Curso: Especializacin en Auditoria de

Sistemas y Seguridad de la Informacin

ISO/IEC-27001 ISO/IEC - 27002

Elaborado por: J.C. Pacheco

jcpacheco@computer.org

SEGURIDAD DE LA

INFORMACIN

Mdulo 1: Sesin N1

jcpacheco@computer.org

AGENDA

1. La Seguridad, Conceptos y definiciones

2. Seguridad Informtica vs Seguridad de la Informacin

3. Riesgos: Conceptos y definiciones

4. Relacin entre seguridad y riesgo

5. Componentes del riesgo.

6. Qu es un modelo de gestin de la seguridad

26/08/2011 3

jcpacheco@computer.org

Seguridad: Conceptos y definiciones

1. Cualidad de seguro. (Libre y exento de todo peligro, dao o riesgo)

2. Certeza

(conocimiento cierto y claro de algo).

Segn el RAE

26/08/2011 4

jcpacheco@computer.org

Seguridad: Conceptos y definiciones Requerimientos de

Seguridad

Confidencialidad Integridad Disponibilidad

Poltica de Seguridad

Qu est y Qu NO est

permitido.

Mecanismos de Seguridad

Refuerza la poltica Meta: Nunca en

estado no permitido

Aseguramiento de Seguridad

Requerimientos vs Necesidades

Polticas vs Requerimientos

Mecanismos vs Polticas

Depende

de

26/08/2011 5

jcpacheco@computer.org

Seguridad, Conceptos y definiciones

SISTEMA

Deja hacer

acciones no

permitidas

Deja hacer

solo acciones

permitidas

INSEGURO SEGURO

Componente HUMANO:

Conocer y comprender principios de seguridad

Cmo esos principios se aplican en una situacin dada

Cmo definir requerimientos y su poltica adecuada

Cmo utilizar la tecnologa para implementar la poltica

Sin personas que

logren esto

NO HABR

SISTEMA SEGURO

26/08/2011 6

jcpacheco@computer.org

Seguridad de la Informacin vs Seguridad Informtica

Seguridad de la Informacin

Informacin documental y biolgica

Procesos de Negocio

Polticas Anlisis de

Riesgos

Informacin en computadoras

Procesos informticos

Mecanismos y Procedimientos

Seguridad Informtica

26/08/2011 7

jcpacheco@computer.org

Riesgo: Conceptos y definiciones

(Del it. risico o rischio, y este del r. cls. rizq,

lo que depara la providencia). (RAE)

1. m. Contingencia o proximidad de un dao.

(RAE)

2. m. Cada una de las contingencias que

pueden ser objeto de un contrato de seguro.

(RAE)

Dao potencial que puede surgir por un

proceso presente o evento futuro. (Wikipedia)

Evento o situacin incierta, que de suceder,

tiene un efecto en los objetivos del proyecto

(PMBOK)

Riesgo

26/08/2011 8

jcpacheco@computer.org

9

La exposicin a la posibilidad de

ocurrencia de ciertas cosas tales

como prdida o ganancia

econmica, dao fsico, retrasos,

dao a la salud pblica, etc. que

surgen como consecuencia de

seguir un curso particular de

accin. (Aduanas de Chile)

Posibilidad de que se produzca

un impacto dado en la

organizacin (Magerit)

Riesgo: otras definiciones

26/08/2011

jcpacheco@computer.org

Riesgos, Conceptos y definiciones

Amenaza Vs Riesgo

Amenaza es:

I. Todo lo que tenga probabilidad de ocurrir, causando dao. (Wikipedia)

II. Causa potencial de un incidente no deseado, el que puede ocasionar un dao al sistema o a la organizacin (ISO27000)

Riesgo es:

I. Efecto de la incertidumbre sobre los objetivos (ISO31000)

II. El resultado de la posibilidad de una amenaza explotando la vulnerabilidad de un activo. (ISO27000)

Sin la ocurrencia de amenazas el riesgo sera cero.

Tomado de:

www.scienceinthebox.com/es_ES/safety/pic

/risk_assessment.jpg

26/08/2011 10

jcpacheco@computer.org

11

Situaciones inciertas, no controlables, no

previstas (amenazas).

Deficiencias en los

procesos o en la

gestin. (vulnerabili

dades).

Activos de

la organizacin

Impacto como

resultado del riesgo

Elementos del riesgo

RIESGO

26/08/2011

jcpacheco@computer.org

Consecuencias probables de un riesgo

Naturaleza

Indica los problemas probables

P.E. Interfaz mal definida para el HW (riesgo tcnico)

Alcance

Combina la severidad (cun serio es el problema?)

Con su distribucin general (que proporcin del proceso o de la organizacin se afecta?)

Cuando ocurre

Cundo y por cunto tiempo se dejar sentir el impacto

26/08/2011 12

jcpacheco@computer.org

13

Resumiendo.

La Amenaza

El Impacto del

Riesgo

Estrategia de

Mitigacin

El Riesgo es

posibilidad de la

destruccin de

la casa

La

Vulnerabilidad

El Activo

26/08/2011

jcpacheco@computer.org

Relacin entre seguridad y riesgo

Riesgo Seguridad

26/08/2011 14

jcpacheco@computer.org

Modelo de gestin de la seguridad Modelo:

(Del it. modello).

1. m. Arquetipo o punto de referencia para imitarlo o reproducirlo. Representacin en pequeo de algo.

2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar.

3. m. Esquema terico, generalmente en forma matemtica, de un sistema o de una realidad compleja

Gestin (Del it. gesio).

1. Accin o efecto de gestionar o administrar

2. m. En las obras de ingenio y en las acciones morales, ejemplar que por su perfeccin se debe seguir e imitar.

Concrecin de acciones para el logro de un objetivo

Entonces, Modelo de Gestin de la Seguridad es el entorno o marco de referencia para la

administracin de la SEGURIDAD en una organizacin

26/08/2011 15

jcpacheco@computer.org

Gestin de la seguridad: ISO27000

.en el tiempo

26/08/2011 16

jcpacheco@computer.org

ISO27000: La Familia: Publicadas

Descripcin Cdigo del estndar

Gestin de la seguridad de la Informacin: Overview ISO/IEC 27000:2009

Sistema de Gestin de la informacin de seguridad ISO/IEC 27001:2005

Cdigo de buenas prcticas para GSI (ISO17799) ISO/IEC 27002:2007

Gua para la implementacin del SGSI ISO/IEC 27003:2010

Mtricas para la gestin de seguridad ISO/IEC 27004:2009

Gestin de riesgos en SI ISO/IEC 27005:2008

Requisitos para los organismos de acreditacin de SGSI ISO/IEC 27006:2007

Gua para la GSI en Telecomunicaciones c/ISO/IEC 27002 ISO/IEC 27011:2008

Gua para habilitar las TIC para la Continuidad de Negocio ISO/IEC 27031:2011

Conceptos y revisin general de Seguridad en Redes ISO/IEC 27033-1:2009

GSI en el sector salud utilizando ISO/IEC27002 ISO 27799:2008

26/08/2011 17

jcpacheco@computer.org

ISO27000: La Familia: en Desarrollo

Descripcin Cdigo del

estndar

Gua para la Auditoria de un SGSI (foco en el sistema de gestin) ISO/IEC 27007

Gua para auditores de los controles del SGSI (foco en los controles de seguridad

de la informacin) ISO/IEC 27008

Gua para la implementacin integrada de ISO/IEC 20000-1 and ISO/IEC 27001 ISO/IEC 27013

Marco de referencia para el gobierno de seguridad de informacin ISO/IEC 27014

Gua para la Gestin de SI en los sectores financiero y seguros ISO/IEC 27015

Gua para la seguridad en Internet (del buen vecino en Internet) ISO/IEC 27032

Seguridad en redes de TI (basado en ISO/IEC 18028:2006 . Parte 1 ya pubicada) ISO/IEC 27033

Gua para la seguridad de aplicaciones ISO/IEC 27034

Gestin de Incidentes de Seguridad ISO/IEC 27035

Gua para la seguridad con Terceros (outsourcing) ISO/IEC 27036

Gua para la identificacin, recoleccin, y/o adquisicin y preservacin de evidencia

digital. ISO/IEC 27037

26/08/2011 18

jcpacheco@computer.org

ISO27005: Gestin del Riesgo en SI

Establecimiento del Contexto

Evaluacin del Riesgo

Tratamiento del Riesgo

Aceptacin del Riesgo

Comunicacin del riesgo y plan de tratamiento

Monitoreo y Revisin del

Riesgo

26/08/2011 19

jcpacheco@computer.org

Monitorear SGSI

Revisa y evala el desempeo (eficiencia y eficacia) del SGSI.

Mejorar el SGSI Realiza los cambios

necesarios para llevar al SGSI a mximo rendimiento.

Implementar y Operar el SGSI

Envuelve la implantacin y operacin de los controles.

Establecer el SGSI,

Declaracin de Aplicabilidad

Evaluacin de riesgos de los activos de la informacin

Seleccin de controles adecuados.

Plan (planificar)

Do (hacer)

Check (controlar)

Act

(actuar)

Gestin de la seguridad: ISO27001

26/08/2011 20

jcpacheco@computer.org

ISO27000: en Cifras al 2009

0

20

40

60

80

100

120

2008 2009

82

117

Nro. Pases solicitantes

2008

2009

0

2000

4000

6000

8000

10000

12000

14000

2008 2009

9246

12934

Nro. Certificados 27001 emitidos

2008

2009

Fuente: www.iso.org

26/08/2011 21

jcpacheco@computer.org

Gestin de la seguridad: SOGP del ISF

INSTALACIONES DE TI

SD Desarrollo

de

Sistemas

CB Aplicaciones

de Negocio

Crticas

SM Gestin de

Seguridad

NW Redes

UE Ambiente

de Usuario

Final

CI Ambiente

de

Cmputo

El Estndar de Buenas Prcticas (SoGP)

del Foro de Seguridad de Informacin

(ISF) es una referencia prctica sobre

seguridad de la informacin y temas

relacionados con los riesgos de

informacin; con un enfoque de negocios.

Est alineado con los principales

estndares como ITIL, CMM,

ISO20000, ISO9001, ISO/IEC2700x,

NIST, PCI DSS e informacin general de

conceptos de gobierno de la seguridad.

Se complementa con la experiencia

recogida por el ISF durante la realizacin

de sus proyectos.

26/08/2011 22

jcpacheco@computer.org

SOGP del ISF: Aspectos principales 1. Cumplimiento de estndares.

i. SOGP como herramienta que apoya la

certificacin ISO27001. Alineada a toda la

familia ISO2700, incluyendo: la 27014

(gobernanza de seguridad) y 27036 (Terceros

externos)

ii. Incluye tpicos como : Delitos Informticos

(Cibercrime), Computacin en la Red (Cloud

Computing) y Seguridad en dispositivos

mviles.

iii. Proporciona informacin detallada y propone

controles para Infraestructura Crtica y Acceso

Inalmbrico.

iv. Es una herramienta para habilitar el

cumplimiento de los estndares COBIT y PCI

DSS.

26/08/2011 23

jcpacheco@computer.org

SOGP del ISF: Aspectos principales

2. Validacin de proveedores

i. Asegura que los requerimientos de

seguridad de la informacin sean las

premisas para trabajar con terceros.

ii. Sirven como base para la comprensin y

evaluacin del nivel de seguridad de la

informacin implementada por los

proveedores

iii. Asegura que la cadena de suministro

est sujeta a un nivel de seguridad de la

informacin que puede responder a los

riesgos.

26/08/2011 24

jcpacheco@computer.org

SOGP del ISF: Aspectos principales

3. Evaluacin de Riesgos

i. La evaluacin de riesgos ayuda a

reducir la frecuencia e impacto de los

incidentes de seguridad, y mejora la

seguridad de la informacin

ii. SOGP complementa a cualquier

metodologa de evaluacin de riesgos

que se utilice, incluyendo la

metodologa de anlisis de riesgos de la

informacin de ISF (IRAM)

iii. Ofrece 50 tipos de amenazas y los

controles potenciales para aplicacin

26/08/2011 25

jcpacheco@computer.org

SOGP del ISF: Aspectos principales

4. Polticas, Controles y Procedimientos

i. Puede ser adoptado como base de una

poltica de seguridad de la informacin

general.

ii. Es una herramienta efectiva para la

identificacin de brecha existentes en la

poltica, los controles y procedimientos de

seguridad de la informacin, entre lo que

tenemos y lo que queremos ser.

iii. Reduce el esfuerzo necesario en una

organizacin para la implementacin de un

SGSI

26/08/2011 26

jcpacheco@computer.org

SOGP del ISF: Aspectos principales 5. Toma de conciencia

i. Contiene tpicos especficos que ayudarn al

mejoramiento de la toma de conciencia en

seguridad y soportarn actividades

correspondientes dentro de la organizacin.

ii. Dirige cmo se podra aplicar la seguridad de la

informacin en un ambiente local, lo que

representa una actividad de concientizacin en

seguridad.

iii. Lograr que la organizacin tome conciencia del

rol de la seguridad de la informacin, de manera

consistente a travs de la propia organizacin

generar altos niveles de proteccin y evitar

potenciales daos costosos para la reputacin de

la organizacin.

26/08/2011 27

jcpacheco@computer.org

SOGP del ISF: Aspectos principales

i. SOGP est integrada con la herramienta

de Benchmarking de ISF, lo que

proporciona una base para la realizacin

de una evaluacin, detallada o de alto

nivel, de las fortalezas de los controles de

seguridad de la informacin a lo largo y

ancho de la organizacin.

ii. Ayuda a mejorar la gestin de los

ejecutivos y la confianza de los

interesados, por la capacidad de anlisis

objetivos del nivel real de seguridad

6. Evaluacin de la seguridad de la Informacin

26/08/2011 28

jcpacheco@computer.org

SOGP del ISF: Aspectos principales

i. SOGP se constituye en una completa

herramienta de referencia para atender a

nuevos requerimientos de seguridad de la

informacin o a la mejora de los controles

existentes.

ii. EL estar basado en tpicos intuitivos de

seguridad permiten versatilidad en su

aplicacin.

iii. Evitar tener que identificar controles desde

cero, ahorrando costo y tiempo

7. Mejora de la seguridad

26/08/2011 29

jcpacheco@computer.org

Gestin de la seguridad: ISM3 Modelo de Madurez de la Gestin de la Seguridad de la Informacin

(Information Security Management Maturity Model)

Especificar, Implementar, Operar y Evaluar SGSIs

Aplicable a cualquier organizacin independientemente de su tamao y giro

Ayuda a mejorar los sistemas ISM de la organizacin, resaltando diferencias entre el nivel actual y el nivel deseado de madurez

Evala cuantitativamente la madurez del SGSI de una organizacin y su ambiente de control de seguridad de la informacin

til como gua para priorizar inversiones. Comparando los objetivos de seguridad y los objetivos de madurez.

26/08/2011 30

jcpacheco@computer.org

Gestin de la seguridad: ISM3

Mode

lo d

e G

SI

Modelo Organizativo

Modelo de Seguridad Contextual

Modelo de Sistemas

de Informacin

Estratgico Tctico Operativo

Pro

ce

sos IS

M Nivel de Madurez

ISM3-0: existe riesgo, inversin impredecible

ISM3-1: Reduccin de riesgo, inversin mnima

ISM3-2: Mayor reduccin de riesgo, inversin moderada

ISM3-3: Alta reduccin de riesgo tcnico, inversin seria

ISM3-4: Alta reduccin de riesgo tcnico e interno, inversin seria

MODELO

ORIENTADO

AL PROCESO

26/08/2011 31

jcpacheco@computer.org

Gestin de la seguridad: ISM3 Sentido Comn

Polticas Procedimientos

Buenas Prcticas

Contraseas nico Acceso

Lecciones de

Incidentes

Mejorar el firewall

Mejorar el Antivirus

Especfico Anlisis

de riesgos

OCTAVE Magerit

Segn Cliente

Personal del proyecto A no tenga acceso al proyecto B

Para elegir un

Control

MODELO FLEXIBLE,

SE ADAPTA AL

NEGOCIO

26/08/2011 32

jcpacheco@computer.org

Information Security Management Maturity Model ("ISM3") est

construido con base en estndares como ITIL, ISO 20000, ISO

9001, CMM, ISO/IEC 27001, e informacin general de conceptos de

gobierno de la seguridad. Mientras que la ISO/IEC 27001 est basada

en controles. ISM3 basado en procesos, incluye mtricas de proceso.

Gestin de la seguridad: ISM3

26/08/2011 33

jcpacheco@computer.org

Modelo de gestin del riesgo

Controles Activos

Vulnerabilida

des

Riesgo

Amenazas Agente de

amenaza

Organizacin Pone valor

Aplica

Enfrenta

Reduce

Afecta

Desea apropiarse, abusar o daar

Explota

Provoca

Genera

26/08/2011 34

jcpacheco@computer.org

Roles y Responsabilidades en SGSI 26/08/2011 35

jcpacheco@computer.org

Implementacin y Certificacin de un SGSI

26/08/2011 36

Tomado de:

jcpacheco@computer.org

Consecuencias del Riesgo

Horas hombre perdidas por una brecha de seguridad?.

Equipos que no producen Prdida de productividad

Sitio WEB fuera por un incidente de seguridad?

Prdida de acceso a INTERNET? Prdida de ventas por fuera de servicio

Restaurar datos de un backup puede ser muy costoso.

Qu si se destruyen los backups? Prdida de Datos

Planes estratgicos revelados,

Informacin financiera sensible Compromiso de Datos por divulgacin o modificacin

Se podra necesitar comprar un nuevo equipo

Servicios de recuperacin de datos. Costos de reparacin

Hacer noticia como vctimas de una brecha de seguridad.

Fuga de clientes, etc Prdida de imagen

ROI como Reduccin del Riesgo.

ROI mide mejora esperada contra costo de la mejora. P.e. Reduccin en 50% de

riesgos, frente a comprar un FW

26/08/2011 37

jcpacheco@computer.org

Ejemplo de ataque: Phishing Ing. Social

Cliente de Banco de Credito Segun nuestros registros informaticos, hemos detectado recientemente que los accesos a su cuenta a traves de Banca en la Red han sido realizados desde diferentes direcciones IP. Esto seguramente se debe a que la direccion IP de su computador es dinamica y varia constantemente, o debido a que usted ha utilizado mas de un computador para acceder a su cuenta. Debido a este suceso y en cumplimiento con la nueva normativa vigente, hemos actualizado nuestros sistemas informaticos para brindar una mayor seguridad a nuestros clientes, por lo cual necesitaremos que ingrese en su cuenta y efectue una verificacion de su actividad reciente. Los procedimientos de seguridad requieren que usted verifique la actividad en su cuenta antes del 21 de AGOSTO del 2011.

Transcurrida esa fecha, el sistema informatico automatizado dara de baja su cuenta. Asi mismo le recordamos que este correo no es para verificar los datos de su tarjeta es solo para verificar la actividad, ya que no lo hacemos. De ante mano le agradecemos su cooperacion en este aspecto.

Para ingresar a su cuenta a traves de Banca en la Red y verificar la actividad de la misma, debe utilizar el siguiente enlace:

De: Banco de Credito

Fecha: 18 de agosto de 2011 13:14

Asunto: Estimado Cliente Verificacion Urgente

Para: *********@gmail.com

https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea

http://bcpzonasegura.viabcperu.in/bcp/ https://bcpzonasegura.viabcp.com/bcp/OperacionesEnLinea

26/08/2011 38

jcpacheco@computer.org

Ejemplos posibles ataques a una red

26/08/2011 39

jcpacheco@computer.org

Preguntas?

26/08/2011 40