Seguridad de la Información

 NORMA ISO 17799 / ISO 27001

Identificación de los requerimientos específicos de la norma en sus 11 dominios.  

Comprender el proceso de adecuar la compañía para lograr la Certificación ISO 27001.

Objetivos

Implementación de medidas de seguridad de acuerdo con los requerimientos de la Norma ISO 17799 / ISO 27001:

QUE ES SEGURIDAD DE LA INFORMACIÓN?

Por que?

Reconocer los riesgos y su impacto en los negocios

INTERNET

Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

Algunos datos

11:22 | EL GUSANO

Un nuevo virus se esconde en tarjetas navideñas

Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.

ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.

Algunos hechos

12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un virus

La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.

La pregunta secreta del caso "Paris Hilton" ------------------------------Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".

Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.

Libertad, control y responsabilidad en Internet

Diario judicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un

mensaje injurioso anónimo ingresado en un libro de visitas, de libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro precedente para aquellos que contengan foros y

libros de visitas abiertos al público.

Algunos hechos

Algunos datos

La seguridad de redes, una prioridad para las empresas

Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo con los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad es un tema "de extrema prioridad".

NEGOCIOS

Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información

Algunos datos

No existe la “verdad absoluta” en Seguridad de la Información.

No es posible eliminar todos los riesgos.

La alta Gerencia está convencida que la Seguridad de la Información no hace al negocio de la compañía.

Cada vez los riesgos y el impacto en los negocios son mayores.

Algunas premisas

En mi compañía ya tenemos seguridad porque ...

... implementamos un firewall.

... contratamos una persona para el área.

... en la última auditoría de sistemas no hicieron observaciones importantes.

... ya escribí las políticas.

... hice un penetration testing y ya arreglamos todo.

Algunas realidades

En general todos coinciden en:

El 80% de los incidentes/fraudes/ataques son efectuados por personal interno

Fuentes:The Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTSANS

Algunos datos

Según una encuesta del Departamento de Defensa de USA:

Sobre aprox 9000 computadores atacados, 7,900 fueron dañados. 400 detectaron el ataque. Sólo 19 informaron el ataque.

Algunos datos

• en formato electrónico / magnético / óptico

• en formato impreso

• en el conocimiento de las personas

Qué Información proteger

El capital más valioso en las organizaciones

Principales riesgos y su impacto en los negocios

Captura de PC desde el exterior

Violación de e-mailsViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e-mails

VirusFraudes informáticos

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones

Destrucción de equipamiento

Programas “bomba”

Acceso indebido a documentos impresos Software ilegal

Agujeros de seguridad de redes conectadas

Falsificación de información para terceros

Indisponibilidad de información clave

Spamming

Violación de la privacidad de los empleados

Ingeniería socialPropiedad de la Información

Mails “anónimos” con información crítica o con agresiones

Password cracking

Man in the middle Exploits

Denegación de servicio

Escalamiento de privilegios

Replay attackKeylogging

Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentesÚltimos parches no instalados

Se puede estar preparado para que ocurran lo menos

posible:

sin grandes inversiones en software

sin mucha estructura de personal

Tan solo:

Ordenando la Gestión de Seguridad

Principales riesgos y el impacto en los negocios

NORMAS APLICABLES

Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las

Normas Internacionales aplicables

Information Systems and Audit Control Association - ISACA: COBIT

British Standards Institute: BS

International Standards Organization: Normas ISO

Departamento de Defensa de USA: Orange Book / Common Criteria

ITSEC – Information Technology Security Evaluation Criteria: White Book

Sans Institute, Security Focus, etc

Sarbanes Oxley Act, Basilea II, HIPAA Act,

Leyes NACIONALES

OSSTMM, ISM3, ISO17799:2005, ISO27001

BS 25999

DRII

Normas y Metodologías aplicables

Norma ISO 27001Gestión de Seguridad

   ISO9001 – Calidad ISO14001 – Ambiental

ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)

ISO 27001 – CERTIFICACION de Seguridad de la Información

Normas de Gestión ISO

Está organizada en capítulos (dominios) en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:

GESTION DE SEGURIDAD DE LA INFORMACION(SGSI – ISMS)

Alcance

Recomendaciones para la gestión de la seguridad de la información

Base común para el desarrollo de estándares de seguridad

Norma ISO 17799 / 27001 Seguridad de la Información

Qué cambió de la versión anterior

Norma ISO 17799: 2005 –

ISO 27001

NUEVA SECCION

antes 10 ahora 11 Dominios

ISO17799:2000 ISO17799:2005

1. Alcance 1. Alcance

2. Términos y definiciones 2. Términos y definiciones

    3. Estructura del Estándar

    4. Evaluación y Manejo de los Riesgos

3. Política de Seguridad 5. Política de Seguridad

4.Organización de la Seguridad de la Información

6. Organización de la Seguridad de la Información

5.Clasificación y Control de Activos

7. Administración de Activos

6. Seguridad del Personal 8. Seguridad de los Recursos Humanos

7. Seguridad Física y Ambiental 9. Physical & Environmental Security

8.Administración de las Comunicaciones y Operaciones

10. Administración de las Comunicaciones y Operaciones

9. Administración de Accesos 11. Administración de Accesos

10.Desarrollo y Mantenimiento de Sistemas

12. Adquisición , Desarrollo y Mantenimiento de Sistemas de Información

    13. Administración de Incidentes de Seguridad de la Información

11.Administración de la Continuidad del Negocio

14. Administración de la Continuidad del Negocio

12. Cumplimiento 15. Cumplimiento

3: Estructura del Estandar

• Detalle para asistir al uso y aplicación más ameno y fácil del estándar.

4: Risk Assessment & Treatment

• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES.

• La necesidad de una continua evaluación y administración de los RIESGOS

• Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS

Hay dos SECCIONES GENERALES nuevas

BS7799-2

Fue revisado y se ha convertido en la nueva

ISO 27001Octubre 15, 2005

De la misma forma se espera que la ISO 17799 se convierta en ISO 27002

NACE LA FAMILIA DE LAS NORMAS ISO 27000

BS ISO/IEC 27000 – Fundamentos y Vocabulario

2008/2009

BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos

Publicado en Octubre  2005

BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información

Anteriormente ISO/IEC 17799:2005Cambio a 27002 en el  2007 (solo se fue un cambio de número)

BS ISO/IEC 27003 – Guía de Implementación

2008/2009

BS ISO/IEC 27004 – Métricas y Medidas 2007/2008

BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información

2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006

BS ISO/IEC 27006 – Versión Internacional de EA7/03

Se decidirá durante 2Q06 si este será el número

27007…...27011 Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)

NACE LA FAMILIA DE LAS NORMAS ISO 27000

En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la BS7799-3. Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799-3, etc. 

Preservar la:

confidencialidad:accesible sólo a aquellas personas autorizadas a tener acceso.

integridad:exactitud y totalidad de la información y los métodos de procesamiento.

disponibilidad:acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

Norma ISO 17799 Seguridad de la Información

Cómo es un Proceso de Certificación ISO 27001 de

una Organización?

QUÉ ES CERTIFICAR?

El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.

PORQUE CERTIFICAR?

Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN.

Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.

0

250

500

750

1000

1250

2002 2003 2004 2005

Empresas certificadas en el mundo

QUE ORGANIZACIONES PUEDEN CERTIFICAR?

Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, está en condiciones y habilitada para CERTIFICARSE.

QUIENES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION?

Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado.Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.

COMO ES EL PROCESO DE CERTIFICACION?

El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior.

Luego se convoca al Tercero para efectuar la CERTIFICACION.

Los principales PASOS son:

•Preparar la Documentación Soporte a Presentar

•Efectuar la PREAUDITORIA para conocer el GAP Analysis respecto al Estándar

•Identificar conjuntamente:

•las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar)•las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación)•las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar)

•Implementar las MEJORAS y Generar los Soportes Documentales correspondientes

•Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización)

PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION?

Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.

Cómo se implementa un Programa de Gestión de

Seguridad de la Información (SGSI - ISMS)?

Planificar

Hacer

Actuar

Verificar

SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Está basado en el Modelo utilizado por las NORMAS ISO en general:

Principales PASOS a seguir en la IMPLEMENTACION del SGSI

Implementación del SGSI en 12 PASOS:

1) Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología

2) Definir una Política GENERAL del SGSI

Qué es una Política?

• Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación.

• Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras.

• Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización.

• Son reglas de negocio de obligatorio cumplimiento debido a que son el equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente.

• Son diferentes a los controles.

• No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL

3) Definir una METODOLOGIA para la CLASIFICACION de los RIESGOS

4) Identificar y Valorar los riesgos

5) Identificar y definir ALTERNATIVAS para el tratamiento de riesgos:

• Aplicar controles• Aceptar los riesgos• Evitar riesgos• Transferir los riesgos.

High

Low

High

Frequencia

Imp

acto

12

3

4

5

6

11

7

8

9

12

13

10

15

14

19

20

21

22

16

2324

25

26

1018

17

Mapa de Riesgos Mapa de Riesgos

6) Seleccionar objetivos de control y controles específicos a IMPLEMENTAR

EVIDENCIAS

7)Preparar una DDA Declaración de Aplicabilidad (qué CONTROLES se van a IMPLEMENTAR)

8)Obtener la aprobación de la Dirección de:• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos

9) Formular un plan CONCRETO y DETALLADO para:• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento y concientización.• Gestionar el SGSI• Procesos de detección y respuesta a los

incidentes de seguridad

10) Implementar los CONTROLES• En los Procesos

11)Realizar Revisiones Periódicas

12)Implementar las mejoras identificadas en el SGSI

Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI

MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación

Cómo establecer los requerimientos de SeguridadEvaluar los riesgos:  

• se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.  

Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: 

• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.  

Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

Contexto Legal

Código Civil de 1887 Código de Comercio de 1971 Ley 23 de 1982 Articulo 15, 20 y 333 de la Constitución

Política Decisión 351 de 1993Decreto 1900 de 1990 Ley 527 de 1999

Áreas de Contingencias Jurídica

• Protección de Datos Personales

• Contratación Informática

• Propiedad Intelectual

• Servicios de Comercio Electrónico

• Aspectos Laborales en entornos Informáticos

• Incidentes Informáticos

• Telecomunicaciones

• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;

• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;

• apoyo y compromiso manifiestos por parte de la gerencia;

• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;

• comunicación eficaz a todos los gerentes y empleados;

Factores críticos del éxito

• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;

• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de medición

que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.

Factores críticos del éxito

Alejandro Hernández, CBCPAlejandro Hernández, CBCP

(571) 758 6955(571) 758 6955

Alejandro.hernandez@isec-global.comAlejandro.hernandez@isec-global.com