Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799

Seminario de Seguridad de la Información ISO 17799/BS7799

2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina

Conferencia de

Seguridad de la Información

NORMA ISO 17799 / BS 7799

2004



Recepción

Presentación General

Apertura

• Objetivo• Instructor• Temario detallado



Objetivo

Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.



Instructores

Martín Vila

Business Director I -Sec Information Security (2002 - 2004)Country Manager Guarded Networks Argentina (2001)Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional.Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Guarded Networks, Ernst & Young / IT College, I-SEC).



Instructores

Tania Cozzi

Senior Security Consultant - I -Sec Information Security (2004)

Senior / Supervisor IT Security - BDO (2001-2004)

Consultor de Seguridad informática - Megatone (Auckland, New Zealand) (2001)

Posee una Maestría en Auditoria de Sistemas (Universidad del Salvador – Bs. As.) – (1998-2000)

Ha llevado adelante y supervisado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional.

Ha desarrollado y participado como instructor en cursos de capacitación internos y e internacionales relacionados con el Análisis e implementación de controles, metodología de Auditoria de Sistemas, Estándares Internacionales, entre otros.



Paso 1:

Por que?

Reconocer los riesgos y su impacto en los negocios



INFORMATICA

El objetivo del virus “Bugbear” no es colapsar computadoras sino robar datos bancarios Los expertos confirmaron que envía la información que captura a miles de direcciones de Internet. Además, también puede desactivar los sistemas de seguridad de la PC, destruir sus archivos y descomponer impresoras.

INTERNET

Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

Algunos datos



Algunos datos



Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países.

Algunos datos



Despido

Rechazan demanda de empleada por uso indebido de InternetEl juez del trabajo Jorge Finizzola consideró justo el despido de una empleada que usó las computadoras de la empresa para recibir y enviar correos electrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias.

El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la reclamante las costas del juicio.

Algunos datos



Algunos datos

La seguridad de redes, una prioridad para las empresasCisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.



NEGOCIOS

Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información La gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también quieren ahorrar millones.

Por Daniela Blanco. Especial para Clarín.com.

Algunos datos



LA POLICIA LO DETUVO EL DOMINGO CUANDO FUE A VOTAR

Acusan a un joven de un crimen luego de un rastreo informático

Verónica Tomini tenía 24 años y era gerenta de una empresa de marketing. Los investigadores detectaron que horas antes del crimen había chateado con el sospechoso para arreglar un encuentro.Martín Sassone. .

El martes 19 de agosto, Verónica Tomini estaba en su trabajo y recibió un mensaje en su computadora: "Bebota, tengo ganas de verte". Ella respondió: "Yo también Cachorro. Nos vemos esta noche en casa". Así, rastreando los mensajes de chat de la víctima, los investigadores llegaron al principal sospechoso del crimen: un joven de 24 años que fue detenido el domingo cuando fue a votar.

Algunos datos



Algunos riesgos



Captura de PC desde el exterior

Software ilegalViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación y violación de e-mails

VirusMails anónimos con agresionesMails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Destrucción de equipamiento

Programas “bomba, troyanos”

Acceso indebido a documentos impresos Propiedad de la información

Agujeros de seguridad de redes conectadas

Falsificación de información para terceros

Indisponibilidad de información clave

Spamming

Violación de la privacidad de los empleados

Ingeniería social

Algunos riesgosFraudes informáticos



Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentesÚltimos parches no instalados

Algunos riesgos



Según una encuesta del Departamento de Defensa de USA:

Sobre aprox 9000 computadores atacados,

7,900 fueron dañados.

400 detectaron el ataque.

Sólo 19 informaron el ataque.

Algunos datos



En general todos coinciden en:

El 80% de los incidentes/fraudes son efectuados por personal interno

Fuentes:The Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTSANS

Algunos datos



En mi compañía ya tenemos seguridad porque ...

... implementamos un firewall.

... contratamos una persona para el área.

... en la última auditoría de sistemas no me sacaron observaciones importantes.

... ya escribí las políticas.

... hice un penetration testing y ya arreglamos todo.

Algunas realidades



• en formato electrónico / magnético / óptico

• en formato impreso

• en el conocimiento de las personas

Algunos conceptos preliminares



En estos tipos de problemas es difícil:

• Darse cuenta que pasan, hasta que pasan.

• Poder cuantificarlos económicamente, por ejemplo ¿cuánto le cuesta a la compañía 4 horas sin

sistemas?

• Poder vincular directamente sus efectos sobre los resultados de la compañía.

Principales riesgos y el impacto en los negocios



No existe la “verdad absoluta” en Seguridad Informática.

No es posible eliminar todos los riesgos. No se puede ser especialista en todos los

temas. La Dirección está convencida de que la

Seguridad Informática no hace al negocio de la compañía.

Cada vez los riesgos y el impacto en los negocios son mayores.

No se puede dejar de hacer algo en este tema.

Algunas premisas



POR TODAS ESAS RAZONES



Se puede estar preparado para que ocurran lo menos

posible:

• sin grandes inversiones en software

• sin mucha estructura de personal

Tan solo:

• ordenando la Gestión de Seguridad

• parametrizando la seguridad propia de los

sistemas

• utilizando herramientas licenciadas y libres en la

web

Deberia asegurar mi Informacion



Paso 2:

Si igual voy a hacer algo, porque no lo hago teniendo en cuenta

las Normas Internacionales aplicables



Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes:

Information Systems and Audit Control Association - ISACA: COBIT

British Standards Institute: BS

International Standards Organization: Normas ISO

Departamento de Defensa de USA: Orange Book / Common Criteria

ITSEC – Information Technology Security Evaluation Criteria: White Book

Sans Institute

Sarbanes Oxley Act, HIPAA

Normas aplicables



Paso 3:

Que pide la Norma ISO 17799Gestión de Seguridad?



International Standards Organization: Normas ISO

• ISO 9001 – Calidad• ISO 14001 – Ambiental• ISO 17799 – Seguridad de la Información

• La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO 17799.

• Basada en el BRITISH STANDARD 7799.• ISO (Europa) y NIST (USA).

Normas de Gestión ISO



Dos partes:

17799 – 1 . NORMALIZACION (Mejores Prácticas)

Homologada en Argentina IRAM/ISO/IEC 17799

17799 – 2 . CERTIFICACION

Aún no fue publicada por ISO.

Hoy en día las certificaciones son sobre el BS 7799.

Norma ISO 17799 Seguridad de la Información



Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:

GESTION DE SEGURIDAD DE LA INFORMACION

Alcance

Recomendaciones para la gestión de la seguridad de la información

Base común para el desarrollo de estándares de seguridad




Preservar la:

confidencialidad:accesible sólo a aquellas personas autorizadas a tener acceso.

integridad:exactitud y totalidad de la información y los métodos de procesamiento.

disponibilidad:acceso a la información y a los recursos relacionados con ella toda vez que se requiera.




1. Política de Seguridad

2. Organización de Seguridad

3. Clasificación y Control de Activos

4. Aspectos humanos de la seguridad

5. Seguridad Física y Ambiental

6. Gestión de Comunicaciones y Operaciones

7. Sistema de Control de Accesos

8. Desarrollo y Mantenimiento de Sistemas

9. Plan de Continuidad del Negocio

10.Cumplimiento




La información = activo comercial

Tiene valor para una organización y por consiguiente debe ser debidamente protegida.

“Garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades”

“La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados”

Qué es la Seguridad de la Información



• Impresa,• escrita en papel,• almacenada electrónicamente,• transmitida por correo o utilizando medios

electrónicos,• presentada en imágenes, o• expuesta en una conversación.

Formas o medios que se distribuye o almacena



Implementando un conjunto adecuado de CONTROLES:

• Políticas• Prácticas• Procedimientos• Estructuras Organizacionales• Funciones del Software

Gestión de Seguridad de la Información



Cómo establecer los requerimientos de SeguridadEvaluar los riesgos:

• se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.

Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:

• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.

Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.



Selección de controles

“Los controles pueden seleccionarse sobre la base de la Norma ISO 17799, de otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicas según corresponda”

Costo de implementación vs riesgos a reducir y las pérdidas monetarias y no monetarias

Revisiones periódicas de:

- Riesgos- Controles implementados



• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;

• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;

• apoyo y compromiso manifiestos por parte de la gerencia;

• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;

• comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;

Factores críticos del éxito



• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;

• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de medición

que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.

Factores críticos del éxito



Dominios de Norma ISO 17.799

Dominio 1 - Política de Seguridad



Dominio 1: POLÍTICA DE SEGURIDAD

Nivel gerencial debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados



Dominio 1: POLÍTICA DE SEGURIDAD

Política de Seguridad

AutorizaciónProtección Física

Propiedad

Eficacia

Eficiencia

Exactitud Integridad

Legalidad

Disponibilidad

Confidencialidad

Confiabilidad



Dominio 2

Organización de la Seguridad



Dominio 2: ORGANIZACION DE LA SEGURIDAD

Sponsoreo y seguimiento • Dirección de la Compañía• Foro / Comité de Seguridad

Autorización • Dueño de datos

Definición • Área de Seguridad Informática• Área de Legales, RRHH,

Auditoria, OyM

Administración Administrador de

Seguridad

Cumplimiento directo Usuarios finales Terceros y personal

contratado Área de sistemas

Control Auditoría Interna Auditoría Externa

Principales roles y funciones



Dominio 3

Clasificación y Control de Activos



Inventarios de Información e Instalaciones

Designar un propietario para cada uno de ellos

Clasificación de la información

Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS



Dominio 4

Seguridad del Personal



Dominio 4: SEGURIDAD DEL PERSONAL

Administracion del Personal Sanciones Concientizacion Administracion de Incidentes



Dominio 5

Seguridad Fisica y Ambiental



Dominio 5: SEGURIDAD FISICA Y AMBIENTAL

Impedir accesos no autorizados, daños e interferencia a:

sedes instalaciones información



Dominio 6

Gestión de Operaciones y Comunicaciones



Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES

Seguridad en los Procesos de TI:

Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de

almacenamiento Acuerdos de intercambio de información y

software



Dominio 7

Sistema de Control de Accesos



Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones

externas Monitoreo del acceso y uso de los sistemas

Dominio 7: SISTEMA DE CONTROL DE ACCESOS



Dominio 8

Desarrollo y Mantenimiento de Sistemas



Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS

Requerimientos de seguridad de los sistemas

Asegurar que la seguridad es incorporada a los sistemas de información. Los requerimientos de seguridad deben ser

identificados y aprobados antes del desarrollo de los sistemas de información.



Dominio 9

Plan de Continuidad del Negocio



Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO

Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.



Dominio 10

Cumplimiento



Dominio 10 : CUMPLIMIENTO

Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización.

Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas.

Asegurar las evidencias.



Dominio 10 : CUMPLIMIENTO

Delitos tradicionalmente denominados informáticos

Relación entre RIESGOS y DELITOS informáticos

Delitos convencionales

Infracciones por “Mal uso”



1. Política de Seguridad

2. Organización de Seguridad

3. Clasificación y Control de Activos

4. Aspectos humanos de la seguridad

5. Seguridad Física y Ambiental

6. Gestión de Comunicaciones y Operaciones

7. Sistema de Control de Accesos

8. Desarrollo y Mantenimiento de Sistemas

9. Plan de Continuidad del Negocio

10.Cumplimiento




Como lo hago?

Metodologia de Implementacióndel ISMS

Programa Continuo de

Seguridad de la Información



Definir una METODOLOGIA

Implementación de un Programa Integral de Seguridad de la

Información



R Identificación de los principales riesgos informáticos para su compañía

P Definición por la Dirección de una política básica de seguridad

A Acción concreta en dos frentes:

Normativo

Implementación de un Programa de Seguridad

Ejecutivo



Identificación de riesgos en su compañía

Fraudes informáticos

Ataques externos a las redes

Modificaciones no autorizadas de datos por empleados

Acceso y difusión inoportuna de datos sensibles

Falta de disponibilidad de los sistemas

Software ilegal

Falta de control de uso de los sistemas

Destrucción de información y equipos

R

Clasificación de los más críticos



Personas y Organizaciones dentro y/o fuera

Identificación de riesgos en su compañíaR

Competidores

Empleados descontentos

Proveedores

Clientes

Hackers

Consultores “in company”

Compañías asociadas



en los sistemas centrales

en las PC´s

en las laptops

en los e mails

en contratos

en documentos impresos

en los legajos del personal

Donde hay información sensible

Identificación de riesgos en su compañíaR



Definición de una política básica de seguridad

Breve

Clara

Implementable

Puesta en marcha por la Dirección

Difundida al personal y terceros

P



Definición de una política básica de seguridad

P

Política de Seguridad

AutorizaciónProtección Física

Propiedad

Eficacia

Eficiencia

Exactitud Integridad

Legalidad

Disponibilidad

Confidencialidad

Confiabilidad



Sponsoreo y seguimiento

• Dirección de la Compañía

• Comité de Seguridad

Autorización

• Dueños de datos

Definición

• Area de Seguridad Informática

• Area de Legales

Identificación de responsabilidades de seguridad

Acción concreta: Plano Normativo A

Cumplimiento directo

• Usuarios finales

• Terceros y personal contratado

• Area de sistemas

Administración

• Administrador de Seguridad

Control

• Auditoría Interna / Externa



Acción concreta: Plano Normativo

Normas con definiciones

Procedimientos con acción de usuarios

Estándares técnicos para los sistemas

Esquema de reportes de auditoría

De acuerdo con regulaciones y legislaciones vigentes

Desarrollo de la normativa básica y publicación

A



Definición de acciones a sancionar y medidas disciplinarias a imponer

Comunicarción al personal y terceros “in company”

Utilización de convenios de confidencialidad

Definición de un sistema de “premios y castigos” en su compañía

Acción concreta: Plano Normativo A



Perfil de la función

Análisis de riesgos informáticos

Participación en proyectos especiales

Administración del día a día

Objetivos y tareas básicas

Programas de trabajo rutinarios

Automatización de tareas y reportes en los sistemas

Definición e implementación de la función de Seguridad Informática

Acción concreta: Plano Ejecutivo A



Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Uso del Correo Electrónico Uso de Servicios de Internet

Mejoras en los procesos del área de Sistemas






El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de

interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio.

El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía.





Componentes

- Tecnológico: procesamiento de los sistemas

- Funcional: procedimientos del

personal





Etapas en la Implementación del Plan 1: Clasificación de los distintos escenarios de desastres2: Evaluación de impacto en el negocio3: Desarrollo de una estrategia de recupero4: Implementación de la estrategia5: Documentación del plan de recupero6: Testeo y mantenimiento del plan



Redes internas

Accesos externos

Bases de datos

Sistemas aplicativos

Correo electrónico

Servidores, PC´s y laptops

Seguridad física

Integración con otras tecnologías

Parametrización de las redes y los sistemas de una forma más segura

Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático)




Acciones preventivas de monitoreo las 24 hs

Implementación de Help Desk de Seguridad

Circuitos de reportes de incidencias

Monitoreos periódicos

Auditorías

Implementación de monitoreos de incidentes de seguridad




Concientización a los usuarios en seguridad

Usuarios finales

Usuarios del área de sistemas

Terceros “in company”

Intranet de seguridad

Correo electrónico

Mensajes en cartelera

Presentaciones grupales

Videos institucionales

Firma de compromisos


Utilizando la tecnología y los medios disponibles



Implemente Ud. Mismo

el ISMS ISO 17799

Programa de Mejora Continua



Diagnóstico Inicial:

• Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 17799.

• 2 a 3 semanas

Implemente Ud. Mismo el ISMS ISO 17799



Módulos:

• Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal.




Módulo 1:

• Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía

• Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible

• Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso)




Módulo 2:

• Definir, aprobar y difundir la Política de Seguridad de la Compañía

• Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía

• Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía

• Implementar Esquema de Propietarios de Datos




Módulo 3:

• Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros

• Iniciar proceso de redacción de las Normas




Módulo 4:

• Finalizar Clasificación de Información• Relevar medidas implementadas en las

funciones del área de sistemas




Módulo 5:

• Finalizar la Redacción y Difundir las Normas de Seguridad

• Implementar las definiciones de las Normas




Módulo 6:

• Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas

• Implementar mejoras en los sectores usuarios para información impresa




Módulo 7:

• Iniciar proceso de redacción de Procedimientos críticos

• Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información




Módulo 8:

• Finalizar la redacción y difundir los Procedimientos críticos

• Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)




Módulo 9:

• Implementar los Procedimientos de Seguridad Críticos

• Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad




Módulo 10:

• Definir junto a RRHH mecanismos de Control y Sanciones

• Efectuar la Concientización de Usuarios de toda la Compañía




Módulo 11:

• Diagnóstico General respecto Norma ISO 17799 (similar a una Preauditoría de Certificación ISO)




Módulo 12:

• Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799




Sugerencias prácticas a tener en cuenta

Facilidad en el USO vs mejor PROTECCION

de la Información

Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799

Documents

Transcript of Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799