Post on 28-Jan-2016
Plan de Seguridad
Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad.
Visión
2Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Expresión visión Metas Expectativas Objetivos
Operacionalizar la Visión
Fortalecer/Incrementar Confiabilidad
3Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Gestión Ética (Governance: Honesty & Integrity -Ethics)
Manejo de Riesgos (Risk Management) Cumplimiento (Compliance) Estabilidad de operaciones (Business Resilience)
Madurez colectiva (Awareness & Training)
Fiscalización (Monitoring)
Divulgación y ajuste (Reporting, feedback & adjusting)
Plan de SeguridadElementos a integrar
4Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Gestión ética (Governance):– Visión– Código de Ética organizacional– Políticas– Estándares y Guías (Best Practices)
– Procedimientos Roles y responsabilidades:
◦ Segregación de funciones◦ Responsabilidad (Accountability)◦ Métricas de cumplimiento
Compromiso con enfoque de continuidad (Business resilience)
Planificación del proceso
Plan de SeguridadElementos a integrar
5Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Manejo de riesgo:◦ Identificación de riesgos y Gap Analisys◦ Metodologías y estándares:
NIST SP 800-12, 14, 18, 26, 30, 37 Octave CobIT & ValIT COSO ISO 17799:2002 & ITIL OCEG Red Book RFC 2196 Site Security Handbook PCI & VISA Cardholder InfoSec Program
◦ Controles y métricas: Preventivos Mitigación Correctivos
◦ Avalúo de controles
Plan de SeguridadElementos a integrar
6Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Avalúo regulatorio (Legal Assessment):◦ Identificación del entorno regulatorio aplicable◦ Estimación de impacto organizacional◦ Integración y contacto con asesores legales externos
Cumplimiento con regulaciones (Compliance):◦ Tecnológicas (IT Regulatory Compliance)
◦ Operacionales (Non – IT Regulations)
◦ De la industria o negocio (Industry related regulations)
Gestión de incidentes:◦ Manejo de evidencia electrónica◦ Computación forense ◦ Integración y contacto con agencias del orden público
Plan de SeguridadElementos a integrar
7Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Estabilidad y confiabilidad (Business resilience):◦ Continuidad de operaciones (Business Continuity Plan)
◦ Recuperación frente a desastres (Disaster Recovery Plan)
◦ Confiabilidad en permanencia(Business Resilience)
Madurez colectiva organizacional:◦ Plan de concienciación (Awareness & Training Plan)
◦ Lealtad y compromiso del personal (Employee Adherence)
◦ Responsabilidad personal (Non-Compliance consequences)
◦ Métricas de cumplimiento
Plan de SeguridadElementos a integrar
8Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Avalúo de sistemas:◦ Configuración de sistemas y servicios◦ Pruebas de sistemas y de TI’s◦ Autenticación y controles de acceso◦ Análisis de vulnerabilidades (Vulnerability Assessment)
◦ Administración de seguridad de la Red( Network Security Administration)
Respuesta a incidentes (Risk and Emergency Response):
◦ Comité de Emergencias◦ Procedimientos: detección, respuesta, recuperación y
corrección◦ Comunicación y colaboración
Plan de SeguridadElementos a integrar
9Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
• Fiscalización de cumplimiento (Monitoring):
– Sistémico Systemic monitoring– Periódico mediante:
• Auditorías internas• Auditoriás externas• Auditorías por agencia(s) reguladoras
• Divulgación y ajuste (Reporting, feedback & adjusting):• Divulgación de hallazgos (Disclosure)
• Mitigación efectiva (Remediation & Due Dilligence)
• Actualización y ajustes (Plan modification & update)
Plan de SeguridadElementos a integrar
10Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Redifinición de Prácticas Modificación de Roles Integración de tecnologías
Impacto del Plan
11Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Políticas Procedimientos Guías o prácticas generalmente aceptadas Manuales Controles
Redefinición de prácticas
12Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Fisica & Lógica Uso aceptable de la(s) tecnología(s):
◦ Estaciones de trabajo◦ Navegación◦ Servidores y servicios en red◦ Laptops-Netbooks◦ Telefonía integral◦ Unidades de almacenamiento móviles (Pen/Jump drives)
Herramientas de comunicación:◦ Correo electrónico◦ Mensajería instantánea & Chat◦ Sedes virtuales de socialización◦ Servicios de conexión (P2P) y transferencia de archivos◦ Servicios de transmisión de voz & vídeo
Acceso local y remoto a servicios◦ Autenticación◦ Copias de resguardo
Auditoría (monitoring) de la seguridad
Redifinición de PrácticasPolíticas de Seguridad
13Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Flujo de información (entre & dentro) procesos:◦ Seguridad de los depósitos transitorios y permanentes◦ Controles y protección mientras navega dentro de la
organización◦ Controles y protección cuando sale del perímetro
Integridad de la información:◦ Disponibilidad (a tiempo, precisa, completa, actualizada)
◦ Certeza de su veracidad e integridad (no adulterada accidental o intencionalmente)
◦ Protegida frente acceso indebido (ie. Cifrada)
◦ Reproducible de forma consistente◦ Recuperable en caso de destrucción o pérdida
Redefinición de prácticasSeguridad & confiabilidad de la información
14Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Balance entre seguridad y necesidad de acceso:◦ Controles efectivos que contribuyan a la eficiencia◦ Protección de la privacidad asegurando cumplimiento◦ Acopio de métricas para estimar productividad y
efectividad (tecnología(s) & control(es))
Implicaciones de seguridad en procesos críticos:◦ Disponibilidad ATH/DTP◦ Intercambio/Integración de información entre procesos◦ Integridad de almacenes de datos/transacciones
Impacto en Human-Computer Interaction:◦ Integración de servicios & aplicaciones & herramientas◦ Destrezas tecnológicas & dominio de procesos◦ Apoyo técnico (interno/externo)
Redefinición de prácticasImpacto en procesos (BPR)
15Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Estándares de la industria Controles:
◦ Manuales◦ Sistémicos◦ Tecnológicos
Percepción vs. realidad
Redefinición de prácticasPrácticas generalmente aceptadas
16Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Jerarquía de roles:• Top level management• Legal Counsel• Compliance Officer• Internal auditor• Security Officer• IT• Human Resources• Business units
Responsabilidades IT:• Descripción plazas – tareas – competencias• Distribución de tiempo• Asignación de recursos • Fiscalización de cumplimiento
Roles y ResponsabilidadesDistribución y “accountability”
17Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Diseño estratégico de seguridad:◦ ¿Qué controlar?◦ ¿Cuáles controles integrar?◦ ¿Qué medidas de respuesta?
Implantación:◦ Herramientas
Afinamiento Fiscalización:
◦ Baselines◦ Patrones o Tendencias
Acción:◦ Comité de respuesta◦ Alertas y nivel de escalada◦ Controles de mitigación y recuperación
Avalúo:◦ Periódico◦ Extraordinario
Integración de tecnologías
18Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Tecnología:◦ Controles de acceso◦ Copias de resguardo ◦ Cifrado◦ Control y fiscalización de la(s) Red(es):
Firewall’s Proxy’s IDS/IPS – Net & Hosts Net Monitoring & Net Scanning
◦ Configuración, Parchos y Actualizaciones◦ Redundancia y replicación
Personas:◦ Políticas◦ Plan de concienciación◦ Programa de seguridad (Security Plan- IR, DR & BC)
Segmentación del ámbito de protección de seguridad
19Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Sistemas y/o Servicios:◦ Instalación & Mantenimiento ◦ SaaS◦ Cloud computing
Fiscalización de la infraestructura (red) Prevención y recuperación:
◦ DRP ◦ BCP
Prevención y anticipo (nuevas tendencias):◦ Computación forense◦ Análisis de penetración◦ Análisis de vulnerabilidades
Integración de tecnologíasÁreas particulares (Outsourcing)
20Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Protección de propiedad intelectual:◦ Terceros◦ Proveedores◦ Organización
Control de duplicación o diseminación:◦ Programación◦ Bancos de datos◦ Secretos de negocio◦ Publicaciones en medio electrónico
Digital Rights Management
Integración de tecnologíasÁreas particulares (Cumplimiento con IP)
21Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
OCTAVE COBit ValIT Ernst & Young Network Security Illustrated, Albanese &
Sonnenreich, McGraw Hill, NY, 2004
Referencias
22Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Plan de SeguridadOtras Referencias
23Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Modelo Organizacional de confiabilidad Modelo CobiT CobiT Security Baseline ISACA, Business Model for Information Secur
ity UCISA Information Security Toolkit Solutionary, Security Measurement
Cultura de Seguridad
24Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
NIST Risk Management Guide NIST Risk Management Framework GAO, Information Security Risk Assessment ITCi, Risk Management: Practical guidance
on how to prepare for successful audits IT Policy Compliance Group – CMM Capabiliti
es practices IT Governance Institute, Information Risks IT Governance, Risk & Complaince (Basado
en CobiT) OCEG, Foundation Guidelines (RedBook) OCEG, GRC Capability Model (Redbook)
Governance, Risk And Compliance
25Carmen R. Cintrón Ferrer, 2010, Derechos Reservados
Deloitte, Defining and Classifying Operational Risk, 2007
NIST Risk Management Framework – Roles & Responsibilities
CERT, First Responders Guide to Computer Forensics
NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática
Amador et als., Seguridad Computacional ent, Network Auditing Strategies CyberIntelligence Report (2009)
Otras referencias
26Carmen R. Cintrón Ferrer, 2010, Derechos Reservados