“normativas relacionadas con seguridad informática”
Post on 29-Jun-2022
7 Views
Preview:
TRANSCRIPT
“Normativas relacionadas con Seguridad Informática”
Lic. Julio C. ArditaLic. Julio C. Arditajardita@cybsec.comjardita@cybsec.com
Lic. Gustavo CorteseLic. Gustavo CorteseGustavo_Cortese@itconsultores.com.pyGustavo_Cortese@itconsultores.com.py
Julio de 2005Julio de 2005Asunción Asunción -- PARAGUAYPARAGUAY
2
© 2005
Normativas relacionadas con Seguridad Informática
TemarioTemario
- Norma ISO 17799
- Sarbanes Oxley Act (SOX)
- Manual de Control Interno Informático para Entidades
Financieras (MCIIEF)
3
© 2005
Normativas relacionadas con Seguridad InformáticaNorma ISO 17799
Norma ISO 17799Norma ISO 17799
4
© 2005
Normativas relacionadas con Seguridad Informática
ISO/IEC 17799 y BS7799-2
• IS 17799 es una lista de cosas buenas a hacer.
• BS 7799 Parte 2 es una especificación para el ISMS (Information Security Management System).
Norma ISO 17799
5
© 2005
Normativas relacionadas con Seguridad InformáticaNorma ISO 17799
6
© 2005
Normativas relacionadas con Seguridad InformáticaNorma ISO 17799
7
© 2005
Normativas relacionadas con Seguridad InformáticaNorma ISO 17799
8
© 2005
Normativas relacionadas con Seguridad InformáticaNorma ISO 17799
9
© 2005
Normativas relacionadas con Seguridad InformáticaNorma ISO 17799
10
© 2005
Normativas relacionadas con Seguridad InformáticaSOX
Sarbanes Oxley ActSarbanes Oxley Act
11
© 2005
Normativas relacionadas con Seguridad Informática
Objetivo de SOXObjetivo de SOX
La ley estadounidense “Sarbanes-Oxley Act” tiene como objetivo
generar un marco de transparencia para las actividades y reportes
financieros de las empresas que cotizan en la Bolsa de Estados
Unidos, y darle mayor certidumbre y confianza a inversionistas
y al propio Estado.
SOX
12
© 2005
Normativas relacionadas con Seguridad Informática
Requisitos principalesRequisitos principales
- Establecer un nuevo consejo de vigilancia, supervisado por la SEC.
- Definir nuevas funciones y responsabilidades para el comité de auditoria.
- Que los directivos acompañen los reportes con una certificación personal.
- Definir un esquema de medición del control interno que se aplique
constantemente.
- Que los directivos certifiquen el buen funcionamiento de sus sistemas de
control interno
- El auditor externo tiene que verificar la certificación del control interno.
- Nuevos esquemas de administración de riesgos.
SOX
13
© 2005
Normativas relacionadas con Seguridad Informática
Secciones sobresalientesSecciones sobresalientes
Artículos:
302 - Responsabilidad de la Compañía por los Informes Financieros.
404 - Evaluación de la Gerencia de los Controles Internos.
409 - Tiempo real de revelaciones del emisor.
SOX
14
© 2005
Normativas relacionadas con Seguridad InformáticaMCIIEF
Manual de Control Interno InformáticoManual de Control Interno Informáticopara Entidades Financieras (MCIIEF)para Entidades Financieras (MCIIEF)
15
© 2005
Normativas relacionadas con Seguridad Informática
DATOSDATOSAPLICACIONESAPLICACIONESTECNOLOGÍATECNOLOGÍASOPORTESSOPORTESPERSONALPERSONAL
Datos
DatosDatos
CLIENTESCLIENTESPROVEEDORESPROVEEDORESCORRESPONSALESCORRESPONSALESSUCURSALESSUCURSALESSITIOS DE CONTINGENCIASITIOS DE CONTINGENCIA
AMBIENTEAMBIENTETECNOLÓGICOTECNOLÓGICOINTERACTÚAINTERACTÚA
Utilización de Recursos
16
© 2005
Normativas relacionadas con Seguridad Informática
DATOSDATOSAPLICACIONESAPLICACIONESTECNOLOGÍATECNOLOGÍASOPORTESSOPORTESPERSONALPERSONAL
Datos
DatosDatos
CLIENTESCLIENTESPROVEEDORESPROVEEDORESCORRESPONSALESCORRESPONSALESSUCURSALESSUCURSALESSITIOS DE CONTINGENCIASITIOS DE CONTINGENCIA
RESULTADO:RESULTADO:AMBIENTEAMBIENTETECNOLÓGICOTECNOLÓGICOCOMPLEJOCOMPLEJO
AMBIENTEAMBIENTETECNOLÓGICOTECNOLÓGICOINTERACTÚAINTERACTÚA
Utilización de Recursos
17
© 2005
Normativas relacionadas con Seguridad InformáticaMCIIEF
Manual de Control Interno InformáticoManual de Control Interno Informático
La Superintendencia de Bancos del Banco Central aprobó el Manual
de Control Interno Informático para Entidades Financieras (MCIIEF)
con el objetivo de minimizar los riesgos tecnológicos existentes y
mejorar las unidades de control interno en las Entidades.
18
© 2005
Normativas relacionadas con Seguridad InformáticaÁreas de Actividad Relacionadas con la TI
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• conformidad• fiabilidad
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• conformidad• fiabilidad
MONITOREOMONITOREO
PLANIFICACION Y ORGANIZACION
PLANIFICACION Y ORGANIZACION
INFORMACIONINFORMACION
• datos• aplicaciones• tecnología• soportes de la TI• personal
• datos• aplicaciones• tecnología• soportes de la TI• personal
RECURSOS DE TIRECURSOS DE TI
MCIIEFMCIIEF
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
PRODUCCION Y SERVICIOS
PRODUCCION Y SERVICIOS
19
© 2005
Normativas relacionadas con Seguridad InformáticaObjetivos de Control de Interés de la Seg. Inf.
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• conformidad• fiabilidad
• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• conformidad• fiabilidad
MONITOREOMONITOREO
PLANIFICACION Y ORGANIZACION
PLANIFICACION Y ORGANIZACION
INFORMACIONINFORMACION
• datos• aplicaciones• tecnología• soportes de la TI• personal
• datos• aplicaciones• tecnología• soportes de la TI• personal
RECURSOS DE TIRECURSOS DE TI
MCIIEFMCIIEF
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
PRODUCCION Y SERVICIOS
PRODUCCION Y SERVICIOS
PS2 Garantizar la Continuidad del ServicioPS3 Garantizar la Seguridad de los Sistemas
PS2 Garantizar la Continuidad del ServicioPS3 Garantizar la Seguridad de los Sistemas
M1 Obtención de Certificación IndependienteM1 Obtención de Certificación Independiente
20
© 2005
Normativas relacionadas con Seguridad InformáticaPS2 - Garantizar la Continuidad del Servicio
Etapas 1 2 3 4
Desarrollo delPlan de Continuidad
5
Implementación Capacitación Pruebas Mantenimiento
1.- Desarrollo del Plan de Continuidad del Servicio de IT2.- Implementación (Recursos de Lugar, HW, SW, Consultoría, etc).3.- Capacitar al Personal Involucrado.4.- Realizar una pruebas Anuales del Plan.5.- Mantenerlo actualizado en base a los cambios de los sistemas y la Infraestructura de Tecnología.
Esquema de Implementación del Plan de Continuidad de TI
Comunica a
Personalde la
Entidad
Incidente deRecurso Informático
Atención aUsuarios
Comunica a
Incidente deContingencia
Otro Tipo deIncidente
Gerentede TI
Gestiona la Solución
Incidente
Incidentede Cont. ?
21
© 2005
Normativas relacionadas con Seguridad InformáticaPS2 - Garantizar la Continuidad del Servicio
1 2 3 4
Análisis del Impactoen el Negocio
5
Medidas deReducción deRiesgos
Estrategia deRecuperación
Desarrollodel Plan deContinuidad
1.- Identificación de procesos críticos. Análisis de impactos y tiempos máximos permitidos en una interrupción.Definición de Prioridades de Recupero.
2.- Definición de Medidas de Reducción de Riesgos.3.- Identificación de métodos de recupero, manejo de Backups y Sitio Alternativo.4.- Definición del Plan, pautas y procedimientos a seguir. Pasos para su implementación.5.- Adquisición de recursos. Entrenamiento de Recursos. Implementación.6.- Definición de objetivos de las pruebas, participación, documentación. Realización de las Pruebas.7.- Revisión del Plan. Actualización del Plan. Distribución y Publicación.
Lineamientos para Desarrollar un Plan de Seguridad de TI
Implement.del Plan deContinuidad
6 7
Pruebasdel Plan deContinuidad
Mantenimientodel Plan deContinuidad
22
© 2005
Normativas relacionadas con Seguridad InformáticaPS3 - Garantizar la Seguridad de los Sistemas
Etapas 1 2 3 4
Estrategia deSeguridad
5
Desarrollo dePlan de Seg.
Desarrollo dePolíticas
Implementación Mantenimiento
1.- Definición de la Estrategia de Seguridad de la Entidad2.- Desarrollo de un Plan de Seguridad de TI a Corto, Mediano y Largo Plazo
El Plan debe incluir:Monitoreo de tendencias de SeguridadMonitoreo o Supervisión de la aplicación de las Políticas de SeguridadProgramas de Concientización, Entrenamiento e Instrucción de las Políticas
3.- Desarrollo de Políticas, Normas y Proc. de Seguridad ( Ej. Políticas de Seguridad de la Información,Políticas de Seguridad Física, Normas de Resguardo de la Información, etc. )
4.- Implementación de Planes de Seguridad de TI, Políticas, Normas y Procedimientos de Seguridad5.- Revisión de Planes y Políticas de Seguridad
Elaboración de Nuevas Versiones de Planes y Políticas de Seguridad
Tiempo: Días Tiempo: Días Tiempo: Semanas Tiempo: Meses
PS3.1 Administración de las Medidas de SeguridadEsquema de Implementación
23
© 2005
Normativas relacionadas con Seguridad Informática
- Utilizar canales seguros (SSH, SSL, No Telnet, ni HTTP).
- Implementar Políticas de Passwords (Cambio, longitud, bloqueo,
cantidad de intentos, etc).
- Implementar Mecanismos de autenticación fuertes (Passwords,
Tokens, Certificados Digitales, Biométrico, etc).
PS3.2 Identificación, Autenticación y Acceso
PS3 - Garantizar la Seguridad de los Sistemas
24
© 2005
Normativas relacionadas con Seguridad Informática
PS3.3 Seguridad de Acceso en Línea a los Datos
- Análisis de los usuarios, perfiles, grupos, accesos y funciones
requeridas.
- Definición de perfiles por función.
PS3 - Garantizar la Seguridad de los Sistemas
25
© 2005
Normativas relacionadas con Seguridad Informática
PS3.4 Administración de las Cuentas del Usuario- Desarrollar un procedimiento escrito para el ABM de Usuarios.
- Implementar el procedimiento con el personal de la Entidad.
PS3.5 Violaciones e Informes de Actividad de Seguridad
- Definir una política de LOGS.
- Activar los LOGS en los dispositivos, sistemas y aplicaciones.
- Generar reportes de los LOGS (NW-SO-AP).
PS3 - Garantizar la Seguridad de los Sistemas
26
© 2005
Normativas relacionadas con Seguridad Informática
PS3.6 Mantenimiento de Privilegios de Acceso
-En caso de reorganización de funciones o cada 3 (tres) meses, se
deben analizar los privilegios de acceso de los usuarios definidos.
PS3.7 Administración de Claves de Encriptación
- Definir procedimientos y algoritmos a utilizar.
- Definir e implementar el esquema de sobres cerrados.
- Realizar pruebas de fortaleza de las claves utilizadas.
PS3 - Garantizar la Seguridad de los Sistemas
27
© 2005
Normativas relacionadas con Seguridad Informática
PS3.8 Medidas de Seguridad y Conexiones con Redes Públicas- Diseño del esquema de red en un entorno seguro.
- Implementación de medidas de seguridad estándares: Firewalls,
Establecimiento de DMZ´s, IDS, Mod_Security, etc).
PS3 - Garantizar la Seguridad de los Sistemas
28
© 2005
Normativas relacionadas con Seguridad InformáticaM1.1 Certificación Independiente
M1.1 Certificación Independiente de la Seg. y el Control Interno de TI
- Realizar Certificaciones de Seguridad, antes y después de Implementar
Servicios de TI considerados importantes.
INTERNET
CLIENTES
COMPUTADORAS
Transacciones yConsultas de Clientes
ENTIDADFINANCIERA
29
© 2005
Normativas relacionadas con Seguridad Informática
Preguntas?Preguntas?
top related