Estándares de Seguridad Informática

1ra Jornadas de Actualización Tecnológica UNEFA

Prof. Manuel Mujica

17 de Julio 2009

Contenido

● ESTADÍSTICAS

● ESTÁNDARES, METODOLOGÍAS Y BUENAS PRÁCTICAS PARA LA SEGURIDAD INFORMÁTICA

● ISO/IEC 27001:2005

● NATURALEZA Y DINÁMICA DEL ISO/IEC 27001 : 2005

¿Su base de datos está protegida de manos criminales?

¿Los activos de su empresa¿Los activos de su empresa han sido inventariados yhan sido inventariados y tasados?tasados?

Estadísticas

La firma PriceWaterhouseCoopers entrevistó a más de 7.000 Ejecutivos CIO y CSO. Cuyos resultados se pre-sentan a continuación.

44% Planean aumentar los gastos de la seguridad en el próximo año.

59% Tienen una estrategia de seguridad de la informa-ción.

Solo 24% clasifican el valor de los datos como parte de las políticas de seguridad.

The Global State of Information Security – 2008 - http://www.pwc.com

Estadísticas

Plan de Continuidad

Cumplimiento Políticas

Cumplimiento Regulatorio

0 0,1 0,2 0,3 0,4 0,5 0,6

Plan de Continuidad del Negocio y Cumplimiento de Políticas

The Global State of Information Security – 2008 - http://www.pwc.com

¿Quién está a cargo de seguridad de la información?

En las grandes empresas el 44% informó que los CIO

En las empresas medianas el 36% a mediados informó que los CIO.

The Global State of Information Security – 2008 - http://www.pwc.com

¿Cómo aprenden las organizaciones de incidentes de seguridad?

39 % Firewall o servidor de archivos y registros

37% Detección de intrusos / sistema de prevención.

36% a través de Colegas

The Global State of Information Security – 2008 - http://www.pwc.com

Qué herramientas de seguridad de TI utilizan las organizaciones?

Tecnología 2007 2008

Malicious­code detection tools     80% 84%

Application­level firewalls  62% 67%

Intrusion detection  59% 63%

Intrusion prevention  52% 62%

Encryption Database  45% 55%

Encryption Laptop  40% 50%

Encryption Backup tape  37% 47%

Automated password reset  40% 45%

Wireless handheld device security 33% 42%

The Global State of Information Security – 2008 - http://www.pwc.com

¡No es la ignorancia !

Origen de Incidentes 2007 2008

Empleados 48% 34%

Hackers 41% 28%

Antiguos Empleados 21% 16%

Socios de Negocios 19% 15%

Otros 20% 8%

Clientes 9% 8%

Terrorismo 6% 4%

The Global State of Information Security – 2008 - http://www.pwc.com

Su organización como ve la seguridad de la información.

¿Cómo proceso o cómo producto?

IS0/IEC 27000

X.805 de UIT-T

TCSEC (Orange Book)

ITSEC (White Book)

FIPS 140 (Federal Information Precessing Systems 140)

CC (Common Criteria)

COBIT (Control Objectives for Information and Related Technology)

ITIL (Information Technology Infrastructure Library)

OSSTMM (Open Source Security Testing Methodology Manual)

Estándares, Metodologías y Buenas Prácticas para la Seguridad Informática

ISO/IEC 27001:2005

ISO/IEC JTC1/SC 27/WG 1

Joint Technical Committee 1

ISO/IEC JTC 1

… …

WG1 WG2 WG3

Sub Commite 27

Grupo de Trabajo 1ISO 17799:2005

ISO 27000

International Organization for Standardization

International Electrotechnical Commission

SC27

ISO 27001:2005-SISTEMA DEGESTIÓN DE

SEGURIDAD DEINFORMACIÓN

ISO / IEC 17799 : 2005 Código de práctica de seguridad en la gestión de la información – Basado en BS 7799 – 1 : 2000..Recomendaciones para buenas prácticas No puede ser utilizado para certificación

ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información.Es utilizado para la certificación

Al inicio del 2009 habían 5190 empresas certificadas en el mundo.

Fuente: http://www.xisec.com http://www.iso27001certificates.com/

FAMILIA DEESTANDARES

ISO 27000

ISO/IEC27005SGSI

Lineamiento“Gestión del Riesgo”

ISO/IEC27004

Lineamiento “Métrica y Mediciones”

ISO/IEC27003

“Lineamientos para la Implantación”

ISO/IEC27002:2007

(ISO 17799:2005)

ISO/IEC27001:2005

Requerimientos

ISO/IEC 27000SGSI

“Fundamentos y vocabulario”

INFORMACIÓN “La información es un activo, que tal como otros

importantes activos del negocio, tiene valor para

una empresa y consecuentemente requiere ser

protegida adecuadamente”.

ISO 17799:2005

CICLO DE VIDADE LA

INFORMACIÓN

La información puede ser:La información puede ser:

CREADA ALMACENADA ¿DESTRUIDA?

PROCESADA TRANSMITIDA

PERDIDA CORROMPIDA

UTILIZADA – Para propósitos apropiados o inapropiados

TIPOS DEINFORMACIÓN

IMPRESA O ESCRITA

“……. Cualquier forma que tome la información, o los medios que se utilicen para compartirla o almacenarla, siempre debe estar apropiadamente protegida”.

ISO 17799 : 2000

ALMACENADA ELECTRÓNICAMENTE

TRANSMITIDA POR MEDIOS ELECTRÓNICOS

PRESENTADA EN VIDEOS CORPORATIVOS

VERBAL – CONVERSADA FORMAL/INFORMALMENTE

¿Qué es seguridad de la Información?

¿QUÉ ESSEGURIDAD DEINFORMACIÓN?

Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los “backups”.

Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo.

La seguridad de información se caracteriza por la preservaciónde:

CONFIDENCIALIDAD : La información está protegida de personas no autorizadas.

INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas.

DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran.

ENFOQUE PARAESTABLECER

REQUERI-MIENTOS DESEGURIDAD

ISO 17799:2005

Existen tres fuentes para que una organización identifiquesus requerimientos de seguridad:

La primera fuente deriva de la evaluación de los riesgos que afectanla organización. Aquí se determinan las amenazas de los activos, luego se ubican las vulnerabilidades y se evalúa su posibilidad de ocurrencia, y se estiman los potenciales impactos.

La segunda fuente es el aspecto legal.|Aquí están los requerimientos contractuales que deben cumplirse.

La tercera fuente es el conjunto particular de principios,objetivos y requerimientos para procesar información, que la empresa ha desarrollado para apoyar sus operaciones.

BS 7799-2:2002ISO 27001:2005 ISO 27001:2005 BS 7799-2:2002

11 cláusulas

39 objetivos de control

133 controles específicos

10 cláusulas

36 objetivos de control

127 controles específicos

NATURALEZA Y DINÁMICA DELISO 27001 : 2005

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MODELO PDCAAPLICADO A

LOS PROCESOSDEL SISTEMA

DE GESTIÓN DESEGURIDAD DEINFORMACIÓN

SGSI

PARTESINTERESA-

DAS

REQUERIMIEN-TOS

YEXPECTATIVAS

DE LASEGURIDAD

DE INFORMA-CIÓN

PARTESINTERESA-

DAS

SEGURIDADDE

INFORMACIÓNMANEJADA

ESTABLECEREL SGSI 4.2

IMPLEMENTARY OPERAR ELEL SGSI 4.2.2

MANTENER YMEJORAR

EL SGSI 4.2.4

MONITOREARY REVISAR

EL SGSI 4.2.3

PLAN

DO

CHECK

ACT

4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad7.0 Revisión gerencial 7.1 Auditorias internas

8.0 Mejoramiento del SGSI 8.1 Mejoramiento continuo 8.2 Acción correctiva 8.3 Acción preventiva

Desarrollar,mantenery mejorar

el ciclo

ESTRUCTURADE LA

DOCUMEN-TACIÓN

REQUERIDA

Descripción de procesos,quién hace qué y cuándo

Describe cómo las tareas y actividades específicas se realizan

Proveen evidencia objetiva de la conformidad con el SGSI

NIVEL INIVEL IEnfoque de la gerenciaEnfoque de la gerencia

NIVEL II

NIVEL III

NIVEL IV

Manual de Seguridad

Procedimientos

Instrucciones de trabajo

Registros

Política, alcance,

evaluación delriesgo

enunciado deaplicabilidad

POLÍTICASEN ELSGSI “Orientaciones o directrices que rigen la actuación de

una persona o entidad en un asunto o campo determinado”. Real Academia Española.

Aspectos a considerar al elaborar políticas

Qué será protegido Cómo será gestionadaQuién es responsable Cuándo toma efectoDónde en la organización Por qué ha sido creada

RESUMEN

La seguridad de la información protege la información de una serie de amenazas para que así la empresa pueda continuar operando, minimizar daños a la gestión comercial y maximizar el retorno a la inversión y oportunidades de negocios.

Cada organización tendrá un conjunto de requerimientos diferentes de control y de niveles de confidencialidad, integridad y disponibilidad.

Gracias por su AtenciónGracias por su Atención

“Si tú tienes una manzana, yo tengo una manzana y las intercambiamos: ...seguiremos teniendo una manzana cada uno.

...Pero si tú tienes una idea, yo tengo una idea y las intercambiamos: cada uno de nosotros tendrá dos ideas”.

—Bernard Shaw

El conocimiento aumenta con su uso, El conocimiento aumenta con su uso, se multiplica cuando se compartese multiplica cuando se comparte

http://mmujica.wordpress.comhttp://mmujica.wordpress.com

CONTACTO:email: manuel@ubuntu.org.veHuella GPG: AD68 F6CC 76D1 EDA0 7BA4 130A 7DAE CCC0 B223 3B42

Ubuntu User #4728Linux User #439689

Blog's: http://pide.wordpress.com http://mmujica.wordpress.com http://uclaredes.wordpress.com http://www.ubuntu-ve.org

http://creativecommons.org/licenses/by/3.0/deed.es