Seguridad Informáticaseminarisempresa.fib.upc.edu/anteriors/2008... · mejorar un Sistema de...
Transcript of Seguridad Informáticaseminarisempresa.fib.upc.edu/anteriors/2008... · mejorar un Sistema de...
1 ©2007 Deloitte©2008 Deloitte. Todos los derechos reservados
Barcelona, febrero de 2008
ISO/IEC 27001:2005
Seguridad Informática.
Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero.
22 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Contenido• Introducción• Motivaciones para certificarse• Gestión de la seguridad de la información• Enfoque metodológico del SGSI
• Enfoque metodológico repetible del análisis de riesgos• Que se certifica• Identificación y valoración de activos• Identificación de vulnerabilidades y amenazas• Identificación de riesgos• Estado de aplicabilidad de los controles• Definición del nivel de seguridad aceptable• Evaluación de controles• Gestión de riesgos• Política de Seguridad de la Información• Definición del Modelo de Organizativo
• Beneficios de la certificación• Ruegos y preguntas
33 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Introducción• ISO - International Organization for Standardization
• Encargada de promover el desarrollo de normas internacionales defabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica.
• ISO registra las entidades nacionales de acreditación– Para poder acreditar las entidades de acreditación nacional deben incorporar el
esquema de acreditación para cada estándar.
– Para poder emitir certificaciones sobre un estándar, las entidades de certificación deben acreditarse contra una entidad nacional de acreditación para el estándar especifico en cuestión.
ISO
ENACUKAS …
Esquemas deacreditación
Esquemas deacreditación
Entidad Acreditadora
1
Entidad Acreditadora
2
44 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Introducción• IEC - International Electrotechnical Commission
• Organización responsable de la estandarización de equipos eléctricos.
• ISO/IEC 27001 - Information technology - Security techniques - Informationsecurity management systems – Requirements
• Aprobada y publicada como estándar internacional en Octubre de 2005 por ISO y la comisión IEC.
• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
• Se sustenta en la mejora continua, el conocido “Ciclo de Deming” o PDCA -Plan, Do, Check, Act.
• Alineada con las mejores prácticas de la gestión de la seguridad de la información – ISO/IEC27002:2005.
55 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Introducción• ISO/IEC 27002:2005 - Information technology - Security techniques - Code of
practice for information security management
Clasificación y control de activos
Communications & environmental
Organización de Seguridad
Política de Seguridad
Continuidad de negocio
Control de accesos
Gestión de operaciones y comunicaciones
Cumplimiento
Adquisición, desarrollo y
mantenimiento de sistemas
Seguridad física y
ambiental
Seguridad del
personal
Gestión de incidencias
� 11 secciones
�39 objetivos de control
�133 controles específicos
66 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Motivaciones para certificarse• Cultura empresarial
• Requerimiento legal
• Requisito del cliente
• Mantenerse en el mercado
• Mejora de la imagen de la organización
77 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Gestión de la seguridad de la información• Información
‘La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto, necesita ser protegido adecuadamente’BS ISO 17799:2000
• Seguridad de la información• Los activos tienen un valor y por tanto unos requisitos de seguridad en
términos de Confidencialidad, Integridad y Disponibilidad.• Minimizar las amenazas y riesgos continuos a los que está expuesta la
información de una empresa, maximizando el retorno de las inversiones y las oportunidades del negocio.
• Gestión de seguridad de la información• Implantar procedimientos repetibles que permitan mantener y mejorar
sistemáticamente la seguridad de la información.
88 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Gestión de la seguridad de la información• ¿Seguridad al 100%?
‘El único sistema que es completamente seguro es aquel que está apagado y desenchufado, cerrado en una caja de titanio, enterrado en un bunker, y rodeado por un gas nervioso y custodiado por guardias armados. Incluso así, yo no me jugaría mi vida sobre ello.'
Gene Spafford
Director, Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue
99 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Enfoque metodológico del SGSI
Preparar i Establecer el SGSI
• Definición del SGSI
• Elaboración de la Políticade Seguridad de la Información
Preparar i Establecer el SGSI
• Definición del SGSI
• Elaboración de la Políticade Seguridad de la Información
Implementar i Operar el SGSI
• Definición del Plan de actuación
• Implantación de Controles
• Gestión de recursos
Implementar i Operar el SGSI
• Definición del Plan de actuación
• Implantación de Controles
• Gestión de recursos
Mantener i Mejorar
• Implantación de les recomendaciones emitidas
• Verificar que las mejorashan cubierto los objetivos
Mantener i Mejorar
• Implantación de les recomendaciones emitidas
• Verificar que las mejorashan cubierto los objetivos
Monitorizar i Revisar
• Auditorías internas
• Revisión del SGSI
• Revisiones periódicas de laefectividad de los controles
Monitorizar i Revisar
• Auditorías internas
• Revisión del SGSI
• Revisiones periódicas de laefectividad de los controles
PLANDO
CHECK
ACT
1010 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Que se certifica• ISO certifica procesos . NO es OBLIGATORIO certificar TODA la EMPRESA.
• Definir alcance del proyecto.La certificación abarca el proceso de desarrollo de software realizado por el área de desarrollo excluyendo las áreas restantes que proporcionan servicio a ésta y los procesos desarrollados por estas áreas (p ej: específicación de requisitos, negociación con el cliente y el servicio de post-venda). El principal activo de la compañía es su equipo humano y la metodología empleada.
• Especificar procesos no incluidos en el alcance.Los procesos relacionados con la definición de los requisitos funcionales, la negociación del contrato y el servicio post-venda al ser gestionados por departamento ajenos al departamento de desarrollo.
• Definir relaciones contractuales entre:• Departamentos de la empresa.• Empresas proveedoras.• Clientes.
1111 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Que se certifica
1212 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Identificación y valoración de activos• Tipologías de activos
• Tangibles:– Hardware (firewalls, switches, servidores, ordenadores, discos duros…).– Software (S.O., ofimática, herramientas de desarrollo…).– Información (BBDD y archivos de datos, procedimientos operativos, …).– Edificios.– Infraestructuras (suministro eléctrico, climatización, control acceso físico…).
• Intangibles– Experiencia (del personal, de clientes, de suscriptores..).– Imagen y reputación .– Servicios (proveedor antivirus, desarrollador software…).
• Valoración en función de su Confidencialidad, Integ ridad y Disponibilidad
INTEGRIDADValor Descripción
1 BAJO: Se puede reemplazar fácilmente con un activo de igual calidad.
2NORMAL: Se puede reemplazar con un activo de similar calidad, con esfuerzorazonable.
3 ALTO: Se puede reemplazar con un activo de similar calidad, con esfuerzo alto.4 MUY ALTO: La calidad necesaria es difícil de reconstruir, y de muy alto coste.
5 CRUCIAL: No puede volver a obtenerse una calidad o prestación semejante.Irremplazable.
1313 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Identificación de vulnerabilidades y amenazas• Vulnerabilidades: debilidad en un activo o grupo de activos que puede ser
explotada por una amenaza.Una vulnerabilidad en sí no causa daño, es meramente una condición o conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.
• Amenazas: eventos no deseados que pueden desencadenar un incidente en la Organización, causando una degradación de los requerimientos de seguridad en sus activos. Ocurren de forma imprevista en el entorno de la organización.
Se evalúa la probabilidad de ocurrencia de una amenaza:Periodo medio entre ocurrencias Valor en la escala subjetiva- menor que una vez por semana - Frecuencia muy alta- menor que cada 2 meses - Frecuencia alta- menor que un año - Frecuencia media- menor que 6 años - Frecuencia baja- mayor que 6 años - Frecuencia muy baja
1414 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Identificación de riesgos• Probabilidad que una amenaza explote una vulnerabilidad ocasionando una
degradación en alguno de los requisitos de seguridad.
Impacto
IImportante ypoco probable
IIImportante ymuy probable
IIIPoco importante y
poco probable
IVPoco importante aunque
muy probable
0%
100%
0% 100%
Probabilidad
Software base
1; 21; 2
34
5
6; 7; 96; 7; 98 6; 7; 9
10
0
1
2
3
4
5
6
7
0 1 2 3 4 5 6 7
Probabilidad de ocurrencia
Impacto
Ejemplo
1515 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Declaración de aplicabilidad de los controles• Justificación de qué controles son relevantes• Evidencias de qué controles no son relevantes
Los siguientes controles son relevantes:A.5.1.1 Política de la Seguridadde la InformaciónA.7.1.1 Inventario de activosA.10.5.1 Back-upA.10.8.2 Seguridad de media
en tránsito
Estado de Aplicabilidad
1616 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Definición del nivel de seguridad aceptable• La Dirección de la organización tiene que aprobar el nivel de seguridad
aceptable.• Evidencia el compromiso de Dirección en la seguridad de la información.
Impacto
IImportante ypoco probable
IIImportante ymuy probable
IIIPoco importante y
poco probable
IVPoco importante aunque
muy probable
0%
100%
0% 100%
Probabilidad
1717 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Evaluación de controles
• Los controles se valoran individualmente.
• El modelo de evaluación no está definido, pero como mínimo debe evaluarse la efectividad de los controles. La organización puede seleccionar el modelo que mejor se adapte a sus necesidades. • Escala CMM (Capability Maturity Model).• Auditoría (Diseño, Implantación, Automatización, Evidencia y
Efectividad).
• Tipologías de controles:• Disuasorios.• Preventivos.• Detectivos.• Correctivos.
Proceso definido3
Repetible pero intuitivo2
Gestionado y evaluable4
5
1
0
CMM
Optimizado
Inicial / Ad hoc
Inexistente
Estado
1818 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Gestión de riesgos• Estudio y análisis de alternativas y selección de la estrategia a seguir, priorizando
el estudio de los riesgos más elevados. Para tratarlos, se dispone de las siguientes opciones:• Implantar controles.• Aceptar el riesgo.• Eliminar el riesgo.• Transferir el riesgo.
• Como resultado se obtiene “El Plan de Tratamiento de Riesgos” y “El Plan de Actuación”.
1919 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Política de Seguridad de la Información• Aprobada por la Dirección y disponible para toda la organización.
• Habitualmente se trata de un documento de 1 o 2 páginas (como máximo 5 o 6).
• Define las pautas por las que se rige la empresa. Debería contener:
• Historial de Revisiones.
• Ámbito de aplicación.
• Objetivos del negocio.
• Compromiso dirección en la protección de activos.
• Referencia legislativa (LOPD, LSSI…).
• Referencia estatutaria (obligaciones con los accionistas).
• Referencias a políticas y procedimientos que la sustentan (contraseñas, control acceso, backup…).
2020 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Definición del Modelo de Organizativo
Procedimientos
Instrucciones, checklists,
formularios,
Manual de seguridad
Política, alcance, evaluación del riesgo,
Declaración de aplicabilidad
Describe cómo se realizan las tareas y las actividades específicas
Proporciona una evidencia objetiva del cumplimiento de los requisitos del SGSI (cláusula 4.3.3)
Nivel 1Políticas del marco de gestión en
relación a la Cláusula 4.3de la ISO 27001
Nivel 2
Nivel 3
Nivel 4
Describe procesosquién, qué, cuándo, dónde
• Alineado con la norma ISO/IEC 27002:2005
2121 ©2007 Deloitte
©2008 Deloitte. Todos los derechos reservados
Beneficios de la certificación• Evidencia el compromiso de la dirección en la protección de la información.• Establece un modelo organizativo relativo a la gestión de seguridad de la
información.• Aumenta la concienciación y sensibilización del personal en esta materia.• Mejora la seguridad de los sistemas de información que soportan los procesos
operativos de la organización.• Simplifica el establecimiento de políticas, normativas y procedimientos con el
propósito de mantener un nivel de riesgo aceptable .• Automatiza las tareas que permiten conocer los riesgos a los que está expuesta
la información.• Potencia el registro y almacenamiento de las decisiones, procesos y controles ,
manteniendo su trazabilidad .• Ubica a la organización en una dinámica de mejora continua , facilitando la
adaptación a futuros objetivos de negocio i futura legislación aplicable.
22 ©2007 Deloitte©2008 Deloitte. Todos los derechos reservados
¿DUDAS?
23 ©2007 Deloitte©2008 Deloitte. Todos los derechos reservados
Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios.
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).
Copyright © 2008 Deloitte. Todos los derechos reservados. A member firm ofDeloitte Touche Tohmatsu