio, • cómo ésta organiza su negocio, • sus procesos, • que tecnología utiliza, • los negocios con sus socios comerciales, • los servicios y sus proveedores que utilice, • y los riesgos a los que se enfrenta. • Se consideran tres fuentes principales: • Los riesgos de la organización y de sus instalaciones de procesamiento de información • Requrimientos legales, estatutarios y regulatorios y obligaciones contractuales • Requerimientos asociados a procesos de negocio, estándares y objetivos
  • 9. 9 Selección de Controles de ISO 17799 • Requerimientos legales  Derecho de propiedad intelecual y software copyright  Protección de los registros de la organización  Protección de datos y privacidad de información personal  Prevenir la no pérdida de las instalaciones de procesamiento de información  Regulación de controles criptográficos  Evidenvia • Requerimientos de negocio  Tercerización y uso de contratistas  Conformidad con estándares  Conformidad con la política de seguridad  Coordinación de actividades de seguridad  Procesamiento correcto  Disponibilidad de la información y las instalaciones de procesamiento
  • 10. 10 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO 17799 Seguridad de la Información
  • 11. 11 Dominios de Norma ISO 17799 Dominio 1 - Política de Seguridad
  • 12. 12 Dominio 1: POLÍTICA DE SEGURIDAD Objetivo: Proporcionar dirección y apoyo gerencial para brindar seguridad de la información. El nivel gerencial debe establecer una dirección política clara y demostrar apoyo y compromiso con respecto a la seguridad de la información, mediante la formulación y mantenimiento de una política de seguridad de la información a través de toda la organización. Documentación de la política de seguridad de la información. Los responsables del nivel gerencial deben aprobar y publicar un documento que contenga la política de seguridad y comunicarlo a todos los empleados,según corresponda. El documento debe poner de manifiesto su compromiso y establecer el enfoque de la organización con respecto a la gestión de la seguridad de la información.
  • 13. 13 Documentación de la política de seguridad de la información. •Como mínimo, deben incluirse las siguientes pautas: a) definición de la seguridad de la información, sus objetivos y alcance generales y la importancia de la seguridad como un mecanismo que permite la distribución de la información (ver introducción); b) una declaración del propósito de los responsables del nivel gerencial, apoyando los objetivos y principios de la seguridad de la información; c) una breve explicación de las políticas, principios, normas y requisitos de cumplimiento en materia de seguridad, que son especialmente importantes para la organización, por ejemplo: 1) cumplimiento de requisitos legales y contractuales; 2) requisitos de instrucción en materia de seguridad; 3) prevención y detección de virus y demás software malicioso; 4) administración de la continuidad comercial; 5) consecuencias de las violaciones a la política de seguridad;
  • 14. 14 Documentación de la política de seguridad de la información. d) una definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información, incluyendo la comunicación de los incidentes relativos a la seguridad; e) referencias a documentos que puedan respaldar la política, por ej. , políticas y procedimientos de seguridad más detallados para sistemas de información específicos o normas de seguridad que deben cumplir los usuarios. • Esta política debe ser comunicada a todos los usuarios de la organización de manera pertinente, accesible y comprensible. Revisión y evaluación •La política debe tener un propietario que sea responsable del mantenimiento y revisión de la misma de acuerdo con un proceso definido.
  • 15. 15 Revisión y evaluación •El proceso debe garantizar que se lleve acabo una revisión en respuesta a cualquier cambio que pueda afectar la base original de evaluación de riesgos, por ej., incidentes de seguridad significativos, nuevas vulnerabilidades o cambios en la infraestructura técnica o de la organización. •Deben programarse revisiones periódicas de los siguientes aspectos: a) la eficacia de la política, demostrada por la naturaleza, número e impacto de los incidentes de seguridad registrados; b) el costo e impacto de los controles en la eficiencia del negocio; c) los efectos de los cambios en la tecnología.
  • 17. 17 Dominio 2: ORGANIZACION DE LA SEGURIDAD Objetivo: Administrar la seguridad de la información dentro de la organización. Infraestructura de seguridad de la información  Debe establecerse un marco gerencial para iniciar y controlar la implementación.  Deben establecerse adecuados foros de gestión de seguridad y responsabilidades para cada usuario en la organización.  Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas
  • 18. 18 Dominio 3 Clasificación y Control de Activos
  • 19. 19 Objetivo: Mantener una adecuada protección de los activos de la organización.  Inventarios de Información e Instalaciones  Designar un propietario para cada uno de ellos  Clasificación de la información Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS
  • 21. 21 Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. Seguridad en la definición de puestos de trabajo y la asignación de recursos Capacitación del usuario Respuesta a incidentes y anomalías en materia de seguridad Proceso disciplinario Dominio 4: SEGURIDAD DEL PERSONAL
  • 23. 23 Objetivo: Impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa.  Perímetro de seguridad física  Controles de acceso físico  Seguridad del equipamiento  Suministros de energía  Cableado de energía eléctrica y de comunicaciones  Mantenimiento de equipos  Seguridad del equipamiento fuera del ámbito de la organización  Políticas de escritorios y pantallas limpias  Retiro de bienes Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
  • 24. 24 Dominio 6 Gestión de Operaciones y Comunicaciones
  • 25. 25 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Objetivo: Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.  Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información.  Se debe implementar la separación de funciones cuando corresponda.  Se deben documentar los procedimientos de operación
  • 26. 26 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de:  Planificación y aprobación de sistemas  Protección contra software malicioso  Mantenimiento back up  Administración de la red  Administración y seguridad de los medios de almacenamiento  Acuerdos de intercambio de información y software
  • 27. 27 Dominio 7 Sistema de Control de Accesos
  • 28. 28 Objetivo: Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos de seguridad y de los negocios.  Administración de accesos de usuarios  Administración de privilegios  Responsabilidades del usuario  Control de acceso a la red  Camino forzado  Autenticación de usuarios para conexiones externas  Monitoreo del acceso y uso de los sistemas Dominio 7: SISTEMA DE CONTROL DE ACCESOS
  • 29. 29 Dominio 8 Desarrollo y Mantenimiento de Sistemas
  • 30. 30 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Objetivo: Asegurar que la seguridad es incorporada a los sistemas de información.  Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.
  • 31. 31 Dominio 9 Plan de Continuidad del Negocio
  • 32. 32 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.  Se debe implementar un proceso de administración de la continuidad de los negocios para reducir la discontinuidad ocasionada por desastres y fallas de seguridad (que pueden ser el resultado de, por ej., desastres naturales, accidentes, fallas en el equipamiento, y acciones deliberadas) a un nivel aceptables mediante una combinación de controles preventivos y de recuperación.  Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.
  • 33. 33  Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio. Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos.  Estos planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administración y gestión.  La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables.
  • 34. 34 Proceso de Administración de la Continuidad del Negocio  Se debe implementar un proceso controlado para el desarrollo y mantenimiento de la continuidad de los negocios en toda la organización.  Este debe contemplar los siguientes aspectos clave de la administración de la continuidad: a) Comprensión de los riesgos que enfrenta la organización en términos de probabilidad de ocurrencia e impacto, incluyendo la identificación y priorización de los procesos críticos de los negocios; b) comprensión del impacto que una interrupción puede tener en los negocios (es importante que se encuentren soluciones para los incidentes menos significativos, así como para los incidentes graves que podrían amenazar la viabilidad de la organización ) y definición de los objetivos comerciales de las herramientas de procesamiento de información;
  • 35. 35 Proceso de Administración de la Continuidad del Negocio c) considerar la contratación de seguros que podrían formar parte del proceso de continuidad del negocio; d) elaboración y documentación de una estrategia de continuidad de los negocios consecuente con los objetivos y prioridades de los negocios acordados; e) elaboración y documentación de planes de continuidad del negocio de conformidad con la estrategia de continuidad acordada; f) pruebas y actualización periódicas de los planes y procesos implementados; g) garantizar que la administración de la continuidad de los negocios esté incorporada a los procesos y estructura de la organización. La responsabilidad por la coordinación del proceso de administración de la continuidad debe ser asignada a un nivel jerárquico adecuado dentro de la organización, por ej. al foro de seguridad de la información (ver 4.1.1).
  • 36. 36 Continuidad del negocio y análisis del impacto  La continuidad de los negocios debe comenzar por la identificación de eventos que puedan ocasionar interrupciones en los procesos de los negocios, por ej. fallas en el equipamiento, inundación e incendio. Luego debe llevarse a cabo una evaluación de riesgos para determinar el impacto de dichas interrupciones (tanto en términos de magnitud de daño como del período de recuperación).
  • 37. 37 Continuidad del negocio y análisis del impacto  Estas dos actividades deben llevarse a cabo con la activa participación de los propietarios de los procesos y recursos de negocio. Esta evaluación considera todos los procesos de negocio y no se limita a las instalaciones de procesamiento de la información.  Según los resultados de la evaluación, debe desarrollarse un plan estratégico para determinar el enfoque global con el que se abordará la continuidad de los negocios. Una vez que se ha creado este plan, el mismo debe ser aprobado por la gerencia.
  • 38. 38 Elaboración e implementación de planes de continuidad de los negocios  Los planes deben ser desarrollados para mantener o restablecer las operaciones de los negocios en los plazos requeridos una vez ocurrida una interrupción o falla en los procesos críticos de los negocios.  El proceso de planificación de la continuidad de los negocios debe considerar los siguientes puntos: a) identificación y acuerdo con respecto a todas la responsabilidades y procedimientos de emergencia; b) implementación de procedimientos de emergencia para permitir la recuperación y restablecimiento en los plazos requeridos. Se debe dedicar especial atención a la evaluación de la dependencias de negocios externos y a los contratos vigentes;
  • 39. 39 Elaboración e implementación de planes de continuidad de los negocios c) documentación de los procedimientos y procesos acordados; d) instrucción adecuada del personal en materia de procedimientos y procesos de emergencia acordados, incluyendo el manejo de crisis; e) prueba y actualización de los planes.
  • 41. 41 Dominio 10 : CUMPLIMIENTO  Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.  Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización.  Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas.
  • 42. 42 Relación entre RIESGOS y DELITOS informáticos
  • 43. Delitos tradicionalmente denominados informáticos Relación entre RIESGOS y DELITOS informáticos Delitos convencionales Infracciones por “Mal uso”
  • 44.  Acceso no autorizado  Destrucción de datos  Infracción de los derechos de autor  Interceptación de e-mail  Estafas electrónicas  Transferencias de fondos Delitos tradicionalmente denominados informáticos Relación entre RIESGOS y DELITOS informáticos
  • 45.  Espionaje / Espionaje industrial  Terrorismo  Narcotráfico  Otros delitos: tráfico de armas, grupos extremistas Delitos convencionales Relación entre RIESGOS y DELITOS informáticos
  • 46.  Usos comerciales no éticos: "mailings electrónicos“  Usos no éticos: distribuir obscenidades, insultos, etc.  Publicación no autorizada: intercambio gratuito de música  Acceso a información privada de personas: bases de datos Infracciones por “Mal uso” Relación entre RIESGOS y DELITOS informáticos
  • 47. 47 Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Argentina
  • 48. 48 o Protección de Datos Personales – “Habeas Data” o Firma Digital. o Propiedad intelectual / Software Legal o Regulación de las Comunicaciones Comerciales Publicitarias por Correo Electrónico – “Antispam” o Delitos Informáticos o Confidencialidad de la Información y productos protegidos o Normativa específica del Banco Central de la República Argentina Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Argentina
  • 49. 49 Implementación de un Programa de Seguridad de la Información que contemple los requerimientos de la Norma ISO 17799
  • 50. 50 R Identificación de los principales riesgos informáticos para su compañía P Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Implementación de un Programa de Seguridad Ejecutivo
  • 51. Identificación de riesgos en su compañía Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos R Clasificación de los más críticos
  • 52. 52 Personas y Organizaciones dentro y/o fuera Identificación de riesgos en su compañíaR Competidores Empleados descontentos Proveedores Clientes Hackers Consultores “in company” Compañías asociadas
  • 53. 53 en los sistemas centrales en las PC´s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal Donde hay información sensible Identificación de riesgos en su compañíaR
  • 54. Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P
  • 55. Definición de una política básica de seguridad P Política de Seguridad Autorización Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad
  • 56. 56 Sponsoreo y seguimiento • Dirección de la Compañía • Comité de Seguridad Autorización • Dueños de datos Definición • Area de Seguridad Informática • Area de Legales Identificación de responsabilidades de seguridad Acción concreta: Plano NormativoA Cumplimiento directo • Usuarios finales • Terceros y personal contratado • Area de sistemas Administración • Administrador de Seguridad Control • Auditoría Interna / Externa
  • 57. 57 Acción concreta: Plano Normativo Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes Desarrollo de la normativa básica y publicación A
  • 58. Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros “in company” Utilización de convenios de confidencialidad Definición de un sistema de “premios y castigos” en su compañía Acción concreta: Plano NormativoA
  • 59. Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas Definición e implementación de la función de Seguridad Informática Acción concreta: Plano EjecutivoA
  • 60.  Administración de Usuarios y Permisos en los Sistemas  Separación de Ambientes de Trabajo  Licencias legales de Software  Copias de Respaldo  Seguridad Física de las Instalaciones y Recursos  Prevención de Virus y Programas Maliciosos  Seguridad en las Comunicaciones  Auditoría Automática y Administración de Incidentes de Seguridad  Uso del Correo Electrónico  Uso de Servicios de Internet Mejoras en los procesos del área de Sistemas Acción concreta: Plano EjecutivoA
  • 61. Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC´s y laptops Seguridad física Integración con otras tecnologías Parametrización de las redes y los sistemas de una forma más segura Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) Acción concreta: Plano EjecutivoA
  • 62. 62 Plan de Continuidad del Negocio Acción concreta: Plano EjecutivoA El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en:  Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía.
  • 63. 63 Plan de Continuidad del Negocio Acción concreta: Plano EjecutivoA Etapas en la Implementación del Plan 1: Clasificación de los distintos escenarios de desastres 2: Evaluación de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementación de la estrategia 5: Documentación del plan de recupero 6: Testeo y mantenimiento del plan
  • 64. 64 Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías Implementación de monitoreos de incidentes de seguridad Acción concreta: Plano EjecutivoA
  • 65. 65 Capacitación a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros “in company” Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Acción concreta: Plano EjecutivoA Utilizando la tecnología
  • 66. 66 Implementación de un Programa de Seguridad: Casos
  • 67. 67  Errores en asignación de Dueños de Datos  Interrelación compleja con otros proyectos  Extenso período de discusión de la normativa  Implementación prolongada en algunas tecnologías  Discusiones con proveedores de software por soluciones  Personas “de peso” deciden aplicar las políticas para todos menos para ellos Casos prácticos de implementaciones: key points
  • 68. 68  Algunas soluciones técnicas sólo son aplicables para todos los usuarios de todas las compañías al mismo tiempo  Prolongados períodos de evaluación de riesgos  Diferencias de criterios en clasificación de la información  Dificultades en implementación de medidas disciplinarias  Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento Casos prácticos de implementaciones: key points
  • 69. 69 Ethical Hacking y Seguridad de la Información • Alineación con Norma ISO 17799
  • 70. 70 Metodologías de Penetration Testing – Ethical Hacking
  • 71. 71 El objetivo consiste en realizar un Intento de Intrusión Controlado a los equipos informáticos de la compañía con el objetivo de identificar las vulnerabilidades a las que están expuestas las redes atacadas y definir los planes de acción para mitigar los riesgos. Es una PRUEBA DE AUDITORIA / CONTROL / MONITOREO muy fuerte donde se busca actuar como un “intruso” y obtener evidencias concretas del resultado obtenido. Metodologías de Penetration Testing
  • 72. 72 Los accesos se intentan por vía: • RED FISICA • WEB • TELEFONICA • TRANSMISIONES Metodologías de Penetration Testing
  • 73. 73 En general se define si se hace: • CON información de la compañía • SIN información de la compañía Metodologías de Penetration Testing
  • 74. 74 En general las pruebas se efectúan posicionados en: • la LAN • la WAN • la Zona Desmilitarizada DMZ Metodologías de Penetration Testing
  • 75. 75 En algunos casos se diferencian: • PEN TEST EXTERNOS • PEN TEST INTERNOS Metodologías de Penetration Testing
  • 76. 76 Metodologías de Penetration Testing Las pruebas y herramientas que se van realizando y utilizando, se van redefiniendo a medida que se van ejecutando y se van observando los resultados.
  • 77. 77 Metodologías de Penetration Testing El enfoque de trabajo para esta práctica incluye las siguientes actividades: • Reconocimiento inicial de las redes y recursos • Definición de pruebas y herramientas a utilizar • Ejecución de las actividades • Redefinición de pruebas y herramientas a utilizar en base a resultados obtenidos • Obtención de resultados y evidencias probatorias • Limpieza de evidencias • Documentación formal y desarrollo de Informes Finales
  • 78. 78 Introducción al Hacking • Identificación de Intrusos • Definición de ataque • Tipos de ataque y modos de prevención
  • 79. 79 Introducción al Hacking - Intrusos INTRUSO “Alguien que quiere acceder a los sistemas con o sin autorización pero con fines que pueden perjudicar a la organización”.
  • 80. 80 Introducción al Hacking - Intrusos HACKER CRACKER PHREAKER Otros
  • 81. 81 PASIVO: No altera la funcionalidad, sólo escucha y transmite. ACTIVO: Modificación del flujo de datos transmitido o generación de uno falso. Pueden ser: • Interrupción • Intercepción • Modificación • Fabricación • Destrucción Introducción al Hacking – Tipos de Ataques
  • 82. 82 Ataques y Soluciones de Seguridad • Análisis de los ataques más conocidos y sus medidas de seguridad • Herramientas
  • 83. 83 Tercerización y uso de contratistas Objetivos de control y controles ISO 17799 involucrados 4.1 Infraestructura de seguridad de la información Administrar la seguridad de la información dentro de la organización. 4.1.6 Cooperación entre organizaciones Falta de especificación de controles de acceso en el contrato. Acceso no autorizado a los recursos asignados Divulgación de claves de acceso. 4.2 Seguridad frente al acceso por parte de terceros Mantener la seguridad de las instalaciones de procesamiento de información y de los recursos de información de la organización a los que acceden terceras partes. Aplican todos los objetivos de control de ítem 4.2
  • 84. 84 Tercerización y uso de contratistas • 4.1 Infraestructura de seguridad de la información Administrar la seguridad de la información dentro de la organización. 4.1.6 Cooperación entre organizaciones 4. 2 Seguridad frente al acceso por parte de terceros Mantener la seguridad de las instalaciones de procesamiento de información y de los recursos de información de la organización a los que acceden terceras partes. Aplican todos los objetivos de control de ítem 4.2
  • 85. 85 Tercerización y uso de contratistas • 4.3 Tercerización – Mantener la seguridad de la información cuando la responsabilidad por el procesamiento de la misma fue delegada a otra organización. – 4.3.1 Requerimientos de seguridad en contratos de tercerización • 6.1 Seguridad en la definición de puestos de trabajo y la asignación de recursos – Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. – 6.1.3 Acuerdos de confidencialidad • 8.1 Procedimientos y responsabilidades operativas – Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. – 8.1.3 Procedimientos de manejo de incidentes – 8.1.6 Administración de instalaciones externas
  • 86. 86 Tercerización y uso de contratistas • 8.4 Mantenimiento – Mantener la integridad y disponibilidad de los servicios de procesamiento y comunicación de información. – 8.4.1 Resguardo de la información 1 Requerimientos de seguridad en contratos de tercerización • 8.7 Intercambios de información y software – Impedir la pérdida, modificación o uso inadecuado de la información que intercambian las organizaciones. – 8.7.2 Seguridad de los medios en tránsito – 8.7.3 Seguridad del comercio electrónico – 8.7.4 Seguridad del correo electrónico • 9.1 Requerimientos de negocio para el control de accesos – Controlar el acceso de información. – 9.1.1 Política de control de accesos
  • 87. 87 Tercerización y uso de contratistas • 10.3 Controles criptográficos – Proteger la confidencialidad, autenticidad o integridad de la información. – Aplican todos los objetivos de control de ítem 10.3 de accesos • 10.5 Seguridad de los procesos de desarrollo y soporte. – Mantener la seguridad del software y la información del sistema de aplicación. – 10.5.5 Desarrollo externo de software • 12.1 Cumplimiento de requisitos legales – Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. – 12.1.1 Identificación de la legislación aplicable – 12.1.2 Derechos de propiedad intelectual (DPI) – 12.1.4 Protección de datos y privacidad de la información personal – 12.1.5. Prevención del uso inadecuado de los recursos de procesamiento de información – 12.1.6 Regulación de controles para el uso de criptografía – 12.1.7 Recolección de evidencia
  • 88. 88 Objetivos de control Seguridad de acceso por parte de terceros Mantener la seguridad de las instalaciones de procesamiento de información y de los recursos de información de la organización a los que acceden terceras partes. Mantenimiento (Resguardo de la información) Mantener la integridad y disponibilidad de los servicios de procesamiento y comunicación de información
  • 89. 89 Objetivos de control Procedimiento genérico Seguridad de acceso por parte de terceros 1 Información en papel Core systems Internet & e-mail Base de seguridad Contrato Proveedor 2 3 4 5 Control de la empresa 6
  • 90. 90 Procedimiento de acceso por parte de terceros Objetivos de control 1 2 3 4 5 Riesgos Puntos de control Comentarios Falta de especificación de controles de acceso en el contrato Se debe revisar si el contrato cuenta con clausulas de acceso de personal a recurso de la organización La documentación debe incluir el nombre del personal, DNI y a la empresa que pertenece. Se le asignan las claves de acceso al personal y para el caso de acceso a documentación en papel se redacta una circular indicando los autorizados La documentación debe incluir el nombre del personal, DNI y a la empresa que pertenece. Acceso no autorizado La base de seguridad debe contener los usuarios con nombres completos y no se deben asignar nombres de usuarios genéricos La base de seguridad debe contar con protección de claves en forma encriptada, vencimientos, reglas de ingreso, etc. Las claves deben vencer cada 30 días, encriptarse con algoritmos de última generación, se debe ingresar letras y números en las claves, etc. La empresa debe controlar que la base sea consistente y segura, y que además los usuarios cuenten con el nivel de acceso solicitado y no con uno distinto. 6 La empresa debe conttrolar que los usaurios no divulgen sus claves de acceso a otras personas Mediante circulares y procedimientos de control se debe asegurar que no se divulguen las claves de acceso Divulgación de claves de acceso
  • 91. 91 Objetivos de control Procedimiento genérico Procedimientos de Backup / Recovery Cintas son etiquetadas y guardadas Bases de Datos, Applicaciones, O/S 1 423 5 6 Realizar Backups Cintas son rotadas Testeo de restauración periódico Demandas para la restauración de backups Recuperación de cintas Bass de datos Applicaciones, O/S 7 82 Realización de restauración Proveedor Control de la empresa Contrato
  • 92. 92 Procedimientos de Backup/Recovery Objetivos de control Riesgos Puntos de control Comentarios Se ejecutan losbackups exitosamente Se debe revisarsielcontrato contienela documentación formalde backup /políticasde recuperación yprocedimientos,y laprogramación de losbackups. Se le asignanclavesde acceso alpersonal primarioysecundario para las responsabilidadesde backup /restauración. Backupsincrementales,semanalesy mensuales. Sign-offrealizadapara todos losbackups yrestores. Si esautomatizado, sign-offde verificaciónalfinalizar. Lascintasde losbackup son llevadasa un depósitofueradel lugaruna vez pormes. Ejecutarensayos formalesde restauraciónde lascintasdebackup regularmente ydocumentar losresultados. La información puede ser eficiente y precisamente restaurada. Lascintasde backup se clasificanclaramente. • La documentación deberáincluir retención,rotación. Y políticasde reciclajepara lascintas. • Se recomiendaque losdatos críticasreciban un backup completo semanalmente. • Dependiendo del grado de criticidad,la sumisión fuera del lugarpuede ser a diario • La clasificaciónde informacióndebe incluirmínimamente la fecha y tipo de datos(codificado) • Se debe limpiarlascintasralladas/repuestos. 1 2 3 4 5 6 7 8 Se debe estipularen el contrato laperiodicidad de larotaciónde cintas • Comprobar el correctofuncionamientode losbackups ejecutados
  • 93. 93 INSTITUTO ARGENTINO DE NORMALIZACIÓN COMITÉ DE TECNOLOGÍA DE INFORMACIÓN SUBCOMITE DE SEGURIDAD DE INFORMACIÓN