Implementación de una Política de Seguridad Corporativa
21
Implementación de una Política de Seguridad Corporativa Fernando Alvarez Fernández NEGYTEC MANAGER BUSINESS FORUM Madrid, 18 y 19 de Octubre de 2005 Una solución completa para organizaciones heterogéneas
description
Implementación de una Política de Seguridad Corporativa. MANAGER BUSINESS FORUM. Madrid, 18 y 19 de Octubre de 2005. Una solución completa para organizaciones heterogéneas. Fernando Alvarez Fernández NEGYTEC. Indice. Introducción Marco normativo seleccionado UNE-ISO/IEC 17799: 2000 - PowerPoint PPT Presentation
Transcript of Implementación de una Política de Seguridad Corporativa
Implementación de una Política de Seguridad
Corporativa
Fernando Alvarez FernándezNEGYTEC
MANAGER BUSINESS FORUMMadrid, 18 y 19 de Octubre de 2005
Una solución completa para organizaciones heterogéneas
2
Introducción
Marco normativo seleccionado
UNE-ISO/IEC 17799: 2000
UNE 71502: 2004
Análisis y gestión de riesgos (MAGERIT)
Medidas básicas de protección
Certificación
Problemática actual de las empresas
Conclusiones
Indice
3
La “Política de Seguridad Corporativa” consiste en la realización de las tareas necesarias para garantizar los niveles de seguridad exigibles en una organización.
Introducción
Activos
Amenazas
Impacto
-Impacto
Riesgo
-Riesgo
Degradación
- Degradación
Frecuencia
-Frecuencia
Controles/Salvaguardas
Valor
Niveles de riesgo/Niveles de seguridad
están expuestos a
causan una cierta
con una cierta
interesan por suModeloConceptual
Política de seguridad(Nivel de seguridad exigible)
4
Esto conlleva algunas reflexiones sobre lo que hay que tener en cuenta para realizar la implantación de una “Política de Seguridad Corporativa”...
Garantizar un nivel de seguridad de los activos es crítico para cualquier organización.
Los problemas de seguridad no son únicamente de índole tecnológica.
La seguridad no es un producto, es un proceso.
Los riesgos aumentan con rapidez en un entorno muy competitivo:• Las nuevas tecnologías introducen nuevas amenazas.• La dependencia creciente de los recursos de TI aumenta los impactos.
Los riesgos nunca se pueden eliminar al 100%.
Los riesgos no se eliminan… se gestionan.
... Es necesario gestionar la seguridad de la información
Introducción
5
Pero ¿como concretar que entendemos por seguridad y por cada uno de los conceptos incluidos en su modelo?: política de seguridad, amenaza, control…
Diferentes criterios de evaluación de la seguridad: internos a una organización, sectoriales, nacionales, internacionales.
Multitud de estándares aplicables a diferentes niveles:• TCSEC (Trusted Computer Security, militar, US, 1985)• ITSEC (Information Technology Security, europeo, 1991)• Commom Criteria (internacional, 1986-1988)• *7799 (británico + internacional)
Actualmente, tras adoptar *7799 como estándar internacional, es el más extendido y aceptado.
... Es conveniente y recomendable adaptarnos a la normativa existente en nuestro país:
- Auditorias- Requisitos legales
- Certificación- Homologación
Introducción
6
Marco normativo seleccionado
1995 2000 2001 2002 2003 2004 20051997 1998 19991996
BS7799: Code of practice for Information Security Management(BS7799-1)
BS7799-2: Specifications for Information Security Management Systems
BS7799: 1999 ISO/IEC 17799: 2000 ISO/IEC 17799: 2005
BS7799: 1999 BS7799-2: 2002
UNE 71502: 2004Especificaciones para los Sistemas de Gestión de la Seguridad de la Información
UNE-ISO/IEC 17799: 2002Código de buenas prácticas para la gestión de la seguridad de la información
7
Una vez seleccionado nuestro marco normativo, podemos empezar a hablar de las características y contenido de cada una de ellas, empezando por la UNE-ISO 17799: 2000
Es la adaptación española de la ISO/IEC 17799: 2000.
Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o al menos a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI), según la norma UNE 71502, CERTIFICABLE.
Su objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones.
Define la “Información” como un activo que posee valor para la organización y requiere por lo tanto de una protección adecuada.
Define la seguridad de la información como la preservación de:• Confidencialidad. Garantía de que solo quienes estén autorizados pueden acceder a la información• Integridad. Garantía de que la información y sus métodos de proceso son exactos y completos• Disponibilidad. Garantía de que los usuarios autorizados tienen acceso a la información y a sus activos
asociados cuando lo requieran.
UNE-ISO/IEC 17799: 2000
8
UNE-ISO/IEC 17799: 2000
Política de seguridad
Gestión de continuidad del negocio
Seguridad ligada al personal
Clasificación y control de activos
Aspectos organizativos para la seguridad
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de comunicaciones y operaciones
Seguridad física y del entorno
Conformidad
Oper
ativ
o
Táctic
o
Estrat
égico10 AREAS DE CONTROL Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal
Fuente: S2 Grupo
9
De estas 10 áreas de control se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implantación de controles) y 127 controles (procedimientos, políticas de personal, soluciones técnicas o seguridad física de locales y áreas de trabajo).
UNE-ISO/IEC 17799: 2000
Política de seguridad
• Política de seguridad de la información
Aspectos organizativos de la seguridad• Estructura para la seguridad de la
información• Seguridad en los accesos de terceras
partes• Externalización (outsourcing)
Clasificación y control de activos• Responsabilidad sobre los activos• Clasificación de la información
Seguridad ligada al personal• Seguridad en la definición del trabajo y
los recursos• Formación de usuarios• Respuesta ante incidencias y malos
funcionamientos de la seguridad
Seguridad física y del entorno• Áreas seguras• Seguridad de los equipos• Controles generales
Gestión de comunicaciones y operaciones
• Procedimientos y responsabilidades de operación
• Planificación y aceptación del sistema• Protección contra software malicioso• Gestión interna de soportes y
recuperación• Gestión de redes• Utilización y seguridad de los soportes
de información• Intercambio de información y software
Control de accesos• Requisitos de negocio para el control de
accesos• Gestión de acceso de usuario• Responsabilidades del usuario• Control de acceso en red• Control de acceso al sistema operativo• Control de acceso a las aplicaciones• Seguimiento de accesos y usos del
sistema• Informática móvil y teletrabajo
Desarrollo y mantenimiento de sistemas
• Requisitos de seguridad de los sistemas• Seguridad en sistemas de aplicaciones• Controles criptográficos• Seguridad en los ficheros del sistema• Seguridad en los procesos de desarrollo
y soporte
Gestión de continuidad del negocio
• Aspectos de la gestión de continuidad del negocio
Conformidad
• Conformidad con los requisitos legales• Revisiones de la política de seguridad y
de la conformidad técnica• Consideraciones sobre la auditoria de
sistemas
10
La norma UNE 71502 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de la Seguridad de la Información (SGSI) de acuerdo con la norma UNE-ISO/IEC 17799 dentro del contexto de los riesgos identificados por la Organización.
Sistema de Gestión de la Seguridad de la Información (SGSI): Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.
Es independiente del tipo, tamaño o área de actividad de la Organización
Es independiente de plataformas tecnológicas y soluciones concretas
Se trata de una norma CERTIFICABLE, equivalente a otros sistemas de gestión (ISO 9000, ISO 14000…) e integrable con ellos.
Fuerte contenido documental:• Acciones llevadas a cabo durante todo el proceso de selección de controles.• Procedimientos.• Documento de selección de controles.• Control documental.• Registros
UNE 71502: 2004
11
La norma UNE 71502 adopta el modelo de gestión conocido como PDCA (Plan, Do, Check, Act) “Planificar, Hacer, Verificar, Actuar”…
PLANIFICAR
ACTUAR
VERIFICAR
HACER
•Política de seguridad•Alcance del SGSI•Análisis de riesgos•Selección de controles
•Implantación del SGSI•Ejecución Plan•Implantación de controles•Control de controles
•Explotación del SGSI•Operación•Respuesta ante incidentes
•Acciones correctivas•Acciones preventivas
•Mantenimiento•Ideas / Mejoras
•Revisiones y auditorias internas•Eficacia del SGSI•Eficiencia del SGSI
ModeloPDCA
•Documentación•Control documental•Registros
UNE 71502: 2004
12
Cuyo diagrama de flujos podemos ver a continuación:
Diagrama de flujos
Modelo PDCA
PLANIFICAR
HACER
ACTUARMantener el SGSI
ACTUARAcción correctivaAcción preventiva
ACTUARIdeas / Mejoras
VERIFICAR
Cic
lo d
em
ante
nim
ient
o
Cic
lo d
em
ejor
a
Todo enorden
Cic
lo d
ere
solu
ción
Carenciaso incidentes
UNE 71502: 2004
13
Vamos a introducir el análisis y la gestión de riesgos (AGR) con la metodología MAGERIT1, elaborada por el CSAE2 y recomendada por la norma UNE 71502. Para ello definimos previamente una serie de conceptos.
1 MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Puede ser obtenida gratuitamente desde http://www.csi.map.es2 CSAE: Consejo Superior de Administración Electrónica
Dimensiones: son las características o atributos que hacen valioso un activo.• Disponibilidad• Integridad de los datos• Confidencialidad de los datos• Autenticidad de los usuarios del servicio• Autenticidad del origen de los datos• Trazabilidad del servicio• Trazabilidad de los datos
Criterios de valoración: pautas para valorar los activos
Degradación: cuan perjudicado resulta un activo (suele mostrarse como una fracción del activo)
Frecuencia: cada cuanto se materializa la amenaza100 Muy frecuente A diario
10 Frecuente Mensualmente
1 Normal Una vez al año
1/10 Poco frecuente Cada varios años
Valor Criterio
10 Muy alto Daño muy grave a la Organización
7-9 Alto Daño grave a la Organización
4-6 Medio Daño importante a la Organización
1-3 Bajo Daño menor a la Organización
0 Despreciable Irrelevante a efectos prácticos
Análisis y gestión de riesgos (MAGERIT)
14
También introducimos el concepto de “dependencia” entre activos y una serie de definiciones y conclusiones que se derivan de ello.
A3A2A1 A4 A5
A8A7A6 A9
A12A11A10
A14A13
A15
Acu
mul
ado R
epercutido
Capa 5
Capa 4
Capa 3
Capa 2
Capa 1
Información: datos y metadatos (índices, claves de cifrado)…
Sistema de Información: equipos, aplicaciones, comunicaciones, soportes de información…
Entorno: equipamiento y suministros, personal, edificios, mobiliario…
Funciones de la Organización: objetivos y misión, bienes y servicios producidos…
Otros activos: credibilidad, buena imagen…
Valor acumulado Impacto acumulado Riesgo acumulado
Valor propio Impacto repercutido Riesgo repercutido
La gestión del “repercutido” tiene sentido para aceptar un cierto nivel de riesgo
La gestión del “acumulado” tiene sentido para determinar las salvaguardas a implantar
Análisis y gestión de riesgos (MAGERIT)
15
Los cálculos se realizan para cada tipo de activo, dimensión y amenaza en 2 escenarios: uno sin salvaguardas (escenario 1) y otro con las salvaguardas existentes (escenario 2).
Activos
Amenazas
Impacto:- Acumulado- Repercutido
Riesgo:- Acumulado- Repercutido
Degradación
Frecuencia
Valor:- Propio
- Acumulado
están expuestos a
causan una cierta
con una cierta
interesan por su
Activos
Amenazas
Impacto residual:- Acumulado- Repercutido
Riesgo residual:- Acumulado- Repercutido
Degradaciónresidual
Frecuenciaresidual
Valor:- Propio
- Acumulado
están expuestos a
causan una cierta
con una cierta
interesan por su
Controles/Salvaguardas
ESCENARIO 2ESCENARIO 1
Tipo de activoDimensiónAmenaza
Análisis y gestión de riesgos (MAGERIT)
16
En función de los impactos y riesgos residuales establecemos un “Plan de seguridad” con nuevos controles y salvaguardas, lo que nos proporciona un tercer escenario.
0
2
4
6
8
10
12
14
A7 A6 A5 A4 A3 A2 A1Activos
Riesgo acumulado residual
Sin salvaguardas (E1)
Actual (E2)
Planificado (E3)
0
2
4
6
8
10
12
14
A7 A6 A5 A4 A3 A2 A1
Activos
Riesgo repercutido residual
Es normal establecer un plan que establezca tres niveles de ejecución:-Acciones urgentes-Acciones a corto-Acciones estratégicas
Análisis y gestión de riesgos (MAGERIT)
17
Existe una alternativa más simple al AGR, que se conoce como medidas básicas de protección o “baseline”. Consiste en aplicar un catálogo de controles / salvaguardas de alguna de las numerosas fuentes que ya hemos citado.
Cumplimiento UNE-ISO 17799
0% 20% 40% 60% 80% 100%
Política de seguridad
Seguridad organizativa
Clasificación y control de activos
Seguridad del personal
Seguridad física
Gestión de comunicaciones
Control de acceso
Desarrollo y mantenimiento desistemas
Gestión de continuidad de negocio
Aspectos legales
Are
as
de
co
ntr
ol
Grado de cumplimiento
Actual
Planificado
VENTAJAS Es muy rápido No cuesta apenas esfuerzo Se logra un nivel homogéneo con otras
organizaciones parecidas
INCONVENIENTES El sistema puede protegerse frente a amenazas
que no padece (gasto nulo) El sistema puede estar inadecuadamente
protegido frente a amenazas reales No es certificable
Con este tipo de “protección por catálogo” no se sabe lo que se hace y no hay medida de si sobra o falta seguridad. No obstante,
puede ser un punto de partida para afinar posteriormente
Medidas básicas de protección
18
La certificación es el proceso por el que una entidad independiente y competente afirma que un sistema de seguridad es correcto y compromete en ello su reputación...por escrito.
Es una garantía de calidad de la seguridad.
Se afronta cuando la Organización considera que cumple los requisitos de la norma
Aporta beneficios a todos los implicados con la organización.
La credibilidad y garantías de la certificación están sujetas a la confianza depositada en la entidad que certifica
El proceso de certificación consta de dos fases: una documental, en la que se revisan los procedimientos de gestión de la seguridad, y otra de revisión de la implantación de los controles seleccionados.
La certificación no debe ser un OBJETIVO de seguridad, sino un RECONOCIMIENTO al trabajo bien hecho.
Certificación
19
La problemática de seguridad las empresas está, en general, directamente relacionada con su tamaño .
Problemática actual de las empresas
TOTAL EMPRESAS 2.813.159Sin asalariados 1.459.938Con asalariados 1.353.211
Grandes empresas (+250 empl) 3.776PYMES (De 10 a 249 empl.)
166.600Microempresas (De 1 a 10 empl.)
1.182.845
El 94% de las empresas españolas son empresarios individuales o microempresas
(1) La microempresa española en la Sociedad de la Información. “Red.es”. Noviembre 2004
(1)
GRAN EMPRESA MICROEMPRESA
Implantación UNE 71502 Baseline
Desarrollo interno + apoyo externos Apoyo externo
Certificación No certificación
20
Como colofón a esta presentación, deberíamos tener siempre presentes las siguientes conclusiones:
Los problemas de seguridad no son necesariamente técnicos.
Debemos gestionar nuestra seguridad, puesto que no es producto, sino un proceso sujeto a cambios cada vez más vertiginosos.
La implantación de una política de seguridad corporativa rigurosa implica la puesta en funcionamiento de un Sistema de Gestión de la Seguridad de la Información (SGSI).
Según la normativa española esto se consigue implantando el sistema de gestión de la UNE 71502 con los controles de la UNE/ISO 17799.
Existe una alternativa más sencilla que puede servir como paso intermedio en el caso de las microempresas y empresas pequeñas.
La certificación de seguridad es beneficiosa, pero no garantiza inmunidad ni debe ser un objetivo en si misma.
Conclusiones
La seguridad consiste en gestionar un nivel de riesgo asumible.
NEGYTEC (Negocio y Tecnología)C/Las Campanillas, 66, 1º B
24008 LEONTel: 987 084 089
"Los ordenadores han cambiado al mundo y, ciertamente, mi vida".
Karol Wojtyla. Comentario no preparado en Noviembre de 1998.
