Академический Документы
Профессиональный Документы
Культура Документы
Agenda
Introduccin. Obstculos para implementar Seguridad Informtica Administracin de la Seguridad Informtica Ciclo de vida de la Seguridad Informtica Conclusiones Propuesta para los miembros del IIMV
Introduccin
La Informacin es un activo que como cualquier otro activo importante del negocio, tiene valor para la organizacin, consecuentemente necesita Proteccin Adecuada.
Introduccin
Tipos de Informacin
Impresos o escritos en papel. Almacenada electrnicamente. Transmite por correo o en forma electrnica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de informacin.
Introduccin
La implementacin de esquemas de Administracin de la Seguridad Informtica en la institucin debe seguir estndares y mejores prcticas del mercado. Es una necesidad del negocio ante las circunstancias actuales.
Introduccin
Obstculos
Obstculos
Falta de conciencia de usuarios finales. Presupuesto. Falta de apoyo de la alta gerencia. Falta de Entrenamiento. Pobre definicin de responsabilidades. Falta de herramientas. Aspectos legales.
Conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administracin de la Seguridad Informtica. Son 127 controles estructurados en diez grandes reas. Genera confianza entre las instituciones que se relacionan.
nico SASI que es aceptado globalmente. Ayuda a reducir las primas de seguros. Para mejorar la Seguridad de la Informacin. Eleva la confianza de clientes y aliados en nuestra organizacin.
Norway
Sweden
Polticas de Seguridad, Seguridad Organizacional, Clasificacin y Control de Activos, Seguridad del Personal, Seguridad Fsica y ambiental, Administraciones de las Operaciones y Comunicaciones,
1. Polticas de Seguridad
Objetivo:
La administracin superior debe definir una poltica clara y apoyar la Seguridad de la Informacin a travs de la creacin y mantenimiento de una poltica de seguridad de la informacin a lo largo de la organizacin.
1. Polticas de Seguridad
Debe ser aprobado por la administracin, publicado y comunicado a todos los empleados. La poltica debe ser administrada por una persona quin es responsable de su mantenimiento y revisin de acuerdo a un proceso definido.
Revisin y Evaluacin.
2. Seguridad Organizacional
Objetivo:
Consejo directivo o un grupo designado por este debera de asumir la responsabilidad de la seguridad de informacin.
2. Seguridad Organizacional
Deben ser claramente definidas las responsabilidades para la proteccin de activos de informacin fsicos y procesos de seguridad. Se deben establecer procesos de autorizacin para nuevas facilidades de procesamiento de la informacin. Es recomendable disponer de la asesora de un especialista de seguridad (para propsitos de evaluacin o de investigacin de incidentes).
2. Seguridad Organizacional
Objetivo:
Mantener la seguridad de los dispositivos de procesamiento de la informacin organizacional y activos de informacin al que acceden terceras partes.
Revisar los tipos de acceso (fsicos y lgicos). Contratos deben incluir controles.
Objetivo:
Inventario de Activos
Clasificacin de la Informacin:
Objetivo:
Controles a la informacin deben tomar en cuenta las necesidades del negocio para compartir o restringir informacin. La responsabilidad de definir la clasificacin de un tem de informacin debe permanecer con la persona nombrada como duea de la informacin.
Objetivo:
Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales.
Todos los empleados y usuarios externos de los servicios de procesamiento de la informacin deberan firmar un acuerdo de confidencialidad. El acuerdo de confidencialidad debe hacer notar que la informacin es confidencial o secreta.
Entrenamiento de usuarios:
Objetivo:
Asegurarse que los usuarios conocen de las amenazas y preocupaciones de la Seguridad de la Informacin.
Todos los empleados de la organizacin debern recibir entrenamiento apropiado en los procedimientos y polticas organizacionales. La regularidad depender de la actualizacin o los cambios que se den en la organizacin.
Objetivo:
Minimizar el dao del mal funcionamiento de software o de un incidente de seguridad y monitorear y aprender de tales incidentes.
Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes. Usuarios debern reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios.
Objetivo:
Los elementos que forman parte del procesamiento de informacin sensitiva o crtica del negocio debern ser resguardados y protegidos por un permetro de seguridad definido con controles apropiados de entrada. Los equipos deben ser protegidos de cadas de electricidad y otras anomalas elctricas.
Objetivo:
Los procedimientos de operacin identificados por la poltica de seguridad debern ser documentados y revisados constantemente. Los cambios en los sistemas y elementos de procesamiento de informacin deben ser controlados.
Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (prdidas de servicio, negacin de servicio, datos incorrectos, brechas de confidencialidad. Procedimientos para Planes de Contingencia, Anlisis e Identificacin de las causas de un incidente, Coleccin de pistas de auditora, Reporte a las autoridades, etc.
Acciones a seguir para recuperarse de problemas de seguridad y correccin de fallas en los sistemas, (las acciones de emergencias deben ser documentadas en detalle).
La segregacin de tareas es un mtodo de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas. reas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Produccin.
Objetivo:
Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento. Deben establecerse criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptacin.
Objetivo:
Revisar regularmente del software y contenido de datos de los sistemas que soportan los sistemas crticos del negocio. Revisar cualquier archivo electrnico contra virus. Revisar los documentos adjuntos en correos electrnicos as como cualquier archivo que se baje de Internet contra cdigo malicioso. Procedimientos y responsabilidades administrativas para lidiar con la proteccin de virus en los sistemas, entrenamiento y reporte y recuperacin de ataques. Planes de Continuidad del Negocio para recuperarse ante ataques de virus. Procedimientos para verificar todas la informacin en relacin con software malicioso y verificar que los boletines de advertencia son verdaderos.
Soporte Continuo.
Objetivo:
Hacer copias en forma regular de la informacin esencial del negocio y del software. Se pueden utilizar los siguientes controles:
Documentacin de los Backups, copias adicionales y almacenadas en una localidad remota. Los Back-ups se deben proteger fsicamente y contra las condiciones del ambiente.
Administracin de Redes.
Objetivo:
Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados. Tambin se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes pblicas.
Objetivo:
Se deben definir procedimientos para la proteccin de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Los medios que no se ocupen ms en la empresa deben ser desechados en forma segura. La documentacin de sistemas puede contener informacin sensitiva por lo que debe ser almacenada con seguridad.
Objetivo:
Vulnerabilidad de los mensajes acceso no autorizado. Vulnerabilidad a errores (direcciones incorrectas). Cambio en los esquemas de comunicacin (ms personal). Consideraciones legales (prueba de origen). Controles para el acceso remoto al correo.
7. Controles de Acceso
Las reglas y derechos para el control de acceso de usuarios o grupos de usuarios deben estar bien claras en un documento de polticas de acceso.
7. Controles de Acceso
Deben existir procesos formales para el control de los password. Usuarios deben seguir buenas prcticas de seguridad en la seleccin y uso de passwords.
7. Controles de Acceso
Los sistemas deben ser monitoreados para detectar desviaciones de las polticas de control de accesos y grabar eventos especficos para proveer de evidencia en caso de incidentes de seguridad.
Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura.
Objetivo:
Actuar ante interrupciones de las actividades del Negocio y proteger procesos crticos del negocio de los efectos de fallas o desastres considerables..
Un solo marco de trabajo de los planes de continuidad del negocio deben ser mantenidos para asegurarse que todos son desarrollados en forma consistentes , pruebas y mantenimiento. Se deben probar con frecuencia los Planes de Continuidad.
10. Cumplimiento
Objetivo:
Evitar brechas o violaciones a cualquier ley criminal o civil, regulatoria o contractual. Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual.
Ciclo en el cual se mantiene la seguridad informtica en la organizacin. Est formada por un conjunto de fases. Es un mtodo continuo para mitigar el riesgo.
Evaluacin
Evaluacin (Assess):
Anlisis de Riesgos basados en el OCTAVE method. Debilidades en Seguridad Informtica (ej., auditoras, evaluacin de Vulnerabilidades, pruebas de penetracin, revisin de aplicaciones) Pasos a seguir para prevenir problemas
Evaluacin
Debilidades:
Determinar el estado de la seguridad en dos reas principales: Tcnica y No Tcnica. No tcnica: Evaluacin de polticas. Tcnica: Evaluacin de Seguridad fsica, diseo de seguridad en redes, matriz de habilidades.
Evaluacin
Evaluacin
Realizar acciones:
Proactivas Reactivas
Administrar el Riesgo:
Identificar Analizar Evaluar Tratamiento a seguir
Evaluacin
Administracin de Riesgos:
Mtodo lgico y sistemtico de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, funcin o procesos para minimizar prdidas. La Administracin de Riesgos se puede basar en el Estndar Australiano AS/NZ 4360:1999.
Evaluacin
Actividades a desarrollar para evitar que sucedan acciones indeseables. Configuraciones de Seguridad efectivas basadas en estndares de la industria y organizacionales.
Necesitamos polticas?
Empleados accesando Internet? Problemas con el uso de la red o el email? Empleados utilizando informacin confidencial o privada? Acceso remoto a la organizacin? Dependencia de los recursos informticos?
Como concientizar?
En persona, por escrito o travs de la Intranet. Reuniones por departamento. Publicar artculos, boletines, noticias. Crear un espacio virtual para sugerencias y comentarios. Enviar emails con mensajes de concientizacin. Pegar letreros en lugares estratgicos. Dar premios a empleados. Exmenes On-line. Crear eventos de Seguridad Informtica.
Logs en Firewalls. Se requiere Sistemas de deteccin de Intrusos? O necesitamos Sistemas de prevencin de Intrusos? Firma digital para envo de documentos?
Antivirus
Firewalls
Filtros de email
IDS
Bloqueo de adjuntos Filtro de Web sites Anlisis de Vulnerabilidades Email encriptado
Implantado Planeado 99% 0% 97% 1% 74% 10% 62% 12% 62% 3% 59% 5% 43% 18% 31% 15%
Observar las actividades normales y reaccionar ante incidentes. Monitoreo y alertas. Las respuestas se basan en el documento de Polticas de Seguridad definido.
Forma en que se trata el incidente. Encontrar el problema y corregirlo. Prcticas forenses. Definir la responsabilidad y el causante del problema.
Manejo de Incidentes:
Organizacin, Identificacin, Encapsulamiento, Erradicacin, Recuperacin y Lecciones aprendidas.
Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organizacin. Habilidades y experiencia se alcanzan dentro de todo el proceso.
Conclusiones
Se debe contar con una unidad de seguridad informtica en la organizacin con el apoyo de consultora externa, Impulsar un plan de concientizacin, No desconocer la importancia de la S.I., Utilizar una metodologa: ciclo de vida, Acciones deben ser proactivas y no reactivas, Utilizar estndares de la industria en la Administracin de SI y de los riesgos.
basados en Metodologas y estndares de la Industria de tal forma que se forme una base de conocimiento comn entre las instituciones miembro del Instituto Iberoamericano de Valores.
1.
Conformar un equipo de trabajo en Seguridad informtica Regional, bajo la Coordinacin del Instituto Iberoamericano de Valores, integrado por profesionales en tecnologa de informacin de los BCs. Elaborar gua para realizacin del Diagnstico
2.
Estndares de Seguridad
4.
Elaborar prototipo de Seguridad Informtica y presentacin al foro de la reunin del IIMV para su aprobacin
Revisar documento desarrollado por tcnicos en Seguridad Informtica Tomando como base diagnstico realizado, se tomarn todas aquellas acciones y recomendaciones que consideren ms adecuadas a fin de implementarlas en cada institucin.
Estndares de Seguridad
5.
Producto de las Polticas y estndares anteriores, cada institucin deber implementar las medidas preventivas y correctivas del caso con el objetivo de nivelar los esquemas de seguridad informtica
6.
Estndares de Seguridad
Consultas?