Agenda Introducción. Obstáculos para implementar
Seguridad Informática Administración de la
Seguridad Informática Ciclo de vida de la Seguridad
Informática Conclusiones Propuesta para los miembros del
IIMV
Introducción La Información es un activo que como
cualquier otro activo importante del negocio, tiene valor para la
organización, consecuentemente necesita
“Protección Adecuada”.
Introducción Tipos de Información Impresos o
escritos en papel. Almacenada electrónicamente. Transmite
por correo o en forma electrónica. La que se muestra en
videos corporativos. Lo que se habla en conversaciones.
Estructura corporativa de información.
Introducción La implementación de esquemas de
Administración de la Seguridad Informática en la
institución debe seguir estándares y mejores
prácticas del mercado. Es una necesidad del negocio ante
las circunstancias actuales.
Introducción
Obstáculos
Obstáculos Falta de conciencia de usuarios finales.
Presupuesto. Falta de apoyo de la alta gerencia. Falta de
Entrenamiento. Pobre definición de responsabilidades.
Falta de herramientas. Aspectos legales.
Administración de la Seguridad Informática
AS/NZS ISO/IEC 17799:2001 Conjunto de controles que dan una serie
de recomendaciones en el desarrollo de un proceso de
Administración de la Seguridad Informática. Son 127
controles estructurados en diez grandes áreas. Genera
confianza entre las instituciones que se relacionan.
Porqué está siendo utilizado? Único SASI que
es aceptado globalmente. Ayuda a reducir las primas de seguros.
Para mejorar la Seguridad de la Información. Eleva la
confianza de clientes y aliados en nuestra organización.
AS/NZS ISO/IEC 17799:2001
Donde está siendo utilizado como un estándar
nacional? Australia/New Zealand Brazil Czech Republic Finland
Iceland Ireland Netherlands Norway Sweden AS/NZS ISO/IEC
17799:2001
AS/NZS ISO/IEC 17799:2001
AS/NZS ISO/IEC 17799:2001 Las 10 áreas que cubre son:
Políticas de Seguridad, Seguridad Organizacional,
Clasificación y Control de Activos, Seguridad del
Personal, Seguridad Física y ambiental, Administraciones
de las Operaciones y Comunicaciones,
AS/NZS ISO/IEC 17799:2001 Las 10 áreas que cubre son:
Control de accesos, Desarrollo y mantenimiento de Sistemas,
Administración de la Continuidad del negocio, Cumplimiento
de aspectos legales.
Áreas que cubre el Estándar
1. Políticas de Seguridad Objetivo: Proveer
dirección y soporte administrativo para la seguridad de
Información. La administración superior debe
definir una política clara y apoyar la Seguridad de la
Información a través de la creación y
mantenimiento de una política de seguridad de la
información a lo largo de la organización.
1. Políticas de Seguridad Documento de Políticas de
Seguridad. Debe ser aprobado por la administración,
publicado y comunicado a todos los empleados. Revisión y
Evaluación. La política debe ser administrada por
una persona quién es responsable de su mantenimiento y
revisión de acuerdo a un proceso definido.
2. Seguridad Organizacional Infraestructura de la Seguridad de la
Información: Objetivo: Administrar la seguridad de la
Información dentro de la organización. Consejo
directivo o un grupo designado por este debería de asumir
la responsabilidad de la seguridad de información.
2. Seguridad Organizacional Infraestructura de la Seguridad de la
Información: Deben ser claramente definidas las
responsabilidades para la protección de activos de
información ó físicos y procesos de
seguridad. Se deben establecer procesos de autorización
para nuevas facilidades de procesamiento de la
información. Es recomendable disponer de la
asesoría de un especialista de seguridad (para
propósitos de evaluación o de investigación
de incidentes).
2. Seguridad Organizacional Seguridad en el acceso de terceros:
Objetivo: Mantener la seguridad de los dispositivos de
procesamiento de la información organizacional y activos
de información al que acceden terceras partes. Revisar los
tipos de acceso (físicos y lógicos). Contratos
deben incluir controles.
3. Clasificación y Control de activos Accountability para
los activos: Objetivo: Mantener protecciones apropiadas para los
activos organizacionales. Inventario de Activos Ayudan a asegurar
que hay una efectiva protección de activos. Cada activo
deberá ser claramente identificado y se debe documentar la
propiedad y clasificación de seguridad, además de
su ubicación actual.
3. Clasificación y Control de activos Clasificación
de la Información: Objetivo: Asegurar que los activos de
información reciben un apropiado nivel de
protección. Controles a la información deben tomar
en cuenta las necesidades del negocio para compartir o restringir
información. La responsabilidad de definir la
clasificación de un ítem de información debe
permanecer con la persona nombrada como dueña de la
información.
4. Seguridad del Personal Seguridad en la definición de
trabajos: Objetivo: Reducir los riesgos de errores humanos, robo,
fraude o mal uso de las facilidades organizacionales. Todos los
empleados y usuarios externos de los servicios de procesamiento
de la información deberían firmar un acuerdo de
confidencialidad. El acuerdo de confidencialidad debe hacer notar
que la información es confidencial o secreta.
4. Seguridad del Personal Entrenamiento de usuarios: Objetivo:
Asegurarse que los usuarios conocen de las amenazas y
preocupaciones de la Seguridad de la Información. Todos
los empleados de la organización deberán recibir
entrenamiento apropiado en los procedimientos y políticas
organizacionales. La regularidad dependerá de la
actualización o los cambios que se den en la
organización.
4. Seguridad del Personal Respuestas a eventos de seguridad:
Objetivo: Minimizar el daño del mal funcionamiento de
software o de un incidente de seguridad y monitorear y aprender
de tales incidentes. Debe establecerse un procedimiento formal de
reporte de incidentes como de respuesta a incidentes. Usuarios
deberán reportar cualquier debilidad de seguridad
observada o sospechas que tengan de los sistemas o
servicios.
5. Seguridad Física y ambiental Respuestas a eventos de
seguridad: Objetivo: Prevenir el acceso no autorizado,
daño e interferencia a la información y premisas
del negocio. Los elementos que forman parte del procesamiento de
información sensitiva o crítica del negocio
deberán ser resguardados y protegidos por un
perímetro de seguridad definido con controles apropiados
de entrada. Los equipos deben ser protegidos de caídas de
electricidad y otras anomalías eléctricas.
6. Administración de Comunicaciones y Operaciones
Responsabilidades y procedimientos operacionales: Objetivo:
Asegurar la correcta y segura operación de todos los
elementos de procesamiento de la información. Los
procedimientos de operación identificados por la
política de seguridad deberán ser documentados y
revisados constantemente. Los cambios en los sistemas y elementos
de procesamiento de información deben ser
controlados.
6. Administración de Comunicaciones y Operaciones
Responsabilidades y procedimientos operacionales: Se deben
establecer procedimientos y responsabilidades para el manejo de
incidentes, como: Procedimientos que cubran todos los tipos
potenciales de incidentes de seguridad (pérdidas de
servicio, negación de servicio, datos incorrectos, brechas
de confidencialidad. Procedimientos para Planes de Contingencia,
Análisis e Identificación de las causas de un
incidente, Colección de pistas de auditoría,
Reporte a las autoridades, etc.
6. Administración de Comunicaciones y Operaciones
Responsabilidades y procedimientos operacionales: Acciones a
seguir para recuperarse de problemas de seguridad y
corrección de fallas en los sistemas, (las acciones de
emergencias deben ser documentadas en detalle). La
segregación de tareas es un método de reducir los
riesgos del mal uso (accidental o deliberado) de los sistemas.
Áreas de desarrollo de Sistemas y Pruebas deben estar
separadas de los Sistemas en Producción.
6. Administración de Comunicaciones y Operaciones
Planeamiento y Aceptación de Sistemas: Objetivo: Minimizar
los riesgos de fallas en los sistemas. Se debe monitorear y
proyectar los requerimientos de capacidad a fin de asegurar que
hay disponible una adecuada capacidad de procesamiento y
almacenamiento. Deben establecerse criterios de aceptación
para nuevos sistemas de información, actualizaciones y
nuevas versiones y se deben definir pruebas para llevarlas a cabo
antes de su aceptación.
6. Administración de Comunicaciones y Operaciones
Protección contra Software Malicioso: Objetivo: Proteger
la integridad del Software y la Información. Controles
contra Software Malicioso: Política para el cumplimiento
con licencias de software y prohibir el uso de software No
autorizado. Política para proteger contra los riesgos
asociados al obtener archivos o software de redes externas.
Instalación y actualización regular de Antivirus y
software scaneador de computadoras cono una medida
preventiva.
Controles contra Software Malicioso: Revisar regularmente del
software y contenido de datos de los sistemas que soportan los
sistemas críticos del negocio. Revisar cualquier archivo
electrónico contra virus. Revisar los documentos adjuntos
en correos electrónicos así como cualquier archivo
que se baje de Internet contra código malicioso.
Procedimientos y responsabilidades administrativas para lidiar
con la protección de virus en los sistemas, entrenamiento
y reporte y recuperación de ataques. Planes de Continuidad
del Negocio para recuperarse ante ataques de virus.
Procedimientos para verificar todas la información en
relación con software malicioso y verificar que los
boletines de advertencia son verdaderos. 6. Administración
de Comunicaciones y Operaciones
Soporte Continuo. Objetivo: Mantener la integridad y
disponibilidad del procesamiento de la información y
servicios de comunicación.. Hacer copias en forma regular
de la información esencial del negocio y del software. Se
pueden utilizar los siguientes controles: Documentación de
los Backups, copias adicionales y almacenadas en una localidad
remota. Los Back-ups se deben proteger físicamente y
contra las condiciones del ambiente. 6. Administración de
Comunicaciones y Operaciones
Administración de Redes. Objetivo: Asegurar la
protección de la información en las redes
así como de su infraestructura. Los administradores de la
red deben implementar controles que aseguren a los datos en la
red de accesos no autorizados. También se deben
implementar controles adicionales para proteger los datos
sensitivos que pasan sobre redes públicas. 6.
Administración de Comunicaciones y Operaciones
Seguridad y Manejo de los medios. Objetivo: Prevenir el
daño a activos e interrupciones a actividades del negocio.
Se deben definir procedimientos para la protección de
documentos, discos, cintas, bases de datos, etc., del robo o
acceso no autorizado. Los medios que no se ocupen más en
la empresa deben ser desechados en forma segura. La
documentación de sistemas puede contener
información sensitiva por lo que debe ser almacenada con
seguridad. 6. Administración de Comunicaciones y
Operaciones
Intercambio de información y software. Objetivo: Prevenir
la pérdida, modificación o mal uso de la
información intercambiada entre organizaciones. El correo
electrónico presenta los siguientes riesgos:
Vulnerabilidad de los mensajes ó acceso no autorizado.
Vulnerabilidad a errores (direcciones incorrectas). Cambio en los
esquemas de comunicación (más personal).
Consideraciones legales (prueba de origen). Controles para el
acceso remoto al correo. 6. Administración de
Comunicaciones y Operaciones
7. Controles de Acceso Requerimientos del Negocio para el control
de accesos: Objetivo: Controlar el acceso a la
información. Las reglas y derechos para el control de
acceso de usuarios o grupos de usuarios deben estar bien claras
en un documento de políticas de acceso.
Administración del Acceso a Usuarios Objetivo: Prevenir el
acceso no autorizado a Sistemas de Información. Deben
existir procedimientos formales para el registro y
eliminación de usuarios.
7. Controles de Acceso Deben existir procesos formales para el
control de los password. Usuarios deben seguir buenas
prácticas de seguridad en la selección y uso de
passwords. Control de Acceso a la red Objetivo: Protección
de los servicios de la red. Se debe controlar el acceso a
servicios internos y externos de la red. Control de acceso al
Sistema operativo Objetivo: Prevenir el acceso no autorizado a la
computadora. Restringir el acceso a recursos de la
computadora.
7. Controles de Acceso Control de Acceso a Aplicaciones.
Objetivo: Prevenir el acceso no autorizado a información
mantenida en los Sistemas de Información. Monitorear el
uso y acceso a los sistemas Los sistemas deben ser monitoreados
para detectar desviaciones de las políticas de control de
accesos y grabar eventos específicos para proveer de
evidencia en caso de incidentes de seguridad. Computación
Móvil. Objetivo: Asegurar la seguridad de la
información cuando se utilizan dispositivos
móviles.
ESTA PRESENTACIÓN CONTIENE MAS DIAPOSITIVAS DISPONIBLES EN
LA VERSIÓN DE DESCARGA