auditorÍa y seguridad informaciÓn Índice seguridad introducciÓn anÁlisis y gestiÓn de riesgos...

AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD

• INTRODUCCIÓN

• ANÁLISIS Y GESTIÓN DE RIESGOS

• SEGURIDAD DE TI EN LA ORGANIZACIÓN

• SEGURIDAD DE TI EN LA TECNOLOGÍA

• MARCO NORMATIVO

• MARCO LEGISLATIVO

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI

(Amutio, 2007)

Necesidad/obligación de demostrar que se realiza una gestión competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y proporcionadas a los riesgos a los que

está expuesta la organización

Conjunto articulado, sistemático, estructurado, coherente y lo más completo posible de normas


ORGANISMOS DE NORNALIZACIÓN

Internacionales: ISO/IEC/UIT-T

Europeos: CEN/CENELEC/ETSI

Americano: COPANT

Español: AENOR


Amutio (2007)

ISO/IEC JTC1/SC27

•La identificación de requisitos genéricos, incluyendo requisitos metodológicos de los servicios de seguridad para los sistemas de TSI.

•El desarrollo de técnicas y mecanismos de seguridad, incluyendo los procedimientos de registro y las relaciones de los componentes de seguridad.

•El desarrollo de guías de seguridad y documentos interpretativos.

•El desarrollo del soporte a la gestión, documentación y normas, incluyendo por ejemplo, terminología y criterios de evaluación.

•La normalización de algoritmos criptográficos para los servicios de integridad, autenticación y no repudio; así como la normalización de algoritmos criptográficos de los servicios de confidencialidad para ser utilizados conforme a las políticas internacionalmente aceptadas.


Amutio (2007)

ISO/IEC JTC1/SC27

GT1: requisitos, servicios de seguridad y guías. Identificación de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestión de seguridad de la información.

GT2: mecanismos y técnicas de seguridad. Mecanismos relacionados con la autenticación, el control de acceso, la confidencialidad, el no repudio, la gestión de claves y la integridad de los datos; así como de técnicas criptográficas o no criptográficas.

GT3: criterios de evaluación de la seguridad. Evaluación de la seguridad de los productos y sistemas de tecnologías de la información. Se distinguen fundamentalmente los criterios de evaluación de la seguridad y la metodología para la aplicación de los citados criterios.


Amutio (2007)

ISO/IEC JTC1/SC27

GT4: Servicios y controles de seguridad. Normas y recomendaciones para servicios y aplicaciones sobre los que se implantan controles y se logran los objetivos definidos por las especificaciones del sistema de gestión de seguridad de la información; también se ocupa de la identificación de requisitos para la elaboración de normas sobre continuidad de negocio, cyber-seguridad y subcontratación.

GT5: Gestión de identidad y privacidad. Gestión de la identidad de las personas, protección de datos personales y técnicas biométricas aplicadas a este ámbito. Además, se ocupa de identificar requisitos para el desarrollo de normas en materia de control de acceso.


Amutio (2007)


ORGANISMOS DE NORNALIZACIÓN

Internacionales: ISO/IEC/UIT-T

Europeos: CEN/CENELEC/ETSI

Americano: COPANT

Español: AENOR


NORMAS MÁS RELEVANTES

• UNE 71501 (IS 13335), guías para la gestión de la seguridad de las TI

• IS 15408, criterios comunes para la evaluación de la seguridad de las TI

• Serie 27000

• ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)


UNE 71501, guías para la gestión de la seguridad de las TI

• UNE 71501 -1 (TR 13335-1): Visión básica de conceptos y modelos usados para describir la gestión de la seguridad de TI dirigida a los responsables de seg.

• UNE 71501 -2 (TR 13335-2): Planificación y gestión de la seguridad de TI para directivos responsables de desarrollo y uso de SI

• UNE 71501 -3 (TR 13335-3): Técnicas de seguridad para implicados en actividades de gestión durante CV

• UNE 71501 -4 (TR 13335-4): Selección de salvaguardas técnicas y organizativas en entorno no abierto

• UNE 71501 -5 (TR 13335-5): Selección de salvaguardas en entorno abierto a redes externas


IS 15408: criterios comunes para la evaluación de la seguridad de las TI

Bañon (2003)

Regula la evaluación objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de información. Supone:

• Un acuerdo internacional sobre los requisitos exigibles al método de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificación del trabajo de los evaluadores en cada nivel

• Un catálogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje común para la expresión de la seguridad de los productos


IS 15408

•15408 -1: Define conceptos, procesos y paradigmas utilizados

•15408-2: Define el catálogo funcional con notas aclaratorias a su aplicación

•15408-3: Define el modelo de desarrollo seguro, los siete niveles de esfuerzo y las acciones de evaluación correspondientes


Criterios comunes y su certificaciónJiménez (2003)

- Son de aplicación a las medidas de seguridad de TI implementadas en Hw, Fw o Sw.

- Son ajenos a su finalidad:

- Medidas de seguridad de tipo administrativo

- Control de radiaciones electromagnéticas

- La metodología de evaluación y el marco administrativo y legal bajo el cual se pueden aplicar

- Los procedimientos para el uso de los resultados de la evaluación en la acreditación

- Criterios para la valoración de las cualidades inherentes de los algoritmos criptográficos


Numeración Estado de situación

27000 En proyecto: Information security management fundamentals and vocabulary.

27001 ISO/IEC IS 27001:2005 Information technology Security techniques - Information security management systems. Norma disponible desde el 14 de octubre de 2005.

27002 ISO/IEC IS 17799:2005 Information technology – Security techniques – Code of practice for information security management. Norma disponible desde el 10 de junio de 2005. La numeración '27002' entra en vigor en abril de 2007.

27003 En proyecto: Information security management system implementation guidance.

27004 En proyecto: Information technology Security techniques - Information security management measurements.

27005 En proyecto: Information Security Risk Management.

27006 En proyecto: Requirements for the accreditation of bodies providing certification of information security management systems.

27007 En reserva.

27008 En reserva.

27009 En reserva.


Áreas Proyectos, normas e informes técnicos

Riesgos 27005

Política 27000, 27001, 17799

Organización de la seguridad de la información 27001, 17799

Gestión de activos 27005, 15816

Recursos humanos -

Entorno físico -

Communicaciones y gestión de explotación 18028-1, 18028-2, 18028-3, 18028-4, 18028-5

Control de acceso 14516, 15816, 15945

Adquisición y mantenimiento 15945

Gestión de incidents 15947, 18043, 18044

Gestión de la continuidad 24762

Conformidad 13335-2


ISO 27001(García, 2007)

“Sistemas de Gestión de la Seguridad de la Información”

Ante el mercado:

•Favorece su desarrollo

•Afianza la posición de la organización

•Potencia la imagen de marca

•Constituye un factor competitivo respecto a la competencia

•Permite superar barreras técnicas


ISO 27001(García, 2007)

Ante los clientes:•Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios •Se mejora la comunicación con el cliente •Mayor confianza al cliente (empresas, particulares, etc)•Aumento de la satisfacción del cliente (empresas, particulares, etc)

Ante la gestión de la organización:•Conocimiento y depuración de los procesos internos•Mejora de los procesos y de los servicios prestados•Ahorro de tiempo y de recursos necesarios•Mejor gestión de los recursos•Estímulo para entrar en un proceso de mejora continua


“Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI

documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para

la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales

o partes de las mismas”


Establecimiento y gestión del SGSI

- definir el alcance del sistema de gestión,

- definir la política del SGSI

- definir la metodología para la valoración del riesgo

- identificar los riesgos

- elaborar un análisis y evaluación de dichos riesgos

- identificar los diferentes tratamientos del riesgo

- seleccionar los controles y objetivos de los mismos que posibilitarán dicho tratamiento.


Implantación y puesta en marcha del SGSI

- preparar un plan de tratamiento del riesgo

- implantar los controles que se hayan seleccionado

- medir la eficacia de dichos controles

- crear programas de formación y concienciación


Control y evaluación del SGSI

- implantar una serie de procedimientos para el control y la revisión

- puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorías de seguridad y de las mediciones

- tomar las medidas correctivas y preventivas


ISO 27004(Llaneza, 2007)

• El Proyecto de Norma 27004 contiene técnicas para medir el comportamiento de los controles implantados en atención a un análisis de riesgos previo

• Objetivos del proceso de medida: • Evaluar la eficacia de la implantación de los controles de seguridad. • Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua. • Proporcionar un estado de seguridad para dirigir la revisión de la gestión, facilitar las mejoras de la seguridad y contribuir a auditorías de seguridad. • Comunicar el valor de la seguridad a la organización. • Servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos.


Control

Implementación

SGSI

Efectividad

Control

Entidad atributo

atributo

atributo

Resultado

Criterio de Deci sión

Indicador

Modelo Analítico

Medida Derivada

Función de Medición

Medida Base Método de Medida

Objetivo de


Partes Interesadas Partes Interesadas

Prepararse para las medidas

- Requisitos de negocio- Política de Seguridad- Gestión de Riesgo- Selección de Control

Mejoras

- Identificar mejoras- Redefinir controles- Actualizar medidas

Definir Medidas

- Identificar los requisitos de negocio para medir e informar- Determinar las medidas de efectividad requeridas para los controles elegidos

Recoger y analizar datos

- Medidas de control- Conciencia

Evaluar e informar de los resultados

- Supervisar- Auditar- Medir

Información de Requisitos de Seguridad y Expectativas

Información de Seguridad Gestionada

Establecer SGSI

Monitorizar y Revisar el SGSI

Implementar y Manejar el SGSI

Mantener y Mejorar el SGSI

Plan

Do

Check

Act


Desarrollo de una medida

Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgos, como se describe en la ISO/IEC 27001.

Establecer prioridades entre controles y objetivos de control seleccionados con base en los siguientes criterios:

• Los requisitos de los stakeholders.• La política de seguridad de la información de la organización.• La información necesaria para satisfacer los requisitos legales,

regulatorios y contractuales.• La relación coste-beneficio del rendimiento de cada control

individual u objetivo de control.

Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas.


Métodos de medición

• Auditorías internas o externas.

• Evaluación de riesgos y análisis de riesgos.

• Cuestionarios y preguntas.

• Utilización del registro de acontecimientos.

• Producción de registros, informes y pistas de auditoría.

• Informes de incidentes

• Muestras estadísticas.

• Pruebas.


Participantes o “stakeholders” involucrados en cada medida,

• El propietario de la información y medida

• El cliente

• El recolector

• El comunicador

• El revisor


Criterios para medidas válidas

- Estratégica

- Cuantitativa

- Razonable

- Interpretativa

- Verificable

- Evolutiva

- Útil

- Indivisible y bien definida

- Repetible


ISO 17799/27002(Prats, 2007)

• La norma ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información.

• Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.


ANÁLISIS Y GESTIÓN DE RIESGOS • Realizar un Análisis de Riesgos formal en la organización.

• Realizar el Análisis de Riesgos en base a una metodología documentada y aprobada formalmente.

• El Análisis de Riesgos debe contemplar los activos, vulnerabilidades, las amenazas, los impactos y la evaluación del riesgo.

• Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas.

• Aprobar por la dirección los riesgos residuales.

• Establecer criterios formales para clasificar el riesgo.

• Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir).

• Los riesgos deben quedar a un nivel aceptado por la dirección.

• Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados.

• Cada control debe tener asociada una forma objetiva de verificar su eficacia.


POLÍTICA DE SEGURIDAD

• Documento de Política de Seguridad de la Información.

•Revisión de la Política de Seguridad de la Información.


ORGANIZACIÓN DE LA SEGURIDAD

Organización interna

•Comisión de gestión para la Seguridad de la Información.

•Coordinación de la Seguridad de la Información.

•Asignación de responsabilidades sobre Seguridad de la Información.

•Proceso de autorización de recursos para el tratamiento de la información.

•Acuerdos de confidencialidad.

•Contactos con autoridades.

•Contactos con grupos de interés.

•Revisión Independiente de la Seguridad de la Información.


ORGANIZACIÓN DE LA SEGURIDAD

Partes externas

•Identificación de riesgos relacionados con terceros.

•Seguridad en las relaciones con clientes.

•Seguridad en contratos con terceras partes.


GESTIóN DE ACTIVOS

Responsabilidad de los activos

•Inventario de activos.

•Propiedad de los activos.

•Uso aceptable de activos de información


GESTIóN DE ACTIVOS

Clasificación de la información

•Guías de clasificación.

•Marcado y tratamiento de la información.


RECURSOS HUMANOS

Antes de la contratación

•Perfiles y responsabilidad•Revisión y verificación•Términos y condiciones de la relación laboral

Durante la contratación•Gestión de responsabilidades•Educación y capacitación en seguridad de la información•Procesos disciplinarios

A la finalización del contrato•Responsabilidades en la finalización•Devolución de activos•Retirada de los derechos de acceso


SEGURIDAD FÍSICA

Áreas seguras

•Perímetro de seguridad física

•Controles físicos de accesos

•Seguridad de oficinas, despachos y recursos

•Protección ante amenazas externas y de entorno

•El trabajo en las áreas de seguridad

•Acceso y salida pública y Zonas de carga y descarga


SEGURIDAD FÍSICA

Seguridad de los equipos

•Localización y protección del Equipamiento

•Suministros

•Seguridad del cableado

•Mantenimiento de equipos

•Seguridad de equipos fuera de los locales de la Organización

•Seguridad en la reutilización o eliminación de equipos

•Salida de propiedades


GESTIÓN DE COMUNICACIONES Y OPERACIONES

Procedimientos y responsabilidades

•Documentación de procedimientos operativos

•Gestión de cambios

•Segregación de tareas

•Separación de entornos de desarrollo, pruebas y operación



Gestión de la externalización

•Prestación de servicios

•Monitorización y revisión de servicios de terceras partes

•Gestión de cambios



Planificación y aceptación

•Planificación de capacidades

•Aceptación de Sistemas

Control contra código malicioso y código móvil

•Control contra código malicioso•Control contra código móvil

Copias de seguridad•Copia de la información



Gestión de la seguridad de red

•Controles de redes

•Seguridad en servicios de red

Gestión de soportes •Gestión de soportes removibles

•Eliminación de soportes

•Procedimientos de utilización de la información

•Seguridad de la documentación de sistemas



Intercambio de información

•Políticas y procedimientos para intercambio de información•Acuerdos para intercambio•Seguridad de soportes en tránsito•Seguridad de la mensajería electrónica•Sistemas de información de negocio

Servicios de comercio electrónico •Comercio electrónico•Transacciones online



Monitorización

•Registros de auditoría

•Revisión de uso de sistemas

•Protección de logs

•Logs de administradores y operadores

•Logs de fallo del sistema

•Sincronización de relojes


CONTROL DE ACCESO

Requerimientos del negocio para el control de accesos

Política de control de accesos

Gestión de accesos de usuario

•Registro de usuarios•Gestión de privilegios•Gestión de contraseñas de usuario•Revisión de los derechos de acceso de los usuarios


CONTROL DE ACCESO

Responsabilidades de los usuarios

•Uso de contraseñas•Equipamiento informático de usuario desatendido•Política de pantallas y mesas limpias

Control de accesos en red •Política de uso de los servicios de red•Autenticación para conexiones externas•Identificación de equipos en la red•Protección a puertos de diagnóstico remoto y configuración•Segregación en las redes•Control de conexión a las redes•Control de enrutamiento en red


CONTROL DE ACCESO

Control de accesos al sistema operativo

•Procedimientos de log-on seguro

•Identificación y autenticación de los usuarios

•Sistema de gestión de contraseñas

•Utilización de utilidades del sistema

•Timeout de sesiones

•Limitación del tiempo de conexión

Control de acceso a la información y aplicaciones

•Restricción de acceso a la información

•Aislamiento de sistemas sensibles


CONTROL DE ACCESO

Portátiles y teletrabajo

•Informática móvil y comunicaciones

•Teletrabajo


COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requerimientos de seguridad de los sistemas

Análisis y especificación de los requerimientos de seguridad

Procesamiento correcto de aplicaciones •Validación de los datos de entrada•Control de proceso interno•Integridad de mensajes•Validación de los datos de salida



Controles criptográficos

•Política de uso de los controles criptográficos•Gestión de claves

Seguridad de los ficheros del sistema

•Control del software en explotación•Protección de los datos de prueba del sistema•Control de acceso al código fuente



Seguridad en los procesos de desarrollo y soporte

•Procedimientos de cambios operacionales•Revisión técnica de aplicaciones tras cambios del sistema operativo•Restricción de cambios a paquetes de software•Fugas de información•Desarrollo externalizado

Gestión de vulnerabilidades

Control de vulnerabilidades técnicas


GESTIÓN DE INCIDENTES DE SEGURIDAD

Comunicación de eventos y debilidades de seguridad

•Notificación de eventos de seguridad•Notificación de debilidades

Gestión de incidentes y mejora de seguridad

•Responsabilidad y procedimientos•Aprendiendo de los incidentes•Recolección de evidencias


GESTIÓN DE LA CONTINUIDAD DE NEGOCIO

Aspectos de la seguridad de la información en la gestión de la continuidad del negocio

•Aspectos de la gestión de la continuidad de negocio•Inclusión de seguridad en el proceso de gestión de continuidad de negocio•Continuidad del negocio y análisis de riesgos•Redacción e implantación de planes de continuidad incluida la seguridad de la información•Marco de planificación de la continuidad del negocio•Prueba, mantenimiento y reevaluación de los planes de continuidad


CONFORMIDAD LEGAL

Cumplimiento de los requerimientos de seguridad

•Identificación de la legislación aplicable•Derechos de propiedad intelectual•Salvaguarda de los registros de la organización•Protección de datos de carácter personal y de la intimidad de las personas•Evitar el mal uso de los recursos de tratamiento de información•Reglamentación de los controles de cifrado


CONFORMIDAD LEGAL

Conformidad con políticas, estándares y cumplimiento técnico

•Controles de auditoría de sistemas de información

•Protección de las herramientas de auditoría de sistemas de información


ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)


SCOPE

• The SSE-CMM addresses security engineering activities that span the entire trusted product or secure system life cycle, including concept definition, requirements analysis, design, development, integration, installation, operations, maintenance, and decommissioning.

• The SSE-CMM applies to secure product developers, secure system developers and integrators, and organizations that provide security services and security engineering.

• The SSE-CMM applies to all types and sizes of security engineeringorganizations, such as commercial, government, and academic.


SYSTEMS SECURITY ENGINEERING PROCESS AREAS

• PA01 Administer Security Controls• PA02 Assess Impact• PA03 Assess Security Risk• PA04 Assess Threat• PA05 Assess Vulnerability• PA06 Build Assurance Argument• PA07 Coordinate Security• PA08 Monitor Security Posture• PA09 Provide Security Input• PA10 Specify Security Needs• PA11 Verify and Validate Security


PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES

• PA12 – Ensure Quality• PA13 – Manage Configuration• PA14 – Manage Project Risk• PA15 – Monitor and Control Technical Effort• PA16 – Plan Technical Effort• PA17 – Define Organization’s Systems Engineering Process• PA18 – Improve Organization’s Systems Engineering Process• PA19 – Manage Product Line Evolution• PA20 – Manage Systems Engineering Support Environment• PA21 – Provide Ongoing Skills and Knowledge• PA22 – Coordinate with Suppliers


Level 1• 1.1 Base Practices are Performed

Level 2• 2.1 Planning Performance• 2.2 Disciplined Performance• 2.3 Verifying Performance• 2.4 Tracking Performance

Level 3• 3.1 Defining a Standard Process• 3.2 Perform the Defined Process• 3.3 Coordinate the Process

Level 4• 4.1 Establishing Measurable Quality Goals• 4.2 Objectively Managing Performance

Level 5• 5.1 Improving Organizational Capability• 5.2 Improving Process Effectiveness

auditorÍa y seguridad informaciÓn Índice seguridad introducciÓn anÁlisis y gestiÓn de riesgos...

Documents