La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de los Sistemas de Información

Presentaciones similares


Presentación del tema: "Seguridad de los Sistemas de Información"— Transcripción de la presentación:

1 Seguridad de los Sistemas de Información
José A. Mañas < Dep. de Ingeniería de Sistemas Telemáticos E.T.S. Ingenieros de Telecomunicación Universidad Politécnica de Madrid Febrero de 2012 Febrero 2009 1

2 Índice Seguridad de la información Análisis de riesgos
Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información

3 Sistema de información
Seguridad de los Sistemas de Información Sistema de información Los ordenadores y redes de comunicaciones electrónicas, así como los datos electrónicos almacenados, procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento Los sistemas tienen una o dos misiones custodiar datos para que puedan ser utilizados por quien debe cuando quiera prestar servicios administrativos comerciales industriales seguridad de la información Febrero 2009

4 Gobierno de las TIC Las TIC son una oportunidad pero conllevan un riesgo Las decisiones deben equilibrar ambas caras destinando recursos prudentes a los objetivos de negocio destinando recursos prudentes a la protección Toda decisión de gobierno debe estar informada la funcionalidad que queremos obtener los riesgos en que incurrimos = su seguridad órganos de gobierno gestores equipamiento TIC técnicos TIC seguridad de la información

5 Los sistemas de información
Gestión de Riesgos Abril de 2011 Los sistemas de información Antes la informática era cosa de unos pocos profesionales los sistemas eran complejos y muy suyos la seguridad no era un problema La red lo cambia todo no hay equipos aislados los malos saben lo mismo que los buenos Ahora las amenazas incluyen la naturaleza, la industria y el hombre los sistemas son excesivamente complejos para que alguien, en singular, comprenda absolutamente todos los detalles seguridad de la información José A. Mañas

6 Objetivos de la seguridad
Gestión de Riesgos Abril de 2011 Objetivos de la seguridad Mantener la disponibilidad de los datos almacenados, así como su disposición a ser compartidos contra la interrupción del servicio Mantener la integridad de los datos ... contra las manipulaciones Mantener la confidencialidad de los datos almacenados, procesados y transmitidos contra las filtraciones Asegurar la identidad de origen y destino (autenticidad) frente a la suplantación o engaño Trazabilidad: saber quién ha hecho qué en qué momento para perseguir y mejorar seguridad de la información José A. Mañas

7 Consecuencias Fallos de confidencialidad  fugas de información
no hay reparación posible si se detecta, tenemos la opción de perseguir (disuasorio) Fallos de integridad  datos manipulados si se detecta, tenemos la opción de recuperar [de otra fuente] Autenticidad = integridad [de los meta-datos] Trazabilidad = integridad [de los registros de actividad] Fallos de disponibilidad  interrupción del servicio medios alternativos restauración de los medios habituales seguridad de la información

8 Coste de la interrupción
Continuidad del servicio Noviembre 2007 Coste de la interrupción seguridad de la información José A. Mañas

9 Asegurar todos los niveles
Gestión de Riesgos Abril de 2011 Asegurar todos los niveles La información Los procesos Las aplicaciones El sistema operativo El hardware Las comunicaciones Los soportes de información Las instalaciones El personal seguridad de la información José A. Mañas

10 Definiciones Seguridad de las redes y de la información:
Gestión de Riesgos Abril de 2011 Definiciones Seguridad de las redes y de la información: la capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles REGULATION (EC) Not 460/ OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of March establishing the European Network and Information Security Agency seguridad de la información José A. Mañas

11 Puntos de vista Los usuarios del SI ven la seguridad como
Gestión de Riesgos Abril de 2011 Puntos de vista Los usuarios del SI ven la seguridad como confianza Los técnicos ven la seguridad como componentes, dispositivos, software, ... Los atacantes ven la seguridad como aquello que impide sus objetivos Los gestores ven la seguridad como gestión de riesgos = tener los riesgos bajo control Los órganos de gobierno ven la seguridad como un límite a las oportunidades que abren las TIC The same solution that keeps out the bad (specially it if mutates) will also keep out the good. P. Herzog seguridad de la información José A. Mañas

12 Riesgo Riesgo Análisis de impacto Análisis de riesgos
el arte de vivir con sistemas razonablemente seguros Análisis de impacto el arte de estimar las consecuencias de una amenaza potencial Análisis de riesgos el arte de estimar las consecuencias recurrentes de la inseguridad residual Análisis de riesgos y análisis de impacto proporcionan información para tomar decisiones Gestión de riesgos Analizar + aplicar medidas seguridad de la información

13 Gestión de riesgos Diciembre de 2009 Referencias USA : NIST SP :2002 Risk Management Guide for Information Technology Systems The only mandatory requirement under the FISMA security standards and guidance is the application of the NIST Risk Management Framework — everything else is negotiable. AS/NZ : AS/NZS 4360:2004 Risk management Risk management involves managing to achieve an appropriate balance between realizing opportunities for gains while minimizing losses. seguridad de la información José A. Mañas

14 Índice Seguridad de la información Análisis de riesgos
Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información

15 Gestión de riesgos Determinar el contexto Estudio de los riesgos
Abril de 2011 Gestión de riesgos Determinar el contexto Estudio de los riesgos Identificación Análisis Comunicación y consulta Monitorización y revisión Evaluación no ¿Requieren atención los riesgos? Tratamiento de los riesgos seguridad de la información José A. Mañas

16 Análisis (potencial) valor activos amenazas degradación impacto
Gestión de Riesgos Abril de 2011 Análisis (potencial) están expuestos a activos Interesan por su amenazas valor causan una cierta degradación impacto con una cierta probabilidad riesgo seguridad de la información José A. Mañas

17 Análisis (residual) tipo de activo dimensión amenaza nivel de riesgo
Gestión de Riesgos Abril de 2011 Análisis (residual) están expuestos a activos Interesan por su amenazas valor degradación residual causan una cierta impacto residual probabilidad residual con una cierta riesgo residual tipo de activo dimensión amenaza nivel de riesgo salvaguardas seguridad de la información José A. Mañas

18 Roles El responsable de la información (N)
valora los requisitos de seguridad de la información El responsable del servicio (N) valora los requisitos de seguridad del servicio El analista de riesgos propaga requisitos selecciona y evalúa salvaguardas informa del riesgo El propietario del riesgo (risk owner) evalúa el riesgo toma las decisiones de asunción del riesgo has the accountability and authority to manage the risk seguridad de la información

19 ENS – Guía roles seguridad de la información

20 ENS – Guía roles seguridad de la información

21 El análisis de riesgos no es simple
Gestión de Riesgos Abril de 2011 El análisis de riesgos no es simple ... lleva tiempo ... cuesta dinero ... no vale una vez y para siempre Muchos activos los sistemas son complejos Activos de muchos tipos información, servicos equipamiento: aplicaciones, equipos, comunicaciones, ... locales: recintos, edificios, áreas, ..., en el campo personas: usuarios, operadores, desarrolladores, ... Muchas amenazas y muchas formas de hilvanar las amenazas Muchísimas salvaguardas gestión, técnicas, seguridad física, recursos humanos seguridad de la información José A. Mañas

22 Metodología de análisis de riesgos
Gestión de Riesgos Abril de 2011 Metodología de análisis de riesgos La complejidad se ataca metódicamente una metodología es una aproximación sistemática para cubrir la mayor parte de lo que puede ocurrir para olvidar lo menos posible para explicar a los gerentes qué se necesita de ellos para explicar a los técnicos qué se espera de ellos para explicar a los usuarios qué un uso decente del sistema qué es una respuesta urgente cómo se gestionan los incidentes una metodología necesita modelos elementos: activos, amenazas, salvaguardas métricas: impacto y riesgo seguridad de la información José A. Mañas

23 Metodología Magerit / PILAR
Gestión de Riesgos Abril de 2011 Metodología Magerit / PILAR análisisRiesgos (SistemaInformación si) { Contexto contexto= establecerContexto (si); Set<Activo> activos= getModeloValor(si); Set<Amenaza> amenazas= getMapaAmenazas(si, activos); Riesgo potencial= calcula(activos, amenazas); Set<Salvaguarda> salvaguardas= necesidad(activos, amenazas); evaluaEstadoActual(salvaguardas); Riesgo residual= calcula(activos, amenazas, salvaguardas); } seguridad de la información José A. Mañas

24 Metodología Magerit / PILAR
Gestión de Riesgos Abril de 2011 Metodología Magerit / PILAR Set<Activos> getModeloValor(SistemaInformación si) { do { Set<Activo> activos= descubrimiento(si); relaciones(activos, si); valoración(activos, si); } until (dirección.aprueba(activos)); dirección.firma(informe(activos)); return activos; } seguridad de la información José A. Mañas

25 Gestión de Riesgos Abril de 2011 Activos Magerit son los recursos del sistema de información, o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. ISO Asset. Anything that has value to the organization. seguridad de la información José A. Mañas

26 Tipos de activos Servicios Datos / información Aplicaciones (software)
Gestión de Riesgos Abril de 2011 Tipos de activos Servicios Datos / información Aplicaciones (software) Equipos informáticos (hardware) Redes de comunicaciones Soportes de información Equipamiento auxiliar Instalaciones (locales, etc.) Personal Datos / información Servicios negocio ingeniería aprovisionamiento seguridad de la información José A. Mañas

27 Unos activos dependen de otros
Análisis de riesgos Diciembre de 2009 Unos activos dependen de otros información esencial servicios software equipamiento [hw + com + si + aux] instalaciones personal seguridad de la información José A. Mañas

28 Dependencia Un servicio deja de estar disponible [D]
Gestión de Riesgos Abril de 2011 Dependencia Un servicio deja de estar disponible [D] ¿por qué? si ocurre que ... a ... ¿dónde lo atacaría para detenerlo? Un dato puede ser manipulado [I] ¿cómo? por medio de ... ¿dónde? estando en ... Un dato puede ser revelado [C] seguridad de la información José A. Mañas

29 Acumulación y repercusión
Gestión de Riesgos Abril de 2011 Acumulación y repercusión Las dependencias crean la necesidad de proteger los activos inferiores para que cumplan su misión última acumulación de responsabilidad Las dependencias hacen a los activos superiores víctimas pasivas de los defectos de los inferiores repercusión de consecuencias seguridad de la información José A. Mañas

30 Valoración Coste que supondría la ocurrencia de una amenaza
Gestión de Riesgos Abril de 2011 Valoración Coste que supondría la ocurrencia de una amenaza valor de reposición valor de reconstrucción horas perdidas de trabajo lucro cesante daños y perjuicios No sólo importa lo que cuesta; importa [más] para qué vale Para un estudio comparativo basta alguna escala sencilla: 0, 1, 2, ..., 10 es más importante saber el valor relativo que el absoluto Para un estudio de costes se requiere una estimación ajustada seguridad de la información José A. Mañas

31 Valor cualitativo Criterios homogéneos que permitan
Gestión de Riesgos Abril de 2011 Valor cualitativo Criterios homogéneos que permitan relativizar entre dimensiones compartir / combinar análisis realizados por separado uniformidad de conocimiento 10 muy alto 9 8 7 alto 6 5 4 medio 3 2 1 bajo despreciable seguridad de la información José A. Mañas

32 Gestión de Riesgos Abril de 2011 Amenazas Son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales naturales terremotos, inundaciones, rayos, ... accidentales industriales electricidad, emanaciones, ... humanas errores y omisiones intercepción pasiva o activa intrusión, espionaje, ... robo, fraude, ... deliberadas (intencionales) seguridad de la información José A. Mañas

33 Análisis de amenazas Identificación Cuantificación
Gestión de Riesgos Abril de 2011 Análisis de amenazas Identificación ¿qué puede ocurrir [que deba preocuparnos]? por experiencia (propia o ajena) por la propia naturaleza del activo (clase) Cuantificación probabilidad de ocurrencia consecuencias [sobre el valor de los activos] en magerit se llama degradación seguridad de la información José A. Mañas

34 Gestión de Riesgos Abril de 2011 Impacto (indicador) Consecuencia que sobre un activo tiene la materialización de una amenaza pérdida posible Valoración cualitativa / subjetiva irrelevante … grave … intolerable cuantitativa / económica coste dinerario Métodos directos: ¿qué impacto tendría ...? indirectos: valor  degradación seguridad de la información José A. Mañas

35 Gestión de Riesgos Abril de 2011 Riesgo (indicador) Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización pérdida probable Valoración cualitativa / subjetiva irrelevante … grave … intolerable cuantitativa / económica coste dinerario Métodos cualitativos: tabulares cuantitativos: impacto  frecuencia seguridad de la información José A. Mañas

36 Estimación cuantitativa
Gestión de Riesgos Abril de 2011 Estimación cuantitativa impacto = valor  degradación riesgo = impacto  frecuencia seguridad de la información José A. Mañas

37 Estimación cualitativa
Gestión de Riesgos Abril de 2011 Estimación cualitativa MA alto muy alto A medio M bajo B MB muy bajo PF FN F MF EF impacto probabilidad seguridad de la información José A. Mañas

38 Gestión de Riesgos Abril de 2011 Impacto & riesgo Si el activo A depende del activo B, el valor de A se acumula en B en la proporción en que A depende de B acumulado repercutido activo A activo A activo B amenaza Z activo B amenaza Z seguridad de la información José A. Mañas

39 Salvaguardas MAGERIT ISO
Gestión de Riesgos Abril de 2011 Salvaguardas MAGERIT procedimiento o mecanismo tecnológico que reduce el riesgo sinónimos: contra medidas, controles ISO Safeguard. A practice, procedure or mechanism that reduces risk synonyms: countermeasures, controls seguridad de la información José A. Mañas

40 ¿Qué salvaguardas se requieren?
Gestión de Riesgos Abril de 2011 ¿Qué salvaguardas se requieren? Se necesita una lista de posibles salvaguardas aconsejado por expertos estándares (ej. ENS, 27002, PCI-DSS, PP, ...) leyes, reglamentos, práctica sectorial Hay que casar las salvaguardas con las amenazas identificadas se prepara una Declaración de Aplicabilidad) (SoA – Statement of Applicability) Se evalúa el despliegue actual: existencia (o ausencia) efectividad del despliegue seguridad de la información José A. Mañas

41 Indicadores residuales
Gestión de Riesgos Abril de 2011 Indicadores residuales Impacto lo que puede pasar Impacto residual el que queda tras contabilizar las medidas de seguridad adoptadas Riesgo lo que probablemente pase Riesgo residual seguridad de la información José A. Mañas

42 Impacto y riesgo residuales
Gestión de Riesgos Abril de 2011 Impacto y riesgo residuales valores residuales impacto riesgo v0 0.0 100% eficacia de las medidas de seguridad seguridad de la información José A. Mañas

43 Mitigación de riesgos potencial residual impacto probabilidad
seguridad de la información

44 Índice Seguridad de la información Análisis de riesgos
Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información

45 ¿Qué hacer con el riesgo?
Tratamiento de los riesgos Diciembre de 2009 ¿Qué hacer con el riesgo? Se evita si se puede ... es la solución ideal prescindir de activos Se reduce | se mitiga ocurre menos impacto limitado Se transfiere | se comparte se le pasa a otra organización ya no es [sólo] “mi problema” Se asume | se acepta pasa a contabilizarse como gasto operacional puede ser una oportunidad seguridad de la información José A. Mañas

46 Opciones de tratamiento
Se evita eliminando activos cambio de arquitectura Se mitiga poniendo o mejorando salvaguardas Se transfiere | se comparte cualitativo: externalizació cuantitativo: seguro Se acepta ... monitprización + reacción hay que cuidar la reputación: departamento de comunicación departamento legal hay que analizar otro sistema seguridad de la información

47 Evaluación en términos de negocio
impacto 4 1 2 3 probabilidad seguridad de la información

48 Acciones Zona 1 Zona 2 Zona 3 Zona 4 4 1
debemos atender a estos riesgos, sacándolos de la zona 1 Zona 2 podemos negociarlo ¿cómo está la competencia? Zona 3 podemos olvidarnos o asumir más riesgo Zona 4 probablemente las medidas preventivas sean irrelevantes hay que estar preparados para detectar y reaccionar con presteza, limitando el impacto o tener un plan alternativo 4 1 2 3 seguridad de la información

49 Tiempos Todo lo que podamos prevenir ...
... si se justifica el coste Escenarios de desastre previstos si es que el incidente es previsible Gestión de crisis indicadores predictivos detección y escalado de la alarma gestión de los afectados sistemas, negocio, clientes, sociedad recuperación business as usual? esto es aplicable en riesgos que admiten una disminución de probabilidad esto es aplicable en riesgos de alto impacto hay que dedicarle tanto más estudio cuanto mayor es el impacto potencial seguridad de la información

50 Regulación & cumplimiento
Son respuestas ‘rápidas’ frente a escenarios que quizás nunca más se darán calman la alarma social ¿evitan organizaciones suicidas? es difícil validar su efecto se trata de una intervención “rápida” en un proceso impredecible Algunas medidas se toman por miedo al incumplimiento quedar fuera del mercado acabar en prisión lo que no puede ser es que te pillen con los deberes sin hacer seguridad de la información

51 Ciclos de gestión de riesgos
Abril de 2011 Ciclos de gestión de riesgos sistema nuevo incidente nuevo análisis del riesgo ¿es aceptable el impacto [residual]? ¿es aceptable el riesgo [residual]? se usa el sistema se toman medidas para prevenir, detectar y recuperar seguridad de la información José A. Mañas

52 Tratamiento de los riesgos
Diciembre de 2009 Aceptación del riesgo Es una opción honrada y necesaria pero peligrosa el análisis dice cuán peligrosa Debe ser tomada EXPLÍCITAMENTE por negocio nunca puede ser una decisión técnica seguridad de la información José A. Mañas

53 Soporte en herramientas
Gestión de Riesgos Abril de 2011 Soporte en herramientas EAR PILAR activos amenazas impacto y riesgo potenciales evaluación de salvaguardas progreso salvaguardas programas de seguridad costes & beneficios impacto y riesgo residuales plan de seguridad seguridad de la información José A. Mañas

54 Índice Seguridad de la información Análisis de riesgos
Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información

55 Continuidad de negocio
Gestión de riesgos noviembre 2011 Continuidad de negocio Es improbable un desastre; pero somos muy vulnerables dependencia creciente de la tecnología interdependencia de los proveedores su problema es mi problema un acto individual puede tener consecuencias planetarias la competencia [feroz] no perdona detenciones prolongadas o, simplemente, apreciables por los usuarios por obligación legal o por regulación sectorial seguridad de la información José A. Mañas

56 Coste de la interrupción
Gestión de riesgos noviembre 2011 Coste de la interrupción seguridad de la información José A. Mañas

57 Tiempos RPO medios alternativos último backup RTO sin servicio
Gestión de riesgos noviembre 2011 Tiempos medios alternativos último backup RTO sin servicio RPO información defectuosa seguridad de la información José A. Mañas

58 MTPD / RTO nivel de servicio nivel estándar MTPD RTO
nivel mínimo tolerable tiempo seguridad de la información

59 Impacto residual time to recover T0 backup madurez L0 L1 L2 L3 L4 L5
Gestión de riesgos noviembre 2011 Impacto residual time to recover T0 backup L0 L1 L2 L3 L4 L5 madurez seguridad de la información José A. Mañas

60 Desarrollo de un plan Definir una política (formal)
Gestión de riesgos noviembre 2011 Desarrollo de un plan Definir una política (formal) BIA – análisis del impacto en el negocio Identificación de medidas de seguridad Selección de medios alternativos Escribir un plan Auditoría, pruebas, entrenamiento Mantenimiento regular tenemos más sabemos más seguridad de la información José A. Mañas

61 BIA: business impact analysis
Gestión de riesgos noviembre 2011 BIA: business impact analysis Determinación de las funciones críticas de producción de responsabilidad legal y contractual Determinación de recursos críticos para funciones críticas Determinación del coste por hora de indisponibilidad Identificación de activos que requieren una alternativa tiempo crítico de puesta en marcha seguridad de la información José A. Mañas

62 Estrategias de supervivencia
Gestión de riesgos noviembre 2011 Estrategias de supervivencia ... de los servicios ... de la información ... de las aplicaciones ... de los equipos ... de las instalaciones ... del personal criterios impacto a tratar coste tiempo de entrada en acción localización seguridad de la información José A. Mañas

63 Índice Seguridad de la información Análisis de riesgos
Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información

64 Definiciones seguridad de la información
Gestión de riesgos noviembre 2011 Definiciones seguridad de la información la preservación de la confidencialidad, la integridad y la disponibilidad de la información, puede, además, abarcar otras propiedades como la autenticidad, responsabilidad, fiabilidad y el no repudio sistema de gestión de la seguridad de la información (SGSI) la parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, hacer funcionar, supervisar, revisar, supervisar, mantener y mejorar la seguridad de la información NOTA el sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos seguridad de la información Febrero 2009

65 PDCA model seguridad de la información Gestión de riesgos
noviembre 2011 PDCA model seguridad de la información Febrero 2009

66 SGSI planificación mantenimiento y mejora implementación y operación
Gestión de riesgos noviembre 2011 SGSI Sistema de Gestión de la Seguridad de la Información Plan planificación Act Do mantenimiento y mejora implementación y operación Check monitorización y evaluación observar a los demás seguridad de la información José A. Mañas

67 Certificaciones 27001 El SGSI es un proceso formal para gestionar las actividades relacionadas con la seguridad de la información análisis de riesgos flujo de toma de decisiones mantenimiento continuo formalizado y verificable Una certificación es la corroboración oficial de un tercero de que todo lo anterior se hace y es verificable seguridad de la información

68 Valor de un certificado
Gestión de riesgos noviembre 2011 Valor de un certificado Una certificación 27001 no asegura que el sistema es ‘seguro’ asegura que la Dirección sabe exactamente el riesgo residual que asume Un sistema incapaz de alcanzar la certificación probablemente denota un sistema de comportamiento incierto seguridad de la información Febrero 2009

69 SGSI Se puede explotar un sistema seguro con componentes inseguros
Gestión de Riesgos ALI – Masters de Auditoría y Seguridad Informática José A. Mañas SGSI Se puede explotar un sistema seguro con componentes inseguros capas de protección Se puede tener un sistema inseguro con componentes perfectos ej. Frankenstein (M. Shelley, 1818, 1831) La gestión es necesaria; pero no suficiente Un sistema no gestionado es una aventura cuyo desenlace depende del azar (suerte) Un sistema de gestión sobre papel mojado es ficción las batallas no se ganan sin soldados seguridad de la información José A. Mañas

70 Índice Seguridad de la información Análisis de riesgos
Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información

71 international context
OECD Guidelines for information and network security: ... risk evaluation, security design and implementation, security management, re-evaluation. Implementation Plan for the OECD Guidelines: “Government should develop policies that reflect best practices in security management and risk assessment...to create a coherent system of security.” USA FISMA – Federal Information Systems Act UK Security Framework seguridad de la información

72 contexto nacional Ley11/2007 (administración electrónica), artículo 42
2. El Esquema Nacional de Seguridad tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que permitan una protección adecuada de la información. Desarrollado como Real Decreto de 8 de enero de 2010 Participan las administraciones públicas (central, autonómica y local) así como asociaciones industriales Ámbito: administraciones públicas relaciones con los ciudadanos relaciones electrónicas internas Los sistemas clasificados quedan explícitamente excluidos seguridad de la información

73 objetivos La finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.  Proporcionar un lenguaje común para facilitar las relaciones con las AAPP y trasladar los requisitos de seguridad a la industria Se completa con el Esquema Nacional de Interoperabilidad (Real Decreto 4 de 2010) seguridad de la información

74 contenido Principios básicos Requisitos mínimos
guía Requisitos mínimos de obligado cumplimiento Valoración y categorización del sistema de información Medidas de seguridad indexadas por dimensión, nivel y categoría Auditoría de seguridad seguridad de la información

75 principios básicos La seguridad como un proceso integral
Gestión de la seguridad basada en los riesgos Prevención, reacción y recuperación Líneas de defensa Reevaluación periódica La seguridad como función diferenciada seguridad de la información

76 requisitos mínimos (1/2)
Organización e implantación del proceso de seguridad Análisis y gestión de los riesgos Gestión de personal Profesionalidad Autorización y control de los accesos Protección de las instalaciones Adquisición de productos Seguridad por defecto seguridad de la información

77 requisitos mínimos (2/2)
Integridad y actualización del sistema Protección de la información almacenada y en tránsito Prevención ante otros sistemas de información interconectados Registro de actividad Incidentes de seguridad Continuidad de la actividad Mejora continua del proceso de seguridad. seguridad de la información

78 pasos preparar y aprobar la política de seguridad
definir roles y asignar personas valorar / categorizar el sistema valoración de la información valoración de los servicios realizar un análisis de riesgos preparar y aprobar una declaración de aplicabilidad (incluyendo datos de carácter personal) implantar, operar y monitorizar el sistema aprender y mejorar continuamente realizar auditorías regulares seguridad de la información

79 política de seguridad [org.1]
aprobada por el órgano superior competente que corresponda documento escrito objetivos / misión de la organización marco legal y regulatorio roles y funciones de seguridad deberes y responsabilidades procedimiento de designación y renovación procedimiento de resolución de conflictos normativa de seguridad procedimientos de seguridad referencia al documento de seguridad (datos de carácter personal) seguridad de la información

80 roles y funciones nivel superior: órganos de gobierno
responsable de la información (information owner) responsable del servicio (service owner) establecen los requisitos de seguridad aceptan el riesgo residual (risk owners) responsable del sistema decisiones operativas (que funcione) con operadores para hacer las cosas responsable de la seguridad aprobación de las actuaciones en materia de seguridad supervisión de las actuaciones en materia de seguridad independientes seguridad de la información

81 alcance - perímetro información ajena mi información otros sistemas
mis servicios mi equipamiento otros sistemas regla el responsable de la información o servicio puede ser externo los requisitos de seguridad los marca cada responsable servicios externos seguridad de la información

82 análisis de riesgos [op.pl.1] Análisis de riesgos Categoría BÁSICA: A
Gestión de riesgos Julio 2007 análisis de riesgos [op.pl.1] Análisis de riesgos Categoría BÁSICA: análisis informal: texto: lenguaje natural Categoría MEDIA: análisis semi-formal: tablas Categoría ALTA: análisis formal fundamento matemático reconocido internacionalmente A M B Análisis de riesgos [op.pl.1] Categoría BÁSICA Bastará un análisis informal, realizado en lenguaje natural. Es decir, una exposición textual que describa los siguientes aspectos: a)      Identifique los activos más valiosos del sistema. b)      Identifique las amenazas más probables. c)      Identifique las salvaguardas que protegen de dichas amenazas. d)     Identifique los principales riesgos residuales.  Categoría MEDIA Se deberá realizar un análisis semi-formal, usando un lenguaje específico, con un catálogo básico de amenazas y una semántica definida. Es decir, una presentación con tablas que describa los siguientes aspectos: a)      Identifique y valore cualitativamente los activos más valiosos del sistema. b)      Identifique y cuantifique las amenazas más probables. c)      Identifique y valore las salvaguardas que protegen de dichas amenazas. d)     Identifique y valore el riesgo residual.  Categoría ALTA Se deberá realizar un análisis formal, usando un lenguaje específico, con un fundamento matemático reconocido internacionalmente. El análisis deberá cubrir los siguientes aspectos: b)      Identifique y cuantifique las amenazas posibles. c)      Identifique las vulnerabilidades habilitantes de dichas amenazas. d)     Identifique y valore las salvaguardas adecuadas. e)      Identifique y valore el riesgo residual. seguridad de la información José A. Mañas

83 auditoría vs cumplimiento anexo ii
[ccn-stic-802] auditoría cumplimiento de la misión / negocio dictamina si se hace lo correcto se define el marco Y se satisface el marco definido con las garantías suficientes debe ser independiente [ccn-stic-808] cumplimiento anexo ii los controles aplicables están aplicados dictamina si se hace correctamente debe ser predecible / repetible [pruebas objetivas] seguridad de la información

84 Guías CCN-STIC https://www.ccn-cert.cni.es/
seguridad de la información

85 para terminar el ens establece un procedimiento para tener los sistemas bajo control de forma constructiva sin obviar responsabilidades puntos difíciles homogeneidad de valoración política(s) de firma electrónica y certificados productos certificados inspecciones obligatorias ¿qué hacer si un sistema no cumple? seguridad de la información

86 Índice Seguridad de la información Análisis de riesgos
Tratamiento de los riesgos Continuidad de negocio SGSI – Sistema de Gestión (de la Seguridad de la Información) ENS – Esquema Nacional de Seguridad Fin seguridad de la información

87 Referencias ENS Magerit Guías CCN-STIC Intypedia
Magerit Guías CCN-STIC https://www.ccn-cert.cni.es/ Intypedia seguridad de la información


Descargar ppt "Seguridad de los Sistemas de Información"

Presentaciones similares


Anuncios Google