iso 1779927002 auditoria de la seguridad

35
Universidad Nacional de Ingeniería Facultad de Electrotecnia y Computación UNI-FEC Docente: MSc. María Lourdes Montes López Fecha: Lunes 25 de Septiembre de 2010. Ingeniería de Software III Elaborado por: Elizabeth Margarita Chávez Molina 2006-22524 Oscar Eligio Ayestas Hernández 2006-23420 Marlon de Jesús García Ortiz 2005- 21259 Grupo: # 9

Upload: marlon-garcia-ortiz

Post on 01-Jul-2015

146 views

Category:

Documents


2 download

TRANSCRIPT

Page 1: ISO 1779927002 Auditoria de la Seguridad

Universidad Nacional de IngenieríaFacultad de Electrotecnia y Computación

UNI-FEC

Docente: MSc. María Lourdes Montes López

Fecha: Lunes 25 de Septiembre de 2010.

Ingeniería de Software III

Elaborado por:

Elizabeth Margarita Chávez Molina 2006-22524Oscar Eligio Ayestas Hernández 2006-23420Marlon de Jesús García Ortiz 2005-21259

Grupo: # 9

Page 2: ISO 1779927002 Auditoria de la Seguridad

Origen de la ISO 17799/27002

Auditoria de la Seguridad (ISO 17799/27002) ITIL

En 1995 el British Standard Institute (BSI) publica la norma BS 7799, un código de buenas prácticas para la gestión de la seguridad de la información. En 1998 también el BSI publica la norma BS 7799-2 con especificaciones para los sistemas de gestión de la seguridad de la información. Tras una revisión de ambas partes de BS 7799, la primera es adoptada como norma ISO en el año 2000 y denominada ISO/IEC 17799.

Actualmente las empresas deben asegurar que sus recursos y la propiedad intelectual estén protegidos y que los clientes se sientan seguros de realizar negocios.De acuerdo al BSI:

BS CIA 7799 es una guía de auditoría del Sistema de Gestión de Seguridad de la Información (ISMS) basada en los requisitos que deben ser cubiertos por la organización. Contiene especificaciones para certificar los dominios individuales de seguridad para poder registrarse

Page 3: ISO 1779927002 Auditoria de la Seguridad

Origen de la ISO 17799/27002

Auditoria de la Seguridad (ISO 17799/27002) ITIL

BS CIA 7799 es una guía de auditoría del Sistema de Gestión de Seguridad de la Información (ISMS) basada en los requisitos que deben ser cubiertos por la organización. Contiene especificaciones para certificar los dominios individuales de seguridad para poder registrarse a esta norma.ISO 17799 define la seguridad de la información como la preservación de la confidencialidad, la integridad y la disponibilidad de la misma. Esta norma global basada en la norma BS 7799 que define las mejores prácticas para gestión de la seguridad de la información, consta de las siguientes partes:Define un conjunto de objetivos principales e identifica un conjunto de controles de seguridad, que son medidas que se pueden adoptar para cumplir los objetivos de la norma.

Page 4: ISO 1779927002 Auditoria de la Seguridad

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Especifica los controles de seguridad que se pueden utilizar, basándose en los resultados de una evaluación de gestión de riesgos, como base para una certificación formal d una empresa TI bajo la norma BS 7799.ISO 17799 establece la base común para desarrollar normas de seguridad de control de las organizaciones, definiendo diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.Dominios:

Page 5: ISO 1779927002 Auditoria de la Seguridad

Política de seguridad

Aspectos organizativos para la seguridad

Clasificación y control de activos

Seguridad ligada al personal

Seguridad física y del entorno

Gestión de comunicaciones y de operaciones

Control de accesos

Desarrollo y mantenimiento de sistemas

Gestión de continuidad del negocio

Conformidad.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 6: ISO 1779927002 Auditoria de la Seguridad

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Surgida de la norma británica BS 7799, la norma ISO 17799 ofrece instrucciones y recomendaciones para la administración de la seguridad. La norma 17799 también ofrece una estructura para identificar e implementar soluciones para los siguientes riesgos:

Page 7: ISO 1779927002 Auditoria de la Seguridad

Política de seguridad: escribir y comunicar la política de seguridad de la compañía Organización de seguridad: definir los roles y las responsabilidades. Monitorear a

los socios y a las empresas tercer izadas Clasificación y control de activos: llevar un inventario de los bienes de la

compañía y definir cuán críticos son así como sus riesgos asociados Seguridad del personal: contratación, capacitación y aumento de concientización

relacionadas a la seguridad Seguridad física y del entorno: área de seguridad, inventarios del equipamiento

de seguridad Comunicación / Administración de operaciones: procedimientos en caso de

accidente, plan de recuperación, definición de niveles de servicio y tiempo de recuperación, protección contra programas ilegales, etc.

Control de acceso: establecimiento de controles de acceso a diferentes niveles (sistemas, redes, edificios, etc.)

Desarrollo y mantenimiento del sistema: consideración de la seguridad en sistemas desde el diseño hasta el mantenimiento

Plan de continuidad empresarial: definición de necesidades en términos de disponibilidad, recuperación de tiempo y establecimiento de ejercicios de emergencia

Contratación: respeto por la propiedad intelectual, las leyes y las reglamentaciones de la compañía

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 8: ISO 1779927002 Auditoria de la Seguridad

Auditoria de la Seguridad (ISO 17799/27002) ITIL

_ La información es un activo.

_ La seguridad de la información protege de unamplio espectro de amenazas, tendientes agarantizar la continuidad del negocio, minimizardaños, y mejora el retorno de las inversiones yoportunidades de negocio.

_ La información existe en múltiples formas.

_ Confidencialidad, Integridad, Disponibilidad.

_ Se logra por el uso adecuado de Controles,Políticas, procedimientos, Estructura Organizacional.

 

Definición

Page 9: ISO 1779927002 Auditoria de la Seguridad

Por que se necesita?

Auditoria de la Seguridad (ISO 17799/27002) ITIL

_ La información, sistemas, redes son activosimportantes del negocio.

_ Las amenazas continúan aumentando y cada vezcon mayor impacto de tipo financiero.

_ La dependencia es creciente.

_ La mayoría de sistemas de información no sediseñaron pensando en que fueran seguros.

_ No solo aplica a los empleados, sino a proveedores,clientes y accionistas por ejemplo.

_ Los controles son considerablemente máseconómicos si se establecen el la fase de diseño yno al final.

Page 10: ISO 1779927002 Auditoria de la Seguridad

Cada cuando?

Auditoria de la Seguridad (ISO 17799/27002) ITIL

_Considerar cambios en los requerimientosdel negocio y sus respectivas prioridades.

_Considerar nuevas amenazas yvulnerabilidades.

_Confirmar que el control continua siendoefectivo y apropiado.

Page 11: ISO 1779927002 Auditoria de la Seguridad

Consideración sobre ISO 17799

Auditoria de la Seguridad (ISO 17799/27002) ITIL

_ La alta dirección debe definir una política que refleje las líneasdirectrices de la organización en materia de seguridad, aprobarla ypublicitarla de la forma adecuada a todo el personal implicado enla seguridad de la información.

_ Las políticas, se constituyen en la base de todo el sistema deseguridad de la información.

_ La alta dirección debe apoyar visiblemente la seguridad de lainformación en la compañía.

Page 12: ISO 1779927002 Auditoria de la Seguridad

Beneficios_ Procedimientos en línea con disposiciones de tipo gubernamental.(reconocimiento internacional)

_ Mejor protección a la confidencialidad, integridad y disponibilidad de la información.

_ Mitigar riesgo a diferentes ataques

_ Rápida y eficiente forma de recuperarse ante posibles amenazas.

_ Cumplimiento con disposiciones legales.

_ Aumento de la seguridad efectiva de los sistemas de información.

_ Correcta planificación y gestión de la seguridad.

_ Garantías de continuidad del negocio.

_ Mejora contínua a través del proceso de auditoría interna.

_ Incremento de los niveles de confianza de nuestros clientes y partners.

_ Aumento del valor comercial y mejora de la imagen de la organización.

 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 13: ISO 1779927002 Auditoria de la Seguridad

Factores Críticos del Éxito

Auditoria de la Seguridad (ISO 17799/27002) ITIL

_Alineamiento con la organización.

_Consistente con la cultura de la org.

_Soporte visible y compromiso de las directivas.

_Buen entendimiento de los requerimientos de seguridad (risk assessment and riskmanagement)

_Educación

_Indicadores de Gestión

Page 14: ISO 1779927002 Auditoria de la Seguridad

Seguridad en la Organización

Auditoria de la Seguridad (ISO 17799/27002) ITIL

_ La administración de la seguridad, define los roles y responsabilidades dentro de la organización, con el objetivo de mantener e implementar el Sistema de Gestión de Seguridad de la información.

_ Colaboración de directivos, usuarios, administradores, desarrolladores y personal de seguridad, así como también especialistas en el área de aseguramiento y manejo de riesgo.

_ Visión multidisciplinaria a el tema de la seguridad de la información.

_ Cooperación entre Usuarios, gerentes, administradores etc

 

Page 15: ISO 1779927002 Auditoria de la Seguridad

Definición de la Política.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

_“La seguridad de la información es una responsabilidad compartida portodos los miembros de la dirección. El Comité de Seguridad debegarantizar que las políticas cumplen con los requerimientos de negocio dela organización, y velar por el apoyo de la administración para suimplementación.”

Page 16: ISO 1779927002 Auditoria de la Seguridad

Temas asociados a la Política.

_ Roles y Responsabilidades de la administración de la seguridad.

_ Auditorias externas.

_ Seguridad en el acceso por parte de terceros.

_ Compra y mantenimiento de software comercial.

_ Outsourcing

_ Asistencia de especialista en S.I.

_ Revisión independiente de los Sistemas de Información.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 17: ISO 1779927002 Auditoria de la Seguridad

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 18: ISO 1779927002 Auditoria de la Seguridad

Funciones del Comité de Seguridad

 _ Revisar y aprobar las políticas, procedimientos y estándares de seguridad.

_ Evaluar cambios significativos de la exposición de los activos de información a las amenazas de seguridad.

_ Seguimiento de incidentes de seguridad reportados por el Oficial de Seguridad.

_ Apoyar a la administración en la implementación del entrenamiento en seguridad de la información a los usuarios.

_ Evaluar los avances en los proyectos o iniciativas de seguridad.

 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 19: ISO 1779927002 Auditoria de la Seguridad

Funciones del Oficial de la Seguridad

_ Desarrollar, implementar y administrar un programa de seguridad de la información.

_ Asesorar a la organización como incluir la seguridad de la información en las fases de inicio de todos los proyectos de tecnología de la información.

_ Revisar las políticas, procedimientos y estándares según lo estipulado y presentar los cambios para la aprobación del comité de seguridad.

_ Participar en la definición de los controles de seguridad para la plataforma tecnológica de la organización.

_ Evaluar, realizar el seguimiento y reportar los incidentes de seguridad relevantes al comité.

_ Asegurar que los planes de contingencia sean desarrollados, mantenidos y probados regularmente para su funcionamiento.

_ Asegurar que los controles de acceso de cada sistema de información estén de acuerdo con el nivel de riesgo evaluado.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 20: ISO 1779927002 Auditoria de la Seguridad

El Recurso Humano

• El recurso humano es uno de los elementos fundamentales dentro del modelo de seguridad de la organización.

• Las políticas, los procedimientos y estándares de seguridad, son llevados a cabo en el desarrollo diario de las actividades por el personal vinculado a la organización, y sin su compromiso, el modelo no sería exitoso.

• Evitar errores humanos, robo, fraude o uso inadecuado de los recursos.

• Debe empezar con el proceso de contratación.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 21: ISO 1779927002 Auditoria de la Seguridad

El Seguridad en aspectos relacionado s con el recurso humano

_ Soportar las políticas de seguridad de la compañía en el curso del trabajo normal.

_ Minimizar el daño ocasionado por incidentes de seguridad y poder aprender de ellos.

_ Entrenamiento y Concientización.

_ Acuerdos de confidencialidad.

_ Respuesta a incidentes de seguridad.

_ Reportes de vulnerabilidades y funciones equivocadas del software.

_ Procesos disciplinarios.

 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 22: ISO 1779927002 Auditoria de la Seguridad

El Clasificación y Control de activos

• El objetivo de esta sección es mantener una apropiada protección de los activos de la compañía y garantizar que los activos informáticos reciban un nivel apropiado de Seguridad.

• Para todos los activos se debe identificar un dueño y responsables para la implementación de los controles.

• Inventarios de activos.

• Clasificación de la información.(Labelling and Handling).

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 23: ISO 1779927002 Auditoria de la Seguridad

Beneficios

 _ Muestra el compromiso de la organización hacia la seguridad de la información.

_ Ayuda a identificar que información es la más valiosa para la organización.

_ Permite identificar que protecciones aplican a que información.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 24: ISO 1779927002 Auditoria de la Seguridad

 Administración de operaciones

Garantizar operaciones seguras en sitios de procesamiento de la información.

Minimizar el riesgo de fallas de los sistemas usando por ejemplo segregación de las actividades o funciones.

Proteger la integridad del software y la información.

Mantener la integridad y la disponibilidad de los sistemas de información.

Garantizar la protección de las redes y la infraestructura de soporte.

Prevenir daños a los activos y fallas en la continuidad del negocio.

Prevenir perdida, modificaciones, o un mal uso de la información.

Control de Cambios.

Information Back up.

Operators logs.

Disposal of media.

  Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 25: ISO 1779927002 Auditoria de la Seguridad

Administración de operaciones Information Handling Procedures.

Seguridad de documentos.

Seguridad de los medios en transito.

Seguridad en email.

Planeamiento futuro de capacidad.

Protección contra software malicioso.

Asegurar la operación correcta y segura de los recursos de tratamiento de información.Minimizar el riesgo de fallos en los sistemas.

Proteger la integridad del software y de la información.

Mantener la integridad y la disponibilidad de los servicios de tratamiento de información y comunicación.

 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 26: ISO 1779927002 Auditoria de la Seguridad

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Administración de operaciones

Asegurar la salvaguarda de la información en las redes y la protección de su infraestructura de apoyo.

Evitar daños a los activos e interrupciones de actividades de la organización.

Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.

Se debe garantizar la seguridad de las comunicaciones y de la operaciónde los sistemas críticos para el negocio.

Page 27: ISO 1779927002 Auditoria de la Seguridad

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Sistemas de control de accesoLos objetivos de esta sección:

Controlar el acceso a la información. Prevenir el acceso no autorizado a los sistemas de información.(O.S) Protección de los servicios de redes. Detectar actividades no autorizadas. Garantizar seguridad con sistemas móviles o portátiles. Password use Equipos no atendidos.Authentication. Segregation of Networks. Monitoreo.Controlar los accesos a la información.Evitar accesos no autorizados a los sistemas de información.Evitar el acceso de usuarios no autorizados.Protección de los servicios en red.Evitar accesos no autorizados a ordenadores.Evitar el acceso no autorizado a la información contenida en lossistemas.Detectar actividades no autorizadas.Garantizar la seguridad de la información cuando se usandispositivos de informática móvil y teletrabajo.

 ”Se deben establecer los controles de acceso adecuados para protegerlos sistemas de información críticos para el negocio, a diferentes niveles:

sistema operativo, aplicaciones, redes, etc.”

  

Page 28: ISO 1779927002 Auditoria de la Seguridad

Desarrollo y mantenimiento desistemas

Garantizar seguridad en los sistemas operacionales.Prevenir perdidas, modificaciones o mal uso de los datos de las aplicaciones. Proteger la confidencialidad, autenticidad e integridad de la información. Garantizar que los proyectos de IT son conducidos de una manera segura. Mantener la seguridad del software y sus respectivos datos.Asegurar que la seguridad está incluida dentro de los sistemas deinformación.Evitar pérdidas, modificaciones o mal uso de los datos de usuarioen las aplicaciones.Proteger la confidencialidad, autenticidad e integridad de lainformación.Asegurar que los proyectos de Tecnología de la Información y lasactividades complementarias son llevadas a cabo de una formasegura.Mantener la seguridad del software y la información de laaplicación del sistema. 

“Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos,

desarrollo, explotación, mantenimiento...”

 

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 29: ISO 1779927002 Auditoria de la Seguridad

Seguridad Física y del entorno

Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. 

Las áreas de trabajo de la organización y sus activos deben ser clasificadasy protegidas en función de su criticidad, siempre de una forma adecuada

y frente a cualquier riesgo factible de índole física (robo, inundación,incendio...)

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 30: ISO 1779927002 Auditoria de la Seguridad

Objetivo de la seguridad Física

Auditoria de la Seguridad (ISO 17799/27002) ITIL

• Entender la importancia de la seguridad física en laprotección de activos valiosos de información paralos negocios de la empresa.

Objetivo Cont.

• El objetivo fundamental de la seguridad física es garantizar un ambiente seguro para todos los activos e intereses de la organización, incluyendo los sistemas de información.• Aspectos mecánicos, organizacionales, naturales (CPTED).

Page 31: ISO 1779927002 Auditoria de la Seguridad

Centro de computo (Mejores prácticas)

• No más que dos puertas, con seguros electrónicos.• Control de acceso (Tarjeta mas un PIN)•No alimentos, bebidas, cigarrillos, combustibles, no trabajos de construcción sin autorización.• Tomas eléctricas adicionales para equipos eléctricos de mantenimiento• Paredes de altura completa• Paredes, puertas y techo deben tener una adecuada resistencia al fuego.• Redundancia en general.(HVAC, Potencia, Electricidad, etc)• Teléfonos de emergencia y salidas de emergencia delimitadas.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 32: ISO 1779927002 Auditoria de la Seguridad

Gestión de Continuidad del Negocio

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres. Todas las situaciones que puedan provocar la interrupción de las actividades del negocio deben ser prevenidas y contrarrestadas mediante los planes de contingencia adecuados.Los planes de contingencia deben ser probados y revisadosperiódicamente. Se deben definir equipos de recuperación ante contingencias, en los que se identifiquen claramente las funciones y responsabilidades de cada miembro en caso de desastre.

 

Page 33: ISO 1779927002 Auditoria de la Seguridad

Conformidad

Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma.Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas. Se debe identificar convenientemente la legislación aplicable a los sistemas de información corporativos (en nuestro caso, LOPD, LPI, LSSI...), integrándola en el sistema de seguridad de la información de la compañía y garantizando su cumplimiento.Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 34: ISO 1779927002 Auditoria de la Seguridad

Trabajo de auditoría ISO 17799: valoración del nivel de adecuación, implantación y gestión de cada control de la norma en la organización:– Seguridad lógica.– Seguridad física.– Seguridad organizativa.– Seguridad legal.Referencia de la seguridad de la información estándar y aceptada internacionalmente.Una vez conocemos el estado actual de la seguridad de la información en la organización, podemos planificar correctamente su mejora o su mantenimiento.

Auditoria de la Seguridad (ISO 17799/27002) ITIL

Page 35: ISO 1779927002 Auditoria de la Seguridad

Auditoria de la Seguridad (ISO 17799/27002) ITIL

“La seguridad de la información es una responsabilidad compartida portodos los miembros de la dirección. El Comité de Seguridad debe

garantizar que las políticas cumplen con los requerimientos de negocio dela organización, y velar por el apoyo de la administración para su

implementación.

GRACIAS !!!