Professional Documents
Culture Documents
CISSP Bootcamp
Buenos Aires, AR August 2003
Agenda
Security Management Practices
Conceptos Generales El Proceso de Clasificacin de la Informacin Implantacin de Polticas de Seguridad Roles y Responsabilidades Administracin del Riesgo El proceso de Concientizacin en Seguridad Informtica InfoSec Awareness Administracin y Control de Cambios Polticas y Prcticas de Empleo
Donald R. Glass - Proprietary 2
Conceptos Generales
CISSP Bootcamp
Buenos Aires, AR August 2003
Otros conceptos
Identificacin Autenticacin Autorizacin Responsabilidad (accountability) Privacidad Non-repudiation (validacin de identidad)
Donald R. Glass - Proprietary 4
Controles de InfoSec
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
Otros conceptos
Identificacin Forma en la cual los usuarios comunican su identidad a un sistema. Identificacin es un paso necesario para lograr la autenticacin y autorizacin. Autenticacin Es el proceso por el cual se prueba que la informacin de identificacin corresponde con el sujeto que la presenta.
CISSP Bootcamp
Buenos Aires, AR August 2003
Otros conceptos
Autorizacin Derechos y permisos otorgados a un individuo (o proceso) que le permite acceder a un recurso del sistema/ computadora. El proceso de Autorizacin se realiza una vez que se ha logrado la Identificacin y Autenticacin del usuario.
10
CISSP Bootcamp
Buenos Aires, AR August 2003
Otros conceptos
Responsabilidad (accountability) Habilidad para determinar las acciones individuales de un usuario dentro de un sistema, y para identificar a dicho usuario. Usualmente este principio esta soportado por logs de auditora. Privacidad Determina el nivel de confidencialidad y proteccin de privacidad que se le brinda a un usuario dentro de un sistema.
11
CISSP Bootcamp
Buenos Aires, AR August 2003
Otros conceptos
Non-Repudiation (Validacin de identidad) La utilizacin de elementos de informacin nica permite validar la autenticidad de una persona (tales como rasgos fisiolgicos, certificados de autenticidad, etc.)
12
CISSP Bootcamp
Buenos Aires, AR August 2003
Controles de InfoSec
Reduccin de los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable por la empresa. Estos controles pueden ser: Preventivos Detectivos Correctivos
13
CISSP Bootcamp
Buenos Aires, AR August 2003
Controles de Infosec
Costo de la Amenaza vs. Probabilidad de Ocurrencia
6 Costo de la Amenaza 5 4 3 2 1 0 1 2 3 4 5 Probabilidad de Ocurrencia
14
15
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
Justificacin: No todos los datos/ informacin tienen el mismo valor. No todo el mundo debe acceder a todos los datos/ informacin. El costo asociado a la implantacin de controles de seguridad para la proteccin de los datos/ informacin puede ser elevado.
16
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
Beneficios: Demuestra el compromiso de una organizacin hacia la seguridad informtica. Permite identificar que informacin/ datos son los ms importantes para la organizacin. Soporta los conceptos de confidencialidad, integridad y disponibilidad relacionados con los datos/ informacin.
17
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
Beneficios: Ayuda a identificar que controles corresponden a qu datos/ informacin. Podra ser requerido por aspectos legales, regulatorios u otros.
18
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
De uso pblico. Este tipo de informacin no presenta riesgos de prdida de confidencialidad. Por ejemplo: web site. Solo para uso interno. Informacin tctica necesaria para el manejo interno de la compaa (en cualquier nivel jerrquico) pero que no debe ser accedida por entes externos a la organizacin. Ejemplo: lista de clientes, costos de productos/ servicios, etc.
Donald R. Glass - Proprietary 19
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
Confidencial. Informacin estratgica de la compaia, el acceso a la misma se logra solo si existe la necesidad de conocer (need-to-know). Ejemplo: planes de marketing, Desarrollo e Investigacin, informacin de adquisiciones y ventas a nivel corporativo, etc.
20
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
Roles Dueo Define el nivel de clasificacin que le corresponde a la informacin que le pertenece. Revisa los niveles de clasificacin peridicamente y realiza los cambios que sean necesarios dentro de la informacin que administra. Delega la responsabilidad de la proteccin de datos al custodio.
Donald R. Glass - Proprietary 23
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
Roles Custodio Ejecuta backups en forma regular de la informacin que custodia. Ejecuta la restauracin de los datos/ informacin cuando se necesita. Mantiene esos datos/ informacin respetando la poltica de clasificacin de informacin.
24
CISSP Bootcamp
Buenos Aires, AR August 2003
Clasificacin de la Informacin
Roles Usuario Deben seguir los procedimientos operativos definidos en la poltica de seguridad y aceptar las guias de trabajo definidas. Deben hacer lo que este en sus manos para proteger la informacin clasificada. Deben utilizar los recursos asignados solo para fines de negocio.
Donald R. Glass - Proprietary 25
26
CISSP Bootcamp
Buenos Aires, AR August 2003
Polticas Organizacionales
Polticas Funcionales
Estndares
Baselines
Procedimientos detallados
Donald R. Glass - Proprietary 27
CISSP Bootcamp
Buenos Aires, AR August 2003
28
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
Baselines.
Definen parmetros mnimos de configuracin en relacin a un estndard determinado.
Procedimientos.
Descripcin detallada de tareas a realizar.
Donald R. Glass - Proprietary 30
Roles y Responsabilidades
31
CISSP Bootcamp
Buenos Aires, AR August 2003
Roles y Responsabilidades
Gerencia General
Responsable final por la seguridad informtica de la compaa.
Dueo
Determina el nivel de clasificacin de la informacin.
32
CISSP Bootcamp
Buenos Aires, AR August 2003
Roles y Responsabilidades
Custodio
Preserva la Confidencialidad, Integridad y Disponibilidad (CID) de la informacin.
Usuario/ Operador
Trabaja respetando las polticas, normas y procedimientos definidos.
Auditor
Evalua los controles de seguridad informtica y presenta recomendaciones a la alta gerencia.
Donald R. Glass - Proprietary 33
34
CISSP Bootcamp
Buenos Aires, AR August 2003
35
CISSP Bootcamp
Buenos Aires, AR August 2003
36
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
Amenaza y Vulnerabilidad Amenaza. conforman lo que se conoce como evento en pueda impactar en forma Presencia de un Triple que seguridad negativa en la compaa. informtica.
Vulnerabilidad. Ausencia o debilidad de1 un control.
Donald R. Glass - Proprietary 38
CISSP Bootcamp
Buenos Aires, AR August 2003
39
CISSP Bootcamp
Buenos Aires, AR August 2003
40
CISSP Bootcamp
Buenos Aires, AR August 2003
41
CISSP Bootcamp
Buenos Aires, AR August 2003
42
CISSP Bootcamp
Buenos Aires, AR August 2003
43
CISSP Bootcamp
Buenos Aires, AR August 2003
44
CISSP Bootcamp
Buenos Aires, AR August 2003
Anlisis de Riesgos
Cuantificacin del impacto de potenciales amenazas al negocio. Resultados: Identificacin de riesgos. Justificacin econmica de controles (costo/ beneficio).
45
CISSP Bootcamp
Buenos Aires, AR August 2003
Anlisis de Riesgos
Proceso de Evaluacin de Activos. Anlisis Cuantitativo de Riesgos. Anlisis Cualitativo de Riesgos. Seleccin de Controles.
46
CISSP Bootcamp
Buenos Aires, AR August 2003
47
CISSP Bootcamp
Buenos Aires, AR August 2003
48
CISSP Bootcamp
Buenos Aires, AR August 2003
Identificacin de Riesgos
Existencia de una amenaza. Posibles consecuencias de la concrecin de la amenaza. Probabilidad de ocurrencia de la amenaza. Nivel de confidencia en la concresin de la amenaza.
49
CISSP Bootcamp
Buenos Aires, AR August 2003
Anlisis de Riesgos
Anlisis Cuantitativo de Riesgos. Asigna valores monetarios hard (objetivos) a cada componente de la evaluacin de riesgos y a cada potencial prdida. Anlisis Cualitativo de Riesgos. Orientado a aspectos soft de la organizacin: imgen, market share, etc. Puede ser utilizado en forma genrica.
50
CISSP Bootcamp
Buenos Aires, AR August 2003
Anlisis de Riesgos
Propiedad Anlisis costo/ beneficio Costos Hard ($) Puede ser Automatizado Suposiciones Clculos complejos Informacin requerida Tiempo/ Trabajo involucrado Facilidad de comunicacin Cantidad Calidad S No S No S No Pocas Muchas S No Mucha Poca Mucho Poco Facl Difcil
51
CISSP Bootcamp
Buenos Aires, AR August 2003
Seleccin de Controles
Anlisis Costo/ Beneficio.
Costo Control < Valor del Activo (ALE antes del control) (ALE despus del control) mantenimiento del control) = valor del control (costo
Nivel de operacin manual requerida. Caractersticas de Auditabilidad y Contabilidad. Habilidad de Recupero. Proveedor.
52
53
CISSP Bootcamp
Buenos Aires, AR August 2003
InfoSec Awareness
Comprende la concientizacin general y colectiva del personal de una organizacin respecto de la importancia de la seguridad informtica y de los controles de seguridad. Normalmente uno de las reas de menor consideracin la cadena se rompe por el eslabn mas dbil en Infosec USUARIO No es lo mismo que Entrenamiento.
54
CISSP Bootcamp
Buenos Aires, AR August 2003
InfoSec Awareness
Beneficios: Importante reduccin de la cantidad de acciones noo autorizadas generadas por el personal de la organizacin. Incremento significativo de la efectividad de los controles implantados. Ayuda a evitar el fraude, desperdicio y abuso de recursos informticos
55
CISSP Bootcamp
Buenos Aires, AR August 2003
InfoSec Awareness
Formas de lograr la concientizacin. Presentaciones en vivo o grabadas: conferencias/ presentaciones, video, entrenamiento basado en computadoras (CBT), etc. Publicacin/ Distribucin: newsletters, boletnes e intranet. Incentivos: premios y reconocimiento por alcanzar objetivos relacionados con la seguridad informtica. Recordatorios: banners de login, parafernalia de marketing (tazas, lapiceras, mouse pads, etc.).
Donald R. Glass - Proprietary 56
57
CISSP Bootcamp
Buenos Aires, AR August 2003
Es necesario ya que quien solicita el cambio no necesariamente comprende las implicancias de seguridad del requerimiento presentado. El responsable de seguridad informtica debe analizar y estimar cuidadosamente el impacto de la modificacin solicitada sobre todo el sistema.
Donald R. Glass - Proprietary 58
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
60
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
62
63
CISSP Bootcamp
Buenos Aires, AR August 2003
CISSP Bootcamp
Buenos Aires, AR August 2003
Background checks
De que puede, potencialmente, prevenirnos un background check:
Juicios de parte de empleados despedidos. Juicios de 3ra partes o clientes por negligencia a la hora de contratacin de personal. Empleados no calificados. Prdida de negocios y de ganancias. Prdida de tiempo de reclutamiento y entrenamiento. Robo, dao a propiedad de la compaa, fraude. Prdida de dinero (relacionada con la contratacin del empleado). Disminucin de la moral de los empleados. Juicios por violencia o acoso sexual.
Donald R. Glass - Proprietary 65
CISSP Bootcamp
Buenos Aires, AR August 2003
Background checks
Quin debe ser evaluado? Background checks deben ser realizados para toda posicin sensitiva en la compaa. Dentro del rea de seguridad informtica se incluyen:
Administradores de Firewalls Administradores de e-commerce Administradores de Kerberos/ SSO Administradores de SecurID y operadores de cuentas de usuarios Etc.
66
CISSP Bootcamp
Buenos Aires, AR August 2003
Contratos de Empleo
Debe contener una clusula de Non-compete. Debe contener una clusula de Non-disclosure. Deben existir restricciones a la distribucin de informacin corporativa en cualquiera de sus formas.
67
CISSP Bootcamp
Buenos Aires, AR August 2003
Contratacin y Despido
Polticas y Procedimientos definidos por RR.HH. Deben contemplar:
Cmo manejar la salida del empleado, Deshabilitacin/ borrado de cuentas de usuarios Reenvio del e-mail y del voice-mail Cambios en las cerraduras y cdigos de acceso Modificacin de contraseas de sistemas relacionadas
68
CISSP Bootcamp
Buenos Aires, AR August 2003
Separacin de Tareas
El principio de separacin de tareas es aquel que determina que aquellas personas involucradas en la revisin/ anlisis de uso no autorizado de activos no debe estar en condicin de efectuar dicho uso no autorizado. Quien controla no ejecuta. Nadie debe ser responsable de realizar una tarea que involucra informacin sensitiva de principio a fin. Asimismo, un individuo no puede ser responsable de aprobar su propio trabajo.
69
CISSP Bootcamp
Buenos Aires, AR August 2003
Separacin de Tareas
Separar:
Desarrollo de Produccin Seguridad de Auditora Cuentas a Cobrar de Cuentas a Pagar Administracin de Claves de Encripcin de Cambio de Claves
Conocimiento distribuido
Claves de encripcin separadas en dos componentes, cada uno de los cuales no permiten la obtencin del otro
70
Preguntas?
71
This document was created with Win2PDF available at http://www.daneprairie.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.