Aspectos Generales Sobre

Seguridad de la Información

M&T Consulting

Calle Las Begonias N° 552, Ofi. 47

Centro Financiero San Isidro.

Central: (511) 719-5670 / 719-5671

www.myt.com.pe

Eric Morán Añazco

MBA, PMP, Lead Auditor ISO 27001

Consulting Division Manager

eric.moran@myt.com.pe

M&T Consulting

AGENDA

Por qué concientizar

Activo de información

Amenaza, vulnerabilidad y riesgo de SI

¿Qué es seguridad de la Información?

Objetivo de la seguridad de la información

Controles de seguridad de la información

Normas, estándares y buenas prácticas en

seguridad de la información

Incidentes de seguridad de la información

Ingeniería Social

Concienciación en seguridad

Aspectos generales del SGSI

La Importancia de Concientizar

Un grupo de hackers

anunció que publicará

algunos correos

electrónicos del primer

ministro Óscar Valdés

Dancuart,.La primera de

tres partes, que ya está en

Internet, contiene 1.000

documentos del Gobierno

Peruano, “desde archivos

PDF y Power Point de

tratados del Gobierno, o de

simples manuales”.

elcomercio.pe - Martes 07 de febrero de 2012 - 09:00 am

El impacto económico, político y social de los ataques cibernéticos ha

dejado de ser “posible” para convertirse en “real”.

Hacker robó 2. 000 registros de

clientes (mayo 2011) http://www.computerworlduk.com/

Se propaga un malware en un

spam de Facebook

http://www.symantec.com/

2011

Información de 100

millones de usuarios se vio

comprometida

Computerworld (US) 2011

Hasta tres millones de

cuentas se vio

comprometida

The New York Times

2011

Estafas a jubilados por

tramitadores falsos, que

conocen los datos privados de

los empleados.

El Comercio 2011

Publican contraseñas de

más de 55.000 usuarios de

Twitter

El Comercio 2012

Celulares y documentos de altos

funcionarios diplomáticos fueron

difundidos por hackers

El Comercio 2012

'Hacker' vulneró portal

de la PNP

El Comercio 2010

Cable de Wikileaks revela

peligrosas infidencias en

SBS

El Comercio 2011

Incluso entidades preparadas con vastos controles tecnológicos

de seguridad han sido vulneradas el último año

La Importancia de Concientizar

La Importancia de Concientizar

La Importancia de Concientizar

• Elaboración de programas

únicos.

• Bombardeo de información a los

usuarios.

• Falla en el seguimiento del

programa.

Errores Comunes

Los activos de información adoptan diversas formas:

– Documentos en papel: contratos, guías

– Software: aplicativos y software de sistemas

– Dispositivos físicos: computadoras, medios removibles

– Personas: clientes, personal, etc.

– Imagen y reputación de la Institución: marca

– Servicios: comunicaciones, internet, energía.

Activo de Información es todo lo que es o contiene información y

tiene valor para la organización. Si la información no está contenida,

no es un activo de información. No confundir con activos fijos.

Activo de Información

¿Debo considerar a la caja fuerte como un activo?

¿Son activos de Información?

Clasificación Marcado Ubicación

Valorización Propietario Custodio

Propiedades de un Activo de Información

• Causa potencial de un incidente no deseado que puede resultar en daño al sistema o a la organización o a sus activos

• Puede ser accidental o intencional

• Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades:

– Desastres naturales: terremoto, inundación, etc.

– Humanas: errores de mantenimiento, huelga, errores de usuario

– Tecnológicas: caída de red, sobre tráfico, falla de hardware

Amenazas

Amenazas por Desastres Naturales

• Incendios

• Terremotos

• Avalancha / huayco

• Inundaciones

• Otros: tornado, viento, volcán,

tsunami, tormenta de invierno,

tormenta solar, tormenta

eléctrica/relámpago

Amenazas Tecnológicas

• Fuga de información

– Crecimiento de uso de equipos móviles

(laptops, PDA’s, celulares)

• Virus y malware

– Aumento de complejidad y eficacia de

virus y herramientas de hacking.

• Falla de sistemas de información (software

y hardware)

Amenazas causadas por Humanos

• Divulgación de

información por email

• Sabotaje

• Terrorismo

• Hackers

• Ingeniería Social

Vulnerabilidades

• Una vulnerabilidad es una debilidad o ausencia de control en la seguridad de información de una organización

• Por sí sola no causa daños

• Si no es administrada, permitirá que una amenaza se concrete

• Ejemplo:

– Ausencia de personal clave

– Sistema de energía inestable

– Cableado desprotegido

– Falta de conciencia de seguridad

– Ausencia de sistema extinguidor de incendios

Riesgos en seres humanos

Amenaza Vulnerabilidad

Consecuencia

Riesgos en Documentos

Amenaza Vulnerabilidad

Consecuencia

Riesgos en Sistemas Informáticos

Amenaza Vulnerabilidad

Consecuencia

Riesgos en Activos Físicos

Amenaza Vulnerabilidad

Consecuencia

Riesgo de seguridad de la información

Posibilidad que una amenaza concreta pueda

explotar una vulnerabilidad para causar una

pérdida o daño en un activo de información.

(ISO 27001).

Valor del activo Amenaza Vulnerabilidades x

Impacto Probabilidad de

ocurrencia x

Seguridad de la información

Acceso cuando

sea requerido

Disponibilidad

Sólo acceden

quienes están

autorizados.

Confidencialidad

La información y su

procesamiento son

exactos y completos.

Integridad

Preservación de la confidencialidad, integridad y disponibilidad de la

información, así mismo, otras propiedades como la autenticidad, no rechazo,

contabilidad y confiabilidad también pueden ser consideradas” ISO/IEC 27002

Información

Objetivo de la Seguridad de Información

– Asegurar la continuidad de las

operaciones de la Institución

– Minimizar los daños a la organización

en caso de pérdida o revelación no

autorizada de información.

– Maximimar el retorno de las inversiones

y las oportunidades de negocio

La seguridad de la información no es un proceso tecnológico, es un “PROCESO DE GESTION”

ISO/IEC 27002

Control de Seguridad de Información

Herramienta de la gestión del riesgo, incluido

políticas, pautas, estructuras organizacionales,

que pueden ser de naturaleza administrativa,

técnica, gerencial o legal. NOTA: Control es también usado como sinónimo de salvaguardia o contramedida

ISO/IEC 27002

NORMAS, MARCOS Y ESTANDARES

Control Interno

• COSO

• CobIT

• Sarbanex Oxley

Gestión de Riesgos

• ASNZ 4360

• ISO 27005

• Octave

• Magerit

Gestión de Proyectos

• PMBOK

• CMMi

Seguridad de la Información

• ISO 27002

• ISO 27001

• NIST 800-14

• ITIL

Continuidad de Negocios

• NIST 800-34

• BS 25999

• DRII

Historia de las Normas

1995 20001999199819971996 2004200320022001

BS 7799-1:1995

BS 7799-1:1999

BS ISO/IEC

17799:2000BS 7799-1:2000

NTP -ISO/IEC

17799:2004

BS 7799-2:1998

BS 7799-2:1999

BS 7799-2:2002

CÓDIGO DE PRÁCTICAS

PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

ESPECIFICACIONES

PARA SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

UNE-ISO/IEC

17799:2002

2005

ISO/IEC

17799:2005

ISO/IEC

27001:2005

2006 2007

NTP -ISO/IEC

17799:2007

Normas ISO de Gestión de Seguridad de la Información

ISO/IEC 27000 es un conjunto de estándares

desarrollados -o en fase de desarrollo- por

ISO (International Organization for

Standardization) e IEC (International

Electrotechnical Commission), que

proporcionan un marco de gestión de la

seguridad de la información utilizable por

cualquier tipo de organización, pública o

privada, grande o pequeña. ISO 27001

ISO 27002

(antes 17799)

ISO 27000

ISO 27003 ISO 27004 ISO 27005

BREAK: de 10 minutos

Estratégico

Operativo

Política de Seguridad

Organización de la

Seguridad de Información

Seguridad de los Recursos

Humanos

Seguridad Física y

Ambiental

Gestión de activos Control de Accesos

Gestión de Operaciones y

Comunicaciones

Adquisición, Desarrollo y

Mant. de Sistemas

Gestión de Continuidad de

Negocios

Gestión de Incidentes de

Seguridad Cumplimiento

Controles para

la Gestión de

la Seguridad

de la

Información

SGSI - Sesión 01

ISO 27002 Código de Buenas prácticas de seguridad de la Inf.

6 Aspectos Organizacionales

Aspectos Físicos

Aspectos Técnicos

Aspecto de Control

1

3

11 cláusulas

39 categorías

133 controles

1

Política de Código Móvil

Donde el uso de código móvil es autorizado, la configuración debe asegurar que dicho

código móvil opera de acuerdo a una política de seguridad definida y que se debe

prevenir que éste sea ejecutado.

(ISO 27002 Control 10.4.2)

El código móvil es un código de software

que se transfiere desde una computadora a

otra y luego ejecuta automáticamente y

realiza una función específica con poco o

ninguna interacción del usuario.

Política de Backup

Se deben hacer regularmente copias de seguridad de toda la información esencial del

negocio y del software, en concordancia con la política acordada de recuperación

(ISO 27002 Control 10.5.1)

Política para el intercambio de información y software

Se deben establecer políticas, procedimientos y controles formales de intercambio con

el fin de proteger la información a través de todos los tipos de instalaciones de

comunicación.

(ISO 27002 Control 10.8.1)

Información

• Correo electrónico

• Voz

• Fax

• Video

Software

• Descarga de Internet

• Proveedores

Política de Sistemas de Información de Negocios

Se deben desarrollar e implementar políticas y procedimientos con el fin de proteger la

información asociada con la interconexión de sistemas de información de negocios.

(ISO 27002 Control 10.8.5)

Los sistemas de información

permiten distribuir rápidamente y

compartir información de negocio.

•Controles de acceso

•Clasificación de información

•Identificación de usuarios

•Backup

•Contingencias

Política de Control de Accesos

• Considerar acceso físico

y lógico.

• “Todo lo que no está

explícitamente permitido

debe estar prohibido”

Una política de control de acceso debe ser establecida, documentada y revisada y debe

estar basada en los requerimientos de seguridad y del negocio

(ISO 27002 Control 11.1.1)

Política de Pantalla y Escritorio Limpio

Se debe adoptar una política de escritorio limpio para papeles y medios removibles de

almacenamiento así como una política de pantalla limpia para instalaciones de

procesamiento de información.

(ISO 27002 Control 11.3.3)

Política de uso de los servicios de la red

Los usuarios sólo deben tener acceso directo a los servicios para los que estén

autorizados de una forma específica.

(ISO 27002 Control 11.4.1)

•Redes y servicios de red

permitidos

•Web

•Correo electrónico

•Mensajería instantánea

•VPN / Acceso remoto,

Política de informática móvil y comunicaciones

Se debe adoptar una política formal y medidas de seguridad apropiadas con el fin de

protegernos contra los riesgos cuando se usan dispositivos de informática

(ISO 27002 Control 11.7.1)

•Laptops

•Teléfonos celulares

•Agendas PDA

•Dispositivos inalámbricos

•Consideraciones:

•Uso en áreas públicas

•Software malicioso

•Backup

•Robo

Política de Teletrabajo

Se debe desarrollar e implementar una política, planes operacionales y procedimientos

para las actividades de teletrabajo.

(ISO 27002 Control 11.7.2)

•Consideraciones:

• Robo de equipos

•Fuga de información

•Propiedad intelectual

•Auditoria a equipos

•Licencia de software

•Protección antivirus

Incidente de Seguridad de la Información

“Una o varias series de eventos inesperados y no

deseados que tienen una gran probabilidad de

comprometer las operaciones de negocios y de

amenazar la seguridad de información”

ISO/IEC 18044

“Violación de un control”

Política de uso de los controles criptográficos

La organización debe desarrollar e implementar una política de uso de las medidas

criptográficas para proteger la información.

(ISO 27002 Control 12.3.1)

•Consideraciones:

• Situaciones en las que debe

utilizarse

• Nivel de protección requerido

(tipo, algoritmo)

•Responsabilidades

•Regulaciones

Ingeniería Social – un riesgo olvidado

¿Qué es Ingeniería Social?

Consiste en engañar a alguien para que

entregue información o permita el acceso no

autorizado o divulgación no autorizada, que

usualmente no daría, a un Sistema de

Información, Aplicativo o Recurso

Informático.

“El Arte de engañar a las personas”

Concienciación en seguridad

“Finalizar, de manera progresiva, con el

desconocimiento de la seguridad de la

información en toda la organización”

“Crear una cultura real de seguridad de la

información dentro de una organización”

1. Inventariar Personas Tecnologia

Procesos Ambiente

2. Análisis

3. Evaluación 4. Tratamiento

Basado en la

Norma

ISO 27005

Activos y sus

atributos

Controles

actuales

Amenazas

Vulnerabilidades

Riesgo Efectivo

Mecanismos

propuestos

Impacto

Probabilidad

Gestión de Riesgos

Relevancia

Modelo de Gestión de la Seguridad de la Información – Modelo PDCA P

AR

TE

S I

NT

ER

AS

AD

AS

Ex

pe

cta

tiva

s y r

eq

uis

ito

s d

e s

eg

uri

da

d d

e In

form

ac

ión

PA

RT

ES

IN

TE

RS

AD

AS

S

eg

uri

da

d d

e In

form

ac

ión

G

es

tio

na

da

•Implementación de Política, controles y

procedimientos

•Asignación de recursos (gente, tiempo y dinero)

•Programa de concientización

•Tratamiento de riesgo

•Medición de resultados

•Análisis de tendencias

•Auditoria interna

•Revión de la Gerencia

•Definición del alcance del Sistema

•Evaluación de Riesgos.

•Plan de Tratamiento de Riesgos

•Definición de Políticas de Seguridad

•Tratamiento de no conformidades

•Acciones correctivas y preventivas

ACTUAR

Mantener y mejorar el

SGSI

PLANEAR

Establecer el SGSI

HACER

Implementar y operar el

SGSI

VERIFICAR

Monitorear y revisar el

SGSI

Estructura de la norma ISO 27001

0. Introducción

• General

• Enfoque de procesos

• Compatibilidad con otros sistemas de gestión

1. Alcance

• General

• Aplicación

2. Referencias normativa

3. Términos y definiciones

4. Sistema de gestión de seguridad de

información

5. Responsabilidad de la gerencia

6. Auditorias internas del SGSI

7. Revisión por la dirección del SGSI

8. Mejora del SGSI Anexo A: Objetivos

de control y controles

Anexo B: Principios OECD y la Norma

Internacional

Anexo C: Correspondencia

entre ISO 9001:2000, ISO 14001:2004 y la Norma Internacional

Requisitos obligatorios de ISO 27001

Objetivos de control y controles (Desarrollado en ISO 17799)

Cláusula 4: Sistema de Gestión de Seguridad

de la Información

• Requerimientos Generales:

– Indica que el proceso utilizado está basado en el modelo PDCA.

• Estableciendo y Administrando el SGSI:

– Establecer el SGSI (Plan)

– Implementar y operar el SGSI. (Do)

– Monitorear y revisar el SGSI. (Check)

– Mantener y mejorar el SGSI. (Act)

• Requerimientos de Documentación:

– Son parte del sustento del proceso de funcionamiento del SGSI.

• Generales

• Control de Documentos

• Control de Registros

Cláusula 5: Responsabilidad de la dirección

• El Compromiso de la Dirección, se evidencia:

– Estableciendo la política de seguridad de información

– Garantizando el establecimiento de planes y objetivos de la seguridad

de información

– Estableciendo reglas y responsabilidades

– Comunicando a la organización la importancia de estar de acuerdo con

los objetivos de seguridad

– Brindando recursos para planificar, implementar, operar y mantener el

SGSI

– Decidiendo los niveles de riesgo aceptables.

Provisión de recursos

Capacitación,

concientización y

competencia

Cláusula 7: Revisión de la Gestión del SGSI

• La dirección debe revisar el SGSI para asegurar su conveniencia,

suficiencia y efectividad continua.

Revisión

de la

Gestión

del SGSI

Resultados de auditorías y revisiones del SGSI

Retroalimentación de terceras partes interesadas

Técnicas, productos o procedimientos para mejorar el SGSI

Estado de las acciones preventivas y correctivas

Vulnerabilidades o amenazas no dirigidas adecuadamente

en la Evaluación del Riesgo previa

Resultados de las mediciones de efectividad

Acciones de seguimiento de revisiones previas

Cambios que pudieran afectar el SGSI

Recomendaciones para la mejora

Mejora de la efectividad del SGSI

Actualización de la Evaluación del

Riesgo y Plan de Tratamiento del

Riesgo

Modificación de los procedimientos y

controles que afectan la seguridad de

la información

Necesidades de recursos

Mejora de la medición de la

efectividad de los controles

Entradas Salidas

Al menos 1 vez

al año Debe realizarse

a intervalos

planificados

Cláusula 8: Mejora del SGSI

Identificar las no-conformidades

Determinar las causas

Evaluar la necesidad de acciones para que no vuelvan a ocurrir

Determinar e implementar acciones correctivas

Registrar los resultados

Revisar la eficacia de las acciones implementadas

Identificar las no conformidades potenciales y sus causas

Determinar e implementar acciones preventivas

Registrar los resultados

Revisar las acciones preventivas tomadas

Identificar cambios en los riesgos

Controlar riesgos modificados

Acciones Correctivas

Eliminan las causas de las

no-conformidades, para

prevenir su repetición

Acciones Preventivas

Acciones para protegerse

contra no-conformidades

futuras

Mejora Continua

Procedimientos del SGSI

SGSI

4.2.2 h

• Procedimiento de gestión y respuesta a incidentes de seguridad

4.2.3 a

• Procedimiento de gestión de riesgos de seguridad

4.3.2

• Procedimiento para la gestión y control de documentos

4.3.3

• Procedimiento para el control de registros del SGSI

6

•Procedimiento para Auditorias Internas

8.2

• Procedimiento para Acciones Correctivas

8.3

• Procedimiento para Acciones Preventivas

Fuente: ISO 27001:2005

Estructura del SGSI

Política de Seguridad de la Información

Estructura Organizacional

Comité de Seguridad

Equipos de Trabajo

Plan de Seguridad

Políticas específicas de

seguridad

Capacitación y toma de

conciencia Procedimientos

Guías, Instructivos

Simulacros Controles Técnicos

Estructura Organizacional del SGSI

Comité de Gestión de Seguridad

Gerencia General, Gerentes de línea

Equipo de Trabajo

- Jefes de Área, Coordinadora

de Informática

Oficial de Seguridad de la Información

GRACIAS !!!

Lic. Eric Morán Añazco MBA, PMP, Lead Auditor ISO 27001

Consulting Manager Eric.moran@myt.com.pe