4 modulo iv octdic09 - cursos.itam.mx

04/01/2011

1

Modulo 4

Seguridad Integral

Erick [email protected]

Introducción a TRUST *

• Transform your Resources to Understand the Security Threats

• Objetivos– Instrucción acerca de las mejores prácticas de administración y operación de SI.

– Comprensión de la visión de un atacante.

– Comprensión de las amenazas y los mecanismos necesarios para la protección del negocio.

– Autonomía en la implantación y revisión de SI.

* MR GCP Global www.gcpglobal.com

04/01/2011

2

Elementos TRUST

Actualizable Licencia de Metodología en

Procesos y Prácticas de Seguridad

Testers, Analysts & Implementers

Profesionalización de Recursos

Equipo Multidisciplinario Experto y Certificado en Seguridad

Modelo Consulting

& Coaching

Base

Soporte Telefónico Soporte

Contínuo

Atención Express a Incidentes de Seguridad

Soporte a

Emergencias

Refuerzo Early

WarningsAlerta de Amenazas

Elementos de Valor TRUST

• Profesionalización de Recursos– Desarrollo de habilidades de Security Tester y Security Analyst.

– Desarrollo de habilidades para implantar un proceso integral de SI.

– Desarrollo de habilidades de auditor de SI.

– Formación en el proceso operativo de la seguridad corporativa.

04/01/2011

3


• Metodología de Seguridad Integrada– Licencia anual para el uso y aplicación del método de seguridad integrada.

– Estándares soportados: OSSTMM e ISO 17799.

– Adición constante de nuevas prácticas.


• Consulting, Coaching and Reinforce Model– Refuerzo estratégico para equipos de SI.

– Punto de actualización permanente.

– Apoyo de un equipo formado por lo mejor de lo mejor.

– Asesoría, prevención, apoyo y soporte en torno a eventos de seguridad.

04/01/2011

4


• Perfil de Seguridad– Análisis de ubicación en el ciclo de vida de la SI (nivel de madurez).

– Identificación de procesos y sistemas críticos.

– Identifica vulnerabilidades de la infraestructura de TI.

– Identifica puntos de mejora potencial en la cultura, estructura, procesos y operación en función de los niveles de riesgo.

Conceptos Básicos de Seguridad

04/01/2011

5

Seguridad de la Información

• ¿Qué es la Seguridad de la Información?– La protección de todos los elementos que transporten o contengan información y que las organizaciones consideren críticos o que dan soporte a las operaciones de un negocio.

– Aquellas medidas, procedimientos, o controles que proporcionan un grado aceptable de protección a los recursos de información contra modificaciones o destrucción, accidental, intencional y su divulgación no autorizada.

Seguridad de la Información

CONFIDENCIALIDAD

INTEGRIDAD DISPONIBILIDAD

04/01/2011

6

Riesgos a la Información

Violación de e-mails Ingeniería

socialVirus

Fraudes Informáticos

Acceso clandestino a

redesProgramas Bomba

Robo o extravío de notebooks

Interrupción de los servicios Violación de

contraseñasPropiedad de Información

Robo de Información

Softwareilegal

Acceso Indebido a documentos impresos

Mas Riesgos a la Información

InstalacionesDenegación de

ServicioBackups

inexistentesEmpleados deshonestos

Ultimos Parches no instalados

Escalamiento de privilegios

Denegación de Servicios Key loggingPropiedad de

Información

Port scanning

Intercepción de e-mails

04/01/2011

7

Piezas del Modelo de SI

• Seguridad de Operaciones– Visibilidad

– Acceso

– Confianza

• Seguridad Presente– Vulnerabilidad

– Debilidad

– Exposición

– Preocupación

– Anomalía

• Controles– Autenticación

– No Repudio

– Confidencialidad

– Privacidad

– Indemnización

– Integridad

– Seguridad (Safety)

– Usabilidad

– Surpervivencia

– Alarma

Seguridad de Operaciones

• Seguridad que puede ser justificada por razones operativas o de negocio.– Una perspectiva clara de pruebas debe ser establecida.

– Prácticas publicas de la industria, negocio y la reglamentación interna del negocio debe ser investigada para una adecuada evaluación de postura.

Ejemplos:

– Una tienda que abre sus puertas al público para hacer negocios.

– Un e-commerce que depende en una presencia de Internet para hacer negocios.

– Una base militar que requiere una posición fortificada en tierra extranjera para desde ahí lanzar campañas.

04/01/2011

8

Seguridad de OperacionesVisibility

– Perceived existence of a singular entity.

Seguridad de OperacionesAccess

– The assurance that the entity, process, or access point has a business objective

and is managed by a responsible party maintaining privileges.

04/01/2011

9

Seguridad de OperacionesTrust

– Unhindered, unfiltered interaction between two entities, processes, or access

points.

Seguridad Presente

• La Seguridad Presente mide las diversas fallas existentes en configuraciones y procesos – Todas las pruebas realizadas deben de ser verificadas en forma manual.

– Para evitar incertidumbres, los resultados de pruebas de seguridad deben separarse en dos grupos lógicos: identificados y verificados.

Ejemplos:

– Una tienda con pisos húmedos y resbalosos.

– Un e-commerce sin dispositivos de filtrado de paquetes.

– Una base militar sin guardias en las puertas de entrada.

04/01/2011

10

Seguridad PresenteVulnerability

– A flaw inherent in the security mechanism itself which can be reached through

security safeguards that allows for privileged access to the location, people,

business processes, infrastructure, and/or corruption or deletion of data.

Seguridad PresenteWeakness

– A flaw inherent in the platform or environment of which a security mechanism

resides in, a misconfiguration, survivability fault, usability fault, or failure to meet

the requirements of the Security Posture.

04/01/2011

11

Seguridad PresenteExposure

–A flaw inherent in the security mechanism itself or which can be reached through security safeguards which allow for privileged access to privileged or sensitive information concerning data, business processes, people, or infrastructure.

Seguridad PresenteConcern

– A security issue which may result from not following best practices however does

not yet currently yield a failure to the current tests.

04/01/2011

12

Seguridad PresenteAnomaly

– An unidentifiable or unknown element in the security mechanism itself or which can

be reached through security safeguards that currently has no known impact on

security as it tends to make no sense or serve any purpose with the limited

information the tester has.

?!

Controles

• Los controles son medibles a lo largo de una prueba de seguridad y regulan la cantidad de pérdida o daño que puede ser causado. • Todas las pruebas realizadas deben de ser verificadas en forma manual.

Ejemplos:

– Una tienda con investigación de antecedentes de todos sus empleados.

– Un e-commerce usando funciones de logout claramente señalizadas y logins encriptados.

– Una base militar con guardias todo el tiempo caminando trayectos concentricos en las rejas.

04/01/2011

13

ControlesAuthentication

– This is the measure for which every interaction in the process is privileged.

?!

ControlesRepudiation

– This provides assurance that no person, process, or system responsible for a specific interaction can deny involvement in that specific interaction. Furthermore, the extent and depth of that specific interaction is known.

04/01/2011

14

ControlesConfidentiality

–This is the assurance that only the intended systems or parties of specific communication in a process may have access to the privileged information contained in that process.

ControlesPrivacy

– The process itself and all parts of it are known only between intended systems or

parties.

04/01/2011

15

ControlesIndemnification

– This is the use of policy, insurance, contract, and/or disclaimer to provide

assurance of compensation for loss or a damage.

WARNING!

Unauthorized use is forbidden

and will be prosecuted.

ControlesIntegrity

– This is the assurance that the process has finality and cannot be changed, continued, redirected, or reversed without it being known to the systems or parties involved.

04/01/2011

16

ControlesSafety

– This is the means of which a process cannot harm other systems, parties or other processes even through complete failure.

ControlesUsability

–The practice of using security or having security be part of a process, person, product, object, or system is also the necessity for that security to be functional and recognizable in areas where it must be interactive.

04/01/2011

17

ControlesSurvivability

– The provision of automatic and continuous load balancing, redundancy, and recovery in a process, person, or system.

ControlesAlarm

– This is the timely and appropriate notification of activities that violate or attempt to violate any of the Operational Risk Types or Loss Controls.

?!

04/01/2011

18

Seguridad Integral

Mejores Prácticas

• ISO 17799, ISO 27001 (antes BS7799) �– BSI (British Standards Institution)

• COBIT (Control Objectives for Information and related Technology)– ISACA (Information Systems Audit and Control Association)

• OSSTMM (Open Source Security Test Methodology Manual) �– ISECOM (Institute for Security and Open Methodologies)

04/01/2011

19

Equipo de Seguridad de la Información

• Responsabilidades– Velar por la protección de los activos de la empresa.

– Colaborar en la elaboración, diseño e implementación de controles de seguridad a nivel corporativo.

– En conjunto con las áreas de difusión de la empresa contribuir a crear una conciencia o “security awareness” corporativa.

– Cuantificación de los riesgos de Seguridad de la Organización.

– Actualización constante para evitar la obsolescencia.

– Brindar un juicio interno experto para ayudar a otros Departamentos o Áreas.

– Contar con un equipo internamente preparado para la realización de pruebas o auditorias de Seguridad.


• Responsabilidades (cont.)– Participar activamente en el diseño de la estrategia de seguridad de la Organización.

– Validar en forma anual su trabajo con auditorias externas de Seguridad.

– Colaborar en conjunto con el área de sistemas en la atención de incidentes violatorios a las medidas o controles de Seguridad imperantes.

04/01/2011

20


• Recomendaciones– Mantener un calendario de pruebas para todo el año.

– Evitar la explotación de sistemas de ser esto posible.

– Encriptar y salvaguardar todos los datos y descubrimiento.

– No guardarse ningún descubrimiento por razones políticas.

– No discutir los hallazgos afuera de su equipo o de sus mandos directos.

– Obedecer las leyes regionales.

– Obedecer las políticas corporativas (jamás por encima de la ley).

– Proveer descubrimientos internos e información como hechos.


• Recomendaciones (cont.)– Para evitar conflictos políticos el área de seguridad debe de encontrarse fuera de la estructura jerárquica corporativa.

– Se debe reportar directamente a un miembro del board o a alguien con suficiente autoridad para facilitar los cambios e impulsar la efectividad del área.

– Repetidamente documentar todos los problemas no arreglados hasta que éstos se arreglen.

– Señalar lo que no esta arreglado pero no hacer mucho ruido acerca de ello.

– Eficientizar sus labores y operaciones cotidianas dado que el presupuesto generalmente es pequeño.

– Trabajar en equipo.

04/01/2011

21

Proceso de Seguridad

Política Corporativa de SI

Políticas Especificas(Métricas de desempeños)

Estándares -

Procedimientos -Describen el modo

mandatorio de cómo cumplir las métricas de políticas

Estándares –

Lineamientos-Recomendaciones de cómo cumplir las políticas de forma discrecional a fin de cumplir la

métricas

Evidencia probatoria del cumplimiento de

Políticas y Estándares(Evidencia medible)

Auditoria Interna

en profundidad

de evidencia de

la operación del

proceso de

seguridad de

Información

Se siguen líneas de investigación de conformidad de la normatividad vs

Evidencia medible a fin de lograr trazabilidad & rastreabilidad desde

política hasta evidencia

Pruebas de

comprobación de

técnica de

seguridad a nivel

de procesos e

infraestructura

Se comprueba que lo que se requiere por política sea lo que se encuentra operando como proceso y como infraestructura y se

comparan estas métricas contra la evidencia de

operación

Auditoria de Seguridad de Información por un terceroUn tercero verifica el proceso de seguridad de la organización y da fe de los resultados

Revisión de la DirecciónLa dirección revisa el desempeño del proceso de seguridad y emita su compromiso para con éste

Metodología

04/01/2011

22

Metodología

• Lineamientos TRUST �– Licencia

– Comunicación

– Recursos del cliente

– Coaching

– Control de actividades y entregables

• Documentación– Módulo

– Tipo de documento

– Tipo de archivo (extensión)

Metodología

• Documentación– Modulos (TR-mmm-t99)

• GRL - General

• PFL - Perfil de seguridad

• ORG - Plan del proyecto y definición de equipos

• PRM - Seguridad perimetral

• NOR - Normatividad de seguridad

• CUL - Cultura en seguridad

• PRC - Análisis y adecuación de procesos

• ARQ - Arquitectura de seguridad

• AUD - Auditoria de seguridad

04/01/2011

23

Metodología

• Documentación– Tipos de documento (TR-mmm-t99)

• M - Manual

• P - Procedimiento

• C - Consulta

• F - Formato

• A - Apoyo

• E - Ejemplo

Metodología

• Documentación– Tipos de archivo

• MS Word (DOC)

• MS Excel (XLS)

• MS Power Point (PPT)

• MS Project (MPP)

• MS Visio (VSD)

• Acrobat Reader (PDF)

04/01/2011

24

Etapas

Etapas

• Perfil de seguridad• Plan del proyecto y definición de equipos

• Seguridad perimetral

• Normatividad de seguridad

• Cultura en seguridad

• Análisis y adecuación de procesos

• Arquitectura de seguridad

• Auditoria de seguridad

04/01/2011

25

Obtención del Perfil de Seguridad

• Objetivo:– Obtener la ubicación de la Organización en términos de madurez en materia de seguridad de información.

• Beneficios:– Determina el punto de partida de las actividadesTRUST, salvaguardando la inversión y esfuerzos previos de Seguridad de Información.

– Ofrece una perspectiva clara de las áreas de oportunidad donde encaminar los esfuerzos para incrementar los niveles de Seguridad.

Obtención del Perfil de Seguridad

• Actividades:– Aplicación y evaluación de cuestionarios.

– Análisis selectivo de infraestructura de TI.

– Evaluación sinérgica de alta penetración.

– Elaborar reporte de hallazgos.

– Adecuar plan de trabajo para la implantación de seguridad.

04/01/2011

26

Aplicación y Evaluación de Cuestionarios

• Criterio:– Si existen reglas no escritas, dichos lineamientos son inexistentes para efectos de la evaluación.

– Los cuestionarios deben entregarse a los principales responsables del manejo de la información sensitiva de la organización.

• Material:– Security Express Profile (TR-PFL-F02) �

Aplicación y Evaluación de Cuestionarios

04/01/2011

27

Análisis de Infraestructura de TI

• Requerimientos previos TR-PFL-C01 �– Información

– Espacio de trabajo

– Servidores de ataque

• Set de pruebas TR-PFL-M01 �– Pruebas de conectividad

– Sniffing de segmentos de red

– Exploraciones de puertos TCP

– Búsqueda de recursos compartidos

– Pruebas automatizadas (carta responsiva)

– Análisis de la información obtenida

– Elaboración de Resumen de Hallazgos

Evaluación Sinérgica de Alta Penetración

• Objetivo:– Obtener la percepción de la seguridad de la información a nivel ejecutivo.

• Método:– Realizar una sesión sinérgica donde los mismos ejecutivos obtienen a través de técnicas probadas de consultoría organizacional iluminación activa acerca de las áreas de mejora potenciales en el ámbito de la seguridad.

– Clasificación de hallazgos.

04/01/2011

28

Reporte de Hallazgos

Etapas

• Perfil de seguridad

• Plan del proyecto y definición de equipos







04/01/2011

29

Plan del Proyecto y Definición de Equipos

• Actividades:– Adecuación del plan de trabajo del proyecto.

– Definición del equipo operativo de seguridad.

– Junta de inicio (kick off).

– Inducción al framework TRUST.

– Definición del equipo ejecutivo de seguridad.

Adecuación del Plan de Trabajo

• Objetivo:– Revisar y establecer el plan de trabajo inicial del proyecto donde se muestran actividades, hitos (milestones), dependencias, duración, fechas estimadas de inicio y terminación, y responsables.

• Material:– Gantt del proyecto (TR-GRL-F01) �

04/01/2011

30

Definición del Equipo Operativo

• Objetivo:– Establecer el personal técnico y administrativo, especialista en aspectos de seguridad de la información, para el desarrollo de las actividades del proyecto.

• Material:– Funciones y conocimientos (TR-ORG-C01) �

– Profesionalización recursos (TR-ORG-C02) �

Junta de inicio (kick off)

• Objetivo:– Participar a todo el personal involucrado en el proyecto de manera directa sobre los alcances, los objetivos, así como las responsabilidades para cada uno de los participantes y convocados o las áreas que estos representan.

• Agenda:– Presentar oficialmente al personal involucrado.

– Presentar el diagrama del proceso TRUST para tener una visión global del proyecto.

– Dar lectura a los lineamientos relevantes de la metodología.

– Exponer los principales hallazgos del diagnóstico de seguridad y el plan de trabajo resultante.

04/01/2011

31

Inducción a TRUST

• Objetivo:– Que el equipo operativo del cliente conozca de forma general cada bloque del framework de forma que identifique el alcance, requerimientos de tiempo, responsabilidades de cada equipo y los resultados por etapa.

Definición del Equipo Ejecutivo

• Objetivo:– Establecer el personal ejecutivo del Cliente para el desarrollo de las actividades del proyecto que requieran información y aprobaciones de alto nivel .

• Material:– Funciones (TR-ORG-C03) �

– Reglas de administración (TR-ORG-E01) �

04/01/2011

32

Etapas



• Seguridad perimetral• Normatividad de seguridad





Seguridad Perimetral

• Actividades:– Análisis de seguridad perimetral.

– Adecuación de la infraestructura de TI.

04/01/2011

33

Análisis de la Seguridad Perimetral

• Objetivo:– Realizar una evaluación desde el exterior de los niveles de seguridad informática prevalecientes en la infraestructura de cómputo y telecomunicaciones.

• Material:– Análisis de Seguridad Perimetral (TR-PRM-M01)�

– OSSTMM (www.osstmm.org) �

Análisis de la Seguridad Perimetral

• Actividades:– Logística y controles.

– Identificación de sistemas y servicios (sondeo de las redes).

– Grinding de documentos.

– Investigación de vulnerabilidades.

– Pruebas de aplicaciones de Internet.

– Pruebas de sistemas con relaciones de confianza.

– Ruptura de contraseñas.

04/01/2011

34

Adecuación de la Infraestructura de TI

• Objetivo:– Definir el plan de adecuación de los equipos revisados en las pruebas externas efectuadas según las recomendaciones del Dictamen de Seguridad de Información Perimetral.

Etapas




• Normatividad de seguridad• Cultura en seguridad




04/01/2011

35

Normatividad de Seguridad

• Actividades:– Establecer Estrategia de SI Corporativa.

– Establecer Política de SI Corporativa.

– Desarrollar Políticas Específicas de SI.

– Revisión de Contratos de Confidencialidad.• Empleados

• Terceros

Normatividad de Seguridad

• Proceso General:

Investigación DesarrolloRevisión y

AdecuacionesAprobación Publicación

Equipo Operativo de SI

Equipo Ejecutivo de SI

Otras áreas involucradas

04/01/2011

36

Políticas de Seguridad

• Objetivo:– Definir los lineamientos específicos que regularán la seguridad de información para los distintos ámbitos de TI y de la organización.

• Definición:– Una Política de Seguridad es un enunciado formal de las reglas que debe acatar el personal al que se le ha dado acceso a la tecnología e información de una organización.


• Consideraciones:– El personal tendrá diferentes puntos de vista acerca de la necesidad de establecer controles de seguridad.• Un impedimento para la productividad.

• Medidas para controlar su comportamiento.

• Temor de que las políticas sean difíciles de cumplir.

– Los Directivos y Gerentes deben apoyar totalmente las Políticas de Seguridad.

– Ser implementables.

04/01/2011

37


• Consideraciones (cont.):– Ser coercibles (que se puedan hacer cumplir).

• Tecnología de seguridad.

• Sanciones administrativas

– Concisas y fáciles de entender.

– Definir claramente áreas de responsabilidad de los usuarios, administradores, gerentes, etc.

– Balancear la protección con la productividad.

– Ser actualizadas regularmente para reflejar la evolución de la organización.


• Consideraciones (cont.):– Ser actualizadas regularmente para reflejar la evolución de la organización.

– Enunciar las razones por las que la Política es necesaria.

– En la medida de lo posible, la Política debe enunciar las excepciones que existan a la misma.

– Manejar estricto control de documentos y versiones.

04/01/2011

38

Análisis de Riesgo

• ¿Qué quiero proteger?

• ¿Qué puede pasarle?

• ¿De quién o qué debo protegerlo?

• ¿Cómo puedo protegerlo?

• ¿Cuánto estoy dispuesto a invertir?

• Activos

• Vulnerabilidad

• Amenzas

• Controles

• Cálculo del riesgo y Presupuesto

Políticas Específicas de Seguridad

• Seguridad de TI.

• Administración y Control de Accesos.

• Manejo de Desechos Sensitivos.

• Correo Electrónico.

• Uso de Estaciones de Trabajo.

• Uso de Internet.

• Servidores y Sistemas Operativos.

• Redes y Comunicaciones.

04/01/2011

39

Políticas Específicas de Seguridad

• Administración de Passwords.

• Administración de Respaldos y Archivado.

• Comunicación con Socios de Negocio.

• Manejo y Control de Incidentes.

• Seguridad Física.

• Administración de Conocimiento.


Políticas Reglas a seguir. Los estándares, lineamientos y procedimientos tienen como objetivo soportar su implantación.

Estándares Especifican el uso de tecnologías específicas de manera uniforme. Por ejemplo: el uso de un determinado algoritmo de encripción, el tamaño máximo de archivos adjuntos en e-mails, o el uso de un determinado software aplicativo.

Lineamientos Son similares a los estándares pero especifican acciones recomendadas. Por ejemplo: la frecuencia con que se deben revisar los logs de acceso.

Procedimientos Describen los pasos detallados a seguir para una actividad particular.

04/01/2011

40


• Ejercicio– Haga una lista de controles que usted incluiría en una política de cuentas de usuario (user-ids) y contraseñas (passwords).

– Identifique los riesgos a la información que implicaría el no cumplir con cada uno de dichos controles.

Etapas





• Cultura en seguridad• Análisis y adecuación de procesos



04/01/2011

41

Cultura en Seguridad

• Actividades:– Definición de filosofía de seguridad y plan de culturización.

– Formación ejecutiva en cultura de seguridad.

– Campaña de seguridad orientada al personal.

Filosofía de Seguridad y Plan de Cultura

• Objetivo:– Definir los lineamientos generales que habrán de prevalecer el diseño de la campaña de difusión,así como los contenidos a incluir en ella, de forma que se logre potenciar el impacto de la normatividad y controles desarrollados.

• Material:– Taller de Mejores Prácticas (TR-CUL-A01) �.

04/01/2011

42

Filosofía de Seguridad y Plan de Cultura

• Elementos:– Conocer la terminología básica usada en SI y TI.– Identificación de vulnerabilidades y amenazas a la información.

– Prácticas inseguras que representen un riesgo para la SI.

– Que acciones tomar para proteger los activos de información.

– Previsión de la ingeniería social.– Ubicar puntos de mejora potencial para la SI.– Mejores prácticas de SI.

Formación Ejecutiva

• Objetivo:– Permitir al personal del cliente comprender y conocer los fundamentos y conceptos de SI, con el fin de contar con una visión integral de los distintos elementos que forman parte del Modelo Integral de Seguridad con el fin de proteger los activos de información.

• Consideración:– Es necesario que el comité ejecutivo de seguridad apoye esta actividad para conseguir el compromiso de participación de los ejecutivos y gerentes de toda la organización.

04/01/2011

43

Campaña de Seguridad

• Objetivo:– Desarrollar una estrategia para la sensibilización del personal en general en materia de seguridad de la información.


• Actividades:– Revisar los lineamientos internos de difusión.– Investigar medios de comunicación internos.– Reunirse con el equipo responsable de la comunicación interna.

– Seleccionar los medios de difusión.– Definir contenido con base en las políticas de seguridad y mejores prácticas.

– Diseñar la campaña apoyándola con: elementos visuales, mascotas, boletines internos, material promocional interno, eventos especiales e imagen corporativa.

04/01/2011

44


• Actividades:– Incorporar elementos de seguridad al proceso de inducción de empleados.

– Definición de mecanismos de control y validación de la efectividad de la campaña en coordinación con el área responsable

– Evaluar la necesidad de contar con la implementación de un proceso por separado de “Security Change Management” (no forma parte del proceso TRUST).

– Arranque de la campaña.

Difusión de la Seguridad

• Ejercicio– Formar equipos de trabajo.

– Con base en las prácticas inseguras que usted percibe en su organización, haga una lista de al menos cinco mensajes que incluiría en una campaña de difusión de la seguridad.

– Mencione los medios por los que haría llegar dichos mensajes al personal de la empresa de forma práctica y efectiva.

04/01/2011

45

Etapas






• Análisis y adecuación de procesos• Arquitectura de seguridad


Análisis y Adecuación de Procesos

• Actividades:– Aseguramiento de procesos.

– Elaboración de procedimientos para soporte de políticas de seguridad.

– Adecuación de la metodología para la liberación de nuevos sistemas.

04/01/2011

46

Aseguramiento de Procesos

• Objetivo:– Identificar los controles a implantar a los procesos críticos de negocio con base en el análisis de procesos y detección de riesgos inherentes.

• Material:– Manual de Análisis y Aseguramiento de Procesos (TR-PRC-M01)�.

Aseguramiento de Procesos• Actividades:

– Calendarización de entrevistas.

– Entrevistas con responsables de área.• Matriz de Clasificación de la Información (TR-PRC-F01)�.

• Cuestionario para Entrevista de Riesgos (TR-PRC-F02)�.

– Diagrama de procesos.• Ejemplo de Diagrama de Procesos (TR-PRC-E01) �.

– Definición de controles• Controles a Implantar de Seguridad (TR-ARQ-E01)�.

• Matriz de Procesos contra Controles (TR-PRC-E02) �.

– Revisión con los responsables.

04/01/2011

47

Procedimientos de Soporte a Políticas

• Objetivo:– Desarrollar los procedimientos de operación para soportar cada una de Políticas de Seguridad desarrolladas por el equipo operativo de seguridad y aprobadas por el comité ejecutivo de seguridad.

• Material:– Ejemplos de Procedimientos de Soporte a Políticas (TR-PRC-E11 a 25)�.

Procedimientos de Soporte a Políticas

• Actividades:– Verificar lineamientos corporativos para elaboración de procedimientos.

– Elaboración de procedimientos muestra.

– Revisión con las áreas responsables de sistemas y negocio.

– Seguimiento a la elaboración.

– Aprobación de procedimientos.

– Publicación de los procedimientos.

– Seguimiento a la implantación.

04/01/2011

48

Metodología de Liberación de Sistemas

• Objetivo:– Documentar la metodología para el desarrollo y liberación de nuevos sistemas incluyendo los requerimientos de evaluación de la Seguridad.

• Material:– Diagrama Metodología Desarrollo (TR-PRC-E03) �.

– Inducción Metodología Desarrollo (TR-PRC-A01) �.


• Actividades:– Identificar requerimientos de seguridad a incluir en la metodología con base en las políticas internas y mejores prácticas de seguridad.

– Programar sesiones de trabajo con los responsables de las áreas de desarrollo de sistemas para analizar la metodología actual y sugerida.

– Desarrollar o adecuar la documentación de la metodología.

– Aprobar y publicar la nueva metodología.

– Implantar la nueva metodología.

04/01/2011

49


• Ejercicio– Formar equipos de trabajo.

– Definir controles aplicables a las siguientes etapas del desarrollo de sistemas:• Requerimiento

• Análisis y Diseño

• Desarrollo o Construcción

• Pruebas

• Pase a producción

Etapas







• Arquitectura de seguridad• Auditoria de seguridad

04/01/2011

50

Arquitectura de Seguridad

• Actividades:– Implantación de controles automáticos.

– Diseño conceptual de arquitectura de seguridad.• Requerimientos técnicos (RFPs).

– Evaluación de herramientas de seguridad acorde a requerimientos.• Desarrollo de procedimientos operativos.

• Implantación.

Implantación de Controles Automáticos

• Actividades:– A partir de la Definición de Controles de Seguridad, evaluar las tecnologías que cubran en mayoría los requerimientos.

– Crear una matriz de evaluación que defina los parámetros de éxito.

– Definir los escenarios de evaluación.

– Definición e implantación del ambiente de pruebas (lo mas cercano posible a ambiente deproducción).

– Implantación o ejecución de la herramienta en el ambiente de pruebas.

04/01/2011

51

Implantación de Controles Automáticos

• Actividades (cont.):– Medición de resultados e impacto al ambiente de producción simulado.

– Retroalimentación de procedimientos de instalación.

– Retroalimentación de procedimientos de soporte a controles automatizados.

– Una vez realizada la evaluación, crear o actualizar los procedimientos de usuario para los nuevos controles.

Diseño Conceptual de Arquitectura

• Actividades:– Calendarizar reuniones con los responsables de la Infraestructura de Comunicaciones, Servidores y Operaciones.

– Durante las reuniones se analizará:

• Diagramas de redes.

• Lista de elementos de seguridad instalados.

• Documentación de los elementos de seguridad.

04/01/2011

52

Diseño Conceptual de Arquitectura

• Actividades (cont.):• Incorporación de elementos de seguridad faltantes de acuerdo a lo detectado en las revisiones de la infraestructura y a los controles automáticos definidos.

• Discusión del modelo con los responsables de Infraestructura para su afinación o depuración.

– Elaborar documentos RFP (Request for Proposal) para cada una de las tecnologías propuestas.

– Iniciar el proceso de adquisición con base en los RFPs generados.

Evaluación de Herramientas de Seguridad

• Actividades:– Definir conjunto de herramientas a evaluar.

– Crear una matriz de evaluación que defina los parámetros de éxito.

– Definir los escenarios de evaluación.

– Definición e implantación del ambiente de pruebas (lo mas cercano posible a ambiente deproducción).

– Implantación o ejecución de la herramienta en el ambiente de pruebas.

– Medición de resultados e impacto al ambiente de producción simulado.

04/01/2011

53

Evaluación de Herramientas de Seguridad

• Actividades (cont.):– Retroalimentación de procedimientos de instalación.

– Una vez realizada la evaluación, crear los procedimientos de usuario para los nuevos controles.

– En caso de ser necesario, desarrollar la estrategia de capacitación que permitirá la adopción de las nuevas tecnologías.

Etapas









04/01/2011

54

Auditoria de Seguridad

• Actividades:– Verificación de cumplimiento.

– Análisis de contraste.

Verificación de Cumplimiento

• Objetivo:– Definir el Plan y Calendario de Auditorias para la verificación periódica del cumplimiento de cada uno de los controles de seguridad establecidos.

• Material:– Puntos de Revisión de Auditoria (TR-AUD-E01) �.

04/01/2011

55

Verificación de Cumplimiento

• Objetivo:– Identificar de forma precisa el cambio resultante del proceso de implantación TRUST, contrastando la situación prevaleciente al inicio con aquella obtenida el final del proceso.

• Material:– Security Express Profile (TR-PFL-F02) �

Ejemplo de Organigrama de Seguridad

Responsable de la Producción: Realiza las funciones de Administración de la Seguridad� Monitoreo y alertamiento

Call Center: Realiza algunas funciones de Administración de la

Seguridad

� Revocación de certificados.� Desbloqueo de password.� Soporte al usuario final

Ingeniería de Seguridad

Gerencia de Seguridad: Realiza funciones de Administración de la Seguridad y Seguridad de la

Infraestructura

�Administra el acceso al sistema� Realiza check list de seguridad� Mantiene las normas y políticas �Adminstra PKI

Calidad: Realiza las funciones de Cumplimiento y Recuperacion de Desastre

� Proceso de auditoría�Administración del plan de continuidad del negocio�Administra el proceso de escalamiento

Auditoría Interna

Dentro del proceso de administración de seguridad, aporta su experiencia y recomendaciones a las funciones de seguridad

Responsable de la Oficina de Seguridad de la Información: Realiza las funciones de Seguridad de la Infraestructura

Gerencia de

Desarrollo

Gerencia de

TelecomunicacionesGerencia de

Internet

Gerencia de

Bases de Datos

Gerencia de

Sistemas

Operativos

4 modulo iv octdic09 - cursos.itam.mx

Documents