Gestión de la Calidad de la Seguridad de un Sistema Informático

Presentación del tema: "Gestión de la Calidad de la Seguridad de un Sistema Informático"— Transcripción de la presentación:

1 Gestión de la Calidad de la Seguridad de un Sistema Informático
Escuela Técnica Superior de Informática Universidad Nacional de Educación a Distancia Gestión de la Calidad de la Seguridad de un Sistema Informático Modelo de Madurez de la Seguridad de un Sistema Informático Nuestro proyecto: “Gestión de la Calidad de la Seguridad de un Sistema Informático”, propone un modelo llamado SMMIS, siglas de “Security Madurity Model of an Information System” en español “Modelo de Madurez de la seguridad de un Sistema Informático”. Este método está basado en dos estándares internacionalmente reconocidos: Para la presentación de este modelo, nos ayudaremos una serie de hojas de cálculo que nos facilitarán la explicación del método y la explicación de sus resultados. Con ellas, además de hacer versátil la aplicación, nos permitirá obtener los puntos fuertes así como las oportunidades de mejora del evaluado. OK ISO 17799:2005, actualmente reescrito como ISO y los niveles de madurez de la capacidad propuestos por CMMI, en el SSE-CMM más recientemente llamado ISO 21827:2002. El objetivo final, de este modelo, será situar el sistema evaluado en un nivel de madurez de la de la seguridad de la organización objeto de evaluación , conforme a 39 objetivos de control, que cubren un total de 138 controles categorizados en 11 dominios principales del ISO Autor: Roberto José Fernández García Director: Jesús María Minguet Melián /11/07

2 Índice I Introducción II Concienciación en la Seguridad de la Información III Estado del Arte IV Normalización de la Seguridad TIC V Legislación y Normativa Española VI Medidas, Métricas y Auditorías VII Modelo de Madurez de la Seguridad de un Sistema Informático VIII Conclusiones IX Líneas Futuras Glosario de Términos y Lista de Acrónimos Apéndices Bibliografía Los contenidos del proyecto y por ende (por tanto) de mi presentación son los siguientes: OK 2

3 I.- Introducción (I) Estado del Arte en materia de seguridad. Auditoría Antecedentes en Seguridad de la Información: Protegernos contra ataques internos/externos Proteger nuestro Know-how, Knowledge Actualmente, son muchas las auditorías informáticas a las empresas están sometidas regularmente, tanto internas como externas, en línea con: Evaluación y Administración de Riesgos Tecnológicos Seguridad Informática Mejora de Procesos Análisis de Fraude Informático… Antecedentes: Desde hace pocos años, nuestro país ha ido tomando conciencia de la importancia de mejorar en el área de la Seguridad en las Tecnologías de la Información, y no sólo haciendo frente a posibles ataques externos/internos, sino también, a la necesidad de proteger el “cómo hacer las cosas” o know-how, en una palabra, el conocimiento de la empresa o knowledge. OK Estado del Arte en materia de seguridad. Auditoría Son muchas las auditorías informáticas a las que regularmente estamos sometidos, tanto internas como externas, en línea con: Evaluación y Administración de Riesgos Tecnológicos, Seguridad Informática, Mejora de Procesos, Análisis de Fraude Informático… 3

4 I.- Introducción (II) Estado del Arte en materia de seguridad. Auditoría (II) Las conclusiones, de estas auditorías, se resumen en una enumeración de aspectos positivos y recomendaciones de mejora, sin llegar a evaluar nuestro sistema informático. Por ejemplo: Acotando el sistema dentro de los niveles de madurez sugeridos por el CMMI Aquí tenemos un ejemplo de informe de Auditoría (BS7799.2:2202): OK En él se enumeran los aspecto positivos y recomendaciones de mejora, sin llegar a evaluar sistema informático objetivo, por ejemplo, en nuestro proyecto: Acotándolo dentro de los niveles de madurez sugeridos por el CMMI 4

5 I.- Introducción (III) Objetivos del Proyecto
Creación de un modelo, “Modelo de Madurez de la Seguridad de un Sistema Informático”, en línea con los objetivos generales de la compañía: ¿Cuáles son los objetivos generales que trata de alcanzar nuestro “Modelo de Madurez de la Seguridad de un Sistema Informático”, dentro de las TI? 1.- Tener cada vez más alineado el soporte al Negocio en tiempo… OK 5

6 ¿Qué áreas queremos cubrir dentro de las TI?
I.- Introducción (IV) ¿Qué áreas queremos cubrir dentro de las TI? Las áreas queremos cubrir dentro de las TI son SEIS OK 6

7 I.- Introducción (V) ¿Qué ESTÁNDARES nos ayudarán a cubrir las áreas TI? ¿Dónde encaja nuestro Modelo SMMIS (objeto del proyecto)? ¿Qué ESTÁNDARES nos ayudarán a cubrir las áreas TI anteriormente indicadas? y ¿Dónde encaja nuestro Modelo SMMIS (objeto del proyecto)? Aunque entraremos en más detalle en el capítulo III “Estado del Arte”: CObIT como marco de referencia para “Gobierno de TI” es Fuerte en Control y Métricas TI, pero no dice cómo aplicarlas y no es fuerte en seguridad. ITIL V2 Normativa muy centrada en los Procesos Operativos y cubre ligeramente el área de seguridad. Fuerte en procesos TI, pero limitado en seguridad y desarrollo de sistemas. ISO 27002: Es la más utilizada en Seguridad de la Información. Fuerte en controles de seguridad pero no dice cómo aplicarlos (por ejemplo: Flujos de procesos) . SMMIS: Basado en los controles ISO y los niveles de Madurez del CMMI. Es fuerte en Métricas y Controles de Seguridad, trata ligeramente su aplicación, incorpora a las personas aunque débil respecto a los procesos. OK 7

8 I.- Introducción (VI) Recomendaciones
Usar CObIT 4.1 y SMMIS (Proyecto) para determinar el estado actual de salud de la Seguridad Identificar debilidades en los Procesos y Controles. Usar ITIL V2 para mejorar los Procesos y Controles TI, ayudándonos ISO27002 y SMMIS (Proyecto) para mejorar los Procesos y Controles de Seguridad Usar ITIL V2 para determinar la Tecnología Usar Cobit 4.1 y SMMIS (Proyecto) para definir las Métricas Preguntar a ITIL V2 sobre posibles Estructuras Respecto a los 4 estándares (CObIT 4.1, ITIL V2, SMMIS & ISO27002): No se producen contradicciones o solapamientos reales, No se identifican requisitos de personal No son fuertes desde el punto de vista organizativo (estructuras y roles) No son fuertes del lado de la tecnología De todo lo anteriormente explicado, se deducen estas recomendaciones de Buenas Prácticas: Con respecto a los 3 estándares (CObIT, ITIL & ISO27002): No se producen contradicciones o solapamientos reales, No se identifican requisitos de personal No son fuertes desde el punto de vista organizativo (estructuras y roles) No son fuertes del lado de la tecnología OK 8

9 II.- Concienciación en la Seguridad de la Información
Seguridad de la Información. 3 Pilares: la Tecnología, los Procesos y las Personas Implementación de un programa “Concienciación de los Usuarios” Componentes: Educación: Producir especialistas en Seguridad TI Entrenamiento: Producir habilidades y competencias en Seguridad Al enfrentarnos al tema de SEGuridad en la INFormación, nos encontramos con tres pilares fundamentales que la soportan: la Tecnología, los Procesos y las Personas. Hasta ahora las empresas se han preocupado por invertir Dinero y Esfuerzos en tecnología de seguridad y definición de procesos, pero Han Dejado a un Lado a las Personas convirtiéndose en el eslabón más débil de la cadena de seguridad dentro de la organización. Por esto, se hace necesaria la implementación de un programa adecuado de “Concienciación de los Usuarios” en el tema de seguridad, debidamente apoyado en las políticas corporativas y con un adecuado proceso de seguimiento y actualización. Componentes: Concienciación (Awareness): Es el proc. de aprendizaje que establece las etapas para el entrenamiento de las actitudes individuales y organizacionales, para darse cuenta de la importancia de la seguridad y de las consecuencias adversas de su omisión. Entrenamiento (Training): Enseñar a las personas el conocimiento y las habilidades que deberán capacitarlos para la ejecución de sus trabajos en forma más adecuada. Educación (Education): Enfocada en el desarrollo y ejecución de actividades complejas y multidisciplinarias. La educación incluye la búsqueda y el desarrollo necesarios para mantenerse al día con las tecnologías cambiantes y los ataques de seguridad. OK Concienciación: El proceso de aprendizaje que establece las etapas para el entrenamiento de la actitudes individuales y organizacionales 9

10 III.- Estado del Arte (I)
* CObIT 4.1 * ITIL V2 * Serie ISO * CMMI. SSE-CMM. ISO/IEC 21827:2007 Las mejores prácticas como COBIT, ITIL, ISO y SSE-CMM se utilizan en todo el mundo para mejorar el rendimiento, valor y control sobre las inversiones en TI (Tecnologías de la Información) de las organizaciones. 10

11 III.- Estado del Arte (II)
CObIT 4.1 Código de Buenas Prácticas para el manejo de la información. Su misión: Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en Tecnología de la Información, generalmente aceptados, para el uso cotidiano de la dirección de la empresa (Gerentes), usuarios y auditores. CObIT 4.1 Los Objetivos de Control para la Información y Tecnologías Relacionadas (CObIT) es un conjunto de las MEJORES PRÁCTICAS para el manejo de información, creado por la ISACA, y el ITGI. CObIT 4.1 proporciona a los directores, auditores, y usuarios de TI un conjunto, generalmente aceptado, de medidas, indicadores, procesos y buenas prácticas para ayudarnos en la maximización de los beneficios derivados del uso de la tecnología de la información y del apropiado desarrollo del gobierno y control de las TI en una compañía. En Resumen: CObIT es reconocido como un marco de referencia para lo que se denomina “Gobierno de TI”. OK CObIT (Control Objectives for Information and related Technology) (ISACA) Asociación para la Auditoría y Control de Sistemas de Información (ITGI) el Instituto de Administración de las Tecnologías de la Información 11

12 III.- Estado del Arte (III)
ITIL V2 marco de procesos de Gestión de Servicios de TI más aceptado, nace como un código de buenas prácticas dirigidas a alcanzar las metas TI mediante: Un enfoque sistemático del servicio TI centrado en los procesos y procedimientos El establecimiento de estrategias para la gestión operativa de la infraestructura TI ITIL Código Proceso Proceso de la Gestión de Servicios SD.1.0 Gestión del nivel de servicio (SLM) SD.2.0 Gestión financiera de los servicios TI SD.3.0 Gestión de la capacidad SD.4.0 Gestión de la continuidad del servicio (SCM) TI SD.5.0 Gestión de la disponibilidad SS.1.0 Service desk SS.2.0 Gestión de incidentes SS.3.0 Gestión de problemas SS.4.0 Gestión de las configuraciones SS.5.0 Gestión del cambio SS.6.0 Gestión de entrega (liberación) ITIL V2, Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) actualmente vigente, aunque desde Junio está ya disponible la versión 3. La Gestión de Servicios ITIL se divide en 10 procesos (11 si tenemos en cuenta la “Gestión de la Seguridad” que se superpone a todos) más una función de Service Desk. Los 10 procesos y la función se agrupan en dos: Service Support and Service Delivery. Entrega del Servicio y Soporte tal y como indica la siguiente tabla: Resumiendo: ITIL: está muy centrada en los procesos operativos, además de cubrir ligeramente el área de seguridad. OK ITIL proporciona un conjunto de mejores prácticas, recogidas por la Oficina Gubernativa de Comercio Británica (OGC, Office of Goverment Comerce). 12

13 III.- Estado del Arte (IV)
A semejanza de otras normas ISO, la es realmente una serie de estándares. Revisión por: NCC (Centro Nacional de Computación) Consorcio usuarios 1993 Estándar nacional británico 1995 Estándar Internacional (Fast Track) 1999 2000 Revisión periódica (5 años) 2005 Nuevo estándar nacional certificable 1998 2002 Revisión conjunta de las partes 1 y 2 Revisión y acercamiento a: ISO 9001 ISO 14001 OCDE Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI) 1989 ■ Certificable Código de prácticas para usuarios ■ PD0003 Código de prácticas para la gestión de la seguridad de la información BS 7799 BS :1999 ISO/IEC :2000 ISO/IEC (ant. ISO/IEC :2005) BS :2002 BS BS :1999 ISO/IEC :2005 ■ No certificable La serie ISO 27000 A semejanza de otras normas ISO, la es realmente una serie de estándares ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información (SGSI). Certificable ISO 27002: Dedicado a la gestión de la seguridad de la información es la más utilizada. No es certificable. … Resumen ISO es un código de buenas prácticas mientras ISO una especificación de la primera 13

14 III.- Estado del Arte (IV)
CMMI. SSE-CMM. ISO/IEC 21827:2007. • Evaluar sus prácticas de ingeniería de seguridad y definir mejoras. • Base para las organizaciones que evalúan ingeniería de seguridad, con objeto de establecer confianzas organizativas basadas en la capacidad. • Mecanismo estándar para que los clientes evalúen en un proveedor su capacidad de ingeniería de la seguridad. Utilización del SSE-CMM. ISO/IEC 21827:2007. El modelo SSE-CMM y el método para aplicar el modelo suelen utilizarse como: • Herramienta, usada por las organizaciones, para evaluar sus prácticas de ingeniería de la seguridad y definir las mejoras a ellas. • Base para las organizaciones que evalúan la ingeniería de la seguridad (por ejemplo, certificadores de sistemas o evaluadores de productos), con objeto de establecer confianzas organizativas basadas en la capacidad. • Mecanismo estándar para que los clientes evalúen en un proveedor su capacidad de ingeniería de la seguridad. Niveles de Madurez: Nivel 0 No Realizado • Nivel 1 Realizado informalmente • Nivel 2 Planificado y seguido • Nivel 3 Bien definido • Nivel 4 Controlado cuantitativamente • Nivel 5 Mejorando continuamente OK 14

15 IV.- Normalización en la Seguridad TIC (I)
¿Qué es una Norma? Especificación Técnica Voluntaria Accesible al público Elaborada por consenso de las partes interesadas En el seno de un organismo reconocido Basado en la experiencia y desarrollo tecnológico Beneficios de la Normalización Para los fabricantes. Racionaliza productos, Disminuye el volumen de existencias, Mejora la gestión de diseño, Agiliza pedidos, Facilita la comercialización y Simplifica las compras Para los consumidores. Establece niveles de calidad y seguridad, Informa del producto y Facilita de comparación Para la Administración. Simplifica los textos legales, Facilita políticas, Ayuda al desarrollo económico y Agiliza el comercio Hablamos de NORMA como: Especificación técnica, cuya observancia no es obligatoria, establecida con participación de todas las partes interesadas, que aprueba un organismo reconocido a nivel nacional o internacional. En contraposición tenemos REGLAMENTO TÉCNICO Beneficios de la Normalización. Desde el punto de vista de: Fabricantes: Racionaliza productos, Disminuye el volumen de existencias, Mejora la gestión de diseño, Agiliza pedidos, Facilita la comercialización y Simplifica las compras Consumidores: Establece niveles de calidad y seguridad, Informa del producto y Facilita de comparación Administración: Simplifica los textos legales, Facilita políticas, Ayuda al desarrollo económico y Agiliza el comercio OK 15

16 IV.- Normalización en la Seguridad TIC (II)
Origen de las Normas Las normas se elaboran en el seno de los comités técnicos compuestos, de forma equilibrada, por todas las partes interesadas en ese campo. La Normalización en Seguridad TI En lo referente a TI, el comité conjunto Nº1 denominado JTC1 constituido entre los dos organismos internacionales de normalización:ISO & IEC. En él participan 68 países, entre ellos España, a través de AENOR. JTC1 está estructurado en una serie de Subcomités dedicados a un aspecto específico de las TI, en concreto el número 27, es el responsable de todos los aspectos de seguridad, Origen de las Normas Las normas se elaboran en el seno de los comités técnicos que forman parte de la estructura de los organismos de normalización. Dichos comités están formados de forma equilibrada por todas las partes interesadas en ese campo de aplicación. En lo referente a las TI, existe un comité constituido entre los dos organismos internacionales de normalización, ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional, que se centra en los aspectos eléctricos de cada campo). Este comité conjunto es el denominado JTC1 (Joint Technical Committee 1), en el que participan 68 países, entre ellos España, a través de AENOR (Asociación Española de Normalización y Certificación). JTC1 (Joint Technical Committee 1) considera la especificación, diseño y desarrollo de sistemas y Herramientas que tratan la información en sus distintos aspectos: Captura, Proceso, seguridad, almacenamiento, recuperación, etc. JTC1 está estructurado en una serie de Subcomités dedicados a un aspecto específico de las TI, en concreto el número 27, es el responsable de todos los aspectos de seguridad, denominándose JTC1/SC27 "Técnicas de Seguridad". Su homólogo a nivel español es el CTN71/SC27, que lleva el mismo nombre. OK denominándose JTC1/SC27 "Técnicas de Seguridad". Su homólogo a nivel español es el CTN71/SC27, que lleva el mismo nombre. 16

17 V.- Legislación y Normativa Española (I)
Legislación de Seguridad Ley Orgánica 15/1999, del 13 de Diciembre de Protección de Datos de Carácter Personal –LOPD Nivel básico, Medio y Alto Real Decreto 994/1999, de 11 de Julio, Reglamento de Medidas de Seguridad, quedando pendiente la aprobación el reglamento de Medidas de seguridad derivado de la LOPD Ley 34/2002 del 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico - LSSI-CE Marco legislativo: Definir e identificar las leyes aplicables para la organización que tienen relación, en nuestro caso, con la seguridad de los Sistemas de Información. LOPD. Derechos básicos … LSSI-CE. Establece los criterios de servicios en Internet, cuando sean parte de actividad económica: –Mostrar en la web: Nombre, NIF, dirección, correo electrónico •Validez y regulación del comercio electrónico: –Prohibición de los spam ( no solicitado) OK Establece los criterios de servicios en Internet, cuando sean parte de actividad económica: Mostrar en la web: Nombre, NIF, dirección, correo electrónico… •Regulación del comercio electrónico: Prohibición de los spam… 17

18 V.- Legislación y Normativa Española (II)
Normativa de Seguridad UNE-75502:2004: Tecnología de la Información. Especificaciones para los sistemas de Gestión de Seguridad de la Información ISO 27002:2007, Sistema de Gestión de Seguridad de Información Certificable Marco normativo: Definir e identificar las normas y estándares de seguridad de la información que aplican en cada caso. OK ----- Organismos de Normalización Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR  Define UNE’s Certificable 18

19 V.- Legislación y Normativa Española (III)
Criterios de Certificación de Productos de Seguridad Antecedentes: ORANGE BOOK-TCSEC & ITSEC (whitebook) Actualidad: COMMONCRITERIA v3.1 EDICION 2 1996. V1.0 Common Criteria(Criterios comunes USA-EUR) Iniciativa conjunta para armonizar TCSEC e ITSEC Reconocimiento mutuo de la certificación Mayor interés del sector privado en productos certificados Actualmente CC/CEM v3.1 Ed. 2 Niveles de Evaluación (EAL1 …EAL4…EAL7)* CC/CEM v3.1 EDICION 2 Common Criteria es una organización que tiene sus orígenes en el TCSEC estadounidense, que junto con organismos gubernamentales de Canada, Francia, Alemania y Reino Unido crean un estándar de seguridad reconocido internacionalmente. La "certificación" Common Criteria tiene también validez en Australia, Finlandia, Grecia, España, etc. Los niveles de evaluación (Evaluation Assurance Level-EAL )se ordenan jerárquicamente desde EAL1 hasta EAL7, pero en la actualidad el mayor nivel alcanzado en todos los productos analizados ha sido EAL4: hay miembros del Common Criteria que no reconocen los niveles EAL5 y superiores. Para conseguir un EAL4 hace falta un mínimo de 10 meses de pruebas. Ej: Red Hat Linux &SUSE Linux poseen la EAL3. Solaris, HP-UX y AIX poseen la certificación EAL-4. ¡¡¡¡Varias versiones de servidor de Windows también tienen certificaciones EAL-4 !!!!!! OK 19

20 VI.- Medidas, Métricas y Auditorías (I)
Decidir de antemano que vamos a registrar Establecer un plan de destrucción progresiva de logs En cada destrucción hay que guardar parte de la información bien en bruto o bien consolidada Hay que automatizar todo el proceso de captura y gestión de logs para prevenir errores humanos, olvidos y ataques intencionados Medidas Esta es la parte sencilla. -Decidir que vamos a registrar. -… OK La recolección de datos es mecánica, pero la decisión de qué se mide y qué se conserva, durante cuánto tiempo, debe hacerse con un objetivo, marcado por las necesidades del negocio. 20

21 VI.- Medidas, Métricas y Auditorías (II)
Las métricas materializan el rendimiento de los sistemas. Pueden dividirse en dos grandes grupos: de efectividad:¿satisfacen los sistemas nuestras necesidades? de eficiencia: muestra la proporción entre medios y resultados Métricas para la Seguridad de la Información De gestión: en qué medida se cubren todos los componentes del sistema y cuán a menudo se revisan Técnicas: en los componentes técnicos hay múltiples aspectos de rendimiento que son relativamente fáciles de medir Del Entorno Físico: un sistema existe en un entorno real Del Personal: las personas especifican, construyen,…y usan los sistemas Definimos métrica como “El método de medición y la escala de medición definida” Métricas. A los más técnicos les permiten controlar el comportamiento de los sistemas; a los menos técnicos les permite revisar el alineamiento entre gastos y beneficios… Típicamente se dividen en dos grupos: de efectividad: métricas que muestran en qué medida se alcanzan los objetivos propuestos; es decir, si los sistemas satisfacen nuestras necesidades; de eficiencia: métricas que muestran la proporción entre medios y resultados ---- ¿Métricas para la Seguridad de la Información? Las dividimos en 4 grupos 21

22 VI.- Medidas, Métricas y Auditorías (III)
Ej. Métricas Técnicas de Seguridad Tradicionales Métrica Supuesta Medición Peligros Número de virus o códigos malignos detectados (T) Eficacia de los controles antivirus automáticos ¿Por qué pasan tantos virus en primer lugar?¿Cuántos pasaron y nunca se detectaron? Número de incidentes e investigaciones de seguridad (T) Nivel de actividad de la monitorización de eventos de seguridad ¿Qué umbral desencadena un incidente o una investigación?¿Se desencadenan incidentes por defectos en el procedimientos organizativos? Coste de las brechas de seguridad (T) Pérdidas económicas reales debidas a fallos de seguridad ¿Qué riesgos residuales eligió asumir la empresa?¿Es una medida de la respuesta ante crisis o desastres, pero no necesariamente función de las salvaguardas sensatas implantadas? Recursos asignados a las funciones de seguridad (T/P) Coste económico real de utilizar un programa de seguridad ¿Son ineficientes las herramientas, tareas asignadas o procedimientos, llevando al personal a perder tiempo? Cumplimiento de las reglas de seguridad (T/E) Nivel de cumplimiento de los objetivos del programa de seguridad ¿Cómo se relaciona el cumplimiento con la eficacia? ¿Cuál es el orden de cumplimiento? Una vez logrado el cumplimiento, ¿se “acaba” el programa de seguridad? Los he puesto como Técnicos aunque algunos podrían pertenecer, Con otro enfoque a más de una métrica… KO 22

23 VI.- Medidas, Métricas y Auditorías (IV)
Indicadores Abstrayéndose de los detalles, son capaces de transmitir el estado general de salud del objeto. Los indicadores suelen agruparse para su presentación en cuadros, denominados "de mando" que típicamente resumen la salud de la organización desde cuatro puntos de vista: Salud financiera: gasto y capacidad Percepción de los clientes y proveedores Capacidad para una reacción rápida y efectiva Capital humano: estabilidad, compromiso y capacidad OK Indicadores de Seguridad de la Información: abstrayéndose de los detalles, son capaces de transmitir el estado general de salud del objeto. Suelen agruparse para su presentación en cuadros, denominados "de mando“, que típicamente resumen la salud de la organización desde cuatro puntos de vista: *salud financiera: razonabilidad del gasto, capacidad para acometer proyectos; … *percepción de los clientes y proveedores; *capacidad para una reacción rápida y efectiva a cambios del entorno; *capital humano: estabilidad, compromiso y capacidad para afrontar el futuro a corto y medio plazo. 23

24 VI.- Medidas, Métricas y Auditorías (V)
Auditoría de Seguridad de las TI desde la Perspectiva de la Normalización Definición de Auditoría (ISACA). Factores Críticos a considerar: Distancia entre las políticas y directrices de alto Las limitaciones de recursos técnicos y humanos Legislación relacionada con las TI varía dependiendo del país Planificación de la auditoría de la seguridad, teniendo en cuenta: Objetivo: emitir una opinión o dictamen Alcance: sistemas, infraestructura, información… Etapas normales de cualquier auditoría de TI: Análisis y evaluación de riesgos Identificación de políticas Procesos y procedimientos de control Auditoría TI. ISACA: “Se define como cualquier proceso de auditoría que abarca la revisión y evaluación (total o parcial) de sistemas de procesamiento automatizados de información, y los procesos manuales relacionados con los anteriores y sus interfaces". OK Los factores críticos en la aplicación de estas normas, que el auditor de TI debe necesariamente considerar en su planificación serían: Distancia entre las políticas y directrices de alto Limitaciones de recursos técnicos y humanos La legislación relacionada con las TI varía de región en región y de país en país La planificación de la auditoría de la seguridad, tiene en cuenta el OBJETIVO de la Auditoría (emitir una opinión o dictamen), y el ALCANCE (qué sistemas, qué infraestructura, qué información). Dentro de esta planificación el auditor realiza las etapas normales de cualquier auditoría de TI: Análisis y evaluación de riesgos Identificación de políticas, Procesos y procedimientos de control. 24

25 VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (I)
Modelos de Madurez de la Seguridad Publicados Por alguna razón, cada uno ellos, tienen cinco niveles de madurez: Modelo Descripción Comentarios Modelo de Madurez de Seguridad TI de NIST CSEAT Cinco niveles de Madurez progresiva: 1. Política 2. Procedimiento 3. Implantación 4. Prueba 5. Integración Centrado en niveles de documentación Modelo de Evaluación de la Seguridad de la Información de Citigroup (CITI-ISEM) Cinco niveles de Madurez progresiva: 1. Autocomplacencia 2. Reconocimiento 3. Integración 4. Prácticas Comunes 5. Mejora Continua Centrado en concienciación y adaptación por parte de la organización Modelo de Madurez COBIT® Cinco niveles de Madurez progresiva: 1. Inicial/ad hoc 2. Repetible pero intuitivo 3. Proceso definido 4. Gestionado y medible 5. Optimizado Centrado en procedimientos específicos de auditoría Los pocos modelos de madurez de seguridad publicados y están resumidos a continuación: - Por alguna razón, cada uno ellos, tienen cinco niveles de madurez. La madurez debería ser una medida sólo del progreso del programa a lo largo del tiempo, no necesariamente de la calidad de los elementos del mismo. Esta definición de madurez tiene varias características importantes: Proporciona el plan para un programa de seguridad completo. Muestra a la dirección, el orden en el que implantar los elementos de seguridad. Conduce hacia la utilización de estándares de buenas prácticas (ej. ISO 27002…) Proporciona una forma de comparar el programa de seguridad de una organización con el de otra. OK 25

26 VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (II)
Modelos de Madurez de la Seguridad Publicados (II) Modelo SSE-CMM Cinco niveles de Madurez progresiva: 1. Realizado informalmente 2. Planificado y perseguido 3. Bien definido 4. Controlado cuantitativamente 5. Continuamente mejorado Centrado en Ingeniería de Seguridad y diseño de software Evaluación de la Capacidad de la Seguridad de CERT/CSO Cinco niveles de Madurez progresiva: 1. Existente 2. Repetible 3. Persona designada 4. Documentado 5. Revisado y actualizado Centrado en la medición de la calidad relativa a niveles de documentación Siguiendo este estándar de madurez, previos al estos modelos SMMIS, sufren estas tres deficiencias clave: 1.- Confunden calidad con existencia. 2.- Los modelos existentes necesitan ser adaptados específicamente a la organización. Por ello, es difícil comparar directamente los resultados de una organización con los de otra. 3.- Los modelos actuales tienden a provenir de perspectivas de ingeniería o de gestión de proyectos. No dirigen necesariamente el programa hacia un objetivo organizacional concreto y, por ello, funcionan mal para un programa de seguridad. OK Estos modelos previos al SMMIS, sufren tres deficiencias clave: Confunden calidad con existencia Necesitan ser adaptados específicamente a la organización No dirigen necesariamente el programa hacia un objetivo organizacional concreto, por lo que no funcionan bien para un programa de seguridad 26

27 VII. -. Modelo de Madurez de la Seguridad
VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (III) Controles Modelo de Madurez de la Seguridad de un Sist. Informático 5.- Política de Seguridad TI, IT Security Policy Obj.Control 1, Controles 2 6.- Organización de la Seguridad de la Información, Obj.Control 2, Controles 11 Organizing Information Security 7.- Clasificación y Control de Activos, Obj.Control 2, Controles 5 Asset Classification and Control 8.- Seguridad Relativa al Personal, Obj.Control 3, Controles 10 Human Resources Security 9.- Seguridad Física y del Entorno, Obj.Control 2, Controles 13 Physical and Environmental Security 10.- Control de Accesos, Access Control Obj.Control 10, Controles 32 11.- Desarrollo y Mantenimiento de Sistemas, Obj.Control 7, Controles 27 Information Systems Development and Maintenance 12.- Gestión de comunicaciones y operaciones, Obj.Control 6, Controles 18 Communications and Operations Management 13.- Gestión de Incidentes de la Seguridad de la Inforamción, Obj.Control 2, Controles 5 Information Security Incident Management 14.- Gestión de Continuidad de Negocio, Obj.Control 1, Controles 5 Business Continuity Management 15.- Conformidad, Compliance Obj.Control 3, Controles 10 Tal y como propone la ISO 27002, aquí aparecen 39 objetivos de control, que cubren un total de 138 controles categorizados en 11 dominios principales. 27

28 VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (IV)
Métricas Modelo de Madurez de la Seguridad de un Sist. Informático Empresas propuestas para: Nivel 1. Realizado informalmente: (22 ptos. de control otorgan este nivel desarrollados al menos en un 50% -color Naranja-). Empresa < 10 empl., ámbito local o familiar, no realiza comercio electrónico, no da servicios a terceros y las operaciones financieras/RRHH son internas. Ej. Farmacias, restaurantes, … Nivel 2. Planificado y perseguido: (65 ptos. / 43 ptos. adicionales al 50% y 22 ptos al 65% -Amarillo-) < 80 empl, ámbito Nacional, con presencia en Internet, sin comercio electrónico, no servicios a terceros y operaciones financieras/RRHH internas. Ej. Cooperativas, … Nivel 3. Bien definido: (123 ptos. /58 ptos. adicionales al 50%,+ 43 del 2 y 22 del nivel 1 al 65% -Amarillo-) Empresas de ~250 empl, ámbito Nacional o Internacional, no comercio electrónico aunque con presencia en Internet, puede dar servicios a terceros y operaciones financieras/RRHH pueden haber sido delegadas. Ej. Empresas de Ingeniería con relaciones internacionales eCrisa, SENER, etc. Nivel 4. Controlado cuantitativamente: (135 ptos/ 12 ptos. adicionales al 50% -Naranja-, 58 d nivel 3 y 65 d nivel 2 al 65% -Amarillo- y 22 ptos. d nivel 1 al 80% -Verde-) Empresas >300 empl, Nacional o Intern., realiza comercio electrónico, puede dar servicios a terceros y las operaciones financieras/RRHH pueden estar muy repartidas e incluso diversificadas. Ej. Grandes empresas con delegaciones en el mundo: ZARA, El Corte Inglés, VIPs Nivel 5. Continuamente mejorado: (138 ptos/ 3 ptos. 50% -Naranja-, 12 de nivel 4 al 65% -Amarillo-, 58 d nivel 3, 43 d nivel 2 y 22 d nivel 1 al menos al 80% -Verde-) Empresas > 1000 empleados, Ámb. Internacional, con comercio electrónico como parte fundamental del negocio, podrá dar servicios a terceros y aunque las operaciones financieras/RRHH puedan realizarse internamente. Ej. Bancos y primeras empresas del Sector: Repsol, Endesa o Telefónica 28

29 VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (V)
Implementación del Modelo: Nuestra hoja de cálculo está formada por 39 objetivos de control, que cubren un total de 138 controles categorizados en 11 dominios principales, que nos permitan cubrir el mayor porcentaje posible de áreas de los Sist. Informáticos, objeto de evaluación, así como identificar un periodo de tiempo en el que se debe repetir esta métrica, por ejemplo, anualmente. Posteriormente, del Modelo SSE-CMM “Ingeniería de Seguridad para Sistemas basados en el Modelo de Madurez y Capacidad” extraeremos los cinco niveles o seis niveles si tenemos en cuenta el estado inicial o sin seguridad, en los que vamos a situar la madurez de cada una de las empresas objeto de evaluación. La Versatilidad en la aplicación del Modelo, nos permitirá bien partir de un objetivo de madurez respecto a las características de la empresa, o bien, aplicar el mismo Modelo con un ánimo de “mejora Continua” Seguidamente veremos un ejemplo para la empresa eCrisa, esta compañía por sus características Particulares estaría encuadrada en el nivel 3, también llamado “Bien definido”. OK Ejemplo: .\smmis_presentación.xls 29

30 VII.- Modelo de Madurez de la Seguridad de un Sistema Informático (VI)
Aportaciones del Modelo de Madurez de la Seguridad de un Sistema Informático : Separar 138 controles en 5 niveles dependiendo de la propia definición de la ISO 27002, antigua ISO Encajar las descripciones del Modelo ISO 21827:2002, antiguo SSE-CMM, con las definiciones de controles de la ISO Proponer perfiles de empresa dependiendo de factores como: nº de empleados, ámbito de la empresa, etc. La propia evaluación del modelo nos indicará: Nivel alcanzado por la empresa Puntos fuertes –sobrepasan el nivel de acreditación entregado – Puntos débiles – aquellos por los que no se entrega un nivel de acreditación mayor -. OK 30

31 VIII.- Conclusiones Ventajas del Modelo
- Evaluar sistemas de seguridad, respecto a estándares reconocidos, y obtener el nivel de madurez del evaluado - “Modelo de Madurez de la Seguridad de un Sistema Informático”. Explícito, sencillo y fácil de interpretar. - Versatilidad en su aplicación. Objetivo de madurez respecto al perfil de la empresa o con ánimo de “mejora continua”. Inconvenientes del Modelo Ventajas del Modelo. - Estándares de Seguridad Reconocidos: CMMI. SSE-CMM. ISO/IEC 21827:2007 & ISO 27002 Todo esto avalado por una hoja de cálculo resultado, que aporta valor añadido a los informes de auditoría actuales. -Explícito, sencillo y fácil de interpretar por parte de la dirección, y con puntos concretos de mejora y puntos fuertes. -Versatilidad en la aplicación del Modelo, pues podemos partir de un objetivo de madurez respecto a las características de la empresa, o bien, aplicar el mismo Modelo con un ánimo de “mejora continua Inconvenientes del Modelo Necesidad de especialistas en Seguridad TI: con el conocimiento necesario que limite la subjetividad de la evaluación y asignación de los niveles de madurez de los controles a medir. OK - Necesidad de personas independientes especializadas en el área de seguridad TI 31

32 IX.- Líneas Futuras 1.- Identificar perfiles de compañías para los distintos niveles 2.- Mayor aproximación al Modelo SSE-CMM Ej Regulation of cryptographic controls 3.- Integración de nuestro Método con los nuevos estándares ITIL & CobIT 1.- Anteriormente, mostramos una burda identificación de las empresas, con el fin de asignarlas a uno de los cinco niveles del SSE-CMM. En ese apartado se tenían en cuenta aspectos intuitivos de las empresas, entre otros: el número de empleados, ámbito y actividad que realiza la empresa, si realiza o no comercio electrónico o teletrabajo, etc. 2.- Por ejemplo, sobre algoritmos criptográficos, nos ayudará a entender mejor lo aquí indicado sería: Nivel 1. VW (Very Weak), Nivel 2. W (Weak), Nivel 3. CCS (Conditionally Computational Secure), Nivel 4. CS (Computational Secure), 5 US (Unconditional Secure). 3.- Al margen de la especialización en el área de la seguridad de nuestro método, sería posible hacer extensivo este trabajo a las demás áreas de TI, agregando la normativa ITIL V3– fuerte en los procesos operativos TI– y la normativa CobIT 4.1 – reconocido marco sobre Gobierno TI. Fuerte en controles y métricas - . 4.- Estudiar el nivel de adaptación actual y su evolución con el modelo de Gestión Serie 27000, no podemos obviar que para la realización de este trabajo, se parte de la normativa ISO :2005 mientras ISO una especificación de esta. Ej gestión del riesgo de la seguridad (2008)… OK 4.- Modelo de Gestión 27000: Modelo de Gestión de la Seguridad de la Información 32

33 Gracias por su atención…
¿Preguntas? Gracias por la atención prestada…. Cualquier pregunta será bienvenida. OK 33