![Page 1: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/1.jpg)
Ing: Rodrigo Ferrer V.CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.
SGSI
Sistema de GestiSistema de Gestióón de la n de la
Seguridad de la Seguridad de la
InformaciInformacióónn
![Page 2: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/2.jpg)
AgendaAgendaAgendaAgenda
� Introducción al SGSI
� Evaluación de Riesgo.
� Implementación del SGSI
� Conclusiones
� Comentarios
Tiempo estimado: 60 min.
![Page 3: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/3.jpg)
IntroducciIntroducciIntroducciIntroduccióóóónnnn al SGSIal SGSIal SGSIal SGSI
![Page 4: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/4.jpg)
Información…el activo
Es el conjunto de datos o mensajes inteligibles creados Es el conjunto de datos o mensajes inteligibles creados Es el conjunto de datos o mensajes inteligibles creados Es el conjunto de datos o mensajes inteligibles creados con un lenguaje de representacicon un lenguaje de representacicon un lenguaje de representacicon un lenguaje de representacióóóón y que debemos n y que debemos n y que debemos n y que debemos proteger ante las amenazas del entorno, durante su proteger ante las amenazas del entorno, durante su proteger ante las amenazas del entorno, durante su proteger ante las amenazas del entorno, durante su transmisitransmisitransmisitransmisióóóón o almacenamiento, usando diferentes n o almacenamiento, usando diferentes n o almacenamiento, usando diferentes n o almacenamiento, usando diferentes tecnologtecnologtecnologtecnologíííías las las las lóóóógicas, fgicas, fgicas, fgicas, fíííísicas o procedimentales.sicas o procedimentales.sicas o procedimentales.sicas o procedimentales.
![Page 5: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/5.jpg)
Seguridad de la Información
![Page 6: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/6.jpg)
Objetivo del SGSI
DISPONIBILIDADDISPONIBILIDAD
INTEGRIDADINTEGRIDAD
CONFIDENCIALIDADCONFIDENCIALIDAD
Seguridad
![Page 7: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/7.jpg)
Qué proteger?
ASSESTSASSESTS
INFORMATIONINFORMATION
CRITICAL CRITICAL
InventarioInventarioInventarioInventarioInventarioInventarioInventarioInventario++++++++clasificaciclasificaciclasificaciclasificaciclasificaciclasificaciclasificaciclasificacióóóóóóóónnnnnnnn
![Page 8: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/8.jpg)
El proceso SGSI
Planear
Implementar
Evaluar
Mantener
![Page 9: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/9.jpg)
Planear
� Definir alcance
� Definir una política
� Definir metodología de valoración del riesgo
� Identificar riesgos
� Analizar y evaluar riesgos
� Gestión del riesgo
� Objetivos de control
� Obtener autorización para operar SGSI
� Elaborar una declaración de aplicabilidad
![Page 10: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/10.jpg)
� Plan de tratamiento del riesgo
� Implementar controles seleccionados
� Definir métrica de los controles establecidos
� Implementar programas de educación
� Gestionar la operación del SGSI
� Gestionar los recursos del SGSI
� Implementar procedimientos
Implementar
![Page 11: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/11.jpg)
Evaluar
� Ejecutar procedimientos de revisión
� Emprender revisiones regulares
� Medir la eficacia de los controles
� Revisar las valoraciones de riesgos
� Realizar auditorías internas
![Page 12: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/12.jpg)
Mantener
� Implementar las mejoras identificadas en el SGSI
� Emprender acciones correctivas y preventivas
� Comunicar las acciones y mejoras a las partes interesadas
� Asegurarse que las mejoras logran los objetivos propuestos
![Page 13: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/13.jpg)
Sin Sin Sin Sin embargoembargoembargoembargo…………
29%
47%
24%
No se tienen
En Desarrollo
Formalmente Definidas
Fuente: ACIS
![Page 14: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/14.jpg)
Integración
BCP DRP
SGSI
Mejores Prácticas: ITIL V3, COBIT, ISO 27001
![Page 15: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/15.jpg)
¿Cuánta Seguridad requiere o desea la BVC?
� BS 7799 Parte2:2002
� COBIT: Control Objetives for Information andrelated Technology
� Systems Security Engineering-CapabalityMaturity Model (SSE-CMM) 3.0
� Generally Accepted Information SecurityPrinciples (GAISP)
� ISF-Standard of Good Practice for InformationSecurity
� ISO 13335 – Guidelines for Management of IT Security
� ISO 13659:1997 – Banking and RelatedFinancial Services
� ISO 15408:1999 Security Techniques-Evaluation Criteria for IT Security
� ISO 17799:2000
� NFPA 75
� ISO 27002
� ITIL – Security Management
� NIST 800-12 An Introduction to ComputerSecurity
� NIST 800-14 Generally AcceptedPrinciples and Practices for Securing IT Systems
� NIST 800-18 Guide for DevelopingSecurity Plans for InformationTechnology
� NIST 800-53 Recommended SecurityControl for Federal IS
� OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation
� OEDC – Guidelines for Security of IS andNetworks
� Open Group’s Manager’s Guide toInformation Security
� BS 25999
Mejores prácticas en la gestión del
riesgo de la Información
![Page 16: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/16.jpg)
Análisis de Brecha ISO 27001
20%Cumplimiento de Leyes
31.6%Promedio
30%Continuidad del Negocio
45%Desarrollo y mantenimiento de Sistemas
40%Control de Acceso
28%Administración de la operación de cómputo y comunicaciones.
60%Seguridad Física
40%Aspectos de Seguridad relacionados con el recurso humano.
33%Control y Clasificación de Activos.
20%Seguridad en la Organización.
0%Política de Seguridad
CumplimientoDominio
![Page 17: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/17.jpg)
EvaluaciEvaluacióónn de de RiesgoRiesgo de TIde TI
![Page 18: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/18.jpg)
Entorno Complejo
� Seguridad de mis clientes o socios
� Seguridad en mi red
� Quién accede a mis aplicaciones
� Configuraciones de seguridad tengo que actualmente
� Respuesta a incidentes
PortalesExtranet Clientes y Proveedores
Redes Privadas Virtuales
E-mail / Mensajería
Intranets y Procesos Corporativos
![Page 19: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/19.jpg)
El RiesgoEl RiesgoEl RiesgoEl Riesgo
La falta de un SGSI en cualquier organización puede tener como consecuencia:
8 Perdida de Dinero.
8 Perdida de tiempo.
8 Perdida de productividad
8 Perdida de información confidencial.
8 Pérdida de clientes.
8 Pérdida de imagen.
8 Pérdida de ingresos por beneficios.
8 Pérdida de ingresos por ventas y cobros.
8 Pérdida de ingresos por producción.
8 Pérdida de competitividad en el mercado.
8 Pérdida de credibilidad en el sector.
![Page 20: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/20.jpg)
RiesgosTécnicos
de Seguridad
Programas
troyanos
Puertas
traseras
Denegación
de servicio
spoofing
Robo de
Identidad
Espionaje
Industrial
Leyes y
Regulaciones
Robo
Físico
Problemas
de Software
Propiedad
Intelectual
¿Dónde está el peligro?
Fuente: COBIT Security Baseline – IT Governance Institute – 2004
![Page 21: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/21.jpg)
GestiGestiGestiGestióóóón del riesgon del riesgon del riesgon del riesgo
![Page 22: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/22.jpg)
Output
![Page 23: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/23.jpg)
Analisis de la Infraestructura por
aplicación crítica.� Seguridad Física.
8 Monitoreo ambiental
8 Control de acceso
8 Desastres naturales
8 Control de incendios
8 Inundaciones
� Seguridad en las conexiones a Internet.8 Políticas en el Firewall
8 VPN
8 Detección de intrusos
� Seguridad en la infraestructura de comunicaciones.8 Routers
8 Switches
8 Firewall
8 Hubs
8 RAS
� Seguridad en Sistema Operacionales(Unix, Windows)� Correo Electrónico� Seguridad en las aplicaciones.
![Page 24: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/24.jpg)
Vulnerabilidades en la red
Ejemplo informe
![Page 25: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/25.jpg)
Evaluación del riesgo y su administración
Mover Evitar
Reducir
Consecuencia
Probabilidad
Aceptar
![Page 26: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/26.jpg)
Tipo de controles en el manejo del
riesgo
FFíísicossicos
TTéécnicos o cnicos o
tecnoltecnolóógicosgicos
AdministrativosAdministrativos
Objetivos del Manejo del riesgo
![Page 27: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/27.jpg)
Tipos de Controles
� Administrative Controls
8 Manegement responsabilities
• Security Policies SGSI
• Procedures
• Screening Personal
• Classifying data
• BCP,DRP.
• Change Control
� Technical Controls
8 IDS
8 Encryption
� Physical Control
8 Security Guards
8 Perimeters fences
8 Locks
8 Removal of CD-ROM
Administrative Controls
Physical ControlsTechnical controls
![Page 28: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/28.jpg)
ImplementaciImplementaciImplementaciImplementacióóóón del SGSIn del SGSIn del SGSIn del SGSI
![Page 29: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/29.jpg)
SGSISGSISGSISGSI
Procedimientos de Seguridad dela Información
Estándares y formatos de Seguridad de la Información
Políticas detalladas deSeguridad de la Información
Política Generalesde Seguridad
de la Información
PolíticaCorporativa
![Page 30: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/30.jpg)
PolPolPolPolííííticas.ticas.ticas.ticas.
Una política de seguridad, es una declaración formal de las reglas que deben seguir las personas con
acceso a los activos de tecnología e información,
dentro de una organización.
Documento General SGSI
![Page 31: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/31.jpg)
Procedimientos.
Los procedimientos son la descripción detallada de la manera como se implanta una Política. El
procedimiento incluye todas las actividades
requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo.
Ejemplo de procedimiento
![Page 32: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/32.jpg)
Estándares
� Es la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar incluido en
una norma o procedimiento.
� Los estándares pueden estar ligados a una
plataforma específica (parámetros de configuración) o pueden ser independientes de esta (longitud de
passwords).
� Ejemplo de estándar de configuración Firewall.
![Page 33: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/33.jpg)
Formatos
� Documentos utilizados para formalizar, legalizar y verificar la realización o no de ciertas actividades.
� Ejemplo de formato.
![Page 34: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/34.jpg)
Plan de Entrenamiento en Seguridad.
� El aspecto humano se debe considerar en cualquier proyecto de seguridad.
� Debe ser corto pero continuo.
� A veces es la única solución a ciertos problemas de seguridad como instalación de troyanos.
� Debe ser apoyado por campañas publicitarias, Email, objetos etc.
![Page 35: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/35.jpg)
NuestraNuestraNuestraNuestra propuestapropuestapropuestapropuesta
![Page 36: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/36.jpg)
Servicios a ofrecer
� “GaP Analysis” en relación al ISO 27001
� Análisis de riesgo (risk assessment) orientado a aplicaciones e Infraestructura de red o complementar el hasta ahora realizado.
� Análisis de vulnerabilidades
� Plan de remediación de vulnerabilidades ciertamente explotadas
� Análisis de la Seguridad Física en el Centro de Computo.
� Definición de Políticas, Procedimientos, Estándares, formatos para las aplicaciones definidas como críticas.
� Diseño de la Arquitectura de Seguridad para conectividad hacia Internet.
� Plan de educación en Seguridad de la información.
![Page 37: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/37.jpg)
ConclusionesConclusionesConclusionesConclusiones
![Page 38: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/38.jpg)
Conclusiones
� Importancia de contar con un SGSI
� El SGSI es parte de la estrategia del negocio, como tal responsabilidad de la alta gerencia
� La implementación de los controles es un proceso selectivo
� La seguridad de la información se enmarca dentro de un proceso continuo
� La información es el activo en el siglo 21.
� Seguridad de la información y la continuidad del negocio se interrelacionan.
� La seguridad es un proceso, no un producto
� Tiempo en la balanza con los ingresos
� Facilitador que proporciona confianza en los procesos de negocio
![Page 39: Estrategias de seguridad v5 - Sisteseg Consulting Services · OCTAVE - Operationally Critical Threat, Asset and Vulnerability Evaluation OEDC – Guidelines for Security of IS and](https://reader035.vdocuments.site/reader035/viewer/2022063017/5fd84658cbfa7f5431591282/html5/thumbnails/39.jpg)
FINFINFINFIN