ecsi - 1 ciprio@ciudad.com.

ar
De las
Estrategias Corporativas
a la
Seguridad de la Información
Ing. Carlos Ormella Meyer
Octubre 2006
ecsi - 2 ciprio@ciudad.com.ar
• Llevar adelante y al éxito una empresa implica
una cantidad de desafíos.
• Corporate Governance: Un paradigma de
cómo dirigir y controlar adecuadamente una
empresa.
• Principios OECD de Gobierno Corporativo:
Buenas prácticas para velar por los accionistas
y los demás interesados o incumbentes
(stakeholders) en el correcto devenir de una
empresa.
Corporate Governance
ecsi - 3 ciprio@ciudad.com.ar
• Sistemas de Gestión: Herramientas tácticas
para concretar las estrategias resultantes de la
visión y misión del plan de negocios corporativo.
• Kaizen: Esquema filosófico y estratégico para el
mejoramiento continuo de un sistema.
• Kaizen en acción: Implementar políticas, aplicar
métodos o herramientas: Six Sigma, Tablero de
Comando (Balanced Scorecard), Control de
Calidad Total, Matriz de Control Interno, y PDCA.
• También hay que considerar cuestiones
legales: Propiedad Intelectual, Habeas Data,
Firma Digital y Sarbanes-Oxley.
Kaizen y escenarios operativos
ecsi - 4 ciprio@ciudad.com.ar
• Para controlar y verificar el cumplimiento de la
visión, misión y decisiones estratégicas se
trabaja con un sistema de controles internos.
• Controles Internos: procesos que aseguren
razonablemente el logro de objetivos respecto a
la confiabilidad de los reportes financieros,
efectividad y eficiencia de las operaciones, y el
cumplimiento de leyes y regulaciones.
» Marcos de referencia: COSO, Turnbull y CoCo,
aprobados para conformidad Sarbanes-Oxley.
» Hay una versión “lite” de COSO, para pequeñas
empresas. También, ISA 315 para auditoría.
Controles Internos
ecsi - 5 ciprio@ciudad.com.ar
Riesgos y Controles Internos
Misión
Misión
Objetivos Estratégicos
Objetivos Estratégicos
Riesgos de Negocios
Riesgos de Negocios
Riegos Aplicables
Riegos Aplicables
Controles Internos
Controles Internos
Revisión
Revisión
• El establecimiento y
mantenimiento de un
proceso efectivo de gestión
de riesgos incluyendo un
sistema de controles
internos constituyen los
pilares del concepto de
Corporate Governance.
• Los Controles Internos se
construyen en base a la
valuación y gestión de
riesgos.
ecsi - 6 ciprio@ciudad.com.ar
• Aquí surge la necesidad de tomar decisiones
en condiciones de riesgo o incertidumbre.
• Gestión de riesgos: Mecanismo que trata las
situaciones críticas, la incertidumbre y riesgos.
» Marcos de referencia:
1) COSO/ERM: Extiende los controles internos
con la gestión de riesgos.
2) Turnbull: Asociado al Código Combinado
usa controles internos operacionales,
financieros y de conformidad.
3) AS/NZS 4360 (IRAM 17550): Aproximación
holística a riesgos y decisiones de negocios.
Gestión de riesgos
ecsi - 7 ciprio@ciudad.com.ar
• Las empresas encuentran nuevas oportunidades
de negocios en e-business, comunicaciones
inalámbricas, trabajo a distancia, etc.
• Pero las oportunidades vienen casi siempre con
cierto grado de exposición, facilitando la
producción de incidentes que pueden afectar
las nuevas operaciones y aún las ya existentes.
• Dichos incidentes de seguridad ponen en
evidencia riesgos técnicos o de sistemas IT,
involucrando también a personas y procesos de
negocios, lo que se corresponde con riesgos
organizacionales, operacionales y físicos.
Negocios y Seguridad
ecsi - 8 ciprio@ciudad.com.ar
• La Seguridad de la Información:
1) Es una forma de Control Interno referida a
la salvaguarda de los activos de una empresa.
2) Agrega valor y se entronca en el paradigma
del Corporate Governance, como única forma
de gobierno de una empresa considerada
como un todo.
3) No crea una instancia separada porque la
empresa es una sola, y su análisis y manejo
refleja los objetivos de negocio de la misma
en los aspectos de seguridad.
Gobierno Corporativo y Seguridad
ecsi - 9 ciprio@ciudad.com.ar
Seguridad: Información vs. Informática
Seguridad
de la
Información
Seguridad
Informática
RIESGOS IT
• Virus
• Spam
• Ataques DoS
• etc.
RIESGOS NO IT +
• Falta de Políticas y normas
• Errores, actos deliberados personal
• Control insuficiente de cambios
• etc.
ecsi - 10 ciprio@ciudad.com.ar
G
e
s
t
i
ó
n

d
e

l
a

c
o
n
t
i
n
u
i
d
a
d

d
e

n
e
g
o
c
i
o
s
Política
Seguridad
Organización
Gestión de Activos
C
o
n
f
o
r
m
i
d
a
d
Física
Ambiental
Recursos
Humanos
Sistemas
Acceso
1
2
3
4 5
6
7 8
9
10
11
Gestión
Comunic.
Gestión de Incidentes
ISO 17799:2005
Aspectos de gestión
Aspectos técnicos
Aspectos físicos
• 11 áreas de control
• 133 controles de seguridad
ecsi - 11 ciprio@ciudad.com.ar
Normas de seguridad de la información
ISO 17799
ISO 17799
Auditoría y
Certificación
Lista de controles
recomendados
Requisitos para la
implementación de los
controles seleccionados
ISO 27001
ISO 27001
ecsi - 12 ciprio@ciudad.com.ar
Ambitos de aplicación de la ISO 17799
ecsi - 13 ciprio@ciudad.com.ar
• El FUD no es la mejor solución para justificar las
inversiones en seguridad.
• ROSI: Indicador financiero para manejar la
incertidumbre por medio de las estadísticas,
probabilidades y la simulación Monte Carlo.
• Se inserta en el caso de negocio (business
case) de un proyecto completo de seguridad.
• Cierra el círculo con las estrategias corporativas
puestas en acción en planes de seguridad que
aseguran la operatividad y eficiencia con
resultados que pueden medirse o evaluarse.
Inversiones en seguridad
ecsi - 14 ciprio@ciudad.com.ar
De las
Estrategias Corporativas
a la
Seguridad de la Información
Muchas gracias
Muchas gracias
Ing. Carlos Ormella Meyer
ciprio@ciudad.com.ar
ecsi - 15 ciprio@ciudad.com.ar
Escenarios de Aplicaciones
de
Seguridad de la Información
Ing. Carlos Ormella Meyer
Octubre 2006
ecsi - 16 ciprio@ciudad.com.ar
1.- Estrategias corporativas y
Seguridad de la Información
• ¿Qué dicen las encuestas de
seguridad?
• ¿Cómo influyen los escenarios de
seguridad en las tendencias y
actividades?
ecsi - 17 ciprio@ciudad.com.ar
¿Qué dicen las encuestas de seguridad?
• Que los incidentes más frecuentes son:
- No disponibilidad de los sistemas
- Infección por virus
- Fraudes
• Que las vulnerabilidad más comunes son:
- Accesos no autorizados
- Confiabilidad, ética y motivación
- Software y hardware de comunicaciones
• Que las prioridades estratégicas son:
- Fortalecer controles de seguridad en los
procesos de negocios
- Fortalecer la estructura de seguridad
ecsi - 18 ciprio@ciudad.com.ar
Influencia de escenarios de seguridad
• La complejidad de las nuevas oportunidades de
negocio impone una cantidad de condicionantes.
• La seguridad no es sólo una cuestión técnica
sino que involucra personas y procesos,
manejando también riesgos organizacionales,
operacionales, físicos y ambientales.
• Se requiere separación de funciones: los
controles de seguridad no pueden ser
manejados por el mismo área que maneja los
sistemas o la tecnología de una empresa.
• El área de seguridad debe estar conducida por
un nuevo tipo de gerente, el CISO.
ecsi - 19 ciprio@ciudad.com.ar
2.- Gestión y auditoría de seguridad de
la información
• ¿Es una norma técnica la ISO
17799?
• ¿Cómo se complementan la ISO
17799 y la ISO 27001?
ecsi - 20 ciprio@ciudad.com.ar
• ISO 17799: Marco de referencia que recomienda
las mejores prácticas de seguridad bajo la forma
de diferentes controles.
• Soporta el concepto de Gobierno Corporativo, y
hace una aproximación holística de 11 áreas
funcionales:
⇒ ⇒⇒ ⇒ 7 áreas de gestión: políticas, organización,
activos, recursos humanos, comunicaciones y
operaciones, continuidad de negocios, y
cumplimiento.
⇒ ⇒⇒ ⇒ 3 áreas técnicas: acceso, sistemas, incidentes.
⇒ ⇒⇒ ⇒ 1 área: física y ambiental.
Características ISO 17799
ecsi - 21 ciprio@ciudad.com.ar
SoA
Controles seleccionados ISO 17799
Implementación SGSI con ISO 27001
Auditoría y
Certificación
Alcance y Política General
C
O
N
T
R
O
L
E
S
1
7
7
9
9
Valuación
de Riesgos
Análisis
Gap
ecsi - 22 ciprio@ciudad.com.ar
• ISO 27001: Establece metodología y requisitos
para construir SGSI (Sistema de Gestión de
Seguridad de la Información), auditable y
certificable, a partir de una valuación de riesgos.
» Sigue el mismo modelo PDCA de mejoramiento
continuo de la ISO 9001 (SGC), ISO 14001
(SGA), la ISO 20000/ITIL y OHSAS 18001.
• ISO 17799/27001 son la base de una serie de
normas auto-consistentes, y pueden usarse para
conformidad con la Sección 404 (a) de Sarbanes-
Oxley, y riesgos operacionales del Nuevo
Acuerdo de Capitales Basilea II.
Complemento ISO 17799/27001
ecsi - 23 ciprio@ciudad.com.ar
3.- Plan de Continuidad de Negocios
• ¿En que se diferencian
Plan de Continuidad de Negocios,
Recuperación de Desastres y
Contingencias?
• ¿Cómo se mide el efecto de las
interrupciones en las operaciones
comerciales?
ecsi - 24 ciprio@ciudad.com.ar
Continuidad, desastres y contigencias
• Plan de Continuidad de Negocios, BCP:
Procedimientos para proteger y asegurar la
continuidad de los procesos críticos de negocios.
• Recuperación de desastres, DR:
Procedimientos para reanudar los procesos
críticos de negocios, incluso en sitio alternativo.
Tiende a estar enfocado a sistemas IT.
• Plan de Contingencia: Procedimientos para
retomar operaciones luego de interrupciones que
no necesariamente implican un sitio alternativo.
Generalmente uno para cada aplicación/sistema.
ecsi - 25 ciprio@ciudad.com.ar
Efectos de las interrupciones
• Los motivos de una interrupción pueden ser
técnicos de sistemas IT o energía, fallas
humanas, fuerza mayor, y actos deliberados.
• Hay que determinar el impacto que puede
causar un incidente de interrupción
estableciendo prioridades para los que afectan
los procesos críticos de negocio.
• Se puede reducir el riesgo de una
interrupción, tomar medidas preventivas y
tener un plan alternativo para el caso que
ocurra el incidente o interrupción.
ecsi - 26 ciprio@ciudad.com.ar
4.- Sarbanes- Oxley y Seguridad
• ¿De qué trata la ley Sarbanes-Oxley y
en qué puede dar conformidad de
cumplimiento la Seguridad de la
Información?
• ¿Cómo se relaciona Sarbanes-Oxley
con el Corporate Governance y otros
sistemas de gestión?
ecsi - 27 ciprio@ciudad.com.ar
Sarbanes- Oxley y Seguridad
• Esta ley busca evitar por medio de controles
internos financieros el ocultamiento o
modificación de la situación financiera.
• El funcionamiento y efectividad de los
controles y reportes de la ley se mapean a
dos secciones de la ISO 27001:
Responsabilidad gerencial y Revisión del
SGSI.
• A su vez, los componentes de un sistema
típico de controles internos se mapean a
seis áreas diferentes de la ISO 17799.
ecsi - 28 ciprio@ciudad.com.ar
Sistemas de Gestión Corporativos
ISO 27001
ISO 17799
ecsi - 29 ciprio@ciudad.com.ar
5.- ROSI o el Retorno Sobre la
Inversión en Seguridad
• ¿Cómo y con qué se calcula ROSI?
• ¿Cuál es el efecto de la aplicación
de la Simulación Monte Carlo?
ecsi - 30 ciprio@ciudad.com.ar
• ROSI es el Retorno Sobre la Inversión de
Seguridad, en contramedidas o salvaguardas.
• ROSI = Retorno / Costo, y por lo tanto:
ROSI = (Valor – Costo) / Costo
• Valor de las salvaguardas = Pérdidas por
incidentes: sin tratar – mitigados
• Costo de las salvaguardas = Inversión inicial +
Gastos recurrentes
• ALE: métrica para calcular las pérdidas. Igual al
producto de la frecuencia anual de ocurrencia
de un incidente, y el impacto monetario causado.
Cálculo de ROSI
ecsi - 31 ciprio@ciudad.com.ar
Efectos de la Simulación Monte Carlo












F
r
e
c
u
e
n
c
i
a
s












A
c
u
m
u
l
a
d
o
Pérdidas incidentes sin tratar, mitigados/Ahorro
Histograma limitado a 250 muestras. Con varios
miles se aprecia la aplicación de los teoremas
fundamentales de la teoría de las probabilidades.
ecsi - 32 ciprio@ciudad.com.ar
6.- Firma digital y Factura electrónica
• ¿En qué consiste la firma digital?
• ¿Cómo se opera con la factura
electrónica?
ecsi - 33 ciprio@ciudad.com.ar
MENSAJE o
DOCUMENTO
Extracto
Mezcla
Clave
Privada
Origen
FIRMA
DIGITAL
Clave
Pública
Origen
Extracto
Original
Extracto
Recibido
Si los Extractos Original y
Recibido son iguales, verifican:
• Autenticidad del Origen
• Integridad del Mensaje
Si los Extractos Original y
Recibido son iguales, verifican:
• Autenticidad del Origen
• Integridad del Mensaje
Firma Digital
Función
Mezcla
Función
Mezcla
Función
Mezcla
Función
Mezcla
Certificado
Digital Origen
Certificado
Digital Origen
ecsi - 34 ciprio@ciudad.com.ar
Factura electrónica
• Se basa en la firma digital, con lo que
autentica el origen y asegura su integridad,
pero no es un documento confidencial.
• Trabaja con facturas con o sin crédito fiscal,
previa inscripción inicial en la AFIP, con un
registro por c/factura, o bien por todo un lote
de facturas iguales cada una menor de $ 1000.
• La AFIP identifica cada registro con un número
CAE (Código de Autorización Electrónica), que
sirve de comprobante para el comprador que
recibe la factura electrónica.
ecsi - 35 ciprio@ciudad.com.ar
7.- Seguridad de Voz y Datos en WLANs
• ¿ Cuáles son las restricciones de
seguridad en las configuraciones
por defecto de una WLAN?
• ¿ Cuáles son las formas posibles de
dar seguridad a las comunicaciones
por una WLAN?
ecsi - 36 ciprio@ciudad.com.ar
Cuestiones de seguridad WLAN

802.1x
TKIP CCMP/AES
WPA
8
0
2
.
1
1
i
WPA2
• El protocolo original WEP, que por defecto viene
sin habilitar, tiene muchas debilidades: claves,
vector de inicialización, CRC, etc.
• Dos mejoras: TKIP (WPA) y 802.11i/AES (WPA2)
ecsi - 37 ciprio@ciudad.com.ar
8.- VPNs, Redes Privadas Virtuales
• ¿ Qué es un túnel VPN?
• ¿ Qué cuestiones surgen con el uso
del llamado túnel dividido?
ecsi - 38 ciprio@ciudad.com.ar
Nuevo
IP
ESP IP TCP Datos
Cola
ESP
Aut.
ESP
Encriptado
Autenticado e Integridad
Túnel IPsec
• En realidad el “túnel” a través de Internet es
un encapsulado.
• La protección es sólo entre los dispositivos
periféricos con Internet; no están protegidas
las redes internas de cada extremo.
ecsi - 39 ciprio@ciudad.com.ar
Split Tunneling
Acceso Remoto con túnel dividido
ecsi - 40 ciprio@ciudad.com.ar
Escenarios de Aplicaciones
de
Seguridad de la Información
Muchas gracias
Muchas gracias
Ing. Carlos Ormella Meyer
ciprio@ciudad.com.ar