2
PRESENTACIPRESENTACIÓÓNNJosJoséé Luis Rivas LLuis Rivas Lóópezpez
[email protected]@teaxul.com
CarlesCarles FragosoFragoso i i [email protected]@cesca.es
TEAXUL S.A.TEAXUL S.A.YY
CESCACESCA
3
ÍndiceIntroducciónFasesÁreasEvaluación de riesgosFuentesTipos
FísicaLógicaDesarrollo de aplicacionesComunicaciones y redes
Certificaciones
4
Introducción
No se conocen datos completos y fiables sobre el nivel de protección de las entidades en EspañaUna frase que describe el estado actual:
“No pasan más cosas porque Dios es bueno”No conocemos la mayor parte de las que pasan, porque ya se ocupan las entidades afectadas de que no se difundan
5
Fases (I)
Adaptación de cuestionarios.4
Determinación del plan de trabajo y de los recursos y plazos.
3
Análisis de posibles fuentes y recopilación de información.
2
Concreción de los objetivos y delimitación del alcance y profundidad de la auditoria.
1FASEFASENNºº
6
Fases (II)
Informe definitivo8
Presentación y discusión del informe provisional
7
Análisis de resultados y valoración de riesgos
6
Realización de entrevistas y pruebas5FASEFASENNºº
7
Áreas (I)
Controles directivos, es decir, los fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité.
Desarrollo de políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas
8
Áreas (II)
Marco jurídico aplicable
Amenazas físicas externas: inundaciones, incendios, terremotos, etc.
Control de acceso adecuado tanto físicos como lógicos
9
Áreas (III)
Protección de datos. Aplicación de la LOPD.
Comunicaciones y redes: topología, cifrado, etc.
Desarrollo de aplicaciones en un entorno seguro: incorporen controles en los productos desarrollados y que éstos resulten auditables.
10
Evaluación de riesgos (I)
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen
Para evaluarlos habrá que considerar: el tipo de información almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnología usada, marco legal aplicable, etc.
11
Evaluación de riesgos (II)
El factor humano es el principal riesgo a considerar, salvo excepciones (sistemas automatizados)
Habrá que considerar si la seguridad es realmente una preocupación corporativa, es decir, si tienen una cultura de la seguridad
12
Evaluación de riesgos (III)
Una vez identificados y medidos los riesgos, lo mejor será eliminarlos y si no se pudiese reducirlos al máximo. Otra posibilidad es asumir los riesgos.
Problemas: Las medidas deberán considerarse como inversiones en seguridad, aunque en algunos casos es difícil comprobar su rentabilidad.
13
Fuentes (I)
Políticas, estándares normas y procedimientos.Planes de seguridad.Contratos, pólizas de seguros.Organigrama y descripción de funciones.Documentación de aplicacionesDescripción de dispositivos relacionados con la seguridad
14
Fuentes (II)
Manuales técnicos de sistemas operativos o de herramientas.Inventarios: de soportes, de aplicacionesTopología de redesPlanos de instalacionesRegistros: de problemas, de cambios, de visitas, de accesos lógicos producidos.
15
Fuentes (III)
Entrevistas a diferentes nivelesFicherosProgramasLa observaciónDocumentación de planes de continuidad y sus pruebasInformes de suministradores o consultores
16
Seguridad Física (I)
Se evaluarán las protecciones físicas de datos, programas, instalaciones, equipos, redes, soportes y sobre todo a las personas.
Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, etc.
17
Seguridad Física (II)
Desde la perspectiva de las protecciones físicas:o Ubicación de los servidores o cualquier
elemento a proteger (portátiles, terminales en zonas de paso, etc).
o Estructura, diseño, construcción y distribución de los edificios
o Riesgos a los que están expuestos, tanto por agentes externos, causales como por accesos físicos no controlados.
18
Seguridad Física (III)
o Controles preventivos.o Control del accesoo Protección de los soportes magnéticos en
cuanto a acceso, almacenamiento y posible transporte.
Todos los puntos anteriores pueden estar cubiertos por seguros.
19
Seguridad Lógica
Es necesario verificar que cada usuario sólo pueda acceder a los recursos a los que le autorice el propietario.
Será necesario revisar cómo se identifican y sobre todo autentican los usuarios, cómo han sido autorizados y por quién, y qué ocurre cuando se producen transgresiones o intentos: quién se entera y cuándo y que se hace
20
Desarrollo de aplicaciones (I)
El pase al entorno de explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos independientes, o bien por auditores preparados, a fin de determinar la ausencia de “caballos de Troya”, bombas lógicas, puertas traseras, además de la calidad
21
Desarrollo de aplicaciones (II)
La protección de los programas: sean propiedad de la entidad, realizados por el personal propio o contratado su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tenga licencia de uso.
22
Comunicaciones y redes (I)
En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si así se ha especificado.
23
Comunicaciones y redes (II)
En función de la clasificación de los datos se habrá previsto el uso del cifrado.
Los usuarios tendrán restricción de accesos según dominios, únicamente podrán cargar los programas autorizados, y sólo podrán variar las configuraciones y componentes los técnicos autorizados
24
Comunicaciones y redes (III)
Existirán protecciones frente accesos sobre todo externos, así como frente a virus por diferentes vías de infección, incluyendo correo-e.
Se revisarán especialmente las redes cuando existan repercusiones económicas porque se trate de transferencia de fondos o comercio-e.