Reglamento de Medidas de Seguridad según COBIT y UNE- ISO/IEC 17799 Ramón de la Iglesia Vidal...

Reglamento de Medidas de Seguridad según COBIT y UNE-

ISO/IEC 17799Ramón de la Iglesia Vidal

Iván Guardia Hernández

www.auditoriabalear.comwww.auditoriabalear.com

Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799

1. Introducción

2. Reglamento medidas de seguridad

3. Introducción COBIT

4. Introducción UNE-ISO/IEC 17799

5. Reglamento, COBIT y UNE-ISO/IEC 17799

6. Soluciones practicas

7. Conclusiones

8. Bibliografía

NcN2003NcN2003


1. Introducción

Reglamento de Medidas de Seguridad: Real Decreto 994/1999, de 11 de Julio. Desarrolla la LOPD.

Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir.

•Los ficheros automatizados:

•Los centros de tratamiento locales

•Equipos

•Sistemas

•Programas

•Personas que intervengan en el proceso

NcN2003NcN2003


1. Introducción

La misión y Objetivos de COBIT es Investigar, Desarrollar, Publicitar y promocionar Objetivos de Control de TI internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores.

UNE-ISO/IEC 17799, Código de buenas prácticas de la Gestión de la Seguridad de la Información.

NcN2003NcN2003


1. Introducción






7. Conclusiones

8. Bibliografía

NcN2003NcN2003



NcN2003NcN2003

Los Niveles de seguridad posibles son los siguientes:

1. Nivel Básico

2. Nivel Medio

3. Nivel Alto


2. Niveles de Seguridad

Medidas de seguridad exigibles a todos los ficheros:

• Los accesos por red están sujetas las mismas medidas de seguridad exigibles del nivel de seguridad local.

• El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero.

• Los ficheros temporales se borrarán una vez usados, también se le aplicará el nivel de seguridad pertinente.

• El responsable del fichero elaborará el documento de seguridad.• Las pruebas con datos reales seguirán las medidas de seguridad

pertinentes.

NcN2003NcN2003


Medidas de seguridad de nivel BÁSICO:

• Sistema de Registro de incidencias.• Relación actualizada usuarios/recursos autorizados.• Existencia de mecanismos de identificación y autenticación

de los accesos autorizados.• Restricción solo a los datos necesarios para cumplir cada

función.• Gestión de Soportes informáticos con datos de carácter.• Inventariados.• Acceso restringido.• Copias de seguridad semanalmente.


NcN2003NcN2003



NcN2003NcN2003

Medidas de seguridad de nivel MEDIO:

• Designación responsables de seguridad.• Auditoría bienal.• Identificación inequívoca y personalizada de usuarios.• Limitación de los intentos de acceso.• Medidas de control de acceso físico.• Registro de entradas y salidas de soportes informáticos.• Impedir la recuperación indebida de información contenida en

soportes desechados o ubicados fuera de su lugar habitual.• Registro de incidencias de las operaciones de recuperación de

datos autorizadas por escrito.


Medidas de seguridad de nivel ALTO:

• Los soportes para distribución deberán tener la información cifrada.

• Registro de accesos, autorizados y denegados.• Guardar estos registros durante 2 años.• Copias de seguridad guardadas en sitio diferente.• Transmisiones cifradas.


NcN2003NcN2003


1. Introducción






7. Conclusiones

8. Bibliografía

NcN2003NcN2003


• COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) que provean un marco de referencia para la Administración, Usuarios y Auditores.

• Con más de 22.000 miembros en 100 países, la Asociación de Auditoría y Control en Sistemas de Información ISACA es un líder reconocido mundialmente en control y seguridad de TI.

• Básicamente consta de 4 libros: • Resumen Ejecutivo• Antecedentes y Marco de Referencia• Guías de Auditoría • Herramientas de Implementación


NcN2003NcN2003


El Marco Referencia puede ser utilizado por tres grupos:

• ADMINISTRACION:Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible.

• USUARIOS:Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes.

• AUDITORES DE SISTEMAS DE INFORMACION:Para dar soporte a las opiniones mostradas a la administración sobre los controles internos.

Además de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de información del proceso, y por todos aquéllos responsables de TI en la empresa.


NcN2003NcN2003


Los recursos de TI identificados en COBIT son:

• Datos• Aplicaciones.• Tecnología.

Relación de los recursos de TI con respecto a la entrega de servicios


NcN2003NcN2003

• Instalaciones.• Personal.



NcN2003NcN2003

Existen, tres niveles de actividades

de TI al considerar la

administración de sus recursos.

El marco referencial desde tres puntos estratégicos: • Recursos de TI.• Requerimientos de negocio para la información.• Procesos de TI.



NcN2003NcN2003

En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la información que la empresa necesita para alcanzar

sus objetivos.


1. Introducción






7. Conclusiones

8. BibliografíaNcN2003NcN2003


• British Standard Institute en 1999 publica BS7799.

• ISO (Organización Internacional de Normalización) y CEI (Comisión Electrónica Internacional) desarrollan ISO/IEC 17799:2000.

• En el 2002, a nivel nacional, el comité espejo AEN/CTN, adapta al castellano la norma ISO/IEC 17799:2000, dando lugar la norma UNE-ISO/IEC 17799.


NcN2003NcN2003


• UNE-ISO/IEC 17799, Código de buenas prácticas para la Gestión de la seguridad de la Información.

• La aparición de esta normativa de carácter internacional ha supuesto una buena GUÍA para las empresas que pretenden mantener de forma segura sus activos.

• UNE-ISO/IEC 17799:2000 debe ser utilizada como un índice.

• Deja pendiente las especificaciones para la gestión de la seguridad de los sistemas de información.


NcN2003NcN2003


• La seguridad se caracteriza por:

• Confidencialidad.• Integridad.• Disponibilidad.

• Establecer requisitos de la seguridad:

• Análisis de RIESGOS. Amenazas, vulnerabilidades e impacto.• Requisitos legales.• Objetivos de negocio.

• CONTROLES.


NcN2003NcN2003


• La seguridad de la organización la divide en diez partes:

• Política de seguridad.• Aspectos organizativos para la seguridad.• Clasificación y control de activos.• Seguridad ligada al personal.• Seguridad física y del entorno.• Gestión de comunicaciones y operaciones.• Control de accesos.• Desarrollo y mantenimiento de sistemas.• Gestión de continuidad del negocio.• Conformidad.


NcN2003NcN2003


1. Introducción






7. Conclusiones



• Documento de Seguridad.• Personal: responsabilidades.• Control de accesos.

• Identificación y autenticación.• Acceso físico.• Acceso informático.

• Entrada/Salida de datos.• Gestión de soportes.• Gestión telemática.

5. Reglamento, COBIT y UNE-ISO/IEC17799

NcN2003NcN2003

• Trabajo fuera de los locales.• Continuidad del negocio.

• Copias de seguridad.• Registro de incidencias.

• Ficheros auxiliares.• Pruebas con datos reales.• Ficheros temporales.

• Auditoría.


Documento de Seguridad.• UNE:

• La Dirección es quien marca las pautas de la política de seguridad. Comité.

• La dirección aprueba, publica y comunica a toda la organización.

• Políticas y normas.• Pleno conocimiento.• Responsables de seguridad. Propietario de los datos.• Inventariado y clasificación de los recursos.• Incidencias: notificación, gestión y respuesta.• Copias de respaldo: copias de seguridad, ensayos,

registrando eventos y monitorizando.• Revisiones objetivas periódicas programadas.• Procedimientos formales destrucción de datos.


NcN2003NcN2003


Documento de Seguridad.• COBIT:

• La dirección marca las pautas, implanta, y controla la política de seguridad.

• Debe existir un modelo de arquitectura de información actualizado y consistente de los datos corporativos y los sistemas de información asociados a ellos.

• Los datos clasificados deben estar acompañados de:• Quién puede tener acceso.• Quién determina el nivel de acceso apropiado.• La aprobación específica requerida para el

acceso.• Contempla, el Plan de Respaldo y Restauración, el

Plan de Disponibilidad y las Funciones de Respaldo • La documentación de control, políticas y

procedimientos debe estar siempre actualizada.


NcN2003NcN2003


Personal: responsabilidades.• UNE:

• Comité de gestión de seguridad de la información.• Roles de seguridad.• Coordinar la implantación de la seguridad en toda la

Organización.• Contratos formales a terceros.• Responsabilidades individualizadas de los activos.• Proceso de autorización.• La seguridad debería contemplarse desde las etapas de

selección de personal, incluirse en los contratos y seguirse durante el desarrollo de la relación laboral.

• Acuerdos de confidencialidad.• Formación.• Procedimiento disciplinario.


NcN2003NcN2003


Personal: responsabilidades.• COBIT:

• Se asignarán responsabilidades formales de seguridad, tanto lógica como física de cada uno de los activos.

• Segregación de funciones.• Funciones, responsabilidades, propiedad y perfil del

puesto, respecto a la información por escrito, y si es necesario, firmado por el personal en forma contractual.

• Existe la figura del responsable de seguridad.• Al contrario que el reglamento, los costes de los

controles no deben exceder a los beneficios. • La Gerencia deberá asegurar que las políticas

organizacionales sean comunicadas y comprendidas por todos los niveles de la organización: Formación.


NcN2003NcN2003


Control de accesos.• UNE:

• Acceso de terceros.• Política de accesos, las reglas y los derechos de cada

usuario o grupo de usuarios.• Monitoreo de accesos.• Identificación y autenticación.

• Todos los usuarios deberían disponer de un identificador único para su uso personal y exclusivo.

• Uso y gestión de contraseñas de usuario.


NcN2003NcN2003


Control de accesos.• UNE:

• Proceso de autorización.• Seguimiento de accesos y usos del sistema.• Registro de incidencias.• Acceso físico.

• Perímetro de seguridad física.• Controles físicos de entradas.• Seguridad de instalaciones, despachos y recursos.

• Acceso informático• Gestión de privilegios.• Sincronización de relojes.


NcN2003NcN2003


Control de accesos.• COBIT:

• Identificación y autenticación.• “El acceso lógico y el uso de los recursos de TI

deberá restringirse a través de la instrumentación de un mecanismo adecuado de autenticación de usuarios identificados y recursos asociados con las reglas de acceso.”

• Las Guías presentan mínimas reglas de passwords, políticas de seguridad y el acceso de los sistemas de información y del control del acceso reiterado.

5. Reglamento,COBIT y UNE-ISO/IEC17799

NcN2003NcN2003


Control de accesos.• COBIT:

• Acceso físico.• Establece claramente la necesidad de apropiadas

medidas de seguridad física y control de acceso.• Pide la Discreción de las Instalaciones de

Tecnología de Información.• Concreta los detalles en las Guías.

• Acceso informático.• Propiedad y custodia de los datos.• Administración Centralizada de Identificación y

Derechos de Acceso.• Limita el acceso a la “necesidad de conocimiento”• Revisión Gerencial de Cuentas de Usuario .• Las Guías especifican los “Reportes” sobre accesos

al sistema, tanto positivos como negativos. Nada de cuales a registros, genérico.


NcN2003NcN2003


Entrada/Salida de Datos.• UNE:

• Gestión de soportes.• Inventario de activos.• Marcado y tratamiento de la información.• Extracción de pertenencias.• Utilización de la información.• Eliminación de soportes.• Seguridad de soportes en tránsito.• Controles criptográficos.


NcN2003NcN2003


Entrada/Salida de Datos.• UNE:

• Gestión telemática.• Controles de red.• Seguridad de los servicios de red Autenticación.• Segregación en las redes.• Controles criptográficos.• Firmas, no repudio.• Seguridad del correo electrónico.


NcN2003NcN2003


Entrada/Salida de Datos.• COBIT:

• Gestión de soportes.• No especifica tantos detalles de catalogación.• Sí que vigila los controles de E/S de soportes.• Sigue siendo muy riguroso en tema de

autorizaciones.• Protección de información sensible durante

transmisión y transporte.• Protección de información crítica a Ser

Desechada.• La información sensitiva es enviada y recibida

exclusivamente a través de canales seguros.• Administración de Llaves Criptográficas.


NcN2003NcN2003


Entrada/Salida de Datos.• COBIT:

• Gestión telemática.• Exige: Identificación, Autenticación y Acceso.• Seguridad de Acceso a Datos en Línea.• Control de Operaciones Remotas.• Transmisiones a través de túneles cifrados.• Las guías contemplan las configuraciones del

firewall.


NcN2003NcN2003


Trabajo fuera de los locales.• UNE:

• Proceso de autorización de recursos para el tratamiento de la información.

• Informática móvil.• Teletrabajo.


NcN2003NcN2003


Trabajo fuera de los locales.• COBIT:

• No se recomienda el tratamiento de datos de carácter personal fuera de los locales.

• Se debe respetar la cadena de responsabilidades.


NcN2003NcN2003


Continuidad del negocio.• UNE:

• Gestión de continuidad del negocio.• Continuidad del negocio y análisis de impactos.• Prueba, mantenimiento y reevaluación de los planes

de continuidad.• Copias de seguridad.

• Recuperación de la información.• Soportes y recuperación.• Diarios de operación.

• Registro de incidencias.• Comunicación, registro, gestión y respuesta de

fallos e incidencias.• Aprendiendo de las incidencias.• Procedimiento disciplinario.


NcN2003NcN2003


Continuidad del negocio.• COBIT:

Plan de Continuidad de T.I.• Copias de seguridad.

• Existe una figura responsable para ello.• Punto de control de Respaldo y Restauración.• Almacenamiento de Respaldos , tanto dentro

como fuera de las instalaciones. • Contempla en el Plan de continuidad

Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre.

• Calendarización de Trabajos (Backups).• Centro de cómputo y Hardware de Respaldo.


NcN2003NcN2003


Continuidad del negocio.• COBIT:• Registro de incidencias.

• La Gerencia deberá implementar la capacidad de manejar incidentes de seguridad.

• Se debe tener un claro sistema de Gestión de Problemas: Formularios, procedimientos de notificación, respuesta, solución implantada...

• Pistas de auditoría que permitan el seguimiento de las causas a partir de un incidente.


NcN2003NcN2003


Ficheros auxiliares.• UNE:

• Pruebas con datos reales.• Separación de los recursos para desarrollo y para

producción.• Protección de los datos de prueba del sistema.

• Ficheros temporales.• La UNE no contempla los ficheros temporales. Se

puede aplicar las mismas guías expuestas para los ficheros de prueba.


NcN2003NcN2003


Ficheros auxiliares.• COBIT:

• Pruebas con datos reales.• La exposición de la información sensible que se

utiliza durante las pruebas de la aplicación se reduce ya sea con limitaciones severas de acceso o la despersonalización de los datos históricos.

• Más claro en el “CISA Review Manual”. Importancia de la separación de los datos de producción de los de desarrollo.

• Ficheros temporales.• No comentado en CobiT.


NcN2003NcN2003


Auditoría.• UNE:

• Revisiones regulares de la política de seguridad y de la conformidad técnica.

• Conformidad de la dirección con la política de seguridad. • Minimizar el riesgo de interrupción de los procesos de

negocio y recursos.• Protección de las herramientas de auditoría de sistemas.


NcN2003NcN2003


Auditoría.• COBIT:

• Auditoría interna y externa. Complementación.• Monitoreo y Reporte de Control Interno.• Proveer auditoría Independiente (M 4).

• Estatutos de Auditoría • Independencia• Ética y Estándares Profesionales

• El Reporte se destina a la Gerencia


NcN2003NcN2003


1. Introducción






7. Conclusiones




NcN2003NcN2003

• Herramientas de documentación, formularios y workflow:• Lotus Domino.• Visio.

• Organigrama de las responsabilidades, funciones y recursos.

• Sistemas de correo cifrado y firmado:• Eudora + GnuPG.• Outlook + certificado digital de una autoridad certificadora.



NcN2003NcN2003

• Herramientas de encriptación y firmado de discos y ficheros: • WinPT.• PGPDisk.

• Seguridad en redes:• Túnel cifrado: sftp, pop3s.• VPN.

• Continuidad de negocio:• Sistemas RAID: mirroring.

• Hardware.• Software.

• Copias de respaldo periódicas.• Copias de transacciones incrementales.



NcN2003NcN2003

• LOGs:• A nivel de aplicación.• A nivel intermedio.• A nivel de SGBD: Oracle 9i.

• Borrados seguros:• Wipe.• Desmagnetizadores.• Destructoras de papel.


1. Introducción






7. Conclusiones



• COBIT y UNE-ISO/IEC 17799 no son excluyentes.

• No te aseguran cumplir el reglamento.

• Son marcos de referencia.

• UNE-ISO/IEC 17799 usa un lenguaje mas próximo al reglamento.

• COBIT sigue una filosofía de control norteamericana.

• Existen soluciones viables.

• El registro de accesos es el punto más conflictivo.

7. Conclusiones

NcN2003NcN2003


1. Introducción






7. Conclusiones



• Real Decreto 994/99 de 11 de junio. Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal.

• Ley Orgánica 15/99 de 13 de Diciembre, de Protección de Datos de Carácter Personal.

• UNE-ISO/IEC 17799 (Tecnología de la Información: Código de buenas prácticas para la Gestión de la Seguridad de la Información).

• UNE 71501-1/-2/-3. Tecnología de la Información.• CobiT (Objetivos de Control para la Información y Tecnologías).• CISA Review Manual 2003 de ISACA.• Information Systems Control and Audit, Ron Weber, Prestice Hall.• Real Decreto 195/2000 de 11 de febrero por el que se establece el

plazo para implementar las Medidas de Seguridad de los Ficheros Automatizados previstas por el Reglamento aprobado por el R.D. 994/1999 de 11 de junio.

8. Bibliografía

NcN2003NcN2003


Auditoría Informática Auditoría Informática BalearBalear

www.auditoriabalear.comwww.auditoriabalear.comNcN2003NcN2003

Iván Guardia HernándezRamón de la Iglesia Vidal

COPYRIGHT ® 2003 derechos de modificación reservados.

Reglamento de Medidas de Seguridad según COBIT y UNE- ISO/IEC 17799 Ramón de la Iglesia Vidal...

Documents

Transcript of Reglamento de Medidas de Seguridad según COBIT y UNE- ISO/IEC 17799 Ramón de la Iglesia Vidal...