dit-upm
Seguridad de losSistemas de Información
José A. Mañas < http://www.dit.upm.es/~pepe/>Dep. de Ingeniería de Sistemas Telemáticos
E.T.S. Ingenieros de TelecomunicaciónUniversidad Politécnica de Madrid
Febrero de 2012
ditÍndice
Seguridad de la información
Análisis de riesgos
Tratamiento de los riesgos
Continuidad de negocio
SGSI – Sistema de Gestión (de la Seguridad de la Información)
ENS – Esquema Nacional de Seguridad
Fin
seguridad de la información
2
ditSistema de información
Los ordenadores y redes de comunicaciones electrónicas, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento
Los sistemas tienen una o dos misiones custodiar datos
para que puedan ser utilizados por quien debe cuando quiera
prestar servicios administrativos
comerciales
industriales
seguridad de la información
3
ditGobierno de las TIC
Las TIC son una oportunidad pero conllevan un riesgo
Las decisiones deben equilibrar ambas caras destinando recursos prudentes a los objetivos de negocio
destinando recursos prudentes a la protección
Toda decisión de gobierno debe estar informada la funcionalidad que queremos obtener
los riesgos en que incurrimos = su seguridad
seguridad de la información
órganos de gobierno
gestorestécnicos
TIC equipamiento TIC4
ditLos sistemas de información
Antes la informática era cosa de unos pocos profesionales
los sistemas eran complejos y muy suyos
la seguridad no era un problema
La red lo cambia todo
no hay equipos aislados
los malos saben lo mismo que los buenos
Ahora las amenazas incluyen la naturaleza, la industria y el hombre
los sistemas son excesivamente complejos para que alguien, en singular, comprenda absolutamente todos los detalles
seguridad de la información
5
ditObjetivos de la seguridad
Mantener la disponibilidad de los datos almacenados, así como su disposición a ser compartidos
contra la interrupción del servicio
Mantener la integridad de los datos ... contra las manipulaciones
Mantener la confidencialidad de los datos almacenados, procesados y transmitidos
contra las filtraciones
Asegurar la identidad de origen y destino (autenticidad) frente a la suplantación o engaño
Trazabilidad: saber quién ha hecho qué en qué momento para perseguir y mejorar
seguridad de la información
6
ditConsecuencias
Fallos de confidencialidad fugas de información no hay reparación posible
si se detecta, tenemos la opción de perseguir (disuasorio)
Fallos de integridad datos manipulados si se detecta, tenemos la opción de recuperar [de otra fuente]
Autenticidad = integridad [de los meta-datos]
Trazabilidad = integridad [de los registros de actividad]
Fallos de disponibilidad interrupción del servicio medios alternativos
restauración de los medios habituales
seguridad de la información
7
ditCoste de la interrupción
15
m
30
m
1h
2h
6h
1d
2d
1s
2s
1m
2m
6m
1a
tota
l S1
0
2
4
6
8
10
coste
duración de la parada
coste de [la interrupción de la] disponibilidad
seguridad de la información
8
ditAsegurar todos los niveles
La información
Los procesos
Las aplicaciones
El sistema operativo
El hardware
Las comunicaciones
Los soportes de información
Las instalaciones
El personal
seguridad de la información
9
ditDefiniciones
Seguridad de las redes y de la información:
la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles
REGULATION (EC) Not 460/2004 10 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March 2004 establishing the European Network and Information Security Agency
seguridad de la información
10
ditPuntos de vista
Los usuarios del SI ven la seguridad como confianza
Los técnicos ven la seguridad como componentes, dispositivos, software, ...
Los atacantes ven la seguridad como aquello que impide sus objetivos
Los gestores ven la seguridad como gestión de riesgos = tener los riesgos bajo control
Los órganos de gobierno ven la seguridad como un límite a las oportunidades que abren las TIC
The same solution that keeps out the bad(specially it if mutates)
will also keep out the good.P. Herzogseguridad de la
información11
ditRiesgo
Riesgo el arte de vivir con sistemas razonablemente seguros
Análisis de impacto el arte de estimar las consecuencias de una amenaza potencial
Análisis de riesgos el arte de estimar las consecuencias recurrentes de la inseguridad residual
Análisis de riesgos y análisis de impacto proporcionan información para tomar decisiones
Gestión de riesgos Analizar + aplicar medidas
seguridad de la información
12
ditReferencias
USA : NIST SP-800-30:2002Risk Management Guide for Information Technology Systems
The only mandatory requirement under the FISMA security standards and guidance is the application of the NIST Risk Management Framework — everything else is negotiable.
AS/NZ : AS/NZS 4360:2004Risk management
Risk management involves managing to achieve an appropriate balance between realizing opportunities for gains while minimizing losses.
seguridad de la información
13
ditÍndice
Seguridad de la información
Análisis de riesgos
Tratamiento de los riesgos
Continuidad de negocio
SGSI – Sistema de Gestión (de la Seguridad de la Información)
ENS – Esquema Nacional de Seguridad
Fin
seguridad de la información
14
ditGestión de riesgos
Estudio de los riesgos
Determinar el contexto
Identificación
Análisis
Evaluación
Mon
itor
izac
ión
y r
evis
ión
Com
un
icac
ión
y c
onsu
lta
¿Requieren atención los riesgos?
Tratamiento de los riesgos
sí
no
seguridad de la información
15
ditAnálisis (potencial)
activos
amenazas
probabilidad
impacto
valor
riesgo
están expuestos a
Interesan por su
degradacióncausan una cierta
con una cierta
seguridad de la información
16
ditAnálisis (residual)
activos
amenazas
probabilidadresidual
impactoresidual
valor
riesgoresidual
están expuestos a
Interesan por su
degradaciónresidual
causan una cierta
con una cierta
tipo de activodimensión
amenazanivel de riesgo
salvaguardas
seguridad de la información
17
ditRoles
El responsable de la información (N) valora los requisitos de seguridad de la información
El responsable del servicio (N) valora los requisitos de seguridad del servicio
El analista de riesgos propaga requisitos selecciona y evalúa salvaguardas informa del riesgo
El propietario del riesgo (risk owner) evalúa el riesgo toma las decisiones de asunción del riesgo has the accountability and authority to manage the risk
seguridad de la información
18
ditENS – Guía 801 - roles
seguridad de la información
19
ditENS – Guía 801 - roles
seguridad de la información
20
ditEl análisis de riesgos no es simple
Muchos activos los sistemas son complejos
Activos de muchos tipos información, servicos
equipamiento: aplicaciones, equipos, comunicaciones, ...
locales: recintos, edificios, áreas, ..., en el campo
personas: usuarios, operadores, desarrolladores, ...
Muchas amenazas y muchas formas de hilvanar las amenazas
Muchísimas salvaguardas gestión, técnicas, seguridad física, recursos humanos
... lleva tiempo... cuesta dinero
... no vale una vez y para siempre
seguridad de la información
21
ditMetodología de análisis de riesgos
La complejidad se ataca metódicamente una metodología es una aproximación sistemática
para cubrir la mayor parte de lo que puede ocurrir
para olvidar lo menos posible
para explicar a los gerentes qué se necesita de ellos
para explicar a los técnicos qué se espera de ellos
para explicar a los usuarios qué un uso decente del sistema
qué es una respuesta urgente
cómo se gestionan los incidentes
una metodología necesita modelos elementos: activos, amenazas, salvaguardas
métricas: impacto y riesgo
seguridad de la información
22
ditMetodología Magerit / PILAR
análisisRiesgos (SistemaInformación si) {
Contexto contexto= establecerContexto (si);
Set<Activo> activos= getModeloValor(si);
Set<Amenaza> amenazas= getMapaAmenazas(si, activos);
Riesgo potencial= calcula(activos, amenazas);
Set<Salvaguarda> salvaguardas= necesidad(activos, amenazas);
evaluaEstadoActual(salvaguardas);
Riesgo residual= calcula(activos, amenazas, salvaguardas);
}
seguridad de la información
23
ditMetodología Magerit / PILAR
Set<Activos> getModeloValor(SistemaInformación si) {
do {
Set<Activo> activos= descubrimiento(si);
relaciones(activos, si);
valoración(activos, si);
} until (dirección.aprueba(activos));
dirección.firma(informe(activos));
return activos;
}
seguridad de la información
24
ditActivos
Magerit son los recursos del sistema de información, o relacionados con
éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
ISO Asset. Anything that has value to the organization.
seguridad de la información
25
ditTipos de activos
Servicios
Datos / información
Aplicaciones (software)
Equipos informáticos (hardware)
Redes de comunicaciones
Soportes de información
Equipamiento auxiliar
Instalaciones (locales, etc.)
Personal
Datos / información
Serviciosnegocio
ingenieríaaprovisionamiento
seguridad de la información
26
ditUnos activos dependen de otros
servicios
software equipamiento[hw + com + si + aux]
personalinstalaciones
información
esencial
seguridad de la información
27
ditDependencia
Un servicio deja de estar disponible [D] ¿por qué? si ocurre que ... a ...
¿dónde lo atacaría para detenerlo?
Un dato puede ser manipulado [I] ¿cómo? por medio de ...
¿dónde? estando en ...
Un dato puede ser revelado [C] ¿cómo? por medio de ...
¿dónde? estando en ...
seguridad de la información
28
ditAcumulación y repercusión
Las dependencias crean la necesidad de proteger los activos inferiores para que cumplan su misión última
acumulación de responsabilidad
Las dependencias hacen a los activos superiores víctimas pasivas de los defectos de los inferiores
repercusión de consecuencias
seguridad de la información
29
ditValoración
Coste que supondría la ocurrencia de una amenaza valor de reposición
valor de reconstrucción
horas perdidas de trabajo
lucro cesante
daños y perjuicios
No sólo importa lo que cuesta; importa [más] para qué vale
Para un estudio comparativo basta alguna escala sencilla: 0, 1, 2, ..., 10
es más importante saber el valor relativo que el absoluto
Para un estudio de costes se requiere una estimación ajustada
seguridad de la información
30
ditValor cualitativo
Criterios homogéneos que permitan relativizar entre dimensiones
compartir / combinar análisis realizados por separado
uniformidad de conocimiento 9
7
6
4
1
8
alto
5
medio
3
2
bajo
despreciable0
10 muy alto
valor criterio10 - muy alto daño muy grave
8 - alto daño grave repercute en otros5 - medio daño importante queda en casa2 - bajo daño menor
0 - despreciable daño irrelevante
seguridad de la información
31
ditAmenazas
Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales
accidentales
deliberadas(intencionales)
naturalesterremotos, inundaciones, rayos, ...
industrialeselectricidad, emanaciones, ...
humanaserrores y omisiones
intercepción pasiva o activaintrusión, espionaje, ...robo, fraude, ...
seguridad de la información
32
ditAnálisis de amenazas
Identificación ¿qué puede ocurrir [que deba preocuparnos]?
por experiencia (propia o ajena)
por la propia naturaleza del activo (clase)
Cuantificación probabilidad de ocurrencia
consecuencias [sobre el valor de los activos] en magerit se llama degradación
seguridad de la información
33
ditImpacto (indicador)
Consecuencia que sobre un activo tiene la materialización de una amenaza
pérdida posible
Valoración cualitativa / subjetiva
irrelevante … grave … intolerable
cuantitativa / económica coste dinerario
Métodos directos: ¿qué impacto tendría ...?
indirectos: valor degradación
seguridad de la información
34
ditRiesgo (indicador)
Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización
pérdida probable
Valoración cualitativa / subjetiva
irrelevante … grave … intolerable
cuantitativa / económica coste dinerario
Métodos cualitativos: tabulares
cuantitativos: impacto frecuencia
seguridad de la información
35
ditEstimación cuantitativa
impacto = valor degradación
riesgo = impacto frecuencia
seguridad de la información
36
ditEstimación cualitativa
MA altomuy alto
muy alto
muy alto
muy alto
A medio alto alto alto alto
M bajo bajo medio medio medio
B bajo bajo bajo medio medio
MBmuy bajo
muy bajo
muy bajo
muy bajo
bajo
PF FN F MF EF
imp
acto
probabilidad
seguridad de la información
37
ditImpacto & riesgo
• Si el activo A depende del activo B,el valor de A se acumula en Ben la proporción en que A depende de B
activo A
activo Bamenaza
Z
activo A
activo Bamenaza
Z
acumulado repercutido
seguridad de la información
38
ditSalvaguardas
MAGERIT procedimiento o mecanismo tecnológico que reduce el riesgo
sinónimos: contra medidas, controles
ISO Safeguard. A practice, procedure or mechanism that reduces risk
synonyms: countermeasures, controls
seguridad de la información
39
dit¿Qué salvaguardas se requieren?
1. Se necesita una lista de posibles salvaguardas aconsejado por expertos
estándares (ej. ENS, 27002, PCI-DSS, 15408 PP, ...)
leyes, reglamentos, práctica sectorial
2. Hay que casar las salvaguardas con las amenazas identificadas se prepara una Declaración de Aplicabilidad)
(SoA – Statement of Applicability)
3. Se evalúa el despliegue actual: existencia (o ausencia)
efectividad del despliegue
seguridad de la información
40
ditIndicadores residuales
Impacto lo que puede pasar
Impacto residual el que queda tras contabilizar las medidas de seguridad adoptadas
Riesgo lo que probablemente pase
Riesgo residual el que queda tras contabilizar las medidas de seguridad adoptadas
seguridad de la información
41
ditImpacto y riesgo residuales
valores residuales
v0
eficacia de las medidas de seguridad0.0 100%
impactoriesgo
seguridad de la información
42
dit
probabilidad
impacto
Mitigación de riesgos
potencial
residual
seguridad de la información
43
ditÍndice
Seguridad de la información
Análisis de riesgos
Tratamiento de los riesgos
Continuidad de negocio
SGSI – Sistema de Gestión (de la Seguridad de la Información)
ENS – Esquema Nacional de Seguridad
Fin
seguridad de la información
44
dit¿Qué hacer con el riesgo?
Se evita si se puede ... es la solución ideal
prescindir de activos
Se reduce | se mitiga ocurre menos
impacto limitado
Se transfiere | se comparte se le pasa a otra organización
ya no es [sólo] “mi problema”
Se asume | se acepta pasa a contabilizarse como gasto operacional
puede ser una oportunidad
seguridad de la información
45
ditOpciones de tratamiento
Se evita eliminando activos
cambio de arquitectura
Se mitiga poniendo o mejorando salvaguardas
Se transfiere | se comparte cualitativo: externalizació
cuantitativo: seguro
Se acepta ... monitprización + reacción
hay que cuidar la reputación: departamento de comunicación
departamento legalhay que analizar otro sistema
seguridad de la información
46
dit
probabilidad
impacto
1
2
3
4
Evaluación en términos de negocio
seguridad de la información
47
ditAcciones
Zona 1 debemos atender a estos riesgos,
sacándolos de la zona 1
Zona 2 podemos negociarlo
¿cómo está la competencia?
Zona 3 podemos olvidarnos o asumir más riesgo
Zona 4 probablemente las medidas preventivas sean irrelevantes
hay que estar preparados para detectar y reaccionar con presteza, limitando el impacto o tener un plan alternativo
1
2
3
4
seguridad de la información
48
ditTiempos
Todo lo que podamos prevenir ... ... si se justifica el coste
Escenarios de desastre previstos si es que el incidente es previsible
Gestión de crisis indicadores predictivos
detección y escalado de la alarma
gestión de los afectadossistemas, negocio, clientes, sociedad
recuperaciónbusiness as usual?
esto es aplicable en riesgos que admiten una
disminución de probabilidad
esto es aplicable en riesgos de alto impacto
hay que dedicarle tanto más estudio cuanto mayor es el impacto potencial
seguridad de la información
49
ditRegulación & cumplimiento
Son respuestas ‘rápidas’ frente a escenarios que quizás nunca más se darán
calman la alarma social
¿evitan organizaciones suicidas?
es difícil validar su efecto se trata de una intervención “rápida” en un proceso impredecible
Algunas medidas se toman por miedo al incumplimiento quedar fuera del mercado
acabar en prisión
lo que no puede ser es que te pillen con los deberes sin hacer
seguridad de la información
50
ditCiclos de gestión de riesgos
sistema nuevo
incidente nuevo
análisis del riesgo
¿es aceptable el impacto [residual]?
¿es aceptable el riesgo [residual]?
se toman medidaspara prevenir, detectar y recuperar
se
us
a e
l sis
tem
a
seguridad de la información
51
ditAceptación del riesgo
Es una opción honrada y necesaria
pero peligrosa el análisis dice cuán peligrosa
Debe ser tomada EXPLÍCITAMENTE por negocio nunca puede ser una decisión técnica
seguridad de la información
52
ditSoporte en herramientas
EARPILAR
programas de seguridad
activos
amenazas
impacto y riesgo potenciales
evaluación de salvaguardas
progresosalvaguardas
plan de seguridad
costes & beneficiosimpacto y riesgo residuales
seguridad de la información
53
ditÍndice
Seguridad de la información
Análisis de riesgos
Tratamiento de los riesgos
Continuidad de negocio
SGSI – Sistema de Gestión (de la Seguridad de la Información)
ENS – Esquema Nacional de Seguridad
Fin
seguridad de la información
54
ditContinuidad de negocio
Es improbable un desastre; pero somos muy vulnerables dependencia creciente de la tecnología
interdependencia de los proveedores su problema es mi problema
un acto individual puede tener consecuencias planetarias
la competencia [feroz] no perdona detenciones prolongadas o, simplemente, apreciables por los usuarios
por obligación legalo por regulación sectorial
seguridad de la información
55
ditCoste de la interrupción
15
m
30
m
1h
2h
6h
1d
2d
1s
2s
1m
2m
6m
1a
tota
l S1
0
2
4
6
8
10
coste
duración de la parada
coste de [la interrupción de la] disponibilidad
seguridad de la información
56
ditTiempos
último backup medios alternativos
sin servicio
información defectuosa
RTO
RPO
seguridad de la información
57
ditMTPD / RTO
nivel de servicio
tiempo
MTPD
RTO
nivel estándar
nivel mínimo tolerable
seguridad de la información
58
ditImpacto residual
time to recover
madurezL0 L5
T0
backup
L4L3L2L1
seguridad de la información
59
ditDesarrollo de un plan
1. Definir una política (formal)
2. BIA – análisis del impacto en el negocio
3. Identificación de medidas de seguridad
4. Selección de medios alternativos
5. Escribir un plan
6. Auditoría, pruebas, entrenamiento
7. Mantenimiento regular
tenemos más
sabemos más
seguridad de la información
60
ditBIA: business impact analysis
1. Determinación de las funciones críticas
de producción
de responsabilidad legal y contractual
2. Determinación de recursos críticos para funciones críticas
3. Determinación del coste por hora de indisponibilidad
4. Identificación de
activos que requieren una alternativa
tiempo crítico de puesta en marcha
seguridad de la información
61
ditEstrategias de supervivencia
... de los servicios
... de la información
... de las aplicaciones
... de los equipos
... de las instalaciones
... del personal
criterios• impacto a tratar• coste• tiempo de entrada en acción• localización
seguridad de la información
62
ditÍndice
Seguridad de la información
Análisis de riesgos
Tratamiento de los riesgos
Continuidad de negocio
SGSI – Sistema de Gestión (de la Seguridad de la Información)
ENS – Esquema Nacional de Seguridad
Fin
seguridad de la información
63
ditDefiniciones
seguridad de la información la preservación de la confidencialidad, la integridad y la
disponibilidad de la información, puede, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad y el no repudio
sistema de gestión de la seguridad de la información (SGSI) la parte del sistema de gestión general, basada en un enfoque
de riesgo empresarial, que se establece para crear, implementar, hacer funcionar, supervisar, revisar, supervisar, mantener y mejorar la seguridad de la información
NOTA el sistema de gestión incluye la estructura organizativa, las políticas,
las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos
seguridad de la información
64
ditPDCA model
seguridad de la información
65
dit
planificación
Plan
monitorizacióny evaluación
Check
implementacióny operación
Do
mantenimientoy mejora
Act
SGSI
Sistema de Gestión de la Seguridad de la Información
observar a los
demásseguridad de la información
66
ditCertificaciones 27001
El SGSI es un proceso formal para gestionar las actividades relacionadas con la seguridad de la información
análisis de riesgos
flujo de toma de decisiones
mantenimiento continuo
formalizado y verificable
Una certificación 27001 es la corroboración oficial de un tercero de que todo lo anterior
se hace
y es verificable
seguridad de la información
67
ditValor de un certificado
Una certificación 27001 no asegura que el sistema es ‘seguro’
asegura que la Dirección sabe exactamente el riesgo residual que asume
Un sistema incapaz de alcanzar la certificaciónprobablemente denota un sistema de comportamiento incierto
seguridad de la información
68
ditSGSI
Se puede explotar un sistema seguro con componentes inseguros
capas de protección
Se puede tener un sistema inseguro con componentes perfectos ej. Frankenstein (M. Shelley, 1818, 1831)
La gestión es necesaria; pero no suficiente Un sistema no gestionado es una aventura
cuyo desenlace depende del azar (suerte)
Un sistema de gestión sobre papel mojado es ficción las batallas no se ganan sin soldados
seguridad de la información
69
ditÍndice
Seguridad de la información
Análisis de riesgos
Tratamiento de los riesgos
Continuidad de negocio
SGSI – Sistema de Gestión (de la Seguridad de la Información)
ENS – Esquema Nacional de Seguridad
Fin
seguridad de la información
70
ditinternational context
OECD Guidelines for information and network security:
... risk evaluation, security design and implementation, security management, re-evaluation.
Implementation Plan for the OECD Guidelines: “Government should develop policies that reflect best practices in security management and risk assessment...to create a coherent system of security.”
USA FISMA – Federal Information Systems Act
UK Security Framework
seguridad de la información
71
ditcontexto nacional
Ley11/2007 (administración electrónica), artículo 42 2. El Esquema Nacional de Seguridad tiene por objeto establecer la
política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información.
Desarrollado como Real Decreto de 8 de enero de 2010
Participan las administraciones públicas (central, autonómica y local) así como asociaciones industriales
Ámbito: administraciones públicas relaciones con los ciudadanos
relaciones electrónicas internas
Los sistemas clasificados quedan explícitamente excluidos
seguridad de la información
72
ditobjetivos
La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Proporcionar un lenguaje común para facilitar las relaciones con las AAPP y trasladar los requisitos de seguridad a la industria
Se completa con el Esquema Nacional de Interoperabilidad(Real Decreto 4 de 2010)
seguridad de la información
73
ditcontenido
Principios básicos guía
Requisitos mínimos de obligado cumplimiento
Valoración y categorización del sistema de información
Medidas de seguridad indexadas por dimensión, nivel y categoría
Auditoría de seguridad
seguridad de la información
74
ditprincipios básicos
1. La seguridad como un proceso integral
2. Gestión de la seguridad basada en los riesgos
3. Prevención, reacción y recuperación
4. Líneas de defensa
5. Reevaluación periódica
6. La seguridad como función diferenciada
seguridad de la información
75
ditrequisitos mínimos (1/2)
a) Organización e implantación del proceso de seguridad
b) Análisis y gestión de los riesgos
c) Gestión de personal
d) Profesionalidad
e) Autorización y control de los accesos
f) Protección de las instalaciones
g) Adquisición de productos
h) Seguridad por defecto
seguridad de la información
76
ditrequisitos mínimos (2/2)
i) Integridad y actualización del sistema
j) Protección de la información almacenada y en tránsito
k) Prevención ante otros sistemas de información interconectados
l) Registro de actividad
m) Incidentes de seguridad
n) Continuidad de la actividad
o) Mejora continua del proceso de seguridad.
seguridad de la información
77
ditpasos
1. preparar y aprobar la política de seguridad
2. definir roles y asignar personas
3. valorar / categorizar el sistema valoración de la información
valoración de los servicios
4. realizar un análisis de riesgos
5. preparar y aprobar una declaración de aplicabilidad(incluyendo datos de carácter personal)
6. implantar, operar y monitorizar el sistema
7. aprender y mejorar continuamente
8. realizar auditorías regulares
seguridad de la información
78
ditpolítica de seguridad [org.1]
aprobada por el órgano superior competente que corresponda
documento escrito objetivos / misión de la organización
marco legal y regulatorio
roles y funciones de seguridad deberes y responsabilidades
procedimiento de designación y renovación
procedimiento de resolución de conflictos
normativa de seguridad
procedimientos de seguridad
referencia al documento de seguridad (datos de carácter personal)
seguridad de la información
79
ditroles y funciones
nivel superior: órganos de gobierno responsable de la información (information owner)
responsable del servicio (service owner)
establecen los requisitos de seguridad
aceptan el riesgo residual (risk owners)
responsable del sistema decisiones operativas (que funcione)
con operadores para hacer las cosas
responsable de la seguridad aprobación de las actuaciones en materia de seguridad
supervisión de las actuaciones en materia de seguridad
independientes
seguridad de la información
80
dit
regla• el responsable de la información o servicio
puede ser externo• los requisitos de seguridad los marca cada responsable
alcance - perímetro
información ajena
servicios externos
otros sistemas
mi información
mis servicios
mi equipamiento
seguridad de la información
81
ditanálisis de riesgos
[op.pl.1] Análisis de riesgos
Categoría BÁSICA: análisis informal:
texto: lenguaje natural
Categoría MEDIA: análisis semi-formal:
tablas
Categoría ALTA: análisis formal
fundamento matemático reconocido internacionalmente
seguridad de la información
82
BM
A
ditauditoría vs cumplimiento anexo ii
[ccn-stic-802] auditoría cumplimiento de la misión / negocio
dictamina si se hace lo correcto
se define el marco Y se satisface el marco definido
con las garantías suficientes
debe ser independiente
[ccn-stic-808] cumplimiento anexo ii los controles aplicables están aplicados
dictamina si se hace correctamente
debe ser predecible / repetible [pruebas objetivas]
seguridad de la información
83
ditGuías CCN-STIC
seguridad de la información
https://www.ccn-cert.cni.es/
84
ditpara terminar
el ens establece un procedimiento para tener los sistemas bajo control
de forma constructiva
sin obviar responsabilidades
puntos difíciles homogeneidad de valoración
política(s) de firma electrónica y certificados
productos certificados
inspecciones obligatorias
¿qué hacer si un sistema no cumple?
seguridad de la información
85
ditÍndice
Seguridad de la información
Análisis de riesgos
Tratamiento de los riesgos
Continuidad de negocio
SGSI – Sistema de Gestión (de la Seguridad de la Información)
ENS – Esquema Nacional de Seguridad
Fin
seguridad de la información
86
ditReferencias
ENS http://administracionelectronica.gob.es/
http://www.boe.es
Magerit http://administracionelectronica.gob.es/
Guías CCN-STIC https://www.ccn-cert.cni.es/
Intypedia http://www.intypedia.com/
seguridad de la información
87