seguridad informatica semana11
TRANSCRIPT
1
NORMAS Y ESTÁNDARES DE CALIDAD
Ing. Jorge Luis Pariasca León
Carrera Profesional de Computación e Informática
Unidad Didáctica: Seguridad Informática
Instituto Superior Tecnológico Público
INSTITUTO SUPERIOR TECNOLÓGICO PÚBLICO
“Víctor Raúl Haya de la Torre”
“VÍCTOR RAÚL HAYA DE LA TORRE”
Semana 08
2
Objetivos Implementación de medidas de seguridad de
acuerdo con los requerimientos de la Norma ISO 17799 / ISO 27001: Identificación de los requerimientos específicos de
la norma en sus 11 dominios.
Comprender el proceso de adecuar la compañía para lograr la Certificación ISO 27001.
3
¿QUÉ ES SEGURIDAD DE LA INFORMACIÓN?
¿Por qué?
Reconocer los riesgos y su impacto en los negocios
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
11:22 | EL GUSANO
Un nuevo virus se esconde en tarjetas navideñas
Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.
ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.
Algunos datos
12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un virus
La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.
La pregunta secreta del caso "Paris Hilton" ------------------------------Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".
Algunos hechos
Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
Diario judicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un mensaje
injurioso anónimo ingresado en un libro de visitas, de libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro
precedente para aquellos que contengan foros y libros de visitas abiertos al público.
Algunos hechos
La seguridad de redes, una prioridad para las empresas
Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo con los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad es un tema "de extrema prioridad".
Algunos datos
NEGOCIOS
Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información
Algunos datos
No existe la “verdad absoluta” en Seguridad de la Información.
No es posible eliminar todos los riesgos.
La alta Gerencia está convencida que la Seguridad de la Información no hace al negocio de la compañía.
Cada vez los riesgos y el impacto en los negocios son mayores.
Algunas premisas
En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el área.
... en la última auditoría de sistemas no hicieron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya arreglamos todo.
Algunas realidades
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son efectuados por personal interno
Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis
(CAIDA) CERT SANS
Algunos datos
Según una encuesta del Departamento de Defensa de USA:
Sobre aprox 9000 computadores atacados, 7,900 fueron dañados. 400 detectaron el ataque. Sólo 19 informaron el ataque.
Algunos datos
• En formato electrónico / magnético / óptico.
• En formato impreso.
• En el conocimiento de las personas.
El capital más valioso en las organizaciones.
¿Qué Información proteger?
Principales riesgos y su impacto en los negocios
Captura de PC desde el exterior
Violación de e-mailsViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería socialPropiedad de la Información
Mails “anónimos” con información crítica o con agresiones
Password cracking
Man in the middle Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attackKeylogging
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentesÚltimos parches no instalados
Se puede estar preparado para que ocurran lo
menos posible:
Sin grandes inversiones en software
Sin mucha estructura de personal
Tan solo:
Ordenando la Gestión de Seguridad
Principales riesgos y el impacto en los negocios
NORMAS APLICABLES
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables
Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common
Criteria ITSEC – Information Technology Security Evaluation Criteria: White
Book Sans Institute, Security Focus, etc Sarbanes Oxley Act, Basilea II, HIPAA Act, Leyes NACIONALES OSSTMM, ISM3, ISO17799:2005, ISO27001 BS 25999 DRII
Normas y Metodologías aplicables
Norma ISO 27001
Gestión de Seguridad
ISO9001 – Calidad ISO14001 – Ambiental
ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)
ISO 27001 – CERTIFICACION de Seguridad de la Información
Normas de Gestión ISO
Está organizada en capítulos (dominios) en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION (SGSI – ISMS)
Alcance
Recomendaciones para la gestión de la seguridad de la información
Base común para el desarrollo de estándares de seguridad
Norma ISO 17799 / 27001 Seguridad de la Información
Qué cambió de la versión anterior
Norma ISO 17799: 2005 –
ISO 27001
NUEVA SECCION
antes 10 ahora 11 Dominios
ISO17799:2000 ISO17799:2005
1. Alcance 1. Alcance
2. Términos y definiciones 2. Términos y definiciones
3. Estructura del Estándar
4. Evaluación y Manejo de los Riesgos
3. Política de Seguridad 5. Política de Seguridad
4.Organización de la Seguridad de la Información
6. Organización de la Seguridad de la Información
5. Clasificación y Control de Activos
7. Administración de Activos
6. Seguridad del Personal 8. Seguridad de los Recursos Humanos
7. Seguridad Física y Ambiental 9. Physical & Environmental Security
8. Administración de las Comunicaciones y Operaciones
10. Administración de las Comunicaciones y Operaciones
9. Administración de Accesos 11. Administración de Accesos
10. Desarrollo y Mantenimiento de Sistemas
12. Adquisición , Desarrollo y Mantenimiento de Sistemas de Información
13. Administración de Incidentes de Seguridad de la Información
11. Administración de la Continuidad del Negocio
14. Administración de la Continuidad del Negocio
12. Cumplimiento 15. Cumplimiento
3: Estructura del Estándar
Detalle para asistir al uso y aplicación más ameno y fácil del estándar.
4: Risk Assessment & Treatment
Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES.
La necesidad de una continua evaluación y administración de los RIESGOS
Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS
Hay dos SECCIONES GENERALES nuevas
BS7799-2
Fue revisado y se ha convertido en la nueva
ISO 27001Octubre 15, 2005
De la misma forma se espera que la ISO 17799 se convierta en ISO 27002
BS ISO/IEC 27000 – Fundamentos y Vocabulario
2008/2009
BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos
Publicado en Octubre 2005
BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información
Anteriormente ISO/IEC 17799:2005Cambio a 27002 en el 2007 (solo se fue un cambio de número)
BS ISO/IEC 27003 – Guía de Implementación
2008/2009
BS ISO/IEC 27004 – Métricas y Medidas 2007/2008
BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información
2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006
BS ISO/IEC 27006 – Versión Internacional de EA7/03
Se decidirá durante 2Q06 si este será el número
27007…...27011 Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)
NACE LA FAMILIA DE LAS NORMAS ISO 27000
NACE LA FAMILIA DE LAS NORMAS ISO 27000 En junio de este año salio la ISO27005 que es la
versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la BS7799-3.
Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799-3, etc.
Preservar la:
Confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso.
Integridad: exactitud y totalidad de la información y los métodos de
procesamiento.
Disponibilidad: acceso a la información y a los recursos relacionados con ella toda
vez que se requiera.
Norma ISO 17799 Seguridad de la Información
¿Cómo es un Proceso de Certificación ISO 27001 de una Organización?
El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.
¿QUÉ ES CERTIFICAR?
Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN.
Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.
¿POR QUÉ CERTIFICAR?
0
250
500
750
1000
1250
2002 2003 2004 2005
Empresas certificadas en el mundo
Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, está en condiciones y habilitada para CERTIFICARSE.
¿QUÉ ORGANIZACIONES PUEDEN CERTIFICAR?
Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado.
Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo.
Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.
¿QUIÉNES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION?
El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior.
Luego se convoca al Tercero para efectuar la CERTIFICACIÓN.
¿CÓMO ES EL PROCESO DE CERTIFICACIÓN?
Los principales PASOS son:
•Preparar la Documentación Soporte a Presentar
•Efectuar la PREAUDITORIA para conocer el GAP Analysis respecto al Estándar
•Identificar conjuntamente:
• las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar)
• las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación)
• las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar)
•Implementar las MEJORAS y Generar los Soportes Documentales correspondientes
•Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización)
PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION?
Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.
Cómo se implementa un Programa de Gestión de
Seguridad de la Información (SGSI - ISMS)?
Planificar
Hacer
Actuar
Verificar
SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Está basado en el Modelo utilizado por las NORMAS ISO en general:
Principales PASOS a seguir en la IMPLEMENTACION del SGSI
Implementación del SGSI en 12 PASOS:
1) Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología
2) Definir una Política GENERAL del SGSI
Qué es una Política?
• Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación.
• Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras.
• Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización.
• Son reglas de negocio de obligatorio cumplimiento debido a que son el equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente.
• Son diferentes a los controles.
• No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL
3) Definir una METODOLOGIA para la CLASIFICACION de los RIESGOS
4) Identificar y Valorar los riesgos
5) Identificar y definir ALTERNATIVAS para el tratamiento de riesgos:
• Aplicar controles• Aceptar los riesgos• Evitar riesgos• Transferir los riesgos.
High
Low
High
Frequencia
Imp
acto
12
3
4
5
6
11
7
8
9
12
13
10
15
14
19
20
21
22
16
2324
25
26
1018
17
Mapa de Riesgos Mapa de Riesgos
6) Seleccionar objetivos de control y controles específicos a IMPLEMENTAR
EVIDENCIAS
7)Preparar una DDA Declaración de Aplicabilidad (qué CONTROLES se van a IMPLEMENTAR)
8)Obtener la aprobación de la Dirección de:• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos
9) Formular un plan CONCRETO y DETALLADO para:• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento y
concientización.• Gestionar el SGSI• Procesos de detección y respuesta a los
incidentes de seguridad
10) Implementar los CONTROLES• En los Procesos
11)Realizar Revisiones Periódicas
12)Implementar las mejoras identificadas en el SGSI
Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI
MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación
Cómo establecer los requerimientos de SeguridadEvaluar los riesgos:
• se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:
• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.
Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.
Contexto Legal
Código Civil de 1887 Código de Comercio de 1971 Ley 23 de 1982 Articulo 15, 20 y 333 de la Constitución
Política Decisión 351 de 1993Decreto 1900 de 1990 Ley 527 de 1999
Áreas de Contingencias Jurídica
• Protección de Datos Personales
• Contratación Informática
• Propiedad Intelectual
• Servicios de Comercio Electrónico
• Aspectos Laborales en entornos Informáticos
• Incidentes Informáticos
• Telecomunicaciones
• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la gerencia;
• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;
• comunicación eficaz a todos los gerentes y empleados;
Factores críticos del éxito
• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;
• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de
medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
Factores críticos del éxito
