IX.ESTÁNDARES Y ORGANIZACIONES.

UNIVERSIDAD LATINA.

Modelo de Soluciones de Seguridad en Modelo de Soluciones de Seguridad en InformáticaInformática

EstrategiaEstrategia

Cumplimiento Regulaciones

Reducir RiesgosReducir Costos Administrativos

Mejorar Eficiencia de

ProcesosAsegurar Propiedad IntelectualAsegurar

Información Cliente

Defenderse Contra Dsiputas

LegalesRetorno de la

Inversión

Política

Cumplimiento Regulaciones

Reducir RiesgosLimitar

Exposición LegalCumplimiento

PersonasObservancia y

RecursoReglas Claras

Consecuencias Claras

Línea Base Para Reglamento

Arquitectura

Mejorar Eficiencia de

ProcesosReducir Costos Administrativos

Costo de PropiedadUso de las

TecnologíasCumplimiento

EstándaresAdministración

IntegradaProceso de

Actualización y Soporte

Retorno de la Inversión

Diseño

RendimientoImportancia

TécnicaCumplimiento

EstándaresHerramientas

IntegradasLicenciamiento

Uso de las TecnologíasProceso de

Actualización y Soporte

Facilidad de UsoEscalabilidadFlexibilidad

Soporte Multi-Plataforma

Implementación

RendimientoImportancia

TécnicaCumplimiento

EstándaresHerramientas

IntegradasUso de las

TecnologíasProceso de

Actualización y Soporte

Facilidad de UsoEscalabilidadFlexibilidad

CostoLicenciamiento

Negocio Técnico

Paradigma de Seguridad en la IndustriaParadigma de Seguridad en la Industria

““Muchas compañías de tecnología de información han Muchas compañías de tecnología de información han desarrollado tecnologías para manejar los retos de los negocios. desarrollado tecnologías para manejar los retos de los negocios.

Sin embargo, muchas de esas tecnologías sólo atienden Sin embargo, muchas de esas tecnologías sólo atienden necesidades específicas dentro de todo el ambiente de seguridad necesidades específicas dentro de todo el ambiente de seguridad

de la información. de la información. Pocas compañías tienen desarrolladas Pocas compañías tienen desarrolladas tecnologías para integrartecnologías para integrar, fácilmente, con otras tecnologías…para , fácilmente, con otras tecnologías…para ayudar a proveer un más uniforme, más controlado y, por tanto, ayudar a proveer un más uniforme, más controlado y, por tanto,

más seguro ambiente operativo.”más seguro ambiente operativo.”

Especialista en Seguridad, PricewaterhouseCoopersEspecialista en Seguridad, PricewaterhouseCoopers

Estandares de Seguridad Informatica.Estandares de Seguridad Informatica.

Son Son lineamientos generales internacionales o lineamientos generales internacionales o nacionales que tienen el propósito de lograr nacionales que tienen el propósito de lograr una buena administración de la seguridad de la una buena administración de la seguridad de la información en las organizaciones.información en las organizaciones.

Propósitos de los estándares.Propósitos de los estándares.

Se pueden mencionar tres razones que justifican su desarrollo e Se pueden mencionar tres razones que justifican su desarrollo e implementación en las organizaciones.implementación en las organizaciones.

1.- 1.- Suministrar normas de seguridad a los fabricantes de productos Suministrar normas de seguridad a los fabricantes de productos ya ya que los estandares permiten establecer una serie de orientaciones y que los estandares permiten establecer una serie de orientaciones y lineamientos para el desarrollo de nuevos productos en la seguridad lineamientos para el desarrollo de nuevos productos en la seguridad informáticainformática

2.- 2.- Definir métricas de evaluación, de certificación y acreditación Definir métricas de evaluación, de certificación y acreditación aplicadas a procesos como técnicas de gestión y al desarrollo y aplicadas a procesos como técnicas de gestión y al desarrollo y comercialización de productos y servicios de seguridad informáticacomercialización de productos y servicios de seguridad informática

3.- 3.- Trasmitir la confianza Trasmitir la confianza necesaria a los usuarios y consumidoresnecesaria a los usuarios y consumidores

Estándares

Clasificación de Activos y su Control

Personal de Seguridad

Seguridad Física y Ambiental

Administración y Operación de Comunicaciones

Control de Acceso

Desarrollo y Mantenimiento de Sistemas

Contingencia “Business Continuity”

“Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría

El Modelo es la Aplicación de EstándaresEl Modelo es la Aplicación de Estándares

Políticas de Seguridad y

Seguridad Organizacional

Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento)

Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable.

Riesgos y Controles de ProcesosRiesgos y Controles de Procesos

RIESGOS CONTROLES

Para identificar los riesgos se clasifican en:•De negocio•Financieros•Operativos•De cumplimiento•Fraude

Para identificar los controles se clasifican en:•Informática•Atribuciones•Procedimientos•Documentación•Sistema de información gerencial

ACTIVIDAD

El Estándar de Seguridad - ISO 17799El Estándar de Seguridad - ISO 17799

• El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.

• El estándar hace referencia a diez aspectos primordiales para la seguridad informática.

• Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad.

ESTANDAR ISO 17799 - PolíticasESTANDAR ISO 17799 - Políticas

Políticas de Seguridad y

Seguridad Organizacional

Políticas de Seguridad:•Documento de la Política de Seguridad•Revisión y Evaluación

Seguridad Organizacional•Infraestructura•Ente colegiado de Seguridad Informática•Coordinación de Seguridad Informática•Nombramiento de Responsables de SI•Proceso de autorización para oficinas de SI•Personal especializado en SI•Cooperación entre Organizaciones•Revisión independiente de SI

•Seguridad de Ingreso a Terceros•Identificación de riesgos por Ingreso de 3ros•Requisitos en Contratos con 3ros

•Outsourcing•Requisitos en Contratos de Outsourcing

ESTANDAR ISO 17799 – Clasificación ESTANDAR ISO 17799 – Clasificación de Activosde Activos

Responsabilidad por Activos•Inventario de Activos

Clasificación de Información•Guías de Clasificación. •Manipulación y marcación de Información

Clasificación de Activos y su Control

ESTANDAR ISO 17799 - PersonalESTANDAR ISO 17799 - PersonalDefinición de Roles y Perfiles•Incluir la Seguridad en la responsabilidad de roles•Política de perfiles en funciones y cargos•Acuerdos de confidencialidad•Términos y condiciones del contrato de trabajo

Entrenamiento de Usuarios•Entrenamiento y Educación en SI

Respuesta a Incidentes de Seguridad y “Malfuncionamiento”

•Reportes de Iincidentes de Seguridad•Debilidades de reportes de Seguridad•Reportes de “Malfuncionamiento” de software•Aprendiendo de los incidentes•Proceso Disciplinario

Personal de Seguridad

ESTANDAR ISO 17799 – Seguridad ESTANDAR ISO 17799 – Seguridad FísicaFísica

Areas Seguras•Perímetro de Seguridad Física•Controles de entrada física•Oficinas de Seguridad•Trabajo en áreas seguras•Areas aisladas de cargue y descargue

Equipos de Seguridad•Ubicación y proteción de Equipos•Suministros de potencia•Cableados de seguridad•Mantenimiento de equipos•Seguridad de equipos premisas de apagado•Reuso o desecho de equipos

Controles Generales

•Política de limpieza de escritorios y pantallas•Manipulación de Propiedad

Seguridad Física y Ambiental

ESTANDAR ISO 17799 ESTANDAR ISO 17799 Administración Administración

Procedimientos de Operaciones•Procedimientos de operación documentados•Control de cambio de operaciones•Procedimientos de administración de incidentes•Segregación de obligaciones•Separación de áreas de desarrollo y operaciones•Administración de instalaciones externas

Planeación de Sistemas•“Capacity Planning” – Planeamiento de capacidades •Aceptación del sistema

Protección de Software Malicioso•Control de software malicioso

“Housekeeping” – Mantenimiento•Back – Ups de Información•Logs de Operación•Fallas de Logging

Administración de Red•Controles de red

Administración de Operaciónes y Comunicaciones

ESTANDAR ISO 17799 - ESTANDAR ISO 17799 - AdministraciónAdministración

Manipulación de Medios y Seguridad•Administración de medios removibles•Deshecho de medios•Procedimientos de administración de información•Seguridad de la documentación del sistema• obligaciones•Separación de áreas de desarrollo y operaciones•Administración de instalaciones externas

Intercambio de Información y de Software•Acuerdos de intercambio de software e información•Seguridad de medios en tránsito•Seguridad de Comercio Electrónico•Seguridad de Correo Electrónico•Seguridad de sistemas de oficina electrónicos•Disponibilidad pública de sistemas•Otras formas de intercambio de información

Administración de Operaciónes y Comunicaciones

ESTANDAR ISO 17799 - Control de ESTANDAR ISO 17799 - Control de AccesoAcceso

Requerimientos de Negocios para Control de Acceso•Políticas de Control de Acceso

•Administración de Acceso de Usuarios•Registro de Usuarios•Administrración de privilegios•Administración de Constraseñas•Revisión de derechos de acceso de usuarios

•Responsabilidad de Usuarios•Utilización de contraseñas•Equipo de usuarios desatendidos

Control de Acceso

ESTANDAR ISO 17799 – Control de ESTANDAR ISO 17799 – Control de AccesoAcceso

•Control de Acceso a Red•Políticas de uso de servicios de red•Acceso reforzado•Autenticación de usuarios en conexión externa•Autenticación de nodos•Diagnóstico Remoto de Protección de Puertos•Segregación en redes•Control de Conexión de Redes•Control de Enrutamiento de Redes•Seguridad de servicios de red

Control de acceso a Sistemas Operativos•Identificación automática de terminales•Procedimientos de Log-on a Terminales•Identificación y autenticación de usuarios•Sistema de administración de contraseñas•Uso de utilidades del sistema•Alarma para usuarios de seguridad•“Terminal Time-out” Límites de tiempo a estaciones

Control de Acceso

ESTANDAR ISO 17799 – Control de ESTANDAR ISO 17799 – Control de AccesoAcceso

•Control de Acceso de Aplicaciones•Restricción de Acceso a información•Aislamiento de sistemas sensitivos

Monitoreo de Uso y Acceso a Sistemas•Loggin por eventos•Identificación automática de terminales•Monitoreo de uso del sistema•Sincronización de reloj

•Computación Móvil y Teletrabajo•Computación Móvil•Teletrabajo

Control de Acceso

ESTANDAR ISO 17799 – Desarrollo y ESTANDAR ISO 17799 – Desarrollo y MantenimientoMantenimiento

•Requerimientos de Seguridad de Sistemas•Rquerimientos, Análisis y Especificaciones de Seguridad

Seguridad en Aplicaciones•Validación de ingreso de datos•Control de procesamiento•Autenticación de mensajes•Validación de salida de datos

•Controles de Encripción•Política de uso de controles de encripción•Encripción•Firmas digitales•Servicios de No repudiación•Administración de claves PKI

Desarrollo y Mantenimiento de Sistemas

ESTANDAR ISO 17799 – Desarrollo y ESTANDAR ISO 17799 – Desarrollo y MantenimientoMantenimiento

•Seguridad de Archivos•Control de Sistemas Operativos•Protección de Datos•Control de acceso a librería de programas

Seguridad en Procesos de Desarrollo y Soporte•Procesos de control de cambios•Revisión técnica al cambio de S.O.•Restricciones en cambios de paquetes de software•Canales y código “Trojan” •Desarrollo de software en “ousorcing”

Desarrollo y Mantenimiento de Sistemas

ESTANDAR ISO 17799 - ContingenciaESTANDAR ISO 17799 - Contingencia

•Administración de la Contingencia o “Business Continuity Management”

•Procesos de Administración de Contingencia•Contingencia y Análisis de Impacto•Escritura e Implementación de Planes de Contingencia•Marco de planeación de la Contingencia•Chequeo, Mantenimiento y Reasignación de Planes de Contingencia

Contingencia “Business Continuity”

ESTANDAR ISO 17799 - ESTANDAR ISO 17799 - CumplimientoCumplimiento

•Cuplimiento de Aspectos Legales•Identificación de la legislación aplicable•Derechos de Propiedad Intelectual•Salvaguarda de Registros Organizacionales•Protección de Datos y privacidad de información personal•Prevención de ingreso a Edificios de procesos de Información•Regulación de controles de encripción•Obtención de evidencias

•Revisión de la Política de Seguridad y su Cumplimiento Técnico•Cumplimiento de la política de seguridad•Chequeo de cumplimiento técnico

•Cosideraciones de Auditoría•Controles de auditoría de sistemas•Protección de las herramientas de auditoría

“Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría

Estándares de Seguridad - BS7799 / ISO 17799Estándares de Seguridad - BS7799 / ISO 17799

• OUTSOURCING :• Objetivo: Mantener la seguridad de la información

cuando la responsabilidad del procesamiento esta en manos de otra organización.

• Las negociaciones de outsourcing deben tener definidos claramente en los contratos suscritos, los riesgos, los controles de seguridad y los procedimientos para los sistemas de información que se encuentren dentro de los procesos que estarán en manos de la organización proveedora del outsourcing.

Estándares de Seguridad - BS7799 / ISO 17799Estándares de Seguridad - BS7799 / ISO 17799

• SEGURIDAD EN CONEXIONES CON TERCEROS:• Objetivo: Mantener la seguridad de la información de la

organización que es accesada por terceros.

• El acceso a la información de la organización por parte de terceros debe ser controlado.

• Se debe hacer un análisis de riesgos para determinar las implicaciones en seguridad y los requerimientos de control. Los controles que se definan deben ser definidos en el contrato que se firme con el tercero.

Estándares de Seguridad - BS7799 / ISO 17799Estándares de Seguridad - BS7799 / ISO 17799

• POLITICA DE SEGURIDAD INFORMATICA:• Objetivo: Proveer directrices a la administración y

soporte para la seguridad de la información.

• La administración debe ser capaz de definir la dirección de las políticas de Seguridad de la información. Además debe establecer un claro y firme compromiso con estas políticas y divulgarlas a través de toda la organización.

Estándares de Seguridad BS7799 / ISO 17799Estándares de Seguridad BS7799 / ISO 17799

• POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UN ESTANDAR DE SEGURIDAD?

Certificaciones ISO.Si la empresa está sometida a un proceso de compra/venta,

alianza estratégica o hace parte de una cadena de valor B2B.Renegociación de primas y reaseguros.

PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.

Organismos responsables de la estandirazación.- Internacionales

• Comisión Electrónica Internacional .- IEC• Organización Internacional de Normalización .- ISO• Comités Técnicos .- CT• Grupos de Trabajos.- GT

Estandares Estadounidenses

TCSEC.- Trusted Computer System Evaluation CriteriaCriterios de Evaluación de Sistemas Informáticos de

Confianza

GRACIAS POR TU ATENCIÓN ..!.