Ramiro Cid | @ramirocid

Octubre de 2012

2

1. Aspectos importantes a tener en cuenta

durante la auditoría interna

Pág. 3

2. Introducción al concepto de un SGSI Pág. 7

3. Mejoras en la seguridad física Pág. 15

4. Controles sobre la confidencialidad de la información impresa

y el puesto de trabajo

Pág. 17

5. Posible estructura de una carpeta departamental

de un departamento de sistemas

Pág. 21

• Nunca decir que hacemos un control sobre algo el cual sabemos que no tenemos ningún registro.

• Procurar tener en todo momento una actitud abierta, aplicando la lógica de mostrar las virtudes y ocultar las flaquezas (sin pasarse).

• Si surgiesen dudas sobre temas que plantee/consulte el auditor, remitir dicha duda al Responsable de Seguridad.

• Las personas que estén realizando tareas relacionadas con mejoras previas a la auditoría, deben informar al Responsable de Seguridad antes de la auditoría interna del grado de avance y los temas pendientes. El Responsable de Seguridad procederá a realizar un Plan de Acción a ser presentado al Auditor, el cual reflejará las acciones a realizar enbúsqueda de la mejora de la seguridad dentro de un calendario.

4

Puntos a tener en cuenta enel trato con el auditor

• Evaluar la eficiencia y efectividad de la organización de los controles de seguridad

en general (del SGSI)

• Evaluar los sistemas y procesos que se desarrollan en la organización.

• Detectar y prevenir posibles errores y GAP’s (NC’s).

• Evaluar el riesgo y los controles aplicados para mitigarlos.

• Elaboración de planes de contingencia y recuperación en caso de desastres.

5

Topic Interview partner(s) Topics to be discussed

Estimat

ed time

(hours)

Kickoff MeetingHead of Business, Head of IT, major participants in the audit

Introduction to Internal Audit, Approach of Internal Audit in field work, report writing, draft Agenda of the audit 1

Organisation and Interfaces Head of IT Organisational structures; roles and responsibilities; HR; Security concept 3

Data Centre Infrastructure Head of IT, Sysprog Physical Infrastructure (Access, UPS, Cabeling, environmental hazards) 3

Licence and HW Managment Head of IT Purchasing and Lifecycle procedures 2

ITIL Processes Head of IT, Sysadmin SD, incident, problem, change, config 2

Monitoring Sysadmin Infrastructure Monitoring; Application Monitoring 1

Disaster Recovery Head of IT, Sysadmin Disaster recovery planning; Backup and restoring procedures 3

ERP System Sysadmin Security settings, Authorization concept 4

Windows environment Sysadmin Administration; patch management, access 4

Unix Sysadmin Administration; patch management, access

Network Sysadmin Administration; patch management, access

Firewall firewall administratorISA, Access logs, Admin accounts, firewall rule settingsIntrusion Detection System?

Remote Access Windows administrator Administration, user and permission management 2

SAN Sysadmin 1

Applications Sysadmin Application A, Application B, Application C 6

Exit MeetingHead of Business, Head of IT, major participants in the audit

Presentation of first resultsNext Steps (Draft Report, Comments, Final Version of Report) 1

6

� Un Sistema de Gestión de la Seguridad de la Información (SGSI) es una forma de garantizar:

◦ Una reducción en los incidentes de seguridad que puede sufrir una organización y una disminución del impacto que pudieran ocasionar estos a la misma en caso de producirse. El SGSI debe seguir el “Círculo de Deming” (también conocido como PDCA), orientado a la mejora continua, en este caso aplicado a la seguridad.

◦ Ayuda a optimizar la inversión en cuanto a los aspectos de la seguridad de una organización.

◦ Justifica los gastos en seguridad, ya que se conocen que controles reducen los riesgos analizados.

◦ Impulsa la creación de políticas y procedimientos de trabajo que tienden a mejorar la seguridad de los procesos de la organización.

◦ Permite el cumplimiento de la legislación aplicable.

◦ Garantiza la continuidad del negocio ante posibles contingencias o desastres.

◦ Existen distintas normativas que lo reglamentan (ISO/IEC 27001 y 27002, Cobit, etc.).

8

� Creación e implantación de un conjunto de controles de seguridad en la organización:

◦ Controles técnicos

◦ Controles organizativos

◦ Controles físicos

� Todo control de seguridad deberá quedar documentado así como se debe recoger evidencias del funcionamiento de dicho control de seguridad.

� Ventajas en el desarrollo de un SGSI:

◦ Optimiza y justifica el gasto en seguridad (se es más eficiente).

◦ Reduce el nivel de riesgo aceptado intrínsecamente por el negocio.

◦ Formaliza procedimientos y tareas a veces ad hoc y no documentadas.

◦ Mejora la imagen corporativa.

◦ Aumenta el rendimiento, la confianza y motivación del personal.

◦ Aumenta la confianza de los clientes, proveedores y la administración pública (sobre todo si se opta por certificarse luego en la ISO/IEC 27001).

9

Una clave imprescindible del éxito del SGSI es realizar un cambio en la cultura

de todos los integrantes de la organización

Como resultado de un proyecto de creación e implantación de un SGSI se obtiene:

� Un conjunto de documentación de todos y cada uno de los controles requeridos

para la seguridad de la organización (y que aplican para la organización).

� Se crea documentación en 3 niveles:

� Políticas(A este nivel sólo existe el documento “IS Security Plan”)

� Normas y Procedimientos

� Instrucciones

10

(*) Las políticas y procedimientos deben seguir los lineamientos la organización

(*)

� “El alcance del Sistema de Gestión de la Seguridad de la Información incluye a los activos

de información que soportan el proceso de Comercialización y Desarrollo de proyectos de Seguridad de la Información de Consultoría, Auditoría, Formación, Integración de sistemas o Soporte que la compañía realiza para sus clientes en sus instalaciones.”

� Esto afecta:

◦ A los equiposequiposequiposequipos que contienen esa información:

� Servidores, estaciones de trabajo, etc.

◦ PersonasPersonasPersonasPersonas que tienen acceso a la información

� Todo el personal de la organización

◦ Ubicación físicaUbicación físicaUbicación físicaUbicación física donde se encuentran.

� Las oficinas y plantas

11

� Dirección: Máximo responsable del SGSI, debe firmar y aceptar las políticas y

aceptar la situación y estado del SGSI así como los riesgos residuales no

cubiertos por el Plan de Continuidad del Negocio.

� Comité de Seguridad y Responsable de Seguridad: Los que deciden sobre el

estado del SGSI, lo analizan y promueven los cambios que sean necesarios para

su correcta gestión.

� Administradores de Seguridad

◦ Personal interno que tenga que desarrollar algunas tareas directas para el

cumplimiento del SGSI. (actualmente en funcionamiento)

◦ TODOS LOS EMPLEADOS

12

� En organizaciones y empresas multinacionales, es el documento maestro

de la seguridad de la organización. Es un documento corporativo de la

organización de obligado cumplimiento para todos los países.

� A partir de este documento se elaboran el resto de procedimientos de

trabajo.

� Todos tenemos que conocerlo, comprenderlo, aceptarlo y asegurarnos de

su cumplimiento, mediante la firma de:

◦ Acuerdo de Confidencialidad

◦ Normas de uso aceptable de los Sistemas de Información

� Localmente debe existir un plan de seguridad el cual es el marco para la

realización de la mejora continúa del SGSI.

13

� Participación

◦ Consultas o dudas: al Responsables de Seguridad.

◦ Ser Proactivos con las comunicaciones realizadas desde el departamento de Seguridad.

� Conocer los procesos Consultar la documentación existente.

� Mentalizarse e interiorizar la Seguridad de la Información.

14

Cosas que hay que tener en cuenta en relación a la Seguridad Física:

• Nunca dejar abierta la puerta del CPD.

• Nunca dejar abierta la puerta de la caja de seguridad donde se almacenan las cintas de backup.

• Acceso al CPD: En caso de existir un procedimiento que marca este aspecto, seguirlo

• El mismo debe ser cumplido por todas las personas del departamento que deban acceder.

• En caso necesitar dar accesos al CPD a terceros al departamento, se los debe acompañar en todo momento (proveedores, personal de otros departamentos, auditores).

• No dejar objetos en zonas de paso siempre que sea posible se deben dejar en lugares que no estorben el paso.

16

a) Disponibilidad: Que sea accesible en todo momento que sea requerido.

b) Confidencialidad: Que la información sea accesible solamente por las personas que deben tener acceso a la misma. Existen distintos niveles de clasificación de la confidencialidad de la información o de un documento que la contenga, pero la clasificación en general se divide en 3 grupos:

Confidencial: Sólo accesible por un pequeño grupo de empleados (inclusive por una única persona).

Ej: Información de las nóminas del personal.

Interna: Accesible por cualquier empleado de la empresa. Pero no por personas externas a la misma.

Ej: Política de Seguridad.

Pública: Accesible por cualquier persona, inclusive ajena a la empresa. Ej: Información de la web de la propia organización.

c) Integridad: Que la documentación no sea errónea o inconsistente. Que no este corrupta, sea

por eventos internos, externos, premeditados o accidentales.

18

Cosas que hay que tener en cuenta en relación a controles que busquen salvaguardar la confidencialidad de la información:

• Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo si el nivel de confidencialidad es alto.

• Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto.

• Intentar mantener el orden del puesto de trabajo lo más posible, siendo tratando de aplicar la lógica.

• Nunca dejar el ordenador con la sesión desbloqueada.

• Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”).

19

� Política de mesas limpias:� Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo con

información confidencial.

� Archivar papeles y documentos clasificado en espacios o dispositivos físicos de almacenamiento cerrados con llave.

� Destrucción de papel: destructoras compradas para (una papelera no es un medio seguro).

� Pantallas despejadas:◦ Los ordenadores (portátiles y sobremesa) no podrán permanecer

desatendidos, el usuario debe bloquear el equipo antes de ausentarse de su puesto de trabajo (aunque sea por un lapso corto de tiempo).

◦ Se debe activar un salvapantallas protegido con contraseña.

◦ Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto.

� Control de activos físicos (a la entrega y devolución):◦ Llaves: de acceso al CPD, los archivadores, etc.

◦ Antes de irse, cada día:

� Los portátiles deben ser guardados en cajón (bajo llave) al momento de irse (tanto los asignados como otros).

� Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”).

20

• Puede ser una alternativa viable crear una estructura de carpetas que sirva como

el Sistema de Gestión de la Seguridad de la Información del departamento de

sistemas siguiendo los dominios de la normativa ISO/IEC 27001

• Adaptar los formatos de los documentos, para llevar todos al formato plantilla

acordado.

• Además es necesario crear, actualizar gran cantidad de documentación

relacionada con la seguridad (Plan de Seguridad Estratégico IS, digitalizar

contratos, licencias, actualizar documentos, actas de reunión, plantillas, Informes

de auditoría, Procedimientos de Seguridad , Documentos de la LOPD, Memorias,

Lista de Actividades, Organigramas, etc.).

22

23

Dominio / Carpeta dentro de SGSI Documentación que contiene

Plan Estratégico de Seguridad IS

Actas de reuniones, Catálogo de Servicios, Lista de Actividades, Documentos propios de la mejora del SGSI

(análisis de riesgos, métricas e indicadores, etc.), Memorias IS, Organigramas, Presentaciones de IS, Roles y

responsabilidades, Datos de los proveedores (proveedores externos e internos de la organización)

Control de inventario, control en la baja de hardware, Plantilla de documentos

Seguridad ligada al personal (Formación, vacaciones, etc.).

Procedimientos relacionados con la seguridad física, documentación operativa de seguridad.

Todos los entornos en producción poseen una estructura de 3 carpetas: Infraestructura (gestionada

mayormente por el responsable de infraestructuras, aquí se encuentran mapas topológicos,

procedimientos de nivel alto, Aplicación (mayormente gestionada el grupo de aplicaciones) documentos

relacionados con la aplicación, dentro de esta y Operación (mayormente gestionada por el Helpdesk) Aquí

habrá documentos a nivel operativos para cada entornos (FAQ., manuales de usuario, etc.).

En este dominio se encuentran las políticas de acceso lógico por entornos.

Aquí se debe agregar la documentación relacionada con las buenas prácticas de adquisición o desarrollo de

aplicaciones.

Esta carpeta contiene un control de incidencias de seguridad y documentación relacionada con la gestión

de incidencias (como procedimientos de atención de incidencias por parte del Helpdesk).

Esta carpeta posee actualmente planes de contingencia para 4 entornos, se irán desarrollando más planes

de contingencia y con mucha probabilidad un Plan de Continuidad del Negocio.

En este repositorio se encuentran los documentos de las distintas auditorías internas y de la LOPD,

contratos actuales con proveedores, contratos corporate, documentación de la LOPD, Licencias de soft,

procedimientos corporativos de seguridad de Guidelines corporativos de seguridad de la organización.

� Seguir creando documentos aún no existentes (esquemas topológicos de redes y entornos,

documentos operativos para Helpdesk, documentos de aplicaciones y de entornos, etc.).

� Se debe continuar por el camino que estamos llevando a cabo, se debe seguir buscando la

maduración del SGSI, por ello es necesario:

a) Crear más procedimientos (Métricas e indicadores, Control de formación del personal, Normas sobre

la seguridad al tratar con terceros, Plan de Continuidad del Negocio, …). Siempre teniendo en cuenta la

documentación corporativa de la organización, y se creará sólo en los casos que la misma no contemple

los temas tratados por la documentación creada localmente.

b) Crear responsabilidades aún no existentes (Comité de Seguridad, Comité de revisión de la LOPD,

Comité de Cambios, etc.).

� Subir al gestor documental muchos documentos (todos de nivel interno a nivel de confidencialidad)

una vez se haya acabado de actualizar, revisar y corregir.

� Formación del personal de IS, formación de key users (para ciertos entornos con alto riesgo) y hasta

formación en seguridad para todo el personal.

24

� SGSI: http://es.wikipedia.org/wiki/SGSI

� ISO/IEC 27001: http://es.wikipedia.org/wiki/ISO/IEC_27001

� Seguridad de la Información: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

25

¡¡ Muchas Gracias !!

ramiro@ramirocidramiro@ramirocidramiro@ramirocidramiro@ramirocid....comcomcomcom

@@@@ramirocidramirocidramirocidramirocid

httphttphttphttp:::://www//www//www//www....linkedinlinkedinlinkedinlinkedin....com/in/ramirocidcom/in/ramirocidcom/in/ramirocidcom/in/ramirocid

httphttphttphttp:::://ramirocid//ramirocid//ramirocid//ramirocid....comcomcomcom httphttphttphttp:::://es//es//es//es....slideshareslideshareslideshareslideshare....net/ramirocidnet/ramirocidnet/ramirocidnet/ramirocid

httphttphttphttp:::://www//www//www//www....youtubeyoutubeyoutubeyoutube....com/user/cidramirocom/user/cidramirocom/user/cidramirocom/user/cidramiro

Ramiro CidRamiro CidRamiro CidRamiro CidCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL