Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Modelos de Seguridad Informática “Modelo de Protección”
Iván Ernesto Guerra MatizPrivacidadPrivacidad
SeguridadSeguridad
Un Modelo Institucional de protección de la información debe
direccionar los riesgos a que está expuesta la información y... Empresa
Política de protección de Información
Estructura Organizacional
Clasificación de la informaciónEvaluación de riesgo
Continuidad Empresarial
Procesos deprotección deinformación
Administracióndel monitoreo y
su reporte
Protección de Información
Concienciación
y capacitación continua
Arquitectura deprotección de lainformación
Modelo Institucional de Protección de la Información
y estar alineado con los objetivos del negocio Estrategia
del Negocio
Administración del riesgo en la información
Estrategia IT, Seguridad y Continuidad
Arquitectura de Seguridad
Continuidad del Negocio Seguridad
Plan Desastre
Procesos de SeguridadPolíticas y estándares
Verificación de los servicios de seguridad en red
Verificación de procesosVerificación de aplicaciones y sistemasCO
NC
IEN
CIA
CIÓ
N
CO
NC
IENC
IACIÓ
N
Nadie es inmune a las brechas de Seguridad
Official: Terrorists used Internet to get info on potential targetsComputerworld, February 13, 2002
Wireless LAN worries mount: Rollouts delayed, systems shut down as organizations scramble for security fixes Computerworld, February 4, 2002
Computer Security Experts Warn of Internet Vulnerability NYT, February 13, 2002
Airline Web sites seen as riddled with security holes Computerworld, February 4, 2002
IT Group Says Security Is Under-funded; Federal Systems Called 'Incredibly Open'; More Money on the Way, OMB SaysWashington Post, February 1, 2002
Cybervandals hit the jackpot again by defacing the Texas lottery's Website last weekend Security Wire Digest, Janurary 10, 2002
40% of attacks are specifically targeting their victims, while 60% are attacks that arose from automatic hacking tools Riptech survey, February 24, 2002
Mientras que el Vandalismo a sitios WEB ha alcanzado mucha
visibilidad, la real amenaza es más incisiva y está oculta Universal Studios, "The Lost World: Jurassic Park"Universal Studios, "The Lost World: Jurassic Park"
Antes Después
La Seguridad de la Información pasó a ser una de las principales prioridades del negocio después de Septiembre 11
Inicitativa Estratégica
Dic '00 Sept '01
Seguridad 5.1 3.73.7
EAI 4.3 3.8
Supply Chain 5.0 4.1
CRM 4.3 4.3
ERM 4.5 5.0
Extranet / VPN 4.6 4.2
e-commerce 2.22.2 5.2
Almacenamiento 6.1 5.4
Rango: 1- Alto 8- Bajo
(Fuente: Merrill Lynch Computer Services CIO User Survey, Oct. 2001)
La evolución de los negocios electrónicos conlleva mayores requerimientos de seguridad, privacidad y confianza
IT
Convergencia de IT y el negocioNegocios entre empresas (B2B/B2C,B2E)Incremento del alcance MundialModelos de e-business
IT
Procesos de
negocio
IT
Distancia entre IT y el negocioModelos tradicionales de negocios
Cliente Organización
Tecnología de la Información
Incremento en los requerimientos del negocio en costo y eficiencia
Mayor importancia de la reputación de la marcaMayores requerimientos para movilidad
Incremento en el servicio esperado al cliente
Nuevas Consideraciones en SeguridadSeguridad es una necesidad de toda la empresa — no la compra de un componenteLas estrategias de Análisis de Riesgo y continuidad del negocio ahora son discusiones de los comités.Mayor requerimiento de entrenamiento en las prácticas de seguridad de los profesionales de IT.
Ampliación de e-business to wireless e-businessNuevas oportunidades de negocio a partir de la evolución de las tecnologías de wireless.Incremento de la depencia del negocio en IT y la Privaciada y la Seguridad. Mayores
necesidades por - seguridad- privacidad- confianza
Procesos de
negocio
ClienteOrganizaciónTecnología
de la Información
Procesos de
negocio
ClienteOrganizaciónTecnología
de la Información
El adoptar uno o más códigos de práctica como medio para definir, desarrolar y mantener un Modelo de Protección de la
Información es vital para cumplir con los objetivos del negocio
Modelo de Protección de la informaciónOrganizaciónProcesos
Servicios de Seguridad "Operativos"Administración de la SeguridadGerencia "Estratégicos"
Arquitectura Herramientas
Normativa
Administración del Riesgo
Los Beneficios van desde una protección uniforme de la Información hasta monetarios y de imagen
• Ahorros en Pólizas.
• Menores provisiones por riesgos operativos.
• Obtener la confianza de los clientes.
• Protección de la información punto a punto.
• Diferenciador.
• Prevenir el Fraude PrivacidadPrivacidad
SeguridadSeguridad
ConfianzaConfianza
Una estructura de trabajo para la seguridad debe ser establecida para asegurar que todos los componentes
se integren• Principios de Seguridad: Proposición de valor requerida por el
negocio para la ejecución de la seguridad.• Política de Seguridad :Proposición de alto nivel de objetivos, fines,
creencias, ética y responsabilidades. • Estándar de Seguridad: Conjunto de reglas para implantar la Política.
Los estándares hacen mención específica de tecnologías, metodologías, procedimientos de implantación, y otros factores detallados.
• Procesos de Seguridad:Actividades y tareas típicamente realizadas a través de varias organizaciones para implantar las políticas y estándares.
• Procedimientos de Seguridad : Pasos operacionales específicos que las personas deben ejecutar par alcanzar los objetivos establecidos en las políticas.
• Arquitectura de Seguridad: Detalles de cómo la tecnología se interrelaciona y se junta.
• Productos de Seguridad: Herramientas ofrecidas por la organización de Seguridad.
Standards
Policy
Process Architecture
ProductProcedure
Architecture
Product
Policy
Principles
En la actualidad se reconocen en el mercado varios códigos de práctica, que apoyan la definición, desarrollo, implantación y
mantenimiento de los modelos de seguridad de la información • Conjunto de mejores prácticas reconocidas por un Universo
• Se basan en una Confianza.
• Tienen un alcance– Evaluación de Riesgo.
– Modelo de Seguridad.
– Arquitectura de Seguridad
– Desarrollos.
• Ejemplos– ISO 17799
– COBIT 3ra Edición
– ISO 7498-2
– Common Criteria ISO 15408
ISO/IEC BS 17799
• 10 áreas de seguridad• Última versión 1999
Security Policy
SecurityOrganization
PersonnelSecurity
AssetClassificationand Control
Physical andEnvironmental
Security
Computer and NetworkManagement
Business ContinuityPlanning
System Development andMaintenance
SystemAccessControl
Compliance
ISO 17799: 10 áreas de Seguridad• Una Política en Seguridad de la Información es requerida para proveer una directriz
Gerencial y soporte para seguridad en la información.
• Una organización de seguridad debe ser establecida para iniciar y controlar la implantación de la seguridad de la información dentro de la empresa.
• El Control y Clasificación de los activos debe ser establecido, para mantener una protección adecuada de los activos de la compañía. Los activos de información más importantes deben ser identificados y asignados a un dueño.
• Un proceso de seguridad en el personal de la compañía debe existir para reducir el riego de errores humanos, robo, fraude, o mal uso de las facilidades. Seguridad debe direccionada en la fase de contratación, incluido en las funciones y contratos, y monitoreado durante su permanencia dentro de la institución.
• Seguridad física y ambiental debe ser establecida para prevenir acceso no autorizado, daño o interferencia a las premisas de la compañía, servicios de tecnología de la información, u otros activos. Facilidades de tecnología de la información que soportan actividades sensitivas o críticas del negocio deben ser físicamente protegidas de amenazas en seguridad y peligros ambientales
ISO 17799: 10 áreas de Seguridad• Manejo de la Operación y de las comunicaciones deben asegurar la correcta y
segura operación de las facilidades de cómputo y de las redes. Responsabilidades y procedimientos para el manejo de la operación de todos los computadores y redes deben estar claramente definidos.
• Control de acceso a los sistemas debe existir para restringir el acceso a los sistemas e información a las personas autorizadas por la gerencia y para propósitos válidos del negocio, únicamente.
• Procesos para el mantenimiento y desarrollo deben asegurar que los sistemas de tecnología de la información son desarrollados de una manera segura y su mantenimiento es llevado a cabo con el riesgo mínimo a la integridad y seguridad del sistema. Requerimientos de seguridad deben ser identificados y acordados previo desarrollo de los sistemas de tecnología de la información.
ISO 17799: Desarrollo de Aplicaciones
Asignación del dueño de la aplicación
Determinación del valor y riesgo de la información
Determinación del valor y riesgo de la aplicación
Identificación de requerimientos externos
Identificación de nuevas amenazas
Identificación de las interfaces aplicativas requeridas
Desarrollo de planes para cumplir los requerimientos de seguridad
Revisión del plan de seguridad del proyecto
Revisión de documentos y certificación de acuerdo
Mantenimiento del archivo de control a través del ciclo de vida
ISO 17799: 10 áreas de Seguridad
• Planeamiento de la continuidad del negocio debe ser establecido para asegurar que los planes están en su lugar para contrarrestar interrupciones a las actividades del negocio - Por ejemplo procesos críticos del negocio deben ser protegidos de los efectos de mayores desastres y fallas.
• Procesos de cumplimiento con la seguridad deben ser establecidos para asegurar que el diseño, operación y uso de los sistemas de tecnología cumple con los requerimientos de seguridad contractuales y establecidos en los estatutos de la compañía. Para asegurar cumplimiento con los procedimientos y políticas de seguridad definidos dentro de la compañía, todos los aspectos de seguridad - físicos y lógicos - deben ser revisados en bases regulares.
ISO 7498-2(X.800): Arquitectura de Seguridad
Identificación&
Autenticación
Control de
Acceso
ConfidencialidadIntegridad de
la información
No
Repudio
Autenticación
de entidades
Ciframiento
Desciframiento
Firma
Digitalizada
Listas de controlde acceso
Distintivos de seguridad
Autenticación de
Mensajes
Detección demodificación
Usuarios PrivilegiosProgramas
Palabras claves
Grupos Registros de Auditoría
Llaves de Encripción
Manejo
Objetos
Mecanismos
Servicios
Manejo de
Servicios
Manejo
Manejo de Objetos
y otras
ISO No 7498-2
Integridad
del
sistema
MANEJO DE POLÍTICAS
MANEJO DE
AUDITORÍA
Y
ALERTAS
Los Códigos de Práctica apoyan aspectos parael desarrollo de un modelo de protección
Código/Componente Modelo de Protección
ISO 17799 ISO7498-2 COBIT 3rd Edition
CC ISO 15408
Administración del Riesgo + + + +
Arquitectura+++ ++
Procesos Estratégicos de Seguridad (Políticas,Conciencia, Organización)
+ + +
Procesos Operación de la Seguridad + ++ +++ +
Procesos de Administración de la Seguridad
++ ++ ++ +
Continuidad del Negocio + + +
Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo de protección acorde
con lo establecido por el negocio
ISO 15408 CC
COBIT
OTROS
ISO 7498-2
BS 17799
Institución
Las instituciones deben comenzar por identificar sus riesgos, los requerimientos legales y los institucionales, para sí establecer los
requerimientos de seguridad de la Empresa
PlanearAdministrar SeguridadSeguridadPrivacidadPrivacidadConfianzaConfianza
Implantar Diseñar
Verificar
Inicio
Desarrolar el Modelo de Protección con base en procesos (subprocesos de Seguridad) e iniciar una implantación focalizada en los estratégicos
PolíticasEstándares
Cómo se debe hacer
Qué se debe hacer
Organización
Herramientas
Planear/Coordinar/Registrar Comité de Cambios EjecutarResponsable:
Admón. TI, Gerencia UsuariaACTIVIDADES:
Definir el Cambio partiendo de la Idea inicialReuniones con Analistas, Usuarios y SistemasDiseñar el Proyecto de DiseñoAnalizar el Impacto del CambioAnalizar el Riesgo del CambioCategorizar el CambioDiseñar las Pruebas del la AplicaciónDiseñar el Plan de ContingenciaDocumentar el Diseño y sus requerimientos de CambioDeterminar los Requerimientos de Educación
Herramientas:Recomendaciones de los ProveedoresSW Operativo y SW de Base de los ServidoresDocumentación de Diseño y Cambios Efectuados Herramienta de Admón. de CambiosPolíticas y Estándares de Seguridad
Responsable:Gerencia Comité de Cambios
ACTIVIDADES:Convocar el Comité de Cambios
Herramientas:Herramientas de Notificación (Memos, Teléfono, Correo Electrónico) Responsable:
Jefe de Producción y Admón. de CambiosACTIVIDADES:
Coordinar los RecursosImplantar el Cambio en el Ambiente de ProducciónActualizar el InventarioActualizar la Documentación del CambioGenerar Reportes
Herramientas:SW Operativo de los ServidoresSw de pruebas de Seguridad
1
Responsable:Comité de Cambios
ACTIVIDADES:Evaluar la Documentación de Solución y validar aceptación de UsuarioValidar la Categoría del CambioEvaluar los Planes de Implantación y de Pruebas de la Solución y del CambioResolver ConflictosEjecutar Sub-proceso de Monitoreo durante PruebasAprobar el CambioProgramar la Ejecución del Cambio
Herramientas:Herramientas de Notificación (Memos, Teléfono, Correo Electrónico) Formatos del Comité de Cambios
Responsable:Proveedor
ACTIVIDADES:Ejecutar el cambio en el ambiente de pruebasNotificar a los afectados por el CambioDocumentar (acta)Generar Reportes
Herramientas:Herramientas de Notificación (Memos, Teléfono, Correo Electrónico) Generadores de Reportes
2
Responsable:Proveedores
ACTIVIDADES:Definir Requerimientos de DiseñoDiseñar SoluciónDiseñar las Pruebas Diseñar el Plan de ContingenciaDocumentar el DiseñoDeterminar los Requerimientos de Educación
Herramientas:Admón. de Cambios
Responsable:Jefe de Desarrollo
ACTIVIDADES:Coordinar los RecursosImplantar el Cambio en el Ambiente de ProducciónActualizar el InventarioActualizar la Documentación del CambioGenerar Reportes
Herramientas:SW Operativo de los Servidores
Procedimientos
Iniciando por las plataformas estratégicas de apoyo al negocio
Entre Empresas
Lan/Intranet
InternetServidores Estaciones
SEGURIDAD/PRIVACIDAD CORPORATIVA
Definiendo, recolectando y procesando medidas obtenibles de calidad para los procesos de seguridad, tomando acciones cuando
sean requeridas
Sub-proceso Identificar, autenticar y certificar el usuario.Misión: Verificar la identidad de un usuario por medio de: El chequeo de la identidad del usuario; el asegurarse de que el usuario puede probar su identidad; y el paso de la información de la identificación del usuario a otros sistemas de la Empresa
PROVEEDORES PROCESO
ACTIVIDADES
Verificar la identificación del usuario.Aceptar la información del usuario que debe ser única.Autenticar el usuario.Certificar el usuario.Notificar al usuario.Actualizar los registros.
CLIENTES
REQUERIM. REQUERIM.
SALIDASENTRADAS
MEDICIONES
ENTRADAS SALIDAS
Medición respecto a patrones de conexión extraños (p.ej. conexiones desde distintas terminales y de distintos departamentos).Número de aplicaciones que acceden por medios distintos a l servidor único de seguridades.Número de personas que acceden fuera de horarios establecidos.Número de incidentes en que los usuarios violan el proceso.Usuarios que ingresaron exitosamente al sistema.Número de claves en promedio que utiliza una personas para ingresar a los sistemas de la institución.Número de aplicaciones automatizadas en la administración de la seguridad.Número de aplicaciones que cumplen con estándares de identificación y autenticación.
Identificación del usuario.Medio de autenticación (palabra clave, llave, tarjeta, etc.).Otra información de seguridad.
Mensaje al usuario y al operador de la consola.Registro en el archivo de control.Reporte de características de hora y fecha de ingreso Informe de fecha de expiración de la palabra clave.
PROVEEN ENTRADAS
Usuarios finales Administrador de SeguridadHelpDeskDirección de operacionesAuditoría AnticorrupciónOrganización de Informática
RECIBEN SALIDAS
Usuarios finales Administrador de SeguridadHelpDeskDirección de operacionesAuditoríaAnticorrupción Organización de Informática
Top Related