Mejores Prácticas de Seguridad de la Información

Ing. Jorge Bernardojbernardo@kwell.net

                                                              

Nuestra Empresa

Kwell es líder en servicios de seguridad y gestión de riesgos tecnológicos, sus principales aportes han sido incorporar al mercado los conceptos de Programas de Reducción de Riesgo, la Certificación Internacional de Seguridad de la Información, tanto de organizaciones como de profesionales y la aproximación metodológica al problema de la seguridad.Principales Servicios:

Programas de evaluación y reducción de riesgosAuditorias, evaluaciones y desarrollo de políticas de seguridadImplantación de Sistema de Gestión de Seguridad de la Información (SGSI)Desarrollo de políticas de seguridadServicios de monitoreoInvestigación forenseServicio de respuesta a incidentes

                                                              

Definiciones

“... LA INFORMACIÓN ES UN BIEN ECONÓMICO POR LO CUAL REQUIERE NORMAS DE PROTECCIÓN ADECUADAS ...”

¿Qué es SEGURIDAD?... Es la Administración del Riesgo.

La Seguridad es un proceso ... Continuo.

Los datos están en constante peligro principalmente por dos causas: errores de los usuarios o empleados y ataques intencionados o fortuitos.

No se pueden eliminar los Riesgos.

                                                              

Ciclo de Vida del RiesgoAgente amenaza

Amenaza

Vulnerabilidad

Riesgo

Activo

ExposiciónGuardia de seguridad

Explota

Lleva a

Puede dañar

Y causa una

Puede ser mitigado con

Afecta directamente Reduce

Hace aparecer

                                                              

¿Qué hacer?

Es necesario Gestionar la seguridad de la información.

Estudiar la ejecución de una Auditoria de Seguridad

Mediante una Auditoria de Seguridad, pueden identificarse los puntos fuertes y

débiles de una organización con respecto al manejo de la seguridad general y de su

información y se pueden definir claramente los pasos a seguir para lograr un perfeccionamiento de la misma.

                                                              

Ventajas de una Auditoria de Seguridad

Mejora sustancialmente la eficiencia en la seguridad general y de la información. Minimiza el riesgo de intrusión en sus sistemas (manuales o informáticos), robos, uso indebido, alteración de información, abuso de privilegios o interrupción de los servicios ofrecidos.Elimina riegos innecesarios.Posibilita la toma de decisiones sobre la seguridad basándose en información más completa.Posibilita la definición de responsabilidades bien diferenciadas.Brinda protección para toda la organización.

                                                              

¿Cuáles son las Premisas Fundamentales?

Un nivel de seguridad satisfactorio “ahora”, es mejor que un nivel de seguridad perfecto “a largo plazo”.Es imprescindible conocer los propios puntos débiles y evitar riesgos imposibles de cuantificar.Realizar y exigir auditorias periódicas mejoran la salud de los sistemas y previenen ataques e incidentes.En una organización la seguridad es tan fuerte como el punto más débil de la misma, por lo tanto, interesa concentrarse (en un principio al menos) en estos últimos.Un 75% de las agresiones intencionadas son internas a las organizaciones.Lo más productivo es concentrarse en amenazas factibles y conocidas.

                                                              

Gastos de la Organización de Seguridad de la Información

Fuente: 2007 CSI Computer Crime and Security Survey

                                                              

Incidentes en los últimos doce meses

Fuente: 2007 CSI Computer Crime and Security Survey

                                                              

Tipos de Ataques en los últimos doce meses

Fuente: 2007 CSI Computer Crime and Security Survey

                                                              

Conocer y Declarar Ataques

Fuente: 2007 CSI Computer Crime and Security Survey

                                                              

La Normativa en el Tiempo

Revisión por:• NCC (Centro

Nacional de Computación)

• Consorcio usuarios

1993

Estándar nacional británico

1995

Estándar Internacional(Fast Track)

1999 2000

Revisión periódica(5 años)

2005

Nuevo estándar nacional certificable

Estándar Internacional

1998 2002

Revisión conjunta de las partes 1 y 2

Revisión y acercamiento a:• ISO 9001• ISO 14001• OCDE

1999 2005

Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI)

1989

Revisión conjunta de las partes 1 y 2

■ Certificable

Código de prácticas para usuarios

■ PD0003 Código de prácticas para la gestión de la seguridad de la información

■BS 7799

■BS 7799-1

:1999

■ISO/IEC

17799 :2000

■ISO/IEC

17799 :2005

■

BS 7799-2 :2002

■BS 7799-2

■BS 7799-2

:1999

■ISO/IEC 27001

:2005

■■ No certificable

                                                              

ISO 17799 - Dominios

1. Política de seguridad.2. Organización de la Seguridad de la Información.3. Gestión de Activos.4. Seguridad de los recursos humanos.5. Seguridad física y medioambiental.6. Gestión de las telecomunicaciones y operaciones.7. Control de accesos a los datos.8. Adquisición, desarrollo y mantenimiento de los sistemas de

Información.9. Gestión de Incidencias.10.Gestión de la continuidad de las operaciones de la empresa.11.Conformidad.

                                                              

Familia de Normas ISO 2700X

                                                              

Síntesis

La norma ISO 17799 apunta a la etapa de Normalización mientras

que la norma ISO 27001 a la Certificación.

                                                              

¿Por qué y para qué Certificar?

Aseguramos “oficialmente” la disponibilidad, la integridad y la confidencialidad de la información Para garantizarle a nuestros clientes que los procesos están basados en los estándares internacionales de seguridadLa existencia de recursos humanos calificados en diferentes rubros de seguridadEl factor diferencial del certificado puede ser considerado en licitaciones de nuestros clientesPara crecer en la cadena de valor

                                                              

Gestión de la Seguridad: SGSI

Sistema de Gestión de la Seguridad de la Información (SGSI): Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.

Cubre aspectos organizativos, lógicos, físicos, legales...

Independiente de plataformas tecnológicas y mecanismos concretos.o Aplicación en todo tipo de organizaciones.

Fuerte contenido documental.

                                                              

Monitoreo vs. Management

Level 2

Information Delivery Maturity Level

Centralización acceso a datos de

aplicaciones y sistemas

Level 1

Refinar, analizar y ordenar datos

(información de seguridad)

provenientes de distintas fuentes

Valo

r (y

cos

t o)

MONITOREO de SEGURIDAD

Level 4Level 3

Aplicar relevancia de negocios a la información para determinar prioridades de negocios

CONOCIMIENTO ACCION

Actuar con conocimiento real del negocio desde un único lugar a de acuerdo con las necesidades del negocio

MANAGEMENT de SEGURIDAD

DATOS INFORMACIÓN

                                                              

¿Cómo sería el Modelo?

                                                              

Metodologías Existentes

Establecimiento del Proceso de Gestión de Riesgos (cláusula 4.2.1 c)

Metodología de Evaluación de Riesgos • Comerciales (COBRA 3, RAM, RA2)• Académicas (OCTAVE, PILAR)

Grandes Consultoras (Deloitte, Accenture,….)

                                                              

¿Qué Metodología elegimos?

OCTAVE ® (Operationally Critical Threat, Asset, and Vulnerability Evaluation):

o Es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo, para que una empresa comprenda cuáles son las necesidades de seguridad de la información.

o Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos dirigidos a las necesidades de seguridad..

® The CERT reports to the Software Engineering Institute a non-academic unit of Carnegie Mellon University and was funded primarily by the U.S. Department of Defense, along with a number of other federal civil agencies and other funding comes from the private sector

                                                              

OCTAVE: Aproximación

                                                              

¿Cuáles son los Beneficios para su Organización?

Identificar los riesgos de seguridad de información que se podrían prevenir.Aprender a manejar y valorar los riesgos de seguridad de información.Crear una estrategia de protección diseñada para reducir los riesgos de seguridad de información de mayor prioridad.Posicionar su empresa para cumplir con los requerimientos de seguridad de datos y con las leyes y nuevas reglamentaciones.

                                                              

¿Cuáles son los Beneficios para su Organización?

Aproximaciones a la Seguridado Administración de Vulnerabilidades (Reactivo) - Identificar

y solucionar las vulnerabilidadeso Administración de Riesgos (Proactivo) – Identificar y

administrar riesgos

Aproximaciones para Evaluar los Riesgos de la Seguridad de la Información

                                                              

Resultados

Bienes

Action Items

•action 1

•action 2

Estrategia de Protección

Plan de Mitigación

Lista de Acciones

Organización

Acciones a corto plazo

                                                              

Argentina

Ciudad Autónoma de Buenos Aires:Nueva York 3394 C1419HDB +54 11 45022391

Tomás Liberti 1206 C1086AAB+54 11 1554238674

México

México Distrito Federal:Bahía de Magdalena 42 CP11590    + 52 55 1055 4849 / 4850

Email de contacto: info@kwell.net

www.kwell.net