2007 generación 6 diplomado de seguridad informática 1 proyecto trabajo práctico desarrollo de la...
TRANSCRIPT
2007 Generación 6 Diplomado de Seguridad Informática
1
ProyectoTrabajo Práctico
Desarrollo de la estrategia de seguridad de una organización
Jesús Vázquez Gómez
2007 Generación 6 Diplomado de Seguridad Informática
2
Contenido
Objetivo Aspectos de la estrategia Panorama de los elementos de la estrategia Instrucciones de realización Entregables por fase Acuerdos
2007 Generación 6 Diplomado de Seguridad Informática
3
Objetivo
Capacitar al participante en el proceso de la gestión de la seguridad, mediante el desarrollo de una estrategia de seguridad de la información.
Esta estrategia incluye el establecimiento de la misión de seguridad de la organización, así como la realización de un análisis de riesgos y la redacción de una serie de documentos (políticas), que den soporte a esta estrategia y que permiten precisar los mecanismos o controles necesarios para proteger a la organización.
2007 Generación 6 Diplomado de Seguridad Informática
4
Definición de Estrategia
Término utilizado para identificar las operaciones fundamentales tácticas que orientarán el proceso (administrativo) para alcanzar los objetivos a los que se desea llegar.
Una estrategia muestra cómo una institución pretende llegar a esos objetivos.
Constituye la ruta a seguir.
2007 Generación 6 Diplomado de Seguridad Informática
5
Estrategia
1. Objetivos de la organización (Misión y Misión de Seguridad de la información)
2. Análisis de riesgos (Amenazas, Vulnerabilidades y riesgo)
3. Definición de las políticas de seguridad
4. Normatividad interna y externa
5. Continuidad de Operación
6. Auditoría (cumplimiento)
7. Hacer de esta estrategia un proceso continuo
2007 Generación 6 Diplomado de Seguridad Informática
6
Panorama de los elementos de la estrategia
2007 Generación 6 Diplomado de Seguridad Informática
7
Análisis de riesgos informáticos
Es parte fundamental en la administración de la seguridad. Entre los beneficios que genera:
Identifica los puntos más débiles de la infraestructura de TI que da soporte a los procesos críticos de la organización.
Guía la selección de medidas de protección de costo adecuado (controles).
Determina dónde es necesario contar con esquemas de recuperación de desastres y continuidad de negocio.
Permite realizar políticas de seguridad mejor adaptadas a las necesidades de la organización.
2007 Generación 6 Diplomado de Seguridad Informática
8
Misión organizaciónMisión organización
Misión de seguridadMisión de seguridad
Políticas de redPolíticas de red Políticas de plataformas
Políticas de plataformas
Políticas de aplicaciones
Políticas de aplicaciones
Políticas de Usuarios
Políticas de Usuarios
InternetInternet
DMZDMZ
AdministradoresAdministradores
CustodiosCustodios
EscritorioEscritorio
PruebaPrueba
ProducciónProducciónRed internaRed interna
ComercialesComerciales
PropietariasPropietarias
Documentos
Internos / externosInternos / externosFreewareFreeware
Procedimientos
2007 Generación 6 Diplomado de Seguridad Informática
9
Misión
Políticas
Normas (internas, externas)
Procedimientos
Nivel de abstracción
2007 Generación 6 Diplomado de Seguridad Informática
10
Política de seguridad
Documento que expresa el nivel de riesgo que una empresa está dispuesta a correr.
Representa la filosofía de seguridad de la organización. Debe ser perdurable en el tiempo, breve, clara y con
respaldo de la alta Dirección. Puede haber políticas a diferentes niveles (generales, de
temas específicos y de sistemas específicos o procedimientos)
2007 Generación 6 Diplomado de Seguridad Informática
11
Normas y estándares
Son documentos que expresan los lineamientos generales que debe cumplir la tecnología para proteger la información (por ejemplo NOM 151, estándar DES, FIPS 201, etc.).
Son independientes de la herramientas que se utilicen pero ayudan a determinar qué tecnología es aceptada.
Si una norma o estándar le aplica a una organización, o a un país, debe considerarse que en el desarrollo de las políticas no se contradiga a esta norma o estándar. En este caso se dice que las normas o estándares son obligatorios.
2007 Generación 6 Diplomado de Seguridad Informática
12
Procedimientos
Los procedimientos son instrucciones paso a paso de cómo se deben administrar, utilizar, recuperar en contingencia, los controles o mecanismos.
2007 Generación 6 Diplomado de Seguridad Informática
13
Mecanismos y Controles
Son las herramientas tecnológicas que implantan los lineamientos expresados en las políticas y procedimientos.
Deben tener una correspondencia las políticas, normas y procedimientos, de tal forma que no vayan en contra de los especificado.
Son administrados por personal especializado. En ocasiones requieren de certificaciones para su correcta administración.
2007 Generación 6 Diplomado de Seguridad Informática
14
Elementos a considerar al seleccionar los mecanismos y controles
Control de acceso. Clasificación de
recursos. Separación de
Funciones. Necesidad de saber. Monitoreo. Detección de intrusos.
Redundancia. Continuidad. Actualización. Cultura. Confidencialidad. Integridad. Autentificación. Ética.
2007 Generación 6 Diplomado de Seguridad Informática
15
Normas y estándares (Cumplimiento)
2007 Generación 6 Diplomado de Seguridad Informática
16
ISO – 17799 Código de la Práctica
1. Información de las Políticas de Seguridad2. Organización de la Seguridad3. Clasificación de Activos y su Control4. Control de Acceso5. Administración de Comunicaciones y de las Operaciones6. Desarrollo de Sistemas y su Mantenimiento7. Administración de la Continuidad del Negocio8. Seguridad del Personal9. Seguridad Física y Ambiental10. Cumplimiento
2007 Generación 6 Diplomado de Seguridad Informática
17
Preceptos básicos de modelos
Confidencialidad Separación de funciones Transacciones correctas (procedimientos de
verificación de la integridad en las operaciones). Conflicto de intereses Saneamiento de la información
2007 Generación 6 Diplomado de Seguridad Informática
18
Instrucciones de realización
2007 Generación 6 Diplomado de Seguridad Informática
19
Procedimiento general
1. Determinar una misión de la organización que haya seleccionado su equipo, y a partir de ella especifique una misión de seguridad.
2. Para su análisis de riesgos, determinar los procesos de misión crítica que hacen uso de TI. Qué sistemas, servicios soportan a estos procesos.
3. Bajar el último reporte del CSI/FBI y junto con su propia experiencia, establecer cuáles de los activos de la organización son los más afectados y a los que dedicaremos un presupuesto de $250,000.00 USD. Anual (ref www.gocsi.com)
4. En base a lo anterior determinar 1 política general para cada rubro general basándonos en la lámina intitulada “documentos”.
5. Conforme avance el curso, ir seleccionando mecanismos (controles) que permitan cumplir con las políticas generales y definir sus procedimientos (sin perder el enfoque de los niveles de abstracción). Consulte al instructor respecto a los mecanismos que convendría emplear para la organización que su equipo seleccionó.
2007 Generación 6 Diplomado de Seguridad Informática
20
Procedimiento general
6. Determinar procedimientos que permitan comprobar la efectividad de los controles (auditoría).
7. Conforme avance el curso, realizar una comparación contra los dominios de ISO-17799, para identificar qué falta para cumplir con dicho estándar.
8. NOTA: Esta metodología es suficiente para proveer con un esquema de seguridad informática razonable para un curso (y para la mayoría de las organizaciones que están iniciando la seguridad); sin embargo, para certificaciones y cumplimiento de auditorias de seguridad, se requeriría un desglose más específico, cubriendo cuestiones de seguridad Física, aspectos legales e incluso pruebas de correspondencia con las políticas generales y con la misión.
2007 Generación 6 Diplomado de Seguridad Informática
21
Organizaciones propuestas
Financiera (Casa de Bolsa) Consultora de seguridad Gobierno (Elecciones nacionales por red) Servicios al consumidor Pequeña empresa de artesanos Protección a testigos
2007 Generación 6 Diplomado de Seguridad Informática
22
Características comunes
Uso de Internet para operación y servicio al cliente
Alcance en México y EU Se supone que se cuenta con 250,000.00 dólares
de presupuesto en empresas grandes y 250,000.00 pesos en empresas pequeñas.
Todas las empresas cuentan ya con Firewall de frontera y Antivirus en PCs.
2007 Generación 6 Diplomado de Seguridad Informática
23
Formato para entrega de Políticas
Nombre de la política y nivel: Política general, Norma, Procedimiento, Configuración
Objetivo Sujetos (responsables) Contenido de la política Sanción Glosario Fecha en que entra en vigencia Fecha de Revisión
2007 Generación 6 Diplomado de Seguridad Informática
24
Entregables por fase
2007 Generación 6 Diplomado de Seguridad Informática
25
Entregables
Fase 1 Establecer la Misión de la Organización Determinar los procesos críticos (3) de la Organización Establecer la Misión de Seguridad de la Organización Establecer las Políticas Generales (4) Entregar una semana antes de nuestro siguiente
encuentro al final del módulo 2
2007 Generación 6 Diplomado de Seguridad Informática
26
Entregables
Fase 2 Identificar las amenazas y vulnerabilidades que pesan
sobre la infraestructura de redes de la organización Realizar un análisis de riesgos para la infraestructura
de redes. Entregar una semana antes de la próxima sesión de
seguimiento al final del módulo 3
2007 Generación 6 Diplomado de Seguridad Informática
27
Entregables
Fase 3 Proponer mecanismos (2) de seguridad para minimizar el riesgo
estimado en la fase anterior, tomando en cuenta el impacto a la organización y el presupuesto asignado.
Para cada uno de los mecanismos seleccionados, establecer los procedimientos siguientes:
Procedimiento de administración del mecansimo Procedimiento de configuración del mecanismo Procedimiento de contingencia Procedimiento de registro de bitácoras del mecanismo
Entregar una semana antes de la próxima sesión de seguimiento al final del módulo 4
2007 Generación 6 Diplomado de Seguridad Informática
28
Entregables
Fase 4 Para cada uno de los mecanismos descritos en la fase anterior,
establecer los procedimientos de control siguientes: Medición de la efectividad del control Cumplimiento
Definir al menos dos esquemas contractuales que faciliten el proceso de seguimiento de un acto indebido en los sistemas de la organización.
Comprobar que los controles de seguridad establecidos pueden facilitar el seguimiento legal de un mal uso (fraude) por un usuario o administrador de los sistemas de la organización (qué puede ser una evidencia electrónica?).
Entregar una semana antes de la próxima sesión de seguimiento al final del módulo 5
2007 Generación 6 Diplomado de Seguridad Informática
29
¿Qué no incluye el proyecto?
Resolver el problema de la estrategia de seguridad de una empresa en particular a la que pertenecen los participantes (se estarán manejando casos ficticios, que aunque se parecieran a la realidad, no se cuenta con el entorno real como puede ser: el grupo de desarrollo de la estrategia, el conocimiento de la empresa, el conocimiento de la infraestructura de TI y de seguridad de la empresa).
Si fuese un diplomado dedicado a una sola empresa, el proyecto sí podría enfocarse a resolver problemas reales de esta empresa.
Evaluar la configuración de algún mecanismo de seguridad particular a una empresa, en el entendido que no se cuenta con el tiempo y recursos para llegar al grado de detalle de las configuraciones para n mecanismos.
2007 Generación 6 Diplomado de Seguridad Informática
30
¿Qué sí incluye el proyecto?
Un esquema para poder llevar a cabo el proceso de gestión de una estrategia de seguridad de una organización.