Excelente presentación de Federico Pacheco, donde se dan a conocer aspecto referente a la Gestión de la Seguridad, estoy seguro sera de utilidad para muchos.
tipos de organización y sus objetivos y aplicación
Gestion de la seguridad
1. Seguridad de la Información
Federico Pacheco
@FedeQuark
www.federicopacheco.com.ar
info@federicopacheco.com.ar
Introducción a la gestión de la seguridad
2. Copyright Entropy Security
Contenidos
• Necesidad de gestión de la seguridad
• Estructura normativa
• Implementación de un sistemas de gestión de la seguridad (SGSI)
• Gestión del riesgo
• Clasificación de la información
• Gestión de cambios y actividades
• Gestión de incidentes
• Concientización de usuarios
3. Copyright Entropy Security
Gestión de la seguridad
• Objetivo principal
– Proteger los activos de información de la organización
• Necesidad fundamental
– Alineación con el negocio
• Características
– Proceso continuo y cíclico
– No hay soluciones únicas ni infalibles
– Incumbencia de la alta gerencia (Top-Down)
– Requiere establecer un sistema de gestión (SGSI)
– Relacionado con el gobierno de la seguridad (Security Governance)
4. Copyright Entropy Security
Gestión de la seguridad – Proceso continuo
Planificar y
organizar
Implementar
Operar y
mantener
Monitorear y
evaluar
5. Copyright Entropy Security
Gestión de la seguridad – Estándares de SGSI
• ISO 27000
– Familia de estándares de seguridad de la información basado en BS7799
– Ejemplos
• 27.001: Requisitos de los SGSI Certificable
• 27.002: Objetivos de control y controles recomendables
• 27.003: Guía de implementación del SGSI
• 27.005: Gestión de riesgos
• COBIT (Control Objetives for Information and related Technologies)
– Utilizado para implementar Gobierno de TI
– Desarrollado por
• ISACA – Information Systems Audit and Control Association
• ITGI – IT Governance Institute
6. Copyright Entropy Security
Gestión de la seguridad – ISO 27002
Evaluación y tratamiento de riesgos
Política de Seguridad
Organización de Seguridad de la Información
Gestión de Activos
Gestión de Recursos Humanos
Seguridad Física y Ambiental
Gestión de Operaciones y Comunicaciones
Control de accesos
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad
Administración de la continuidad del negocio
Cumplimiento de normativa y leyes
7. Copyright Entropy Security
Gestión de la seguridad – Alta gerencia
• Falta de entendimiento sobre la necesidad de seguridad
• Idea de la seguridad como problemática, costosa e innecesaria
• Incapacidad de identificar los riesgos asociados
• Creer que se interferirá con el negocio
• Creer que la seguridad es un tema de tecnología
8. Copyright Entropy Security
Gestión de la seguridad – Dependencia
Gerencia de
Sistemas
Auditoría
Interna
Area de
Seguridad
Informática
Gerencia de
Seguridad
Consultoría
Externa
Recursos
Humanos
9. Copyright Entropy Security
Gestión de la seguridad – Responsable
• Máxima autoridad: Comité de seguridad
• Responsable funcional
– CISO (Chief Information Security Officer)
– ISSO (Information Systems Security Officer)
• Objetivos
– Establecer y mantener un programa de gestión de la seguridad
– Comunicarse con la alta dirección
– Debe conocer el negocio y los procesos
10. Copyright Entropy Security
Gestión de la seguridad – Estructura normativa
Nivel estratégico
Nivel táctico
Nivel operativo
Políticas
GuidelinesNormasEstándares
Procedimientos
11. Copyright Entropy Security
Gestión de la seguridad – Normativas
• Definen y clasifican las metas y objetivos
• Definen roles, responsabilidades y escala de autoridad
• Establecen criterios aceptables y uniformes de conducta
• Informan al personal sus obligaciones y medidas por incumplimiento
• Informan a terceros sobre las definiciones establecidas por la organización
• Garantizar el cumplimiento de normas externas
12. Copyright Entropy Security
Políticas de Seguridad
Declaraciones de directivas de la alta gerencia para
garantizar el apoyo y soporte a la seguridad
• Dictadas por el comité de seguridad y aprobada por las autoridades
• Suelen ser breves y generales
• Define el desarrollo del programa de gestión de seguridad
• Deben ser comunicadas y aceptadas por todo el personal
• Alineadas con normativas legales y corporativas
13. Copyright Entropy Security
Políticas de Seguridad - Implantación
• Especifican el uso uniforme de una tecnología
• Define actividades, acciones, reglas, regulaciones
Estándares
• Recomendaciones generales
• Colaboran al cumplimiento de objetivos
Normas
• Definen parámetros mínimos para un estándarBaselines
• Descripción detallada de tareasProcedimientos
14. Copyright Entropy Security
Gestión de la seguridad – Aspectos legales
• Responsabilidad de entender las
amenazas y los riesgos
Due Diligence
(Debida Diligencia)
• Implementar contramedidas para
protegerse de los riesgos
Due Care
(Debido Cuidado)
Si una organización no cumple con esto en relación a la
protección de sus activos puede ser acusada de negligencia
15. Copyright Entropy Security
Clasificación de la información
Fundamentos
• Procedimiento por el cuál se categoriza la información
• Define niveles de confidencialidad, integridad y disponibilidad
Motivos
• Saber cuánto invertir en la protección de los datos
• No todos los datos tienen el mismo valor
• No todas las personas deben acceder a todos los datos
• Aspectos legales y regulatorios
16. Copyright Entropy Security
Clasificación de la información – Criterios
Ejemplo de criterios
• Valor
• Vida útil
• Asociación con personas
Ejemplo de niveles
• Público
• Uso interno
• Confidencial
17. Copyright Entropy Security
Clasificación de la información – Resultados
• Se define la información como un activo del negocio
• Se declara a los gerentes de área como dueños de la información
• Se establece a IT como custodio de la información
• Se identifican datos importantes
• Permite definir controles y costos asociados
• Permite asignar roles y responsabilidades
• Se demuestra compromiso con la seguridad
18. Copyright Entropy Security
Clasificación de la información – Proceso
Programas de concientización
Especificación de procesos de desclasificación y transferencia de custodia
Especificación y documentación de excepciones
Clasificación realizada por el dueño (puede estar sujeta a verificación)
Especificación del criterio de clasificación
Identificación del Administrador
20. Copyright Entropy Security
Clasificación de la información – Funciones
• Gerente o Director General
• Comité de Seguridad
• Responsable de Seguridad
• Analista de Seguridad
• Administrador de Seguridad
• Auditor de seguridad
21. Copyright Entropy Security
Gestión de cambios
• Concepto
– Contar con un adecuado control sobre las modificaciones en las operaciones
• Necesidad
– Determinados cambios pueden corromper un modelo de seguridad
– Quien pide un cambio puede desconocer las implicancias
• Pautas
– El responsable debe analizar el impacto del cambio antes de implantarlo
– Procesos que aseguren que solo se realizan modificaciones autorizadas
– No debe bajar el nivel de seguridad en ningún momento
22. Copyright Entropy Security
Gestión de Logs
• Registros secuenciales de eventos
• Incluye diversas definiciones
– Selección de eventos a registrar
– Ciclos de rotación
– Compresión de logs
– Verificaciones de integridad
– Backup y protección que se dará
• Software de análisis de logs
23. Copyright Entropy Security
Gestión de actividades
• Segregación de funciones
– Nadie debe ser responsable de una tarea sensible de principio a fin
– Nadie puede ser responsable de aprobar su propio trabajo
– Sirve para la prevención del fraude
• Rotación de tareas
– Evita que el personal permanezca demasiado tiempo en una función
– Se logra un alto nivel de control sobre las actividades
– Favorece el reemplazo de funciones
• Vacaciones obligatorias
– Permite la detección de fraude y actividades no permitidas
– Permite detectar el desempeño
24. Copyright Entropy Security
Gestión de incidentes
• Incidente de Seguridad
– Evento no deseado de significativa probabilidad de amenazar la seguridad
• Gestión de incidentes
– Proceso para identificar tempranamente desvíos en políticas o fallas en controles
• Realidad: los incidentes ocurren tarde o temprano
– No existe la seguridad total
– Es importante desarrollar la capacidad de reaccionar
25. Copyright Entropy Security
Gestión de incidentes – CSIRT
• CSIRT: Computer Security Incident Response Team
– Equipo de respuesta a incidentes de seguridad
– Suele haber CSIRT nacionales (US-CERT, ArCERT, AusCERT, etc.)
• Detalles
– Puede ser interno a la organización o externo
– Recibe notificaciones de eventos ante los cuales responde
– Se encarga de la respuesta, resolución, seguimiento post-incidente y reporte
26. Copyright Entropy Security
Concientización (Awareness)
• Conceptos
– Sensibilización frente a la seguridad
– Normalmente una de las áreas de menor consideración
– Refuerza el eslabón mas débil Usuario
– No es lo mismo que Entrenamiento
• Beneficios
– Se reducen de los incidentes de seguridad
– Se incrementa de la efectividad de los controles
– Se promueve el buen uso de los recursos informáticos
27. Copyright Entropy Security
Concientización – Formas de alcanzarla
Presentaciones
Conferencias
Presentaciones
Videos
e-learning
Publicación y
Distribución
Newsletters
Boletines e intranet
Incentivos
Premios y
reconocimiento por
alcanzar objetivos
relacionados con la
seguridad
Recordatorios
Banners de login
Marketing (tazas,
lapiceras, mouse
pads, etc.)
28. Copyright Entropy Security
Concientización – Separación de audiencia
Management
• Breve
• Lenguaje acorde
• Focalizar en activos
críticos
• Impacto financiero de la
falta de seguridad
• Implicancias legales
• Definir conceptos:
políticas, estándares,
procedimientos
• Responsabilidades
Empleados en gral.
• Clara y dinámica
• Derechos y obligaciones
• Actividades aceptables
• Ejemplos
• Interacción
Personal Técnico
• Lenguaje técnico
• Implicancias de
seguridad en las tareas
habituales
• Comportamiento
esperado
• Estándares,
procedimientos,
guidelines, etc.
• Manejo de incidentes
• Funciones
• Responsabilidades
29. Copyright Entropy Security
Concientización – Revisión de resultados
• Encuestas de opinión
• Encuestas de calificación de la concientización
• Medición de incidentes antes y después de la concientización
• Observación del comportamiento del personal
• Monitoreo de uso de recursos.
• Evaluaciones de Seguridad