Servicios en Seguridad de la informacin.

Ing: Rodrigo Ferrer V.

CISSP CISA
(British BS (British Standard) lead Auditor 27001 ASIS Member 262546 ISACA Member IEEE Member
rodrigo.ferrer@sisteseg.com

CONFIDENCIAL

Agenda
Introduccin. Marco de Referencia BS ISO/IEC 17799. Evaluacin de Riesgo. Matrices de Riesgo. Definicin de Polticas, procedimientos y Estandares Conclusiones Servicios en Seguridad. Tiempo estimado: 60 min.

CONFIDENCIAL

Introduccin

Red Segura

RED SEGURA

CONFIDENCIAL

Informacin

Es el conjunto de datos o mensajes inteligibles creados con un lenguaje de representacin y que debemos proteger ante las amenazas del entorno, durante su transmisin o almacenamiento, usando diferentes tecnologas lgicas, fsicas o procedimentales.

CONFIDENCIAL

Objetivo en Seguridad (Costo)

INTEGRIDAD

DISPONIBILIDAD

CONFIDENCIALIDAD

Seguridad
CONFIDENCIAL

Qu ayudar a proteger?: C.I.A

INFORMATION

ASSESTS

CRITICAL

Inventario+clasificacion
CONFIDENCIAL

Los controles y procedimientos buscan:

Deteccion Evaluacion

Retardar Disuadir

Responder

CONFIDENCIAL

La seguridad como Proceso

Assestment

Audit

Policy Trainning

Implementation
CONFIDENCIAL

Fuentes de los problemas de seguridad en las Empresas.

Amenazas Fsicas. 20% Empleado Deshonesto 10%

Empleado Descontento 9% Virus 4% Ataque del exterior 2% Errores Humanos 55%

Fuente: Computer Security Institute

CONFIDENCIAL

Estado de las Polticas de Seguridad en las Empresas Colombianas

24%

29% No se tienen En Desarrollo Formalmente Definidas 47%

Fuente: ACIS 2004

CONFIDENCIAL

Marco de Referencia

Evaluacin de Riesgo de TI

El Riesgo
La falta de Polticas de Seguridad en cualquier organizacin puede tener como consecuencia:
8 8 8 8 8 8 8 8 8 8 8 Perdida de Dinero. Perdida de tiempo. Perdida de productividad Perdida de informacin confidencial. Prdida de clientes. Prdida de imagen. Prdida de ingresos por beneficios. Prdida de ingresos por ventas y cobros. Prdida de ingresos por produccin. Prdida de competitividad en el mercado. Prdida de credibilidad en el sector.

CONFIDENCIAL

COBIT

CONFIDENCIAL

Procesos y Aplicaciones Crticas

CONFIDENCIAL

Por qu realizar una Evaluacin de Riesgo.

Identificar, Analizar, y evaluar. Conocer los riesgos Ejercicio de entendimiento de toda la organizacin. Identificar los procesos crticos del negocio y las aplicaciones que los soportan. Presentar un diagnstico de la Situacin Actual. Identificar los puntos de mayor atencin y focalizar el esfuerzo.

Risk is a function of the likelihood of a given threat-source.s exercising a particular potential vulnerability, and the resulting impact of that adverse event on the organization.

CONFIDENCIAL

Identificar amenazas
Es importante considerar todas las amenazas posibles, sin importar que tan probables sean o no.
8 8 8 8 8 8 8 8 8 8 8 8 Acceso no autorizados Fraude Perdida de Confidencialidad Uso inapropiado de recursos Fallas de Hardware Fallas de canales de comunicaciones Virus Negacin de Servicio. Incumplimiento de Normas. Perdida de Laptops Fallas de Potencia Incendio

CONFIDENCIAL

Resultados ISO 17799-ISO 27001

Dominio
Poltica de Seguridad Seguridad en la Organizacin. Control y Clasificacin de Activos. Aspectos de Seguridad relacionados con el recurso humano. Seguridad Fsica Administracin de la operacin de cmputo y comunicaciones. Control de Acceso (falta sistemas) Desarrollo y mantenimiento de Sistemas Continuidad del Negocio Cumplimiento de Leyes

Cumplimiento
0% 20% 33% 40% 60% 28% 40% 45% 30% 20%

Promedio

31.6%

CONFIDENCIAL

Analisis de la Infraestructura
Seguridad Fsica. 8 Monitoreo ambiental 8 Control de acceso 8 Desastres naturales 8 Control de incendios 8 Inundaciones Seguridad en las conexiones a Internet. 8 Polticas en el Firewall 8 VPN 8 Deteccin de intrusos Seguridad en la infraestructura de comunicaciones. 8 Routers 8 Switches 8 Firewall 8 Hubs 8 RAS Seguridad en Sistema Operacionales(Unix, Windows) Correo Electrnico Seguridad en las aplicaciones.
CONFIDENCIAL

Evaluacin en Seguridad Fsica

El objetivos es prevenir accesos no autorizados, daos, robos a los activos del negocio y la organizacin. La evaluacin de riesgo permite identificar las reas mas criticas y definir los controles requeridos.
Permetros de seguridad. Seguridad de equipos.( medio ambiente). Escritorios limpios.

CONFIDENCIAL

Source: Secretaria de Gobierno Bogota

Seguridad Fsica Centro de Computo

CONFIDENCIAL

Matrices de Riesgo

Ejemplo Matriz de Riesgo

Amenazas Vulnerabilidades Ocurrencia del evento anualizada (1-5)

Falla de switch No hay procedimientos principal de la de contingencia. red LAN No hay procedimiento formal de almacenamiento de la configuracin de los switches. No hay inventario actualizado 1

Impacto

Factor de Riesgo (1-10)

4

Control

Costo Control

FR/CC

(1-5)
3

Procedimientos de Contingencia. Contrato de mantenimiento Gestin de red. Procedimientos de cambio de configuraciones

CONFIDENCIAL

Metodologa Anlisis de Riesgo

CONFIDENCIAL

Opciones para el tratamiento del riesgo

Controlar el riesgo Aceptarlo Evitarlo Transferirlo

CONFIDENCIAL

Tipos de Controles
Administrative Controls Administrative Controls 8 Manegement responsabilities Security Policies Procedures Screening Personal Classifying data BCP,DRP. Change Control Technical Controls 8 IDS 8 Encryption Physical Control 8 Security Guards Technical controls Phyiscal Controls 8 Perimeters fences 8 Locks 8 Removal of CD-ROM

CONFIDENCIAL

Definicin de Polticas, procedimientos y estndares

La seguridad de la informacin

Poltica Corporativa

Poltica Generales de Seguridad de la Informacin

Polticas detalladas de Seguridad de la Informacin

Procedimientos de Seguridad de la Informacin

Estndares de Seguridad de la Informacin

CONFIDENCIAL

Polticas.
Una poltica de seguridad, es una declaracin formal de las reglas que deben seguir las personas con acceso a los activos de tecnologa e informacin, dentro de una organizacin.

CONFIDENCIAL

Procedimientos.
Los procedimientos son la descripcin detallada de la manera como se implanta una Poltica. El procedimiento incluye todas las actividades requeridas y los roles y responsabilidades de las personas encargadas de llevarlos a cabo.

CONFIDENCIAL

Estndares
Es la definicin cuantitativa o cualitativa de un valor o parmetro determinado que puede estar incluido en una norma o procedimiento. Los estndares pueden estar ligados a una plataforma especfica (parmetros de configuracin) o pueden ser independientes de esta (longitud de passwords).

CONFIDENCIAL

Plan de Entrenamiento en Seguridad.

El aspecto humano se debe considerar en cualquier proyecto de seguridad, sea esta fsica, lgica, informtica o industrial. Debe ser corto pero continuo A veces es la nica solucin a ciertos problemas de seguridad como instalacin de troyanos. Debe ser apoyado por campanas publicitarias, Email, objetos etc.

CONFIDENCIAL

Conclusiones

Estrategia Niveles de Seguridad

Perimeter
Building Grounds Building Entrance Building floors
Offices Data Center Media and equipment

CONFIDENCIAL

Permetro Lgico

CONFIDENCIAL

Servicios a ofrecer
GaP Analysis en relacin al ISO 17799/27001 Anlisis de riesgo (risk assessment) orientado a aplicaciones e Infraestructura de red. Anlisis de la Seguridad Fsica en el Centro de Computo. Definicin de Polticas, Procedimientos y Estndares para los clientes.(SMB) Diseo de la Arquitectura de Seguridad para conectividad hacia Internet. Auditora de seguridad ISO 27001. Plan de concientizacin en Seguridad de la informacin. Elaboracin Plan de Contingencia para IT. Configuracin y optimizacin sistema Firewall. Mejoramiento seguridad red Voz IP. Mejoramiento seguridad red Wireless. Optimizacin desempeo de red y Conectividad hacia Internet.

CONFIDENCIAL

Conclusiones
Seguridad y desempeo. Seguridad y disponibilidad. Seguridad y productividad.(flexibilidad) Seguridad distribuida. Seguridad en el sistema operativo de la red.

CONFIDENCIAL

Conclusiones
Alrededor de la evaluacin de riesgo gira todo el proceso. Las polticas de seguridad habilitan el desarrollo de una arquitectura de seguridad de la informacin. Este proceso anlisis de riesgo- genera un plan de inversin en tecnologa en general.(redes, servidores, software, servicios, IPS, Ciframiento, desarrollo aplicaciones, conectividad VPN, Velocidad hacia Internet. etc) Seguridad y desempeo a un costo razonable, sin afectar la flexibilidad.

En conclusin los proyectos de seguridad son un sub-conjunto de los proyectos de continuidad y el logro de objetivos empresariales.

CONFIDENCIAL

FIN