You are on page 1of 95

Auditoría Informática

Seguridad de la Información
Noviembre 2011

Expositor: Carlos Miranda

Objetivos • Conocer los fundamentos y conceptos generales de la Gestión de la Seguridad de la Información. • Analizar las ventajas de implantar un Sistema de Gestión de la Seguridad de la Información. • Comprender los Requerimientos Específicos para un un Sistema de Gestión de la Seguridad de la Información.

Agenda • Conceptos de la seguridad de la información y de su gestión

Conceptos de la Seguridad de la Información y su gestión .

“Garantizar la continuidad comercial.Qué es la Seguridad de la Información La información = activo comercial Tiene valor para una organización y por consiguiente debe ser debidamente protegida. minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades” “La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados” .

• sus socios comerciales. objetivos y requisitos para el procesamiento de la información.Cómo establecer los requerimientos de Seguridad Evaluar los riesgos: • se identifican las amenazas a los activos. Conjunto específico de principios. • se evalúan vulnerabilidades y probabilidades de ocurrencia. Requisitos legales. . que ha desarrollado la organización para respaldar sus operaciones. contractuales que deben cumplir: reglamentarios y • la organización. y • se estima el impacto potencial. • los contratistas y los prestadores de servicios. normativos.

objetivos y actividades que reflejen los objetivos de la empresa. un claro entendimiento de los requerimientos de seguridad.Factores críticos del éxito • • política de seguridad. • • • . apoyo y compromiso manifiestos por parte de la gerencia. una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional. comunicación eficaz de los temas de seguridad a todos los gerentes y empleados. la evaluación de riesgos y la administración de los mismos.

. un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo. instrucción y entrenamiento adecuados.Factores críticos del éxito • • • distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas.

.Principales riesgos y el impacto en los negocios En estos tipos de problemas es difícil: • Darse cuenta que pasan. por ejemplo ¿cuánto le cuesta a la compañía 4 horas sin sistemas? • Poder vincular directamente sus efectos sobre los resultados de la compañía. hasta que pasan. • Poder cuantificarlos económicamente.

Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran lo menos posible: • sin grandes inversiones en software • sin mucha estructura de personal Tan solo: • ordenando la Gestión de Seguridad • parametrizando la seguridad propia de los sistemas • utilizando herramientas licenciadas y libres en la web .

Contenido de la Norma NTP ISO/IEC 17799 .

Norma ISO 17799:2000 Seguridad de la Información Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestión de la seguridad de la información Base común para el desarrollo de estándares de seguridad .

. disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera.Norma ISO 17799 Seguridad de la Información Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la información y los métodos de procesamiento.

a su vez.Estructura norma ISO/IEC 17799 • Cada área o dominio tiene asociados uno o varios objetivos de seguridad Para cada objetivo se definen. uno o más controles de seguridad cuya implantación debe traducirse en la consecución del objetivo de seguridad asociado • 10 ÁREAS 36 OBJETIVOS 127 CONTROLES .

Plan de Continuidad del Negocio 10. Sistema de Control de Accesos 8. Gestión de Comunicaciones y Operaciones 7. Desarrollo y Mantenimiento de Sistemas 9.Cumplimiento . Clasificación y Control de Activos 4. Seguridad Física y Ambiental 6. Política de Seguridad 2.Norma ISO 17799 Seguridad de la Información 1. Organización de Seguridad 3. Aspectos humanos de la seguridad 5.

Política de Seguridad .

POLÍTICA DE SEGURIDAD Nivel gerencial debe: v aprobar y publicar la política de seguridad v comunicarlo a todos los empleados .

POLÍTICA DE SEGURIDAD Debe incluir: vobjetivos y alcance generales de seguridad vapoyo expreso de la dirección vbreve explicación de los valores de seguridad de organización vdefinición de las responsabilidades generales específicas en materia de gestión de la seguridad de información vreferencias a documentos que puedan respaldar política la y la la .

POLÍTICA DE SEGURIDAD Autorización Protección Física Confiabilidad Confidencialidad Propiedad Política de Seguridad Legalidad Disponibilidad Eficiencia Integridad Eficacia Exactitud .

Organización de la Seguridad .

 Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas .ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información  Debe establecerse un marco gerencial para iniciar y controlar la implementación.  Deben establecerse adecuados foros de gestión de seguridad y responsabilidades para cada usuario en la organización.

asignar funciones de seguridad actualizarse ante cambios coordinar la implementación definir metodologías y procesos específicos seguridad  monitorear incidentes de seguridad  lidera el proceso de concientización de usuarios      de .ORGANIZACION DE LA SEGURIDAD Foros de Gestión aprobar la política de seguridad de la información.

ORGANIZACION DE LA SEGURIDAD Principales roles y funciones Sponsoreo y seguimiento • Dirección de la Compañía • Foro / Comité de Seguridad Autorización • Dueño de datos Administración  Administrador de Seguridad Cumplimiento directo  Usuarios finales  Terceros y personal contratado  Área de sistemas Definición Control • Área de Seguridad Informática  Auditoría Interna • Área de Legales/RRHH/DD/FORO  Auditoría Externa .

ORGANIZACION DE LA SEGURIDAD Seguridad frente al acceso por parte de terceros  El acceso por parte de terceros debe ser controlado. Los controles deben ser acordados y definidos en un contrato con la tercera parte. .   Debe llevarse a cabo una evaluación de riesgos: determinar las incidencias en la seguridad y los requerimientos de control.

guardia de seguridad y otros servicios de soporte tercerizados. • limpieza. . "catering". • pasantías de estudiantes y otras designaciones contingentes de corto plazo.ORGANIZACION DE LA SEGURIDAD Tipos de terceros • personal de mantenimiento y soporte de hardware y software. • consultores.

Clasificación y Control de Activos

CLASIFICACION Y CONTROL DE ACTIVOS  Inventarios de Información e Instalaciones  Designar un propietario para cada uno de ellos

 Clasificación de la información

Seguridad del Personal

.SEGURIDAD DEL PERSONAL Seguridad en la definición de puestos de trabajo y la asignación de recursos Las responsabilidades en materia de seguridad deben ser:  explicitadas en la etapa de reclutamiento.  incluidas en los contratos y  monitoreadas durante el desempeño como empleado.

y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.SEGURIDAD DEL PERSONAL Capacitación del usuario Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información. .

y monitorear dichos incidentes y aprender de los mismos. .SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalías en materia de seguridad Minimizar el daño producido por incidentes y anomalías en materia de seguridad.

SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización. .

Seguridad Física y Ambiental .

daños e interferencia a:  sedes  instalaciones  información .SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados.

SEGURIDAD FISICA Y AMBIENTAL Perímetro de seguridad física Controles de acceso físico Seguridad del equipamiento Suministros de energía Cableado de energía eléctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del ámbito de la organización  Políticas de escritorios y pantallas limpias  Retiro de bienes        .

Gestión de Operaciones y Comunicaciones .

 Se deben documentar los procedimientos de operación .  Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información.  Se debe implementar la separación de funciones cuando corresponda.GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

.GESTION DE OPERACIONES Y COMUNICACIONES Separación entre instalaciones instalaciones operativas Deben separarse las instalaciones de: de desarrollo e  Desarrollo  Prueba  Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo.

GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento  Acuerdos de intercambio de información y software      .

Sistema de Control de Accesos .

.SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos  Coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes Administración de accesos de usuarios  Se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y servicios de información.

SISTEMA DE CONTROL DE ACCESOS        Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas .

Desarrollo y Mantenimiento de Sistemas .

DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas.  Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información. . Asegurar que la seguridad es incorporada a los sistemas de información.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicación Se deben diseñar en los sistemas de aplicación, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo:  la validación de datos de entrada,  procesamiento interno, y  salidas.

Plan de Continuidad del Negocio

PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.  Se debe implementar un proceso de administración de la continuidad de los negocios  Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.

.  Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administración y gestión.PLAN DE CONTINUIDAD DEL NEGOCIO  Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables.  La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos.

PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas • Clasificación de los distintos escenarios de desastres • Evaluación de impacto en el negocio • Desarrollo de una estrategia de recupero • Implementación de la estrategia • Documentación del plan de recupero • Testeo y mantenimiento del plan .

Cumplimiento .

y de los requisitos de seguridad.CUMPLIMIENTO  Impedir infracciones y violaciones de las leyes del derecho civil y penal. normas.  Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización. . estatutos. reglamentos o contratos.  Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas. de las obligaciones establecidas por leyes.

.CUMPLIMIENTO Recolección de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas específicas del tribunal en el cual se desarrollará el caso:  validez de la evidencia: si puede o no utilizarse la misma en el tribunal.  peso de la evidencia: la calidad y totalidad de la misma.

CUMPLIMIENTO  adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el período en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia. las organizaciones deben garantizar que sus sistemas de información cumplan con los estándares o códigos de práctica relativos a la producción de evidencia válida. .

CUMPLIMIENTO Revisiones de la política compatibilidad técnica de seguridad y la Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la organización. .

. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo. o los obstáculos que pudieran afectarlo.

CUMPLIMIENTO Relación entre RIESGOS y DELITOS informáticos Delitos tradicionalmente denominados informáticos Delitos convencionales Infracciones por “Mal uso” .

Propiedad intelectual / Software Legal Regulación de las Comunicaciones Comerciales Publicitarias por Correo Electrónico – “Antispam” o Delitos Informáticos o Confidencialidad de la Información y productos protegidos o Normativa específica del Banco Central de la República Argentina .CUMPLIMIENTO Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Perú o o o o Protección de Datos Personales – “Habeas Data” Firma Digital.

Programa Continuo de Seguridad de la Información .

ISO/IEC 17799 •Código de buenas prácticas en gestión de la seguridad de la información Seguridad organizativa 5-Política de Seguridad 6-Estructura Organizativa para la Seguridad 7-Clasificación y control de Activos 8-Seguridad en el Personal 9-Seguridad física y del entorno 10-Gestión de Comunicaciones y operaciones Seguridad lógica Seguridad física Seguridad legal 11-Desarrollo y Mantenimiento de Sistemas 12-Control de Accesos 13-Gestión de Incidentes de Seguridad 14-Gestión de Continuidad del negocio 15-Cumplimiento NUEVO .

Implementación de un Programa de Seguridad Identificación de los principales riesgos informáticos para su compañía Definición por la Dirección de una política básica de seguridad R P A Acción concreta en dos frentes: Normativo Ejecutivo .

R Identificación de riesgos en su compañía Clasificación de los más críticos Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos .

R Identificación de riesgos en su compañía Personas y Organizaciones dentro y/o fuera Competidores Empleados descontentos Proveedores Clientes Hackers Consultores “in company” Compañías asociadas .

R Identificación de riesgos en su compañía Donde hay información sensible en los sistemas centrales en las PC´s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal .

P Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros .

P Definición de una política básica de seguridad Autorización Protección Física Confiabilidad Confidencialidad Propiedad Política de Seguridad Legalidad Disponibilidad Eficiencia Integridad Eficacia Exactitud .

A Acción concreta: Plano Normativo Identificación de responsabilidades de seguridad Sponsoreo y seguimiento • Dirección de la Compañía Cumplimiento directo • Usuarios finales • Comité de Seguridad Autorización • Dueños de datos Definición • Area de Legales/otras • Terceros y personal contratado • Area de sistemas Administración • Administrador de Seguridad • Auditoría Interna / Externa • Area de Seguridad Informática Control .

A Acción concreta: Plano Normativo Desarrollo de la normativa básica y publicación Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes .

A Acción concreta: Plano Normativo Definición de un sistema de “premios y castigos” en su compañía Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros “in company” Utilización de convenios de confidencialidad .

A Acción concreta: Plano Ejecutivo Definición e implementación de la función de Seguridad Informática Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas .

A Acción concreta: Plano Ejecutivo Mejoras en los procesos del área de Sistemas  Administración de Usuarios y Permisos en los Sistemas  Separación de Ambientes de Trabajo  Licencias legales de Software  Copias de Respaldo  Seguridad Física de las Instalaciones y Recursos  Prevención de Virus y Programas Maliciosos  Seguridad en las Comunicaciones  Auditoría Automática y Administración de Incidentes de Seguridad  Uso del Correo Electrónico  Uso de Servicios de Internet .

A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en:  Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio. cuya interrupción puede afectar directamente los objetivos de la compañía. .

Funcional: procedimientos del personal .Tecnológico: procesamiento de los sistemas .A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Componentes .

A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Etapas en la Implementación del Plan 1: 2: 3: 4: 5: 6: Clasificación de los distintos escenarios de desastres Evaluación de impacto en el negocio Desarrollo de una estrategia de recupero Implementación de la estrategia Documentación del plan de recupero Testeo y mantenimiento del plan .

administración centralizada. monitoreo automático) .A Acción concreta: Plano Ejecutivo Parametrización de las redes y los sistemas de una forma más segura Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores. PC´s y laptops Seguridad física Integración con otras tecnologías Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción.

A Acción concreta: Plano Ejecutivo Implementación de monitoreos de incidentes de seguridad Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías .

A Acción concreta: Plano Ejecutivo Concientización a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros “in company” Utilizando la tecnología y los medios disponibles Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos .

Mismo el ISMS ISO 17799 .Implemente Ud.

• 2 a 3 semanas . Mismo el ISMS ISO 17799 Diagnóstico Inicial: • Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 17799.Implemente Ud.

Mismo el ISMS ISO 17799 Módulos: • Se agrupan por Módulos cada conjunto de tareas. podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal. debiendo identificarse la duración de cada uno de ellos. .Implemente Ud. en general.

Mismo el ISMS ISO 17799 Módulo 1: • Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía • Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible • Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso) .Implemente Ud.

Mismo el ISMS ISO 17799 Módulo 2: • Definir.Implemente Ud. aprobar y difundir la Política de Seguridad de la Compañía • Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía • Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía • Implementar Esquema de Propietarios de Datos .

Mismo el ISMS ISO 17799 Módulo 3: • Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros • Iniciar proceso de redacción de las Normas .Implemente Ud.

Mismo el ISMS ISO 17799 Módulo 4: • Finalizar Clasificación de Información • Relevar medidas implementadas en las funciones del área de sistemas .Implemente Ud.

Mismo el ISMS ISO 17799 Módulo 5: • Finalizar la Redacción y Difundir las Normas de Seguridad • Implementar las definiciones de las Normas .Implemente Ud.

Implemente Ud. Mismo el ISMS ISO 17799 Módulo 6: • Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas • Implementar mejoras en los sectores usuarios para información impresa .

Implemente Ud. Mismo el ISMS ISO 17799 Módulo 7: • Iniciar proceso de redacción de Procedimientos críticos • Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información .

etc) .Implemente Ud. Mismo el ISMS ISO 17799 Módulo 8: • Finalizar la redacción y difundir los Procedimientos críticos • Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes.

Mismo el ISMS ISO 17799 Módulo 9: • Implementar los Procedimientos de Seguridad Críticos • Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad .Implemente Ud.

Implemente Ud. Mismo el ISMS ISO 17799 Módulo 10: • Definir junto a RRHH mecanismos de Control y Sanciones • Efectuar la Concientización de Usuarios de toda la Compañía .

Implemente Ud. Mismo el ISMS ISO 17799 Módulo 11: • Diagnóstico General respecto Norma ISO 17799 (similar a una Preauditoría de Certificación ISO) .

Mismo el ISMS ISO 17799 Módulo 12: • Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799 .Implemente Ud.

Casos prácticos de implementaciones: key points Errores en asignación de Dueños de Datos Interrelación compleja con otros proyectos Extenso período de discusión de la normativa Implementación prolongada en algunas tecnologías Discusiones con proveedores de software por soluciones  Personas “de peso” deciden aplicar las políticas para todos menos para ellos      .

Casos prácticos de implementaciones: key points  Algunas soluciones técnicas sólo son aplicables para todos los usuarios de todas las compañías al mismo tiempo  Prolongados períodos de evaluación de riesgos  Diferencias de criterios en clasificación de la información  Dificultades en implementación de medidas disciplinarias  Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento .

Casos prácticos de implementaciones: key points Facilidad en el USO vs mejor PROTECCION de la Información .

Contactos Técnicos carlos.com .miranda@gtcmovil.