magerit didactica

56
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN. CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN.

Upload: juan-carlos-carrillo

Post on 25-Oct-2015

45 views

Category:

Documents


2 download

TRANSCRIPT

SISTEMA DE GESTIÓN PARA LA

SEGURIDAD DE LA INFORMACIÓN.

CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN

Y COMUNICACIÓN.

Contenido

• Planteamiento del problema

• Objetivos: – General

– Específicos

• Alcance y limitaciones

• Antecedentes

• Bases Teóricas

• Marco Metodológico

• Descripción de la Propuesta

• Conclusiones y Recomendaciones

Planteamiento del

Problema

• Carencia de políticas de seguridad.

• Falta de un control de acceso efectivo a las instalaciones.

• Hurto de bienes.

• Ausencia de un manual de funciones y procedimientos.

• Inexistencia de planes de capacitación.

• No continuidad en los planes de crecimiento.

Carencia de un Sistema Integral de Seguridad de la

Información en el Centro de Tecnología de Informa-

ción y Comunicación del DCyT, manifestado en las

siguientes situaciones:

Planteamiento del

Problema

• ¿Qué es lo que sucede en el CTIC en materia

de Seguridad de la Información?

• ¿Es viable técnica, operativa y económicamen-

te el mejoramiento de la Seguridad de la Infor-

mación en el CTIC?

• ¿Cómo podría mejorarse la Seguridad de la

Información que se maneja en el centro?

Interrogantes

Planteamiento del

Problema

“Un Sistema de Gestión de la Seguridad de la

Información (SGSI) ayuda a establecer políticas y

procedimientos en relación a los objetivos de

negocio de la organización, con objeto de mantener

un nivel de exposición menor al nivel de riesgo que

la propia organización ha decidido asumir.”

Agustín López. (1)

(1): Portal www.iso27000.es/sgsi.html

Alte

rnativ

a

Planteamiento del

Problema

La ISO/IEC 27001:2005 es un estándar

internacional que proporciona un modelo sólido

para implementar los principios y lineamientos de los

SGSI.

Alte

rnativ

a

Objetivos

General

Establecer un Sistema de Gestión para la Seguridad

de la Información para el Centro de Tecnología de

Información y Comunicación del Decanato de

Ciencias y Tecnología, de acuerdo al estándar

internacional ISO/IEC 27001:2005.

Objetivos

Específicos

1. Diagnosticar la situación actual del CTIC en

relación a la Seguridad de la Información.

2. Determinar la factibilidad técnica, operativa y

económica del Establecimiento de un SGSI

para el CTIC, de acuerdo a la norma ISO/IEC

27001:2005.

3. Diseñar un SGSI para el CTIC, basado en la

norma ISO/IEC 27001:2005.

Alcance y

Limitaciones

1. Análisis de la situación actual de la Seguridad

de la Información en base a 43 controles de la

norma ISO/IEC 27002:2005.

2. Desarrollo de la propuesta hasta la fase de

Planeación de la norma ISO/IEC 27001:2005.

3. Estimación de los resultados esperados por la

implementación de un subconjunto de contro-

les de la norma ISO/IEC 27002:2005

Bases Teóricas

Análisis y Gestión del Riesgo

Metodología

Seguridad de la información

Serie de Normas 27000

Bases Teóricas S

eg

urid

ad

de la

info

rmació

n

Es la preservación de la Información y de los

Sistemas que la gestionan en sus

dimensiones de Confidencialidad, Integridad

y Disponibilidad.

Bases Teóricas S

eg

urid

ad

de la

info

rmació

n

Que la información no sea accesible por

personas, entidades o procesos no

autorizados

Bases Teóricas S

eg

urid

ad

de la

info

rmació

n

Que la información sea exacta y completa

Bases Teóricas S

eg

urid

ad

de la

info

rmació

n

Que la información, servicios y recursos sean

accesibles por las entidades autorizadas

cuando ellas lo requieran.

Bases Teóricas A

nális

is y

Gestió

n d

el R

iesg

o

Uso sistemático de la información para

identificar amenazas y coordinar las

actividades para dirigir y controlar una

organización con relación al riesgo

Bases Teóricas A

nális

is y

Gestió

n d

el R

iesg

o

Persigue identificar los sectores más

vulnerables de la organización y permitir

concentrar los esfuerzos de control en los

lugares críticos

Bases Teóricas A

nális

is y

Gestió

n d

el R

iesg

o

Term

ino

log

ía

Activo: Cualquier cosa - tangible o no - que tenga valor

para la organización.

Vulnerabilidad: Debilidad de un activo que puede ser

explotada por una amenaza.

Amenaza: Causa potencial de un incidente no deseado,

que podría dañar uno o más activos.

Control ó Salvaguarda: Medios para manejar el riesgo;

incluyendo políticas, procedimientos, lineamientos,

prácticas o estructuras organizacionales.

Riesgo: Combinación de la probabilidad de materialización

de una amenaza y el daño que produciría sobre un activo.

Bases Teóricas S

iste

ma d

e G

estió

n d

e la

Seg

urid

ad

de la

Info

rmació

n

Consiste en la planificación, ejecución,

verificación y mejora continua de un conjunto

de controles que permitan reducir el riesgo de

sufrir incidentes de seguridad

Bases Teóricas N

orm

a IS

O/IE

C 2

7001:2

005

Metodología que establece las especificaciones

para un SGSI, con el fin de garantizar que los

riesgos son conocidos, asumidos, gestionados y

minimizados, de una forma documentada,

sistemática, estructurada, continua, repetible y

eficiente.

ISO 27001: Fases

Bases Teóricas N

orm

a IS

O/IE

C 2

7002:2

005

Es un “Código de Buenas Prácticas” para la Seguridad

de la Información, que establece cientos de controles y

mecanismos de control, los cuales pueden ser

implementados y posteriormente chequeados por la

norma ISO/IEC 27001:2005

Bases Teóricas M

eto

do

log

ía M

AG

ER

IT

1. Desarrollada por el Ministerio de Administración Pública

de España.

2. Método sistemático para el análisis de riesgos, que

facilita su evaluación y tratamiento, con el objeto de

mantenerlo bajo control.

Marco Metodológico

Estudio de Proyecto factible, apoyado en la

investigación monográfica, documental y de

campo.

Natu

rale

za d

e la

investig

ació

n

Marco Metodológico

Evaluar la situación actual del CTIC, en

cuanto a Seguridad de la Información,

determinando su Nivel de Madurez en base

al cumplimiento de las cláusulas de seguridad

de la norma ISO/IEC 27002:2005.

(7 cláusulas y 43 controles)

Ob

jetiv

os d

el D

iag

stic

o

Marco Metodológico C

on

clu

sio

nes d

el D

iag

stic

o

1. Los controles existen, pero no se gestionan.

2. El éxito es una cuestión de azar.

3. Se exceden con frecuencia el presupuesto y el

tiempo de respuesta.

4. El éxito depende de personal de alta calidad.

El Plan de Seguridad de la Información del CTIC

no es eficaz en el control de Incidentes de

Seguridad

Marco Metodológico F

actib

ilidad

Op

era

tiva

1. Existe una muy buena disposición, por parte de la

Jefatura del Centro, para mejorar la Seguridad del

CTIC.

2. Tanto el personal del CTIC como sus usuarios,

tienen experiencia en el área de computación y

están familiarizados con los aspectos de la

seguridad tecnológica.

Marco Metodológico F

actib

ilidad

Técn

ica

1. La norma ISO/IEC 27001:2005 es un modelo deta-

llado, el cual especifica las etapas que se deben

cumplir para la implantación de un SGSI.

2. El Decanato de Ciencias y Tecnología cuenta con

personal capacitado para liderar el proyecto.

3. El CTIC cuenta con el equipo informático adecua-

do para el desarrollo del proyecto.

Marco Metodológico F

actib

ilidad

Eco

mic

a

1. Programas de ayuda económica que apoyan los

desarrollos tecnológicos, tales como el CDCHT y

los proyectos LOCTI.

2. Existencia de metodologías y herramientas gratui-

tas para llevar a cabo la instalación y operación

de un SGSI, como por ejemplo: EBIOS, MAGERIT

e ISO27001.

Propuesta del Estudio

Establecimiento del SGSI para el CTIC

en base a la norma internacional

ISO/IEC 27001:2005

Bases Teóricas

• Definición del Alcance del SGSI.

• Definición de una Política SGSI.

• Definición del enfoque de Evaluación de Riesgos.

• Identificación de Riesgos.

• Análisis y Evaluación del Riesgo.

• Opciones para el Tratamiento del Riesgo.

• Selección de Objetivos de Control y Controles.

• Aprobación para los riesgos residuales.

• Autorización para implementar y operar el SGSI.

• Preparación del enunciado de aplicabilidad (SOA).

Meto

do

log

ía

Marco Metodológico R

esu

ltad

os d

el D

iag

stic

o

Marco Metodológico R

esu

ltad

os d

el D

iag

stic

o

Defin

ició

n d

el A

lcan

ce

del S

GS

I.

Defin

ició

n d

e la

Po

lítica

del S

GS

I.

Iden

tificació

n d

e R

iesg

os

Iden

tificació

n d

e A

ctiv

os

Propuesta de Estudio E

nfo

qu

e d

e E

valu

ació

n d

el

Rie

sg

o

1. Riesgo Inicial aceptado: 15%

Propuesta del Estudio Id

en

tificació

n d

e R

iesg

os

Cla

sific

ació

n d

e A

ctiv

os

Ca

teg

orí

a

• Servicios.

• Datos e Información.

• Equipamiento.

• Aplicaciones.

• Soporte de Información.

• Equipamiento Auxiliar.

• Instalaciones.

• Personal

Propuesta del Estudio Id

en

tificació

n d

e R

iesg

os

Valo

r pro

pio

del A

ctiv

o

Iden

tificació

n d

e R

iesg

os

Catá

log

o d

e A

ctiv

os

Iden

tificació

n d

e R

iesg

os

Iden

tificació

n d

e A

men

azas

Propuesta del Estudio Id

en

tificació

n d

e R

iesg

os

Dete

rmin

ació

n d

el R

iesg

o

Activo/Vulnerabilidad Amenaza/Frecuencia

Activo degradado

RIESGO

Riesgo = Valor_Activo x Degradación x Frecuencia

Tablas de valor para Degradación y Frecuencia

Bases Teóricas D

ete

rmin

ació

n d

el R

iesg

o

Niv

el d

e P

rob

ab

ilidad

de R

iesg

o

• Herramienta que facilita las tareas de Análisis y Gestión

del Riesgo.

• Desarrollada por especialistas en la materia.

• Configurada como una hoja de cálculo.

NPR = Riesgo x Probabilidad_Gestión

TABLAS DE VALOR

Propuesta del Estudio A

nális

is y

Evalu

ació

n

del R

iesg

os

1. Total de Amenazas y Riesgos Detectados: 64

2. Total de Riesgos con NPR en ROJO: 3

3. Total de Riesgos con NPR en AMARILLO: 12

4. Total de Riesgos con NPR en VERDE: 7

5. Total de Riesgos con NPR en GRIS: 42

Resumen:

Propuesta del Estudio O

pcio

nes p

ara

el T

rata

mie

nto

del R

iesg

o

• Aceptar el riesgo con NPR de hasta 15%

• Aplicar controles para los riesgos no aceptados

Se seleccionan:

Propuesta del Estudio S

ele

cció

n d

e C

on

trole

s

Para cada Riesgo identificado se

proponen uno o más controles de

la Norma ISO/IEC 27002:2005.

Propuesta del Estudio E

nu

ncia

do

de A

plic

ab

ilidad

Es un documento que tiene como finalidad la

observancia de todos los controles de

seguridad propuestos en la norma, con la

justificación de su inclusión o exclusión,

según sea el caso.

Conclusiones

• Madurez del SGSI actual del CTIC: Nivel

L1 (Inicial).

• Cumplimiento de los controles

propuestos en la norma ISO/IEC 27002 :

42.69 %

• Reducción del Nivel de Riesgo al

implantar los controles propuestos:

Menor a 23 puntos.

Recomendaciones

• Tomar acciones inmediatas para gestionar

los Riesgos con un NPR en ROJO.

• Establecer formalmente el SGSI propuesto.

• Designar una persona encargada para la

Seguridad de la Información del CTIC

• Implementar el Plan propuesto para el

Tratamiento de los Riesgos detectados.

• Una vez ganada experiencia, aplicarlo a

otras unidades de la universidad.

Recomendaciones

• Profundizar en el desarrollo de la

herramienta AGR utilizando Sistemas

Expertos.

• Profundizar el estudio de métricas y

técnicas para la determinación de la

eficacia de un SGSI.

• Promover la cátedra de Seguridad de la

Información en el programa de Ingeniería en

Informática.

• Confeccionar una metodología SGSI para la

universidad.

No hay seguridad total sino

seguridad gestionada.