Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
La seguridad alineada con necesidades de negocio
1. GESTIÓN DE LA SEGURIDAD
ORIENTADA A NEGOCIO
Javier Cao Avellaneda
Ingeniero en Informática
Director técnico del Área de Seguridad de la Información
javier.cao@firma-e.com
2. Presentación: ¿Quiénes somos Firma-e?
Seguridad de la Protección de Datos
Información Personales
Expediente
Factura y Firma
Electrónico y Gestión
Electrónica
Documental Segura
3. Agenda
• Análisis del entorno.
• Cómo enfocar la seguridad.
• La gestión de la seguridad.
4. ¿Qué está pasando?
Estamos en el Siglo XXI, la era de la
información digital.
5. Nuevos modelos TI: Virtualización y Cloud
Datos Datos
Soft Soft
Soft-Hard
1.- Nuevos entornos = nuevos riesgos.
Hard CPD
2.- Complejidad en aumento.
CPD
7. Escenarios de riesgo TI
• En este nuevo marco hay diferentes tipologías de
riesgos:
– Riesgos propios: Controlados por la Organización.
– Riesgos transferidos: Delegados en subcontratas.
– Riesgos indirectos: Los ocasionados por la delegación
que hacen de nuestros riesgos las subcontratas en otros
terceros.
– Riesgos invisibles: Ocasionados por situaciones que
aparentemente no nos tendrían que afectar pero que
generan incidentes.
8. ¿Quiénes son los enemigos?
ENEMIGO 1:
• EL FAMOSO "ERROR INFORMÁTICO"
ENEMIGO 2:
• FRAUDE CON ÁNIMO DE LUCRO
(desde DENTRO o desde FUERA)
ENEMIGO 3:
• FALTA DE RECURSOS o MANTENIMIENTO TI
Y DESCONOCIMIENTO LEGISLACIÓN TI.
10. ¿Por dónde entran?
DOMINIOS CON PROBLEMAS DIFERENTES:
Dominio de cliente final (end point o medio de acceso)
• Usb y medios de almacenamiento portatiles.
• Usuarios remotos.
• Tablets, portátiles y equipos PC.
• Y una nueva moda BYOD, Bring you own device.
Protección perimetral y frontend.
• Firewalls y equipos de protección perimetral.
• Elementos de red e infraestructura.
• Servidores de correo.
Backend. (Donde están los datos y el valor.)
• Servidores de BB.DD. y aplicaciones.
• Servidores de directorio.
12. ¿Por qué entran?
Proporcionalidad defensa-ataque
Hace unos años la vigilancia pasiva Ahora se habla de labores de
era viable. “inteligencia de red” y SIEM.
13. Agenda
• Análisis del entorno.
• Cómo enfocar la seguridad.
• La gestión de la seguridad.
15. Seguridad de la información: A C I D
FLUJO NORMAL
DISPONIBILIDAD CONFIDENCIALIDAD
INTERRUPCIÓN INTERCEPTACIÓN
MODIFICACIÓN SUPLANTACIÓN
INTEGRIDAD AUTENTICACIÓN
16. Elementos de la seguridad de la información
Medidas de seguridad
Salvaguardas
Amenazas
Incendio
Corte Eléctrico
Fallecimiento empleado
ACTIVO
Virus
Avería
hardware Impacto
Vulnerabilidades
19. Gestión del riesgo
• Airbag
REDUCIR • Alarma anti robo
• Revisiones periódicas
EVITAR ACEPTAR
• No tener • No hacer nada
• Contratar seguro
TRANSFERIR “a todo riesgo”
20. ¿Qué se puede hacer? Estrategia del control
RIESGO
Prevención
Detección INCIDENTE
Represión
DAÑOS
Corrección
RECUPERACIÓN
Recuperación
21. Gestión del riesgo
ANÁLISIS DEL RIESGO
TRATAMIENTO DEL RIESGO
ACEPTAR REDUCIR EVITAR TRASFERIR
¿ACEPTABLE
POR DIRECCIÓN?
ACEPTACIÓN DEL RIESGO
22. Gestión del riesgo.
Costo del
impacto si Costo de las
se produce medidas de
un incidente seguridad
23. ¿Qué seguridad debemos buscar?
¿Inestable? ¿Estable?
Nunca ha pasado nada pero sabríamos
reacciona y resistir.
¡ RESILIENCIA !
Nunca ha pasado nada pero no sabríamos
cómo nos afectaría.
24. Agenda
• Análisis del entorno.
• Cómo enfocar la seguridad.
• La gestión de la seguridad.
25. Servicios de FIRMA-E: Diseño de la seguridad
OBJETIVO 1: Construir el modelo de seguridad.
OBJETIVO 2: Obtener diagnóstico de riesgos.
Actividades:
1. Identificar procesos de negocio y dependencias.
2. Valorar la información según negocio.
3. Análisis holístico de amenazas.
4. Cálculo de riesgo potencial.
5. Decidir el criterio de aceptación de riesgo.
RESULTADOS: Toma de decisiones de seguridad
26. Marco de normas ISO 27000
• ISO 27001: Especificación para la
construcción de un SGSI.
– Especifica los REQUISITOS para ESTABLECER, IMPLANTAR,
DOCUMENTAR y EVALUAR un SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN de acuerdo con la Norma
ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS
identificados por la ORGANIZACIÓN.
• ISO 27002: Buenas prácticas para la gestión
de la seguridad.
– Define los objetivos de control (finalidades) y controles de
seguridad (contramedidas) a utilizar para reducir y/o mitigar
riesgos.
– Define 11 bloques de control, 39 objetivos y 133 controles.
27. Elementos del SGSI
SGSI ESPECIFICACIÓN ISO 27001
ISO 27001:2005
Procedimientos Documentos
SGSI SGSI Auditorias R
P D A
Registros
SGSI
CONTROLES ISO 27002
ISO 27002:2005
Procedimientos
Procesos Medidas
seguridad
P D M R
Registros
seguridad
ACTIVOS
28. Planificar-Hacer-Verificar-Revisar
- Definir la Política de Seguridad
- Ejecutar el plan de
- Establecer el alcance del SGSI gestión de riesgos
- Realizar el análisis de riesgos - Implantar el SGSI
- Seleccionar los controles - Implantar los controles
- Adoptar acciones correctivas - Revisar internamente el SGSI
- Adoptar acciones preventivas - Realizar auditorias del SGSI
29. Objetivos de seguridad de la Organización
• Las necesidades quedan determinadas por tres
aspectos:
Propios del modelo Análisis de
de negocio riesgos
Cumplimiento
legal
29
30. Objetivos de operación del SGSI
• OBJ-S1: Garantizar 99,671% de disponibilidad de
servicios críticos.
• OBJ-S2: Nº Intentos acceso no autorizados no
superen el 5% accesos totales.
• OBJ-S3: Tiempo medio de respuesta para incidencias
de seguridad < 4 horas.
• OBJ-S4: 95% de éxito en ejecución de copias de
seguridad y sus pruebas.
31. Basada en objetivos y evidencias, no creencias.
OS-1 OS-2 OS-3 OS-4 OS-5 … OG-1 OG-2 OG-3
Axioma de la inseguridad:
IND1 IND2 IND3 IND4 IND5 IND10 IND11 IND12
“La mayoría de la gente asumirá que todo es
seguro hasta que se les muestren evidencias
significativas de lo contrario, lo inverso de lo
que sugiere una aproximación razonable”.
32. Madurez del SGSI
Madurez
Nivel 5
Nivel 4 Optimizado
Nivel 3 Definido y gestionado
SGSI
Nivel 2 Definido y documentado
Nivel 1 Implantado pero no supervisado
Nivel 0
Iniciado
5
No existe control 4
3
2
1
0
32
Tiempo
33. Documentación para certificación ISO 27001:2005
• Documentación del SGSI:
D– Política de seguridad
D– Objetivos del SGSI.
D
– Descripción del alcance del SGSI.
D
– Metodología utilizada para la realización del análisis y gestión
D del riesgo.
D– Informe de análisis de riesgo
D– Plan de tratamiento del riesgo.
D– Declaración de aplicabilidad
• Procedimientos generales del SGSI:
P
– Control de la documentación y registros
P
– Procedimiento de auditoría
P
– Procedimiento de gestión de la mejora continua.
P
– Procedimiento de revisión por la Dirección.
34. Beneficios de un SGSI
• Conocimiento de riesgos
• Calidad en seguridad= Confianza
• Cumplimiento legal
• Competitividad en el mercado
36. Siempre seguridad basada en riesgo.
El ENS establece un conjunto suficiente de
garantías si:
– Se implanta ANTES de poner en marcha las sedes
electrónicas.
– Se audita su correcto funcionamiento por personal
cualificado.
– Se diferencia