politica de seguridad de sistemas informaticos
DESCRIPTION
modelos de politicas de seguridadTRANSCRIPT
ESTANDARES DE SEGURIDAD ESTANDARES DE SEGURIDAD INFORMATICA – ACIS Junio - INFORMATICA – ACIS Junio - 20022002
EL MODELO ES LA BASEEL MODELO ES LA BASEPor: Fernando Jaramillo Por: Fernando Jaramillo A.A.
2 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Entendiendo un Modelo de Entendiendo un Modelo de Soluciones de Seguridad en Soluciones de Seguridad en InformáticaInformática
EstrategiaEstrategia
Cumplimiento Regulaciones
Reducir RiesgosReducir Costos Administrativos
Mejorar Eficiencia de
ProcesosAsegurar Propiedad IntelectualAsegurar
Información Cliente
Defenderse Contra Dsiputas
LegalesRetorno de la
Inversión
Política
Cumplimiento Regulaciones
Reducir RiesgosLimitar
Exposición LegalCumplimiento
PersonasObservancia y
RecursoReglas Claras
Consecuencias Claras
Línea Base Para Reglamento
Arquitectura
Mejorar Eficiencia de
ProcesosReducir Costos Administrativos
Costo de PropiedadUso de las
TecnologíasCumplimiento
EstándaresAdministración
IntegradaProceso de
Actualización y Soporte
Retorno de la Inversión
Diseño
RendimientoImportancia
TécnicaCumplimiento
EstándaresHerramientas
IntegradasLicenciamiento
Uso de las TecnologíasProceso de
Actualización y Soporte
Facilidad de UsoEscalabilidadFlexibilidad
Soporte Multi-Plataforma
Implementación
RendimientoImportancia
TécnicaCumplimiento
EstándaresHerramientas
IntegradasUso de las
TecnologíasProceso de
Actualización y Soporte
Facilidad de UsoEscalabilidadFlexibilidad
CostoLicenciamiento
Negocio Técnico
3 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Voces de la IndustriaVoces de la Industria
““Muchas compañías de tecnología de información han Muchas compañías de tecnología de información han desarrollado tecnologías para manejar los retos de los desarrollado tecnologías para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologías negocios. Sin embargo, muchas de esas tecnologías
sólo atienden necesidades específicas dentro de todo el sólo atienden necesidades específicas dentro de todo el ambiente de seguridad de la información. Pocas ambiente de seguridad de la información. Pocas compañías tienen desarrolladas tecnologías para compañías tienen desarrolladas tecnologías para integrar, fácilmente, con otras tecnologías…para integrar, fácilmente, con otras tecnologías…para
ayudar a proveer un más uniforme, más controlado y, ayudar a proveer un más uniforme, más controlado y, por tanto, más seguro ambiente operativo.”por tanto, más seguro ambiente operativo.”
Especialista en Seguridad, PricewaterhouseCoopersEspecialista en Seguridad, PricewaterhouseCoopers
4 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Estándares
Clasificación de Activos y su Control
Personal de Seguridad
Seguridad Física y Ambiental
Administración y Operación de Comunicaciones
Control de Acceso
Desarrollo y Mantenimiento de Sistemas
Contingencia “Business Continuity”
“Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría
El Modelo es la Aplicación de El Modelo es la Aplicación de EstándaresEstándares
Políticas de Seguridad y
Seguridad Organizacional
5 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento)
Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable.
Riesgos y Controles de ProcesosRiesgos y Controles de Procesos
RIESGOS CONTROLES
Para identificar los riesgos se clasifican en:•De negocio•Financieros•Operativos•De cumplimiento•Fraude
Para identificar los controles se clasifican en:•Informática•Atribuciones•Procedimientos•Documentación•Sistema de información gerencial
ACTIVIDAD
6 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Probabilidad e Impacto del Riesgo (C)
1 2 3
3
2
1
IMPACTO EN LA ORGANIZACION
PROBABILIDAD DE OCURRENCIA (P.O)
1 Es poco probable que ocurra
2 Es medianamente probable que ocurra
3 Es altamente probable que ocurra
1 Sería de bajo impacto
2 Sería de mediano impacto
3 Sería de alto impacto
IMPACTO EN LA ORGANIZACIÓN (I)
PROBABILIDAD
CALIFICACION DEL RIESGO
Alto 3
Medio 2
Bajo 1
Riesgo Remanente (R)
SITUACION ACTUAL (SA)DEL CONTROL INTERNO
1 Cubre en gran parte el riesgo
2 Cubre medianamente el riesgo
3 No existe ningún tipo de medida
SITUACION ACTUAL- CONTROL INTERNO
1 2 3
9
6
33
CRITICIDAD
DEL
RIESGO
Matriz de Evaluación de RiesgosMatriz de Evaluación de Riesgos
7 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
El Estándar de Seguridad - ISO El Estándar de Seguridad - ISO 1779917799
El estándar de seguridad ISO 17799 fue preparado por la El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.del año 2000.
El estándar hace referencia a diez aspectos primordiales El estándar hace referencia a diez aspectos primordiales para la seguridad informática.para la seguridad informática.
Estos aspectos son: Planes de Contingencia, Control de Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Operaciones, Control y Clasificación de la Información y Políticas de Seguridad.Políticas de Seguridad.
8 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - PolíticasESTANDAR ISO 17799 - Políticas
Políticas de Seguridad y
Seguridad Organizacional
Políticas de Seguridad:•Documento de la Política de Seguridad•Revisión y Evaluación
Seguridad Organizacional•Infraestructura•Ente colegiado de Seguridad Informática•Coordinación de Seguridad Informática•Nombramiento de Responsables de SI•Proceso de autorización para oficinas de SI•Personal especializado en SI•Cooperación entre Organizaciones•Revisión independiente de SI
•Seguridad de Ingreso a Terceros•Identificación de riesgos por Ingreso de 3ros•Requisitos en Contratos con 3ros
•Outsourcing•Requisitos en Contratos de Outsourcing
9 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 – Clasificación de ESTANDAR ISO 17799 – Clasificación de ActivosActivos
Responsabilidad por Activos•Inventario de Activos
Clasificación de Información•Guías de Clasificación. •Manipulación y marcación de Información
Clasificación de Activos y su Control
10 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - PersonalESTANDAR ISO 17799 - Personal
Definición de Roles y Perfiles•Incluir la Seguridad en la responsabilidad de roles•Política de perfiles en funciones y cargos•Acuerdos de confidencialidad•Términos y condiciones del contrato de trabajo
Entrenamiento de Usuarios•Entrenamiento y Educación en SI
Respuesta a Incidentes de Seguridad y “Malfuncionamiento”•Reportes de Iincidentes de Seguridad•Debilidades de reportes de Seguridad•Reportes de “Malfuncionamiento” de software•Aprendiendo de los incidentes•Proceso Disciplinario
Personal de Seguridad
11 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 – Seguridad FísicaESTANDAR ISO 17799 – Seguridad Física
Areas Seguras•Perímetro de Seguridad Física•Controles de entrada física•Oficinas de Seguridad•Trabajo en áreas seguras•Areas aisladas de cargue y descargue
Equipos de Seguridad•Ubicación y proteción de Equipos•Suministros de potencia•Cableados de seguridad•Mantenimiento de equipos•Seguridad de equipos premisas de apagado•Reuso o desecho de equipos
Controles Generales•Política de limpieza de escritorios y pantallas•Manipulación de Propiedad
Seguridad Física y Ambiental
12 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 Administración ESTANDAR ISO 17799 Administración
Procedimientos de Operaciones•Procedimientos de operación documentados•Control de cambio de operaciones•Procedimientos de administración de incidentes•Segregación de obligaciones•Separación de áreas de desarrollo y operaciones•Administración de instalaciones externas
Planeación de Sistemas•“Capacity Planning” – Planeamiento de capacidades •Aceptación del sistema
Protección de Software Malicioso•Control de software malicioso
“Housekeeping” – Mantenimiento•Back – Ups de Información•Logs de Operación•Fallas de Logging
Administración de Red•Controles de red
Administración de Operaciónes y Comunicaciones
13 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - AdministraciónESTANDAR ISO 17799 - Administración
Manipulación de Medios y Seguridad•Administración de medios removibles•Deshecho de medios•Procedimientos de administración de información•Seguridad de la documentación del sistema• obligaciones•Separación de áreas de desarrollo y operaciones•Administración de instalaciones externas
Intercambio de Información y de Software•Acuerdos de intercambio de software e información•Seguridad de medios en tránsito•Seguridad de Comercio Electrónico•Seguridad de Correo Electrónico•Seguridad de sistemas de oficina electrónicos•Disponibilidad pública de sistemas•Otras formas de intercambio de información
Administración de Operaciónes y Comunicaciones
14 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - Control de AccesoESTANDAR ISO 17799 - Control de Acceso
Requerimientos de Negocios para Control de Acceso•Políticas de Control de Acceso
•Administración de Acceso de Usuarios•Registro de Usuarios•Administrración de privilegios•Administración de Constraseñas•Revisión de derechos de acceso de usuarios
•Responsabilidad de Usuarios•Utilización de contraseñas•Equipo de usuarios desatendidos
Control de Acceso
15 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 – Control de AccesoESTANDAR ISO 17799 – Control de Acceso
•Control de Acceso a Red•Políticas de uso de servicios de red•Acceso reforzado•Autenticación de usuarios en conexión externa•Autenticación de nodos•Diagnóstico Remoto de Protección de Puertos•Segregación en redes•Control de Conexión de Redes•Control de Enrutamiento de Redes•Seguridad de servicios de red
Control de acceso a Sistemas Operativos•Identificación automática de terminales•Procedimientos de Log-on a Terminales•Identificación y autenticación de usuarios•Sistema de administración de contraseñas•Uso de utilidades del sistema•Alarma para usuarios de seguridad•“Terminal Time-out” Límites de tiempo a estaciones
Control de Acceso
16 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 – Control de AccesoESTANDAR ISO 17799 – Control de Acceso
•Control de Acceso de Aplicaciones•Restricción de Acceso a información•Aislamiento de sistemas sensitivos
Monitoreo de Uso y Acceso a Sistemas•Loggin por eventos•Identificación automática de terminales•Monitoreo de uso del sistema•Sincronización de reloj
•Computación Móvil y Teletrabajo•Computación Móvil•Teletrabajo
Control de Acceso
17 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 – Desarrollo y ESTANDAR ISO 17799 – Desarrollo y MantenimientoMantenimiento
•Requerimientos de Seguridad de Sistemas•Rquerimientos, Análisis y Especificaciones de Seguridad
Seguridad en Aplicaciones•Validación de ingreso de datos•Control de procesamiento•Autenticación de mensajes•Validación de salida de datos
•Controles de Encripción•Política de uso de controles de encripción•Encripción•Firmas digitales•Servicios de No repudiación•Administración de claves PKI
Desarrollo y Mantenimiento de Sistemas
18 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 – Desarrollo y ESTANDAR ISO 17799 – Desarrollo y MantenimientoMantenimiento
•Seguridad de Archivos•Control de Sistemas Operativos•Protección de Datos•Control de acceso a librería de programas
Seguridad en Procesos de Desarrollo y Soporte•Procesos de control de cambios•Revisión técnica al cambio de S.O.•Restricciones en cambios de paquetes de software•Canales y código “Trojan” •Desarrollo de software en “ousorcing”
Desarrollo y Mantenimiento de Sistemas
19 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - ContingenciaESTANDAR ISO 17799 - Contingencia
•Administración de la Contingencia o “Business Continuity Management”•Procesos de Administración de Contingencia•Contingencia y Análisis de Impacto•Escritura e Implementación de Planes de Contingencia•Marco de planeación de la Contingencia•Chequeo, Mantenimiento y Reasignación de Planes de Contingencia
Contingencia “Business Continuity”
20 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
ESTANDAR ISO 17799 - CumplimientoESTANDAR ISO 17799 - Cumplimiento
•Cuplimiento de Aspectos Legales•Identificación de la legislación aplicable•Derechos de Propiedad Intelectual•Salvaguarda de Registros Organizacionales•Protección de Datos y privacidad de información personal•Prevención de ingreso a Edificios de procesos de Información•Regulación de controles de encripción•Obtención de evidencias
•Revisión de la Política de Seguridad y su Cumplimiento Técnico•Cumplimiento de la política de seguridad•Chequeo de cumplimiento técnico
•Cosideraciones de Auditoría•Controles de auditoría de sistemas•Protección de las herramientas de auditoría
“Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría
21 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Estándares de Seguridad - BS7799 / Estándares de Seguridad - BS7799 / ISO 17799ISO 17799
OUTSOURCING :OUTSOURCING :Objetivo: Mantener la seguridad de la información Objetivo: Mantener la seguridad de la información cuando la responsabilidad del procesamiento esta en cuando la responsabilidad del procesamiento esta en manos de otra organización.manos de otra organización.
Las negociaciones de outsourcing deben tener definidos Las negociaciones de outsourcing deben tener definidos claramente en los contratos suscritos, los riesgos, los claramente en los contratos suscritos, los riesgos, los controles de seguridad y los procedimientos para los controles de seguridad y los procedimientos para los sistemas de información que se encuentren dentro de los sistemas de información que se encuentren dentro de los procesos que estarán en manos de la organización procesos que estarán en manos de la organización proveedora del outsourcing.proveedora del outsourcing.
22 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Estándares de Seguridad - BS7799 / Estándares de Seguridad - BS7799 / ISO 17799ISO 17799
SEGURIDAD EN CONEXIONES CON TERCEROS:SEGURIDAD EN CONEXIONES CON TERCEROS:Objetivo: Mantener la seguridad de la información de la Objetivo: Mantener la seguridad de la información de la organización que es accesada por terceros.organización que es accesada por terceros.
El acceso a la información de la organización por parte de El acceso a la información de la organización por parte de terceros debe ser controlado.terceros debe ser controlado.Se debe hacer un análisis de riesgos para determinar las Se debe hacer un análisis de riesgos para determinar las implicaciones en seguridad y los requerimientos de implicaciones en seguridad y los requerimientos de control. Los controles que se definan deben ser control. Los controles que se definan deben ser definidos en el contrato que se firme con el tercero.definidos en el contrato que se firme con el tercero.
23 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Estándares de Seguridad - BS7799 / Estándares de Seguridad - BS7799 / ISO 17799ISO 17799
POLITICA DE SEGURIDAD INFORMATICA:POLITICA DE SEGURIDAD INFORMATICA:Objetivo: Proveer directrices a la administración y Objetivo: Proveer directrices a la administración y soporte para la seguridad de la información.soporte para la seguridad de la información.
La administración debe ser capaz de definir la dirección La administración debe ser capaz de definir la dirección de las políticas de Seguridad de la información. Además de las políticas de Seguridad de la información. Además debe establecer un claro y firme compromiso con estas debe establecer un claro y firme compromiso con estas políticas y divulgarlas a través de toda la organización.políticas y divulgarlas a través de toda la organización.
24 ACIS – 2002 – Estándares de Seguridad ACIS – 2002 – Estándares de Seguridad Informática – Fernando Jaramillo AguileraInformática – Fernando Jaramillo Aguilera
Estándares de Seguridad BS7799 / Estándares de Seguridad BS7799 / ISO 17799ISO 17799
POR QUE ES IMPORTANTE CONTAR CON LA POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UN ESTANDAR DE SEGURIDAD?IMPLANTACION DE UN ESTANDAR DE SEGURIDAD?
Certificaciones ISO.Certificaciones ISO.Si la empresa está sometida a un proceso de Si la empresa está sometida a un proceso de compra/venta, alianza estratégica o hace parte de una compra/venta, alianza estratégica o hace parte de una cadena de valor B2B.cadena de valor B2B.Renegociación de primas y reaseguros.Renegociación de primas y reaseguros.
PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.COMPETITIVA.