Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
1. SISTEMA DE GESTION DE
SEGURIDAD
NORMA ISO 27001
(CORPEI)
Jorge Ugarte Fajardo
8/10/2008
Guayaquil -Ecuador
1
2. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001
Objetivos de Control y Controles
2
4. ¿ Seguridad de la Información?
La información es un activo que como otros
activos importantes tiene valor y requiere en
consecuencia una protección adecuada
La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
4
5. ¿ Objetivos de la Seguridad de la información?
El objetivo de la seguridad de la información es
proteger los intereses de los negocios que
dependan de la información.
Los objetivos de la seguridad de la información se
cumplen cuando se preserva:
• CONFIDENCIALIDAD: La información es accedida solo por
• CONFIDENCIALIDAD: La información es accedida solo por
aquellas personas que están debidamente autorizadas.
aquellas personas que están debidamente autorizadas.
• INTEGRIDAD: La información es completa, precisa y
• INTEGRIDAD: La información es completa, precisa y
protegida contra modificaciones no autorizadas.
protegida contra modificaciones no autorizadas.
• DISPONIBILIDAD: La información esta disponible y utilizable
• DISPONIBILIDAD: La información esta disponible y utilizable
cuando se requiere.
cuando se requiere.
5
6. ¿Contra qué se debe proteger la información?
! quot;
!
! # $
6
8. ¿amenazas?
Password Escalamiento de
privilegios
cracking Puertos vulnerables abiertos Exploits
Fraudes informáticos
Man in the middle
Violación de la privacidad de los empleados
Servicios de log inexistentes o que no
son chequeados
Backups inexistentes
Destrucción de
Denegación de equipamiento
servicio Instalaciones default
Últimos parches no Port scanning
instalados
Keylogging
Desactualización
Hacking de Centrales Telefónicas
8
9. Más amenazas
Intercepción y modificación y violación de e-mails
Spamming
Violación de contraseñas Captura de PC desde el exterior
empleados deshonestos
Incumplimiento de leyes y regulaciones
Virus Ingeniería social
Mails anónimos con agresiones Programas “bomba, troyanos”
Interrupción de los servicios
Destrucción de soportes documentales
Robo o extravío de notebooks, palms
Acceso clandestino a redes
Propiedad de la información
Acceso indebido a documentos impresos
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
wireless
Falsificación de información
para terceros Agujeros de seguridad de redes conectadas
9
10. ¿Qué es vulnerabilidad?
%
' !
# (
# ! (
• Inadecuado compromiso de la dirección.
Inadecuado compromiso de la dirección.
•
• Personal inadecuadamente capacitado y concientizado.
Personal inadecuadamente capacitado y concientizado.
•
• Inadecuada asignación de responsabilidades.
Inadecuada asignación de responsabilidades.
•
• Ausencia de políticas/ procedimientos.
Ausencia de políticas/ procedimientos.
•
• Ausencia de controles
Ausencia de controles
(físicos/lógicos)
(físicos/lógicos)
(disuasivos/preventivos/detectivos/correctivos)
(disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.
• Ausencia de reportes de incidentes y vulnerabilidades.
• Inadecuado seguimiento y monitoreo de los controles.
• Inadecuado seguimiento y monitoreo de los controles
10
11. ¿y el Riesgo?
' #
!
'
- # . $
• Activos.- cualquier cosa que necesite protección por
lo que representa para una empresa, frente a una
situación de pérdida de la confidencialidad, integridad
o disponibilidad.
• Amenazas.- acciones que pueden causar daño
según la severidad y posibilidad de ocurrencia.
• Vulnerabilidades.- puntos débiles del
equipamiento, aplicaciones, personal y mecanismos
de control que facilitan la concreción de una amenaza.
11
13. ¿Qué es un incidente de seguridad?
Un incidente de seguridad, es un evento adverso que
puede afectar a un sistema o red de computadoras.
Puede ser causado por:
• una falla en algún mecanismo de seguridad.
• un intento o amenaza (concretada o no) de romper
mecanismos de seguridad, etc.
13
15. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
15
16. ¿Qué es un Sistema de Gestión de Seguridad de la Información?
SISTEMA DE GESTION DE SEGURIDAD DE LA
INFORMACIÓN (SGSI)
El.. (SGSI) es la parte del sistema de gestión
de la empresa, basado en un enfoque de
riesgos del negocio, para: establecer,
implementar, operar, monitorear, mantener y
mejorar la seguridad de la información.
16
17. ¿Quiénes están involucrados en SI?
La administración efectiva de la seguridad de la
información no es solamente un asunto de tecnología, es
un requerimiento del negocio.
• Dirección
• Alta gerencia
• Personal de TI
• Empleados
• Auditores
• Entidades reguladoras externas
17
18. ¿ Cómo se implementa un SGSI?
Modelo “Plan Do Check Act” (PDCA o PHVA) utilizado para
establecer, implementar, monitorear y mejorar el SGSI
Hacer
Planificar
Implementar y
Establecer
operar el SGSI
el SGSI
Partes Partes
Interesadas Interesadas
Mantener y
Monitorear y
Mejorar el SGSI
revisar
Requisitos y el SGSI Seguridad
expectativas Actuar Verificar Gestionada
18
19. ¿Cuál es la norma aplicable SI?
• La norma ISO 27001 define el sistema de gestión de la
seguridad de la información (SGSI).
• ISO 27001 es una norma certificable
• Se creó en diciembre de 2005 a partir de la norma
BS7799-2.
• La norma ISO 27001 adopta el modelo “Plan Do Check
Act” (PDCA o PHVA), conocido también como Ciclo de
Demming, para establecer, implementar, monitorear,
revisar y mantener un SGSI.
• La norma ISO 27002 es una guía de recomendaciones
para garantizar la seguridad de la información.
• ISO 27002 NO es certificable como tal, lo que se certifica
es el SGSI (ISMS).
19
21. Tipos de evaluaciones de seguridad
Exploraciones de vulnerabilidades:
Se enfoca en las debilidades conocidas
Se puede automatizar
No requiere experiencia necesariamente
Pruebas de penetración:
Se enfoca en las debilidades conocidas y desconocidas
Requiere probadores altamente capacitados
Lleva una carga legal tremenda en ciertos países/organizaciones
Auditoría en la seguridad de informática:
Se enfoca en las políticas y procedimientos de seguridad
Se utiliza para proporcionar evidencia para las normas de la
industria
21
22. ¿Cómo se relaciona con otras normas IT?
IT Governance Model
/
Audit Models
COSO 1
0(
quot;
quot;
CobIT
Quality System
App. Dev. (SDLC)
Service Mgmt.
Project Mgmt.
Quality Systems &
IT Planning
IT Security
Mgmt.
Frameworks ' ! (! !
!quot; !
'!) !*
!!( !
0
+
,
-/
IT OPERATIONS
1 244
34 /
quot;0 $ % & -
$
544 4
4 4 $5 ISO 10006
ISO_9126 !quot;
!# !!
43 .
<gugarte@espol.edu.ec>
22
23. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001
23
24. ¿Por qué utilizar la norma ISO 27001?
ISO-27001 es un estándar aceptado internacionalmente
para la administración de la seguridad de la información y
aplica a todo tipo de organizaciones, tanto por su tamaño
como por su actividad
se puede prever, que la certificación ISO-27001,
será casi una obligación de cualquier empresa que
desee competir en el mercado en el corto plazo,
Esta norma, no está orientada a despliegues
tecnológicos o de infraestructura, sino a
aspectos netamente organizativos, es decir, permite
“Organizar la seguridad de la información”.
24
25. Estructura de la Norma ISO 27001
0 Introduction
1 Scope
2 Normative references
3 Terms and definitions
4 Information security management system
5 Management responsibility
6 Internal ISMS audits
7 Management review of the ISMS
8 ISMS improvement
Annex A (normative) Control objectives and controls
Annex B (informative) OECD principles and this
International Standard
Annex C (informative) Correspondence between ISO
9001:2000, ISO 14001:2004 and this
International Standard
25
26. Aplicación de la norma ISO 27001
Modelo utilizado para establecer, implementar, monitorear y
mejorar el SGSI
Cláusulas: 4.2.1, 5
Cláusulas; 4.2.2, 4.3
Definir la política de seguridad
Implantar el plan de gestión de riesgos
Establecer el alcance del SGSI
Implantar el SGSI
Realizar los análisis de riesgos
Implantar los controles.
Seleccionar los controles Planificar
Hacer Implantar indicadores.
PHVA
Actuar
Verificar
Cláusulas: 4.2.4,8 Cláusulas: 4.2.3,6,7
Revisiones del SGSI por parte de la
Adoptar acciones correctivas Dirección.
Adoptar acciones preventivas Realizar auditorías internas del SGSI
26
27. Descripción general de la sesión
Conceptos de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001
Objetivos de Control y Controles
27
29. Controles
5. Política de Seguridad
Conjunto coherente e internamente consistente de
políticas, normas, procedimientos y directrices.
Determine la frecuencia de revisión de la política de
seguridad de la información y las formas de
comunicación a toda la organización.
29
30. Controles
6. Aspectos organizativos de la Seguridad
Organización interna.-Establecer el compromiso de la
Organización interna.-Establecer el compromiso de la
Dirección ,, roles, responsabilidades, acuerdos de
Dirección roles, responsabilidades, acuerdos de
confidencialidad, etc.
confidencialidad, etc.
Terceros.- Haga inventario de conexiones de red y flujos de
Terceros.- Haga inventario de conexiones de red y flujos de
información significativos con 3as partes y revise los
información significativos con 3as partes y revise los
controles de seguridad de información existentes
controles de seguridad de información existentes
30
31. Controles
7. Gestión de Activos
Elabore y mantenga un inventario de activos de
información, mostrando los propietarios de los activos
Realice una clasificación de los activos de con el nivel
de importancia.
31
32. Controles
8. Seguridad de Recursos Humanos
Reducir el riesgo de errores inadvertidos, robo, fraude o mal
Reducir el riesgo de errores inadvertidos, robo, fraude o mal
uso de la información, mediante:
uso de la información, mediante:
•• Definición de roles y responsabilidad de seguridad de los
Definición de roles y responsabilidad de seguridad de los
activos.
activos.
•• Verificación de antecedentes antes de la contratación
Verificación de antecedentes antes de la contratación
•• Asegurar que los usuarios conocen de las amenazas y las
Asegurar que los usuarios conocen de las amenazas y las
inquietudes en materia de seguridad de sistema, y los
inquietudes en materia de seguridad de sistema, y los
mismos están apoyados por políticas para seguridad
mismos están apoyados por políticas para seguridad
efectiva. Establecer el plan de formación necesario.
efectiva. Establecer el plan de formación necesario.
•• Control de activos cuando finaliza el contrato.
Control de activos cuando finaliza el contrato.
32
33. Controles
9. Seguridad física y ambiental
El estándar parece centrarse en el CPD pero hay muchas
El estándar parece centrarse en el CPD pero hay muchas
otras áreas vulnerables a considerar, p. ej., armarios de
otras áreas vulnerables a considerar, p. ej., armarios de
cableado, quot;servidores departamentalesquot; y archivos.
cableado, quot;servidores departamentalesquot; y archivos.
Prevenir acceso no autorizado, daño o interferencia a las
Prevenir acceso no autorizado, daño o interferencia a las
premisas y por ende a la información.
premisas y por ende a la información.
Establecer procedimientos para prevenir daño y perdida de
Establecer procedimientos para prevenir daño y perdida de
información, equipos y bienes tal que no afecten las
información, equipos y bienes tal que no afecten las
actividades adversamente.
actividades adversamente.
Prevenir extracción de información (robo) y mantener la
Prevenir extracción de información (robo) y mantener la
integridad de la información y sus premisas donde se
integridad de la información y sus premisas donde se
procesa información, mediante revisiones y chequeos
procesa información, mediante revisiones y chequeos
periódicos.
periódicos.
33
34. Controles
10. Gestión de comunicaciones y operaciones
Documente procedimientos, normas y directrices de
Documente procedimientos, normas y directrices de
seguridad de la información
seguridad de la información
supervisión de terceros proveedores de servicios y sus
supervisión de terceros proveedores de servicios y sus
respectivas entregas de servicio.
respectivas entregas de servicio.
Adopte procesos estructurados de planificación de
Adopte procesos estructurados de planificación de
capacidad TI, desarrollo seguro, pruebas de seguridad,
capacidad TI, desarrollo seguro, pruebas de seguridad,
criterios de aceptación en producción.
criterios de aceptación en producción.
Combine controles tecnológicos (p. ej., software antivirus)
Combine controles tecnológicos (p. ej., software antivirus)
con medidas no técnicas (educación, concienciación y
con medidas no técnicas (educación, concienciación y
formación).
formación).
Implante procedimientos de backup y recuperación
Implante procedimientos de backup y recuperación
repare e implante estándares, directrices y procedimientos
repare e implante estándares, directrices y procedimientos
de seguridad técnicos para redes y herramientas de
de seguridad técnicos para redes y herramientas de
seguridad de red como IDS/IPS.
seguridad de red como IDS/IPS.
…………….
34
35. Controles
10. Gestión de comunicaciones y operaciones (2)
……………..
Asegure los medios y la información en tránsito no solo
Asegure los medios y la información en tránsito no solo
físico sino electrónico (a través de las redes). Encripte
físico sino electrónico (a través de las redes). Encripte
todos los datos sensibles o valiosos antes de ser
todos los datos sensibles o valiosos antes de ser
transportados.
transportados.
Considere las medidas necesarias para asegurar el
Considere las medidas necesarias para asegurar el
intercambio de información como canales de comunicación,
intercambio de información como canales de comunicación,
mensajería, utlilizando medios, etc.
mensajería, utlilizando medios, etc.
incorpore requisitos de seguridad de la información en los
incorpore requisitos de seguridad de la información en los
proyectos e-business.
proyectos e-business.
Auditar Logs que registren actividad, excepciones y
Auditar Logs que registren actividad, excepciones y
eventos de seguridad y realizar revisiones periódicas.
eventos de seguridad y realizar revisiones periódicas.
35
36. Controles
11. Control de accesos
Establecer niveles de seguridad de acuerdo con el nivel de
Establecer niveles de seguridad de acuerdo con el nivel de
riesgo de los activos y sus propietarios.
riesgo de los activos y sus propietarios.
Un procedimiento de registro y revocación de cuentas de
Un procedimiento de registro y revocación de cuentas de
usuarios, una adecuada administración de los privilegios y
usuarios, una adecuada administración de los privilegios y
de las contraseñas de cada uno de ellos, realizar periódicas
de las contraseñas de cada uno de ellos, realizar periódicas
revisiones a intervalos regulares.
revisiones a intervalos regulares.
definir y documentar las responsabilidades relativas a
definir y documentar las responsabilidades relativas a
seguridad de la información en las descripciones o perfiles
seguridad de la información en las descripciones o perfiles
de los puestos de trabajo.
de los puestos de trabajo.
Establecer una política de uso de contraseñas, de cuidado
Establecer una política de uso de contraseñas, de cuidado
y protección de la información en sus escritorios, medios
y protección de la información en sus escritorios, medios
removibles y pantallas.
removibles y pantallas.
………………
36
37. Controles
11. Control de accesos
……………….
Establecer una política de uso de servicios de red.
Establecer una política de uso de servicios de red.
Establecer medidas de autenticación sobre los accesos
Establecer medidas de autenticación sobre los accesos
remotos.
remotos.
Seguridad en la validación de usuarios del sistema
Seguridad en la validación de usuarios del sistema
operativo, empleo de identificadores únicos de usuarios,
operativo, empleo de identificadores únicos de usuarios,
correcta administración de contraseñas, control y limitación
correcta administración de contraseñas, control y limitación
de tiempos en las sesiones.
de tiempos en las sesiones.
Implante estándares de seguridad básica para todas las
Implante estándares de seguridad básica para todas las
aplicaciones y middleware.
aplicaciones y middleware.
Tenga políticas claramente definidas para la protección, no
Tenga políticas claramente definidas para la protección, no
sólo de los propios equipos informáticos portátiles (es decir,
sólo de los propios equipos informáticos portátiles (es decir,
laptops, PDAs, etc.), sino, en mayor medida, de la
laptops, PDAs, etc.), sino, en mayor medida, de la
información almacenada en ellos.
información almacenada en ellos.
37
38. Controles
12. Adquisición, desarrollo y mantenimiento de los
sistemas de información
Incluir requerimientos de seguridad de las aplicaciones
Incluir requerimientos de seguridad de las aplicaciones
involucrando a los propietarios de la información.
involucrando a los propietarios de la información.
Utilice librerías y funciones estándar para necesidades
Utilice librerías y funciones estándar para necesidades
corrientes como validación de datos de entrada,
corrientes como validación de datos de entrada,
restricciones de rango y tipo, integridad referencial, etc.
restricciones de rango y tipo, integridad referencial, etc.
Para mayor confianza con datos vitales, construya e
Para mayor confianza con datos vitales, construya e
incorpore funciones adicionales de validación y chequeo
incorpore funciones adicionales de validación y chequeo
cruzado (p. ej., sumas totalizadas de control). Desarrolle y
cruzado (p. ej., sumas totalizadas de control). Desarrolle y
use herramientas -y habilidades- de prueba automatizadas
use herramientas -y habilidades- de prueba automatizadas
y manuales, para comprobar cuestiones habituales como
y manuales, para comprobar cuestiones habituales como
desbordamientos de memoria, inyección SQL, etc
desbordamientos de memoria, inyección SQL, etc
Utilice estándares formales de encriptación.
Utilice estándares formales de encriptación.
…………….
38
39. Controles
12. Adquisición, desarrollo y mantenimiento de los
sistemas de información
………………
Definir directorios que deben y no deben cambiar, utilizar
Definir directorios que deben y no deben cambiar, utilizar
control de software operacional, test de esos datos y
control de software operacional, test de esos datos y
controlar el acceso al código fuente.
controlar el acceso al código fuente.
Incorpore la seguridad de la información al ciclo de vida de
Incorpore la seguridad de la información al ciclo de vida de
desarrollo de sistemas en todas sus fases en los
desarrollo de sistemas en todas sus fases en los
procedimientos y métodos de desarrollo, operaciones y
procedimientos y métodos de desarrollo, operaciones y
gestión de cambios.
gestión de cambios.
Haga un seguimiento de parches de seguridad mediante
Haga un seguimiento de parches de seguridad mediante
herramientas de gestión de vulnerabilidades y/o
herramientas de gestión de vulnerabilidades y/o
actualización automática siempre que sea posible.
actualización automática siempre que sea posible.
39
40. Controles
13. Gestión de incidentes en la seguridad de la
información
• Establecer procedimientos de reporte de incidentes de
• Establecer procedimientos de reporte de incidentes de
seguridad y problemas de seguridad.
seguridad y problemas de seguridad.
• Analizar y tomar las medidas correctivas.
• Analizar y tomar las medidas correctivas.
40
41. Controles
14. Gestión de la continuidad del negocio
• Contrarrestrar interrupciones a las actividades de la
• Contrarrestrar interrupciones a las actividades de la
empresa y sus procesos de los efectos creados por un
empresa y sus procesos de los efectos creados por un
desastre o falla de sistema(s) de comunicación // informática
desastre o falla de sistema(s) de comunicación informática
implementando un plan de continuidad del negocio.
implementando un plan de continuidad del negocio.
41
42. Controles
15. Cumplimiento
•
• Prevenir brechas de seguridad por actos criminales
o violación de ley civil, regulatoria, obligaciones
contractuales u otros aspectos de impacto a la
seguridad.
• Asegurar un sistema (de gestión) cumpliendo con
políticas de seguridad y normativas (ISO27002, ISO
9001 y otras).
42
44. Entender la defensa a profundidad
Utilizar un enfoque dividido por etapas:
Aumentar la detección de riesgo de un agresor
Reduce la posibilidad de éxito de un agresor
Contraseñas fuertes, ACLs, estrategia
Datos de respaldo y restauración
Aplicación Fortalecimiento de la aplicación
Fortalecer el sistema operativo,
Host autenticación administración de
actualizaciones de seguridad,
actualizaciones de antivirus, auditoría
Red interna Segmentos de red, NIDS
Firewalls, enrutadores más amplios,
Perímetro VPNs con procedimientos de cuarentena
Protecciones, seguros, dispositivos de
Seguridad física
Seguridad física seguimiento
Políticas de seguridad, procedimientos
Políticas, procedimientos y conciencia
Políticas, procedimientos y conciencia y educación
44
45. ¿Cómo conozco las vulnerabilidades en nuevos
productos?
Best Practices for Preventing Top 20 Risks
Best Practices for Preventing Top 20 Risks
http://www.sans.org/top20
http://www.sans.org/top20
Entre las vulnerabilidades que encontramos:
Client-side Vulnerabilities
Client-side Vulnerabilities
Server-side Vulnerabilities
Server-side Vulnerabilities
Security Policy and Personnel
Security Policy and Personnel
Application Abuse
Application Abuse
Network Devices
Network Devices
Zero Day Attacks
Zero Day Attacks
45