2. Entendiendo un Modelo de Soluciones de
Seguridad en Informática
Estrategia Política Arquitectura Diseño Implementación
Cumplimiento Cumplimiento Mejorar Eficiencia Rendimiento Rendimiento
Regulaciones Regulaciones de Procesos Importancia Técnica Importancia
Reducir Riesgos Reducir Riesgos Reducir Costos Cumplimiento Técnica
Reducir Costos Limitar Exposición Administrativos Estándares Cumplimiento
Administrativos Legal Costo de Propiedad Herramientas Estándares
Mejorar Eficiencia Cumplimiento Uso de las Integradas Herramientas
de Procesos Personas Tecnologías Licenciamiento Integradas
Asegurar Propiedad Observancia y Cumplimiento Uso de las Uso de las
Intelectual Recurso Estándares Tecnologías Tecnologías
Asegurar Reglas Claras Administración Proceso de Proceso de
Información Consecuencias Integrada Actualización y Actualización y
Cliente Claras Proceso de Soporte Soporte
Defenderse Contra Línea Base Para Actualización y Facilidad de Uso Facilidad de Uso
Dsiputas Legales Reglamento Soporte Escalabilidad Escalabilidad
Retorno de la Retorno de la Flexibilidad Flexibilidad
Inversión Inversión Soporte Multi- Costo
Plataforma Licenciamiento
Negocio Técnico
2 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
3. Voces de la Industria
“ Muchas compañías de tecnología de información han desarrollado
tecnologías para manejar los retos de los negocios. Sin embargo, muchas
de esas tecnologías sólo atienden necesidades específicas dentro de todo
el ambiente de seguridad de la información. Pocas compañías tienen
desarrolladas tecnologías para integrar, fácilmente, con otras
tecnologías…para ayudar a proveer un más uniforme, más controlado y,
por tanto, más seguro ambiente operativo.”
Especialista en Seguridad, PricewaterhouseCoopers
3 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
4. El Modelo es la Aplicación de Estándares
Estándares
Políticas de Seguridad y Administración y Operación de
Seguridad Comunicaciones
Organizacional
Control de Acceso
Clasificación de Activos
y su Control
Desarrollo y Mantenimiento de
Personal de Seguridad Sistemas
Contingencia “Business Continuity”
Seguridad Física y
Ambiental
“Compliance” Cumplimiento de
Aspectos Legales, Técnicos y
Auditoría
4 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
5. Riesgos y Controles de Procesos
Riesgos: Son aquellos que pueden amenazar el logro del objetivo del
proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente,
oportunidad de mejoramiento)
Controles: Son políticas y procedimientos, implantados o no, que
proporcionan la seguridad de que los riesgos de negocio han sido
reducidos a un nivel aceptable.
RIESGOS ACTIVIDAD CONTROLES
Para identificar los Para identificar los
riesgos se clasifican controles se clasifican en:
en: •Informática
•De negocio •Atribuciones
•Financieros
•Procedimientos
•Operativos
•De cumplimiento •Documentación
•Fraude •Sistema de información
gerencial
5 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
6. Matriz de Evaluación de Riesgos
Probabilidad e Impacto del Riesgo (C) Riesgo Remanente (R)
CALIFICACION DEL RIESGO
P
R 3 Alto 3 C D 9
O R E
B I L
A 2 Medio 2 T
I
6
B R
C I
I
L 1 Bajo 1 I
D
E
S
3
I A G
D 1 2 3 D O
1 2 3
A IMPACTO EN LA SITUACION ACTUAL-
D ORGANIZACION CONTROL INTERNO
PROBABILIDAD DE IMPACTO EN LA SITUACION ACTUAL (SA)
OCURRENCIA (P.O) ORGANIZACIÓN (I) DEL CONTROL INTERNO
1 Es poco probable que ocurra 1 Sería de bajo impacto 1 Cubre en gran parte el riesgo
2 Es medianamente probable 2 Sería de mediano 2 Cubre medianamente el riesgo
que ocurra impacto 3 No existe ningún tipo de medida
3 Es altamente probable que 3 Sería de alto impacto
ocurra
6 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
7. El Estándar de Seguridad - ISO 17799
El estándar de seguridad ISO 17799 fue preparado por la British Standard
Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico
de la ISO en Diciembre del año 2000.
El estándar hace referencia a diez aspectos primordiales para la seguridad
informática.
Estos aspectos son: Planes de Contingencia, Control de Acceso a los
sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física,
Cumplimiento, Seguridad Personal, Seguridad de la Organización,
Administración de Operaciones, Control y Clasificación de la Información y
Políticas de Seguridad.
7 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
8. ESTANDAR ISO 17799 - Políticas
í
Polticas d e Segurid ad :
í
•D ocum ento d e la Poltica d e Segurid ad
•Revisión y Evaluación
Segurid ad O rganizacional
Políticas de Seguridad y
Seguridad •Infraestructura
Organizacional •Ente col egiad o d e Segurid ad Inform ática
•C oord inación d e Segurid ad Inform ática
•N om bram iento d e Responsabl d e SI
es
•Proceso d e autorización para oficinas d e SI
•Personal especial o en SI
izad
•C ooperación entre O rganizaciones
•Revisión ind epend iente d e SI
•Segurid ad d e Ingreso a Terceros
•Id entificación d e riesgos por Ingreso d e 3ros
•Requisitos en C ontratos con 3ros
•O utsourcing
•Requisitos en C ontratos d e O utsourcing
8 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
9. ESTANDAR ISO 17799 – Clasificación de Activos
Responsabilid ad por Activos
•Inventario d e Activos
C lasificación d e Inform ación
•G u ías d e C lasificación.
•M anipul ón y m arcación d e Inform ación
aci
Clasificación de Activos
y su Control
9 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
10. ESTANDAR ISO 17799 - Personal
D efinición d e Roles y Perfiles
•Incl l Segurid ad en l responsabilid ad d e rol
uir a a es
í
•Poltica d e perfil en funciones y cargos
es
•Acuerd os d e confid encial ad
id
•Térm inos y cond iciones d el contrato d e trabaj
o
Entrenam iento d e Usuarios
•Entrenam iento y Ed ucación en SI
Respuesta a Incid entes d e Segurid ad
y “M al
funcionam iento”
Personal de Seguridad
•Reportes d e Iincid entes d e Segurid ad
•D ebil ad es d e reportes d e Segurid ad
id
•Reportes d e “Mal funcionam iento” d e software
•Aprend iend o d e los incid entes
•Proceso D iscipl inario
10 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
11. ESTANDAR ISO 17799 – Seguridad Física
Areas Seguras
•Perm etro d e Segurid ad Física
í
í
•C ontrol d e entrad a fsica
es
•O ficinas d e Segurid ad
•Trabaj en áreas seguras
o
•Areas aisl as d e cargue y d escargue
ad
Equipos d e Segurid ad
•Ubicación y proteción d e Equipos
•Sum inistros d e potencia
•C abl os d e segurid ad
ead
•M antenim iento d e equipos
•Segurid ad d e equipos prem isas d e apagad o
•Reuso o d esecho d e equipos
Seguridad Física y
C ontroles Generales
Ambiental
í
•Poltica d e l pieza d e escritorios y pantall
im as
•M anipul ón d e Propied ad
aci
11 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
12. ESTANDAR ISO 17799 Administración
Proced im ientos d e O peraciones
•Proced im ientos d e operación d ocum entad os
•C ontrol d e cam bio d e operaciones
•Proced im ientos d e ad m inistración d e incid entes
•Segregación d e obl igaciones
•Separación d e áreas d e d esarrol y operaciones
lo
•Ad m inistración d e instal
aciones externas Administración de Operaciónes y
Comunicaciones
Planeación d e Sistem as
•“C apacity Planning” – Planeam iento d e capacid ad es
•Aceptación d el sistem a
Protección d e Software M al
icioso
•C ontrol d e software m al
icioso
“Housekeeping” – M antenim iento
•Back – Ups d e Inform ación
•Logs d e O peración
•Falas d e Logging
l
Ad m inistración d e Red
•C ontrol d e red
es
12 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
13. ESTANDAR ISO 17799 - Administración
M anipulación d e M ed ios y Segurid ad
•Ad m inistración d e m ed ios rem ovibles
•D eshecho d e m ed ios
•Proced im ientos d e ad m inistración d e inform ación
•Segurid ad d e la d ocum entación d el sistem a
• obligaciones
•Separación d e áreas d e d esarrol y operaciones
lo Administración de Operaciónes y
•Ad m inistración d e instalaciones externas Comunicaciones
Intercam bio d e Inform ación y d e
Software
•Acuerd os d e intercam bio d e software e inform ación
•Segurid ad d e m ed ios en tránsito
•Segurid ad d e C om ercio El ónico
ectr
•Segurid ad d e C orreo El ónico
ectr
•Segurid ad d e sistem as d e oficina electrónicos
•D isponibilid ad p úbl d e sistem as
ica
•O tras form as d e intercam bio d e inform ación
13 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
14. ESTANDAR ISO 17799 - Control de Acceso
Requerim ientos d e Negocios para
C ontrol d e Acceso
í
•Polticas d e C ontrol d e Acceso
•Ad m inistración d e Acceso d e
Usuarios Control de Acceso
•Registro d e Usuarios
•Ad m inistrración d e privil
egios
•Ad m inistración d e C onstrase ñas
•Revisión d e d erechos d e acceso d e usuarios
•Responsabilid ad d e Usuarios
•Util ón d e contrase ñas
izaci
•Equipo d e usuarios d esatend id os
14 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
15. ESTANDAR ISO 17799 – Control de Acceso
•C ontrol d e Acceso a Red
í
•Polticas d e uso d e servicios d e red
•Acceso reforzad o
•Autenticación d e usuarios en conexión externa
•Autenticación d e nod os
•D iagn óstico Rem oto d e Protección d e Puertos
•Segregación en red es
•C ontrol d e C onexión d e Red es
•C ontrol d e Enrutam iento d e Red es
•Segurid ad d e servicios d e red
Control de Acceso
C ontrol d e acceso a Sistem as
O perativos
•Id entificación autom ática d e term inal
es
•Proced im ientos d e Log-on a Term inales
•Id entificación y autenticación d e usuarios
•Sistem a d e ad m inistración d e contrase ñas
•Uso d e utilid ad es d el sistem a
•Al a para usuarios d e segurid ad
arm
•“Term inal Tim e-out” Lím ites d e tiem po a estaciones
15 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
16. ESTANDAR ISO 17799 – Control de Acceso
•C ontrol d e Acceso d e Aplicaciones
•Restricción d e Acceso a inform ación
•Aisl iento d e sistem as sensitivos
am
M onitoreo d e Uso y Acceso a
Sistem as
•Loggin por eventos
•Id entificación autom ática d e term inal
es Control de Acceso
•M onitoreo d e uso d el sistem a
•Sincronización d e rel oj
•C om putación M óvil y Tel
etrabaj
o
•C om putación M óvil
•Teletrabaj
o
16 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
17. ESTANDAR ISO 17799 – Desarrollo y Mantenimiento
•Requerim ientos d e Segurid ad d e
Sistem as
•Rquerim ientos, An ál y Especificaciones d e Segurid ad
isis
Segurid ad en Aplicaciones
•Val ación d e ingreso d e d atos
id
•C ontrol d e procesam iento
•Autenticación d e m ensaj es
•Val ación d e salid a d e d atos
id
•C ontroles d e Encripción Desarrollo y Mantenimiento de
•Poltica d e uso d e control d e encripción
í es Sistemas
•Encripción
•Firm as d igitales
•Servicios d e N o repud iación
•Ad m inistración d e cl
aves PKI
17 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
18. ESTANDAR ISO 17799 – Desarrollo y Mantenimiento
•Segurid ad d e Archivos
•C ontrol d e Sistem as O perativos
•Protección d e D atos
•C ontrol d e acceso a l í
ibrera d e program as
Segurid ad en Procesos d e D esarroll
o
y Soporte Desarrollo y Mantenimiento de
Sistemas
•Procesos d e control d e cam bios
•Revisión técnica al cam bio d e S.O .
•Restricciones en cam bios d e paquetes d e software
•C anales y cód igo “Trojan”
•D esarroll d e software en “ousorcing”
o
18 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
19. ESTANDAR ISO 17799 - Contingencia
•Ad m inistración d e la C ontingencia o
“Business C ontinuity M anagem ent”
•Procesos d e Ad m inistración d e C ontingencia
•C ontingencia y An ál d e Im pacto
isis
•Escritura e Im plem entación d e Planes d e C ontingencia
•M arco d e planeación d e l C ontingencia
a
•C hequeo, M antenim iento y Reasignación d e Planes d e
C ontingencia
Contingencia “Business Continuity”
19 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
20. ESTANDAR ISO 17799 - Cumplimiento
•C uplim iento d e Aspectos Legales
•Id entificación d e l l
a egisl ón aplicable
aci
•D erechos d e Propied ad Intel ectual
•Sal vaguard a d e Registros O rganizacionales
•Protección d e D atos y privacid ad d e inform ación personal
•Prevención d e ingreso a Ed ificios d e procesos d e Inform ación
•Regul ón d e control d e encripción
aci es
•O btención d e evid encias
•Revisión d e la Poltica d e Segurid ad
í
y su C um plim iento Técnico
•C um plim iento d e l poltica d e segurid ad
a í
•C hequeo d e cum pl iento técnico
im
í
•C osid eraciones d e Aud itora
í
•C ontrol d e aud itora d e sistem as
es
•Protección d e l herram ientas d e aud itora
as í
“Compliance” Cumplimiento de
Aspectos Legales, Técnicos y
Auditoría
20 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
21. Estándares de Seguridad - BS7799 / ISO 17799
OUTSOURCING :
Objetivo: Mantener la seguridad de la información cuando la
responsabilidad del procesamiento esta en manos de otra organización.
Las negociaciones de outsourcing deben tener definidos claramente en los
contratos suscritos, los riesgos, los controles de seguridad y los
procedimientos para los sistemas de información que se encuentren dentro
de los procesos que estarán en manos de la organización proveedora del
outsourcing.
21 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
22. Estándares de Seguridad - BS7799 / ISO 17799
SEGURIDAD EN CONEXIONES CON TERCEROS:
Objetivo: Mantener la seguridad de la información de la organización que es
accesada por terceros.
El acceso a la información de la organización por parte de terceros debe ser
controlado.
Se debe hacer un análisis de riesgos para determinar las implicaciones en
seguridad y los requerimientos de control. Los controles que se definan
deben ser definidos en el contrato que se firme con el tercero.
22 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
23. Estándares de Seguridad - BS7799 / ISO 17799
POLITICA DE SEGURIDAD INFORMATICA:
Objetivo: Proveer directrices a la administración y soporte para la seguridad
de la información.
La administración debe ser capaz de definir la dirección de las políticas de
Seguridad de la información. Además debe establecer un claro y firme
compromiso con estas políticas y divulgarlas a través de toda la
organización.
23 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera
24. Estándares de Seguridad BS7799 / ISO 17799
POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UN
ESTANDAR DE SEGURIDAD?
Certificaciones ISO.
Si la empresa está sometida a un proceso de compra/venta, alianza
estratégica o hace parte de una cadena de valor B2B.
Renegociación de primas y reaseguros.
PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.
24 ACIS – 2002 – Estándares de Seguridad Informática – Fernando
Jaramillo Aguilera