Excelente presentación de Federico Pacheco, donde se dan a conocer aspecto referente a la Gestión de la Seguridad, estoy seguro sera de utilidad para muchos.

1. Seguridad de la Información
Federico Pacheco
@FedeQuark
www.federicopacheco.com.ar
info@federicopacheco.com.ar
Introducción a la gestión de la seguridad

2. Copyright Entropy Security
Contenidos
• Necesidad de gestión de la seguridad
• Estructura normativa
• Implementación de un sistemas de gestión de la seguridad (SGSI)
• Gestión del riesgo
• Clasificación de la información
• Gestión de cambios y actividades
• Gestión de incidentes
• Concientización de usuarios

3. Copyright Entropy Security
Gestión de la seguridad
• Objetivo principal
– Proteger los activos de información de la organización
• Necesidad fundamental
– Alineación con el negocio
• Características
– Proceso continuo y cíclico
– No hay soluciones únicas ni infalibles
– Incumbencia de la alta gerencia (Top-Down)
– Requiere establecer un sistema de gestión (SGSI)
– Relacionado con el gobierno de la seguridad (Security Governance)

4. Copyright Entropy Security
Gestión de la seguridad – Proceso continuo
Planificar y
organizar
Implementar
Operar y
mantener
Monitorear y
evaluar

5. Copyright Entropy Security
Gestión de la seguridad – Estándares de SGSI
• ISO 27000
– Familia de estándares de seguridad de la información basado en BS7799
– Ejemplos
• 27.001: Requisitos de los SGSI  Certificable
• 27.002: Objetivos de control y controles recomendables
• 27.003: Guía de implementación del SGSI
• 27.005: Gestión de riesgos
• COBIT (Control Objetives for Information and related Technologies)
– Utilizado para implementar Gobierno de TI
– Desarrollado por
• ISACA – Information Systems Audit and Control Association
• ITGI – IT Governance Institute

6. Copyright Entropy Security
Gestión de la seguridad – ISO 27002
Evaluación y tratamiento de riesgos
Política de Seguridad
Organización de Seguridad de la Información
Gestión de Activos
Gestión de Recursos Humanos
Seguridad Física y Ambiental
Gestión de Operaciones y Comunicaciones
Control de accesos
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad
Administración de la continuidad del negocio
Cumplimiento de normativa y leyes

7. Copyright Entropy Security
Gestión de la seguridad – Alta gerencia
• Falta de entendimiento sobre la necesidad de seguridad
• Idea de la seguridad como problemática, costosa e innecesaria
• Incapacidad de identificar los riesgos asociados
• Creer que se interferirá con el negocio
• Creer que la seguridad es un tema de tecnología

8. Copyright Entropy Security
Gestión de la seguridad – Dependencia
Gerencia de
Sistemas
Auditoría
Interna
Area de
Seguridad
Informática
Gerencia de
Seguridad
Consultoría
Externa
Recursos
Humanos

9. Copyright Entropy Security
Gestión de la seguridad – Responsable
• Máxima autoridad: Comité de seguridad
• Responsable funcional
– CISO (Chief Information Security Officer)
– ISSO (Information Systems Security Officer)
• Objetivos
– Establecer y mantener un programa de gestión de la seguridad
– Comunicarse con la alta dirección
– Debe conocer el negocio y los procesos

10. Copyright Entropy Security
Gestión de la seguridad – Estructura normativa
 Nivel estratégico
 Nivel táctico
 Nivel operativo
Políticas
GuidelinesNormasEstándares
Procedimientos

11. Copyright Entropy Security
Gestión de la seguridad – Normativas
• Definen y clasifican las metas y objetivos
• Definen roles, responsabilidades y escala de autoridad
• Establecen criterios aceptables y uniformes de conducta
• Informan al personal sus obligaciones y medidas por incumplimiento
• Informan a terceros sobre las definiciones establecidas por la organización
• Garantizar el cumplimiento de normas externas

12. Copyright Entropy Security
Políticas de Seguridad
Declaraciones de directivas de la alta gerencia para
garantizar el apoyo y soporte a la seguridad
• Dictadas por el comité de seguridad y aprobada por las autoridades
• Suelen ser breves y generales
• Define el desarrollo del programa de gestión de seguridad
• Deben ser comunicadas y aceptadas por todo el personal
• Alineadas con normativas legales y corporativas

13. Copyright Entropy Security
Políticas de Seguridad - Implantación
• Especifican el uso uniforme de una tecnología
• Define actividades, acciones, reglas, regulaciones
Estándares
• Recomendaciones generales
• Colaboran al cumplimiento de objetivos
Normas
• Definen parámetros mínimos para un estándarBaselines
• Descripción detallada de tareasProcedimientos

14. Copyright Entropy Security
Gestión de la seguridad – Aspectos legales
• Responsabilidad de entender las
amenazas y los riesgos
Due Diligence
(Debida Diligencia)
• Implementar contramedidas para
protegerse de los riesgos
Due Care
(Debido Cuidado)
Si una organización no cumple con esto en relación a la
protección de sus activos puede ser acusada de negligencia

15. Copyright Entropy Security
Clasificación de la información
Fundamentos
• Procedimiento por el cuál se categoriza la información
• Define niveles de confidencialidad, integridad y disponibilidad
Motivos
• Saber cuánto invertir en la protección de los datos
• No todos los datos tienen el mismo valor
• No todas las personas deben acceder a todos los datos
• Aspectos legales y regulatorios

16. Copyright Entropy Security
Clasificación de la información – Criterios
Ejemplo de criterios
• Valor
• Vida útil
• Asociación con personas
Ejemplo de niveles
• Público
• Uso interno
• Confidencial

17. Copyright Entropy Security
Clasificación de la información – Resultados
• Se define la información como un activo del negocio
• Se declara a los gerentes de área como dueños de la información
• Se establece a IT como custodio de la información
• Se identifican datos importantes
• Permite definir controles y costos asociados
• Permite asignar roles y responsabilidades
• Se demuestra compromiso con la seguridad

18. Copyright Entropy Security
Clasificación de la información – Proceso
Programas de concientización
Especificación de procesos de desclasificación y transferencia de custodia
Especificación y documentación de excepciones
Clasificación realizada por el dueño (puede estar sujeta a verificación)
Especificación del criterio de clasificación
Identificación del Administrador

19. Copyright Entropy Security
Clasificación de la información – Roles
Dueño Custodio
Usuario Auditor

20. Copyright Entropy Security
Clasificación de la información – Funciones
• Gerente o Director General
• Comité de Seguridad
• Responsable de Seguridad
• Analista de Seguridad
• Administrador de Seguridad
• Auditor de seguridad

21. Copyright Entropy Security
Gestión de cambios
• Concepto
– Contar con un adecuado control sobre las modificaciones en las operaciones
• Necesidad
– Determinados cambios pueden corromper un modelo de seguridad
– Quien pide un cambio puede desconocer las implicancias
• Pautas
– El responsable debe analizar el impacto del cambio antes de implantarlo
– Procesos que aseguren que solo se realizan modificaciones autorizadas
– No debe bajar el nivel de seguridad en ningún momento

22. Copyright Entropy Security
Gestión de Logs
• Registros secuenciales de eventos
• Incluye diversas definiciones
– Selección de eventos a registrar
– Ciclos de rotación
– Compresión de logs
– Verificaciones de integridad
– Backup y protección que se dará
• Software de análisis de logs

23. Copyright Entropy Security
Gestión de actividades
• Segregación de funciones
– Nadie debe ser responsable de una tarea sensible de principio a fin
– Nadie puede ser responsable de aprobar su propio trabajo
– Sirve para la prevención del fraude
• Rotación de tareas
– Evita que el personal permanezca demasiado tiempo en una función
– Se logra un alto nivel de control sobre las actividades
– Favorece el reemplazo de funciones
• Vacaciones obligatorias
– Permite la detección de fraude y actividades no permitidas
– Permite detectar el desempeño

24. Copyright Entropy Security
Gestión de incidentes
• Incidente de Seguridad
– Evento no deseado de significativa probabilidad de amenazar la seguridad
• Gestión de incidentes
– Proceso para identificar tempranamente desvíos en políticas o fallas en controles
• Realidad: los incidentes ocurren tarde o temprano
– No existe la seguridad total
– Es importante desarrollar la capacidad de reaccionar

25. Copyright Entropy Security
Gestión de incidentes – CSIRT
• CSIRT: Computer Security Incident Response Team
– Equipo de respuesta a incidentes de seguridad
– Suele haber CSIRT nacionales (US-CERT, ArCERT, AusCERT, etc.)
• Detalles
– Puede ser interno a la organización o externo
– Recibe notificaciones de eventos ante los cuales responde
– Se encarga de la respuesta, resolución, seguimiento post-incidente y reporte

26. Copyright Entropy Security
Concientización (Awareness)
• Conceptos
– Sensibilización frente a la seguridad
– Normalmente una de las áreas de menor consideración
– Refuerza el eslabón mas débil  Usuario
– No es lo mismo que Entrenamiento
• Beneficios
– Se reducen de los incidentes de seguridad
– Se incrementa de la efectividad de los controles
– Se promueve el buen uso de los recursos informáticos

27. Copyright Entropy Security
Concientización – Formas de alcanzarla
Presentaciones
Conferencias
Presentaciones
Videos
e-learning
Publicación y
Distribución
Newsletters
Boletines e intranet
Incentivos
Premios y
reconocimiento por
alcanzar objetivos
relacionados con la
seguridad
Recordatorios
Banners de login
Marketing (tazas,
lapiceras, mouse
pads, etc.)

28. Copyright Entropy Security
Concientización – Separación de audiencia
Management
• Breve
• Lenguaje acorde
• Focalizar en activos
críticos
• Impacto financiero de la
falta de seguridad
• Implicancias legales
• Definir conceptos:
políticas, estándares,
procedimientos
• Responsabilidades
Empleados en gral.
• Clara y dinámica
• Derechos y obligaciones
• Actividades aceptables
• Ejemplos
• Interacción
Personal Técnico
• Lenguaje técnico
• Implicancias de
seguridad en las tareas
habituales
• Comportamiento
esperado
• Estándares,
procedimientos,
guidelines, etc.
• Manejo de incidentes
• Funciones
• Responsabilidades

29. Copyright Entropy Security
Concientización – Revisión de resultados
• Encuestas de opinión
• Encuestas de calificación de la concientización
• Medición de incidentes antes y después de la concientización
• Observación del comportamiento del personal
• Monitoreo de uso de recursos.
• Evaluaciones de Seguridad

30. Copyright Entropy Security
Concientización – Ejemplo de material

31. Copyright Entropy Security
Concientización – Referencias

32. ¿Preguntas?
Federico Pacheco
@FedeQuark
www.federicopacheco.com.ar
info@federicopacheco.com.ar