Mejores Prácticas de Seguridad de la Información
description
Transcript of Mejores Prácticas de Seguridad de la Información
Nuestra Empresa
Kwell es líder en servicios de seguridad y gestión de riesgos tecnológicos, sus principales aportes han sido incorporar al mercado los conceptos de Programas de Reducción de Riesgo, la Certificación Internacional de Seguridad de la Información, tanto de organizaciones como de profesionales y la aproximación metodológica al problema de la seguridad.Principales Servicios:
Programas de evaluación y reducción de riesgosAuditorias, evaluaciones y desarrollo de políticas de seguridadImplantación de Sistema de Gestión de Seguridad de la Información (SGSI)Desarrollo de políticas de seguridadServicios de monitoreoInvestigación forenseServicio de respuesta a incidentes
Definiciones
“... LA INFORMACIÓN ES UN BIEN ECONÓMICO POR LO CUAL REQUIERE NORMAS DE PROTECCIÓN ADECUADAS ...”
¿Qué es SEGURIDAD?... Es la Administración del Riesgo.
La Seguridad es un proceso ... Continuo.
Los datos están en constante peligro principalmente por dos causas: errores de los usuarios o empleados y ataques intencionados o fortuitos.
No se pueden eliminar los Riesgos.
Ciclo de Vida del RiesgoAgente amenaza
Amenaza
Vulnerabilidad
Riesgo
Activo
ExposiciónGuardia de seguridad
Explota
Lleva a
Puede dañar
Y causa una
Puede ser mitigado con
Afecta directamente Reduce
Hace aparecer
¿Qué hacer?
Es necesario Gestionar la seguridad de la información.
Estudiar la ejecución de una Auditoria de Seguridad
Mediante una Auditoria de Seguridad, pueden identificarse los puntos fuertes y
débiles de una organización con respecto al manejo de la seguridad general y de su
información y se pueden definir claramente los pasos a seguir para lograr un perfeccionamiento de la misma.
Ventajas de una Auditoria de Seguridad
Mejora sustancialmente la eficiencia en la seguridad general y de la información. Minimiza el riesgo de intrusión en sus sistemas (manuales o informáticos), robos, uso indebido, alteración de información, abuso de privilegios o interrupción de los servicios ofrecidos.Elimina riegos innecesarios.Posibilita la toma de decisiones sobre la seguridad basándose en información más completa.Posibilita la definición de responsabilidades bien diferenciadas.Brinda protección para toda la organización.
¿Cuáles son las Premisas Fundamentales?
Un nivel de seguridad satisfactorio “ahora”, es mejor que un nivel de seguridad perfecto “a largo plazo”.Es imprescindible conocer los propios puntos débiles y evitar riesgos imposibles de cuantificar.Realizar y exigir auditorias periódicas mejoran la salud de los sistemas y previenen ataques e incidentes.En una organización la seguridad es tan fuerte como el punto más débil de la misma, por lo tanto, interesa concentrarse (en un principio al menos) en estos últimos.Un 75% de las agresiones intencionadas son internas a las organizaciones.Lo más productivo es concentrarse en amenazas factibles y conocidas.
Gastos de la Organización de Seguridad de la Información
Fuente: 2007 CSI Computer Crime and Security Survey
Incidentes en los últimos doce meses
Fuente: 2007 CSI Computer Crime and Security Survey
Tipos de Ataques en los últimos doce meses
Fuente: 2007 CSI Computer Crime and Security Survey
Conocer y Declarar Ataques
Fuente: 2007 CSI Computer Crime and Security Survey
La Normativa en el Tiempo
Revisión por:• NCC (Centro
Nacional de Computación)
• Consorcio usuarios
1993
Estándar nacional británico
1995
Estándar Internacional(Fast Track)
1999 2000
Revisión periódica(5 años)
2005
Nuevo estándar nacional certificable
Estándar Internacional
1998 2002
Revisión conjunta de las partes 1 y 2
Revisión y acercamiento a:• ISO 9001• ISO 14001• OCDE
1999 2005
Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI)
1989
Revisión conjunta de las partes 1 y 2
■ Certificable
Código de prácticas para usuarios
■ PD0003 Código de prácticas para la gestión de la seguridad de la información
■BS 7799
■BS 7799-1
:1999
■ISO/IEC
17799 :2000
■ISO/IEC
17799 :2005
■
BS 7799-2 :2002
■BS 7799-2
■BS 7799-2
:1999
■ISO/IEC 27001
:2005
■■ No certificable
ISO 17799 - Dominios
1. Política de seguridad.2. Organización de la Seguridad de la Información.3. Gestión de Activos.4. Seguridad de los recursos humanos.5. Seguridad física y medioambiental.6. Gestión de las telecomunicaciones y operaciones.7. Control de accesos a los datos.8. Adquisición, desarrollo y mantenimiento de los sistemas de
Información.9. Gestión de Incidencias.10.Gestión de la continuidad de las operaciones de la empresa.11.Conformidad.
Familia de Normas ISO 2700X
Síntesis
La norma ISO 17799 apunta a la etapa de Normalización mientras
que la norma ISO 27001 a la Certificación.
¿Por qué y para qué Certificar?
Aseguramos “oficialmente” la disponibilidad, la integridad y la confidencialidad de la información Para garantizarle a nuestros clientes que los procesos están basados en los estándares internacionales de seguridadLa existencia de recursos humanos calificados en diferentes rubros de seguridadEl factor diferencial del certificado puede ser considerado en licitaciones de nuestros clientesPara crecer en la cadena de valor
Gestión de la Seguridad: SGSI
Sistema de Gestión de la Seguridad de la Información (SGSI): Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.
Cubre aspectos organizativos, lógicos, físicos, legales...
Independiente de plataformas tecnológicas y mecanismos concretos.o Aplicación en todo tipo de organizaciones.
Fuerte contenido documental.
Monitoreo vs. Management
Level 2
Information Delivery Maturity Level
Centralización acceso a datos de
aplicaciones y sistemas
Level 1
Refinar, analizar y ordenar datos
(información de seguridad)
provenientes de distintas fuentes
Valo
r (y
cos
t o)
MONITOREO de SEGURIDAD
Level 4Level 3
Aplicar relevancia de negocios a la información para determinar prioridades de negocios
CONOCIMIENTO ACCION
Actuar con conocimiento real del negocio desde un único lugar a de acuerdo con las necesidades del negocio
MANAGEMENT de SEGURIDAD
DATOS INFORMACIÓN
¿Cómo sería el Modelo?
Metodologías Existentes
Establecimiento del Proceso de Gestión de Riesgos (cláusula 4.2.1 c)
Metodología de Evaluación de Riesgos • Comerciales (COBRA 3, RAM, RA2)• Académicas (OCTAVE, PILAR)
Grandes Consultoras (Deloitte, Accenture,….)
¿Qué Metodología elegimos?
OCTAVE ® (Operationally Critical Threat, Asset, and Vulnerability Evaluation):
o Es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo, para que una empresa comprenda cuáles son las necesidades de seguridad de la información.
o Cuando se aplica OCTAVE, un pequeño equipo de gente desde los sectores operativos o de negocios hasta los departamentos de tecnología de la información (IT) trabajan juntos dirigidos a las necesidades de seguridad..
® The CERT reports to the Software Engineering Institute a non-academic unit of Carnegie Mellon University and was funded primarily by the U.S. Department of Defense, along with a number of other federal civil agencies and other funding comes from the private sector
OCTAVE: Aproximación
¿Cuáles son los Beneficios para su Organización?
Identificar los riesgos de seguridad de información que se podrían prevenir.Aprender a manejar y valorar los riesgos de seguridad de información.Crear una estrategia de protección diseñada para reducir los riesgos de seguridad de información de mayor prioridad.Posicionar su empresa para cumplir con los requerimientos de seguridad de datos y con las leyes y nuevas reglamentaciones.
¿Cuáles son los Beneficios para su Organización?
Aproximaciones a la Seguridado Administración de Vulnerabilidades (Reactivo) - Identificar
y solucionar las vulnerabilidadeso Administración de Riesgos (Proactivo) – Identificar y
administrar riesgos
Aproximaciones para Evaluar los Riesgos de la Seguridad de la Información
Resultados
Bienes
Action Items
•action 1
•action 2
Estrategia de Protección
Plan de Mitigación
Lista de Acciones
Organización
Acciones a corto plazo
Argentina
Ciudad Autónoma de Buenos Aires:Nueva York 3394 C1419HDB +54 11 45022391
Tomás Liberti 1206 C1086AAB+54 11 1554238674
México
México Distrito Federal:Bahía de Magdalena 42 CP11590 + 52 55 1055 4849 / 4850
Email de contacto: [email protected]
www.kwell.net