440 likes | 589 Views
Estrategia, regulación o cumplimiento: Integración SGSI, Governance , Risk and Compliance Junio 13 de 2013. Armando Carvajal Arquitecto de soluciones - globalteksecurity Msc en seguridad inform á tica Universidad Oberta de Catalunya
E N D
Estrategia, regulación o cumplimiento: Integración SGSI, Governance, Risk and Compliance Junio 13 de 2013 Armando Carvajal Arquitecto de soluciones - globalteksecurity Mscen seguridad informática Universidad Oberta de Catalunya Especialista en construcción de software para redes - Uniandes Ing. Sistemas – Universidad Incca de Colombia
GLOBALTEK SECURITY S.A.Tecnologías globales para la Seguridad de la Información • La misión de GLOBALTEK SECURITY S.A. es ayudar a nuestros clientes a proteger los datos y la información sensitivay como consecuencia, mejorar la productividad de los empleados y la efectividad de la compañía en sus procesos de negocios
Definición de Resiliencia en seguridad de la información • Es la medida o grado de superación de la organización frente a la adversidad de pérdida de datos sensibles que tienden a impactar el patrimonio de los socios con alta probabilidad de cerrar la organización Armando Carvajal, Msc Seguridad Informatica
Problemática en las organizaciones respecto de la información
INFORMACION La información es un activo y como cualquier otro activo que genera valor al patrimonio, éste es importante para la organización y por consiguiente debe ser adecuadamente protegido Los riesgos son inherentes a los activos de la organización y la única forma de administrarlos es gestionándolos
Problemática ElCrecimiento de la organización, el Cambio permanente, los nuevos proyectos y los requerimientos de entes de control no dan tiempo para concentrarse en la seguridad de La información No se ha hecho un Análisis de Riesgos que permita determinar los riesgos, amenazas y vulnerabilidades que puedan afectar la continuidad del negocio Nohay políticas de seguridad de la información dentro de la organización
Problemática Al no conocer los riesgos y amenazas mas relevantes, entonces noexiste un plan de inversión en seguridad de la información que responda a esos riesgos No hay suficientes controles concretos para disminuir los riesgos y amenazas contra la seguridad de la información y contra la productividad, los que existen son componentes básicos de la infraestructura de computación Ya existen incidentes de seguridad de la información y no sabemos el impacto en el patrimonio
Problemática No hay análisis de impacto del negocio (BIA) ni planes de contingencia que garanticen la continuidad de las operaciones en caso de desastre La seguridad física del centro de cómputo de la oficina principal, ha presentado deficiencias y problemas que no han sido evaluados y corregidos apropiadamente Dado que no existe el análisis de riesgos, no hay forma sistemática de gestionarlos para disminuirlos hasta un nivel razonable
S o l u c i ó n SGSI
Propuesta concreta • Se recomienda iniciar por el proceso o por los servicios que le producen los mayores ingresos a la organización (Proceso misional) • Una vez implantado se verifica y asegura su correcto funcionamiento • Se plantea ampliar su alcance e involucrar nuevos procesos al SGSI – Nivel de Madurez • Generar un ambiente de Cultura en Seguridad de la información a nivel corporativo
Entendimiento de los Requerimientos GAP Revisión del Análisis del Riesgos frente al SGSI y BCP • Evaluación del Riesgo • Probar BCP • Elaboración Planes de Tratamiento • Completar BCP • Documentación e implantación SGSI • Documentar BCP Campaña Divulgación SGSI - BCP Acompañamiento en la creación de plantillas en un portal web de gestion • Ciclo Metodológico propuesto Debe ser un ciclo metodológico estructurado y articulado:
Análisis de Situación Actual (GAP) Activos de Información, documentación y Controles Existentes Análisis GAP (Brecha) Alistamiento para el Análisis de Riesgos Requerimientos de Certificación Activos Valorados Requerimientos de Seguridad Estado de Implantación Estado Deseable = ? Una ilusión ? Estado Actual Controles
Propuesta con foco • El foco de esta propuesta se centra en dos fases generales: identificar y gestionar el riesgo • Se debe hacer transferencia de conocimientos para que la organización sea autónoma en el resto de procesos • Generar un ambiente en seguridad de la información para visualizar el retorno de inversión tecnológico
Propuesta con foco • La implementación de la norma ISO 27002:2005 como parte de la ISO27001:2005 considera 11 dominios que a su vez se reflejan en 39 objetivos de control que terminan en 133 controles • Se pueden visualizar los dominios como grupos o etapas que idealmente se deben seguir en forma secuencial pero no es mandatorio
Fases del proyecto • Fase I – Identificación de la situación actual de seguridad de la organización (Análisis GAP) • Fase II – Evaluación del riesgo asociado teniendo en cuenta los factores identificados en la Fase I, el análisis de riesgos y las pruebas de penetración
Fases del proyecto • Fase III – Definición de los planes de acción necesarios con métricas para cubrir las brechas existentes tanto en el SGSI como en los riesgos identificados • Fase IV – Revisión de los planes de continuidad del negocio: BIA, DRP, CP = BCP • Fase V – Divulgación del SGSI y del Sistema de Continuidad del Negocio
Fases del proyecto • Fase VI – Creación de las plantillas y almacenamiento en un portal web de gestión que permita a otros procesos y servicios diferentes a tecnología puedan más fácilmente implementar su SGSI para el resto de procesos del negocio basados en la experiencia aprendida del proceso de tecnología • Estas fases son opcionales y dependen de las expectativas de cada organización
Etapa I: GAP + Análisis de riesgos, políticas y organización
Análisis de riesgos: la base de todo el sistema de gestion • Todos los controles deberán justificarse sobre la base del análisis de riesgos • Análisis de vulnerabilidades • Hacking ético • Entregable: Inventario de activosvaluado con amenazas, fallas, controles y responsable en el portal De forma paralela se desarrollara el BIA (Análisis de Impacto) como fuente para la definición del BCP
Comunicación Definir el Contexto Seguimiento y Monitoreo Identificar Riesgos Analizar Riesgos Evaluar Riesgos Tratar Riesgos • Análisis de Riesgos Retomando toda la información obtenida, se llevará a cabo el análisis de riesgos utilizando alguna metodología: Ejemplo Magerit, AS NZS4360, NTC5254 o ISO31000: Análisis GAP Análisis Riesgos Tratamiento
SGSI: 1-Politica • La política de seguridad tiene por objetivo aportar las directrices de la seguridad de la información de acuerdo con los requerimientos y legislación vigente; fundamental para la implantación del resto de los controles Entregable: Politica de seguridadpublicada y firmadapor representante legal documentada en portal
SGSI: 2-Organización • Implica la creación de un comité que supervisará los diferentes aspectos de la seguridad de la información; será el grupo que tendrá el apoyo directo de la alta gerencia y podrá conceptuar y decidir sobre los cambios del SGSI Entregable: Documento de creacion del comite, susmiembros y funcionesgestionado en el portal web
Etapa II: Gestión de activos, seguridad del personal y seguridad física
SGSI: 3-Gestion de activos • Este dominio promueve la protección y tratamiento de los activos de información importantes para la organización; establece responsabilidades sobre ellos y clasifica la información basada en su confidencialidad Entregable: Documento con la clasificación de los activos de informacióngestionado en el portal web
SGSI: 4-Personal • La seguridad de la información depende del recurso humano (ing.social), deberían implantarse controles de seguridad que abarquen el ciclo de vida de los funcionarios, desde su selección hasta el momento en que dejen la organización Entregable: Documento con plan de capacitaciónsobrepoliticas de seguridad de la informacióndocumentado en el portal web
SGSI: 5-Seguridad Física • Cubre los aspectos relativos a la seguridad física de la organización, especialmente los destinados a reducir los riesgos de que se produzcan accesos no autorizados o Interrupciones en las actividades; incluye desde los edificios hasta la seguridad física de los equipos Entregable: Documento de auditoríasobrecontrolesexistentes y mejoras a gestionar en el portal web de gestión
Etapa III: Comunicaciones y operaciones, control de acceso y gestión del software
SGSI: 6-Comunicaciones y operaciones • Se tratan todos los aspectos relativos a la seguridad de las operaciones • Considera el mayor numero de controles legales y mecanismos conocidos de protección de la información Entregable: Documento con sugerencias y solucionesespecíficasademásde la segregacion de funcionesalmacenados en el portal web de gestión…
SGSI: 7-Control de acceso • En este punto se trata de evitar que personal no autorizado pueda lograr el acceso a la información que se está protegiendo, puede considerarse que este dominio se refiere a los accesos lógicos a la información; no tienequever con lo fisico. Ej: DLP Entregable: Documento de políticas con segregación de roles, gestióncontraseñasgestionado en el portal web…
SGSI: 8-Adquisicion, mantenimiento y desarrollo de Sist.Inf • Análisis de vulnerabilidades de la red • Análisis de vulnerabilidades de la aplicación (SQL injection, criptografía de claves, etc) • Pruebas de penetración a cada servidor crítco del negocio • Revisión de configuraciones de dispositivos de red Entregable: Documento con el resultado de laspruebastécnicasgestionado en el portal web
Etapa IV: Gestión de Incidentes, Continuidad del negocio y legislación
SGSI: 9-Gestion de incidentes • A pesar de los anteriores controles pueden presentarse incidentes de seguridad que se deben gestionar de manera que el impacto que puedan provocar sea el mínimo posible • Entregable: Documentos y módulo de gestión de incidentes paraque el área de atención de incidentes pueda manejarlos oportunamente con métricas e indicadores en el cuadro de mandos
SGSI: 10-Gestion de la continuidad del negocio • El objetivo de la seguridad de la información es evitar que las actividades propias de la organización se vean interrumpidas por alguna circunstancia; los planes de continuidad de negocio para cualquier organización son imprescindibles Entregables: Documentoquemuestre el análisis del impacto del negocio o BIA para planear los casos de desastresdocumentado con el DRP en el portal web
SGSI: 11-Legislacion Vigente • Este último dominio trata de garantizar el cumplimiento de la legislación vigente y de las regulaciones que afecten a la organización • Cada sector en particular además de la normatividad general tiene su propia legislación Entregable: Documentomatriz de regulaciones contra cumplimiento: Ej Circular 052, PCI, derechos de autor, ley 1581 de oct/2012 gestionado en el portal web
Conclusiones • El SGSI se hacen por una de tres razones: estrategia, regulación o cumplimiento • La norma dice el que hacer pero no dice como hacerlo • Se hace de forma tradicional (muchos recursos) o con herramientas automatizadas • El SGSI incorpora elementos de otros sistemas de gestión liderados por otros responsables que repiten el proceso (inventario de activos, riesgos, diagrama de procesos, servicios, etc)
Conclusiones • Se debe gestionar el riesgo para conocer sus vulnerabilidades e impacto en el patrimonio de los socios • Hay que construir resiliencia por ejemplo con DLP para proteger los datos confidenciales • Hay que cifrar los datos y los correos confidenciales • Hay que hacer auditorias técnicas para evaluar si se están cumpliendo las normas mínimas
Conclusiones • Hay que hacer BIA para mejores planes de contingencia, DRP y BCP • La seguridad de la información no es un problema de índole tecnológico • Se deben crear métricas que tengan en cuenta los deseos de las altas directivas • Se debe buscar gradualmente la certificación ISO 27001:2005 pero esto no se debe hacer en el momento del diseño del sistema de gestión
Conclusiones • Pare de sufrir: Hay que ayudarse de herramientas tipo portales web que permitan la integración de sistemas de gestión para NO fracasar en el intento de implementar un SGSI
Bibliografía • Gobierno en línea/Colombia • Icontec Norma ISO NSC 17799:2005 (Ahora 27002:2005) • Icontec Norma ISO NSC 27001 • Borradores del proyectosobre SGSI de la superintendenciafinanciera
Gracias por su atención Más información en www.globalteksecurity.com Email: info@globalteksecurity.com