Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Modelos de Seguridad Informática “Modelo de Protección”

Iván Ernesto Guerra MatizPrivacidadPrivacidad

SeguridadSeguridad

Un Modelo Institucional de protección de la información debe

direccionar los riesgos a que está expuesta la información y... Empresa

Política de protección de Información

Estructura Organizacional

Clasificación de la informaciónEvaluación de riesgo

Continuidad Empresarial

Procesos deprotección deinformación

Administracióndel monitoreo y

su reporte

Protección de Información

Concienciación

y capacitación continua

Arquitectura deprotección de lainformación

Modelo Institucional de Protección de la Información

y estar alineado con los objetivos del negocio Estrategia

del Negocio

Administración del riesgo en la información

Estrategia IT, Seguridad y Continuidad

Arquitectura de Seguridad

Continuidad del Negocio Seguridad

Plan Desastre

Procesos de SeguridadPolíticas y estándares

Verificación de los servicios de seguridad en red

Verificación de procesosVerificación de aplicaciones y sistemasCO

NC

IEN

CIA

CIÓ

N

CO

NC

IENC

IACIÓ

N

Nadie es inmune a las brechas de Seguridad

Official: Terrorists used Internet to get info on potential targetsComputerworld, February 13, 2002

Wireless LAN worries mount: Rollouts delayed, systems shut down as organizations scramble for security fixes Computerworld, February 4, 2002

Computer Security Experts Warn of Internet Vulnerability NYT, February 13, 2002

Airline Web sites seen as riddled with security holes Computerworld, February 4, 2002

IT Group Says Security Is Under-funded; Federal Systems Called 'Incredibly Open'; More Money on the Way, OMB SaysWashington Post, February 1, 2002

Cybervandals hit the jackpot again by defacing the Texas lottery's Website last weekend Security Wire Digest, Janurary 10, 2002

40% of attacks are specifically targeting their victims, while 60% are attacks that arose from automatic hacking tools Riptech survey, February 24, 2002

Mientras que el Vandalismo a sitios WEB ha alcanzado mucha

visibilidad, la real amenaza es más incisiva y está oculta Universal Studios, "The Lost World: Jurassic Park"Universal Studios, "The Lost World: Jurassic Park"

Antes Después

La Seguridad de la Información pasó a ser una de las principales prioridades del negocio después de Septiembre 11

Inicitativa Estratégica

Dic '00 Sept '01

Seguridad 5.1 3.73.7

EAI 4.3 3.8

Supply Chain 5.0 4.1

CRM 4.3 4.3

ERM 4.5 5.0

Extranet / VPN 4.6 4.2

e-commerce 2.22.2 5.2

Almacenamiento 6.1 5.4

Rango: 1- Alto 8- Bajo

(Fuente: Merrill Lynch Computer Services CIO User Survey, Oct. 2001)

La evolución de los negocios electrónicos conlleva mayores requerimientos de seguridad, privacidad y confianza

IT

Convergencia de IT y el negocioNegocios entre empresas (B2B/B2C,B2E)Incremento del alcance MundialModelos de e-business

IT

Procesos de

negocio

IT

Distancia entre IT y el negocioModelos tradicionales de negocios

Cliente Organización

Tecnología de la Información

Incremento en los requerimientos del negocio en costo y eficiencia

Mayor importancia de la reputación de la marcaMayores requerimientos para movilidad

Incremento en el servicio esperado al cliente

Nuevas Consideraciones en SeguridadSeguridad es una necesidad de toda la empresa — no la compra de un componenteLas estrategias de Análisis de Riesgo y continuidad del negocio ahora son discusiones de los comités.Mayor requerimiento de entrenamiento en las prácticas de seguridad de los profesionales de IT.

Ampliación de e-business to wireless e-businessNuevas oportunidades de negocio a partir de la evolución de las tecnologías de wireless.Incremento de la depencia del negocio en IT y la Privaciada y la Seguridad. Mayores

necesidades por - seguridad- privacidad- confianza

Procesos de

negocio

ClienteOrganizaciónTecnología

de la Información

Procesos de

negocio

ClienteOrganizaciónTecnología

de la Información

El adoptar uno o más códigos de práctica como medio para definir, desarrolar y mantener un Modelo de Protección de la

Información es vital para cumplir con los objetivos del negocio

Modelo de Protección de la informaciónOrganizaciónProcesos

Servicios de Seguridad "Operativos"Administración de la SeguridadGerencia "Estratégicos"

Arquitectura Herramientas

Normativa

Administración del Riesgo

Los Beneficios van desde una protección uniforme de la Información hasta monetarios y de imagen

• Ahorros en Pólizas.

• Menores provisiones por riesgos operativos.

• Obtener la confianza de los clientes.

• Protección de la información punto a punto.

• Diferenciador.

• Prevenir el Fraude PrivacidadPrivacidad

SeguridadSeguridad

ConfianzaConfianza

Una estructura de trabajo para la seguridad debe ser establecida para asegurar que todos los componentes

se integren• Principios de Seguridad: Proposición de valor requerida por el

negocio para la ejecución de la seguridad.• Política de Seguridad :Proposición de alto nivel de objetivos, fines,

creencias, ética y responsabilidades. • Estándar de Seguridad: Conjunto de reglas para implantar la Política.

Los estándares hacen mención específica de tecnologías, metodologías, procedimientos de implantación, y otros factores detallados.

• Procesos de Seguridad:Actividades y tareas típicamente realizadas a través de varias organizaciones para implantar las políticas y estándares.

• Procedimientos de Seguridad : Pasos operacionales específicos que las personas deben ejecutar par alcanzar los objetivos establecidos en las políticas.

• Arquitectura de Seguridad: Detalles de cómo la tecnología se interrelaciona y se junta.

• Productos de Seguridad: Herramientas ofrecidas por la organización de Seguridad.

Standards

Policy

Process Architecture

ProductProcedure

Architecture

Product

Policy

Principles

En la actualidad se reconocen en el mercado varios códigos de práctica, que apoyan la definición, desarrollo, implantación y

mantenimiento de los modelos de seguridad de la información • Conjunto de mejores prácticas reconocidas por un Universo

• Se basan en una Confianza.

• Tienen un alcance– Evaluación de Riesgo.

– Modelo de Seguridad.

– Arquitectura de Seguridad

– Desarrollos.

• Ejemplos– ISO 17799

– COBIT 3ra Edición

– ISO 7498-2

– Common Criteria ISO 15408

ISO/IEC BS 17799

• 10 áreas de seguridad• Última versión 1999

Security Policy

SecurityOrganization

PersonnelSecurity

AssetClassificationand Control

Physical andEnvironmental

Security

Computer and NetworkManagement

Business ContinuityPlanning

System Development andMaintenance

SystemAccessControl

Compliance

ISO 17799: 10 áreas de Seguridad• Una Política en Seguridad de la Información es requerida para proveer una directriz

Gerencial y soporte para seguridad en la información.

• Una organización de seguridad debe ser establecida para iniciar y controlar la implantación de la seguridad de la información dentro de la empresa.

• El Control y Clasificación de los activos debe ser establecido, para mantener una protección adecuada de los activos de la compañía. Los activos de información más importantes deben ser identificados y asignados a un dueño.

• Un proceso de seguridad en el personal de la compañía debe existir para reducir el riego de errores humanos, robo, fraude, o mal uso de las facilidades. Seguridad debe direccionada en la fase de contratación, incluido en las funciones y contratos, y monitoreado durante su permanencia dentro de la institución.

• Seguridad física y ambiental debe ser establecida para prevenir acceso no autorizado, daño o interferencia a las premisas de la compañía, servicios de tecnología de la información, u otros activos. Facilidades de tecnología de la información que soportan actividades sensitivas o críticas del negocio deben ser físicamente protegidas de amenazas en seguridad y peligros ambientales

ISO 17799: 10 áreas de Seguridad• Manejo de la Operación y de las comunicaciones deben asegurar la correcta y

segura operación de las facilidades de cómputo y de las redes. Responsabilidades y procedimientos para el manejo de la operación de todos los computadores y redes deben estar claramente definidos.

• Control de acceso a los sistemas debe existir para restringir el acceso a los sistemas e información a las personas autorizadas por la gerencia y para propósitos válidos del negocio, únicamente.

• Procesos para el mantenimiento y desarrollo deben asegurar que los sistemas de tecnología de la información son desarrollados de una manera segura y su mantenimiento es llevado a cabo con el riesgo mínimo a la integridad y seguridad del sistema. Requerimientos de seguridad deben ser identificados y acordados previo desarrollo de los sistemas de tecnología de la información.

ISO 17799: Desarrollo de Aplicaciones

Asignación del dueño de la aplicación

Determinación del valor y riesgo de la información

Determinación del valor y riesgo de la aplicación

Identificación de requerimientos externos

Identificación de nuevas amenazas

Identificación de las interfaces aplicativas requeridas

Desarrollo de planes para cumplir los requerimientos de seguridad

Revisión del plan de seguridad del proyecto

Revisión de documentos y certificación de acuerdo

Mantenimiento del archivo de control a través del ciclo de vida

ISO 17799: 10 áreas de Seguridad

• Planeamiento de la continuidad del negocio debe ser establecido para asegurar que los planes están en su lugar para contrarrestar interrupciones a las actividades del negocio - Por ejemplo procesos críticos del negocio deben ser protegidos de los efectos de mayores desastres y fallas.

• Procesos de cumplimiento con la seguridad deben ser establecidos para asegurar que el diseño, operación y uso de los sistemas de tecnología cumple con los requerimientos de seguridad contractuales y establecidos en los estatutos de la compañía. Para asegurar cumplimiento con los procedimientos y políticas de seguridad definidos dentro de la compañía, todos los aspectos de seguridad - físicos y lógicos - deben ser revisados en bases regulares.

ISO 7498-2(X.800): Arquitectura de Seguridad

Identificación&

Autenticación

Control de

Acceso

ConfidencialidadIntegridad de

la información

No

Repudio

Autenticación

de entidades

Ciframiento

Desciframiento

Firma

Digitalizada

Listas de controlde acceso

Distintivos de seguridad

Autenticación de

Mensajes

Detección demodificación

Usuarios PrivilegiosProgramas

Palabras claves

Grupos Registros de Auditoría

Llaves de Encripción

Manejo

Objetos

Mecanismos

Servicios

Manejo de

Servicios

Manejo

Manejo de Objetos

y otras

ISO No 7498-2

Integridad

del

sistema

MANEJO DE POLÍTICAS

MANEJO DE

AUDITORÍA

Y

ALERTAS

Los Códigos de Práctica apoyan aspectos parael desarrollo de un modelo de protección

Código/Componente Modelo de Protección

ISO 17799 ISO7498-2 COBIT 3rd Edition

CC ISO 15408

Administración del Riesgo + + + +

Arquitectura+++ ++

Procesos Estratégicos de Seguridad (Políticas,Conciencia, Organización)

+ + +

Procesos Operación de la Seguridad + ++ +++ +

Procesos de Administración de la Seguridad

++ ++ ++ +

Continuidad del Negocio + + +

Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo de protección acorde

con lo establecido por el negocio

ISO 15408 CC

COBIT

OTROS

ISO 7498-2

BS 17799

Institución

Las instituciones deben comenzar por identificar sus riesgos, los requerimientos legales y los institucionales, para sí establecer los

requerimientos de seguridad de la Empresa

PlanearAdministrar SeguridadSeguridadPrivacidadPrivacidadConfianzaConfianza

Implantar Diseñar

Verificar

Inicio

Desarrolar el Modelo de Protección con base en procesos (subprocesos de Seguridad) e iniciar una implantación focalizada en los estratégicos

PolíticasEstándares

Cómo se debe hacer

Qué se debe hacer

Organización

Herramientas

Planear/Coordinar/Registrar Comité de Cambios EjecutarResponsable:

Admón. TI, Gerencia UsuariaACTIVIDADES:

Definir el Cambio partiendo de la Idea inicialReuniones con Analistas, Usuarios y SistemasDiseñar el Proyecto de DiseñoAnalizar el Impacto del CambioAnalizar el Riesgo del CambioCategorizar el CambioDiseñar las Pruebas del la AplicaciónDiseñar el Plan de ContingenciaDocumentar el Diseño y sus requerimientos de CambioDeterminar los Requerimientos de Educación

Herramientas:Recomendaciones de los ProveedoresSW Operativo y SW de Base de los ServidoresDocumentación de Diseño y Cambios Efectuados Herramienta de Admón. de CambiosPolíticas y Estándares de Seguridad

Responsable:Gerencia Comité de Cambios

ACTIVIDADES:Convocar el Comité de Cambios

Herramientas:Herramientas de Notificación (Memos, Teléfono, Correo Electrónico) Responsable:

Jefe de Producción y Admón. de CambiosACTIVIDADES:

Coordinar los RecursosImplantar el Cambio en el Ambiente de ProducciónActualizar el InventarioActualizar la Documentación del CambioGenerar Reportes

Herramientas:SW Operativo de los ServidoresSw de pruebas de Seguridad

1

Responsable:Comité de Cambios

ACTIVIDADES:Evaluar la Documentación de Solución y validar aceptación de UsuarioValidar la Categoría del CambioEvaluar los Planes de Implantación y de Pruebas de la Solución y del CambioResolver ConflictosEjecutar Sub-proceso de Monitoreo durante PruebasAprobar el CambioProgramar la Ejecución del Cambio

Herramientas:Herramientas de Notificación (Memos, Teléfono, Correo Electrónico) Formatos del Comité de Cambios

Responsable:Proveedor

ACTIVIDADES:Ejecutar el cambio en el ambiente de pruebasNotificar a los afectados por el CambioDocumentar (acta)Generar Reportes

Herramientas:Herramientas de Notificación (Memos, Teléfono, Correo Electrónico) Generadores de Reportes

2

Responsable:Proveedores

ACTIVIDADES:Definir Requerimientos de DiseñoDiseñar SoluciónDiseñar las Pruebas Diseñar el Plan de ContingenciaDocumentar el DiseñoDeterminar los Requerimientos de Educación

Herramientas:Admón. de Cambios

Responsable:Jefe de Desarrollo

ACTIVIDADES:Coordinar los RecursosImplantar el Cambio en el Ambiente de ProducciónActualizar el InventarioActualizar la Documentación del CambioGenerar Reportes

Herramientas:SW Operativo de los Servidores

Procedimientos

Iniciando por las plataformas estratégicas de apoyo al negocio

Entre Empresas

Lan/Intranet

InternetServidores Estaciones

SEGURIDAD/PRIVACIDAD CORPORATIVA

Definiendo, recolectando y procesando medidas obtenibles de calidad para los procesos de seguridad, tomando acciones cuando

sean requeridas

Sub-proceso Identificar, autenticar y certificar el usuario.Misión: Verificar la identidad de un usuario por medio de: El chequeo de la identidad del usuario; el asegurarse de que el usuario puede probar su identidad; y el paso de la información de la identificación del usuario a otros sistemas de la Empresa

PROVEEDORES PROCESO

ACTIVIDADES

Verificar la identificación del usuario.Aceptar la información del usuario que debe ser única.Autenticar el usuario.Certificar el usuario.Notificar al usuario.Actualizar los registros.

CLIENTES

REQUERIM. REQUERIM.

SALIDASENTRADAS

MEDICIONES

ENTRADAS SALIDAS

Medición respecto a patrones de conexión extraños (p.ej. conexiones desde distintas terminales y de distintos departamentos).Número de aplicaciones que acceden por medios distintos a l servidor único de seguridades.Número de personas que acceden fuera de horarios establecidos.Número de incidentes en que los usuarios violan el proceso.Usuarios que ingresaron exitosamente al sistema.Número de claves en promedio que utiliza una personas para ingresar a los sistemas de la institución.Número de aplicaciones automatizadas en la administración de la seguridad.Número de aplicaciones que cumplen con estándares de identificación y autenticación.

Identificación del usuario.Medio de autenticación (palabra clave, llave, tarjeta, etc.).Otra información de seguridad.

Mensaje al usuario y al operador de la consola.Registro en el archivo de control.Reporte de características de hora y fecha de ingreso Informe de fecha de expiración de la palabra clave.

PROVEEN ENTRADAS

Usuarios finales Administrador de SeguridadHelpDeskDirección de operacionesAuditoría AnticorrupciónOrganización de Informática

RECIBEN SALIDAS

Usuarios finales Administrador de SeguridadHelpDeskDirección de operacionesAuditoríaAnticorrupción Organización de Informática