La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P. Diego Andrés Zuluaga Urrea Junio.

Presentaciones similares


Presentación del tema: "Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P. Diego Andrés Zuluaga Urrea Junio."— Transcripción de la presentación:

1

2 Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P. Diego Andrés Zuluaga Urrea Junio de 2005

3 AGENDA Contexto Consideraciones En Isagen Modelo de Seguridad en Información –Tecnología –Procedimientos –Trabajadores

4 HACKERS: ¿REALIDAD O FICCION? ¿REALIDAD O FICCION?

5 Algunas Cifras (CSI/FBI 2002) 90% de encuestados detectó violaciones a sus sistemas de seguridad 80 % identificaron pérdidas financieras 44 % pudieron cuantificarlas, US$ 455´ –Robo de Información propietaria, US$ 170´827,000 –Fraude Financiero US$ 115´753, % detectaron accesos a sus sistemas de información desde sitios externos

6 Las Organizaciones que quieran sobrevivir en los años siguientes, necesitan desarrollar un enfoque consistente en la seguridad de información que incluya las dimensiones técnicas y humanas. CSI, Computer Crime & Security Survey 2001 Algunas Cifras (CSI 2001)

7 CONSIDERACIONES EN ISAGEN

8 FLUJO DE INFORMACIÓN

9 9200 D1 D2 Ch 23&24 128Kbps TI NI 1500 Collins 700 Serramonte600 Serramonte Ch 1&2 128Kbps T1 3 Com Switch pstn LincolnMercury Dealership ExistingCisco ISDN Dial-on-Demand T1 PDI S1 Inconsistent Use of Legal and Reserved IP Addresses Link Down for Two Weeks Creative Use of Existing Bandwidth Poor Administration and Physical Security of Servers Use of Industry Standard Equipment SOPORTE AL FLUJO DE INFORMACIÓN

10 Tiempo Valor DP MIS IT 60s 70s 80s90s2000 Habilitador Transformación Organización Integrador de Procesos Procesamiento de Transacciones Procesamiento de Datos Alineamiento Estratégico Metas y Objetivos Empresariales PAPEL TRANSFORMADOR DE LA TÉCNOLOGÍA

11 El valor de la información…………. Información Por qué? Para qué? Cómo? Analizar y responder: Negocio Negocio Mercado Mercado Grupos de Interés Grupos de Interés Potenciar: Toma de decisiones Toma de decisiones Productividad Productividad Integración y relaciones Integración y relaciones Activos intangibles Activos intangibles Valor de la anticipación

12 Estrategia de Información Gestionar la información como un activo de la Empresa para que los Grupos de Interés tomen decisiones más informadas, con mayor velocidad y con una sola versión de la información, desde cualquier lugar y en cualquier momento.

13 Maduración del E-Business TRANSFORMACIÓN DEL E-BUSINESS Change to Business Model HIGH LOW IntegraciónInterna Comunidad de negocios Integración con la cadena de valor eBusiness Maturity eBusiness eGovernance Relaciones 1:1 Transacciones por Web Servicio al cliente en Web Presencia en Web Riesgo

14 ACTIVO DE INFORMACION

15 Daño a la reputación debido a compromisos en la integridad de los datos Pérdida de negocios debido a interrupción del servicio Robo de información propietaria debido a accesos no autorizados Posibles críticas del clientes debido a controles inadecuados en la privacidad Modelo de Negocio Pérdidas Financieras por fraudes RIESGOS

16 Hijacking de Sesiones Amenazas Sofisticación de las Herramientas Falsificación de paquetes Password Guessing Autoreplicación de Código Cracking de Passwords Explotando Vulnerabilidades Conocidas Deshabilitando Auditoría Back Doors Sweepers Sniffers Diagnóstico no detectable Conocimiento Técnico Requerido Alto Bajo 2000

17 EL MODELO DE SEGURIDAD EN INFORMACIÓN

18 PRODUCTIVIDAD - Modelo de productividad - Conexión estrategia - proceso APRENDIZAJE - Conocimientos - Comportamientos COMPETITIVIDAD - Calidad - Procesos - Normatividad - Información -Decisiones SISTEMA DEL TRABAJO DESARROLLO PROFESIONAL - Compensación - Desempeño -Conocimientos -Planes de carrera AMBIENTE DE TRABAJO MODELO DE PRODUCTIVIDAD CAPACIDADES EMPRESARIALES TRABAJADOR TRABAJO COMPETENCIAS - IPP -Valores - Clima Organizacional - Trabajo en equipo Pentágono humano DESARROLLO A ESCALA HUMANA

19 ACTIVOS DE INFORMACION CRITERIOS EMPRESARIALES - ISO MODELO DE SEGURIDAD EN INFORMACIÓN

20 SEGURIDAD EN INFORMACIÓN: Preservación de la confidencialidad, integridad y disponibilidad de la información.

21 CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para quienes están autorizados. DISPONIBILIDAD: Asegurar que los usuarios autorizados tengan acceso a la información y sus recursos asociados cuando se requiera INTEGRIDAD:Salvaguardar la exactitud y completitud de la información y sus métodos de procesamiento. MODELO DE SEGURIDAD EN INFORMACIÓN

22 EL PLAN DE ACCIÓN

23 IDENTIFICACIÓN DESTREZAS DESPLIEGUE Modelo De Seguridad Maduro INSTRUMENTACIÓN >>> MODELO DE SEGURIDAD EN INFORMACIÓN DOCUMENTOS PARA LA GESTIÓN DE SEGURIDAD HERRAMIENTAS TECNOLOGICAS ANÁLISIS DE NECESIDADES DE SEGURIDAD APLICACIÓN DEL MODELO DESARROLLO DE HABITOS DE SEGURIDAD MEJORAMIENTO CONTINUO DESARROLLO DE LA SEGURIDAD EN INFORMACIÓN

24 RESULTADOS DEL DIAGNÓSTICO Análisis del Modelo de SI

25 LOS RESULTADOS

26 ACTIVOS DE INFORMACIÓN CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN DE INFORMACIÓN A ACTIVO DE INFORMACIÓN Se establece explícitamente la necesidad de administrar la información como un activo dentro de la estrategia empresarial y se fijan metas a cinco años para lograrlo.

27 ACTIVOS DE INFORMACIÓN CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN

28 DIRECTRICES Se han establecido de directrices en el tema de seguridad en información, de acuerdo con la política de Información y el estándar ISO PROCEDIMIENTOS Se han establecido procedimientos generales y específicos para garantizar el mantenimiento y flujo de la información en forma segura. ESTANDARES Se han establecido estándares para la configuración de los ambientes que soportan el flujo de información en ISAGEN. MODELO DE SEGURIDAD EN INFORMACIÓN

29 ISO AREAS DE DESARROLLO Mantenimiento y desarrollo de sistemas Organización de seguridad Clasificación control de activos Seguridad con personal Administración de Redes y Computadores Sistemas de Control de Acceso Seguridad Física Cumplimiento de políticas y normatividad legal Plan de Continuidad del negocio PROCEDIMIENTOS

30 INCORPORACION TECNOLOGICA Se implantan elementos de seguridad en cada una de las incorporaciones de tecnología realizadas. Se hacen nuevas incorporaciones de herramientas que facilitan o mejoran la seguridad en la gestión de la Información. CONFIGURACIONES DE SEGURIDAD Se realizan configuraciones adicionales de seguridad a la tecnología que soporta la información. MODELO DE SEGURIDAD EN INFORMACIÓN

31 Arquitectura de Seguridad Directorios encriptados Correo seguro Navegación controlada Autenticación fuerte Autenticación centralizada Hardening de dispositivos Filtros de acceso de nivel 3, 4, 5 Filtrado de acceso por direcciones MAC VLANs para procesos críticos Entidad certificadora Monitoreo continuo Gestión segura

32 Modelo OSI Aplicación: Se utilizarán Aplicaciones que envíen datos encriptados a través de la red; Se emplearán mecanismos de autenticación centralizados para las aplicaciones; Se utilizarán sistemas de control de acceso con contraseñas de una sola vez para las autorizaciones de SAP por parte de los directivos y para el acceso vía RAS a la compañía; Se firmaran y encriptarán los correos electrónicos que se empleen dentro de la organización; Se mantendrán directorio encriptados para los portátiles e información sensible para la compañía. Se verifica la seguridad con herramientas de escaneo automático de vulnerabilidades Presentación: Al nivel de presentación se utilizan todos los mecanismos estándar de presentación como el ASCII, GIF, JPEG, los cuales podrán ser analizados con firmas detectadas en los IDS. Sesión: se utilizarán banderas de estado que permitan identificar las sesiones establecidas y su origen, para autorizar el establecimiento de las mismas Transporte: Se cerrarán todos los puertos que no sean necesarios para el correcto desempeño de la red de la organización, para ello, se usaran listas de control de acceso. Red: se utilizarán sólo protocolos de enrutamiento que provean seguridad adicional como EIGRP. Se verifica el trafico de red con filtros de dirección origen y destino y Sistemas de Detección de Intrusos Enlace: se establecerán las direcciones MAC Autorizadas para conectarse a la red. Físico: Los puntos de red que no estén siendo empleados por personal de la organización se mantienen deshabilitados en todo momento. Cuando sean requeridos, debe habilitarse previa verificación y autorización, se realiza segmentación del trafico a través de.VLANs para procesos críticos de gestión

33 MONITOREO CONTINUO: IDS SERVICIO AUTORIZADO

34 ORGANIZACIÓN PARA LA SEGURIDAD Se establece una organización que facilita el desarrollo de la seguridad en Información. Se habilitará a los responsables de la seguridad en información. COMPROMISO CON LA SEGURIDAD: Se mejoran los hábitos de seguridad de acuerdo con las necesidades empresariales. MODELO DE SEGURIDAD EN INFORMACIÓN

35 Propietario de la Información Custodio de Control Compromiso con la Seguridad Funciones Cotidianas MODELO DE SEGURIDAD EN INFORMACIÓN

36 PROYECTO DESARROLLO DE HÁBITOS DE SEGURIDAD ANTECEDENTES ANTECEDENTES Creencias Valores Normas Comportamientos Artificios

37 El manejo de Involucrados se refiere a: Administrar la curva emocional - La dinámica de la resistencia Energía de la resistencias Tiempo Inmovilización Enojo Negación Entendimiento Cuestionamiento Aceptación Compromiso ¿Necesitamos acompañamiento?

38 PROYECTO DESARROLLO DE HÁBITOS DE SEGURIDAD METODOLOGÍA METODOLOGÍA 1. Diagnóstico y diseño del plan de cambio Identificar mecanismos de medición del impacto del cambio Aplicar y analizar los mecanismos definidos Aplicar un plan asertivo de administración de cambio 2.3 Comunicación 2.2 Sensibilización 3. Monitoreo y seguimiento del cambio Conformar equiposMonitorear avances Identificar riesgos e impactos Definir nuevas acciones Implantar acciones complementarias Facilitar la creación y apropiación de la cultura de seguridad Divulgar y facilitar el entendimiento del modelo de seguridad de información Identificar públicos Definir objetivos Analizar y definir medios Elaborar plan comunicaciones Desarrollar mensajes Retroalimentar 2.1 Patrocinio Realizar el mapa de roles Identificar los roles y responsabilidades del grupo (patrocinadores y tutores de apoyo logístico) Establecer el programa de trabajo 2. Ejecución del plan de cambio

39 PLAN DE CAMBIO Arraigo en la Cultura Formadores de Cultura Acciones de los líderes Medidas de desempeño Prácticas de la gente Manifestación de Cultura ValoresSímbolosCreenciasNormas Impactos de la Cultura ComportamientosDecisiones Resultados Desempeño del negocio

40 PLAN DE CAMBIO Articulación con Sistema de Administración del Desempeño SISTEMA DE ADMINISTRACIÓN DEL DESEMPEÑO ConocimientosComportamientos Seguridad de la información Descriptores de KDescriptores de Cto.

41 PLAN DE CAMBIO Estrategia de comunicación y sensibilización COMUNIDADCOMUNICACIÓN Y SENSIBILIZACIÓN Trabajadores Medell í n, Centrales, Regionales Reconocer incidentes. Divulgar procedimientos para reporte de incidentes de seguridad. Comunicar incidentes a las personas responsables en Seguridad. Comunicar las consecuencias por incumplimiento de la pol í tica de SI. Comunicar la importancia de la protecci ó n de informaci ó n sensible en documentos a la vista. Divulgar el documento sobre el Uso de Recursos Inform á ticos. Recordar que las actividades de los trabajadores en sus equipos pueden ser monitoreadas. Sensibilizar sobre Ingenier í a Social: c ó mo detectar y frustrar ataques. Trabajadores nuevos Incluir en la inducci ó n de la compa ñí a informaci ó n sobre el tema de Seguridad (modelo y proyecto de SI) Equipo de AuditoriaInformar incidentes de seguridad. Personal con equipos port á tiles Informar sobre las medidas de seguridad que conciernen a ese tipo de equipos.

42

43

44 PLAN DE CAMBIO Ruta de Aprendizaje Tiempo Desarrollo Incompetencia Inconciente Incompetencia conciente Competencia conciente Competencia inconciente C1 C2 C3 C4 Cn C1 C2 C3 C4 C5 Cn C1 C2 C3 C4 C5 C6 Cn C1 C2 C3 C4 C5 C6 C7 Cn C = Comportamientos

45 RESULTADOS DEL DIAGNÓSTICO Análisis del Modelo de SI

46 EL FUTURO

47 Evaluación de Riesgos Control identificación Ciclo de Control de Riesgos

48 Monitoreo Centralizado

49 Especialmente a ISAGEN por permitir compartir su modelo y a DinamicSoft y KPMG por permitir incluir algunas diapositivas en esta presentación para la V Jornada Nacional de Seguridad Informática. Las opiniones presentadas en ésta presentación son responsabilidad del autor y no expresan necesariamente las opiniones de ISAGEN. GRACIAS

50 Preguntas y Comentarios

51


Descargar ppt "Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P. Diego Andrés Zuluaga Urrea Junio."

Presentaciones similares


Anuncios Google