1 SecurityManagementPractices

Buenos Aires, AR <location>
<Month, YYYY> February 2003
Certified Inform ation System s Security Professional Buenos Aires Bootcam p

Donald R. Glass CISSP, CISA, CCNA, MCSE, MCSE+I, CNE
Donald R. Glass - Proprietary
CISSP Bootcamp
Buenos Aires, AR August 2003
Agenda
Security Management Practices
Conceptos Generales El Proceso de Clasificacin de la Informacin Implantacin de Polticas de Seguridad Roles y Responsabilidades Administracin del Riesgo El proceso de Concientizacin en Seguridad Informtica InfoSec Awareness Administracin y Control de Cambios Polticas y Prcticas de Empleo
Donald R. Glass - Proprietary 2
Conceptos Generales
CISSP Bootcamp
Security Management Practices

The BIG three
Confidencialidad Integridad Disponibilidad
Otros conceptos
Identificacin Autenticacin Autorizacin Responsabilidad (accountability) Privacidad Non-repudiation (validacin de identidad)
Controles de InfoSec
CISSP Bootcamp
The BIG three

Confidencialidad La informacin debe ser accedida solo por personal autorizado. Prevenir el acceso no autorizado a informacin o datos.
CISSP Bootcamp
The BIG three

Integridad Toda modificacin a datos o informacin es realizada por personas autorizadas utilizando procedimientos autorizados. Adicionalmente, los datos/ informacin deben ser consistentes, tanto en forma interna como externa.
Interna: la informacin es consistente con aquella definida en todas las sub-entidades existentes. Externa: la informacin es consistente con el mundo real .
CISSP Bootcamp
The BIG three

Disponibilidad La informacin y datos se encuentran disponibles cuando se necesitan.
CISSP Bootcamp
The BIG three

El opuesto a las BIG three es: Revelacin (disclosure) Modificacin (alteration) Destruccin (detruction)
CISSP Bootcamp
Otros conceptos
Identificacin Forma en la cual los usuarios comunican su identidad a un sistema. Identificacin es un paso necesario para lograr la autenticacin y autorizacin. Autenticacin Es el proceso por el cual se prueba que la informacin de identificacin corresponde con el sujeto que la presenta.
CISSP Bootcamp
Otros conceptos
Autorizacin Derechos y permisos otorgados a un individuo (o proceso) que le permite acceder a un recurso del sistema/ computadora. El proceso de Autorizacin se realiza una vez que se ha logrado la Identificacin y Autenticacin del usuario.
10
CISSP Bootcamp
Otros conceptos
Responsabilidad (accountability) Habilidad para determinar las acciones individuales de un usuario dentro de un sistema, y para identificar a dicho usuario. Usualmente este principio esta soportado por logs de auditora. Privacidad Determina el nivel de confidencialidad y proteccin de privacidad que se le brinda a un usuario dentro de un sistema.
11
CISSP Bootcamp
Otros conceptos
Non-Repudiation (Validacin de identidad) La utilizacin de elementos de informacin nica permite validar la autenticidad de una persona (tales como rasgos fisiolgicos, certificados de autenticidad, etc.)
12
CISSP Bootcamp
Controles de InfoSec
Reduccin de los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa. Estos controles pueden ser: Preventivos Detectivos Correctivos
13
CISSP Bootcamp
Controles de Infosec
Costo de la Amenaza vs. Probabilidad de Ocurrencia
6 Costo de la Amenaza 5 4 3 2 1 0 1 2 3 4 5 Probabilidad de Ocurrencia
14
El Proceso de Clasificacin de la Informacin
15
CISSP Bootcamp
Clasificacin de la Informacin
Justificacin: No todos los datos/ informacin tienen el mismo valor. No todo el mundo debe acceder a todos los datos/ informacin. El costo asociado a la implantacin de controles de seguridad para la proteccin de los datos/ informacin puede ser elevado.
16
CISSP Bootcamp
Beneficios: Demuestra el compromiso de una organizacin hacia la seguridad informtica. Permite identificar que informacin/ datos son los ms importantes para la organizacin. Soporta los conceptos de confidencialidad, integridad y disponibilidad relacionados con los datos/ informacin.
17
CISSP Bootcamp
Beneficios: Ayuda a identificar que controles corresponden a qu datos/ informacin. Podra ser requerido por aspectos legales, regulatorios u otros.
18
CISSP Bootcamp
De uso pblico. Este tipo de informacin no presenta riesgos de prdida de confidencialidad. Por ejemplo: web site. Solo para uso interno. Informacin tctica necesaria para el manejo interno de la compaa (en cualquier nivel jerrquico) pero que no debe ser accedida por entes externos a la organizacin. Ejemplo: lista de clientes, costos de productos/ servicios, etc.
CISSP Bootcamp
Confidencial. Informacin estratgica de la compaia, el acceso a la misma se logra solo si existe la necesidad de conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo e Investigacin, informacin de adquisiciones y ventas a nivel corporativo, etc.
20
CISSP Bootcamp
Criterio de Clasificacin de la Informacin

Valor. Es valiosa esta informacin para m o mis competidores? Edad Sigue esta informacin teniendo validez? Vida til. Sigue siendo de aplicabilidad esta informacin? Asociacin con personas A quin se asocia esta informacin?
CISSP Bootcamp
Proceso de Clasificacin de la Informacin

Identificacin del Administrador/ Custodio. Especificacin del Criterio de clasificacin. Clasificacin de la Informacin realizada por el Dueo de la Informacin (puede estar sujeta a una verificacin). Especificacin y Documentacin de Excepciones. Especificacin de procesos de des-clasificacin de informacin y transferencia de custodia. Enterprise Awareness Program.
CISSP Bootcamp
Roles Dueo Define el nivel de clasificacin que le corresponde a la informacin que le pertenece. Revisa los niveles de clasificacin peridicamente y realiza los cambios que sean necesarios dentro de la informacin que administra. Delega la responsabilidad de la proteccin de datos al custodio.
CISSP Bootcamp
Roles Custodio Ejecuta backups en forma regular de la informacin que custodia. Ejecuta la restauracin de los datos/ informacin cuando se necesita. Mantiene esos datos/ informacin respetando la poltica de clasificacin de informacin.
24
CISSP Bootcamp
Roles Usuario Deben seguir los procedimientos operativos definidos en la poltica de seguridad y aceptar las guias de trabajo definidas. Deben hacer lo que este en sus manos para proteger la informacin clasificada. Deben utilizar los recursos asignados solo para fines de negocio.
Implantacin de Polticas de Seguridad
26
CISSP Bootcamp

Declaracin de la Alta Gerencia Poltica de Seguridad Informtica
Polticas Organizacionales
Polticas Funcionales
Estndares
Baselines
Normas recomendadas (guidelines)
Procedimientos detallados
CISSP Bootcamp

Declaracin de la Alta Gerencia, Poltica de Seguridad Informtica.
Reconocimiento de la importancia de los recursos informticos para el modelo de negocio de la compaa. Declaracin de soporte/ apoyo hacia seguridad informtica en todas las reas de la compaa. Compromiso para autorizar y administrar la definicin de estndares, procedimientos y normas (guas).
28
CISSP Bootcamp

Polticas Organizacionales/ Funcionales.
Polticas Regulatorias. Deben ser implantadas por estar relacionadas con reglamentaciones o leyes que deben ser cumplidas. Polticas Informativas. Existen con el solo fin de informar al lector. No contienen requerimientos especficos. Polticas Recomendadas. Polticas no obligatorias (legalmente) pero de cumplimiento deseado. El no cumplimiento de estas podra generar penalidades.
CISSP Bootcamp

Estndares.
Especifcan el uso de una determinada tecnologa en forma uniforme.
Normas recomendadas (guidelines).

Guas de recomendaciones mas flexibles que el estndar.
Baselines.
Definen parmetros mnimos de configuracin en relacin a un estndard determinado.
Procedimientos.
Descripcin detallada de tareas a realizar.
Roles y Responsabilidades
31
CISSP Bootcamp
Gerencia General
Responsable final por la seguridad informtica de la compaa.
ISSO (Information Systems Security Officer)

Responsable funcional por la seguridad informtica de la compaa.
Dueo
Determina el nivel de clasificacin de la informacin.
32
CISSP Bootcamp
Custodio
Preserva la Confidencialidad, Integridad y Disponibilidad (CID) de la informacin.
Usuario/ Operador
Trabaja respetando las polticas, normas y procedimientos definidos.
Auditor
Evalua los controles de seguridad informtica y presenta recomendaciones a la alta gerencia.
Administracin del Riesgo
34
CISSP Bootcamp
Administracin del Riesgo

La Administracin del Riesgo conlleva la identificacin, el anlisis, el control y la minimizacin de la prdida asociada a un evento determinado. Principal objetivo: mitigar el riesgo. Reducir el riesgo hasta niveles de tolerancia aceptables para la organizacin.
35
CISSP Bootcamp
Principios de la Administracin del Riesgo

Realizar un Anlisis de Riesgos, incluyendo el anlisis de costo-beneficio de los controles implantados y a implantar. Implantar, revisar, operar y mantener controles de seguridad informtica.
36
CISSP Bootcamp
Conceptos de Administracin del Riesgo

Activo. Recurso, producto, proceso, dato, todo aquello que tenga un valor para el negocio de la compaa. Amenaza. Presencia de un evento que pueda impactar en forma negativa en la compaa. Vulnerabilidad. Ausencia o debilidad de un control.
CISSP Bootcamp

Activo. Recurso,La combinacin de Activoaquello que producto, proceso, dato, todo , tenga un valor para el negocio de la compaa.
Amenaza y Vulnerabilidad Amenaza. conforman lo que se conoce como evento en pueda impactar en forma Presencia de un Triple que seguridad negativa en la compaa. informtica.
Vulnerabilidad. Ausencia o debilidad de1 un control.
CISSP Bootcamp

Control (implantado). Su funcin es reducir el riesgo asociado con una amenaza o grupo de amenazas.
39
CISSP Bootcamp

Factor de Exposicin (EF). Porcentaje de prdida sobre el valor del un activo generado por la concrecin de una amenaza en dicho activo. Este valor es necesario para el clculo del SLE. 0% EF 100%
40
CISSP Bootcamp

Expectativa de Prdida Individual (SLE). Valor monetario asociado a un evento determinado. Representa la prdida producida por una amenaza determinada individual. SLE = Valor Activo ($) * EF
41
CISSP Bootcamp

Tasa de Ocurrencia Anual (ARO) Representa la frecuencia estimada de ocurrencia de un evento, dentro del perodo de un ao. 0 0 ARO < (Krutz)
ARO < 1 (Harris)
42
CISSP Bootcamp

Expectativa de Prdida Anualizada (ALE). Representa la prdida annual producida por una amenaza determinada individual. ALE = SLE * ARO
43
CISSP Bootcamp

Activo: data warehouse Valor: u$ 100.000 Amenaza: Virus. Krutz ARO: 2 ALE = u$ 50.000
EF: 25% SLE: u$ 25.000
Harris ARO: 1 ALE = u$ 25.000
44
CISSP Bootcamp
Anlisis de Riesgos
Cuantificacin del impacto de potenciales amenazas al negocio. Resultados: Identificacin de riesgos. Justificacin econmica de controles (costo/ beneficio).
45
CISSP Bootcamp
Anlisis de Riesgos
Proceso de Evaluacin de Activos. Anlisis Cuantitativo de Riesgos. Anlisis Cualitativo de Riesgos. Seleccin de Controles.
46
CISSP Bootcamp
Proceso de Evaluacin de Activos

Por qu? Es necesario para realizar el anlisis de costo/ beneficio. Puede ser necesario para determinar plizas de seguro. Soporta la seleccin de controles. Due Care
47
CISSP Bootcamp
Proceso de Evaluacin de Activos

Cmo? Costo inicial y de mantenimiento del activo (licenciamiento, compra, desarrollo y mantenimiento/ soporte). El valor del activo relacionado con la operacin y modelo del negocio. El valor del activo establecido por el mercado, y el valor estimado de la propiedad intelectual.
48
CISSP Bootcamp
Identificacin de Riesgos
Existencia de una amenaza. Posibles consecuencias de la concrecin de la amenaza. Probabilidad de ocurrencia de la amenaza. Nivel de confidencia en la concresin de la amenaza.
49
CISSP Bootcamp
Anlisis de Riesgos
Anlisis Cuantitativo de Riesgos. Asigna valores monetarios hard (objetivos) a cada componente de la evaluacin de riesgos y a cada potencial prdida. Anlisis Cualitativo de Riesgos. Orientado a aspectos soft de la organizacin: imgen, market share, etc. Puede ser utilizado en forma genrica.
50
CISSP Bootcamp
Anlisis de Riesgos
Propiedad Anlisis costo/ beneficio Costos Hard ($) Puede ser Automatizado Suposiciones Clculos complejos Informacin requerida Tiempo/ Trabajo involucrado Facilidad de comunicacin Cantidad Calidad S No S No S No Pocas Muchas S No Mucha Poca Mucho Poco Facl Difcil
51
CISSP Bootcamp
Seleccin de Controles
Anlisis Costo/ Beneficio.
Costo Control < Valor del Activo (ALE antes del control) (ALE despus del control) mantenimiento del control) = valor del control (costo
Nivel de operacin manual requerida. Caractersticas de Auditabilidad y Contabilidad. Habilidad de Recupero. Proveedor.
52
InfoSec Awareness (Concientizacin en Seguridad Informtica)
53
CISSP Bootcamp
InfoSec Awareness
Comprende la concientizacin general y colectiva del personal de una organizacin respecto de la importancia de la seguridad informtica y de los controles de seguridad. Normalmente uno de las reas de menor consideracin la cadena se rompe por el eslabn mas dbil en Infosec USUARIO No es lo mismo que Entrenamiento.
54
CISSP Bootcamp
InfoSec Awareness
Beneficios: Importante reduccin de la cantidad de acciones noo autorizadas generadas por el personal de la organizacin. Incremento significativo de la efectividad de los controles implantados. Ayuda a evitar el fraude, desperdicio y abuso de recursos informticos
55
CISSP Bootcamp
InfoSec Awareness
Formas de lograr la concientizacin. Presentaciones en vivo o grabadas: conferencias/ presentaciones, video, entrenamiento basado en computadoras (CBT), etc. Publicacin/ Distribucin: newsletters, boletnes e intranet. Incentivos: premios y reconocimiento por alcanzar objetivos relacionados con la seguridad informtica. Recordatorios: banners de login, parafernalia de marketing (tazas, lapiceras, mouse pads, etc.).
Administracin y Control de Cambios
57
CISSP Bootcamp

Por qu es importante para la seguridad informtica la Administracin y el Control de Cambios?
Demasiados negocios dependen fuertemente en la integridad de sus datos. Determinados cambios pueden corromper un modelo de seguridad. La modificacin de determinados sistemas puede afectar sus garantas.
Es necesario ya que quien solicita el cambio no necesariamente comprende las implicancias de seguridad del requerimiento presentado. El responsable de seguridad informtica debe analizar y estimar cuidadosamente el impacto de la modificacin solicitada sobre todo el sistema.
CISSP Bootcamp

Herramientas
Checksums Firmas Digitales Tripwire
El control efectivo de cambios permite descubrir:

Casos de violaciones de polticas internas de la compaa cuando personal de la misma instala o modifica programas o aplicaciones sin respetar los canales definidos de notificacin. Posibles fallas de hardware que pueden estar ocasionando corrupcin en los datos existentes Viruses, worms, cdigo malicioso
59
CISSP Bootcamp

Para que la administracin y control de cambios funcione adecuadamente, debe existir:
Copias de oro de todo el software utilizado. Estas sirven como base para efectuar comparaciones y generar bases de datos. Una infraestructura segura. Todo el software debe estar debidamente protegido. Si un intruso modifica las copias de oro del software instalado, todo el sistema de control de cambios se ver afectado.
60
CISSP Bootcamp

Hardware
Discos, perifricos Drivers de dispositivos BIOS
Software de Aplicacin y Sistemas Operativos

Upgrades Service packs, patches, fixes Cambios a las reglas de firewalls/ proxiesrulebase/proxies NLM s Router software
CISSP Bootcamp

Polticas, procedimientos y procesos
Desarrollo de polticas que estabilicen el ambiente de procesamiento mediante el control de las modificaciones realizadas a este. Desarrollo de procesos formales de control de cambios que aseguren que solo modificaciones autorizadas son realizadas, que se efectuan en los tiempos establecidos de las formas aprobadas. Implantacin inmediata (eficiente) de parches de seguridad, scripts de comandos y similares de proveedores existentes y organizaciones de control/ seguridad. Desarrollo de procedimientos de roll-back a versiones anteriores del software para los casos en que la modificacin genere problemas.
62
Polticas y Prcticas de Empleo
63
CISSP Bootcamp
Polticas y Prcticas de Empleo

Background checks/security clearances La revisin de registros pblicos puede proveer informacin importante a la hora de tomar la decisin de contratar a alguien. Estas revisiones permiten verificar que la informacin provista por el candidato es verdadera y actualizada. Asimismo, brinda al empleador una primera idea del nivel de integridad del candidato. Uds. contrataran a alguien que ha mentido en su aplicacin al puesto?
CISSP Bootcamp
Background checks
De que puede, potencialmente, prevenirnos un background check:
Juicios de parte de empleados despedidos. Juicios de 3ra partes o clientes por negligencia a la hora de contratacin de personal. Empleados no calificados. Prdida de negocios y de ganancias. Prdida de tiempo de reclutamiento y entrenamiento. Robo, dao a propiedad de la compaa, fraude. Prdida de dinero (relacionada con la contratacin del empleado). Disminucin de la moral de los empleados. Juicios por violencia o acoso sexual.
CISSP Bootcamp
Background checks
Quin debe ser evaluado? Background checks deben ser realizados para toda posicin sensitiva en la compaa. Dentro del rea de seguridad informtica se incluyen:
Administradores de Firewalls Administradores de e-commerce Administradores de Kerberos/ SSO Administradores de SecurID y operadores de cuentas de usuarios Etc.
66
CISSP Bootcamp
Contratos de Empleo
Debe contener una clusula de Non-compete. Debe contener una clusula de Non-disclosure. Deben existir restricciones a la distribucin de informacin corporativa en cualquiera de sus formas.
67
CISSP Bootcamp
Contratacin y Despido
Polticas y Procedimientos definidos por RR.HH. Deben contemplar:
Cmo manejar la salida del empleado, Deshabilitacin/ borrado de cuentas de usuarios Reenvio del e-mail y del voice-mail Cambios en las cerraduras y cdigos de acceso Modificacin de contraseas de sistemas relacionadas
68
CISSP Bootcamp
Separacin de Tareas
El principio de separacin de tareas es aquel que determina que aquellas personas involucradas en la revisin/ anlisis de uso no autorizado de activos no debe estar en condicin de efectuar dicho uso no autorizado. Quien controla no ejecuta. Nadie debe ser responsable de realizar una tarea que involucra informacin sensitiva de principio a fin. Asimismo, un individuo no puede ser responsable de aprobar su propio trabajo.
69
CISSP Bootcamp
Separacin de Tareas
Separar:
Desarrollo de Produccin Seguridad de Auditora Cuentas a Cobrar de Cuentas a Pagar Administracin de Claves de Encripcin de Cambio de Claves
Conocimiento distribuido
Claves de encripcin separadas en dos componentes, cada uno de los cuales no permiten la obtencin del otro
70
Preguntas?
71
This document was created with Win2PDF available at http://www.daneprairie.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.

1 SecurityManagementPractices

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

1 SecurityManagementPractices

Uploaded by

Copyright:

Available Formats

Buenos Aires, AR <location>

<Month, YYYY> February 2003

Certified Inform ation System s Security Professional Buenos Aires Bootcam p

Donald R. Glass - Proprietary

Buenos Aires, AR <location>

<Month, YYYY> February 2003

Donald R. Glass - Proprietary

Security Management Practices

The BIG three

Donald R. Glass - Proprietary

The BIG three

Donald R. Glass - Proprietary

The BIG three

Donald R. Glass - Proprietary

The BIG three

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Buenos Aires, AR <location>

<Month, YYYY> February 2003

El Proceso de Clasificacin de la Informacin

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Donald R. Glass - Proprietary

Criterio de Clasificacin de la Informacin

Proceso de Clasificacin de la Informacin

Donald R. Glass - Proprietary

Buenos Aires, AR <location>

<Month, YYYY> February 2003

Implantacin de Polticas de Seguridad

Donald R. Glass - Proprietary

Implantacin de Polticas de Seguridad

Normas recomendadas (guidelines)

Implantacin de Polticas de Seguridad

Donald R. Glass - Proprietary

Implantacin de Polticas de Seguridad

Implantacin de Polticas de Seguridad

Normas recomendadas (guidelines).

Buenos Aires, AR <location>

<Month, YYYY> February 2003

Donald R. Glass - Proprietary

ISSO (Information Systems Security Officer)

Donald R. Glass - Proprietary

Buenos Aires, AR <location>

<Month, YYYY> February 2003

Administracin del Riesgo

Donald R. Glass - Proprietary

Administracin del Riesgo

Donald R. Glass - Proprietary

Principios de la Administracin del Riesgo

Donald R. Glass - Proprietary

Conceptos de Administracin del Riesgo

Conceptos de Administracin del Riesgo

Conceptos de Administracin del Riesgo

Donald R. Glass - Proprietary

Conceptos de Administracin del Riesgo

Donald R. Glass - Proprietary