presentación de powerpoint - archivos.usuaria.org.ar · isi en los pasados 6 meses 100% considera...
TRANSCRIPT
NORMAS Y MODELOS DE REFERENCIA DE CIBERSEGURIDAD PARA LA GESTIÓN DE
INCIDENTES DE SEGURIDAD
MARCELO GALVÁN - Director Departamento de Seguridad de la Información
Banco Central del Paraguay
¿DEBO GESTIONAR LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN DE MI ORGANIZACIÓN?
90% ha tenido que lidiar con ISI en los pasados 6 meses
100% considera que su organización puede ser victima de un ataque
cibernético
100% considera de valor la utilización de metodologías o estándares de Gestión de ISI
40% considera disponer de procedimientos de Gestión de
ISI implementados
30% considera disponer de procesos de identificación de
ISI en un tiempo razonable
20% tiene implementado un SOC (Security Operations Center) interno o externo
MODELOS DE REFERENCIA PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
+1000 publicaciones relacionadas a Ciberseguridad tales como Normas o
Estándares (Research Report – PwC 2013)
+30 publicaciones dedicadas parcial o totalmente a la
Gestión de ISI
ORGANIZACIÓN Y PERSONAS
PRODUCTOS Y TECNOLOGÍAS
SERVICIOS PROFESIONALES
MODELOS DE REFERENCIA PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
Modelo, Guía o Norma de Referencia:
Autoridad de publicación:
Incluye aspectos relacionados a:
Integrado a:
NIST SP 800-61 R2 Computer Security
Incident Handling Guide
National Institute of Standards and
Technology - U.S. Dep. Commerce
Organización y Personas – Productos y Tecnologías
NIST Cybersecurity Framework
Good Practice Guide for Incident
Management
European Network and Information Security Agency
Organización y Personas – Servicios
Profesionales
ENISA Cybsersecurity Eval. Framework
ISO 27035:2011 Information security
incident management
ISO/IEC JTC 1/SC 27
Organización y Personas
ISO 27.000 Family Standards
Estructura y Servicios del Equipo de
Respuesta
MODELO DE REFERENCIA: NIST SP 800-61 R2 – Computer Security Incident Handling Guide
- Modelos de Equipo de Respuesta
- Selección del personal del equipo
- Servicios de Gestión Incluidos
- Relación con otras áreas
Procesos y Fases de la Gestión de Incidentes
- Preparación - Detección y análisis - Contención, erradicación
y recuperación - Actividades post-
incidente
Colaboración y Coordinación entre
organizaciones
- Coordinación con organizaciones externas
- Colaboración para el intercambio de información
Incident Handling Life Cycle
MODELO DE REFERENCIA: NIST SP 800-61 R2 – Computer Security Incident Handling Guide
Marco o Contexto de la Gestión de
Incidentes
MODELO DE REFERENCIA: Good Practice Guide for Incident Management
- Roles Responsabilidades - Cooperación Nacional - Servicios y políticas del
CERT - Relaciones con la alta
administración
Procesos y Fases de la Gestión de Incidentes
- Registro y Clasificación - Resolución del incidente - Actividades post-
incidente - Workflows - Taxonomías
MODELO DE REFERENCIA: Good Practice Guide for Incident Management
Incident Handling Process Flow Example
Reporte
Respuesta
Cierre
MODELO DE REFERENCIA: ISO 27035:2011 - Information security incident management
Procesos y Fases de la Gestión de Incidentes
- Preparación y planeación
- Detección y reporte - Clasificación - Respuesta - Lecciones aprendidas
MODELO DE REFERENCIA : ISO 27035:2011 - Information security incident management
Inci
dent
Han
dlin
g Ph
ases
- iSIRT - PoC - Referencias Cruzadas con la 27001
GESTIÓN DE INCIDENTES: EL CASO DEL BANCO CENTRAL DEL PARAGUAY
Basado en la ISO 27035:2011
Adaptado a la estructura y a los procesos internos del BCP
Además del PoC y del iSIRT se vió la necesidad de generar un CSI (Comité de Seguridad de la Información) para hacer frente a situaciones de crisis
Se diseño un modelo de iSIRT del tipo Ad Hoc, facilitando la inclusión de otras áreas afectadas
Se han incorporado las recomendaciones de otros modelos de referencia, tales como ITIL y COBIT
GESTIÓN DE INCIDENTES: EL CASO DEL BANCO CENTRAL DEL PARAGUAY
H. DE MONITOREO GTIC - POC DSIUSUARIO ISIRT CSI
INIC
IODE
TECC
IÓN
Y RE
PORT
EAN
ALISI
S Y E
VALU
ACIO
NRE
SPUE
STA
Y RE
MED
IACI
ON
EVENTO EVENTO
Recibe notificación del evento ocurrido
y registra el caso
Analiza y Evalúa si Corresponde a un incidente o a un “Falso Positivo”
¿Es un incidente?
NO
Documenta los resultados del
análisis realizado
SI
Responde al Incidente
¿Se pudo Resolver?
NO
Analiza el incidente y toma las medidas necesarias para su
resolución
SI
Documenta y Cierra el Caso
Responde al Evento
¿Se pudo Resolver?
SI
Documenta y Cierra el Caso
FIN FIN
NO
Notifica al usuario sobre el cierre del
caso¿Reportó un
usuario?SI
NO
Registra el Evento y Asigna un
Responsable
EVENTO
CONCLUSIONES, OBSERVACIONES Y RECOMENDACIONES FINALES
1) Aprender a gestionar incidentes de seguridad es crucial
2) Los modelos de referencia facilitan la gestión de incidentes
3) Reaprovechar procesos y estructuras internas
4) Compartir información es parte del proceso
5) Involucrar a las autoridades según la necesidad
6) La clave son las personas
MUCHAS GRACIAS
MARCELO GALVÁN A., ISO 27001LA, ISO22301LA, CCNP, CCDP, CCSS Director de Seguridad de la Información
Banco Central del Paraguay [email protected]
+595216192696