ESTANDARES DE SEGURIDAD INFORMATICA

1
ESTANDARES DE SEGURIDAD INFORMATICA ACIS Junio
- 2002

• EL MODELO ES LA BASE
• Por Fernando Jaramillo A.

2
Entendiendo un Modelo de Soluciones de Seguridad
en Informática
Estrategia Cumplimiento Regulaciones Reducir
Riesgos Reducir Costos Administrativos Mejorar
Eficiencia de Procesos Asegurar Propiedad
Intelectual Asegurar Información
Cliente Defenderse Contra Dsiputas
Legales Retorno de la Inversión
Política Cumplimiento Regulaciones Reducir
Riesgos Limitar Exposición Legal Cumplimiento
Personas Observancia y Recurso Reglas
Claras Consecuencias Claras Línea Base Para
Reglamento
Arquitectura Mejorar Eficiencia de
Procesos Reducir Costos Administrativos Costo de
Propiedad Uso de las Tecnologías Cumplimiento
Estándares Administración Integrada Proceso de
Actualización y Soporte Retorno de la Inversión
Diseño Rendimiento Importancia
Técnica Cumplimiento Estándares Herramientas
Integradas Licenciamiento Uso de las
Tecnologías Proceso de Actualización y
Soporte Facilidad de Uso Escalabilidad Flexibilida
d Soporte Multi-Plataforma
Implementación Rendimiento Importancia
Técnica Cumplimiento Estándares Herramientas
Integradas Uso de las Tecnologías Proceso de
Actualización y Soporte Facilidad de
Uso Escalabilidad Flexibilidad Costo Licenciamien
to
Negocio
Técnico
3
Voces de la Industria

• Muchas compañías de tecnología de información
  han desarrollado tecnologías para manejar los
  retos de los negocios. Sin embargo, muchas de
  esas tecnologías sólo atienden necesidades
  específicas dentro de todo el ambiente de
  seguridad de la información. Pocas compañías
  tienen desarrolladas tecnologías para integrar,
  fácilmente, con otras tecnologíaspara ayudar a
  proveer un más uniforme, más controlado y, por
  tanto, más seguro ambiente operativo.
• Especialista en Seguridad, PricewaterhouseCoopers

4
El Modelo es la Aplicación de Estándares
Estándares
5
Riesgos y Controles de Procesos
Riesgos Son aquellos que pueden amenazar el
logro del objetivo del proceso. (Amenaza,
debilidad, síntoma de rendimiento deficiente,
oportunidad de mejoramiento) Controles Son
políticas y procedimientos, implantados o no, que
proporcionan la seguridad de que los riesgos de
negocio han sido reducidos a un nivel aceptable.
CONTROLES
RIESGOS
ACTIVIDAD

• Para identificar los controles se clasifican en
• Informática
• Atribuciones
• Procedimientos
• Documentación
• Sistema de información gerencial

• Para identificar los riesgos se clasifican en
• De negocio
• Financieros
• Operativos
• De cumplimiento
• Fraude

6
Matriz de Evaluación de Riesgos
P R O B A B I L I D A D
7
El Estándar de Seguridad - ISO 17799

• El estándar de seguridad ISO 17799 fue preparado
  por la British Standard Institution (con el
  nombre de BS 7799) y fue adoptado por el comité
  técnico de la ISO en Diciembre del año 2000.
• El estándar hace referencia a diez aspectos
  primordiales para la seguridad informática.
• Estos aspectos son Planes de Contingencia,
  Control de Acceso a los sistemas, Mantenimiento y
  desarrollo de aplicaciones, Seguridad Física,
  Cumplimiento, Seguridad Personal, Seguridad de la
  Organización, Administración de Operaciones,
  Control y Clasificación de la Información y
  Políticas de Seguridad.

8
ESTANDAR ISO 17799 - Políticas

• Políticas de Seguridad
• Documento de la Política de Seguridad
• Revisión y Evaluación
• Seguridad Organizacional
• Infraestructura
• Ente colegiado de Seguridad Informática
• Coordinación de Seguridad Informática
• Nombramiento de Responsables de SI
• Proceso de autorización para oficinas de SI
• Personal especializado en SI
• Cooperación entre Organizaciones
• Revisión independiente de SI
• Seguridad de Ingreso a Terceros
• Identificación de riesgos por Ingreso de 3ros
• Requisitos en Contratos con 3ros
• Outsourcing
• Requisitos en Contratos de Outsourcing

9
ESTANDAR ISO 17799 Clasificación de Activos

• Responsabilidad por Activos
• Inventario de Activos
• Clasificación de Información
• Guías de Clasificación.
• Manipulación y marcación de Información

10
ESTANDAR ISO 17799 - Personal

• Definición de Roles y Perfiles
• Incluir la Seguridad en la responsabilidad de
  roles
• Política de perfiles en funciones y cargos
• Acuerdos de confidencialidad
• Términos y condiciones del contrato de trabajo
• Entrenamiento de Usuarios
• Entrenamiento y Educación en SI
• Respuesta a Incidentes de Seguridad y
  Malfuncionamiento
• Reportes de Iincidentes de Seguridad
• Debilidades de reportes de Seguridad
• Reportes de Malfuncionamiento de software
• Aprendiendo de los incidentes
• Proceso Disciplinario

11
ESTANDAR ISO 17799 Seguridad Física

• Areas Seguras
• Perímetro de Seguridad Física
• Controles de entrada física
• Oficinas de Seguridad
• Trabajo en áreas seguras
• Areas aisladas de cargue y descargue
• Equipos de Seguridad
• Ubicación y proteción de Equipos
• Suministros de potencia
• Cableados de seguridad
• Mantenimiento de equipos
• Seguridad de equipos premisas de apagado
• Reuso o desecho de equipos
• Controles Generales
• Política de limpieza de escritorios y pantallas
• Manipulación de Propiedad

12
ESTANDAR ISO 17799 Administración

• Procedimientos de Operaciones
• Procedimientos de operación documentados
• Control de cambio de operaciones
• Procedimientos de administración de incidentes
• Segregación de obligaciones
• Separación de áreas de desarrollo y operaciones
• Administración de instalaciones externas
• Planeación de Sistemas
• Capacity Planning Planeamiento de capacidades
  
• Aceptación del sistema
• Protección de Software Malicioso
• Control de software malicioso
• Housekeeping Mantenimiento
• Back Ups de Información
• Logs de Operación
• Fallas de Logging
• Administración de Red
• Controles de red

13
ESTANDAR ISO 17799 - Administración

• Manipulación de Medios y Seguridad
• Administración de medios removibles
• Deshecho de medios
• Procedimientos de administración de información
• Seguridad de la documentación del sistema
• obligaciones
• Separación de áreas de desarrollo y operaciones
• Administración de instalaciones externas
• Intercambio de Información y de Software
• Acuerdos de intercambio de software e información
• Seguridad de medios en tránsito
• Seguridad de Comercio Electrónico
• Seguridad de Correo Electrónico
• Seguridad de sistemas de oficina electrónicos
• Disponibilidad pública de sistemas
• Otras formas de intercambio de información

14
ESTANDAR ISO 17799 - Control de Acceso

• Requerimientos de Negocios para Control de Acceso
• Políticas de Control de Acceso
• Administración de Acceso de Usuarios
• Registro de Usuarios
• Administrración de privilegios
• Administración de Constraseñas
• Revisión de derechos de acceso de usuarios
• Responsabilidad de Usuarios
• Utilización de contraseñas
• Equipo de usuarios desatendidos

15
ESTANDAR ISO 17799 Control de Acceso

• Control de Acceso a Red
• Políticas de uso de servicios de red
• Acceso reforzado
• Autenticación de usuarios en conexión externa
• Autenticación de nodos
• Diagnóstico Remoto de Protección de Puertos
• Segregación en redes
• Control de Conexión de Redes
• Control de Enrutamiento de Redes
• Seguridad de servicios de red
• Control de acceso a Sistemas Operativos
• Identificación automática de terminales
• Procedimientos de Log-on a Terminales
• Identificación y autenticación de usuarios
• Sistema de administración de contraseñas
• Uso de utilidades del sistema
• Alarma para usuarios de seguridad
• Terminal Time-out Límites de tiempo a
  estaciones

16
ESTANDAR ISO 17799 Control de Acceso

• Control de Acceso de Aplicaciones
• Restricción de Acceso a información
• Aislamiento de sistemas sensitivos
• Monitoreo de Uso y Acceso a Sistemas
• Loggin por eventos
• Identificación automática de terminales
• Monitoreo de uso del sistema
• Sincronización de reloj
• Computación Móvil y Teletrabajo
• Computación Móvil
• Teletrabajo

17
ESTANDAR ISO 17799 Desarrollo y Mantenimiento

• Requerimientos de Seguridad de Sistemas
• Rquerimientos, Análisis y Especificaciones de
  Seguridad
• Seguridad en Aplicaciones
• Validación de ingreso de datos
• Control de procesamiento
• Autenticación de mensajes
• Validación de salida de datos
• Controles de Encripción
• Política de uso de controles de encripción
• Encripción
• Firmas digitales
• Servicios de No repudiación
• Administración de claves PKI

18
ESTANDAR ISO 17799 Desarrollo y Mantenimiento

• Seguridad de Archivos
• Control de Sistemas Operativos
• Protección de Datos
• Control de acceso a librería de programas
• Seguridad en Procesos de Desarrollo y Soporte
• Procesos de control de cambios
• Revisión técnica al cambio de S.O.
• Restricciones en cambios de paquetes de software
• Canales y código Trojan
• Desarrollo de software en ousorcing

19
ESTANDAR ISO 17799 - Contingencia

• Administración de la Contingencia o Business
  Continuity Management
• Procesos de Administración de Contingencia
• Contingencia y Análisis de Impacto
• Escritura e Implementación de Planes de
  Contingencia
• Marco de planeación de la Contingencia
• Chequeo, Mantenimiento y Reasignación de Planes
  de Contingencia

20
ESTANDAR ISO 17799 - Cumplimiento

• Cuplimiento de Aspectos Legales
• Identificación de la legislación aplicable
• Derechos de Propiedad Intelectual
• Salvaguarda de Registros Organizacionales
• Protección de Datos y privacidad de información
  personal
• Prevención de ingreso a Edificios de procesos de
  Información
• Regulación de controles de encripción
• Obtención de evidencias
• Revisión de la Política de Seguridad y su
  Cumplimiento Técnico
• Cumplimiento de la política de seguridad
• Chequeo de cumplimiento técnico
• Cosideraciones de Auditoría
• Controles de auditoría de sistemas
• Protección de las herramientas de auditoría

21
Estándares de Seguridad - BS7799 / ISO 17799

• OUTSOURCING
• Objetivo Mantener la seguridad de la
  información cuando la responsabilidad del
  procesamiento esta en manos de otra organización.
• Las negociaciones de outsourcing deben tener
  definidos claramente en los contratos suscritos,
  los riesgos, los controles de seguridad y los
  procedimientos para los sistemas de información
  que se encuentren dentro de los procesos que
  estarán en manos de la organización proveedora
  del outsourcing.

22
Estándares de Seguridad - BS7799 / ISO 17799

• SEGURIDAD EN CONEXIONES CON TERCEROS
• Objetivo Mantener la seguridad de la
  información de la organización que es accesada
  por terceros.
• El acceso a la información de la organización por
  parte de terceros debe ser controlado.
• Se debe hacer un análisis de riesgos para
  determinar las implicaciones en seguridad y los
  requerimientos de control. Los controles que se
  definan deben ser definidos en el contrato que se
  firme con el tercero.

23
Estándares de Seguridad - BS7799 / ISO 17799

• POLITICA DE SEGURIDAD INFORMATICA
• Objetivo Proveer directrices a la
  administración y soporte para la seguridad de la
  información.
• La administración debe ser capaz de definir la
  dirección de las políticas de Seguridad de la
  información. Además debe establecer un claro y
  firme compromiso con estas políticas y
  divulgarlas a través de toda la organización.

24
Estándares de Seguridad BS7799 / ISO 17799

• POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION
  DE UN ESTANDAR DE SEGURIDAD?
• Certificaciones ISO.
• Si la empresa está sometida a un proceso de
  compra/venta, alianza estratégica o hace parte de
  una cadena de valor B2B.
• Renegociación de primas y reaseguros.
• PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA
  COMPETITIVA.