Estrategia, regulación o cumplimiento:
Integración SGSI, Governance, Risk
and Compliance
Junio 13 de 2013
Armando Carvajal
Arquitecto de soluciones - globalteksecurity
Msc en seguridad informática Universidad Oberta de Catalunya
Especialista en construcción de software para redes - Uniandes
Ing. Sistemas – Universidad Incca de Colombia
GLOBALTEK SECURITY S.A.
Tecnologías globales para la Seguridad de la Información
La misión de GLOBALTEK SECURITY S.A. es
ayudar a nuestros clientes a proteger los datos y
la información sensitiva y como consecuencia,
mejorar la productividad de los empleados y la
efectividad de la compañía en sus procesos de
negocios
Introducción
Definición de Resiliencia en seguridad de
la información
• Es la medida o grado de superación de la
organización frente a la adversidad de
pérdida de datos sensibles que tienden a
impactar el patrimonio de los socios con
alta probabilidad de cerrar la organización
Armando Carvajal, Msc Seguridad Informatica
Problemática en las
organizaciones respecto de la
información
INFORMACION
La información es un activo y como
cualquier otro activo que genera valor
al patrimonio, éste es importante para
la organización y por consiguiente
debe ser adecuadamente protegido
Los riesgos son inherentes a los
activos de la organización y la única
forma
de
administrarlos
es
gestionándolos
Problemática
El Crecimiento de la organización, el
Cambio permanente, los nuevos proyectos
y los requerimientos de entes de control no
dan tiempo para concentrarse en la
seguridad de La información
No se ha hecho un Análisis de Riesgos que
permita determinar los riesgos, amenazas y
vulnerabilidades que puedan afectar la
continuidad del negocio
No hay políticas de seguridad de la
información dentro de la organización
Problemática
Al no conocer los riesgos y amenazas
mas relevantes, entonces no existe un
plan de inversión en seguridad de la
información que responda a esos riesgos
No hay suficientes controles concretos para
disminuir los riesgos y amenazas contra la
seguridad de la información y contra la
productividad, los que existen son
componentes básicos de la infraestructura
de computación
Ya existen incidentes de seguridad de la
información y no sabemos el impacto en el
patrimonio
Problemática
No hay análisis de impacto del negocio
(BIA) ni planes de contingencia que
garanticen
la
continuidad
de
las
operaciones en caso de desastre
La seguridad física del centro de cómputo
de la oficina principal, ha presentado
deficiencias y problemas que no han sido
evaluados y corregidos apropiadamente
Dado que no existe el análisis de riesgos,
no hay forma sistemática de gestionarlos
para disminuirlos hasta un nivel razonable
Solución
SGSI
Propuesta concreta
• Se recomienda iniciar por el proceso o por los
servicios que le producen los mayores ingresos
a la organización (Proceso misional)
• Una vez implantado se verifica y asegura su
correcto funcionamiento
• Se plantea ampliar su alcance e involucrar
nuevos procesos al SGSI – Nivel de Madurez
• Generar un ambiente de Cultura en Seguridad
de la información a nivel corporativo
Ciclo Metodológico propuesto
Debe ser un ciclo metodológico estructurado y articulado:
Entendimiento de los
Requerimientos
GAP
Revisión del Análisis del
Riesgos frente al SGSI y
BCP
•Evaluación del Riesgo
•Probar BCP
•Elaboración Planes de
Tratamiento
•Completar BCP
•Documentación
implantación SGSI
•Documentar BCP
e
Acompañamiento en la creación
de plantillas en un portal web de
gestion
Campaña
SGSI - BCP
Divulgación
Análisis de Situación Actual (GAP)
Activos
de
Información,
documentación y
Controles
Existentes
Requerimientos de Certificación
Análisis
GAP
(Brecha)
Activos Valorados
Requerimientos de Seguridad
Estado de
Implantación
Estado Deseable = ? Una ilusión ?
Estado Actual
Controles
Alistamiento
para el
Análisis de
Riesgos
Propuesta con foco
• El foco de esta propuesta se centra en dos fases
generales: identificar y gestionar el riesgo
• Se debe hacer transferencia de conocimientos
para que la organización sea autónoma en el
resto de procesos
• Generar un ambiente en seguridad de la
información para visualizar el retorno de
inversión tecnológico
Propuesta con foco
• La implementación de la norma ISO 27002:2005
como parte de la ISO27001:2005 considera 11
dominios que a su vez se reflejan en 39
objetivos de control que terminan en 133
controles
• Se pueden visualizar los dominios como grupos
o etapas que idealmente se deben seguir en
forma secuencial pero no es mandatorio
Fases del proyecto y tiempos
Fases del proyecto
• Fase I – Identificación de la situación actual de
seguridad de la organización (Análisis GAP)
• Fase II – Evaluación del riesgo asociado
teniendo en cuenta los factores identificados
en la Fase I, el análisis de riesgos y las
pruebas de penetración
Fases del proyecto
• Fase III – Definición de los planes de acción
necesarios con métricas para cubrir las brechas
existentes tanto en el SGSI como en los riesgos
identificados
• Fase IV – Revisión de los planes de continuidad
del negocio: BIA, DRP, CP = BCP
• Fase V – Divulgación del SGSI y del Sistema de
Continuidad del Negocio
Fases del proyecto
• Fase VI – Creación de las plantillas y
almacenamiento en un portal web de gestión
que permita a otros procesos y servicios
diferentes a tecnología puedan más fácilmente
implementar su SGSI para el resto de procesos
del negocio basados en la experiencia
aprendida del proceso de tecnología
• Estas fases son opcionales y dependen de las
expectativas de cada organización
Etapas
Detalles del proyecto
Etapa I: GAP + Análisis de
riesgos, políticas y
organización
Análisis de riesgos: la base de
todo el sistema de gestion
• Todos los controles deberán justificarse
sobre la base del análisis de riesgos
• Análisis de vulnerabilidades
• Hacking ético
De forma paralela se desarrollara el BIA
(Análisis de Impacto) como fuente para la
definición del BCP
• Entregable: Inventario de activos valuado con
amenazas, fallas, controles y responsable en el portal
Análisis de Riesgos
Retomando toda la información obtenida, se llevará a cabo el análisis de
riesgos utilizando alguna metodología: Ejemplo Magerit, AS NZS4360,
NTC5254 o ISO31000:
Comunicación
Definir el Contexto
Seguimiento y
Monitoreo
Análisis GAP
Identificar Riesgos
Analizar Riesgos
Evaluar Riesgos
Análisis Riesgos
Tratamiento
Tratar Riesgos
SGSI: 1-Politica
• La política de seguridad tiene por
objetivo aportar las directrices de la
seguridad de la información de acuerdo
con los requerimientos y legislación
vigente; fundamental para la
implantación del resto de los controles
Entregable: Politica de seguridad publicada y firmada por
representante legal documentada en portal
SGSI: 2-Organización
• Implica la creación de un comité que
supervisará los diferentes aspectos de la
seguridad de la información; será el grupo que
tendrá el apoyo directo de la alta gerencia y
podrá conceptuar y decidir sobre los cambios
del SGSI
Entregable: Documento de creacion del comite, sus
miembros y funciones gestionado en el portal web
Etapa II: Gestión de activos,
seguridad del personal y
seguridad física
SGSI: 3-Gestion de activos
• Este dominio promueve la protección y
tratamiento de los activos de información
importantes para la organización; establece
responsabilidades sobre ellos y clasifica la
información basada en su confidencialidad
Entregable: Documento con la clasificación de los activos
de información gestionado en el portal web
SGSI: 4-Personal
• La seguridad de la información depende del
recurso
humano
(ing.social),
deberían
implantarse controles de seguridad que
abarquen el ciclo de vida de los funcionarios,
desde su selección hasta el momento en que
dejen la organización
Entregable: Documento con plan de capacitación sobre
politicas de seguridad de la información documentado
en el portal web
SGSI: 5-Seguridad Física
• Cubre los aspectos relativos a la seguridad
física de la organización, especialmente los
destinados a reducir los riesgos de que se
produzcan
accesos
no
autorizados
o
Interrupciones en las actividades; incluye desde
los edificios hasta la seguridad física de los
equipos
Entregable: Documento de auditoría sobre controles
existentes y mejoras a gestionar en el portal web de
gestión
Etapa III: Comunicaciones y
operaciones, control de
acceso y gestión del software
SGSI: 6-Comunicaciones y
operaciones
• Se tratan todos los aspectos relativos a la
seguridad de las operaciones
• Considera el mayor numero de controles legales
y mecanismos conocidos de protección de la
información
Entregable: Documento con sugerencias y soluciones
específicas además de la segregacion de funciones
almacenados en el portal web de gestión…
SGSI: 7-Control de acceso
• En este punto se trata de evitar que personal no
autorizado pueda lograr el acceso a la
información que se está protegiendo, puede
considerarse que este dominio se refiere a los
accesos lógicos a la información; no tiene que
ver con lo fisico. Ej: DLP
Entregable: Documento de políticas con segregación de
roles, gestión contraseñas gestionado en el portal web…
SGSI: 8-Adquisicion, mantenimiento
y desarrollo de Sist.Inf
• Análisis de vulnerabilidades de la red
• Análisis de vulnerabilidades de la aplicación
(SQL injection, criptografía de claves, etc)
• Pruebas de penetración a cada servidor crítco
del negocio
• Revisión de configuraciones de dispositivos de
red
Entregable: Documento con el resultado de las pruebas
técnicas gestionado en el portal web
Etapa IV: Gestión de
Incidentes, Continuidad del
negocio y legislación
SGSI: 9-Gestion de incidentes
• A pesar de los anteriores controles pueden
presentarse incidentes de seguridad que se
deben gestionar de manera que el impacto que
puedan provocar sea el mínimo posible
• Entregable: Documentos y módulo de gestión de
incidentes para que el área de atención de incidentes
pueda manejarlos oportunamente con métricas e
indicadores en el cuadro de mandos
SGSI: 10-Gestion de la
continuidad del negocio
• El objetivo de la seguridad de la información es
evitar que las actividades propias de la
organización se vean interrumpidas por alguna
circunstancia; los planes de continuidad de
negocio para cualquier organización son
imprescindibles
Entregables: Documento que muestre el análisis del impacto del
negocio o BIA para planear los casos de desastres documentado con
el DRP en el portal web
SGSI: 11-Legislacion Vigente
• Este último dominio trata de garantizar el
cumplimiento de la legislación vigente y de las
regulaciones que afecten a la organización
• Cada sector en particular además de la
normatividad general tiene su propia legislación
Entregable: Documento matriz de regulaciones contra
cumplimiento: Ej Circular 052, PCI, derechos
de autor, ley 1581 de oct/2012 gestionado en el portal
web
Conclusiones
Conclusiones
• El SGSI se hacen por una de tres razones:
estrategia, regulación o cumplimiento
• La norma dice el que hacer pero no dice como
hacerlo
• Se hace de forma tradicional (muchos recursos)
o con herramientas automatizadas
• El SGSI incorpora elementos de otros sistemas
de gestión liderados por otros responsables que
repiten el proceso (inventario de activos,
riesgos, diagrama de procesos, servicios, etc)
Conclusiones
• Se debe gestionar el riesgo para conocer sus
vulnerabilidades e impacto en el patrimonio de
los socios
• Hay que construir resiliencia por ejemplo con
DLP para proteger los datos confidenciales
• Hay que cifrar los datos y los correos
confidenciales
• Hay que hacer auditorias técnicas para evaluar
si se están cumpliendo las normas mínimas
Conclusiones
• Hay que hacer BIA para mejores planes de
contingencia, DRP y BCP
• La seguridad de la información no es un
problema de índole tecnológico
• Se deben crear métricas que tengan en cuenta
los deseos de las altas directivas
• Se debe buscar gradualmente la certificación
ISO 27001:2005 pero esto no se debe hacer en
el momento del diseño del sistema de gestión
Conclusiones
• Pare de sufrir: Hay que ayudarse de
herramientas tipo portales web que permitan la
integración de sistemas de gestión para NO
fracasar en el intento de implementar un SGSI
Bibliografía
• Gobierno en línea/Colombia
• Icontec Norma ISO NSC 17799:2005
(Ahora 27002:2005)
• Icontec Norma ISO NSC 27001
• Borradores del proyecto sobre SGSI de la
superintendencia financiera
Gracias por su atención
Más información en www.globalteksecurity.com
Email: [email protected]
Descargar

Diapositiva 1