Auditora Informtica

Seguridad de la Informacin
Noviembre 2011

Expositor: Carlos Miranda

Objetivos Conocer los fundamentos y conceptos generales de la Gestin de la Seguridad de la Informacin. Analizar las ventajas de implantar un Sistema de Gestin de la Seguridad de la Informacin. Comprender los Requerimientos Especficos para un un Sistema de Gestin de la Seguridad de la Informacin.

Agenda Conceptos de la seguridad de la informacin y de su gestin

Conceptos de la Seguridad de la Informacin y su gestin

Qu es la Seguridad de la Informacin
La informacin = activo comercial Tiene valor para una organizacin y por consiguiente debe ser debidamente protegida. Garantizar la continuidad comercial, minimizar el dao al mismo y maximizar el retorno sobre las inversiones y las oportunidades La seguridad que puede lograrse por medios tcnicos es limitada y debe ser respaldada por una gestin y procedimientos adecuados

Cmo establecer los requerimientos de Seguridad

Evaluar los riesgos:

se identifican las amenazas a los activos, se evalan vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. Requisitos legales, normativos, contractuales que deben cumplir: reglamentarios y

la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios. Conjunto especfico de principios, objetivos y requisitos para el procesamiento de la informacin, que ha desarrollado la organizacin para respaldar sus operaciones.

Factores crticos del xito poltica de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; una estrategia de implementacin de seguridad que sea consecuente con la cultura organizacional; apoyo y compromiso manifiestos por parte de la gerencia; un claro entendimiento de los requerimientos de seguridad, la evaluacin de riesgos y la administracin de los mismos; comunicacin eficaz de los temas de seguridad a todos los gerentes y empleados;

Factores crticos del xito distribucin de guas sobre polticas y estndares de seguridad de la informacin a todos los empleados y contratistas; instruccin y entrenamiento adecuados; un sistema integral y equilibrado de medicin que se utilice para evaluar el desempeo de la gestin de la seguridad de la informacin y para brindar sugerencias tendientes a mejorarlo.

Principales riesgos y el impacto en los negocios

En estos tipos de problemas es difcil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos econmicamente, por ejemplo cunto le cuesta a la compaa 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compaa.

Principales riesgos y el impacto en los negocios

Se puede estar preparado para que ocurran lo menos posible:
sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestin de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web

Contenido de la Norma NTP ISO/IEC 17799

Norma ISO 17799:2000 Seguridad de la Informacin

Est organizada en diez captulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance

Recomendaciones para la gestin de la seguridad de la informacin

Base comn para el desarrollo de estndares de seguridad

Norma ISO 17799 Seguridad de la Informacin

Preservar la:
confidencialidad: accesible slo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la informacin y los mtodos de procesamiento. disponibilidad: acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera.

Estructura norma ISO/IEC 17799

Cada rea o dominio tiene asociados uno o varios objetivos de seguridad Para cada objetivo se definen, a su vez, uno o ms controles de seguridad cuya implantacin debe traducirse en la consecucin del objetivo de seguridad asociado

10 REAS

36 OBJETIVOS

127 CONTROLES

Norma ISO 17799 Seguridad de la Informacin

1. Poltica de Seguridad

2. Organizacin de Seguridad
3. Clasificacin y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Fsica y Ambiental 6. Gestin de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio

10.Cumplimiento

Poltica de Seguridad

POLTICA DE SEGURIDAD
Nivel gerencial debe: v aprobar y publicar la poltica de seguridad

comunicarlo a todos los empleados

POLTICA DE SEGURIDAD
Debe incluir: vobjetivos y alcance generales de seguridad vapoyo expreso de la direccin vbreve explicacin de los valores de seguridad de organizacin vdefinicin de las responsabilidades generales especficas en materia de gestin de la seguridad de informacin vreferencias a documentos que puedan respaldar poltica

la
y la la

POLTICA DE SEGURIDAD
Autorizacin
Proteccin Fsica Confiabilidad Confidencialidad Propiedad

Poltica de Seguridad
Legalidad

Disponibilidad

Eficiencia Integridad Eficacia

Exactitud

Organizacin de la Seguridad

ORGANIZACION DE LA SEGURIDAD
Infraestructura de seguridad de la informacin Debe establecerse un marco gerencial para iniciar y controlar la implementacin. Deben establecerse adecuados foros de gestin de seguridad y responsabilidades para cada usuario en la organizacin. Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas

ORGANIZACION DE LA SEGURIDAD
Foros de Gestin aprobar la poltica de seguridad de la informacin, asignar funciones de seguridad actualizarse ante cambios coordinar la implementacin definir metodologas y procesos especficos seguridad monitorear incidentes de seguridad lidera el proceso de concientizacin de usuarios

de

ORGANIZACION DE LA SEGURIDAD
Principales roles y funciones
Sponsoreo y seguimiento Direccin de la Compaa Foro / Comit de Seguridad Autorizacin Dueo de datos Administracin Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado rea de sistemas

Definicin Control rea de Seguridad Informtica Auditora Interna rea de Legales/RRHH/DD/FORO Auditora Externa

ORGANIZACION DE LA SEGURIDAD
Seguridad frente al acceso por parte de terceros El acceso por parte de terceros debe ser controlado.

Debe llevarse a cabo una evaluacin de riesgos: determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte.

ORGANIZACION DE LA SEGURIDAD
Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantas de estudiantes y otras designaciones contingentes de corto plazo; consultores.

Clasificacin y Control de Activos

CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Informacin e Instalaciones Designar un propietario para cada uno de ellos

Clasificacin de la informacin

Seguridad del Personal

SEGURIDAD DEL PERSONAL Seguridad en la definicin de puestos de trabajo y la asignacin de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeo como empleado.

SEGURIDAD DEL PERSONAL Capacitacin del usuario Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de la organizacin en el transcurso de sus tareas normales.

SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalas en materia de seguridad Minimizar el dao producido por incidentes y anomalas en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.

SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedimientos de seguridad de la organizacin.

Seguridad Fsica y Ambiental

SEGURIDAD FISICA Y AMBIENTAL

Impedir accesos no autorizados, daos e interferencia a:

sedes instalaciones informacin

SEGURIDAD FISICA Y AMBIENTAL Permetro de seguridad fsica Controles de acceso fsico Seguridad del equipamiento Suministros de energa Cableado de energa elctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del mbito de la organizacin Polticas de escritorios y pantallas limpias Retiro de bienes

Gestin de Operaciones y Comunicaciones

GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Se deben establecer las responsabilidades y procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. Se debe implementar la separacin de funciones cuando corresponda. Se deben documentar los procedimientos de operacin

GESTION DE OPERACIONES Y COMUNICACIONES Separacin entre instalaciones instalaciones operativas Deben separarse las instalaciones de: de desarrollo e

Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo.

GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificacin y aprobacin de sistemas Proteccin contra software malicioso Mantenimiento back up Administracin de la red Administracin y seguridad de los medios de almacenamiento Acuerdos de intercambio de informacin y software

Sistema de Control de Accesos

SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Coherencia entre las polticas de control de acceso y de clasificacin de informacin de los diferentes sistemas y redes Administracin de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas y servicios de informacin.

SISTEMA DE CONTROL DE ACCESOS

Administracin de accesos de usuarios Administracin de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticacin de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas

Desarrollo y Mantenimiento de Sistemas

DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas de informacin. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de informacin.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicacin Se deben disear en los sistemas de aplicacin, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validacin de datos de entrada, procesamiento interno, y salidas.

Plan de Continuidad del Negocio

PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos crticos de los negocios de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administracin de la continuidad de los negocios Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.

PLAN DE CONTINUIDAD DEL NEGOCIO Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administracin y gestin. La administracin de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudacin oportuna de las operaciones indispensables.

PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia

Documentacin del plan de recupero

Testeo y mantenimiento del plan

Cumplimiento

CUMPLIMIENTO

Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la organizacin. Maximizar la efectividad y minimizar las interferencias de los procesos de auditora de sistemas.

CUMPLIMIENTO Recoleccin de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas especficas del tribunal en el cual se desarrollar el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma;

CUMPLIMIENTO adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el perodo en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de informacin cumplan con los estndares o cdigos de prctica relativos a la produccin de evidencia vlida.

CUMPLIMIENTO Revisiones de la poltica compatibilidad tcnica de seguridad y la

Garantizar la compatibilidad de los sistemas con las polticas y estndares (normas) de seguridad de la organizacin.

CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.

CUMPLIMIENTO

Relacin entre RIESGOS y DELITOS informticos

Delitos tradicionalmente denominados informticos

Delitos convencionales

Infracciones por Mal uso

CUMPLIMIENTO
Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informtica en Per
o o o o Proteccin de Datos Personales Habeas Data Firma Digital. Propiedad intelectual / Software Legal Regulacin de las Comunicaciones Comerciales Publicitarias por Correo Electrnico Antispam o Delitos Informticos o Confidencialidad de la Informacin y productos protegidos o Normativa especfica del Banco Central de la Repblica Argentina

Programa Continuo de

Seguridad de la Informacin

ISO/IEC 17799

Cdigo de buenas prcticas en gestin de la seguridad de la informacin

Seguridad organizativa

5-Poltica de Seguridad 6-Estructura Organizativa para la Seguridad 7-Clasificacin y control de Activos 8-Seguridad en el Personal
9-Seguridad fsica y del entorno 10-Gestin de Comunicaciones y operaciones

Seguridad lgica
Seguridad fsica Seguridad legal

11-Desarrollo y Mantenimiento de Sistemas

12-Control de Accesos 13-Gestin de Incidentes de Seguridad 14-Gestin de Continuidad del negocio 15-Cumplimiento

NUEVO

Implementacin de un Programa de Seguridad

Identificacin de los principales riesgos informticos para su compaa Definicin por la Direccin de una poltica bsica de seguridad

Accin concreta en dos frentes:

Normativo Ejecutivo

R Identificacin de riesgos en su compaa

Clasificacin de los ms crticos

Fraudes informticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusin inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destruccin de informacin y equipos

R Identificacin de riesgos en su compaa

Personas y Organizaciones dentro y/o fuera

Competidores

Empleados descontentos
Proveedores Clientes Hackers Consultores in company Compaas asociadas

R Identificacin de riesgos en su compaa

Donde hay informacin sensible

en los sistemas centrales en las PCs en las laptops en los e mails

en contratos
en documentos impresos en los legajos del personal

P Definicin de una poltica bsica de

seguridad
Breve Clara

Implementable
Puesta en marcha por la Direccin Difundida al personal y terceros

P Definicin de una poltica bsica de

seguridad
Autorizacin
Proteccin Fsica Confiabilidad Confidencialidad Propiedad

Poltica de Seguridad
Legalidad

Disponibilidad

Eficiencia Integridad Eficacia

Exactitud

Accin concreta: Plano Normativo

Identificacin de responsabilidades de seguridad

Sponsoreo y seguimiento Direccin de la Compaa

Cumplimiento directo Usuarios finales

Comit de Seguridad
Autorizacin Dueos de datos Definicin Area de Legales/otras

Terceros y personal contratado

Area de sistemas Administracin Administrador de Seguridad Auditora Interna / Externa

Area de Seguridad Informtica Control

Accin concreta: Plano Normativo

Desarrollo de la normativa bsica y publicacin
Normas con definiciones
Procedimientos con accin de usuarios Estndares tcnicos para los sistemas

Esquema de reportes de auditora

De acuerdo con regulaciones y legislaciones vigentes

Accin concreta: Plano Normativo

Definicin de un sistema de premios y castigos en su compaa

Definicin de acciones a sancionar y medidas disciplinarias a imponer

Comunicarcin al personal y terceros in company Utilizacin de convenios de confidencialidad

Accin concreta: Plano Ejecutivo

Definicin e implementacin de la funcin de Seguridad Informtica

Perfil de la funcin Anlisis de riesgos informticos Participacin en proyectos especiales Administracin del da a da Objetivos y tareas bsicas Programas de trabajo rutinarios

Automatizacin de tareas y reportes en los sistemas

Accin concreta: Plano Ejecutivo

Mejoras en los procesos del rea de Sistemas

Administracin de Usuarios y Permisos en los Sistemas Separacin de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Fsica de las Instalaciones y Recursos Prevencin de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditora Automtica y Administracin de Incidentes de Seguridad Uso del Correo Electrnico Uso de Servicios de Internet

Accin concreta: Plano Ejecutivo

Plan de Continuidad del Negocio

El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca especficamente en:
Definir los riesgos emergentes ante una situacin de interrupcin no prevista del procesamiento de la informacin relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupcin en la correcta marcha del negocio.

El punto central es focalizarse especficamente en la recuperacin de las funciones y sistemas crticos para el negocio, cuya interrupcin puede afectar directamente los objetivos de la compaa.

Accin concreta: Plano Ejecutivo

Plan de Continuidad del Negocio
Componentes - Tecnolgico: procesamiento de los sistemas

- Funcional: procedimientos del personal

Accin concreta: Plano Ejecutivo

Plan de Continuidad del Negocio
Etapas en la Implementacin del Plan

1: 2: 3: 4: 5: 6:

Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero Testeo y mantenimiento del plan

Accin concreta: Plano Ejecutivo

Parametrizacin de las redes y los sistemas de una forma ms segura
Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrnico Servidores, PCs y laptops Seguridad fsica Integracin con otras tecnologas
Anlisis de la posibilidad de uso de softwares de seguridad avanzada (encripcin, administracin centralizada, monitoreo automtico)

Accin concreta: Plano Ejecutivo

Implementacin de monitoreos de incidentes de seguridad
Acciones preventivas de monitoreo las 24 hs Implementacin de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos peridicos Auditoras

Accin concreta: Plano Ejecutivo

Concientizacin a los usuarios en seguridad

Usuarios finales Usuarios del rea de sistemas Terceros in company

Utilizando la tecnologa y los medios disponibles

Intranet de seguridad Correo electrnico Mensajes en cartelera

Presentaciones grupales
Videos institucionales Firma de compromisos

Implemente Ud. Mismo

el ISMS ISO 17799

Implemente Ud. Mismo el ISMS ISO 17799

Diagnstico Inicial: Efectuar Diagnstico Inicial de la situacin de la Compaa en relacin a los requerimientos de la ISO 17799.

2 a 3 semanas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulos: Se agrupan por Mdulos cada conjunto de tareas, debiendo identificarse la duracin de cada uno de ellos, en general, podr variar entre 2 a 4 semanas c/u dependiendo del Diagnstico y del grado de involucramiento del personal.

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 1: Relevar los planes de seguridad funcionales y tcnicos en proceso en la compaa Iniciar proceso de Identificacin de Riesgos y Clasificacin de Informacin Sensible Definir el Plan de Tareas para los 2 primeros aos (integrando otros proyectos de seguridad en curso)

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 2: Definir, aprobar y difundir la Poltica de Seguridad de la Compaa Definir la estructura y alcance del Manual de Seguridad de la Informacin de la Compaa Definir y difundir las responsabilidades de Seguridad Informtica de cada sector de la Compaa Implementar Esquema de Propietarios de Datos

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 3: Definir e iniciar el proceso de Concientizacin de Usuarios internos y Terceros Iniciar proceso de redaccin de las Normas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 4: Finalizar Clasificacin de Informacin Relevar medidas implementadas en las funciones del rea de sistemas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 5: Finalizar la Redaccin y Difundir las Normas de Seguridad Implementar las definiciones de las Normas

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del rea de Sistemas Implementar mejoras en los sectores usuarios para informacin impresa

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 7: Iniciar proceso de redaccin de Procedimientos crticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crtico de la Informacin

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 8: Finalizar la redaccin y difundir los Procedimientos crticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 9: Implementar los Procedimientos de Seguridad Crticos Relevar e Integrar los Estndares Tcnicos de Seguridad desarrollados dentro del Manual de Seguridad

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientizacin de Usuarios de toda la Compaa

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 11: Diagnstico General respecto Norma ISO 17799 (similar a una Preauditora de Certificacin ISO)

Implemente Ud. Mismo el ISMS ISO 17799

Mdulo 12: Implementacin de las mejoras identificadas en el Diagnstico segn ISO 17799

Casos prcticos de implementaciones: key points

Errores en asignacin de Dueos de Datos Interrelacin compleja con otros proyectos Extenso perodo de discusin de la normativa Implementacin prolongada en algunas tecnologas Discusiones con proveedores de software por soluciones Personas de peso deciden aplicar las polticas para todos menos para ellos

Casos prcticos de implementaciones: key points

Algunas soluciones tcnicas slo son aplicables para todos los usuarios de todas las compaas al mismo tiempo Prolongados perodos de evaluacin de riesgos Diferencias de criterios en clasificacin de la informacin Dificultades en implementacin de medidas disciplinarias Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento

Casos prcticos de implementaciones: key points

Facilidad en el USO vs mejor PROTECCION de la Informacin

Contactos Tcnicos

carlos.miranda@gtcmovil.com