37
SEGURIDAD EN TELECOMUNICACIONES Ing. Nicanor Sachahuaman Martínez CISM, ITIL, COBIT, CBCP, MCSE [email protected] 2. FUNDAMENTOS DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN ISO27001 -27002

CLASE2 Fundamentos SGSI

Embed Size (px)

Citation preview

Page 1: CLASE2 Fundamentos SGSI

SEGURIDAD EN TELECOMUNICACIONES

Ing. Nicanor Sachahuaman Martínez

CISM, ITIL, COBIT, CBCP, MCSE

[email protected]

2. FUNDAMENTOS DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN ISO27001 -27002

Page 2: CLASE2 Fundamentos SGSI

1

ESTÁNDAR ISO - 27001

•Este estándar ha sido elaborado con el objetivo de brindar un modelo para el establecimiento y gestión eficaces de un sistema de gestión de seguridad de la información (SGSI). El diseño e implementación de un SGSI depende según el estándar de las necesidades y objetivos de cada negocio, así que aunque para todo negocio aplica la norma, para una situación simple requiere de una solución de SGSI simple.

•El estándar esta alineado con el ISO 9001:2010 y con el

ISO 14001:2007, para poder sostener una implementación y operación consistente e integrada con los estándares de gestión relacionados.

Page 3: CLASE2 Fundamentos SGSI

ESTÁNDAR ISO - 27001

•El modelo esta basado en el célebre ciclo Shewhart (Plan,Do, Check, Act) o PHVA (Planear, Hacer, Verificar y Actuar).

Page 4: CLASE2 Fundamentos SGSI

Componentes principales de un

SGSI (ISMS)

Las

actividades

continuament

e circulan

alrededor del ciclo PDCA

PLAN-DO-

CHECK-ACT

Page 5: CLASE2 Fundamentos SGSI

ESTABLECIMIENTO DEL

SGSI • PLANIFICAR (Establecer el SGSI):

Establecer los procesos, la política, los objetivos, el alcance, la identificación y

valoración de riesgos de seguridad de la información, seleccionar los controles para

mitigar los riesgos, preparar una declaración de aplicabilidad y un plan de tratamiento

de riesgos para ser aprobados por la gerencia.

Page 6: CLASE2 Fundamentos SGSI

IMPLEMENTACIÓN DEL SGSI

• HACER (Implementar y operar el SGSI):

Implementar los controles que han sido seleccionados y promover las acciones

necesarias para gestionar los riesgos de seguridad de la información.

Page 7: CLASE2 Fundamentos SGSI

MONITOREAR Y REVISAR EL SGSI

• VERIFICAR (Monitorear y revisar el SGSI):

Evaluar y, en donde sea aplicable, medir el desempeño del proceso contra la

política y los objetivos de seguridad y la experiencia práctica, y reportar los

resultados a la dirección, para su revisión.

Page 8: CLASE2 Fundamentos SGSI

MANTENER Y MEJORAR EL SGSI

• ACTUAR (Mantener y mejorar el SGSI):

Emprender acciones correctivas y preventivas con base en los resultados de

la revisión por la dirección, para lograr la mejorar continua del SGSI.

Page 9: CLASE2 Fundamentos SGSI

8

ISO 27002 (17799)

•La ISO 27002 provee un conjunto de guías y controles que comprenden las mejores prácticas en seguridad de la información, y que pueden ser utilizadas como base para desarrollar una política de seguridad informática.

•La ISO 27002 define 133 controles los cuales son

agrupados dentro de 36 objetivos de control y 11 dominios que son utilizados como un “checklist” de seguridad para asistir en la evaluación de la política de seguridad y controles existentes dentro de una organización.

Page 10: CLASE2 Fundamentos SGSI

ISO /IEC

27031:2011

“Guías para la preparación de las

tecnologías de información y

comunicación para la continuidad del

negocio”

Concepto Familia ISO 27K mas utilizados en las organizaciones:

Page 11: CLASE2 Fundamentos SGSI

• ISO 27001:2007: establece los requisitos (shall) para

construir un Sistema de Gestión de Seguridad de

la Información, ISMS (SGSI) basado en:

Alcance

Identificación y evaluación de riesgos

Elección de controles para tratamiento de riesgos

Declaración de Aplicabilidad

Modelo PDCA (PHVA) de mejoramiento continuo

Un Análisis Gap permite verificar el cumplimiento de

los controles ISO 27002.

La ISO 27001 es auditable y certificable

Que es ISO 17799 / BS 7799 / UNE 71502 ?

Page 12: CLASE2 Fundamentos SGSI

1995

1998

BS 7799 Parte 1

BS 7799 Parte 2

Estándar Sueco SS 62 77 99 Parte 1 y 2 1999 Nueva versión de BS 7799 Parte 1 y 2

Diciembre 2000 ISO/IEC 17799:2000

2001 Revisión de BS 7799-2

Septiembre 2002 Nueva versión de BS 7799-2:2002 revisada y corregida

UNE 71502 Marzo 2004

HISTORIA DE LA NORMA Junio 2005 ISO 17799:2005

Page 13: CLASE2 Fundamentos SGSI
Page 14: CLASE2 Fundamentos SGSI

Certificaciones

•ICONTEC, AENOR, Berau Veritas, SGS, TÜVRHEINLAND, etc. están facultadas para otorgar certificaciones de ISO 27001

Page 15: CLASE2 Fundamentos SGSI

ISO 27002 - Tecnología de la Información – Técnicas de seguridad – Código

para la práctica de la gestión de la seguridad de la información

Page 16: CLASE2 Fundamentos SGSI

15

1. Políticas de Seguridad

• Documento Políticas de Seguridad Informática

– Aprobación y Respaldo de la Alta Gerencia

– Definición de Seguridad de la Información, expectativas de

la organización, Objetivos generales, Alcance.

– Breve explicación de las políticas, principios, estándares y

su importancia para la organización.

– Definición de las responsabilidades de todos los usuarios

con respecto a la seguridad informática

– Referencia a toda la documentación que soporta la política

de seguridad

Objetivo:

Establecer un compromiso de control y apoyo continuos por

parte de los directivos de la organización para la seguridad de la

información.

Page 17: CLASE2 Fundamentos SGSI

16

1. Políticas de Seguridad

• Revisión y Evaluación de las políticas de Seguridad

– Designar un responsable de las políticas de seguridad de la organización.

– Medir Efectividad de la política

– Costo e impacto de los controles implementados sobre la eficiencia del negocio.

– Efectos de los cambios a la tecnología

Objetivo:

Establecer un compromiso de control y apoyo continuos por

parte de los directivos de la organización para la seguridad de la

información.

Page 18: CLASE2 Fundamentos SGSI

17

2. Organización de Seguridad

• Infraestructura de Seguridad Informática

– Definición del líder del equipo de seguridad.

– Definición de Roles y Responsabilidades para los diferente integrantes del equipo.

– Formalizar los diferentes Roles

• Especialistas en Seguridad Tecnológica

– Revisión periódica e independiente de la Seguridad Informática de la Organización

• Requerimientos de Seguridad para el Acceso de Terceros

• Requerimientos para contratos de Outsourcing

Objetivo:

Administrar la seguridad de la información dentro de la

organización.

Page 19: CLASE2 Fundamentos SGSI

18

3. Control y Clasificación de Activos

• Inventario de activos de información y de la infraestructura de información de la organización para determinar un adecuado nivel de seguridad física para los recursos tecnológicos y la información.

• Análisis del inventario de recursos críticos para identificar su nivel de criticidad para la organización.

• Establecer responsables para la administración de los diferentes recursos tecnológicos y las áreas tecnológicas.

Objetivo:

Proteger apropiadamente aquellos recursos tecnológicos

considerados como críticos para la organización.

Page 20: CLASE2 Fundamentos SGSI

19

4. Seguridad del Personal

Implementación de consideraciones de seguridad en las

descripciones laborales.

Incluir la Seguridad Informática como una cláusula de los

contratos de trabajo.

Verificación de referencias específicas de los nuevos

empleados.

Establecer Acuerdos de Confidencialidad.

Educación y Entrenamiento enfocado a los Usuarios

Reporte apropiado de incidentes y fallas en los recursos

tecnológicos

Objetivo:

Reducir los riesgos que puedan ser causados por errores

humanos, robo, fraude o mal manejo de las instalaciones o de

los recursos tecnológicos.

Page 21: CLASE2 Fundamentos SGSI

20

5. Seguridad Física y Ambiental

Establecer una política que proteja la infraestructura

tecnológica, la planta física y los empleados.

Control de acceso a locaciones

Fuentes de backup para la corriente eléctrica

Rutinas de mantenimiento a los componentes tecnológicos

y a los controles de acceso a las instalaciones

Aseguramiento físico de los recursos tecnológicos

Seguridad en los recursos tecnológicos que salen a

reparación a terceros

Apropiada destrucción y re-uso de recursos tecnológicos

Política de escritorios limpios

Objetivo:

Prevenir el acceso NO autorizado a las áreas tecnológicas

consideradas como críticas para la organización.

Page 22: CLASE2 Fundamentos SGSI

21

6. Administración y Operación de Seguridad

Prevenir incidentes de seguridad mediante la implementación de

controles, como el uso de proteccion antivirus, manteniendo y

monitoreando las bitácoras, asegurando conexiones remotas y

teniendo procedimientos de respuesta a incidentes.

Responsabilidades y Procedimientos Operativos

Documentación

Control de Cambios

Administración de Incidentes

Separación de Responsabilidades

Separación de ambientes de desarrollo, prueba y

producción

Objetivo:

Garantizar el correcto y seguro funcionamiento de los recursos

tecnológicos que soportan la operación de la organización.

Page 23: CLASE2 Fundamentos SGSI

22

6. Administración y Operación de Seguridad

Planeación de los Sistemas

Capacidad

Desempeño

Controles de prevención y detección de instalación de software no

autorizado

Software Malicioso (virus, gusanos, caballos de troya)

Software Ilegal – Piratería de Software

Copias de Seguridad

Formalización de los procesos para toma de copias de

seguridad

Pruebas periódicas

Objetivo:

Garantizar el correcto y seguro funcionamiento de los recursos

tecnológicos que soportan la operación de la organización.

Page 24: CLASE2 Fundamentos SGSI

23

6. Administración y Operación de Seguridad

Administración de la Red de Datos

Controles de Seguridad para los componentes de

comunicaciones de la organización

Administración de componentes de almacenamiento

Administración de discos duros, cd’s, disquettes, etc

Destrucción de los componentes

Procedimientos para el manejo de la información

Seguridad para el Intercambio de Información

Procesos formales de autorización

Correo Electrónico

Sistemas de Información abiertos al público

Objetivo:

Garantizar el correcto y seguro funcionamiento de los recursos

tecnológicos que soportan la operación de la organización.

Page 25: CLASE2 Fundamentos SGSI

24

7. Sistemas de Control de Acceso

• Protección contra intrusiones internas o externas, controlando el acceso a los recursos de red y aplicaciones a través de medidas como la administración de passwords, autenticación y auditoría de eventos.

• Controlar el acceso a la información

Objetivo:

Controlar el acceso a la información de la organización,

basándose para esto en los requerimientos del negocio.

Page 26: CLASE2 Fundamentos SGSI

25

7. Sistemas de Control de Acceso

– Requerimientos del Negocio para Otorgar Acceso a los diferentes recursos tecnológicos.

– Administración de Usuarios

– Responsabilidad de Usuarios

– Control de Acceso a la Red de Datos

– Control de Acceso a los Sistemas Operativos

– Control de Acceso a las Aplicaciones

– Monitoreo del Acceso sistema y uso del mismo.

– Computación Móvil

Objetivo:

Controlar el acceso a la información de la organización,

basándose para esto en los requerimientos del negocio.

Page 27: CLASE2 Fundamentos SGSI

26

8. Desarrollo y mantenimiento de sistemas

• Garantizar que la seguridad informática es parte integral de cualquier Implementación, actualización o expansion de los Sistemas de Información y que los actuales sistemas son administrados en forma adecuada.

– Seguridad en el Desarrollo de aplicaciones

– Seguridad en sistemas de información actuales

– Controles criptográficos

– Seguridad en los fuentes y objetos

– Control de Cambios

Objetivo:

Garantizar que los sistemas de información estén diseñados

contemplando todos los estándares de seguridad de la

organización.

Page 28: CLASE2 Fundamentos SGSI

27

09. Gestión de Incidentes de Seguridad

• Reportar los eventos y debilidades de seguridad de la

información: cuyo objetivo es el de asegurar que los eventos y

debilidades de seguridad de la información asociadas con los

sistemas de información sean comunicados de una manera tal

que permita que la acción correctiva sea tomada

oportunamente

• Gestión de los incidentes y mejoras de seguridad de la

información: cuyo objetivo es el de asegurar que un enfoque

coherente y eficaz es aplicado a la gestión de los incidentes de

seguridad de la información.

Objetivo:

Garantizar que los incidentes de seguridad de información asociados

a los sistemas de información se encuentre registrados, tratados,

monitoreados y solucionados para minimizar la materialización de

riesgos que podrían afectar a dichos sistemas de información.

Page 29: CLASE2 Fundamentos SGSI

28

10. Continuidad del Negocio (BCP)

Recuperación ante desastres (DRP) Objetivo:

Contrarrestar interrupciones en las actividades del negocio y

proteger los procesos críticos de la operación en caso de

presentarse fallas de gran consideración o desastres dentro de la

organización.

• Planeación frente a desastres — naturales y causados por el hombre – y como recuperarse de estos.

– Backup de datos

– Equipos Alternos

– Comunicaciones Alternas

– Sitios Alternos

– Personal Alterno

– Procedimientos Alternativos de Operación

• Minimización del impacto frente a un desastre y durante este. Así como el restablecimiento de la operación normal después del mismo.

Page 30: CLASE2 Fundamentos SGSI

29

11. Cumplimiento de Normatividad Legal

• Evitar infringir cualquier norma civil o penal, ley, reglamento,

obligación contractual o cualquier requerimiento de seguridad.

• Asegurar la compatibilidad de los sistemas con las políticas y

estándares de seguridad.

• Maximizar la efectividad y minimizar las interferencias desde y

hacia el sistema de auditoría del proceso.

• Formalización de un proceso adecuado para la recolección de

evidencias en caso de investigación

Objetivo:

Evitar violaciones a cualquier tipo de ley civil, penal, estatutaria,

contractual y en general cualquier requerimiento legal o

administrativo.

Page 31: CLASE2 Fundamentos SGSI

Estado actual de la normas:

•ISO 17799:2000: Pasó a ser ISO 17799:2005 a partir

de Junio 2005.

• » 11 áreas control (separa Gestión de Incidentes), antes 10 áreas

• » Cambio de algunas denominaciones de áreas

• » Ampliación de temas en algunos controles

• » 133 controles de seguridad, antes 127 y 39 objetivos de control Vs 36.

• Hacia finales de 2.006 aparecerá la ISO 27002

Page 32: CLASE2 Fundamentos SGSI

Política de

Seguridad

Organización para la Seguridad de

la Información

Gestión de

Activos

Control de

Acceso

Cumplimiento

Seguridad del Recurso

Humano

Gestión de Incidentes

de Seguridad Seguridad Física y del

entorno

Adquisición, desarrollo y

mantenimiento de Sistemas

Gestión de Comunicaciones y

Operaciones

Gestión de la Continuidad del

Negocio

Dominios de Control de la

ISO 27002:2006

Control Administrativo

Control Ténico

Control Físico

Control Legal

Page 33: CLASE2 Fundamentos SGSI

32

Factores de Éxito en la

Implementación •La Política de seguridad debe reflejar los objetivos de la

organización.

•El esquema implementado debe ser coherente con la cultura de la organización.

•Compromiso y apoyo de la alta gerencia.

•Buena comprensión de los requerimientos de seguridad, de la evaluación de riesgos y de la gerencia del riesgo.

•Canales de comunicaciones apropiados para que los conceptos de seguridad sean abiertamente comunicados a los responsables y empleados.

Page 34: CLASE2 Fundamentos SGSI

Beneficios del estándar ISO 27001

•Competitividad. Diferenciador en el mercado

•Prevenir alteraciones en transmisión de datos

•Planeación y manejo de la seguridad más efectivos.

•Mayor confianza en el cliente.

•Auditorías de seguridad más precisas y confiables.

•Protección ante accesos mal intencionados

Page 35: CLASE2 Fundamentos SGSI

Beneficios de la ISO 27002

•Protección de los bienes de la empresa (información y

actividades)

•Protección de la información en las comunicaciones y

software

Procesamiento seguro de la información

•Minimizar errores inadvertidos y fraudes por parte del

personal de la organización

Page 36: CLASE2 Fundamentos SGSI

CONCLUSIONES

•La certificación de seguridad suele ser beneficiosa, pero ni garantiza inmunidad ni debe ser un objetivo.

•La certificación califica formalmente el sistema de

gestión, no la seguridad técnica.

•Falta de cultura de seguridad en la organización.

•Se maneja el Certificado como un objetivo (“Condecoración”), no como reconocimiento.

La seguridad total no existe!!!

Page 37: CLASE2 Fundamentos SGSI

¿CONSULTAS?