1 / 21

Implementación de una Política de Seguridad Corporativa

Implementación de una Política de Seguridad Corporativa. MANAGER BUSINESS FORUM. Madrid, 18 y 19 de Octubre de 2005. Una solución completa para organizaciones heterogéneas. Fernando Alvarez Fernández NEGYTEC. Indice. Introducción Marco normativo seleccionado UNE-ISO/IEC 17799: 2000

eileen
Download Presentation

Implementación de una Política de Seguridad Corporativa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Implementación de una Política de Seguridad Corporativa MANAGER BUSINESS FORUM Madrid, 18 y 19 de Octubre de 2005 Una solución completa para organizaciones heterogéneas Fernando Alvarez Fernández NEGYTEC

  2. Indice • Introducción • Marco normativo seleccionado • UNE-ISO/IEC 17799: 2000 • UNE 71502: 2004 • Análisis y gestión de riesgos (MAGERIT) • Medidas básicas de protección • Certificación • Problemática actual de las empresas • Conclusiones

  3. Introducción La “Política de Seguridad Corporativa” consiste en la realización de las tareas necesarias para garantizar los niveles de seguridad exigibles en una organización. están expuestos a Activos interesan por su Amenazas Valor ModeloConceptual causan una cierta Degradación - Degradación Impacto -Impacto con una cierta Frecuencia -Frecuencia Riesgo -Riesgo Controles/Salvaguardas Política de seguridad (Nivel de seguridad exigible) Niveles de riesgo/Niveles de seguridad

  4. Introducción Esto conlleva algunas reflexiones sobre lo que hay que tener en cuenta para realizar la implantación de una “Política de Seguridad Corporativa”... • Garantizar un nivel de seguridad de los activos es crítico para cualquier organización. • Los problemas de seguridad no son únicamente de índole tecnológica. • La seguridad no es un producto, es un proceso. • Los riesgos aumentan con rapidez en un entorno muy competitivo: • Las nuevas tecnologías introducen nuevas amenazas. • La dependencia creciente de los recursos de TI aumenta los impactos. • Los riesgos nunca se pueden eliminar al 100%. • Los riesgos no se eliminan… se gestionan. ... Es necesario gestionar la seguridad de la información

  5. Introducción Pero ¿como concretar que entendemos por seguridad y por cada uno de los conceptos incluidos en su modelo?: política de seguridad, amenaza, control… • Diferentes criterios de evaluación de la seguridad: internos a una organización, sectoriales, nacionales, internacionales. • Multitud de estándares aplicables a diferentes niveles: • TCSEC (Trusted Computer Security, militar, US, 1985) • ITSEC (Information Technology Security, europeo, 1991) • Commom Criteria (internacional, 1986-1988) • *7799 (británico + internacional) • Actualmente, tras adoptar *7799 como estándar internacional, es el más extendido y aceptado. • ... Es conveniente y recomendable adaptarnos a la normativa existente en nuestro país: • - Auditorias • Requisitos legales • Certificación • Homologación

  6. Marco normativo seleccionado BS7799: Code of practice for Information Security Management(BS7799-1) BS7799: 1999 ISO/IEC 17799: 2000 ISO/IEC 17799: 2005 UNE-ISO/IEC 17799: 2002Código de buenas prácticas para la gestión de la seguridad de la información UNE 71502: 2004Especificaciones para los Sistemas de Gestión de la Seguridad de la Información BS7799-2: Specifications for Information Security Management Systems BS7799: 1999 BS7799-2: 2002 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

  7. UNE-ISO/IEC 17799: 2000 Una vez seleccionado nuestro marco normativo, podemos empezar a hablar de las características y contenido de cada una de ellas, empezando por la UNE-ISO 17799: 2000 • Es la adaptación española de la ISO/IEC 17799: 2000. • Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar (o al menos a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI), según la norma UNE 71502, CERTIFICABLE. • Su objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones. • Define la “Información” como un activo que posee valor para la organización y requiere por lo tanto de una protección adecuada. • Define la seguridad de la información como la preservación de: • Confidencialidad. Garantía de que solo quienes estén autorizados pueden acceder a la información • Integridad. Garantía de que la información y sus métodos de proceso son exactos y completos • Disponibilidad. Garantía de que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

  8. UNE-ISO/IEC 17799: 2000 10 AREAS DE CONTROL Seguridad organizativa Estratégico Seguridad lógica Política de seguridad Seguridad física Aspectos organizativos para la seguridad Seguridad legal Táctico Clasificación y control de activos Control de accesos Conformidad Seguridad ligada al personal Seguridad física y del entorno Operativo Desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio Fuente: S2 Grupo

  9. UNE-ISO/IEC 17799: 2000 De estas 10 áreas de control se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implantación de controles) y 127 controles (procedimientos, políticas de personal, soluciones técnicas o seguridad física de locales y áreas de trabajo). Política de seguridad Gestión de comunicaciones y operaciones Desarrollo y mantenimiento de sistemas • Política de seguridad de la información • Procedimientos y responsabilidades de operación • Planificación y aceptación del sistema • Protección contra software malicioso • Gestión interna de soportes y recuperación • Gestión de redes • Utilización y seguridad de los soportes de información • Intercambio de información y software • Requisitos de seguridad de los sistemas • Seguridad en sistemas de aplicaciones • Controles criptográficos • Seguridad en los ficheros del sistema • Seguridad en los procesos de desarrollo y soporte Aspectos organizativos de la seguridad • Estructura para la seguridad de la información • Seguridad en los accesos de terceras partes • Externalización (outsourcing) Clasificación y control de activos Gestión de continuidad del negocio • Responsabilidad sobre los activos • Clasificación de la información • Aspectos de la gestión de continuidad del negocio Control de accesos Seguridad ligada al personal • Requisitos de negocio para el control de accesos • Gestión de acceso de usuario • Responsabilidades del usuario • Control de acceso en red • Control de acceso al sistema operativo • Control de acceso a las aplicaciones • Seguimiento de accesos y usos del sistema • Informática móvil y teletrabajo • Seguridad en la definición del trabajo y los recursos • Formación de usuarios • Respuesta ante incidencias y malos funcionamientos de la seguridad Conformidad • Conformidad con los requisitos legales • Revisiones de la política de seguridad y de la conformidad técnica • Consideraciones sobre la auditoria de sistemas Seguridad física y del entorno • Áreas seguras • Seguridad de los equipos • Controles generales

  10. UNE 71502: 2004 La norma UNE 71502 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de la Seguridad de la Información (SGSI) de acuerdo con la norma UNE-ISO/IEC 17799 dentro del contexto de los riesgos identificados por la Organización. • Sistema de Gestión de la Seguridad de la Información (SGSI): Sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información. • Es independiente del tipo, tamaño o área de actividad de la Organización • Es independiente de plataformas tecnológicas y soluciones concretas • Se trata de una norma CERTIFICABLE, equivalente a otros sistemas de gestión (ISO 9000, ISO 14000…) e integrable con ellos. • Fuerte contenido documental: • Acciones llevadas a cabo durante todo el proceso de selección de controles. • Procedimientos. • Documento de selección de controles. • Control documental. • Registros

  11. UNE 71502: 2004 La norma UNE 71502 adopta el modelo de gestión conocido como PDCA (Plan, Do, Check, Act) “Planificar, Hacer, Verificar, Actuar”… PLANIFICAR ModeloPDCA • Política de seguridad • Alcance del SGSI • Análisis de riesgos • Selección de controles • Acciones correctivas • Acciones preventivas • Mantenimiento • Ideas / Mejoras ACTUAR HACER • Documentación • Control documental • Registros • Implantación del SGSI • Ejecución Plan • Implantación de controles • Control de controles • Explotación del SGSI • Operación • Respuesta ante incidentes VERIFICAR • Revisiones y auditorias internas • Eficacia del SGSI • Eficiencia del SGSI

  12. UNE 71502: 2004 Cuyo diagrama de flujos podemos ver a continuación: PLANIFICAR Diagrama de flujosModelo PDCA Ciclo deresolución HACER VERIFICAR Carenciaso incidentes ACTUARAcción correctivaAcción preventiva Ciclo demejora Ciclo demantenimiento Todo enorden ACTUARMantener el SGSI ACTUARIdeas / Mejoras

  13. Análisis y gestión de riesgos (MAGERIT) Vamos a introducir el análisis y la gestión de riesgos (AGR) con la metodología MAGERIT1, elaborada por el CSAE2 y recomendada por la norma UNE 71502. Para ello definimos previamente una serie de conceptos. • Dimensiones: son las características o atributos que hacen valioso un activo. • Disponibilidad • Integridad de los datos • Confidencialidad de los datos • Autenticidad de los usuarios del servicio • Autenticidad del origen de los datos • Trazabilidad del servicio • Trazabilidad de los datos • Criterios de valoración: pautas para valorar los activos • Degradación: cuan perjudicado resulta un activo (suele mostrarse como una fracción del activo) • Frecuencia: cada cuanto se materializa la amenaza 1 MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Puede ser obtenida gratuitamente desde http://www.csi.map.es2 CSAE: Consejo Superior de Administración Electrónica

  14. Análisis y gestión de riesgos (MAGERIT) También introducimos el concepto de “dependencia” entre activos y una serie de definiciones y conclusiones que se derivan de ello. La gestión del “repercutido” tiene sentido para aceptar un cierto nivel de riesgo Capa 5 Otros activos: credibilidad, buena imagen… A15 Funciones de la Organización: objetivos y misión, bienes y servicios producidos… Capa 4 A13 A14 Capa 3 Información: datos y metadatos (índices, claves de cifrado)… Acumulado A10 A11 A12 Repercutido Capa 2 Sistema de Información: equipos, aplicaciones, comunicaciones, soportes de información… A6 A7 A8 A9 Entorno: equipamiento y suministros, personal, edificios, mobiliario… Capa 1 A1 A2 A3 A4 A5 La gestión del “acumulado” tiene sentido para determinar las salvaguardas a implantar Valor acumulado Impacto acumulado Riesgo acumulado Valor propio Impacto repercutido Riesgo repercutido

  15. Análisis y gestión de riesgos (MAGERIT) Los cálculos se realizan para cada tipo de activo, dimensión y amenaza en 2 escenarios: uno sin salvaguardas (escenario 1) y otro con las salvaguardas existentes (escenario 2). ESCENARIO 1 ESCENARIO 2 están expuestos a están expuestos a Activos Activos Amenazas Amenazas interesan por su interesan por su Valor:- Propio- Acumulado Valor:- Propio- Acumulado causan una cierta Degradación causan una cierta Degradaciónresidual Impacto:- Acumulado- Repercutido Impacto residual:- Acumulado- Repercutido con una cierta Frecuencia con una cierta Frecuenciaresidual Riesgo:- Acumulado- Repercutido Riesgo residual:- Acumulado- Repercutido Controles/Salvaguardas Tipo de activo Dimensión Amenaza

  16. Análisis y gestión de riesgos (MAGERIT) En función de los impactos y riesgos residuales establecemos un “Plan de seguridad” con nuevos controles y salvaguardas, lo que nos proporciona un tercer escenario. • Es normal establecer un plan que establezca tres niveles de ejecución: • Acciones urgentes • Acciones a corto • Acciones estratégicas

  17. Medidas básicas de protección Existe una alternativa más simple al AGR, que se conoce como medidas básicas de protección o “baseline”. Consiste en aplicar un catálogo de controles / salvaguardas de alguna de las numerosas fuentes que ya hemos citado. VENTAJAS • Es muy rápido • No cuesta apenas esfuerzo • Se logra un nivel homogéneo con otras organizaciones parecidas INCONVENIENTES • El sistema puede protegerse frente a amenazas que no padece (gasto nulo) • El sistema puede estar inadecuadamente protegido frente a amenazas reales • No es certificable Con este tipo de “protección por catálogo” no se sabe lo que se hace y no hay medida de si sobra o falta seguridad. No obstante, puede ser un punto de partida para afinar posteriormente

  18. Certificación La certificación es el proceso por el que una entidad independiente y competente afirma que un sistema de seguridad es correcto y compromete en ello su reputación...por escrito. • Es una garantía de calidad de la seguridad. • Se afronta cuando la Organización considera que cumple los requisitos de la norma • Aporta beneficios a todos los implicados con la organización. • La credibilidad y garantías de la certificación están sujetas a la confianza depositada en la entidad que certifica • El proceso de certificación consta de dos fases: una documental, en la que se revisan los procedimientos de gestión de la seguridad, y otra de revisión de la implantación de los controles seleccionados. • La certificación no debe ser un OBJETIVO de seguridad, sino un RECONOCIMIENTO al trabajo bien hecho.

  19. Problemática actual de las empresas La problemática de seguridad las empresas está, en general, directamente relacionada con su tamaño . TOTAL EMPRESAS 2.813.159 Sin asalariados 1.459.938 Con asalariados 1.353.211 Grandes empresas (+250 empl) 3.776 PYMES (De 10 a 249 empl.) 166.600 Microempresas (De 1 a 10 empl.) 1.182.845 (1) El 94% de las empresas españolas son empresarios individuales o microempresas (1) La microempresa española en la Sociedad de la Información. “Red.es”. Noviembre 2004

  20. Conclusiones Como colofón a esta presentación, deberíamos tener siempre presentes las siguientes conclusiones: • Los problemas de seguridad no son necesariamente técnicos. • Debemos gestionar nuestra seguridad, puesto que no es producto, sino un proceso sujeto a cambios cada vez más vertiginosos. • La implantación de una política de seguridad corporativa rigurosa implica la puesta en funcionamiento de un Sistema de Gestión de la Seguridad de la Información (SGSI). • Según la normativa española esto se consigue implantando el sistema de gestión de la UNE 71502 con los controles de la UNE/ISO 17799. • Existe una alternativa más sencilla que puede servir como paso intermedio en el caso de las microempresas y empresas pequeñas. • La certificación de seguridad es beneficiosa, pero no garantiza inmunidad ni debe ser un objetivo en si misma. La seguridad consiste en gestionar un nivel de riesgo asumible.

  21. "Los ordenadores han cambiado al mundo y, ciertamente, mi vida". Karol Wojtyla. Comentario no preparado en Noviembre de 1998. NEGYTEC (Negocio y Tecnología) C/Las Campanillas, 66, 1º B 24008 LEON Tel: 987 084 089 www.negytec.com falvarez@negytec.com

More Related