ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA

Apuntes 24 de febrero de 2010

Organización de la Seguridad Informática

Responsable de la seguridad Informática:

• Gerente general, mandato de Junta Directiva y socios.
• Gerente, director, jefe del área de sistemas o de informática
• CISO (Chief Security Officer’s), CSO (Chief Security Officer’s), aparecen en grandes empresas, es la persona encargada con las actividades relacionadas con la administración de seguridad informática, se encarga de seleccionar mecanismos y herramientas de seguridad y el desarrollo de políticas de seguridad.
• Dependencia del área del SI: La constituyen Sistemas/Informática en un 70%, Seguridad, administrativa/recursos humanos, auditoría control interno, jurídico/legal, Alta gerencia en cuanto a la aprobación de la planeación, riesgos, asesores, puede tener asesoría externa, casa matriz/oficina central.

Estructura del área de SGSI

• En las organizaciones empresas grandes: 20-30 personas, varias secciones
• En organizaciones medianas: 5 a 10 personas, máximo dos secciones
• En organizaciones pequeñas: 1 o 2 personas, sin secciones.

Roles funciones y responsabilidades

• Definir: Políticas, procedimientos y guías. Realizar análisis de riegos.
• Construir: Diseña arquitecturas de seguridad, crea, instala herramientas o controles de seguridad
• Administrar: Opera y administra herramientas o controles de seguridad.
• CISO
• Consultores/Ingenieros de Seguridad
• Administradores, herramientas de seguridad
• Operadores herramientas de seguridad
• Verificadores oficiales de cumplimiento
• Investigadores de cómputo forense.

Políticas de seguridad Informática

• Establecen directrices/reglas de seguridad de la información de la empresa (cumplimiento/castigo)
• Son emitidas y aprobadas por la alta dirección
• Son un medio para generar cultura de seguridad informática y concientización
• Establece las responsabilidades y marco de acción de los empleados y terceros en relación con los activos informáticos.
• En algunos empleados generan percepción negativa ya que las consideran como pérdida de tiempo o productividad, restringen y ponen trabas en los procesos.
• Ideal que el número de políticas no supere las 20 para facilitar el entendimiento y la recordación.
• En un grupo de documentos definidos en una jerarquía (varios niveles) políticas, estándares, guías y procedimientos.

GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

Apuntes 19 de febrero de 2010

GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

Iniciación del proyecto	Asegurar el compromiso de la dirección
Definición del SGSI	Identificar el alcance y los límites del marco de dirección de seguridad
Evaluación de riesgos	Realizar el inventario y evaluar el activo a proteger Identificar y evaluar amenazas y vulnerabilidades Calcular el valor de riesgos asociados
Administración de riesgos	Encontrar como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo aceptable.
Entrenamiento y concientización	Los empleados pueden ser el eslabón más débil en la seguridad de la información en la organización. Se debe establecer un programa de concientización de la seguridad de la información.
Preparación para la auditoría	Aprender a manejar el marco de seguridad y que se debe hacer antes de traerá un auditor externo para la certificación ISO 27001:2005.
Auditoría	Aprender más sobre los pasos realizados para auditores externos y averiguar sobre los cuerpos de certificación acreditados ISO 27001:2005.
Control y mejora continua	Aprender a mejorar la eficiencia del SGSI conforme al modelo de Administración reconocido por la ISO.

ISO 27001 – ISO 27002

Apuntes 17 de febrero de 2010

ISO 27001 – ISO 27002

• ISO 27001 Norma certificable. Requisitos SGSI
• ISO 27002 Controles

ISO/IEC 27000 Alineadas con las normas ISO 9000, no son normas técnicas, son el debe orientado al proceso no al producto.

ISO7/IEC 27001 Sistema de gestión de la seguridad de la Información (SGI) requisitos. Establece los requisitos para un sistema de seguridad de la información certificable.

• Basados en proceso (PHVA)
• Documentos obligatorios
• Define 39 objetivos y 133 controles (Anexo A).
• Se implementa de acuerdo al análisis de riesgos.

Ciclo Deming

PHVA

• P Planificar: Establecer el Sistema de Gestión de Seguridad de la Información
• H Hacer: Implementar y operar el Sistema de Gestión de Seguridad de la Información
• V Verificar: Hacer seguimiento y revisar el Sistema de Gestión de Seguridad de la Información
• A Actuar: Mantener y mejorar el Sistema de Gestión de Seguridad de la Información

Estructura de la ISO 27001

• Clausulas globales: aquellas que cubren todo el SGSI.
• Clausulas locales: Dan pautas puntuales SGSI, requisitos (generales, documentación, responsabilidad de la dirección, compromiso, gestión de recursos).

Manual de seguridad

Alcance:

• Cubre captación de recursos, cubrimiento de procesos
• Responsabilidad de la dirección
• Auditorías del SGSI
• Formación de auditores internos

Capítulos a tener en cuenta:

Capítulo 7:

• Revisión por parte de la gerencia
• Recibir indicadores métricos

Capítulo 8:

• Mejora del SGSI
• Acciones correctivas, acciones preventivas.

Documentos exigidos:

Documentos exigidos
Manual de seguridad	Clausula 4.3.1 Alcance SGSI, políticas de seguridad, metodologías, análisis de riesgos, descripción, procesos, quien hace qué y cuando.
Procedimientos	Descripción, procesos, ¿quien hace que y cuando?Análisis de riesgos: Identificación de amenazas Identificación de riesgos Identificación de controles
Instrucciones de trabajo	Cómo se realizan las tareas y las actividades específicas.
Documentos varios	Proporcionan evidencia, información del SGI.

ISO 27002 (Dominios I)

• Políticas de seguridad
• Aspectos organizacionales de la seguridad
• Gestión de activos
• Seguridad recursos: humanos, ingeniería social.
• Seguridad física y ambiental
• Gestión de operaciones y comunicaciones
• Control de acceso
• Adquisición, desarrollo y mantenimiento de sistemas de información
• Gestión de incidentes de seguridad
• Gestión de la continuidad del proceso
• Cumplimiento

Dominio

· Objetivode Control

o Control(es)

§ Características control(es)

SEGURIDAD INFORMÁTICA

Apuntes del 12 de febrero de 2010

SEGURIDAD INFORMÁTICA

Estados de la información:

• Transmisión
• Almacenamiento
• Proceso

Medidas de seguridad

• Tecnología
• Normas
• Formación y cultura

Características de la información

• Confidencialidad
• Integridad
• Disponibilidad

La seguridad no es un producto es un proceso proactivo que requiere un análisis de riesgos, no reactivo. La seguridad es un proceso continúo. Para ello se requiere gestionar la información por medio de un SGSI.

Gestión: realización de actividades coordinadas para dirigir y controlar para lograr un objetivo determinado. Planificar, organizar, dirigir y controlar.

Gestión de seguridad informática:

Realización de actividades necesarias para organizar los niveles de seguridad en una organización.

MODELOS DE  GESTION DE SEGURIDAD INFORMÁTICA

Familia de Normas ISO 27000

NIST Instituto Nacional de Normas y Tecnología

NIST 800-12

• 800-18
• 800-30
• 800-34
• 800-53
• 800-100
• 800-115

ISO/IEC

• 27000   Vocabulario, estándar
• 27001   Certificación que debes tener las organizaciones
• 27002   Código de buenas prácticas (133) controles
• 27003   Directrices
• 27004   Indicadores de gestión
• 27005  Análisis de riesgos (metodología)

CONTROLES

Apuntes 10 de febrero de 2010

CONTROLES

• Mecanismos de seguridad
• Herramientas de seguridad
• Salvaguardia/contramedidas

Controles de seguridad informática

Son políticas, procedimientos, prácticas, herramientas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo determinado.

Clasificación controles o mecanismos

Forma como se implementan o funcionan

Preventivos: Aumentan la seguridad de un sistema, evitan ocurrencia de sucesos indeseados. Encripción, contraseñas, firewall.

Detección: Identificar y reportar sucesos indeseados después de ocurrir. Auditorías, IDS (sistemas de detección de intrusos), cifras de control (Hash, algoritmos que ayudan a detectar si un archivo ha sido modificado).

Recuperación: restaurar los recursos perdidos y retomar a la normalidad. Planes de continuidad, copias de respaldo.

Clasificación controles o mecanismos (De acuerdo a su clase o tipo)

• Gerencial: Ejercidos y establecidos por la alta gerencia, incluyen políticas de seguridad, análisis de riesgos.
• Administrativa u operacional: hacen parte de los procesos de la organización. Auditorías de seguridad, procedimientos de backup, clasificación de la información.
• Técnico: basado en el uso de software y hardware. Firewall, antivirus, IDS, biométricos.

Norma NIST 800-53

• 3 clases
• 17 familias
• 163 controles

Norma ISO 27001:2005

• 11 dominios
• 133 controles

DOCUMENTO ELECTRÓNICO

Apuntes 5 de febrero de 2010

Definición del documento electrónico

Es aquel que requiere de una máquina para que funciones de forma analógica o digital, para poder ser reproducido o visualizado.

Documento informático digital: documento codificado binariamente y necesita de un computador para ser visualizado.

Documento telemático: es trasmitido a través de un sistema electrónico.

Niveles del documento:

• Nivel conceptual: Gráfico, video, documento.
• Nivel lógico: Tiene un formato .jpg, .tiff, se refiere a las características técnicas por el cuál va a ser visualizado.
• Nivel físico: contenedor del documento, DVD, HD, FLASH.

Características del documento:

• Auténtico: Identificar su creador.
• Íntegro: Sólo puede ser modificado por el proceso o usuario autorizado.
• Capturable: Pueda ser creado, diseñado.
• Clasificado: Pueda tener metadatos.
• Localizable: tiene un identificador único.
• Conservable: preservar durante el tiempo, asociado al medio que lo contenga.

Estas características deben ser conservadas por el sistema de seguridad de información.

Ataques externos internos a los recursos:

• Caída de los sistemas/servicios
• Fraudes
• Robo de información confidencial
• Pérdida de confidencialidad
• Pérdida de productividad
• Pérdida de confianza de los clientes

Principios de la Seguridad Informática

• Cualquier sistema de seguridad debe proteger las tres dimensiones del documento (nivel lógico, conceptual y físico.
• Conservar las características del documento electrónico.

Principios:

• Confidencialidad: sólo usuarios autorizados.
• Integridad: ser refiere a que la información permanece completa, fiable y no sufre modificaciones no autorizadas.
• Disponibilidad: Información accesible cuando y cómo se requiera.

Triada DAD (Evitar que suceda)

• Divulgación: información accesible para usuarios no autorizados.
• Alteración: Información no completa, ni fiable, sufre modificaciones no autorizadas.
• Denegación: La información no es accesible cuando y cómo se requiera.

Servicios de la Seguridad Informática

• A Autenticación: garantizar la identidad de quien solicita acceso a los recursos, se pueden utilizar dispositivos biométricos.
• A Autorización: El acceso solo se da a usuarios que reúnen los permisos necesarios. Se requiere de perfiles de usuario.
• N No repudio: La información de una actividad corresponde a quien participa en  el mismo, no podrá negar su  intervención. No existe manera de negar la actuación (crear, modificar) se utilizan firmas digitales
• A Auditabilidad: La actividades de los procesos o usuarios es monitoreada y registrada. Uso de logs, con el fin de establecer responsabilidades.

¿Qué se intenta proteger?

• Hardware: PC’s, servidores equipos de almacenamiento
• Software: Librería de programas, código fuente, sw propietario, utilitario, sistemas operativos.
• Datos (información): bases de datos, archivos de usuario, de contraseñas, logs.

Se intenta proteger lo que se ve hardware, antenas, lo físico, lo intangible (información).

¿De qué protegernos?

• Personas: empleados, retirados exempleados, curiosos, competencia, hackers.
• Amenazas lógicas: software malicioso, bugs o agujeros, virus.
• Catástrofes: inundaciones, incendios, huracanes, terremotos.