Normas de

SeguridadAlvaro Franco, CISSP afranco@uy.ibm.com

Agenda

• ¿Qué Normas de Seguridad, para la Seguridad de la Información o departamentos de IT, existen ?

• ¿Qué beneficios representan?• ¿Cómo pueden influenciar la adquisición de

productos o a mi organización?

Seguridad de la Información• ¿Por qué “Seguridad de la Información” ?

– Mucha de la información o activos de negocio se encuentran o manejan en formato electrónico, tanto internamente como con terceros.

– La operación segura de los sistemas depende tanto de elementos tecnológicos como de otros procesos o factores y sus interacciones.

– Establecer qué se entiende por “Seguridad para poder generar, en consecuencia, un ambiente “seguro”.

¿Qué Normas de Seguridad existen?• “Rainbow Series” del DoD. (Ej : Orange

Book) (´+30 años).• Otros gobiernos (Australia, Japón, UK,

Alemania, etc) desarrollan sus propios estándares.

• Complejidad en procesos de recertificación.• Diferencias de criterios.• Necesidad de un criterio más “global”.

Algunos estándares

• Estándares para la Seguridad de la Información• Estándares para IT• Estándares para Manejo de Incidentes• Estándares para Evaluación de Productos• Otros

Normas ISO• International Standards Organization: normas ISO que

abarcan varias disciplinas:– Ejemplos:

• ISO 9001 – Calidad• ISO 14001 – Ambiental• ISO 17799 – Seguridad de la Información. Norma

internacional con recomendaciones para la Gestión de la Seguridad de la Información.

Norma ISO-17799Código de Buenas Prácticas para la Gestión de la Seguridad de la Información

• Basada en el British Standard (BSI) 7799:1999, orígenes en el 93'.– BS-7799-1 : Recomendaciones (“debería”. No es mandatorio)– BS-7799-2 : Certificación

• ISO 17799:2000/UNIT-PU 17799:2004 (Español)– Similar a BS-7799-1– No tiene certificación ISO

• ISO 17799:2005 (disponible)/UNIT-PU (futuro).– Revisión de ISO 17799:2000– Va a tener un capítulo de certificación (futuro, se estima 2H05).

• Representa 10+ años de puesta en práctica de sus recomendaciones• El documento que contiene el estándar tiene costo.

¿Qué es la Seguridad de la Información?

• “activo : cualquier cosa que tiene valor para la organización” [ISO/IEC 13335-1:2004] y ISO-17799:2005

• La Información es un activo.• Un activo de información tiene valor para la organización y por

consiguiente debe ser debidamente protegido.• “La seguridad que puede lograrse por medios técnicos es limitada

y debe ser respaldada por una gestión y procedimientos adecuados” Ej: No basta con implementar un Firewall o Antivirus.

• Deben existir dueños para los activos encontrados en una empresa.

Norma ISO 17799 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información

• Se caracteriza como la preservación de C.I.A.:– Confidencialidad (C)

• Los datos deben mantenerse resguardados, accesibles sólo a aquellas personas autorizadas

– Integridad (I)• Asegurar que la información y su procesamiento sea exacto

y completo– Disponibilidad (A)

• Los usuarios autorizados tienen acceso cuando se requiera

Norma ISO 17799 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información

• Algunos contrarios son:– Espionaje

• Los activos son accesibles mediante algún método.– Alteración

• Es posible alterar los activos sin que se note y seguir llevando a cabo procesos de negocio con los mismos.

– Indisponibilidad• Los usuarios autorizados no pueden acceder a sus activos

en tiempo y forma.

Norma ISO 18044, Gestión de Incidentes de Seguridad de la Información:

Consecuencias (8.4.1)• Pérdida Financiera/Interrupción al Negocio• Afectar intereses comerciales y económicos• Acceso a información personal (propia o de terceros)• Afectar regulaciones y aspectos legales• Afectar operaciones del negocio• Pérdida de voluntad/Percepción• etc.

ISO 17799:2000 vs ISO 17799:2005• Versión 2000: 10 Dominios – 36 objetivos de control – 127 controles• Versión 2005: 11 Dominios – 39 objetivos de control – 134 controles• 9 Controles eliminados, 118 controles modificados, 16 nuevos

controles• Cambios Estructura:

– Control– Guía de implementación– Información Adicional

• Reordenamiento• Mejor “internacionalización” de la redacción

ISO 17799:2000 vs ISO 17799:2005• Política de Seguridad• Organización de Seguridad/Organización de la Seguridad de la Información• Clasificación y Control de Activos/Gestión de Activos• Seguridad ligada al personal/Seguridad en los Recursos Humanos• Seguridad Física y del Entorno ( 7 puntos a 9)• Gestión de Comunicaciones y Operaciones (7 puntos a 10)• Sistema de Control de Accesos• Desarrollo y Mantenimiento de Sistemas/Adquisición, desarrollo y

mantenimiento de Sistemas de Información• Plan de Continuidad del Negocio/Gestión de la Continuidad del Negocio• Nuevo en 2005 : Gestión de Incidentes de Seguridad de la Información• Cumplimiento

ISO 17799:2005• Áreas:

Human Resources

SecurityAsset

Management

Physical andEnvironmental

Security

BusinessContinuity

Management

Information Systems

Acquisition,Development,

andMaintenance

SystemAccessControl

Organizational Information

Security

Information Security Incident

Management

Security Policy

Communi-cations andOperations

Management

Compliance

Human Resources

SecurityAsset

Management

Physical andEnvironmental

Security

BusinessContinuity

Management

Information Systems

Acquisition,Development,

andMaintenance

SystemAccessControl

Organizational Information

Security

Information Security Incident

Management

Security Policy

Communi-cations andOperations

Management

Compliance

Clasificación• Alto Nivel/Estratégicos

– Política de Seguridad, Organización de la Seguridad de la Información, Gestión de Activos, Control de Accesos, Conformidad

• Operativos– Seguridad Física y del Entorno, Seguridad de los

Recursos Humanos, Gestión de Incidentes, Continuidad del Negocio, Comunicaciones y operaciones, Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

Establecer cuales son los Requerimientos de Seguridad

• Se debería efectuar una evaluación de riesgos (Risk Assesment)– se identifican las amenazas a los activos, se evalúan vulnerabilidades,

se estima las probabilidades de ocurrencia– se estima el impacto potencial (cuantitativa o cualitativamente). – Se identifica, controla, minimiza o elimina los riesgos que pueden

afectar al negocio, documentando los mismos. Se documenta tambén el riesgo residual.

• Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:– la organización (ej: HIPPA)– sus socios comerciales,– los contratistas, prestadores de servicios, terceras partes.

Ej: RFC 2196Site Security Handbook

• (1) Identificar qué se está intentando proteger• (2) Determinar contra qué cosas se lo quiere proteger• (3) Determinar qué tan probables de ocurrencia son las amenazas • (4) Implementar medidas que protegan los activos de una manera

efectiva en costos.• (5) Revisar el proceso de manera contínua y hacer mejoras cada

vez que se encuentre una debilidad.• Varios estándares tienen similitudes en algunos puntos que

solicitan, y tal vez diferencias de alcance. No hay problema de escasez de los mismos. Algunos están libremente disponibles ( http://www.ietf.org/rfc/rfc2196.txt ). Ahora veremos ISO 17799.

ISO 17799: Política de Seguridad• Definición: Proporcionar dirección y apoyo gerencial para la

seguridad de la información.• La Alta Gerencia debería:

– Aprobar y publicar la Política de Seguridad. Comunicarla a todos los empleados.

– La misma debería estar de acuerdo con las regulaciones aplicables.• Comprende:

– objetivos y alcance generales de seguridad – apoyo expreso de la dirección – definición de las responsabilidades generales y específicas en

materia de gestión de la seguridad de la información

Ejemplo de Relevamiento: Políticas

• 3.1.1 : Documento de Política de Seguridad de la Información– ¿Existe un documento de Política de Seguridad de la

Información dentro de la Organización? _________– ¿Describe el apoyo de la Alta Gerencia a la Política de

Seguridad de la Información y presenta el enfoque de la organización al manejo de la misma? ________

• 3.1.2: Revisiones y Evaluaciones:– ¿La Política de Seguridad tiene un dueño, el cual es responsable

por su mantenimiento y revisión de acuerdo a un proceso definido? _________

Ejemplos de Políticas• Ejemplos: http://www.sans.org/resources/policies/• Política de Seguridad de la Información.• Estándar de uso aceptable de encriptación.• Estándar de uso aceptable de los recursos.• Estándar de clasificación de la información.• Estándar de acceso remoto.• Estándar de seguridad de Routers• Estándar de seguridad de Servidores.• Estándar de uso de correo electrónico corporativo, • Estándar de Manejo de Excepciones, etc.

Organización de la Seguridad de la Información

• Es la Infraestructura que se encarga de gestionar la Seguridad de laInformación dentro de una organización.

•  Debe establecerse un marco gerencial para iniciar y controlar la implementación.  – Deben establecerse adecuados foros de gestión de seguridad,

con liderazgo gerencial, y asignar responsabilidades para cada usuario en la organización.

– Debe aplicar tanto a empleados como a terceras partes que interactúan con la organización.

Ejemplo de Relevamiento: Organización • 4.1.1:

– ¿Existe un foro de Alta Gerencia para asegurar que difunde una directiva clara y un apoyo visible para las iniciativas que tienen que ver con la Seguridad de la Información?

• 4.1.3– ¿Las responsabilidades para la protección de activos

individuales y para llevar a cabo tareas que tienen que ver con la Seguridad de la Información claramente definidas?

• 4.1.5– ¿La organización cuenta con asesoramiento especializado en

materia de Seguridad de la Información, colaborando en la toma de decisiones?

» Nota: Basado en SANS Audit Checklist BS7799

Ejemplo de Relevamiento: Organización • 4.1.6

– ¿Se han establecido los contactos con las organizaciones adecuadas para llevar a cabo las acciones pertinentes en caso de un Incidente de Seguridad?

• 4.1.7– ¿Existe una revisación independiente periódica acerca de cómo

la Política de Seguridad de la Información esta siendo implementada?

• 4.2.1:– ¿Los riesgos producto de accesos de terceros a la información

corporativa han sido identificados y encarados de manera correcta? (identificados, clasificados, responsable, etc)

–

Gestión de Activos • Inventarios de Activos de Información, Instalaciones, etc.• Designar un propietario para cada uno de ellos.• Establecer las responsabilidades de dichos propietarios• Establecer las necesidades de Seguridad de Información de los

Activos• Ejecutar una Clasificación de la Información.• Asegurar que los activos reciben la protección adecuada.

Ejemplo de Relevamiento: Gestión de Activos

• 5.1.1:– ¿Existe un inventario de Activos?– ¿Tienen un dueño?– ¿Están clasificados?– ¿Están protegidos?,¿contra qué?,¿contra qué cosa no lo

están?– ¿Están ubicados?

• 5.2.2– ¿Existe un mecanismo de “etiquetado” y de manejo de la

información de acuerdo a su clasificación?

Seguridad en los Recursos Humanos

• Ejecutar procesos involucrados en la selección de personal (ej: revisión de credenciales presentadas)

• Reducir los riesgos de errores humanos, robos, fraudes, mal uso de instalaciones y servicios.

• Describir las tareas relativas a seguridad en la descripción laboral del personal, e incluir a la misma en los contratos.

• Hacer un seguimiento del cumplimiento. Asegurar que empleados y terceras partes entiendan sus responsabilidades.

Ejemplo de Relevamiento: Seguridad en Recursos Humanos

• 6.1.1:– ¿La seguridad está incluída en la descripción laboral?

• 6.1.3– ¿Se requieren y son firmados acuerdos de

confidencialidad o de no divulgación como parte de los términos y condiciones de un contrato laboral?

• 6.3.5:– ¿Existe un procedimiento disciplinario formal para el

caso de violaciones a las políticas y procedimientos de la organización?

Seguridad Física y del Entorno• Se deberían definir áreas seguras.• Evitar accesos no autorizados, daños e

interferencias contra los locales y la información de la organización

• Equipamiento Seguro. Se debería prevenir las exposiciones a riesgo o robos de la información y de recursos de tratamiento de la misma.

Ejemplo de Relevamiento:• 7.1.1:

– ¿Qué medidas de seguridad en fronteras físicas han sido implementadas para proteger los servicios de procesamiento de la información?

• 7.1.2– ¿Qué controles existen para permitir el acceso sólo a personal

autorizado?• 7.2.6

– ¿Qué procedimientos existen para la reutilización de equipamiento con información sensible? ¿Que requerimientos existen sobre la seguridad de cableado?

–

Gestión de comunicaciones y operaciones

• Asegurar la operación segura y correcta de las instalaciones para procesamiento de la información.

• Minimizar el riesgo de fallas de los sistemas.• Protección contra código malicioso o móvil• Respaldo, Gestión de la seguridad de redes, manejo de dispositivos.• Servicios de comercio electrónico• Seguimiento.• Implementar la separación de funciones cuando corresponda• Documentar procedimientos

Ejemplo de relevamiento• 8.1.1– ¿Existen procedimientos operativos documentados y utilizados?

• 8.1.2– ¿Existen procedimientos de control de cambios para los programas

ejecutando en sistemas en “producción” ejecutando los mismos a través de mecanismos de control adecuados?

• 8.1.5– ¿Existe separacion de ambientes? (Test, Prod, Dev, Educación, etc.)

• 8.2.1– ¿La capacidad de los sistemas es cuantificada y se efectúan proyecciones

acerca de necesidades futuras?• 8.3.1

– ¿Todo tráfico iniciado desde sitios no confiables es revisado contra código malicioso, de manera actualizada?

Ejemplo de relevamiento• 8.2.1

– ¿La capacidad de los sistemas es cuantificada y se efectúan proyecciones acerca de necesidades futuras?

• 8.5.1– ¿Existen redes separadas para diferentes tareas, uso de VPN's, etc?

• 8.7.2– ¿La seguridad de los datos en tránsito está siendo tomada en cuenta?

• 8.7.6– ¿Existen controles y procedimientos para la publicación de información en sitios

públicos, su integridad?, qué seguimiento se hace de los mismos?

Control de Acceso• Gestión de acceso a la información.• Permitir el acceso a usuarios autorizados y

prevenir el uso por parte de usuarios no autorizados.

• Control de acceso a red, sistemas operativos, aplicaciones y a la información

• Requerimientos para computación “móvil” y teletrabajo

Ejemplo de Relevamiento• 9.1.1

– ¿Los requerimientos de negocio para control de acceso han sido definidos?• 9.2.1

– ¿Existe un proceso formal de registro y borrado para el acceso de usuarios a los sistemas de información?

• 9.4.1– ¿Existe una política acerca de redes y servicios que ponga foco en las redes y

en los servicios brindados en las mismas?:• Debería especificar quien tiene derecho a acceder a qué partes, servicios

de autorización involucrados, procedimientos de protección.• 9.4.6

– ¿Segregación de redes?• 9.5, 9.6 : ¿Qué controles de acceso existe a nivel de aplicativos y sistemas

operativos?.¿ Qué requisitos de seguridad existen para el Teletrabajo.?

Adquisición, desarrollo y mantenimiento de Sistemas de Información

• Establecer que la seguridad es una parte integral de los sistemas de información.

• Procesamiento correcto en las aplicaciones. Evitar abusos, errores o pérdidas en las mismas.

• Controles criptográficos para proteger la C.I.A.• Seguridad en los sistemas operativos, aplicaciones de negocio,

software adquirido, servicios y aplicaciones desarrolladas por los usuarios, en el diseño y en la implementación.

• Los requerimientos deben ser documentados, acordados y en el caso de negocio para la aplicación.

Ejemplo de relevamiento (17799:2005)

• 12.1.1: – ¿ Están documentados los requerimientos de seguridad del negocio respecto a

las aplicaciones? (Ref a ISO 15408 y ISO 13335 (3))• 12.2

– ¿Que controles se hacen de los datos en las aplicaciones?• 12.3

– ¿Qué controles criptográficos tienen las aplicaciones?• 12.4.3

– ¿Qué controles existen para la protección del código fuente de los programas?

• 12.6– ¿Que elementos existen para reducir el riesgo de explotación de debilidades

de seguridad publicadas?

Gestión de Incidentes de la Seguridad de la Información

• Asegurar que las debilidades y otros eventos de seguridad relacionados con Sistemas de Información son comunicados a tiempo, permitiendo ejecutar acciones correctivas.

• Asegurar que existan mecanismos formales de escalamiento de incidentes.

• Tanto empleados, contratados o terceras partes deben ser informados de los procedimientos, y se les debe requerir informar de estos eventos tan rápido como sea posible al punto de contacto.

Gestión de Incidentes de la Seguridad de la Información

• Ejemplos de incidentes:– Pérdida de servicio, equipamiento o instalaciones– Mal funcionamiento de equipos o sobrecargas– Errores humanos– Falta de cumplimiento de políticas o guías– Violaciones a medidas de seguridad física– Cambio sin control a los sistemas– Mal funcionamiento de software o hardware– Violaciones de acceso

Ejemplo de relevamiento (ISO 17799:2005)

• 13.1– ¿Existe un mecanismo formal para el reporte de eventos de

seguridad?• 13.2

– ¿Existe personal cuya misión sera la administración de incidentes de seguridad de la información?

– ¿Están al tanto de los requerimientos sobre la “evidencia” y otros aplicables para presentar casos civiles o criminales?

• 13.2.2– ¿Existe un procedimiento formal para “aprender” de los

incidentes de seguridad de la información?

Gestión de la Continuidad del Negocio

• Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos o desastres.

• Debe estar implementado para minimizar el impacto en la organización y recuperase de una pérdida de activos de información a un nivel aceptable, a través de controles preventivos y mecanismos de recuperación.

• El enfoque debe ser consistente.

Ejemplo de Relevamiento• 11.1.1

– ¿Existe dicho plan? ¿Qué abarca? ¿Está al día? ¿Ha sido probado? ¿Están las personas implicadas al tanto del mismo?

• 11.1.2– ¿Que eventos han sido identificados como posibles

orígenes de interrupciones?– ¿Se ha ejecutado un Análisis de Riesgos para

determinar el impacto de dichas interrupciones?

Conformidad• Evitar el incumplimiento de cualquier requerimiento de

seguridad, ley, estatuto, regulación u obligación contractual.• Garantizar la alineación de los sistemas con la Política de

Seguridad de la Organización, y con la normativa derivada de la misma.

• Evitar la utilización de la infraestructura de sistemas de información para propósitos que no sean del negocio.

• Maximizar la efectividad de los procesos de auditoría, al mismo tiempo que se minimiza las interferencias que estos procesos pueden provocar.

Ejemplo de Relevamiento• 12.1.1:

– ¿Han sido definidos y documentados todos los requisitos legales con los que se debe cumplir?

• 12.1.2– ¿El manejo de licencias de software está de acuerdo a

los límites de cada una de ellas?• 12.1.5

– ¿Como se manejan los casos de utilización de los recursos de la organización para tareas ajenas al negocio?

Seguridad en IT : ISO 13335• Parte 1: Conceptos y modelos para la Seguridad de TI• Parte 2: Gestión y planeamiento de la Seguridad de TI• Parte 3: Técnicas para la Gestión de la Seguridad de TI.• Parte 4: Selección de Salvaguardias• Parte 5: Seguridad de las conexiones externas• Como vemos, no tiene partes para “políticas” o RRHH

como en ISO 17799. Es más específico para un departamento de TI.

ISO 15408 – Common Criteria (CC v3)

• “Criterio de Evaluación para la Seguridad de IT” : “The CC is useful as a guide for the development, evaluation and/or procurement of (collections of) products with IT security functionality.”.

• Evalúa la seguridad de un “producto” (ej: firewall, SO, DBMS) de IT– TOE : Target of Evaluation– PP : Protection Profile– TSF : TOE Security Functionality– ST : Security Target, EAL : Evaluation Assurance Level (1-7)

• Apoyado por gobiernos de: Alemania, Australia/New Zealand, Canadá, Holanda, España, Estados Unidos, Francia, Japón, UK.

• Disponible Públicamente (http://www.commoncriteriaportal.org )• PP's disponibles públicamente, Evaluaciones disponibles.

ISO 15408 – Common Criteria (CC v3)

• Ejemplos de elementos certificados:– Antivirus, Software para manejo de Certificados, Sw & Hw de Biometría,

Firewalls, IDS/IPS, Switch periféricos, Sw&Hw de manejo de redes, Sistemas Operativos, Bases de Datos, Tarjetas Inteligentes,Tokens, Redes Wireless, VPN's, Sistemas de Control de Acceso

– http://niap.nist.gov/cc-scheme/vpl/vpl_type.html• Ejemplo:

– AIX 5L for Power V5.2, Program Number 5765-E62– IBM Corporation– EAL4, Augmented, ALC_FLR.1 (Basic flaw remediation)– PP Validado por el gobierno de EE.UU.– Esquema : Alemania.

ISO 15408 – Common Criteria (CC v3)

• Ejemplo de PP's, Antivirushttp://niap.nist.gov/cc-scheme/pp/PP_VID10053-PP.html– This PP specifies the minimum-security requirements for Anti-Virus

Applications (i.e., the Target of Evaluation (TOE)) used on workstations in the US Government in Basic Robustness Environments. The Anti-Virus Application provides protection against viruses coming into the workstation from network connections and/or removable media, and is considered sufficient protection for environments where the likelihood of an attempted compromise is low. The target robustness level of "basic" is discussed in Section 3.0 of this PP. STs claiming compliance may consist of software only.

En resumen• Seguridad a nivel Organización:

– ISO 17799:2005 (BS7799, Prox. Certificable ISO)• Seguridad a Nivel Departamento de IT:

– ISO 13335• Seguridad a Nivel Productos :

– CC/ISO 15408 (Certificable)• Otros estándares particulares pueden aplicar a estos u

otros elementos. (Ej : ISO 18044, FIPS,...)• IBM ofrece servicios y productos alineados con normas

de seguridad internacionales, como ISO 17799 y 15408.

Preguntas

• Gracias por su tiempo.

Recursos• “Rainbow Series”:

– http://www.infosyssec.com/infosyssec/milsec1.htm#dodrainbow– http://www.radium.ncsc.mil/tpep/library/rainbow ,

http://iac.dtic.mil/iatac/resources.html• http://www.ussecurityawareness.org/highres/infosec-auditing.html• http://www.sans.org/score/checklists/ISO_17799_checklist.pdf• Common Criteria

● http://www.commoncriteriaportal.org/● http://niap.nist.gov/cc-scheme/index.html● http://niap.nist.gov/cc-scheme/vpl/vpl_type.html

•http://www.iso.org , http://www.iec.ch, http://www.unit.org.uy•RFC 2196 “Site Security Handbook”: http://www.faqs.org/rfcs/rfc2196.html

Extras

• Backup

Factores de Éxito• Política de seguridad, objetivos y actividades que reflejen los

objetivos de la empresa; • Apoyo y compromiso manifiestos por parte de la gerencia; • Un claro entendimiento de los requerimientos de seguridad, la

evaluación de riesgos y la administración de los mismos; • Una estrategia de implementación de seguridad de acuerdo a la

cultura organizacional; • Comunicación y concientización eficaz de los temas de seguridad a

todos los gerentes y empleados; • Capacidad de ejecución• Seguimiento eficaz para evaluar nuevos riesgos, nuevas

implementaciones del negocio, etc.

Factores de Éxito• distribución de guías sobre políticas y estándares de seguridad de

la información a todos los empleados y contratistas;• instrucción y entrenamiento adecuados;• un sistema de medición o indicadores que se utilice para evaluar el

desempeño de la gestión de la Seguridad de la Información y para brindar sugerencias tendientes a mejorarlo.