2007 generación 6 diplomado de seguridad informática 1 proyecto trabajo práctico desarrollo de la...

2007 Generación 6 Diplomado de Seguridad Informática

1

ProyectoTrabajo Práctico

Desarrollo de la estrategia de seguridad de una organización

Jesús Vázquez Gómez


2

Contenido

Objetivo Aspectos de la estrategia Panorama de los elementos de la estrategia Instrucciones de realización Entregables por fase Acuerdos


3

Objetivo

Capacitar al participante en el proceso de la gestión de la seguridad, mediante el desarrollo de una estrategia de seguridad de la información.

Esta estrategia incluye el establecimiento de la misión de seguridad de la organización, así como la realización de un análisis de riesgos y la redacción de una serie de documentos (políticas), que den soporte a esta estrategia y que permiten precisar los mecanismos o controles necesarios para proteger a la organización.


4

Definición de Estrategia

Término utilizado para identificar las operaciones fundamentales tácticas que orientarán el proceso (administrativo) para alcanzar los objetivos a los que se desea llegar.

Una estrategia muestra cómo una institución pretende llegar a esos objetivos.

Constituye la ruta a seguir.


5

Estrategia

1. Objetivos de la organización (Misión y Misión de Seguridad de la información)

2. Análisis de riesgos (Amenazas, Vulnerabilidades y riesgo)

3. Definición de las políticas de seguridad

4. Normatividad interna y externa

5. Continuidad de Operación

6. Auditoría (cumplimiento)

7. Hacer de esta estrategia un proceso continuo


6

Panorama de los elementos de la estrategia


7

Análisis de riesgos informáticos

Es parte fundamental en la administración de la seguridad. Entre los beneficios que genera:

Identifica los puntos más débiles de la infraestructura de TI que da soporte a los procesos críticos de la organización.

Guía la selección de medidas de protección de costo adecuado (controles).

Determina dónde es necesario contar con esquemas de recuperación de desastres y continuidad de negocio.

Permite realizar políticas de seguridad mejor adaptadas a las necesidades de la organización.


8

Misión organizaciónMisión organización

Misión de seguridadMisión de seguridad

Políticas de redPolíticas de red Políticas de plataformas

Políticas de plataformas

Políticas de aplicaciones

Políticas de aplicaciones

Políticas de Usuarios

Políticas de Usuarios

InternetInternet

DMZDMZ

AdministradoresAdministradores

CustodiosCustodios

EscritorioEscritorio

PruebaPrueba

ProducciónProducciónRed internaRed interna

ComercialesComerciales

PropietariasPropietarias

Documentos

Internos / externosInternos / externosFreewareFreeware

Procedimientos


9

Misión

Políticas

Normas (internas, externas)

Procedimientos

Nivel de abstracción


10

Política de seguridad

Documento que expresa el nivel de riesgo que una empresa está dispuesta a correr.

Representa la filosofía de seguridad de la organización. Debe ser perdurable en el tiempo, breve, clara y con

respaldo de la alta Dirección. Puede haber políticas a diferentes niveles (generales, de

temas específicos y de sistemas específicos o procedimientos)


11

Normas y estándares

Son documentos que expresan los lineamientos generales que debe cumplir la tecnología para proteger la información (por ejemplo NOM 151, estándar DES, FIPS 201, etc.).

Son independientes de la herramientas que se utilicen pero ayudan a determinar qué tecnología es aceptada.

Si una norma o estándar le aplica a una organización, o a un país, debe considerarse que en el desarrollo de las políticas no se contradiga a esta norma o estándar. En este caso se dice que las normas o estándares son obligatorios.


12

Procedimientos

Los procedimientos son instrucciones paso a paso de cómo se deben administrar, utilizar, recuperar en contingencia, los controles o mecanismos.


13

Mecanismos y Controles

Son las herramientas tecnológicas que implantan los lineamientos expresados en las políticas y procedimientos.

Deben tener una correspondencia las políticas, normas y procedimientos, de tal forma que no vayan en contra de los especificado.

Son administrados por personal especializado. En ocasiones requieren de certificaciones para su correcta administración.


14

Elementos a considerar al seleccionar los mecanismos y controles

Control de acceso. Clasificación de

recursos. Separación de

Funciones. Necesidad de saber. Monitoreo. Detección de intrusos.

Redundancia. Continuidad. Actualización. Cultura. Confidencialidad. Integridad. Autentificación. Ética.


15

Normas y estándares (Cumplimiento)


16

ISO – 17799 Código de la Práctica

1. Información de las Políticas de Seguridad2. Organización de la Seguridad3. Clasificación de Activos y su Control4. Control de Acceso5. Administración de Comunicaciones y de las Operaciones6. Desarrollo de Sistemas y su Mantenimiento7. Administración de la Continuidad del Negocio8. Seguridad del Personal9. Seguridad Física y Ambiental10. Cumplimiento


17

Preceptos básicos de modelos

Confidencialidad Separación de funciones Transacciones correctas (procedimientos de

verificación de la integridad en las operaciones). Conflicto de intereses Saneamiento de la información


18

Instrucciones de realización


19

Procedimiento general

1. Determinar una misión de la organización que haya seleccionado su equipo, y a partir de ella especifique una misión de seguridad.

2. Para su análisis de riesgos, determinar los procesos de misión crítica que hacen uso de TI. Qué sistemas, servicios soportan a estos procesos.

3. Bajar el último reporte del CSI/FBI y junto con su propia experiencia, establecer cuáles de los activos de la organización son los más afectados y a los que dedicaremos un presupuesto de $250,000.00 USD. Anual (ref www.gocsi.com)

4. En base a lo anterior determinar 1 política general para cada rubro general basándonos en la lámina intitulada “documentos”.

5. Conforme avance el curso, ir seleccionando mecanismos (controles) que permitan cumplir con las políticas generales y definir sus procedimientos (sin perder el enfoque de los niveles de abstracción). Consulte al instructor respecto a los mecanismos que convendría emplear para la organización que su equipo seleccionó.


20

Procedimiento general

6. Determinar procedimientos que permitan comprobar la efectividad de los controles (auditoría).

7. Conforme avance el curso, realizar una comparación contra los dominios de ISO-17799, para identificar qué falta para cumplir con dicho estándar.

8. NOTA: Esta metodología es suficiente para proveer con un esquema de seguridad informática razonable para un curso (y para la mayoría de las organizaciones que están iniciando la seguridad); sin embargo, para certificaciones y cumplimiento de auditorias de seguridad, se requeriría un desglose más específico, cubriendo cuestiones de seguridad Física, aspectos legales e incluso pruebas de correspondencia con las políticas generales y con la misión.


21

Organizaciones propuestas

Financiera (Casa de Bolsa) Consultora de seguridad Gobierno (Elecciones nacionales por red) Servicios al consumidor Pequeña empresa de artesanos Protección a testigos


22

Características comunes

Uso de Internet para operación y servicio al cliente

Alcance en México y EU Se supone que se cuenta con 250,000.00 dólares

de presupuesto en empresas grandes y 250,000.00 pesos en empresas pequeñas.

Todas las empresas cuentan ya con Firewall de frontera y Antivirus en PCs.


23

Formato para entrega de Políticas

Nombre de la política y nivel: Política general, Norma, Procedimiento, Configuración

Objetivo Sujetos (responsables) Contenido de la política Sanción Glosario Fecha en que entra en vigencia Fecha de Revisión


24

Entregables por fase


25

Entregables

Fase 1 Establecer la Misión de la Organización Determinar los procesos críticos (3) de la Organización Establecer la Misión de Seguridad de la Organización Establecer las Políticas Generales (4) Entregar una semana antes de nuestro siguiente

encuentro al final del módulo 2


26

Entregables

Fase 2 Identificar las amenazas y vulnerabilidades que pesan

sobre la infraestructura de redes de la organización Realizar un análisis de riesgos para la infraestructura

de redes. Entregar una semana antes de la próxima sesión de

seguimiento al final del módulo 3


27

Entregables

Fase 3 Proponer mecanismos (2) de seguridad para minimizar el riesgo

estimado en la fase anterior, tomando en cuenta el impacto a la organización y el presupuesto asignado.

Para cada uno de los mecanismos seleccionados, establecer los procedimientos siguientes:

Procedimiento de administración del mecansimo Procedimiento de configuración del mecanismo Procedimiento de contingencia Procedimiento de registro de bitácoras del mecanismo

Entregar una semana antes de la próxima sesión de seguimiento al final del módulo 4


28

Entregables

Fase 4 Para cada uno de los mecanismos descritos en la fase anterior,

establecer los procedimientos de control siguientes: Medición de la efectividad del control Cumplimiento

Definir al menos dos esquemas contractuales que faciliten el proceso de seguimiento de un acto indebido en los sistemas de la organización.

Comprobar que los controles de seguridad establecidos pueden facilitar el seguimiento legal de un mal uso (fraude) por un usuario o administrador de los sistemas de la organización (qué puede ser una evidencia electrónica?).

Entregar una semana antes de la próxima sesión de seguimiento al final del módulo 5


29

¿Qué no incluye el proyecto?

Resolver el problema de la estrategia de seguridad de una empresa en particular a la que pertenecen los participantes (se estarán manejando casos ficticios, que aunque se parecieran a la realidad, no se cuenta con el entorno real como puede ser: el grupo de desarrollo de la estrategia, el conocimiento de la empresa, el conocimiento de la infraestructura de TI y de seguridad de la empresa).

Si fuese un diplomado dedicado a una sola empresa, el proyecto sí podría enfocarse a resolver problemas reales de esta empresa.

Evaluar la configuración de algún mecanismo de seguridad particular a una empresa, en el entendido que no se cuenta con el tiempo y recursos para llegar al grado de detalle de las configuraciones para n mecanismos.


30

¿Qué sí incluye el proyecto?

Un esquema para poder llevar a cabo el proceso de gestión de una estrategia de seguridad de una organización.

2007 generación 6 diplomado de seguridad informática 1 proyecto trabajo práctico desarrollo de la...

Documents