Curso: Seguridad de redes e Internet 10: Otras mejores prácticas que apoyan la seguridad informática.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Curso: Seguridad de redes e Internet 10: Otras mejores prácticas que apoyan la seguridad informática
1. Seguridad de Redes e Internet
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 10
Otras mejores prácticas que apoyan la
seguridad informática
2. Mejores prácticas para Gestión de
Tecnologías Informáticas
CONCEPTOS BÁSICOS
Es el resultado de una investigación con expertos de varios
paises, desarrollada por la “Information, Systems Audit and
Control Association “ISACA”.
Esta asociación se ha constituido en el organismo
normalizador y orientador en el control y la auditoría de los
sistemas de Información y Tecnología (IT).
El modelo CobIT ha sido aceptado y adoptado por
organizaciones en el ámbito mundial.
Modelo para evaluar y/o auditar la
gestión y control de los de
Sistemas de Información y
Tecnología relacionada (IT):
MODELO COBIT
(Control Objectives for
Information Systems and
related Technology)
Ing. Víctor Manuel Montaño Ardila
3. Modelo COBIT
Origen
LEGISLADORES / REGULADORES
USUARIOS PRESTADORES
DE SERVICIOS
• MARCO UNICO
REFERENCIA
PRACTICAS
SEGURIDAD
Y CONTROL
ALTAGERENCIA
•INVERSION CONTROL TI
•BALANCE RIESGO/CONTROL
• BASE BENCHMARKING
USUARIOSDETI
• ACREDITACÍON CONTROL /SEGURIDAD
POR AUDITORES O TERCEROS
• CONFUSIÓN ESTANDARES
AUDITORES
• DESGASTE
OPINION V.S.
ALTA GCIA.
• CONSULTORES EN
CONTROL/SEG.
TI
CONCEPTO
BÁSICOS
Ing. Víctor Manuel Montaño Ardila
4. CONCEPTO
BÁSICOS
Proveer un marco único reconocido a nivel mundial de
las “mejores prácticas” de control y seguridad de TI
Consolidar y armonizar estándares originados en
diferentes países desarrollados.
Concientizar a la comunidad sobre importancia del
control y la auditoría de TI.
Enlaza los objetivos y estrategias de los negocios con la
estructura de control de la TI, como factor crítico de
éxito
Aplica a todo tipo de organizaciones independiente de
sus plataformas de TI
Ratifica la importancia de la información, como uno de
los recursos más valiosos de toda organización exitosa
Ing. Víctor Manuel Montaño Ardila
5. CONCEPTO BÁSICOS
COSO : (Committe Of Sponsoring Org. of the Treadway Commission)
OECD : (Organizarion for Economic Cooperation and Development)
ISO 9003 : (International Standars Organization)
NIST : (National Institute of Standars and Technology)
DTI : (Departament of Trade and Industry of the U.K´)
ITSEC : (Information Technology Security Evaluation Criteria - Europa)
TCSEC : (Trusted Computer Evaluación Criteria - Orange Book- E.U)
IIA SAC : (Institute of Internal Auditors - Systems Auditability and Control)
IS : Auditing Standars Japón
COBIT
Representatividad
ISACA - 95 paises 20.000 miembros
Investigación: E.U-Europa-Australia-Japón
Consolidación y armonización 18 estándares
Ing. Víctor Manuel Montaño Ardila
6. CONCEPTO BÁSICOS
Para satisfacer los objetivos del negocio la
información debe cumplir con criterios que COBIT
extrae de los más reconocidos modelos:
Requerimientos de calidad
(ISO 9000-3)
•Calidad
•Costo
•Entrega
Ing. Víctor Manuel Montaño Ardila
7. Requerimientos fiduciarios
(informe COSO)
Eficacia y eficiencia
Confiabilidad de la información
Cumplimiento con leyes y
reglamentaciones
Requerimientos de seguridad
(libro rojo, naranja,
ISO 17799 y otros)
Disponibilidad
Integridad
Confidencialidad
CONCEPTO BÁSICOS
Ing. Víctor Manuel Montaño Ardila
8. REGLA DE ORO DEL COBIT
A fin, de proveer la información
que la organización requiere para
lograr sus objetivos, los recursos
de TI deben ser administrados por
un conjunto de procesos,
agrupados de forma adecuada y
normalmente aceptada.
Ing. Víctor Manuel Montaño Ardila
9. ¿POR QUÉ COBIT?
La Tecnología se ve como un
costo, no hay una terminología
común con el negocio, y se
recorta el presupuesto en la
seguridad, ya que la falta de
difusion de normas y buenas
prácticas que ayuden a
generar conciencia de los
riesgos mantiene la quimera
del :
“ A mi no me va pasar..”
Ing. Víctor Manuel Montaño Ardila
10. 10
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Atributos de calidad
Los atributos de calidad requeridos de la información, ya sea relevada
o recibida, obtenida dentro de –o sujeta a- los parámetros de
seguridad, procedimientos internos o ámbitos de actuación y/o de
responsabilidad de las distintas unidades de la organización
involucradas en el proyecto son, pero no están limitados a, los
siguientes:
Contenido completo, contextual y claro, con detalle pertinente y
suficiente para desarrollar de forma apropiada la evaluación contractual
requerida, y con el nivel pertinente.
Redacción correcta, precisa, clara, objetiva, concisa, constructiva.
11. 11
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Evaluación vs. Auditoría
Toda evaluación lleva implícita una opinión o juicio de valor, a partir de un
conjunto de informaciones sobre la evolución o los resultados de experiencias
o de la operación, con el fin de tomar una decisión lo más objetiva posible; por
tanto, es una aproximación cualitativa, un proceso reflexivo, sistemático, de
valoración sobre juicio de expertos.
Una auditoria puede tomar los resultados de la evaluación y realizar un
escrutinio externo y objetivo de ellos en busca de determinar un grado de
cumplimiento de los procesos o normativa general que la misma institución
haya establecido –evaluar la eficacia y eficiencia, analizando el contexto
organizativo y ambiental en el que se desenvuelve.
Una evaluación debe incorporarse como una práctica cotidiana que realizan los
involucrados y afecta a la institución en su conjunto, para mejorar y potenciar
continuamente su desarrollo y el de sus integrantes; por tanto, se considera
una labor de consultoría.
12. 12
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
La madurez se puede entender o visualizar como la razón por la que el
éxito ocurre, o como la vía para prevenir comúnmente los problemas.
Los modelos nos permiten representar realidades complejas
(área/entorno/organización) en forma más sencilla, a través de la
selección de un conjunto de características que la definen, cuya
evaluación nos permite obtener una visión de su situación actual,
predecir su comportamiento y proporcionar una guía de pasos a seguir
para alcanzar una situación deseada (futura).
Luego, un modelo de madurez es un conjunto estructurado de
elementos (mejores prácticas, herramientas de medición, criterios de
análisis, entre otros), que permite identificar las capacidades
instaladas en la organización con relación al aspecto evaluado,
compararlas con estándares, identificar vacíos o debilidades y
establecer procesos de mejora continua.
13. 13
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Modelo de madurez
Así, un modelo de madurez, entre otras ventajas:
Permite a la institución ubicarse a sí misma de manera relativamente fácil
en una determinada escala del modelo.
Facilita la evaluación por medio de benchmarking y la identificación de las
mejoras necesarias.
Expresa un perfil donde las condiciones relevantes a diferentes niveles de
madurez se han conseguido.
Expresa cuánta interiorización han logrado los interesados (entre otros, la
alta dirección, gerentes, jefes, personal) en los conceptos y aspectos que
se han evaluado.
Permite identificar dónde se encuentran los problemas y cómo fijar
prioridades para las mejoras, para alcanzar un determinado nivel de
madurez en un periodo razonable de tiempo.
14. 14
Mg. Ing. Jack Daniel Cáceres Meza, PMP
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO
Innovación
Benchmarking
Los procesos representan
mejores prácticas
Se utilizan herramientas de
automatización en forma
consistente
Existe un importante foco en la
mejora de la calidad y
efectividad
Innovaciones planeadas
Gestión de
configuraciones
Análisis causal y
resolución
Optimización de
procesos
Proactividad real
Cumplimiento de
metas
Procesos
predecibles que
son mejorados de
forma continua
Automatización efectiva
Existen mecanismos para la
mejora de los procesos
El cumplimiento de los
procedimientos se mide y
monitorea
Procesos estables
Resultados predecibles
Gestión del conocimiento
Gestión cuantitativa de
proyectos
Medición de procesos
Control de procesos
Cuantificación de
resultados
Explotación de
beneficios de la
estandarización
Procesos
establecidos que
se ejecutan
dentro de límites
definidos
Procesos estandarizados,
documentados y comunicados
mediante entrenamiento
No existe un procedimiento de
aseguramiento de la calidad
de los procesos
Juez y parte
Crecimiento de la
productividad
Economía de escala
Gestión integrada de
proyectos
Gestión de riesgos
Definición de procesos
Implementación de
procesos
Mediciones
eficientes y
efectivas
Entrenamiento
apropiado y
pertinente
Procesos
gestionados
implementados
usando procesos
definidos
15. 15
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Procedimientos
similares para la misma
tarea realizadas por
diferentes personas
No existen
entrenamientos o
comunicaciones
formales de estándares
Alto grado de
dependencia en
personas
Reducción del
retrabajo
Se satisfacen
compromisos
Planificación del
proyecto
Gestión del
rendimiento
Estabilizació
n del trabajo
Compromiso
de control
Procesos
ejecutados
implementad
os de forma
gestionada
Reactivo
Desorganizado
Enfoque ad-hoc aplicado
de manera individual o
caso por caso
“sólo haz que
funcione”
Ser
considerado
“bombero”
Nivel 0
No se reconocen
procesos
No se reconoce que
existe una necesidad que
debe ser contemplada
No hay problemas
por resolver
Las cosas
“funcionan”
NIVEL DE MADUREZ
CARACTERÍSTICAS
PRINCIPALES
QUÉ LO CARACTERIZA QUÉ OBTENGO
16. 16
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Otras mejores prácticas y normas internacionales
Emplearemos la Norma Técnica Peruana NTP ISO/IEC 20000-2:2008
porque constituye la primera norma específicamente orientada a la
Gestión de Servicios de TI.
La norma ISO/IEC 20000, que es referente de la calidad en la gestión de
los servicios de TI, describe un conjunto integrado de procesos de
gestión para la prestación eficaz de servicios de Tecnologías de la
Información. Podemos considerar a esta norma como ITIL orientada a
procesos.
ITIL es el enfoque más ampliamente aceptado para la gestión de
servicios de TI en el mundo.
Como toda norma de gestión planteada por la ISO, se basa en la familia
de normas ISO9000 (una serie de estándares que define, establece y
mantiene un sistema efectivo para el aseguramiento de la calidad; es
decir, plantean una forma de llevar a cabo la Gestión de la Calidad y
montar los correspondientes Sistemas de la Calidad y Mejora Continua
en una organización).
17. 17
Mg. Ing. Jack Daniel Cáceres Meza, PMP
ISO/IEC 20000
ISO/IEC 20000 =
ISO 9001 (sistema de gestión de la calidad) +
ITIL (las mejores prácticas para la gestión de servicios de TI) +
Desarrollo de los servicios (planificación e implementación
de los servicios)
Entenderemos mejor la importancia de lo
anterior para la institución mediante la
siguiente operación matemática:
18. 18
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Objetivos centrales
Algunos de los objetivos de aplicar mejores prácticas y normas
internacionales son:
Establecer un idioma común de entendimiento (terminología).
Considerar el valor que estas recomendaciones aportan (especificaciones
de calidad, alineamiento con las necesidades y requisitos del negocio,
servicio coherente y a un costo efectivo, entre otros puntos clave).
Reconocer que son vitales para:
La sostenibilidad.
Es la continuidad de operaciones sin menoscabo de la capacidad de desarrollo
futuro (eficiencia, efectividad, reducción de fallas, programas de formación y
desarrollo, cambios o necesidades de cambio, entre otros aspectos).
La sustentabilidad
O razones de inversión futura (crecimiento, actualización, demanda, por ejemplo),
de cualquier ecosistema tecnológico actual que quiera o requiera mantenerse
operativo y vigente (requisitos o especificaciones técnicas, estándares,
procedimientos, entre otros).
19. 19
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Objetivos centrales
Considerar una posible contribución con la protección del medio
ambiente (reducción del ‘carbon footprint’) cuando se utiliza tecnología
moderna (menor requerimiento de enfriamiento, optimización del
consumo de electricidad, entre otros factores de ahorro económico y de
protección medio ambiental).
20. 20
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Área de
servicios
Objetivo de
gestión
No cumple
normativa
Cumple parcialmente
la normativa
Estado
óptimo
No
aplica
Sub
total
Soporte Incidentes R 1
Soporte Problemas R 1
Soporte Configuración D 1
Soporte Cambios R 1
Soporte Versiones D 1
Soporte Ayuda R 1
Subtotales Soporte de servicios 2 4 0 0 6
Porcentajes parciales 33% 67% 0% 0% 100%
Provisión Acuerdos de
nivel de servicio D 1
Provisión Finanzas para las
TIC N 1
Provisión Planificación de
capacidades D 1
Provisión Continuidad del
servicio R 1
Provisión Disponibilidad R 1
Provisión Seguridad de las
TIC D 1
Subtotales Provisión de
servicios 3 2 0 1 6
Porcentajes parciales 50% 33% 0% 17% 100%
Totales 5 6 0 1 12
Porcentajes finales 42% 50% 0% 8% 100%
21. 21
Mg. Ing. Jack Daniel Cáceres Meza, PMP
SECUENCIA
CALIFICACIÓN
Nocumple
Cumplimiento
parcial
Estado
óptimo
Noaplica
SubTotal
Nocumple
Cumplimiento
parcial
Estado
óptimo
Noaplica
SubTotal
CARACTERÍSTICA
GENERAL DE APLICACIÓN
EVALUADA
1 Estado actual de servidores 0 0 1 1 2 0 2 0 0 2
2 Administración de redes 7 4 0 2 13 2 11 0 0 13
3 Operaciones diarias 4 1 0 2 7 2 4 0 1 7
4 Bases de datos 1 0 0 1 2 0 2 0 0 2
5 Monitorización 2 0 0 3 5 0 5 0 0 5
6 Control 5 0 0 1 6 3 2 0 1 6
7
Seguridad de datos y
sistemas, controles de
seguridad
8 0 0 3 11 4 7 0 0 11
8 Contingencia 0 0 0 11 11 6 5 0 0 11
9 Seguridad del área 0 0 0 8 8 0 8 0 0 8
10 Capacitación 3 0 0 0 3 3 0 0 0 3
11 Acuerdos de nivel de servicio 2 0 0 1 3 1 1 0 1 3
12 Costo total de propiedad 4 0 0 1 5 2 2 0 1 5
13 Protección del medio ambiente 0 0 0 2 2 2 0 0 0 2
14 Gestión 14 0 0 0 14 14 0 0 0 14
15
Planeamiento de capacidad e
infraestructura
2 0 0 4 6 2 4 0 0 6
Sub totales 52 5 1 40 98 41 53 0 4 98
Porcentajes parciales 53% 5% 1% 41% 100% 42% 54% 0% 4% 100%
22. 22
Mg. Ing. Jack Daniel Cáceres Meza, PMP
PROBLEMA IDENTIFICADO ALTERNATIVA DE SOLUCIÓN
Limitaciones para una actuación rápida en caso se
presentan incidentes o eventos inesperados en las
operaciones
Priorizar el desarrollo de procesos orientados a garantizar
una respuesta eficiente a incidentes y del marco normativo
y operativo necesario para gestionarlos apropiadamente
Desconocimiento de acciones que se deben realizar en
diferentes actividades operativas
Priorizar el desarrollo de procesos orientados a garantizar la
eficiencia de las operaciones y del marco normativo y
operativo necesario para gestionarlas apropiadamente
Incapacidad para identificar las acciones realizadas en el
sistema operativo de los servidores físicos y lógicos y en
los sistemas informáticos
Priorizar el desarrollo de procesos orientados a garantizar la
trazabilidad de las acciones realizadas en los sistemas
informáticos y sistema operativo, y del marco normativo y
operativo necesario para gestionarlos apropiadamente
Ocultamiento de evidencia de problemas operativos o
administrativos internos sirviéndose de la seguridad
informática como escudo
Concientizar al personal en seguridad de la información
Reticencia y recelo general para abordar temas de
seguridad
Desarrollo de un programa de formación en seguridad de la
información
Confusión de conceptos referidos a la seguridad
informática y la seguridad de la información
Desarrollo de un programa de formación en seguridad de la
información
Incumplimiento de Normas Técnicas Peruanas
relacionadas con la gestión de los servicios y la seguridad
de la información
Desarrollo de un programa de formación en la aplicación de
las normas internacionales correspondientes que sirven de
base a las Normas Técnicas Peruanas
Desestimación de las ventajas de aplicar mejores prácticas
en la industria
Desarrollo de un programa de formación en la aplicación de
mejores prácticas en la industria
23. 23
Mg. Ing. Jack Daniel Cáceres Meza, PMP
PROBLEMA IDENTIFICADO ALTERNATIVA DE SOLUCIÓN
Inexistencia de niveles de servicio tanto interno como para
el usuario final
Priorizar el desarrollo de procesos operativos para
determinar el nivel de servicio requerido y del marco
normativo y operativo necesario para gestionarlo
apropiadamente
Incapacidad de monitorizar y controlar proactivamente los
servidores físicos y lógicos en la LAN y en la WAN
Priorizar el desarrollo de procesos orientados a garantizar la
disponibilidad de los servicios y del marco normativo y
operativo necesario para gestionarlos apropiadamente
Inexistencia de información relacionada con la
configuración de los servidores físicos y lógicos y su
configuración en la LAN, y WAN
Priorizar el desarrollo de procesos orientados a garantizar la
disponibilidad de los servicios y del marco normativo y
operativo necesario para gestionarlos apropiadamente
Inexistencia de un historial de cambios realizados, en las
configuraciones de base de los servidores (HW y SW), y de
los sistemas informáticos
Priorizar el desarrollo de procesos orientados a garantizar la
disponibilidad de los servicios y del marco normativo y
operativo necesario para gestionarlos apropiadamente
Limitaciones en la provisión proactiva de servicios
Priorizar el desarrollo de procesos orientados a garantizar
una provisión eficiente de servicios y del marco normativo y
operativo necesario para gestionarlos apropiadamente
Limitaciones en el soporte proactivo de los servicios
Priorizar el desarrollo de procesos orientados a garantizar
un soporte eficiente de los servicios y del marco normativo
y operativo necesario para gestionarlos apropiadamente
Limitada información referida a la adquisición, desarrollo y
mantenimiento de sistemas de información
Emplear normas internas o desarrollar el marco normativo
y operativo necesario para una gestión eficiente
24. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com