gestión de la seguridad de información - · pdf fileiso/iec 27000....

ISO/IEC 27000. Gestión e Implementación de la Seguridad de la Información

1© New Horizons Barcelona

Gestión de la Seguridad de Información

ISO/IEC 27000

IT Service Management

Principales preocupaciones empresariales

SYMANTEC, 2010. State of enterprise security 2010. Symantec Corporation, Mt View.



Empresas que experimentan ataques frecuentes

SYMANTEC, 2010. State of enterprise security 2010. Symantec Corporation, Mt View.

Incidencias de seguridad en el Reino Unido

BERR, 2008. 2008 Information security breaches survey. Technical report. Department for business, enterprises & regulatory reform. UK



Lo absurdo de la seguridad

• 9 de cada 10 empresas norteamericanas han sufrido un ataque online entre 2004 y 2005 (2005 FBI/CSI Computer Crime and Security Survey)

• Cada día, 27000 personas reportan el robo de alguno de sus datos confidenciales (FBI)

• 14% de los usuarios habituales de banca por Internet ha dejado de hacerlo por dudas respecto a la seguridad, y 30% han cambiado su forma de utilizarlo (Gartner)

Algo está muy mal…

Y la dependencia se incrementa…



Así, algunos riesgos se resisten

De las empresas encuestadas:

• 13% han detectado intrusos dentro de su red

• 9% han identificadocorreos-e falsos (phishing) solicitando información a sus clientes

• 9% han descubierto la suplantación clientes (p.ej., luego de un robo de identidad)

• 6% han sufrido una violación de confidencialidad

BERR, 2008. 2008 Information security breaches survey. Technical report. Department for business, enterprises & regulatory reform. UK

Principios de Seguridad



Normas ISO/IEC 27000

• ISO/IEC 27000 – Vocabulario y definiciones

• ISO/IEC 27001:2005 – Requisitos del Sistema de Gestión de Seguridad de Información

• ISO/IEC 27002:2005 – Código de Práctica para la Gestión de Seguridad de Información

• ISO/IEC 27003 – Directrices de Implantación

• ISO/IEC 27004 – Métricas y mediciones

• ISO/IEC 27005 – Gestión de Riesgos

• ISO/IEC 27006 – Requisitos para Organizaciones Auditoras y Certificadoras sobre los Sistemas de Gestión de Seguridad de Información

Sistema de Gestión de la Seguridad de Información

• Según ISO/IEC 27001, el SGSI es

Aquella parte del sistema general de gestión, basada en un enfoque de riesgo comercial, para establecer, implantar, operar, monitorizar, revisar, mantener y

mejorar la seguridad de la información.

El SGSI incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.



Modelo PDCA y los procesos SGSI

1. Definir el alcance del Sistema de Gestión de Seguridad de Información (SGSI)2. Definir la política de seguridad de información3. Definir un enfoque sistemático para la evaluación de riesgos y criterios de aceptación de

riesgo4. Realizar una evaluación de riesgos para identificar, dentro del contexto de la política y el

alcance del SGSI, los activos de información relevantes de la organización y sus riesgos.5. Identificar y evaluar opciones para el tratamiento de dichos riesgos, seleccionando los

objetivos de control y los controles a ser implantados6. Preparar la declaración de aplicabilidad

Integración con el sistema de calidad

• Todas fundamentados en el compromiso de la gerencia

• Definición de responsabilidades• Control de documentos• Gestión de registros• Formación / Entrenamiento• Revisión de la Gestión• Auditoría interna

• Acciones correctivas y preventivas• Utilización del modelo PDCA para la

implementación y operación• Procesos de Auditoría• Esquema de evaluación para la acreditación

(ISO 19011:2002)• Requisitos basados en normas similares• Cuerpo certificador responsable de verificar

la competencia del auditor

Características comunes entre normas de gestión

ISO/IEC 14000

ISO

/IEC

900

0

ISO/IEC 27000



Documentos

En el apartado 4.3.1 de ISO/IEC 27001 se describe la documentación mínima a incluir en el SGSI. Se mencionan documentos como:

• Política de seguridad de información, Alcance del SGSI, Evaluación de Riesgo, Objetivos de Control y Enunciado de Aplicabilidad (núcleo del Manual de SGSI)

• Evidencia de acciones tomadas (minutas y actas de las reuniones)

• Descripción del Esquema de Gestión (Junta Directiva, etc.)

• Plan de Gestión de Riesgo y los procedimientos que lo soportan

• Procedimientos para la gestión y revisión del SGSI

Gestión del Cambio

• Estado Actual• Estado Futuro• Plan de Transición

Ideas adicionales



Comunicación

5 Responsabilidad de la Gerencia5.1 Compromiso de la GerenciaLa gerencia debe proporcionar evidencia de su compromiso con el establecimiento, implantación, operación, monitorización, revisión, mantenimiento y mejora del SGSI al:

a) establecer una política SGSI;

d) comunicar a la organización la importancia de lograrlos objetivos de seguridad de la información y cumplir la política de seguridad de información, sus responsabilidades bajo la ley y la necesidad de una mejora continua;

……

Componentes clave:

• Transmisión top-down de la visión

• Reuniones breves acerca del progreso

• Mecanismo para garantizar la consulta e implicación de personal clave

• Mecanismo de feed-back

• Sistema de información compartida

ISO/IEC 27001

Métricas y Mejora Continua

Definición• Las métricas de seguridad deben ser mediciones objetivas y cuantificables

respecto a ciertos objetivos específicos que permitan evaluar la efectividad de la seguridad de información en una organización.

Razones para utilizar métricas de seguridad…

• exponer la efectividad y eficiencia de la seguridad de información,

• demostrar conformidad legal y regulatoria,

• justificar el valor de la seguridad de información

• Acciones Preventivas

• Acciones Correctivas

• Proceso de Revisión

• Estructura de Auditoría Interna

• Acciones Preventivas

• Acciones Correctivas

• Proceso de Revisión

• Estructura de Auditoría Interna

SGSI

Mejora ContinuaMejora

Continua



Organización para la Seguridad de Información

Control

La gerencia debe apoyar activamente la seguridad dentro de la organización a través de una dirección clara, compromiso demostrado, asignación explícita y reconocimiento de las responsabilidades de la seguridad de la información

Compromiso de la gerencia con la seguridad de la información

A.6.1.1

A.6.1 Organización internaObjetivo: Gestionar la seguridad de la información dentro de la organización.

A.6 Organización de la seguridad de la información

ISO/IEC 27001: Tabla A.1 – Objetivos de control y controles (extracto)

No se especifica una estructura organizacional

Responsabilidades

EquipoInter-disciplinario

(Grupo de Trabajo)

Gestor deSeguridad de Información

• Gobierno• Arbitraje

• Trabajo diario de las operaciones SGSI

Dirección, Legal, Operaciones, TI, Seguridad, etc.

• Acordar roles y responsabilidades específicas respecto a SI• Acordar métodos y procedimientos específicos para implantar la política de SI• Apoyar y aprobar iniciativas• Garantizar que el proceso de planificación corporativa contemple la SI• Evaluar y coordinar la implantación de controles específicos para sistemas nuevos• Revisar incidencias de seguridad• Garantizar la sensibilización de toda la organización respecto a la SI

• Desarrollar la política de SI• Definir el alcance del SGSI• Informar al GdeT acerca de amenazas y vulnerabilidades y acciones tomadas• Realizar la evaluación de riesgos inicial• Identificar cambios en los riesgos y tomar las acciones apropiadas• Garantizar la gestión de riesgos según lo acordado con dirección• Seleccionar los objetivos y controles• Redactar el enunciado de aplicabilidad

• Registrar y procesar las incidencias de seguridad• Informar al GdeT sobre el progreso de la implantación del SGSI• Realizar revisiones• Monitorizar conformidad• Tomar acciones preventivas

CISO, ISO, ISM, SPO, DPO…



Grupo de proyecto para ISO 27001

Mie

mbr

os Dire

ctor

Reu

nion

es Asi

gnac

ión

de

Res

pons

abili

dade

s

• Gestión de Calidad / Procesos• TI• Gestión de Instalaciones• RRHH / Formación• Gestor de Seg. Info.• Experto en Seg. Info.• Ventas• Operaciones • Administración

• Habilidades de liderazgo• Enfoque pragmático• No pertenecer a TI• Poseer amplia responsabilidad gerencial

• En el epígrafe 6.1.3, ISO 27002 señala que “todas las responsabilidades en seguridad de información deben estar claramente identificadas”

• Gestor de SI

• Propietarios individuales para cada activo de seguridad de información

• Frecuencia quincenal (al inicio), mensual (fase de implantación), trimestral (proyecto completado)

• Revisión de minutas al final

Evaluación y aprobación de adquisiciones

Instalaciones para el Procesamiento de Información

• Sistema de software• Centro de Datos• Ordenador (workstation/servidor)• Componente de software• Utilidad de software

Proceso de Autorización de adquisiciones

• Gestor de Unidad de Negocio• Organización de TI• Gestor de Seguridad

Flexibilidadvs

Nivel de Seguridad

Aprobación por parte de para Garantizar

Apoyo para laEvaluación



Mantener contactos apropiados…

• Autoridades externas:

• Cuerpos de Seguridad

• Departamento de Bomberos

• Organismos regulatorios

• Proveedores de Servicios de Internet

• Operadores de Telecomunicaciones

• Grupos/Organizaciones de Interés Especial:

• Fuentes de asesoramiento

• Foros de seguridad

• Asociaciones profesionales

Prepararse para las emergencias, incluyendo a

quién contactar en el caso de presentarse una. Incluir una revisión de los contactos en

revisión periódica de los planes de preparación para emergencias (continuidad empresarial, recuperación

ante desastres, continuidad del plan de operaciones, etc.)

Prepararse para las emergencias, incluyendo a

quién contactar en el caso de presentarse una. Incluir una revisión de los contactos en

revisión periódica de los planes de preparación para emergencias (continuidad empresarial, recuperación

ante desastres, continuidad del plan de operaciones, etc.)

Aprovechar las lecciones aprendidas

por muchos, tanto dentro como fuera de

la organización.

Aprovechar las lecciones aprendidas

por muchos, tanto dentro como fuera de

la organización.

Evaluaciones y auditorías independientes

• La gerencia debe iniciar una revisión periódica independiente del programa de seguridad de la información, así como la obtención de instantáneas (snapshots) de la situación actual de la seguridad.

• La revisión por parte de terceros es muy valiosa.

• También pueden haber requisitos legales para la revisión independiente de las prácticas de seguridad.

• En ISO 27000, “independiente“ no necesariamente implica “externo”



Establecimiento del SGSI

• Refleja la convicción por parte de la gerencia de que la organización puede verse afectada si la información no está segura

• Escrita en términos sencillos (minimizar siglas y argot especializado)

• Corto en extensión y conciso

• Disponible para todos los empleados y asociados

Política de Seguridad de Información

Documento único tituladoPolítica del Sistema de Gestión de Seguridad de Información

Contiene:• Marco referencial (objetivos y dirección general)

• Considera todos los requisitos de seguridad relevantes desde el punto de vista empresarial, legal, regulatorio y contractual

• Establece un contexto estratégico para SGSI

• Criterios y estructura para la evaluación de riesgos

• Aprobación

Inicialmente…

• Enunciado breve (2 páginas máx.)• Responder a las preguntas ¿Quién?, ¿Dónde? (alcance), ¿Qué? y ¿Porqué?• Utilizar iteración para su confección

Inicialmente…

• Enunciado breve (2 páginas máx.)• Responder a las preguntas ¿Quién?, ¿Dónde? (alcance), ¿Qué? y ¿Porqué?• Utilizar iteración para su confección



Enunciado preliminar para la política

Tanto la directiva como la gerencia de la organización Y, que se desenvuelve en el sector Z (o en la actividad comercial Z, etc.), ubicada en [ ], está comprometida con la preservación de la confidencialidad, integridad y disponibilidad de todos los activos de información físicos y electrónicos en toda la organización con la idea de mantener su posición competitiva, flujo de efectivo, rentabilidad, conformidad legal y contractual y su imagen comercial. La información y los requisitos de seguridad de información se mantendrán en línea con los objetivos de la organización y el SGSI será un mecanismo adecuado para el intercambio de información en operaciones electrónicas, comercio electrónico y para reducir los riesgos relacionados con la información a niveles aceptables. Todos los empleados de la organización deben cumplir con esta política y atender el SGSI que implanta esta política. Ciertos terceros, definidos en el SGSI, también deben cumplirla. Esta política será revisada cada vez que se requiera y, al menos, una vez al año.

Costes y seguimiento del progreso

Revisión:

1. Al completar la Declaración de Aplicabilidad (SoA)

2. Luego de implantar el conjunto de procedimientos iniciales

3. Al finalizar el primer ciclo de auditoría

4. Anualmente, como parte habitual de la revisión del SGSI



Requisitos de seguridad y gestión de riesgos

Fuentes para establecer los requisitos:

1. Riesgos enfrentados por la organización

2. Requisitos legales, reguladores, estatutarios y contractuales

3. El “conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la información que una organización ha desarrollado para sostener sus operaciones”(ISO/IEC 27002, Epígrafe 0.3)

Gestión de Riesgos

Disciplina que trata con los riesgos no―especulativos (permanentes o puros)

Objetivos:

1. Eliminar los riesgos2. Reducir a nivel aceptable aquellos

que no puedan eliminarse3. Convivir con ellos, aplicando

controles para mantenerlos a nivel aceptable

4. Transferirlos a otra organización

Riesgo: Posible daño o pérdida de información.

Evaluación de riesgo

• Estudio sistemático de activos de información, amenazas, vulnerabilidades e impactos para determinar la probabilidad y consecuencias de los riesgos

• Proceso formal (planificado y documentado)

• Resultados comparables y reproduciblesConsejo: La evaluación de riesgo inicial debe ser realizada por alguien con amplia calificación y experiencia

Consejo: La evaluación de riesgo inicial debe ser realizada por alguien con amplia calificación y experiencia



Análisis cuantitativo de riesgo

Se basa en el cálculo de un monto según…

Problemas:

• Incertidumbre de probabilidad

• Imprecisión en la estimación de los posibles costes (pérdidas)

Otros conceptos:

• Annual Loss Expentancy (ALE)• Estimated Annual Cost (EAC)

Análisis cualitativo de riesgo

• Se basa sobre escenarios y situaciones

• Es el enfoque señalado en el Epígrafe 4.2.1.d (ISO/IEC 27001)

• Sólo se utilizan estimaciones sobre posibles pérdidas y/o costes

• La mayoría de los métodos utilizan una serie de elementos interrelacionados que, presentados en forma de tablas, identifican a el/los propietario(s), amenaza(s), vulnerabilidad(es) e impacto(s) vinculados a cada activo.



Identificación de activos

ActivosCualquier cosa que tenga valor para la organización(ISO/IEC 13335-1:2004)

• Incluye todos los activos de información determinados en la Política (¿qué?) y el Alcance (¿dónde?) del SGSI.

• Indicar por escrito quéindividuo/departamento es el propietario de cada uno de estos activos

Activos de InformaciónPuede incluir funciones empresariales, personal, información (en medios electrónicos o escritos), tecnología de información y activos físicos.

Identificación de amenazas

• Definición

Causa potencial de un incidente no-deseado, el cual puede resultar en daño a un sistema u organización(ISO/IEC 13335-1:2004)

Siempre existirán amenazas para cada activo



Identificación de vulnerabilidades

Métodos de Identificación:

• Fuentes de vulnerabilidad

• Pruebas de seguridad

• Herramienta automática de escaneo de vulnerabilidades

• Prueba y evaluación de seguridad

• Pruebas de penetración (pen--test)

• Desarrollo de una lista de verificación de requisitos de seguridad

• Definición

Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.(ISO/IEC 13335-1:2004)

Identificación de impactos

Impacto: Consecuencia negativa (directa o indirecta) –ocasionada por una amenaza que aprovecha una vulnerabilidad– sobre la integridad, confidencialidad y/o disponibilidad de los activos.

• Annual Loss Expectancy (ALE)

• Single Loss Expectancy (SLE)



Evaluación y estrategia de riesgo

• Apetito de Riesgo

Cantidad y tipo de riesgo que una organización está dispuesta a asumir, mantener o adoptar. (ISO/IEC 31000)

• Estrategias de riesgo

Aceptación

Neutralización

Evasión

Transferencia

Identificación de los límites

• Es esencial decidir los límites de lo que seráprotegido.

• Los límites deben ser identificados en términos de (parte de) la organización que seráprotegida, qué redes, quélos datos y en quéubicaciones geográficas.

• El primer paso es identificar qué (parte de la) organización estádentro del alcance del SGSI.

• La organización que se encuentra dentro del alcance debe ser capaz de separarse física y/o lógicamente de terceros y de otras organizaciones dentro de un grupo.



Identificación de activos de información

• Los activos clave suelen ser sistemas de información que están conformados por diferentes componentes

• Los componentes pueden incluir Sistemas de TI:

• Software

• Hardware

• Telecomunicaciones

• Sistemas de archivo

• Cada activo posee un propietario (responsable)

Criticidad: Relación entre activos y objetivos

– digitales o no –

Objetivos Empresariales Clave

• Comerciales

• Contractuales

• Legales

• Mensurables• Alcanzables• Relevantes• Temporales• Específicos



Categorización de pérdidas

Ninguna pérdidas ≤ €1.000

Secundaria €1.000 < pérdidas ≤ €10.000

Media €10.000 < pérdidas ≤ €100.000

Alta €100.000 < pérdidas ≤ €1.000.000

Muy alta €1.000.000 < pérdidas ≤ €10.000.000

Extrema La viabilidad financiera de laempresa se ve comprometida

Ninguna pérdidas ≤ €1.000

Secundaria €1.000 < pérdidas ≤ €10.000

Media €10.000 < pérdidas ≤ €100.000

Alta €100.000 < pérdidas ≤ €1.000.000

Muy alta €1.000.000 < pérdidas ≤ €10.000.000

Extrema La viabilidad financiera de laempresa se ve comprometida

Posibles categorías de pérdidapara una organización grande

Al evaluar las pérdidas, deben tenerse en cuenta todos los costes identificables (directos, indirectos o consecuentes) incluyendo el coste de quedar fuera del negocio.

Reflexión / Consejo

Es mejor hacer una estimación aproximadamente correcta que una precisamente equivocada.

Expectativa

• Las amenazas para cada uno de los sistemas deben ser consideradas en función del deterioro o pérdida de confidencialidad, integridad y disponibilidad.

• Algunas amenazas que entrarán en una partida única, otras en más de una.• Es importante realizar este análisis de manera sistemática y global, para

garantizar que todas las amenazas han sido consideradas.• La calidad de los controles que finalmente implantará la organización será un

reflejo de la calidad de este ejercicio.

Insignificante Muy improbable, frecuencia < 1x cada 5 años

Muy baja 1x cada 5 años < frecuencia ≤ 1x al año

Baja 1x al año < frecuencia ≤ 1x por semestre

Media 1x por semestre < frecuencia ≤ 1x por mes

Alta 1x por mes < frecuencia ≤ 1x por semana

Muy alta 1x por semana < frecuencia ≤ 1x al día

Extrema Probablemente suceda al menos una vez al día

Insignificante Muy improbable, frecuencia < 1x cada 5 años

Muy baja 1x cada 5 años < frecuencia ≤ 1x al año

Baja 1x al año < frecuencia ≤ 1x por semestre

Media 1x por semestre < frecuencia ≤ 1x por mes

Alta 1x por mes < frecuencia ≤ 1x por semana

Muy alta 1x por semana < frecuencia ≤ 1x al día

Extrema Probablemente suceda al menos una vez al día

Posible escala de probabilidad de ocurrencia



Matriz de riesgo

Alto100 x 1.0 = 100

Medio50 x 1.0 = 50

Bajo10 x 1.0 = 10

Alta(1.0)

Bajo100 x 0.1 = 10

Bajo50 x 0.1 = 5

Bajo10 x 0.1 = 1

Baja(0.1)

Medio100 x 0.5 = 50

Medio50 x 0.5 = 25

Bajo10 x 0.5 = 5

Media(0.5)

Alto(100)

Medio(50)

Bajo(10)

ImpactoProbabilidad de Ocurrencia

Escala de riesgo

• Alto (51—100)

• Medio (11—50)

• Bajo (1—10)

AltoModeradoBajoBajoRaro

ExtremoModeradoBajoBajoImprobable

ExtremoAltoModeradoBajoPosible

ExtremoAltoAltoModeradoProbable

ExtremoExtremoAltoAltoCierto

CatastróficoCríticoMínimoInsignificante

Ejemplo de Matriz de Riesgo 5x4

Ejemplo de Matriz de Riesgo 3x3

Controles y declaración de aplicabilidad



Medidas de seguridad

Controles

• Los controles son garantías para reducir los riesgos.

• Se seleccionan en función de un objetivo de control.

• Deben ser costo–eficientes :

El coste de su implantación (en valor monetario y despliegue de recursos) no debe superar el impacto de los riesgos que pretenden reducir.

El epígrafe 4.2.1.g de ISO/IEC 27001exhorta la selección de controles del “Anexo A”por parte de la organización, aunque también admite la selección de controles adicionales.

El epígrafe 4.2.1.g de ISO/IEC 27001exhorta la selección de controles del “Anexo A”por parte de la organización, aunque también admite la selección de controles adicionales.

• 11 Categorías• 38 Cláusulas• 133 Sub-cláusulas



Lista de controles de ISO/IEC 27001

Anexo A(Normativo)

Objetivos de control y controles

Los objetivos de control y los controles enumerados en la Tabla A.1 se derivan directamente de, y se alinean con, aquellos enumerados en ISO/IEC 27002:2005 Cláusulas del 5 al 15. Las listas en estas tablas no son exhaustivas y una organización podría considerar que son necesarios objetivos de control y controles adicionales. Los objetivos de control y los controles de estas tablas deben seleccionarse como parte del proceso SGSI especificado en 4.2.1.

El ISO/IEC 27002:2005 Cláusulas del 5 al 15 proporciona consulta y lineamientos para la implementación de las mejores prácticas en soporte de los controles especificados en A.5 al A.15.

Tabla A.1 – Objetivos de control y controles

ControlLa política de seguridad de la información debe ser revisada regularmente a intervalos planeados o si ocurren cambios significativos para asegurar la continua idoneidad, eficiencia y efectividad

Revisión de la política de seguridad de información

A.5.1.2

ControlLa gerencia debe aprobar un documento de política, este se debe publicar y comunicar a todos los empleados y entidades externasrelevantes.

Documentar política de seguridad de información

A.5.1.1

A.5.1 Política de seguridad de informaciónObjetivo de control: Proporcionar dirección gerencial y apoyo a la seguridad de la información en concordancia con los requerimientos comerciales y leyes y regulaciones relevantes

A.5 Política de seguridad

… …

Puntos de acción para la reducción de riesgo



Selección de controles

• Al seleccionar los controles de acuerdo a los resultados de la evaluación del riesgo, el objetivo es reducir o eliminar la vulnerabilidad y por lo tanto reducir el riesgo.

• Reglas básicas:

1. Seleccionar controles basados sobre la legislación.

2. Seleccionar controles específicos al ámbito comercial de la organización.

3. Seleccionar controles listados en ISO/IEC 27001:2005.

• A medida que se seleccionan los controles, puede prepararse la Declaración de Aplicabilidad (Statement of Applicability, SoA)

Declaración de Aplicabilidad

• Documento en el que se reflejan las decisiones tomadas (controles seleccionados).

• Contempla todos los controles del Anexo A de ISO/IEC 27001.

• También contiene razones, explicaciones y/o justificaciones para aquellos controles no seleccionados

• Propósito: garantizar que la organización ha considerado cada uno de los controles y proporcionar un razonamiento para la corrección, transferencia o aceptación del riesgo.

• Normalmente se presenta en formato de tabla en la que se lista la descripción de cada control del Anexo A de ISO/IEC 27001 con sus correspondientes columnas indicando si la organización adoptó o no el control, la justificación y la referencia a la ubicación donde se halla documentado el procedimiento donde se implanta dicho control.

• Si la organización persigue obtener ISO27001, el SoA contiene información que alguien podría solicitar. Esto se soluciona creando dos versiones: una limitada para el público y otra exhaustiva para uso interno o controlado.



Planificar el tratamiento de riesgo

El epígrafe 4.2.2.a ISO/IEC 27002 indica que la organización debe

formular un plan de tratamiento de riesgo que identifique la acción gerencial apropiada, los recursos, las responsabilidades y prioridades para manejar los riesgos de la seguridad de información.

Plan de tratamiento de riesgo

• En este documento se enumeran los riesgos y se identifican las responsabilidades organizacionales para hacerles frente.

• ContenidoPara cada uno de los riesgos identificados…

• Enfoque asumido por la organización para su tratamiento.

• Controles que ya están implantados.

• Propuesta de controles adicionales.

• Programación para la implantación de dichos controles adicionales.

• El plan debe garantizar que se dispone de financiación y recursos suficientes para la implantación de los controles, e identificarlos claramente.

• Representa un vínculo entre las cuatro fases del ciclo PDCA del SGSI.



Métricas y mediciones

• Una métrica es un atributo para evaluar la calidad del ejercicio o práctica de una actividad, proceso o sistema

• Funciones básicas:

• Control: Permiten a los gerentes y empleados evaluar y controlar el rendimiento de los recursos de los que son responsables.

• Comunicación: Las métricas comunican rendimiento no sólo a los empleados y gerentes internos sino también a partes interesadas externas para otros fines.

• Mejora: Identifican brechas (entre el rendimiento real y las expectativas) que idealmente señalan el camino para la intervención y mejora.

• Cada sistema de indicadores está sujeto a una tensión dinámica.

Árbol de métricas y BSC



Métricas para SGSI

• El objetivo de las métricas es identificar la existencia y la efectividad tanto de las operaciones como de la disposición organizacional hacia la seguridad de información.

• Vale la pena recordar…• Aspectos “intangibles” o subjetivos pueden ser medidos objetivamente

• En ocasiones, los valores relativos son más útiles que las escalas absolutas, especialmente para dirigir la mejora

• Aprovechar fuentes de datos ya existentes (p.ej., registro del Help Desk)

• Tomar métricas incorrectas puede llevar a mejorar aspectos no adecuados

• No limitar las mediciones únicamente a los resultados. Utilizar entradas, actividades y salidas de los procesos

Resulta prácticamente imposible medir objetivamente lo que podría haber sucedido si no hubiéramos mejorado nuestro sistema de seguridad de la información.

Problema fundamental de

las métricas

Algunas métricas para SGSI

• Estadísticas de cambios en TI

• Estadísticas de software malicioso (malware)

• Auditoría sobre ordenadores (asuntos o recomendaciones de auditoría agrupados y analizados por estatus y nivel de riesgo)

• Auto—evaluación de controles y otras estadísticas de Gestión de Riesgo

• Estadísticas de Help Desk analizando los contactos relacionados con temas de seguridad

• Estadísticas de incidencias TI

• Estadísticas de cortafuegos (firewall)

• Estadísticas de vulnerabilidades de sistemas y redes

• Respuesta a las actividades de concienciación acerca de seguridad



Partes y Socios Externos

Cada vez que exista una razón empresarial justificada para otorgar acceso a cualquier asociado o parte externa a los sistemas de la organización o dominio de seguridad, se debe realizar una evaluación de riesgo para determinar las implicaciones de seguridad y requisitos de control.

• Proveedores de servicio• ISPs y/o ASPs• Servicios básicos,• Servicios de seguridad, etc.

• Clientes• Proveedores externos• Consultores y auditores• Desarrolladores o proveedores de SW/HW• Plantilla de apoyo (externalizada)• Personal temporal – incluyendo becarios

Formulario estándar para externos

Evaluación de riesgosEsta evaluación de riesgos se lleva a cabo de conformidad con los requisitos del

epígrafe [número] del SGSI de [nombre organización]. Está sujeta a revisión de acuerdo con los requisitos de evaluación de riesgos del SGSI.

• Fecha:• Parte externa: [Nombre y Dirección]• Instalación de información o Activo a ser accedido:• Tipo de acceso requerido: físico, lógico, en el propio emplazamiento o fuera de :• Valor, sensibilidad y criticidad de la información involucrada [ver más abajo]:• Duración/frecuencia requerida de acceso :• ¿Que personal externo se manejará los datos?• Razones empresariales para facilitar el acceso:• Riesgos de proporcionar el acceso:• ¿Son adecuados los controles existentes S / N? (listarlos)• ¿Son adecuados los controles de los terceros S / N? (listarlos)• Nuevos controles requeridos - especificar:• Evaluación de riesgo llevada a cabo por:• Fecha de revisión:



Tipos de acceso

• Físico: – Oficinas– Salas de informática– Data centers– Archivadores, etc

• Lógico: – Bases de datos– Redes– Sistemas de información– Sistemas de mensajería de voz, etc

Tipo de acceso +

Valor de la Información involucrada

↓ ↓ ↓

Determina el nivel de riesgo y la clase de control a aplicar

Motivos para el acceso

• No hay manera de saber si el SGSI de la organización externa es suficientemente adecuado

• El simple acto de permitir el acceso de externos genera una vulnerabilidad (cualquier acceso a la red de la organización que se genere fuera del perímetro seguro es capaz de convertirse en una amenaza)

• Es necesario hallar formas de otorgar a partes/socios externos el acceso justificado sin crear las vulnerabilidades de seguridad que conlleva

• Esta es una razón para tomar el certificado ISO/IEC 27001 como evidencia de que la organización ha implantado controles de seguridad adecuados



Outsourcing

• Un contrato de outsourcing abarca una relación mucho más significativa de negocios que un simple contrato de servicios externos.

• Cuando una organización externaliza una parte importante de su actividad, también externaliza una parte importante de sus riesgos y vulnerabilidades así como su capacidad de seguridad de la información.

• Las consecuencias para la seguridad de la externalización de la gestión y control de todos o algunos de los sistemas de información, redes y/o entornos de escritorio debe ser evaluado de forma sistemática.

• Es evidente que debe llevarse a cabo una evaluación del riesgo antes de tomar la decisión de externalizar un servicio (y considerar el costo de implementar cualquier control desde el punto de vista de la rentabilidad).

Contratistas On-site

• Ejemplos de contratistas On-site:– Mantenimiento de hardware y software y personal de soporte;– Limpieza, restauración, seguridad y el personal que trabaja en la creciente

gama de servicios de outsourcing;– El personal temporal y ocasional, incluyendo prácticas de estudiantes y otros

nombramientos de corta duración– Consultores y asesores profesionales, como abogados, contadores,

auditores, etc• Cualquier persona que no posee un contrato permanente de empleo se inscribe en

la categoría de contratista On-site.• Debe llevarse a cabo una evaluación del riesgo para todas estas organizaciones, y

evaluar los controles adecuados tal que reflejen el riesgo. Estos controles se dividen en dos grandes grupos.

– Se requieren, por contrato, por la parte externa – Implementados por la organización a fin de salvaguardar sus activos

• Las organizaciones que dependen en gran medida del uso de contratistas externos deben diseñar e implementar un proceso que simplifique el trabajo necesario para garantizar que se cumplan con los requisitos pero que no pierda el rigor necesario.



La seguridad cuando se trata de clientes (I)

Los riesgos provienen de los siguientes factores:

• Vulnerabilidades de software

• Auto—selección por parte del cliente

• Acceso directo y no–supervisado del cliente a los sistemas de información de la organización

• Posibilidad para el cliente de cargar y manipular datos en dichos sistemas

• Facilidad con la que los atacantes pueden hacerse pasar por clientes

La seguridad cuando se trata de clientes (II)

Antes de otorgar acceso por parte de los clientes a cualquiera de sus sistemas de información, la organización debe considerar:

• Cómo protegerá sus activos de posibles “ataques” por parte de clientes.

• Qué requisitos de información y acceso se generarán por productos y servicios específicos o por las necesidades y deseos de los clientes

• Política de acceso (basada sobre el principio “lo que no está expresamente permitido, queda prohibido”)

• Que el proceso de Gestión de Incidencias contemple una línea explícitamente vinculada al acceso de los clientes y posibles eventos de seguridad

• La forma en que la organización se ocupará de las cuestiones legales, empezando por las jurisdiccionales, pasando por la protección de datos, derechos de propiedad intelectual y derechos de autor, hasta el derecho a revocar el acceso de cualquier individuo



Seguridad en acuerdos con terceros

CONTENIDO MÍNIMO• Política de seguridad de información de la organización• Políticas sobre la protección de activos de la organización• Descripción del servicio que proporcionará el tercero• Nivel de servicio objetivo y definición de servicio inaceptable• Criterios de rendimiento verificables• Pasivos futuros de las partes involucradas en el acuerdo• Responsabilidades legales• Derechos de propiedad intelectual• Potestad de auditar las responsabilidades contractuales• Proceso para la resolución de disputas

Niveles de acceso:• Riesgos asociados acceso limitado Acuerdo de Confidencialidad (NDA)• Riesgos a exposición más cercana y de largo plazo

(ADICIONALMENTE…)• Provisión para traslado del personal• Protección contra el “robo” de personal• Acuerdos de control de acceso• Potestad de la organización anfitriona para monitorizar la actividad y retirar los derechos de los usuarios• Responsabilidades respecto a la instalación de HW y SW

• Estructura y formato de los informes

• Proceso de Gestión de Cambios

• Cualquier control físico requerido

• Entrenamiento necesario respecto a métodos, procedimientos y seguridad

• Controles contra software malicioso y virus

• Procedimiento para el reporte de incidencias de seguridad

Contratos

Gestión de activos

• Los activos de información deben ser identificados durante la evaluación de riesgosy la lista resultante debe cotejarse con el registro de activos fijos para garantizar que no haya quedado ninguno sin considerar

• Tipos de activos:

– Información: datos en cualquier formato

– Software: aplicaciones, sistemas operativos, herramientas y utilidades de desarrollo, etc.

– Activos físicos: equipo informático, equipo de comunicaciones, medios magnéticos, etc.

– Servicios

– El personal y su conocimiento (destrezas, habilidades y experiencia)

– Activos intangibles tales como la imagen, reputación y marca de la organización



Inventario de activos

• Para cada activo, el inventario debe incluir:

– Identificación (¿reutilizar esquemas de finanzas?) y/o descripción

– Fabricante

– Tipo

– Número de Serie

– Fecha de adquisición

– Clasificación

– Ubicación, formato, copias de seguridad (información para la recuperación)

– Propietario

• Se debe auditar el inventario, al menos, una vez al año

Propietarios de activos

El propietario es la persona o función que tiene la responsabilidad sobre el activo, no los derechos de propiedad sobre el mismo.

Todos los activos deben tener un propietario¿Quién(es) será(n) propietario(s)

de los activos intangibles?

¿Quién(es) será(n) propietario(s) de aquellos activos cuyo origen sea el resultado de una

decisión estratégica o de grupo?

Podría ser conveniente para la organización el implantar un procedimiento que defina un umbral sobre el cual la información será considerada un activo



CONFIDENCIAL

Clasificación de la información

• La clasificación de la información garantizará que los activos recibirán el nivel de protección adecuado

• Se debe considerar que el compartir información es un objetivo tan importante como lo es la restricción

• Posibles esquemas de clasificación (de mayor a menor grado):– Confidencial, Restringido, Privado– Súper secreto, Secreto, Confidencial, Restringido– Secreto, Confidencial, Público

• El propietario, como encargado del activo, asignará la clasificación adecuada según el esquema acordado

• La información clasificada será etiquetada de manera que tanto el originador como el receptor sepan cómo aplicar la seguridad correspondiente.

Títulos unificados

• Las Unified Classification Markings es un conjunto de reglas para la clasificación de la información desarrollado por un grupo de organizaciones en nombre del antiguo Departamento de Industria y Comercio Británico.



Seguridad de recursos humanos

• Quienes estén vinculados con tareas relacionadas con SGSI deben poseer la competencia adecuada (ISO/IEC 27001 – epígrafe 5.2.2)

• Todo el personal (interno y externo) es responsable de la seguridad de información

• Sin gestión y/o sin responsabilidades definidas la seguridad no será efectiva

• ISO 27000 propone controles considerados en tres fases:

– Antes del Empleo

– Durante el Empleo

– Finalización o Cambio de Empleo

Antes de la contratación

• Descripciones del cargo y requisitos de competencia– Descripción de las competencias requeridas– Declaración en la que se señala que el empleado debe estar al tanto de la

política de seguridad de información de la organización.

• Proceso de selección– Referencias, identidad, títulos– Verificación de datos del candidato (la profundidad dependerá del nivel de

confidencialidad asociado al cargo en cuestión)

• Términos y condiciones de empleo– La responsabilidad del nuevo empleado por la seguridad de información

debe quedar clara en el contrato de empleo– Código de Conducta / Acuerdo de Confidencialidad



Durante el empleo

• Gestión de responsabilidades– La gerencia garantizará la aplicación de las políticas y procedimientos de

seguridad de información– Archivo personal

• Concienciación, capacitación y educación– Todos los empleados de la organización (incluyendo terceros) deben recibir

el entrenamiento adecuado, actualizaciones regulares y comunicaciones– El personal de TI encargado de la gestión de sistemas debe estar

adecuadamente entrenado– Debe mantenerse evidencia de dicha(s) capacitación(es) en el archivo

personal

• Proceso disciplinario– Cualquier violación de la política o procedimientos de seguridad de

información será tratada a través de un proceso disciplinario formal

Finalización o Cambio de empleo

• Responsabilidades de la terminación– Documentar quién es responsable de realizar las terminaciones y cuáles son

dichas responsabilidades– RRHH – entrevista de salida

• Devolución de activos– Hardware– Software– Información– Conocimiento (transferencia)

• Eliminación de derechos de acceso– Aspecto crítico– Contraseñas, cuentas para el uso de Internet y correo—e, tarjetas de acceso,

etc.



Seguridad física

• La seguridad física es parte de la seguridad de la información, ya que todos los activos de la empresa deben estar físicamente protegidos

• La coordinación entre los responsables de la seguridad física y seguridad de la información es de gran importancia

• Las medidas de seguridad física son implantadas para proteger la información del fuego, robo, vandalismo, sabotaje, acceso no-autorizado, accidentes y desastres naturales

Anillos de protección

Áreas seguras (I)

• Perímetro de seguridad física– Definición precisa y robustez del perímetro– Presencia de personal para el acceso (recepción)– Barreras físicas– Puertas de salida de emergencia con un único sentido y – Sistemas de detección de intrusos

• Controles de entrada físicos– Supervisión de áreas para visitantes– Consideración en la selección de servicios de seguridad– Métodos de comunicación efectivos para supervisión remota– Utilización de identificador visible– Revisión periódica de derechos de acceso– Restricción de acceso para terceros a aquellas áreas específicas

• Seguridad de oficinas, salas e instalaciones– Ubicación adecuada de áreas de almacenamiento claves– Discreción en instalaciones de procesamiento de información– Ubicación de equipo de oficina en áreas no tan seguras– Cierre de puertas y ventanas de áreas no vigiladas– Separación de instalaciones de procesamiento de información internas y de terceros– Protección del acceso público de guías y directorios internos– Almacenamiento alternativo para los recursos/equipos de back-up.



Áreas seguras (II)

• Protección contra amenazas externas y medioambientales

• Trabajo en áreas seguras– Comunicación selectiva de la existencia de áreas y actividades seguras– Supervisión del trabajo– Cierre y revisión periódica de áreas “vacantes”– Prohibición de equipos de grabación o copiado (cámaras, vídeos, fotocopiadoras)– Controles específicos para evitar la adquisición de información con “juguetes ejecutivos”

(p.ej. reproductores MP3) u otros dispositivos (cámaras digitales, teléfonos móviles, USBs, etc.)

• Áreas de acceso público, carga y entrega– Acceso restringido a áreas de carga y entrega– Diseñar estas áreas para evitar que el personal de entregas no pueda acceder a otras

partes de la edificación– Cierre de puertas externas cuando se mantiene abierta la puerta interna– Registro e inspección de material entrante– Separación de actividad de entrega saliente y entrante

Ubicación y protección de equipos

• Ubicar los equipos de manera que se minimice el acceso innecesario y no autorizado a áreas de trabajo

• Instalaciones de procesamiento y almacenamiento de datos sensibles debe ubicarse para reducir el riesgo de ser “husmeado” durante su utilización

• Artículos que requieran protección especial deben aislarse para reducir el nivel general de protección requerida

• ISO 27002 recomienda tomar controles que minimicen el riesgo de amenazas potenciales como incendio, robo, explosión, humo, fallo de suministro de agua, polvo, vibraciones, efectos químicos, interferencia y/o fallo de suministro eléctrico y radiación electromagnética (!)

• Evaluar las políticas de ingestión de alimentos y bebidas así como restricciones para fumadores

• Considerar la exposición al frío y/o calor excesivo, al humo, polvo y lluvia. Equipar salas de servidores con detectores y alarmas que contacten al personal de guardia

• Instalar protección contra descargas eléctricas• Considerar la utilización de métodos especiales de protección (membranas para

teclados)



Servicios públicos de soporte

• Los sistemas Uninterrupted Power Supply (UPS) son esenciales para soportar los equipos que corren las aplicaciones críticas de la organización (¿UPS para empleados trabajando a distancia?)

• Los UPS deben ser revisados regularmente y considerar su posible fallo (¿UPS de respaldo? ¿Generador eléctrico?)

• Sistema de iluminación de emergencia

• Ubicar interruptores eléctricos de emergencia cerca de las salidas de emergencia para facilitar la desconexión rápida

• Protección contra descargas eléctricas y filtros para las líneas de comunicaciones

• Considerar también sistemas de aire acondicionado, humidificación y supresión de incendios

• Los servicios de telecomunicaciones deben poseer dos métodos distintos de conexión al proveedor

Seguridad del cableado

• Las líneas eléctricas y de telecomunicaciones en las instalaciones de procesamiento de información deben ubicarse bajo tierra

• El cableado en áreas de trabajo debe estar adecuadamente organizado y protegido

• Los cables de red deben protegerse con canalizaciones adecuadas o evitando rutas de acceso público

• Los cables eléctricos deben separarse de los cables de comunicaciones para evitar interferencia

• Controles adicionales: canalizaciones blindadas, armarios seguros, acceso controlado a los paneles de conexión y salas de cableado



Mantenimiento y seguridad de equipos externos

• La organización debe mantener copias de todas las instrucciones y manuales delfabricante

• Equipos y medios sacados fuera de las instalaciones deben mantenerse vigilados

• El personal debe estar entrenado para proteger aquellos riesgos identificados por el fabricante

• Los equipos externos deben estar asegurados

Eliminación, reutilización y retiro de equipos

• La información y software licenciado debe ser borrado del equipo antes de su eliminación o reutilización

• Los dispositivos de almacenamiento (cintas, discos flexibles, CD ROMs, PDA o teléfonos móviles) deben ser preferiblemente destruidos en vez de reutilizados

• Garantizar que cualquier equipo, información o software no será retirado de las instalaciones sin autorización

• Es recomendable realizar inspecciones aleatorias para detectar retiros no autorizados

• Solicitar anualmente a los empleados remotos un inventario de los artículos que poseen, comentando acerca de su estado actual



Gestión de operaciones y comunicaciones

Documentación de procedimientos operativos

– Para conseguir una gestión eficaz y el control de TI es importante documentar los procedimientos para el funcionamiento de los equipos y asignar responsabilidades de las actividades necesarias.

– Los detalles pueden ser proporcionados a través de instrucciones de trabajo: • Procesamiento y manejo de la información• Realización de copias de respaldo• Instrucciones para gestionar errores u otras excepciones• Personal de contacto para eventos inesperados o dificultades técnicas• Instrucciones para manejar resultados especiales• Instrucciones detalladas del procedimiento de reinicio y recuperación• Encendido y apagado de ordenadores• Rutinas de mantenimiento

– La intención es garantizar que no existan malentendidos respecto a la forma en la que debe operarse un equipo, sistema, software, etc.

Gestión de cambios

• Existen riesgos tanto en la implantación como en la no-implantación de cambios

• Los cambios son una causa habitual de fallos, vulnerabilidades y gastos innecesarios

• Separación de funciones

• En general, el procedimiento de control de cambios consta de un documento en el que se precisa:

1. Identificación y justificación empresarial2. Proceso de pruebas y aceptación del cambio por parte del usuario3. Evaluación de cualquier posible impacto4. Aprobación formal5. Comunicación a todos los interesados6. Procedimiento de aborto y vuelta atrás



Separación de desarrollo, pruebas y operaciones

• Separar los ambientes de desarrollo y pruebas de los de producción (operaciones) para reducir el riesgo de accidentes o acceso no autorizado

• Deben existir reglas bien definidas y documentadas para regular la transferencia del software del ámbito de desarrollo a producción

• El requisito es separar las actividades de desarrollo y pruebas lo más posible de las de producción, trabajando preferiblemente en ordenadores o dominios distintos y en directorios diferentes

• El entorno de desarrollo debe ser estable y simular al máximo al entorno de producción

• Los desarrolladores no deben tener acceso al site de producción

Gestión de suministradores

• Gestión en la entrega del servicio– Garantizar que se aplican todos los controles de

seguridad, definiciones de servicio y niveles de entrega identificados en el contrato con el tercero

• Monitorización y revisión de los servicios– Monitorizar el rendimiento para garantizar que

realmente se alcanzan los niveles contratados– Revisar todos los registros de incidencias de

seguridad

• Gestión de cambios en servicios externalizados– Al externalizar, la organización pierde poder para

hacer cambios directamente a dichos servicios– Es posible que los cambios gestionados por el

tercero no sean adecuados para la organización

Es práctica común redactar un Service Level Agreement (SLA) donde ambas partes describen los servicios y las circunstancias bajo los que serán entregados

Es práctica común redactar un Service Level Agreement (SLA) donde ambas partes describen los servicios y las circunstancias bajo los que serán entregados



Planificación y aceptación de sistemas

• Planificación de la capacidad– Monitorizar la demanda de capacidad y realizar proyecciones de requisitos de

capacidad futura para garantizar la disponibilidad de equipos e instalaciones de almacenamiento de datos

• Aceptación de sistema– Los criterios de

aceptación deben ser claramente identificados, acordados y documentados

Controles contra el software malintencionado

• El término malware (malicious software) engloba todo tipo de programa o código informático cuto objetivo es infiltrarse en los ordenadores sin el consentimiento del propietario con propósitos malintencionados

• Los virus informáticos siguen ocupando un lugar protagónico como amenaza para las organizaciones

• La implantación de software antivirus comprende tan sólo una parte de un sistema efectivo de seguridad de datos

Computer Security Institute Survey 2008



Virus, gusanos y troyanos

Virus

• Se puede reproducir a sí mismo

• Depende de un fichero huésped

• Sólo puede extenderse fuera del sistema infectado a través de la transferencia de ficheros

Gusano

• Se puede reproducir a sí mismo

• Es autónomo (NO necesita el fichero huésped)

Troyano

• Un troyano es un código hostil oculto dentro de lo que pretende ser un código de buena fe.

• Está diseñado para alcanzar un objetivo de forma sigilosa y ejecutarse inadvertidamente.

Spyware y Adware

• Usualmente se descargan escondidos entre un conjunto de programas de software gratuito (freeware)

• Acostumbra recoger información del ordenador donde se encuentra y enviarla a algún “cómplice”.

• Su propósito es habitualmente comercial y, aunque no persigue dañar el ordenador, incurre en violación a la privacidad

• Siguen siendo los dos problemas más importantes de malware para las organizaciones



Controles anti-malware

• Política (SGSI) que requiera conformidad con licencias y que prohíba el uso de software no autorizado

• Política que proteja a la organización de los riesgos de importar malware en discos, ficheros o software proveniente del exterior de la organización

– Deshabilitar los puertos USB y lectores de CD/DVD de los PCs de la red– Cualquier dato que llegue en tales medios debe ser verificado en primer lugar por

personal de TI• Software antivirus instalado en toda la red con las actualizaciones pertinentes según la

política de actualización del fabricante• Aplicar todos patches, arreglos y service packs para sistemas operativos y software en

general en cuanto se encuentren disponibles• Revisión periódica del software y datos para todos los sistemas que soportan los

procesos críticos de la organización• Verificación de ficheros provenientes de fuentes o redes no autorizadas, inciertas, poco

fiables antes de ser utilizados• Revisión en el punto de entrada a la red de anexos a correo-e y vínculos de descarga • Educación a los usuarios para reconocer y responder ante correos electrónicos

infectados• Procedimientos documentados para asignar responsabilidades en el tratamiento de

malware (incidencias, antivirus y recuperación)• Elaboración de Planes de Continuidad para la recuperación de ataques de malware• Revisión periódica de fuentes de información actualizada acerca de malware

Controles para el “código móvil”

• Código móvil: programa que puede ejecutarse en ubicaciones remotas con cualquier modificación del código. Puede trasladarse y ejecutarse de una máquina a otra de la red.

• Incluyen: ActiveX, Java, JavaScript, VBScript, macros de MS Office y PostScript

• macros documentos

• JavaScript websites (pop-ups)

• ActiveX permite a los ordenadores descargar plug-ins críticos más su carga adicional

• Estos códigos pueden utilizarse para recoger información de un sistema objetivo, para introducir malware o troyano, o para modificar y destruir información

• El control A.10.4.2 de ISO/IEC 27001 requiere que la ejecución del código móvil sea restringida a un entorno tal que no viole las políticas de seguridad de información



Back-up

• Propósito: mantener la integridad y disponibilidad de la información y las instalaciones de procesamiento de la información

• Una vez identificados los activos para los que se requieren copias de respaldo, la organización decidirá el método y frecuencia para su realización

• Consideraciones:– Nivel mínimo de información respaldada– Misma seguridad física para los back-ups– Los medios de back-up deben ser probados para garantizar su funcionamiento– Los procedimientos de restauración deben ser revisados periódicamente– Archivos críticos en papel también deben ser respaldados (¿fotocopias?)– Examinar soluciones RAID (Redundant Array of Independent Disks) para

aquellos servidores donde se ejecutan aplicaciones críticas– Definir y aplicar el período de retención de información a los datos

respaldados

Gestión de la seguridad en redes

• Las responsabilidades operativas de la red deben separarse de las de cómputo

• Procedimientos y responsabilidades claras para la gestión de equipos remotos

• Controles especiales para proteger los datos transmitidos a través de redes inalámbricas y/o públicas (¿técnicas criptográficas?)

• Coordinación de las actividades de gestión para garantizar aplicación de los controles del SGSI

• La arquitectura de la red debe reflejar las necesidades y recursos de la organización

• La selección de un gestor de redes experimentado y efectivo es indispensable



Seguridad de los servicios de red

• Tanto el SGSI como los “acuerdos de servicio de red” deben contener una descripción clara de los atributos de seguridad de todos los servicios de red utilizados en la organización

• Atributos habitualmente considerados:

• Tecnología de seguridad (tales como codificación, autenticación y controles de conexión a la red)

• Parámetros técnicos de la conexión segura con el proveedor de servicios

• Procedimientos para la restricción de acceso a los servicios

• Controles relacionados con la data almacenada en el sistema

• Es particularmente importante verificar la capacidad de recuperación de los sistemas del proveedor así como comprender y verificar sus procedimientos de contingencia

Gestión de medios

• Gestión de medios removibles– Eliminar contenido de cualquier medio reutilizable que sea

retirado definitivamente de la organización– Obtener autorización para extraer cualquier medio de las

instalaciones– Almacenar con seguridad todos los medios siguiendo las

recomendaciones del fabricante– Salvaguardar información que probablemente sea necesaria

en algún momento posterior al tiempo de vida del medio

• Eliminación permanente de medios– Artículos: documentos en papel, grabaciones, papel carbón, cintas de impresora, discos

removibles, cintas magnéticas, memorias USB, CD/DVD ROMs, etc.– Métodos: triturado, incinerado, sobre-escritura (según criticidad)

• Procedimientos de manipulación de la información– Medios en tránsito– Restricciones de acceso– Garantizar la integridad de los datos entrada, el procesamiento completo y aplicada la

validación de los resultados en el procesamiento de datos– Mantener al mínimo (y revisar periódicamente) las listas de distribución de información

• Seguridad de la documentación del sistema



Intercambio de información (I)

Objetivo: Evitar la pérdida, modificación o uso indebido de la información intercambiada, bien sea dentro de la propia organización o entre organizaciones

• Políticas y procedimientos para el intercambio seguro de información– Procedimientos para proteger la información intercambiada de intercepción, copiado,

modificación, mal encaminamiento y destrucción– Referencia a las políticas y controles de antivirus.– Documentos críticos no deben ser impresos o dejados en impresoras/faxes ampliamente

accesibles– Identificar los peligros de las comunicaciones inalámbricas– Políticas de uso aceptable deben señalar la responsabilidad de no comprometer a la

organización con mensajes obscenos, de acoso, de difamación, de suplantación, el reenvío de cadenas de correo-e, compras no autorizadas, etc

– No revelar información confidencial al utilizar teléfonos en áreas no seguras– Evitar el uso de equipos que puedan estar comprometidos– No dejar mensajes con información sensible sistemas de mensajería de voz– Verificación de destinatarios para correos-e y faxes

Intercambio de información (II)

• Acuerdos de intercambio de información y software– Identificar a los responsables de controlar, notificar el envío, entregar y recibir información

en cada parte del acuerdo– Procedimientos para garantizar la notificación de la sensibilidad de la información– Estándares técnicos mínimos para el empaquetado y transmisión– Procedimientos de identificación de empresas de mensajería– Responsabilidades y obligaciones por la pérdida de datos– Sistema de etiquetado estándar acordado– Responsabilidades por la propiedad de la información y el software– Estándares técnicos para el registro y lectura de la información y software– Cualquier control especial (cifrado?) necesario para información muy sensible

• Medios físicos en tránsito– Establecer un listado de empresas de mensajería confiables– Empaquetar el hardware según las especificaciones del fabricante– Controles físicos adicionales (entrega personal, contenedores seguros, empaque con

precinto, cifrado avanzado, división de envíos, etc.)

• Sistemas de información empresarial– La comunicación “cara-a-cara” es más segura que a través de medios electrónicos– Métodos a considerar: documentos en papel, ordenadores de sobremesa y portátiles,

comunicación por Internet (IRC), mensajería instantánea, presentaciones vía Web, salas de chat y foros de Internet, comunicaciones móviles, PDAs, correo, mensajería de voz, multimedia, servicios e instalaciones postales, faxes, impresoras y fotocopiadoras



Servicios de comercio electrónico

Canales:• EDI (Electronic Data Interchange)• Correo-e• Comercio a través de websites• Transacciones online

Organizaciones

Tecnología

Modelos de Negocio más abiertos

Mayor conectividad e intercambio de

información

• Aumento constante del riesgo de ataques de hackers

• Desarrollo de aplicaciones que evaden cortafuegos

• Incremento del Phishing, Pharming y correos Spam

• Repudio/Rechazo en transacciones online

Los cambios en la tecnología generan amenazas cambiantes…

Tecnologías de seguridad - SSL

•Secure Sockets Layer es un protocolo independiente de la aplicación utilizada

•Muy extendido en Internet

• Implementación sencilla

•Diseñado para garantizar la confidencialidad de la información, aún habiendo sido interceptada

•No es infalible y, usualmente, se utiliza en conjunto con otras tecnologías

• Los browsers de Internet deben mostrar una advertencia cada vez que se envía información a través de una conexión no segura

• El prefijo URL cambiará de ”http“ a ”https“ y aparecerá un icono (candado) en la ventana del browser



Tecnologías de seguridad – IPsec y S/MIME

• Internet Protocol security (IPsec) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos

• IPsec crea una conexión segura entre dos sistemas a través de un “túnel cifrado” a través de redes públicas

• Es la tecnología de seguridad mas utilizada en redes virtuales (VPNs)

• Multipurpose Internet Mail Extensions (MIME) es una especificación que proporciona un método estándar para anexar ficheros adicionales a los mensajes de correo-e

• Secure MIME (S/MIME) añade características de seguridad tales como firmas digitales y cifrado a la especificación MIME básica

• S/MIME proporciona autenticación, integridad de mensaje y no-repudio de origen (con firmas digitales) así como privacidad y seguridad de datos (con cifrado) para el correo-e

Tecnologías de seguridad – PKIX

• Public Key Infrastructure (PKI) es un conjunto de hardware, software, políticas y procedimientos necesarios para crear, gestionar, distribuir, utilizar y revocar certificados digitales

• Un grupo de la Internet Engineering Task Forcetrabaja en la definición de un estándar (basado sobre el protocolo X.500 de la UIT) fomenta el uso de los servicios de seguridad de claves públicas

• Ha especificado los mecanismos para el cifrado y descrito las estructuras para claves públicas y pri-vadas, certificados y firmas digitales

• También ha abordado la gestión de certificados y la operación de las autoridades de certificación (CA)

• El protocolo Secure Electronic Transaction (SET) –desarrollado en conjunto por Visa y MasterCard– es un método para facilitar las transacciones bancarias y de tarjetas de crédito de manera segura y rentable sobre redes públicas

• SET, sin embargo, no ha sido adoptado ampliamente, por lo que Visa y MasterCard han introducido una nueva tecnología denominada 3D Secure



Seguridad de servidores

• Es indispensable que las organizaciones tomen medidas para proteger sus servidores web de cualquier ataque

• Existen muchas vulnerabilidades documentadas tanto en los browsers como en los servicios (software) de Internet de varios fabricantes

• Algunas ideas:• Nombrar un encargado específico para la seguridad de los servidores web

• Utilizar la última versión del Internet Information Service (IIS) e IE

• Instalar los últimos Service Packs y/o hotfixes

• Evitar instalar el servicio IIS en el mismo servidor que contiene el controlador de dominio

• Verificar regularmente la configuración del servidor

• El Payment Card Industry Data Security Standard (PCI DSS) se muestra particularmente preocupado por la vulnerabilidad de los servidores web. Señala dos aspectos clave:

• Identificar y resolver cualquier vulnerabilidad

• Realizar “pruebas de penetración” regulares sobre cada website por compañías acreditadas

Transacciones online

• Se requiere que la información online sea protegida tal que permanezca auténtica, íntegra, no sea mal encaminada, alterada, divulgada o duplicada y, en particular, que no sea robada para ser utilizada en transacciones fraudulentas

• PCI DSS considera la posible apropiación indebida de la información del propietario de la tarjeta y señala controles dirigidos a la evasión del registro y/o almacenamiento de cualquier información sensible

• ISO/IEC 27002 sugiere considerar:

• Firmas electrónicas

• Controles técnicos para verificar las credenciales del usuario

• Comunicaciones cifradas

• Evitar el acceso desde Internet al almacenamiento de información personal

• La seguridad debe estar integrada de extremo a extremo en una relación de autoridad de confianza.

• Tomar en cuenta cualquier aspecto legal

• Las organizaciones deben alertar a sus clientes acerca para que no divulguen sus contraseñas y contar con mecanismos de respuesta rápida para la detección de fraudes



Información disponible públicamente

Es necesario contar con un proceso formal de autorización para publicación de información y proteger su

integridad para prevenir modificaciones no deseadas

Es necesario contar con un proceso formal de autorización para publicación de información y proteger su

integridad para prevenir modificaciones no deseadas

Aspectos clave:

• La fiabilidad y seguridad del sistema donde se dispondrá la información

• El control de la información divulgada en entrevistas y, directa o indirectamente, en el espacio público

• El control de la información publicada electrónicamente

• Cualquier información a publicar debe ser autorizada• La información obtenida debe recogerse según la ley de protección de datos vigente• La información ingresada debe ser procesada rápidamente• Las aplicaciones web deben filtrar los datos proporcionados por los usuarios• La información sensible debe protegerse durante su recolección y almacenamiento

Sistemas electrónicos de feedback

Uso del correo electrónico e Internet

• El correo-e ha reemplazado casi completamente al telex y está a punto de reemplazar los faxes y el correo tradicional

• Diferencias del correo-e respecto al correo físico:– Rapidez de entrega– Estructura del mensaje– Informalidad– Facilidad de error en el direccionamiento– Facilidad de duplicación– Facilidad de intercepción– Facilidad en el transporte de anexos

• Riesgos de seguridad en el correo-e– Vulnerabilidad de acceso y modificación no autorizados de los mensajes así como a los

ataques tipo “negación de servicio”– Vulnerabilidad a los errores de mensajes tales como las direcciones de los destinatarios– Problemas relacionados con mensajería instantánea e intercambio de ficheros– Usuarios remotos con fallos de control y acceso desde Internet a cuentas de correo-e

Más importante aún es el riesgo para la empresa de que los correos electrónicos enviados entre organizaciones por miembros del personal pueden dar lugar a la exposición no autorizada de información confidencial o sensible, lo que generaría mala publicidad y, posiblemente, una acción legal.



Mensajes “Hoax” y “Spam”

• Los correos hoax (engaños) tratan de convencer al lector desu veracidad y le invita a llevara cabo cierta acción

• Los usuarios deben reportarlos inmediatamente

• El correo spam (basura) se origina fuera de la organización y en tales cantidades que puede restringir la disponibilidad de la información así como consumir gran cantidad del costoso ancho de banda

• Atención: no todo el spam es realmente “no deseado”; en ocasiones se trata de comunicaciones de marketing legítimas y útiles

• Los controles de la organización deben ser una combinación de:• Restricciones en el gateway de Internet• Entrenamiento del usuario• Presión sobre el Proveedor de Servicios de Internet (ISP)

Mal uso de Internet

Computer Security Institute Survey 2008

• La productividad del empleado puede reducirse significativamente (30-40%)

• Al otorgar acceso a Internet se permite, a cambio, el acceso de todo tipo malware a los sistemas de la organización

• El tráfico de la red se puede ver colapsado, lo que afecta a la disponibilidad

• La navegación recreativa puede conducir a los empleados a sitios inapropiados (pornografía, violencia, discriminación, etc.) y/o de descargas ilegales



Política de uso aceptable de Internet

Contrarrestar los riesgos a través de:

1. Tecnología para controlar/filtrar la navegación por Internet

2. “Política de Uso Correcto” de Internet(AUP)

• Por escrito y comunicado a todos los empleados

• Indicar el “uso correcto” claramente• Especificar prohibiciones• Establecer la monitorización que se

aplicará (si aplica)• Indicar el comportamiento correcto

online (chat, IRC, blogs, etc.)• Establecer reglas de privacidad

• Restricciones por grupos de usuarios• Restricciones horarias• Bloqueo específico• Bloqueo por categorías• Compatibilidad con cortafuegos• Trabajar en comunicaciones entrantes

y salientes

Hackers y Crackers

• Motivos:– Reto– Travesura– Trabajo (buscando bugs en un software…)– Robo– Ethical Hackers?

• Técnicas:– Software abusivo– Back door– Back orifice (desarrollado por cDc)– Negación de servicio (Service denials)– Explotación (ataque a vulnerabilidad identificada)– Intermediario (Man in the Middle)– Enmascaramiento – Monitorización de red– Cracking de contraseñas– Ataques polimorfos– Rootkit– “Ingeniería social”– Suplantación de Identidad (Spoofing/Phishing)– Troyanos



Política de control de acceso

• Los controles de acceso físicos y lógicos deben complementarse

• No implantar la política adecuadamente demasiada gente con acceso a demasiadainformación y a un nivel de confidencialidad demasiado elevado

• Entrenamiento acerca de la política de control y reglas de acceso debe ser incluido en el entrenamiento básico del usuario

• Factores a considerar en la Política:– Diferentes aplicaciones corporativas tendrán distintos requisitos de seguridad

– Alguna información requerida por una aplicación corporativa podría ser procesada por personas que no necesitan acceder a la aplicación en sí

– Sistema de clasificación de la información (derechos de acceso nivel confidencialidad)

– Legislación relevante

– Perfiles de acceso estándar para categorías de trabajo comunes

– Considerar todos los tipos de conexiones existentes en ámbitos de redes distribuidas

– Separación de funciones (procesamiento, autorización y otorgamiento de accesos)

– Revisión de controles de acceso

– Remoción de derechos de acceso al cese de trabajo del empleado

Inscripción/registro de usuarios

• Elaborar un proceso formal para registrar y dar de baja a los usuarios

• Implementar un inicio de sesión único en el sistema de gestión de acceso garantizará que el usuario podráacceder a todos los activos a los que tiene permiso con un único nombre de usuario y contraseña

• Otorgar identificaciones de usuario (IDs) únicas y retirar IDs redundantes

• No reasignar IDs de usuarios redundantes

• No permitir IDs para grupos

• Documentar los derechos de acceso del usuario así como los activos y sistemas a los que puede acceder

• Garantizar que los usuarios reciban una declaración de sus derechos de acceso

• Garantizar que los proveedores no otorguen acceso hasta que se complete el proceso formal

• Guardar una copia del documento firmado por el empleado en su archivo personal

• Los derechos de acceso para el personal saliente deben revocarse inmediatamente

• Dicha declaración debe referirse explícitamente a la gestión de contraseñas, privilegios específicos otorgados, estructuras de contraseña apropiadas y al requisito de salva-pantallas protegido por contraseña

El proceso debe contemplar



Gestión de privilegios

• Un privilegio es una facilidad dentro de un sistema multi-usuario que permite a un usuario suprimir los controles del sistema o aplicaciones

• Los privilegios más críticos son los que permiten a los administradores de sistemasrealizar su trabajo

• Asignación de privilegios:– Identificar cada sistema (sistema operativo, aplicación, Base de Datos, etc.)– Identificar los privilegios asociados con cada sistema– Identificar la plantilla que necesita dichos privilegios (categorías)

• Los privilegios deben otorgarse sobre la base de “necesidad de uso” y –de ser posible– evento por evento tal que los usuarios tengan sólo el mínimo requisito para su rol funcional (y sólo durante el lapso necesario)

• No asignar ningún privilegio especial hasta que se halla otorgado la autorización formal

Gestión de contraseñas de usuario

• Usuarios deben aceptar por escrito que mantendrán la confidencialidad de sus contraseñas

• Donde se requiera que los usuarios escojan y mantengan su propia contraseña, deben recibir inicialmente una contraseña temporal segura y ser forzados a cambiarla inmediatamente con el primer inicio de sesión

• Las contraseñas temporales deben ser únicas para cada individuo y difíciles de adivinar

• La función de Helpdesk (Centro de Atención al Usuario, CAU) que trata con contraseñas perdidas o erróneas necesita una gestión efectiva, entrenamiento y auditoría para garantizar que cualquier ataque sobre el sistema por esta ruta pueda ser controlado

• Las contraseñas nunca deben almacenarse en (o sobre) los sistemas informáticos y las contraseñas de cada hardware o software proporcionadas por el fabricante deben ser cambiadas al momento de su instalación (debe existir un proceso de auditoría para garantizar dicho cambio)



Revisión de derechos de acceso de usuario

Los principios del procedimiento de revisión podrían incluir:

• Revisión de los derechos de acceso normales con una frecuencia predeterminada (ISO/IEC 27002 recomienda hacerlo cada seis meses o cada vez que se produzcan cambios en el sistema, estructura o rol de la persona)

• Revisión de derechos de acceso privilegiados con una frecuencia predeterminada pero mucho mayor (ISO/IEC 27002 recomienda hacerlo trimestralmente)

• Verificación regular de asignación de privilegios (¿mensualmente?) para garantizar que los usuarios no han obtenido privilegios no autorizados (generalmente por complicidad)

Responsabilidades del usuario

• Utilización de contraseñas– Mantener la confidencialidad de las contraseñas– Evitar mantener cualquier registro de las contraseñas (electrónico o papel)– Cambiar la contraseña cuando exista la posibilidad de verse comprometida– Seleccionar contraseñas con seis caracteres (mínimo)– Cambiar contraseñas regularmente– Cambiar la contraseña en el primer inicio de sesión– No compartir contraseñas bajo ninguna circunstancia

• Equipo desatendido– Utilización de protectores de pantalla asegurado con contraseña y

auto-activado (3 a 5 minutos)– Educar a los usuarios en la activación del protector de pantalla manualmente,

darse de baja en la aplicación en la que trabajaban y asegurarse que el procedimiento de log-off se haya completado antes de apagar o dejar desatendido al equipo

• Política de escritorio y pantalla despejados– Garantizar la disponibilidad de recursos físicos en el ámbito de trabajo para el

adecuado almacenamiento de la información según su clasificación– Política de la “bolsa negra”



Redes

• Redes privadas– LAN– WAN

• VPN– Acceso remoto– Interdependencias

• Extranets y DMZs

• Redes inalámbricas

• Telefonía móvil

• VoIP

• Bluetooth

Política sobre el uso de servicios de red

• Cortafuegos y seguridad del perímetro– Un cortafuegos proporciona una barrera para el tráfico que intenta cruzar el

perímetro y permite pasar sólo tráfico autorizado– Normalmente ofrecen algún nivel de NAT, protección contra “Rechazos de

Servicio” (DoS), IPSec para VPN e IDS– La política más segura para el perímetro (cerrar todos los puertos) no es

necesariamente la más sensata

• Routers y switches– Deben configurarse según recomendaciones del fabricante– Poseer listas de control de acceso (ACLs) y contraseñas actualizadas– Algunos productos incluyen cierta tecnología de cortafuegos básica

• Sistemas de detección de intrusos en la red (N–IDS)– Hardware y/o software que automatiza el proceso de monitorización de

eventos en sistemas para la detección de intrusos– El N–IDS (o sniffer) monitoriza los paquetes de red y “persigue” hackers– Un System Integrity Verifier (SIV) monitoriza archivos del sistema localizando

cambios que generen posibles back doors– Log File Monitors (LFM) monitorizan los registros (logs) generados por los

servicios de red



Autenticación de usuarios – conexiones externas

• La presencia de cualquier acceso a la red vía dial-up o por medios inalámbricos ofrece a los agresores un posible camino de entrada

• Enfoques y tecnologías:– Remote Access Dial–In Service (RADIUS)– Terminal Access Controller Access-Control System advanced (TACACS+)– Protocolo “Kerberos”– Challenge Authentication Protocol (CHAP)– Password Authentication Protocol (PAP)

Identificación de red y protección de puertos

• Identificación de equipos conectados a la red– Identificación automática de equipos para autenticar conexiones desde sitios

específicos y equipos portátiles

– El PC puede asegurarse físicamente y poseer un identificador lógico o físico utilizado para verificar si tiene permiso para iniciar o recibir transacciones

• Protección de los puertos de configuración y diagnóstico remoto– Los ordenadores y sistemas de comunicaciones suelen contar con medios de

acceso remoto para acceder a la configuración o reparar fallos en el sistema

– Desprotegidos, estos puertos proporcionan medios fáciles para acceder sin autorización a aplicaciones y sistemas

– Seguridad física: inhabilitación del puerto y seguro con llave

– Cada vez más, el personal técnico accede a los servidores remotamente a través de la WWW en vez de hacerlo por dial–up



Segregación de redes

• Creación de zonas desmilitarizadas (DMZs) y/o extranets dificulta el acceso de agresores a la red

• Los servidores en la DMZ no deben ejecutar servicios innecesarios (FTP, DNS, SMTP)

• Considerar redes inalámbricas en la segregación

• Redes amplias y complejas pueden dividirse en dominios lógicos, cada uno con su perímetro de seguridad

• Diferentes partes de un ERP pueden alojarse en dominios diferentes, esto puede hacerse con seguridad si la arquitectura mantiene las partes separadas lógicamente

Control de conexión y routing de red

• Restringir la capacidad de conexión de usuarios en redes compartidas según la política de control acceso

• Deben utilizarse routers para controlar flujos de transacciones específicas (correos–e, transferencia de ficheros, acceso a aplicaciones, acceso interactivo)

• Revisión de direcciones de origen y destino (routing) para garantizar que las conexiones y flujo de información no violen la política de control de acceso

• El control de routing (gateway) se basará sobre protocolos deverificación disponibles en los routers

• Network Address Translation (NAT) aísla redes y previene la extensión de rutas o propagación de una red a otra



Control de acceso a sistemas operativos

• Objetivo: Prevenir acceso no autorizado a los sistemas de información

• Los dispositivos de seguridad de cualquier sistema operativo deben ser capaces de:

1. Restringir el acceso a los recursos del equipo identificando y verificando la

identidad de cada usuario autorizado

2. Registrar intentos de acceso (correctos y fallidos)

3. Proporcionar adecuada autenticación

4. Restringir el tiempo de conexión del usuario

5. Generar alarmas cada vez que se violen las políticas de seguridad del sistema

Procedimiento de inicio de sesión seguro

• Registro en terminal– Diseñado para minimizar la oportunidad de acceso no autorizado al sistema– Controles de contraseña inadecuados representan uno de los métodos más fáciles para

los agresores para lograr acceso– No mostrar indicadores del sistema o aplicación hasta haber completado el inicio de

sesión en él– En la pantalla de inicio de sesión, incluir una advertencia general de que el ordenador

debe ser accedido sólo por usuarios autorizados– No proporcionar mensajes de ayuda durante el inicio de sesión– Validar los datos de inicio sólo al finalizar la entrada de todos ellos– Se limitará el número de intentos fallidos permitidos– Limitar el tiempo máximo para el inicio de sesión– Luego del inicio de sesión correcto, mostrar fecha y hora del último acceso correcto y

detalles de intentos fallidos ocurridos desde entonces– Ocultar los caracteres de la contraseña con símbolos y cifrarlos antes de ser enviados a

través de la red

• Identificación y autenticación del usuario– Cada usuario con un ID único– Los IDs no deben indicar el nivel de privilegios asignados al usuario



Contraseñas y utilidades del sistema

• Sistema de gestión de contraseñas– Objetivo: garantizar contraseñas de calidad– Mantener un registro de contraseñas pasadas e impedir su reutilización– No revelar las contraseñas en pantalla al ser ingresadas– Utilizar cifrado para el almacenamiento de las mismas– Impedir la operación de IDs sin contraseñas

• Utilización de las utilidades del sistema– Estas herramientas pueden inhabilitar los controles de sistema y aplicaciones– Incluir procedimientos de identificación, autenticación y autorización para

acceder a ellas– Separar las utilidades del sistema del resto de aplicaciones– Limitar su utilización a un grupo pequeño de usuarios de confianza– Autorización bajo circunstancias específicas– Registro y monitorización del uso de las utilidades– Remoción del sistema o inhabilitación de utilidades innecesarias

Sesiones inactivas y tiempo de conexión

• Cerrar sesiones inactivas después de transcurrido cierto tiempo, especialmente en terminales ubicados en lugares riesgosos o vinculadas a sistemas de alto riesgo

• Los protectores de pantalla proporcionan cierta protección, pero no cierran aplicaciones o sesiones de red

• Configurar las estaciones de trabajo para que, transcurrido un período de inactividad definido en la evaluación de riesgo, se cierren las aplicaciones, las sesiones de red y se despeje la pantalla

• Para aplicaciones de alto riesgo, restringir el tiempo de conexión



Control de acceso a aplicaciones e información

• Restricción de acceso a la información– Proporcionar menús en interfaces de usuario que controlen el acceso a

aplicaciones y sus funciones– No entrenar en el uso de aplicaciones y funciones que no sean necesarias– Limitar los derechos de acceso a personas para que, aún evadiendo los

menús de sistema, no puedan acceder a las aplicaciones que no necesitan– Controlar los derechos de acceso para que puedan realizar sólo aquellas

funciones que necesiten– Garantizar que los resultados de aplicaciones se envíen sólo a aquellos

terminales autorizados

• Aislamiento de sistemas sensibles– Proporcionar entornos informáticos dedicados/aislados a aquellos sistemas

críticos (física, lógicamente o simplemente supervisados)– Probablemente esto incluirá todos los servidores clave de la red, cortafuegos y

servicios antivirus– Los propietarios de los sistemas críticos son responsables de preparar y

acordar una declaración de la sensibilidad del sistema– Si el sistema crítico se ejecuta en ámbitos compartidos, el propietario

identificará y aceptará formalmente los riesgos involucrados

Ordenadores portátiles y tele-trabajo

• Diseñar y asumir una “política para ordenadores portátiles y comunicaciones móviles”

• Garantizar que los usuarios reciban el entrenamiento adecuado antes de entregársele el equipo

• Consolidar en la política procedimientos acerca de:– Protección física– Control de acceso– Cifrado– Back-ups– Protección contra malware

• Diseñar políticas, planes operativos y procedimientos para autorizar y controlar las actividades del “trabajo a distancia“ (tele-trabajo)

• Consolidar con la política para portátiles y comunicaciones móviles: la única diferencia importante radica en la conexión y ubicación fija para el tele-trabajo



Análisis y especificación de requisitos de seguridad

• La cláusula A.12.1.1 señala que la organización, en el documento de requisitos empresariales para un nuevo sistema o la mejora de uno ya existente, controles sobre los requisitos de control

• Los controles implantados deben reflejar el valor para la empresa de la información a ser protegida

• Recomendación: adoptar una política en la que se exija la utilización de productos de terceros que hayan sido evaluados y certificados independientemente y que alcancen los estándares mínimos de seguridad (prueba de productos COTS)

• Inhabilitar cualquier producto que no proporcione la seguridad mínima o incluirlo en el esquema existente si existe una alternativa rentable para incrementar la seguridad

Tratamiento Correcto de las aplicaciones

• Validación de los datos de entrada– Verificación de valores “fuera de rango” (out-of-range), caracteres inválidos, datos

faltantes o incompletos, violación del límite superior e/o inferior de volumen de datos, uso no autorizado o inconsistente de datos de control

– Revisión periódica de campos clave y ficheros de datos– Inspección de documentos impresos de entrada– Procedimiento simple de respuesta ante la validación de errores– Responsabilidades y registro de actividades del personal involucrado en el proceso de

entrada• Control de procesamiento interno

– Controles de trabajo por lotes y balance de carga– Validación de datos generados por el sistema– Revisiones de integridad y autenticidad de datos cargados o descargados– Totales de control de registros y archivos – Revisiones de que las aplicaciones se ejecutan a tiempo, durante el lapso planificado, en

el orden correcto y desde el terminal adecuado– Registro de las actividades contempladas

• Integridad de los mensajes• Validación de los datos de salida

– Revisiones de verosimilitud– Conteos de reconciliación



Cifrado (Encryption)

• Cifrado simétrico– Utiliza la misma clave para cifrar y descifrar los datos– Data Encryption Standard (DES) 3 DES (3x DES)

• Cifrado asimétrico (o clave pública)– Una clave para cifrar y otra (matemáticamente relacionada) para descifrar– Problemas:

a) Validez del par de claves b) Que la clave pública realmente provenga de una organización

– Utilización de certificado digital (server ID o Subject Key Identifier –SKI–)

• Public Key Infrastructure (PKI)– X.509 es la norma actual: define formatos estándar para certificados y un

algoritmo para su validación – Cifrar sólo la información más sensible transmitida por redes públicas

• Firmas digitales

• Servicios anti-repudio

• Gestión de claves

Seguridad de los archivos de sistema

• Control del software de producción– Probar ampliamente los nuevos paquetes de software clave antes de

desplegarlos (Gestión de cambios)– Contar con planes de fall-back– Especial atención en despliegues tipo big bang– Mantener el software de externos al nivel de soporte proporcionado por ellos– Monitorización de las actividades de los proveedores– Decidir la responsabilidad de la actualización de los sistemas

• Protección de los datos de prueba del sistema– Evitar utilizar datos de producción con información personal o confidencial– En caso de utilizarlos, deben ser “des-personalizados”

• Control de acceso al código fuente de los programas– Mantener control estricto sobre el acceso al código fuente y elementos

asociados (Definitive Media Library - DML)



Seguridad en procesos de desarrollo y soporte

• Procedimiento de control de cambios

• Revisión técnica posterior a los cambios en el sistema operativo

• Restricciones a los cambios en los paquetes de software

• Fugas de información

• Externalización del desarrollo de software

Control de las vulnerabilidades técnicas

• Priorizar sistemas de alto–riesgo

• Priorizar vulnerabilidades de alto–riesgo

• Definir roles y responsabilidades

• Identificar, para cada software y elementos tecnológicos, la fuente de información importante acerca de la identifi-cación de vulnerabilidades y entrega de actualizaciones (patches)

• Garantizar los pasos, en un cronograma, para identificar los riesgos procedentes y no–procedentes relacionados con la actualización

• Permitir, bajo circunstancias de emergencia, la instalación de la actualización siguiendo el proceso de respuesta de incidencias

• Probar y evaluar actualizaciones para garantizar que no producirán efectos no deseados sobre otros sistemas

• Mantener un registro de actividad relacionado con la gestión de vulnerabilidades

• Supervisar regularmente el proceso de gestión de vulnerabilidades



Monitorización

• Registro de auditoría– Registro de excepciones y otros eventos relacionados con seguridad para ayudar en

investigaciones futuras– Archivos extensos y detallados pueden proporcionar más información de la necesaria y

resultar difíciles de analizar– Información mínima: IDs de usuarios; fechas y horas de inicio y fin de sesión; identificación

del terminal; detalles de intentos correctos y rechazados de acceso a los sistemas, datos o aplicaciones; cambios a la configuración del sistema; uso de privilegios, utilidades de sistema y aplicaciones; detalles de ficheros y redes accedidas y cualquier alarma activada; detalles de activación o desactivación de sistemas de protección (antivirus)

• Supervisión del uso del sistema– Garantizar que los usuarios realizan sólo aquellas actividades para las que están autorizados– Enfoque: “Mejor prevenir que curar”

• Protección de la información de los registros disputas y juicios• Registros de administrador(es) y operador(es)

– Almacenados en papel en la sala de servidores– Detalles: inicio y finalización de sistemas / eventos y personal involucrado; información del

evento (ficheros manipulados, procesos involucrados); errores de sistema y acción(es) correctivas; hora de back–up; detalles del intercambio de medios de back–up; etc.

• Registro de fallos ¿software de helpdesk?• Sincronización del reloj

– Elección de un formato único (a nivel de SGSI)

Eventos de seguridad de información

• Notificación de eventos de seguridad de información

– Responsabilidad de los empleados– Cultura de “no culpabilidad”– SPoC para todos los eventos– Categorías:

1. Violación de seguridad 2. Amenaza3. Debilidad 4. Fallo o mal funcionamiento

• Notificación de fallos de software– Entrenamiento a los usuarios para

sospechar fallos de SW– Usuarios deben anotar síntomas y

cualquier mensaje en pantalla– Desconectar el PC de la red y no

trabajar más con él– El asesor de seguridad debe

supervisar la recuperación

• Notificación de vulnerabilidades de seguridad

Conceptos de Gestión de Incidencias – ITIL v3



Gestión de incidencias de seguridad y mejoras

• Responsabilidades y procedimientos– Identificar incidencias entre eventos– Restringir inmediatamente cualquier

impacto adicional– Identificación de la incidencia y su

gravedad (causas y vulnerabilidades)– Táctica para atender la incidencia– Acción correctiva– Comunicación a los afectados– Informe interno

• Aprendizaje de las incidencias• Recopilación de evidencia

Eventos candidatos a Incidencia:• Infecciones de malware• Correo spam excesivo• Fallos de sistemas de información• Negaciones o pérdidas de servicio• Errores de información empresarial• Violaciones de confidencialidad o

integridad• Mal uso de sistemas de información

Ciclo de Vida de la Incidencia

Proceso de gestión de la continuidad empresarial



Continuidad empresarial y evaluación de riesgo

• Identificar todos los eventos que pueden interrumpir la continuidad empresarial– Entre los de mayor envergadura: bomba, actividad terrorista, sabotaje,

alzamiento popular, incendio e inundaciones

• Llevar a cabo una evaluación de riesgo para cada uno de los elementos identificados así como para cada uno de los sistemas y procesos críticos de la organización, involucrando a los propietarios de los procesos [SGSI]

– Impactos deben considerar lapsos de posible inactividad y el coste tanto para la reparación de los daños como de la pérdida de actividad comercial

• La evaluación debe identificar, cuantificar y priorizar los riesgos en función de los criterios y objetivos de la organización

• El tipo de análisis ayuda en la priorización inicial

Desarrollo e implantación de planes de continuidad

• Desarrollar planes individuales para cada proceso identificado, considerando la priorización realizada

• Contemplar todo el personal y los recursos necesarios para ejecutar cada plan

• Los planes deben ser esbozados por los propietarios de procesos o activos y, luego, revisados por el asesor/experto en seguridad de información

• La planificación debe incluir (ISO/IEC 27002):– Descripción de las circunstancias en las que se ejecutará el plan– Descripción de los niveles máximos aceptables de pérdida de información o servicios– Identificar y acordar internamente todas las responsabilidades y procedimientos de

emergencia para las interrupciones identificadas– Los procedimientos de emergencia son implantados lo suficientemente rápido para lograr

la recuperación y restauración del servicio en el lapso especificado– Documentar los procedimientos y procesos acordados incluyendo a los involucrados en

la implantación de los procedimientos en su creación– La plantilla debe ser entrenada en los procedimientos de emergencia así como en la

gestión general de la situación de crisis– Los planes deben ser probados y actualizados (ver más adelante)– El propietario del proceso o sistema es responsable por la actualización y mantenimiento

del plan de recuperación (y por el almacenamiento seguro de las copias)



Esquema de planificación de continuidad

• La organización debe mantener un esquema único para los BCPs para asegurar que todos son consistentes

• La base de este esquema puede ser una simple matriz en la que se identifican los enlaces entre activos, procesos, propietarios y riesgos de continuidad

• Características y contenido típicos del esquema:– Procedimiento de escalado– “Árbol de notificación” (incluyendo externos)– Mismo formato para todos los planes– Rango amplio de procedimientos de emergencia– Contemplar procedimientos alternativos– Detallar procedimientos operativos temporales– Actividades para la reanudación de operación normal– Proceso de pruebas de los planes– Garantizar que el personal recibirá el entrenamiento adecuado– Documentación detallada de roles y responsabilidades– Elementos críticos y su ubicación

Pruebas y mantenimiento de los planes de continuidad

• Pruebas “en frío” de diferentes escenarios

• Las simulaciones representan uno de los enfoques más importantes

• Las pruebas de recuperación técnicas están diseñadas para garantizar que los sistemas pueden recuperarse eficientemente

• Es conveniente probar la recuperación en una ubicación alternativa

• Las instalaciones de los proveedores y servicios básicos deben ser probados para verificar si cumplen con el compromiso del SLA

• Realizar ensayos completos al menos una vez al año



Conformidad Legal

Identificación de la legislación aplicable• Europa

– Convenio sobre la “Ciberdelincuencia” (21 Nov 2001)• España

– Código Penal español de 1995 (Ley Orgánica 10/1995, del 23 de Noviembre)• Hacking directo: El intruso sólo accede al sistema y sale, demostrando el

fallo de seguridad del mismo, sin ánimo delictivo en esta conducta. No castigado por el Código Penal español.

• Hacking indirecto: Acceso no consentido a un sistema informático para cometer un delito. El acceso queda subsumido en el delito finalmente cometido (descubrir secretos de empresa, interceptar comunicaciones, producir daños, etc.)

– Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

– Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE)

– Real Decreto Legislativo 1/1996, de 12 de abril (BOE 22-4-1996), por el que se aprueba el texto refundido de la Ley de Propiedad intelectual

– Real Decreto Legislativo 14/1999, de 17 de septiembre, sobre Firma Electrónica

Derechos de Propiedad Intelectual

Directrices a considerar:

• Publicar y fomentar la conciencia acerca de la Política relacionada con los derechos de propiedad intelectual: definición del “uso legal” de programas informáticos y productos de información

• Los derechos de propiedad intelectual incluyen copyright de software informático, documentos, derechos de diseño, marcas registradas (trademark), patentes y licencias de código fuente

• Adquirir software únicamente de proveedores reconocidos para garantizar la conformidad con los derechos de autor

• Si se utiliza open source, observar la licencia asociada

• Mantener un registro de los activos e identificarlos respecto a la protección de derechos de propiedad intelectual

• Los programas informáticos están sujetos a derechos de propiedad proporcionados en base a un acuerdo de licencia que establece las condiciones de la misma.



Protección de los documentos de la organización

• Los documentos relevantes para la organización deben ser protegidos

• Se deben categorizar los registros según el tipo (registros de BdeD, transacciones, auditorías, obligaciones contractuales y requisitos empresariales)

• Determinar la forma y lapso de almacenamiento para cada tipo de registro(tomar en cuenta la destrucción de la información al superar el lapso definido)

• Considerar la pérdida de calidaddel medio de almacenamiento (para registros de largo—plazo, considerar papel o microfichas)

• Considerar el establecimiento de procedimientos para evitar la pérdida de información en medios electrónicos

Más Conformidad Legal

• Protección de los datos y privacidad de la información personal– Desarrollar e implantar política de protección de datos y privacidad, aplicando

controles para proteger la información personal según la legislación local– En España LOPD– Es común que la organización designe un Data Controller

• Prevención del uso indebido de los recursos de procesamiento de información

– La gerencia debe autorizar específicamente el uso de instalaciones de procesamiento y aplicar los controles para prevenir el mal uso de las mismas

• Regulación de controles de cifrado– Implantar los controles necesarios para cumplir con los acuerdos, leyes,

regulaciones u otros requisitos relacionados con el acceso y utilización de controles de cifrado

– Solicitar asesoría de un especialista cuando un sistema o equipo de cifrado se traslade de un país a otro



Conformidad con la política de seguridad

• Conformidad con la política y normas de seguridad– Aunque la seguridad de Información es responsabilidad de diferentes niveles

dentro de la organización, la Junta Directiva siempre asumirá la responsabilidad final

– La gerencia media se encargará de ejecutar y observar las políticas de seguridad

– Los gestores necesitan evaluar regularmente si el procesamiento de información de su área de responsabilidad cumple con la política, normas y otros requisitos de seguridad Auditoría Interna (Cláusula 6.2 ISO 27001)

• Revisión de conformidad técnica– La organización debe realizar revisiones regulares independientes de sus

sistemas de información para garantizar la conformidad y la correcta implantación y mantenimiento de los controles de hardware y software necesarios (cortafuegos, routers, servidores, configuraciones de usuario, políticas de acceso, etc.) Pruebas de Intrusión o de Penetración

– Deben ser ejecutados por personal externo a la organización y con el conocimiento y destrezas técnicas adecuadas

Consideraciones de auditoría

Controles de auditoría de los sistemas de información

• Se debe garantizar que las auditorías no producirán interrupciones• Si hay terceras partes involucradas, existe el riesgo que las auditorías colabores y

que la información a la que ellas tienen acceso sea mal utilizada• Medidas:

– Limitar el acceso del auditor (físico y lógico)– Cláusula de Privacidad (NDA)

Protección de las herramientas de auditoría de los sistemas de información• La organización restringirá el acceso a las herramientas de auditoría para evitar

cualquier posible mala utilización o compromiso• Se aplica a herramientas para verificar sistemas y a los ficheros auditados



Muchas Gracias por su Atención

gestión de la seguridad de información - · pdf fileiso/iec 27000....

Documents