Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
04/01/2011
1
Modulo 4
Seguridad Integral
Erick [email protected]
Introducción a TRUST *
• Transform your Resources to Understand the Security Threats
• Objetivos– Instrucción acerca de las mejores prácticas de administración y operación de SI.
– Comprensión de la visión de un atacante.
– Comprensión de las amenazas y los mecanismos necesarios para la protección del negocio.
– Autonomía en la implantación y revisión de SI.
* MR GCP Global www.gcpglobal.com
04/01/2011
2
Elementos TRUST
Actualizable Licencia de Metodología en
Procesos y Prácticas de Seguridad
Testers, Analysts & Implementers
Profesionalización de Recursos
Equipo Multidisciplinario Experto y Certificado en Seguridad
Modelo Consulting
& Coaching
Base
Soporte Telefónico Soporte
Contínuo
Atención Express a Incidentes de Seguridad
Soporte a
Emergencias
Refuerzo Early
WarningsAlerta de Amenazas
Elementos de Valor TRUST
• Profesionalización de Recursos– Desarrollo de habilidades de Security Tester y Security Analyst.
– Desarrollo de habilidades para implantar un proceso integral de SI.
– Desarrollo de habilidades de auditor de SI.
– Formación en el proceso operativo de la seguridad corporativa.
04/01/2011
3
Elementos de Valor TRUST
• Metodología de Seguridad Integrada– Licencia anual para el uso y aplicación del método de seguridad integrada.
– Estándares soportados: OSSTMM e ISO 17799.
– Adición constante de nuevas prácticas.
Elementos de Valor TRUST
• Consulting, Coaching and Reinforce Model– Refuerzo estratégico para equipos de SI.
– Punto de actualización permanente.
– Apoyo de un equipo formado por lo mejor de lo mejor.
– Asesoría, prevención, apoyo y soporte en torno a eventos de seguridad.
04/01/2011
4
Elementos de Valor TRUST
• Perfil de Seguridad– Análisis de ubicación en el ciclo de vida de la SI (nivel de madurez).
– Identificación de procesos y sistemas críticos.
– Identifica vulnerabilidades de la infraestructura de TI.
– Identifica puntos de mejora potencial en la cultura, estructura, procesos y operación en función de los niveles de riesgo.
Conceptos Básicos de Seguridad
04/01/2011
5
Seguridad de la Información
• ¿Qué es la Seguridad de la Información?– La protección de todos los elementos que transporten o contengan información y que las organizaciones consideren críticos o que dan soporte a las operaciones de un negocio.
– Aquellas medidas, procedimientos, o controles que proporcionan un grado aceptable de protección a los recursos de información contra modificaciones o destrucción, accidental, intencional y su divulgación no autorizada.
Seguridad de la Información
CONFIDENCIALIDAD
INTEGRIDAD DISPONIBILIDAD
04/01/2011
6
Riesgos a la Información
Violación de e-mails Ingeniería
socialVirus
Fraudes Informáticos
Acceso clandestino a
redesProgramas Bomba
Robo o extravío de notebooks
Interrupción de los servicios Violación de
contraseñasPropiedad de Información
Robo de Información
Softwareilegal
Acceso Indebido a documentos impresos
Mas Riesgos a la Información
InstalacionesDenegación de
ServicioBackups
inexistentesEmpleados deshonestos
Ultimos Parches no instalados
Escalamiento de privilegios
Denegación de Servicios Key loggingPropiedad de
Información
Port scanning
Intercepción de e-mails
04/01/2011
7
Piezas del Modelo de SI
• Seguridad de Operaciones– Visibilidad
– Acceso
– Confianza
• Seguridad Presente– Vulnerabilidad
– Debilidad
– Exposición
– Preocupación
– Anomalía
• Controles– Autenticación
– No Repudio
– Confidencialidad
– Privacidad
– Indemnización
– Integridad
– Seguridad (Safety)
– Usabilidad
– Surpervivencia
– Alarma
Seguridad de Operaciones
• Seguridad que puede ser justificada por razones operativas o de negocio.– Una perspectiva clara de pruebas debe ser establecida.
– Prácticas publicas de la industria, negocio y la reglamentación interna del negocio debe ser investigada para una adecuada evaluación de postura.
Ejemplos:
– Una tienda que abre sus puertas al público para hacer negocios.
– Un e-commerce que depende en una presencia de Internet para hacer negocios.
– Una base militar que requiere una posición fortificada en tierra extranjera para desde ahí lanzar campañas.
04/01/2011
8
Seguridad de OperacionesVisibility
– Perceived existence of a singular entity.
Seguridad de OperacionesAccess
– The assurance that the entity, process, or access point has a business objective
and is managed by a responsible party maintaining privileges.
04/01/2011
9
Seguridad de OperacionesTrust
– Unhindered, unfiltered interaction between two entities, processes, or access
points.
Seguridad Presente
• La Seguridad Presente mide las diversas fallas existentes en configuraciones y procesos – Todas las pruebas realizadas deben de ser verificadas en forma manual.
– Para evitar incertidumbres, los resultados de pruebas de seguridad deben separarse en dos grupos lógicos: identificados y verificados.
Ejemplos:
– Una tienda con pisos húmedos y resbalosos.
– Un e-commerce sin dispositivos de filtrado de paquetes.
– Una base militar sin guardias en las puertas de entrada.
04/01/2011
10
Seguridad PresenteVulnerability
– A flaw inherent in the security mechanism itself which can be reached through
security safeguards that allows for privileged access to the location, people,
business processes, infrastructure, and/or corruption or deletion of data.
Seguridad PresenteWeakness
– A flaw inherent in the platform or environment of which a security mechanism
resides in, a misconfiguration, survivability fault, usability fault, or failure to meet
the requirements of the Security Posture.
04/01/2011
11
Seguridad PresenteExposure
–A flaw inherent in the security mechanism itself or which can be reached through security safeguards which allow for privileged access to privileged or sensitive information concerning data, business processes, people, or infrastructure.
Seguridad PresenteConcern
– A security issue which may result from not following best practices however does
not yet currently yield a failure to the current tests.
04/01/2011
12
Seguridad PresenteAnomaly
– An unidentifiable or unknown element in the security mechanism itself or which can
be reached through security safeguards that currently has no known impact on
security as it tends to make no sense or serve any purpose with the limited
information the tester has.
?!
Controles
• Los controles son medibles a lo largo de una prueba de seguridad y regulan la cantidad de pérdida o daño que puede ser causado. • Todas las pruebas realizadas deben de ser verificadas en forma manual.
Ejemplos:
– Una tienda con investigación de antecedentes de todos sus empleados.
– Un e-commerce usando funciones de logout claramente señalizadas y logins encriptados.
– Una base militar con guardias todo el tiempo caminando trayectos concentricos en las rejas.
04/01/2011
13
ControlesAuthentication
– This is the measure for which every interaction in the process is privileged.
?!
ControlesRepudiation
– This provides assurance that no person, process, or system responsible for a specific interaction can deny involvement in that specific interaction. Furthermore, the extent and depth of that specific interaction is known.
04/01/2011
14
ControlesConfidentiality
–This is the assurance that only the intended systems or parties of specific communication in a process may have access to the privileged information contained in that process.
ControlesPrivacy
– The process itself and all parts of it are known only between intended systems or
parties.
04/01/2011
15
ControlesIndemnification
– This is the use of policy, insurance, contract, and/or disclaimer to provide
assurance of compensation for loss or a damage.
WARNING!
Unauthorized use is forbidden
and will be prosecuted.
ControlesIntegrity
– This is the assurance that the process has finality and cannot be changed, continued, redirected, or reversed without it being known to the systems or parties involved.
04/01/2011
16
ControlesSafety
– This is the means of which a process cannot harm other systems, parties or other processes even through complete failure.
ControlesUsability
–The practice of using security or having security be part of a process, person, product, object, or system is also the necessity for that security to be functional and recognizable in areas where it must be interactive.
04/01/2011
17
ControlesSurvivability
– The provision of automatic and continuous load balancing, redundancy, and recovery in a process, person, or system.
ControlesAlarm
– This is the timely and appropriate notification of activities that violate or attempt to violate any of the Operational Risk Types or Loss Controls.
?!
04/01/2011
18
Seguridad Integral
Mejores Prácticas
• ISO 17799, ISO 27001 (antes BS7799) �– BSI (British Standards Institution)
• COBIT (Control Objectives for Information and related Technology)– ISACA (Information Systems Audit and Control Association)
• OSSTMM (Open Source Security Test Methodology Manual) �– ISECOM (Institute for Security and Open Methodologies)
04/01/2011
19
Equipo de Seguridad de la Información
• Responsabilidades– Velar por la protección de los activos de la empresa.
– Colaborar en la elaboración, diseño e implementación de controles de seguridad a nivel corporativo.
– En conjunto con las áreas de difusión de la empresa contribuir a crear una conciencia o “security awareness” corporativa.
– Cuantificación de los riesgos de Seguridad de la Organización.
– Actualización constante para evitar la obsolescencia.
– Brindar un juicio interno experto para ayudar a otros Departamentos o Áreas.
– Contar con un equipo internamente preparado para la realización de pruebas o auditorias de Seguridad.
Equipo de Seguridad de la Información
• Responsabilidades (cont.)– Participar activamente en el diseño de la estrategia de seguridad de la Organización.
– Validar en forma anual su trabajo con auditorias externas de Seguridad.
– Colaborar en conjunto con el área de sistemas en la atención de incidentes violatorios a las medidas o controles de Seguridad imperantes.
04/01/2011
20
Equipo de Seguridad de la Información
• Recomendaciones– Mantener un calendario de pruebas para todo el año.
– Evitar la explotación de sistemas de ser esto posible.
– Encriptar y salvaguardar todos los datos y descubrimiento.
– No guardarse ningún descubrimiento por razones políticas.
– No discutir los hallazgos afuera de su equipo o de sus mandos directos.
– Obedecer las leyes regionales.
– Obedecer las políticas corporativas (jamás por encima de la ley).
– Proveer descubrimientos internos e información como hechos.
Equipo de Seguridad de la Información
• Recomendaciones (cont.)– Para evitar conflictos políticos el área de seguridad debe de encontrarse fuera de la estructura jerárquica corporativa.
– Se debe reportar directamente a un miembro del board o a alguien con suficiente autoridad para facilitar los cambios e impulsar la efectividad del área.
– Repetidamente documentar todos los problemas no arreglados hasta que éstos se arreglen.
– Señalar lo que no esta arreglado pero no hacer mucho ruido acerca de ello.
– Eficientizar sus labores y operaciones cotidianas dado que el presupuesto generalmente es pequeño.
– Trabajar en equipo.
04/01/2011
21
Proceso de Seguridad
Política Corporativa de SI
Políticas Especificas(Métricas de desempeños)
Estándares -
Procedimientos -Describen el modo
mandatorio de cómo cumplir las métricas de políticas
Estándares –
Lineamientos-Recomendaciones de cómo cumplir las políticas de forma discrecional a fin de cumplir la
métricas
Evidencia probatoria del cumplimiento de
Políticas y Estándares(Evidencia medible)
Auditoria Interna
en profundidad
de evidencia de
la operación del
proceso de
seguridad de
Información
Se siguen líneas de investigación de conformidad de la normatividad vs
Evidencia medible a fin de lograr trazabilidad & rastreabilidad desde
política hasta evidencia
Pruebas de
comprobación de
técnica de
seguridad a nivel
de procesos e
infraestructura
Se comprueba que lo que se requiere por política sea lo que se encuentra operando como proceso y como infraestructura y se
comparan estas métricas contra la evidencia de
operación
Auditoria de Seguridad de Información por un terceroUn tercero verifica el proceso de seguridad de la organización y da fe de los resultados
Revisión de la DirecciónLa dirección revisa el desempeño del proceso de seguridad y emita su compromiso para con éste
Metodología
04/01/2011
22
Metodología
• Lineamientos TRUST �– Licencia
– Comunicación
– Recursos del cliente
– Coaching
– Control de actividades y entregables
• Documentación– Módulo
– Tipo de documento
– Tipo de archivo (extensión)
Metodología
• Documentación– Modulos (TR-mmm-t99)
• GRL - General
• PFL - Perfil de seguridad
• ORG - Plan del proyecto y definición de equipos
• PRM - Seguridad perimetral
• NOR - Normatividad de seguridad
• CUL - Cultura en seguridad
• PRC - Análisis y adecuación de procesos
• ARQ - Arquitectura de seguridad
• AUD - Auditoria de seguridad
04/01/2011
23
Metodología
• Documentación– Tipos de documento (TR-mmm-t99)
• M - Manual
• P - Procedimiento
• C - Consulta
• F - Formato
• A - Apoyo
• E - Ejemplo
Metodología
• Documentación– Tipos de archivo
• MS Word (DOC)
• MS Excel (XLS)
• MS Power Point (PPT)
• MS Project (MPP)
• MS Visio (VSD)
• Acrobat Reader (PDF)
04/01/2011
24
Etapas
Etapas
• Perfil de seguridad• Plan del proyecto y definición de equipos
• Seguridad perimetral
• Normatividad de seguridad
• Cultura en seguridad
• Análisis y adecuación de procesos
• Arquitectura de seguridad
• Auditoria de seguridad
04/01/2011
25
Obtención del Perfil de Seguridad
• Objetivo:– Obtener la ubicación de la Organización en términos de madurez en materia de seguridad de información.
• Beneficios:– Determina el punto de partida de las actividadesTRUST, salvaguardando la inversión y esfuerzos previos de Seguridad de Información.
– Ofrece una perspectiva clara de las áreas de oportunidad donde encaminar los esfuerzos para incrementar los niveles de Seguridad.
Obtención del Perfil de Seguridad
• Actividades:– Aplicación y evaluación de cuestionarios.
– Análisis selectivo de infraestructura de TI.
– Evaluación sinérgica de alta penetración.
– Elaborar reporte de hallazgos.
– Adecuar plan de trabajo para la implantación de seguridad.
04/01/2011
26
Aplicación y Evaluación de Cuestionarios
• Criterio:– Si existen reglas no escritas, dichos lineamientos son inexistentes para efectos de la evaluación.
– Los cuestionarios deben entregarse a los principales responsables del manejo de la información sensitiva de la organización.
• Material:– Security Express Profile (TR-PFL-F02) �
Aplicación y Evaluación de Cuestionarios
04/01/2011
27
Análisis de Infraestructura de TI
• Requerimientos previos TR-PFL-C01 �– Información
– Espacio de trabajo
– Servidores de ataque
• Set de pruebas TR-PFL-M01 �– Pruebas de conectividad
– Sniffing de segmentos de red
– Exploraciones de puertos TCP
– Búsqueda de recursos compartidos
– Pruebas automatizadas (carta responsiva)
– Análisis de la información obtenida
– Elaboración de Resumen de Hallazgos
Evaluación Sinérgica de Alta Penetración
• Objetivo:– Obtener la percepción de la seguridad de la información a nivel ejecutivo.
• Método:– Realizar una sesión sinérgica donde los mismos ejecutivos obtienen a través de técnicas probadas de consultoría organizacional iluminación activa acerca de las áreas de mejora potenciales en el ámbito de la seguridad.
– Clasificación de hallazgos.
04/01/2011
28
Reporte de Hallazgos
Etapas
• Perfil de seguridad
• Plan del proyecto y definición de equipos
• Seguridad perimetral
• Normatividad de seguridad
• Cultura en seguridad
• Análisis y adecuación de procesos
• Arquitectura de seguridad
• Auditoria de seguridad
04/01/2011
29
Plan del Proyecto y Definición de Equipos
• Actividades:– Adecuación del plan de trabajo del proyecto.
– Definición del equipo operativo de seguridad.
– Junta de inicio (kick off).
– Inducción al framework TRUST.
– Definición del equipo ejecutivo de seguridad.
Adecuación del Plan de Trabajo
• Objetivo:– Revisar y establecer el plan de trabajo inicial del proyecto donde se muestran actividades, hitos (milestones), dependencias, duración, fechas estimadas de inicio y terminación, y responsables.
• Material:– Gantt del proyecto (TR-GRL-F01) �
04/01/2011
30
Definición del Equipo Operativo
• Objetivo:– Establecer el personal técnico y administrativo, especialista en aspectos de seguridad de la información, para el desarrollo de las actividades del proyecto.
• Material:– Funciones y conocimientos (TR-ORG-C01) �
– Profesionalización recursos (TR-ORG-C02) �
Junta de inicio (kick off)
• Objetivo:– Participar a todo el personal involucrado en el proyecto de manera directa sobre los alcances, los objetivos, así como las responsabilidades para cada uno de los participantes y convocados o las áreas que estos representan.
• Agenda:– Presentar oficialmente al personal involucrado.
– Presentar el diagrama del proceso TRUST para tener una visión global del proyecto.
– Dar lectura a los lineamientos relevantes de la metodología.
– Exponer los principales hallazgos del diagnóstico de seguridad y el plan de trabajo resultante.
04/01/2011
31
Inducción a TRUST
• Objetivo:– Que el equipo operativo del cliente conozca de forma general cada bloque del framework de forma que identifique el alcance, requerimientos de tiempo, responsabilidades de cada equipo y los resultados por etapa.
Definición del Equipo Ejecutivo
• Objetivo:– Establecer el personal ejecutivo del Cliente para el desarrollo de las actividades del proyecto que requieran información y aprobaciones de alto nivel .
• Material:– Funciones (TR-ORG-C03) �
– Reglas de administración (TR-ORG-E01) �
04/01/2011
32
Etapas
• Perfil de seguridad
• Plan del proyecto y definición de equipos
• Seguridad perimetral• Normatividad de seguridad
• Cultura en seguridad
• Análisis y adecuación de procesos
• Arquitectura de seguridad
• Auditoria de seguridad
Seguridad Perimetral
• Actividades:– Análisis de seguridad perimetral.
– Adecuación de la infraestructura de TI.
04/01/2011
33
Análisis de la Seguridad Perimetral
• Objetivo:– Realizar una evaluación desde el exterior de los niveles de seguridad informática prevalecientes en la infraestructura de cómputo y telecomunicaciones.
• Material:– Análisis de Seguridad Perimetral (TR-PRM-M01)�
– OSSTMM (www.osstmm.org) �
Análisis de la Seguridad Perimetral
• Actividades:– Logística y controles.
– Identificación de sistemas y servicios (sondeo de las redes).
– Grinding de documentos.
– Investigación de vulnerabilidades.
– Pruebas de aplicaciones de Internet.
– Pruebas de sistemas con relaciones de confianza.
– Ruptura de contraseñas.
04/01/2011
34
Adecuación de la Infraestructura de TI
• Objetivo:– Definir el plan de adecuación de los equipos revisados en las pruebas externas efectuadas según las recomendaciones del Dictamen de Seguridad de Información Perimetral.
Etapas
• Perfil de seguridad
• Plan del proyecto y definición de equipos
• Seguridad perimetral
• Normatividad de seguridad• Cultura en seguridad
• Análisis y adecuación de procesos
• Arquitectura de seguridad
• Auditoria de seguridad
04/01/2011
35
Normatividad de Seguridad
• Actividades:– Establecer Estrategia de SI Corporativa.
– Establecer Política de SI Corporativa.
– Desarrollar Políticas Específicas de SI.
– Revisión de Contratos de Confidencialidad.• Empleados
• Terceros
Normatividad de Seguridad
• Proceso General:
Investigación DesarrolloRevisión y
AdecuacionesAprobación Publicación
Equipo Operativo de SI
Equipo Ejecutivo de SI
Otras áreas involucradas
04/01/2011
36
Políticas de Seguridad
• Objetivo:– Definir los lineamientos específicos que regularán la seguridad de información para los distintos ámbitos de TI y de la organización.
• Definición:– Una Política de Seguridad es un enunciado formal de las reglas que debe acatar el personal al que se le ha dado acceso a la tecnología e información de una organización.
Políticas de Seguridad
• Consideraciones:– El personal tendrá diferentes puntos de vista acerca de la necesidad de establecer controles de seguridad.• Un impedimento para la productividad.
• Medidas para controlar su comportamiento.
• Temor de que las políticas sean difíciles de cumplir.
– Los Directivos y Gerentes deben apoyar totalmente las Políticas de Seguridad.
– Ser implementables.
04/01/2011
37
Políticas de Seguridad
• Consideraciones (cont.):– Ser coercibles (que se puedan hacer cumplir).
• Tecnología de seguridad.
• Sanciones administrativas
– Concisas y fáciles de entender.
– Definir claramente áreas de responsabilidad de los usuarios, administradores, gerentes, etc.
– Balancear la protección con la productividad.
– Ser actualizadas regularmente para reflejar la evolución de la organización.
Políticas de Seguridad
• Consideraciones (cont.):– Ser actualizadas regularmente para reflejar la evolución de la organización.
– Enunciar las razones por las que la Política es necesaria.
– En la medida de lo posible, la Política debe enunciar las excepciones que existan a la misma.
– Manejar estricto control de documentos y versiones.
04/01/2011
38
Análisis de Riesgo
• ¿Qué quiero proteger?
• ¿Qué puede pasarle?
• ¿De quién o qué debo protegerlo?
• ¿Cómo puedo protegerlo?
• ¿Cuánto estoy dispuesto a invertir?
• Activos
• Vulnerabilidad
• Amenzas
• Controles
• Cálculo del riesgo y Presupuesto
Políticas Específicas de Seguridad
• Seguridad de TI.
• Administración y Control de Accesos.
• Manejo de Desechos Sensitivos.
• Correo Electrónico.
• Uso de Estaciones de Trabajo.
• Uso de Internet.
• Servidores y Sistemas Operativos.
• Redes y Comunicaciones.
04/01/2011
39
Políticas Específicas de Seguridad
• Administración de Passwords.
• Administración de Respaldos y Archivado.
• Comunicación con Socios de Negocio.
• Manejo y Control de Incidentes.
• Seguridad Física.
• Administración de Conocimiento.
Políticas de Seguridad
Políticas Reglas a seguir. Los estándares, lineamientos y procedimientos tienen como objetivo soportar su implantación.
Estándares Especifican el uso de tecnologías específicas de manera uniforme. Por ejemplo: el uso de un determinado algoritmo de encripción, el tamaño máximo de archivos adjuntos en e-mails, o el uso de un determinado software aplicativo.
Lineamientos Son similares a los estándares pero especifican acciones recomendadas. Por ejemplo: la frecuencia con que se deben revisar los logs de acceso.
Procedimientos Describen los pasos detallados a seguir para una actividad particular.
04/01/2011
40
Políticas de Seguridad
• Ejercicio– Haga una lista de controles que usted incluiría en una política de cuentas de usuario (user-ids) y contraseñas (passwords).
– Identifique los riesgos a la información que implicaría el no cumplir con cada uno de dichos controles.
Etapas
• Perfil de seguridad
• Plan del proyecto y definición de equipos
• Seguridad perimetral
• Normatividad de seguridad
• Cultura en seguridad• Análisis y adecuación de procesos
• Arquitectura de seguridad
• Auditoria de seguridad
04/01/2011
41
Cultura en Seguridad
• Actividades:– Definición de filosofía de seguridad y plan de culturización.
– Formación ejecutiva en cultura de seguridad.
– Campaña de seguridad orientada al personal.
Filosofía de Seguridad y Plan de Cultura
• Objetivo:– Definir los lineamientos generales que habrán de prevalecer el diseño de la campaña de difusión,así como los contenidos a incluir en ella, de forma que se logre potenciar el impacto de la normatividad y controles desarrollados.
• Material:– Taller de Mejores Prácticas (TR-CUL-A01) �.
04/01/2011
42
Filosofía de Seguridad y Plan de Cultura
• Elementos:– Conocer la terminología básica usada en SI y TI.– Identificación de vulnerabilidades y amenazas a la información.
– Prácticas inseguras que representen un riesgo para la SI.
– Que acciones tomar para proteger los activos de información.
– Previsión de la ingeniería social.– Ubicar puntos de mejora potencial para la SI.– Mejores prácticas de SI.
Formación Ejecutiva
• Objetivo:– Permitir al personal del cliente comprender y conocer los fundamentos y conceptos de SI, con el fin de contar con una visión integral de los distintos elementos que forman parte del Modelo Integral de Seguridad con el fin de proteger los activos de información.
• Consideración:– Es necesario que el comité ejecutivo de seguridad apoye esta actividad para conseguir el compromiso de participación de los ejecutivos y gerentes de toda la organización.
04/01/2011
43
Campaña de Seguridad
• Objetivo:– Desarrollar una estrategia para la sensibilización del personal en general en materia de seguridad de la información.
Campaña de Seguridad
• Actividades:– Revisar los lineamientos internos de difusión.– Investigar medios de comunicación internos.– Reunirse con el equipo responsable de la comunicación interna.
– Seleccionar los medios de difusión.– Definir contenido con base en las políticas de seguridad y mejores prácticas.
– Diseñar la campaña apoyándola con: elementos visuales, mascotas, boletines internos, material promocional interno, eventos especiales e imagen corporativa.
04/01/2011
44
Campaña de Seguridad
• Actividades:– Incorporar elementos de seguridad al proceso de inducción de empleados.
– Definición de mecanismos de control y validación de la efectividad de la campaña en coordinación con el área responsable
– Evaluar la necesidad de contar con la implementación de un proceso por separado de “Security Change Management” (no forma parte del proceso TRUST).
– Arranque de la campaña.
Difusión de la Seguridad
• Ejercicio– Formar equipos de trabajo.
– Con base en las prácticas inseguras que usted percibe en su organización, haga una lista de al menos cinco mensajes que incluiría en una campaña de difusión de la seguridad.
– Mencione los medios por los que haría llegar dichos mensajes al personal de la empresa de forma práctica y efectiva.
04/01/2011
45
Etapas
• Perfil de seguridad
• Plan del proyecto y definición de equipos
• Seguridad perimetral
• Normatividad de seguridad
• Cultura en seguridad
• Análisis y adecuación de procesos• Arquitectura de seguridad
• Auditoria de seguridad
Análisis y Adecuación de Procesos
• Actividades:– Aseguramiento de procesos.
– Elaboración de procedimientos para soporte de políticas de seguridad.
– Adecuación de la metodología para la liberación de nuevos sistemas.
04/01/2011
46
Aseguramiento de Procesos
• Objetivo:– Identificar los controles a implantar a los procesos críticos de negocio con base en el análisis de procesos y detección de riesgos inherentes.
• Material:– Manual de Análisis y Aseguramiento de Procesos (TR-PRC-M01)�.
Aseguramiento de Procesos• Actividades:
– Calendarización de entrevistas.
– Entrevistas con responsables de área.• Matriz de Clasificación de la Información (TR-PRC-F01)�.
• Cuestionario para Entrevista de Riesgos (TR-PRC-F02)�.
– Diagrama de procesos.• Ejemplo de Diagrama de Procesos (TR-PRC-E01) �.
– Definición de controles• Controles a Implantar de Seguridad (TR-ARQ-E01)�.
• Matriz de Procesos contra Controles (TR-PRC-E02) �.
– Revisión con los responsables.
04/01/2011
47
Procedimientos de Soporte a Políticas
• Objetivo:– Desarrollar los procedimientos de operación para soportar cada una de Políticas de Seguridad desarrolladas por el equipo operativo de seguridad y aprobadas por el comité ejecutivo de seguridad.
• Material:– Ejemplos de Procedimientos de Soporte a Políticas (TR-PRC-E11 a 25)�.
Procedimientos de Soporte a Políticas
• Actividades:– Verificar lineamientos corporativos para elaboración de procedimientos.
– Elaboración de procedimientos muestra.
– Revisión con las áreas responsables de sistemas y negocio.
– Seguimiento a la elaboración.
– Aprobación de procedimientos.
– Publicación de los procedimientos.
– Seguimiento a la implantación.
04/01/2011
48
Metodología de Liberación de Sistemas
• Objetivo:– Documentar la metodología para el desarrollo y liberación de nuevos sistemas incluyendo los requerimientos de evaluación de la Seguridad.
• Material:– Diagrama Metodología Desarrollo (TR-PRC-E03) �.
– Inducción Metodología Desarrollo (TR-PRC-A01) �.
Metodología de Liberación de Sistemas
• Actividades:– Identificar requerimientos de seguridad a incluir en la metodología con base en las políticas internas y mejores prácticas de seguridad.
– Programar sesiones de trabajo con los responsables de las áreas de desarrollo de sistemas para analizar la metodología actual y sugerida.
– Desarrollar o adecuar la documentación de la metodología.
– Aprobar y publicar la nueva metodología.
– Implantar la nueva metodología.
04/01/2011
49
Metodología de Liberación de Sistemas
• Ejercicio– Formar equipos de trabajo.
– Definir controles aplicables a las siguientes etapas del desarrollo de sistemas:• Requerimiento
• Análisis y Diseño
• Desarrollo o Construcción
• Pruebas
• Pase a producción
Etapas
• Perfil de seguridad
• Plan del proyecto y definición de equipos
• Seguridad perimetral
• Normatividad de seguridad
• Cultura en seguridad
• Análisis y adecuación de procesos
• Arquitectura de seguridad• Auditoria de seguridad
04/01/2011
50
Arquitectura de Seguridad
• Actividades:– Implantación de controles automáticos.
– Diseño conceptual de arquitectura de seguridad.• Requerimientos técnicos (RFPs).
– Evaluación de herramientas de seguridad acorde a requerimientos.• Desarrollo de procedimientos operativos.
• Implantación.
Implantación de Controles Automáticos
• Actividades:– A partir de la Definición de Controles de Seguridad, evaluar las tecnologías que cubran en mayoría los requerimientos.
– Crear una matriz de evaluación que defina los parámetros de éxito.
– Definir los escenarios de evaluación.
– Definición e implantación del ambiente de pruebas (lo mas cercano posible a ambiente deproducción).
– Implantación o ejecución de la herramienta en el ambiente de pruebas.
04/01/2011
51
Implantación de Controles Automáticos
• Actividades (cont.):– Medición de resultados e impacto al ambiente de producción simulado.
– Retroalimentación de procedimientos de instalación.
– Retroalimentación de procedimientos de soporte a controles automatizados.
– Una vez realizada la evaluación, crear o actualizar los procedimientos de usuario para los nuevos controles.
Diseño Conceptual de Arquitectura
• Actividades:– Calendarizar reuniones con los responsables de la Infraestructura de Comunicaciones, Servidores y Operaciones.
– Durante las reuniones se analizará:
• Diagramas de redes.
• Lista de elementos de seguridad instalados.
• Documentación de los elementos de seguridad.
04/01/2011
52
Diseño Conceptual de Arquitectura
• Actividades (cont.):• Incorporación de elementos de seguridad faltantes de acuerdo a lo detectado en las revisiones de la infraestructura y a los controles automáticos definidos.
• Discusión del modelo con los responsables de Infraestructura para su afinación o depuración.
– Elaborar documentos RFP (Request for Proposal) para cada una de las tecnologías propuestas.
– Iniciar el proceso de adquisición con base en los RFPs generados.
Evaluación de Herramientas de Seguridad
• Actividades:– Definir conjunto de herramientas a evaluar.
– Crear una matriz de evaluación que defina los parámetros de éxito.
– Definir los escenarios de evaluación.
– Definición e implantación del ambiente de pruebas (lo mas cercano posible a ambiente deproducción).
– Implantación o ejecución de la herramienta en el ambiente de pruebas.
– Medición de resultados e impacto al ambiente de producción simulado.
04/01/2011
53
Evaluación de Herramientas de Seguridad
• Actividades (cont.):– Retroalimentación de procedimientos de instalación.
– Una vez realizada la evaluación, crear los procedimientos de usuario para los nuevos controles.
– En caso de ser necesario, desarrollar la estrategia de capacitación que permitirá la adopción de las nuevas tecnologías.
Etapas
• Perfil de seguridad
• Plan del proyecto y definición de equipos
• Seguridad perimetral
• Normatividad de seguridad
• Cultura en seguridad
• Análisis y adecuación de procesos
• Arquitectura de seguridad
• Auditoria de seguridad
04/01/2011
54
Auditoria de Seguridad
• Actividades:– Verificación de cumplimiento.
– Análisis de contraste.
Verificación de Cumplimiento
• Objetivo:– Definir el Plan y Calendario de Auditorias para la verificación periódica del cumplimiento de cada uno de los controles de seguridad establecidos.
• Material:– Puntos de Revisión de Auditoria (TR-AUD-E01) �.
04/01/2011
55
Verificación de Cumplimiento
• Objetivo:– Identificar de forma precisa el cambio resultante del proceso de implantación TRUST, contrastando la situación prevaleciente al inicio con aquella obtenida el final del proceso.
• Material:– Security Express Profile (TR-PFL-F02) �
Ejemplo de Organigrama de Seguridad
Responsable de la Producción: Realiza las funciones de Administración de la Seguridad� Monitoreo y alertamiento
Call Center: Realiza algunas funciones de Administración de la
Seguridad
� Revocación de certificados.� Desbloqueo de password.� Soporte al usuario final
Ingeniería de Seguridad
Gerencia de Seguridad: Realiza funciones de Administración de la Seguridad y Seguridad de la
Infraestructura
�Administra el acceso al sistema� Realiza check list de seguridad� Mantiene las normas y políticas �Adminstra PKI
Calidad: Realiza las funciones de Cumplimiento y Recuperacion de Desastre
� Proceso de auditoría�Administración del plan de continuidad del negocio�Administra el proceso de escalamiento
Auditoría Interna
Dentro del proceso de administración de seguridad, aporta su experiencia y recomendaciones a las funciones de seguridad
Responsable de la Oficina de Seguridad de la Información: Realiza las funciones de Seguridad de la Infraestructura
Gerencia de
Desarrollo
Gerencia de
TelecomunicacionesGerencia de
Internet
Gerencia de
Bases de Datos
Gerencia de
Sistemas
Operativos