Diapositiva 1

Estrategia, regulacin o cumplimiento: Integracin SGSI, Governance, Risk and Compliance

Junio 13 de 2013Armando CarvajalArquitecto de soluciones - globalteksecurityMsc en seguridad informtica Universidad Oberta de CatalunyaEspecialista en construccin de software para redes - UniandesIng. Sistemas Universidad Incca de Colombia

1

GLOBALTEK SECURITY S.A.Tecnologas globales para la Seguridad de la Informacin La misin de GLOBALTEK SECURITY S.A. es ayudar a nuestros clientes a proteger los datos y la informacin sensitiva y como consecuencia, mejorar la productividad de los empleados y la efectividad de la compaa en sus procesos de negocios

2Introduccin3Definicin de Resiliencia en seguridad de la informacinEs la medida o grado de superacin de la organizacin frente a la adversidad de prdida de datos sensibles que tienden a impactar el patrimonio de los socios con alta probabilidad de cerrar la organizacinArmando Carvajal, Msc Seguridad InformaticaProblemtica en las organizaciones respecto de la informacin

5

La informacin es un activo y como cualquier otro activo que genera valor al patrimonio, ste es importante para la organizacin y por consiguiente debe ser adecuadamente protegido

Los riesgos son inherentes a los activos de la organizacin y la nica forma de administrarlos es gestionndolos

INFORMACION6ProblemticaEl Crecimiento de la organizacin, el Cambio permanente, los nuevos proyectos y los requerimientos de entes de control no dan tiempo para concentrarse en la seguridad de La informacin

No se ha hecho un Anlisis de Riesgos que permita determinar los riesgos, amenazas y vulnerabilidades que puedan afectar la continuidad del negocio

No hay polticas de seguridad de la informacin dentro de la organizacin

7ProblemticaAl no conocer los riesgos y amenazas mas relevantes, entonces no existe un plan de inversin en seguridad de la informacin que responda a esos riesgos

No hay suficientes controles concretos para disminuir los riesgos y amenazas contra la seguridad de la informacin y contra la productividad, los que existen son componentes bsicos de la infraestructura de computacin

Ya existen incidentes de seguridad de la informacin y no sabemos el impacto en el patrimonio

8No hay anlisis de impacto del negocio (BIA) ni planes de contingencia que garanticen la continuidad de las operaciones en caso de desastre

La seguridad fsica del centro de cmputo de la oficina principal, ha presentado deficiencias y problemas que no han sido evaluados y corregidos apropiadamente

Dado que no existe el anlisis de riesgos, no hay forma sistemtica de gestionarlos para disminuirlos hasta un nivel razonable

Problemtica

9S o l u c i nSGSI

10Propuesta concretaSe recomienda iniciar por el proceso o por los servicios que le producen los mayores ingresos a la organizacin (Proceso misional)Una vez implantado se verifica y asegura su correcto funcionamientoSe plantea ampliar su alcance e involucrar nuevos procesos al SGSI Nivel de MadurezGenerar un ambiente de Cultura en Seguridad de la informacin a nivel corporativo

11Ciclo Metodolgico propuesto

Debe ser un ciclo metodolgico estructurado y articulado:Entendimiento de los RequerimientosGAPRevisin del Anlisis del Riesgos frente al SGSI y BCP

Evaluacin del RiesgoProbar BCP

Elaboracin Planes de TratamientoCompletar BCP

Documentacin e implantacin SGSIDocumentar BCPAcompaamiento en la creacin de plantillas en un portal web de gestion Campaa Divulgacin SGSI - BCP

12Anlisis de Situacin Actual (GAP)

Requerimientos de CertificacinRequerimientos de SeguridadActivos ValoradosControlesEstado ActualActivos de Informacin, documentacin y Controles ExistentesAlistamiento para el Anlisis de RiesgosAnlisis GAP (Brecha)Estado de ImplantacinEstado Deseable = ? Una ilusin ?13Propuesta con focoEl foco de esta propuesta se centra en dos fases generales: identificar y gestionar el riesgoSe debe hacer transferencia de conocimientos para que la organizacin sea autnoma en el resto de procesosGenerar un ambiente en seguridad de la informacin para visualizar el retorno de inversin tecnolgico

14La implementacin de la norma ISO 27002:2005 como parte de la ISO27001:2005 considera 11 dominios que a su vez se reflejan en 39 objetivos de control que terminan en 133 controlesSe pueden visualizar los dominios como grupos o etapas que idealmente se deben seguir en forma secuencial pero no es mandatorioPropuesta con foco

15Fases del proyecto y tiemposFase I Identificacin de la situacin actual de seguridad de la organizacin (Anlisis GAP)Fase II Evaluacin del riesgo asociado teniendo en cuenta los factores identificados en la Fase I, el anlisis de riesgos y las pruebas de penetracinFases del proyecto17Fase III Definicin de los planes de accin necesarios con mtricas para cubrir las brechas existentes tanto en el SGSI como en los riesgos identificados

Fase IV Revisin de los planes de continuidad del negocio: BIA, DRP, CP = BCP

Fase V Divulgacin del SGSI y del Sistema de Continuidad del Negocio

Fases del proyecto18Fase VI Creacin de las plantillas y almacenamiento en un portal web de gestin que permita a otros procesos y servicios diferentes a tecnologa puedan ms fcilmente implementar su SGSI para el resto de procesos del negocio basados en la experiencia aprendida del proceso de tecnologaEstas fases son opcionales y dependen de las expectativas de cada organizacin

Fases del proyecto19EtapasDetalles del proyectoEtapa I: GAP + Anlisis de riesgos, polticas y organizacin

Anlisis de riesgos: la base de todo el sistema de gestionTodos los controles debern justificarse sobre la base del anlisis de riesgosAnlisis de vulnerabilidadesHacking tico

Entregable: Inventario de activos valuado con amenazas, fallas, controles y responsable en el portal

De forma paralela se desarrollara el BIA (Anlisis de Impacto) como fuente para la definicin del BCP22Anlisis de Riesgos

Retomando toda la informacin obtenida, se llevar a cabo el anlisis de riesgos utilizando alguna metodologa: Ejemplo Magerit, AS NZS4360, NTC5254 o ISO31000: Definir el ContextoIdentificar RiesgosAnalizar RiesgosEvaluar RiesgosTratar RiesgosComunicacinSeguimiento y MonitoreoAnlisis RiesgosAnlisis GAPTratamiento23SGSI: 1-PoliticaLa poltica de seguridad tiene por objetivo aportar las directrices de la seguridad de la informacin de acuerdo con los requerimientos y legislacin vigente; fundamental para la implantacin del resto de los controles

Entregable: Politica de seguridad publicada y firmada por representante legal documentada en portal

24SGSI: 2-OrganizacinImplica la creacin de un comit que supervisar los diferentes aspectos de la seguridad de la informacin; ser el grupo que tendr el apoyo directo de la alta gerencia y podr conceptuar y decidir sobre los cambios del SGSI

Entregable: Documento de creacion del comite, sus miembros y funciones gestionado en el portal web

25Etapa II: Gestin de activos, seguridad del personal y seguridad fsica

SGSI: 3-Gestion de activosEste dominio promueve la proteccin y tratamiento de los activos de informacin importantes para la organizacin; establece responsabilidades sobre ellos y clasifica la informacin basada en su confidencialidad

Entregable: Documento con la clasificacin de los activos de informacin gestionado en el portal web

27SGSI: 4-PersonalLa seguridad de la informacin depende del recurso humano (ing.social), deberan implantarse controles de seguridad que abarquen el ciclo de vida de los funcionarios, desde su seleccin hasta el momento en que dejen la organizacin

Entregable: Documento con plan de capacitacin sobre politicas de seguridad de la informacin documentado en el portal web

28SGSI: 5-Seguridad FsicaCubre los aspectos relativos a la seguridad fsica de la organizacin, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad fsica de los equiposEntregable: Documento de auditora sobre controles existentes y mejoras a gestionar en el portal web de gestin

29Etapa III: Comunicaciones y operaciones, control de acceso y gestin del software

SGSI: 6-Comunicaciones y operacionesSe tratan todos los aspectos relativos a la seguridad de las operacionesConsidera el mayor numero de controles legales y mecanismos conocidos de proteccin de la informacin

Entregable: Documento con sugerencias y soluciones especficas adems de la segregacion de funciones almacenados en el portal web de gestin

31SGSI: 7-Control de accesoEn este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la informacin que se est protegiendo, puede considerarse que este dominio se refiere a los accesos lgicos a la informacin; no tiene que ver con lo fisico. Ej: DLPEntregable: Documento de polticas con segregacin de roles, gestin contraseas gestionado en el portal web

32SGSI: 8-Adquisicion, mantenimiento y desarrollo de Sist.InfAnlisis de vulnerabilidades de la redAnlisis de vulnerabilidades de la aplicacin (SQL injection, criptografa de claves, etc)Pruebas de penetracin a cada servidor crtco del negocioRevisin de configuraciones de dispositivos de redEntregable: Documento con el resultado de las pruebas tcnicas gestionado en el portal web

33Etapa IV: Gestin de Incidentes, Continuidad del negocio y legislacin

SGSI: 9-Gestion de incidentesA pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mnimo posible

Entregable: Documentos y mdulo de gestin de incidentes para que el rea de atencin de incidentes pueda manejarlos oportunamente con mtricas e indicadores en el cuadro de mandos

35SGSI: 10-Gestion de la continuidad del negocioEl objetivo de la seguridad de la informacin es evitar que las actividades propias de la organizacin se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organizacin son imprescindibles

Entregables: Documento que muestre el anlisis del impacto del negocio o BIA para planear los casos de desastres documentado con el DRP en el portal web

36SGSI: 11-Legislacion VigenteEste ltimo dominio trata de garantizar el cumplimiento de la legislacin vigente y de las regulaciones que afecten a la organizacinCada sector en particular adems de la normatividad general tiene su propia legislacin

Entregable: Documento matriz de regulaciones contra cumplimiento: Ej Circular 052, PCI, derechos de autor, ley 1581 de oct/2012 gestionado en el portal web

37Conclusiones

ConclusionesEl SGSI se hacen por una de tres razones: estrategia, regulacin o cumplimientoLa norma dice el que hacer pero no dice como hacerloSe hace de forma tradicional (muchos recursos) o con herramientas automatizadasEl SGSI incorpora elementos de otros sistemas de gestin liderados por otros responsables que repiten el proceso (inventario de activos, riesgos, diagrama de procesos, servicios, etc)

39ConclusionesSe debe gestionar el riesgo para conocer sus vulnerabilidades e impacto en el patrimonio de los sociosHay que construir resiliencia por ejemplo con DLP para proteger los datos confidencialesHay que cifrar los datos y los correos confidencialesHay que hacer auditorias tcnicas para evaluar si se estn cumpliendo las normas mnimas

40ConclusionesHay que hacer BIA para mejores planes de contingencia, DRP y BCPLa seguridad de la informacin no es un problema de ndole tecnolgicoSe deben crear mtricas que tengan en cuenta los deseos de las altas directivasSe debe buscar gradualmente la certificacin ISO 27001:2005 pero esto no se debe hacer en el momento del diseo del sistema de gestin

41ConclusionesPare de sufrir: Hay que ayudarse de herramientas tipo portales web que permitan la integracin de sistemas de gestin para NO fracasar en el intento de implementar un SGSI

42BibliografaGobierno en lnea/ColombiaIcontec Norma ISO NSC 17799:2005 (Ahora 27002:2005)Icontec Norma ISO NSC 27001Borradores del proyecto sobre SGSI de la superintendencia financiera

43Ms informacin en www.globalteksecurity.comEmail: info@globalteksecurity.com

Gracias por su atencin

44