Cátedra de Riesgos en Sistemas de Información.

Presentación del tema: "Cátedra de Riesgos en Sistemas de Información."— Transcripción de la presentación:

1 Buenas prácticas sobre aplicación de seguridad de la información en personas / empresas
Cátedra de Riesgos en Sistemas de Información. 3ra Jornada: Tratamiento de Datos en el ámbito de los Recursos Humanos: Aspectos regulatorios y prácticos MARCOS GÓMEZ HIDALGO Subdirector de eConfianza INTECO

2 La seguridad en las personas Buenas prácticas de referencia
INDICE Conceptos Generales La seguridad en las personas Buenas prácticas de referencia Conclusiones

3 La seguridad en las personas Buenas prácticas de referencia
INDICE Conceptos Generales La seguridad en las personas Buenas prácticas de referencia Conclusiones

4 1.- Conceptos Generales Punto de Partida Magerit V.2 (Junio 2005): «Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.». ISO : «Preservación de la confidencialidad, integridad y disponibilidad de la información, en adición también de otras propiedades como autenticación, autorización, registro de actividad, no repudio y confiabilidad pueden ser también consideradas.».

5 1.- Conceptos Generales RFC 1244: Política de Seguridad como: «una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.». RFC 2828: Seguridad de la Información: «Medidas tomadas para proteger un sistema. El estado de un sistema que resulta del establecimiento y mantenimiento de estas medidas. El estado de un sistema cuando no hay accesos desautorizados, o cambios, destrucciones o pérdidas no autorizadas».

6 1.- Conceptos Generales Dimensiones de la seguridad (Magerit V.2):
Disponibilidad: disposición de los servicios a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones. Integridad: mantenimiento de las características de completitud y corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización. Confidencialidad: que la información llegue solamente a las personas autorizadas. Contra la confidencialidad secreto pueden darse fugas y filtraciones de información, así como accesos no autorizados. La confidencialidad es una propiedad de difícil recuperación, pudiendo minar la confianza de los demás en la organización que no es diligente en el mantenimiento del secreto, y pudiendo suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos. Autenticidad: que no haya duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física.

7 1.- Conceptos Generales Resumiendo…la Seguridad de la Información se basa en los siguientes aspectos por su orden natural de ocurrencia: Autenticación: Quién pretende acceder a la información o al sistema informático es quien dice ser. Confidencialidad: Quién pretende acceder a la información o a los sistemas, tiene derecho a hacerlo Integridad: La información a la que se pretende acceder no ha sido modificada. Disponibilidad: La información y los sistemas están disponibles cuando se pretende acceder a ellos.

8 Necesidades de la Organización GESTIÓN DE LA SEGURIDAD
1.- Conceptos Generales Necesidades de la Organización SEGURIDAD CONFIDENCIALIDAD S E G U R I D A NO REPUDIO INTEGRIDAD TRAZABILIDAD DISPONIBILIDAD RESPONSABILIDAD AUTENTICACIÓN SEGURIDAD INTEGRAL GESTIÓN DE LA SEGURIDAD

9 1.- Conceptos Generales Aplicándolo al entorno de una organización
Personal Instalaciones INFORMACIÓN Esto hace necesario … Implantación de una Política de Seguridad o de un Sistema de Gestión de Seguridad de la Información (SGSI) Reducción de costes Protección del negocio Mejora de la competitividad

10 Objetivos de la Seguridad de la Información:
1.- Conceptos Generales Objetivos de la Seguridad de la Información: «estudiar los métodos y medios de protección de los sistemas de información y comunicaciones frente a revelaciones, modificaciones o destrucciones de la información, o ante fallos de proceso, almacenamiento o transmisión de dicha información, que tienen lugar de forma accidental o intencionada.». «Asegurar la autenticidad, confidencialidad, integridad y disponibilidad de la información».

11 ¿Pero asegurar la información “contra” qué o quién?
1.- Conceptos Generales ¿Pero asegurar la información “contra” qué o quién? ¿Proteger la información “de qué” o “quien”?

12 ¿Qué es “de qué” o “qué” o “quién”?
1.- Conceptos Generales ¿Qué es “de qué” o “qué” o “quién”? Amenazas Externas Amenazas Internas En los últimos años han surgido nuevas vías de ataque, como el spam (recepción de correo no solicitado) o el phising (correo fraudulento), que están provocando numerosos incidentes de seguridad. En este nuevo escenario, ya no son los sistemas corporativos de las empresas los que sufren los ataques, sino que el objetivo ahora son los usuarios finales, directamente, utilizando el engaño y la Ingenieria Social. Diez focos de inseguridad escasamente contemplados Shoulder Surfing: El arte de mirar por encima del hombro con cautela. Ejemplo: fisgar el PIN de un usuario en un cajero automático, o fisgar qué clave teclea un operador en el teclado de su ordenador. Observación: Técnica parecida a la anterior, pero que involucra normalmente distancias mayores y comporta habitualmente la obtención de información preliminar para perpetrar ataques. Controlar si hay o no hay alarmas en una sala de servidores, los horarios de los servicios de vigilancia, quién sale el último de unas dependencias, quién entra primero, etc. Eavesdropping (Fisgonear): Esta técnica está orientada a la captura de información privilegiada afinando el oído cuando tenemos conversaciones privadas a nuestro alcance auditivo. Escuchar cómo el sysadmin de una empresa le dice al otro “oye, la clave que puse en el CRM es holahola” estando nosotros relativamente cerca no es tan infrecuente. Dumpster Diving: El buceo en la basura es una técnica a la cual no se le suele prestar atención, pero que comporta riegos. La basura suele ser destino final de muchas cosas: notas, documentos confidenciales, configuraciones, s, memorandos internos, ordenadores en desuso, y un sinfín de fuentes de información que un dumpster podría extraer de ella. Dispositivos móviles perdidos: Mucha es la información que se puede extraer de los dispositivos móviles. Desde cuentas bancarias a información personal, pasando por notas confidenciales. Todo lo que podamos meter en un teléfono móvil o en una PDA puede ser recuperado por aquel que se la encuentre si la perdemos. Escrutinio de noticias: Muchas veces nos enteramos de qué infraestructura tiene una empresa determinada por la cobertura en los medios de comunicación. “Tal empresa ha adquirido 1000 licencias de tal antivirus”, “Tal empresa ha comprado recientemente tal producto”, etc. Esa información puede ser en muchos casos determinante. Si por ejemplo se publica que una organización determinada ha adquirido infraestructura Lotus Domino, lo primero que un atacante podría explorar es si Lotus tiene o no acceso vía Web, y tratar de explotar ese factor. Foros online: Otro lugar donde se revela información sensible. “Hola, que tal, he instalado la rama 2.x de Apache en mi servidor y quiero meterle mod_python, ¿dónde puedo documentarme? Y justo al presionar enviar, resulta que nuestra IP queda expuesta como registro de acceso a dicho foro, cosa que en la que reparamos cuando vemos el artículo publicado. Ya sabemos la IP, sabemos que usas Apache 2.x y por tanto, hay un vector de ataque claro. Sitios Web: Revelan mucha más información de la que creemos. Probad a buscar esta cadena y esta otra cadena en Google. Análisis de Red: Cualquier escáner de vulnerabilidades o un simple escáner de puertos nos puede ofrecer información cuantiosa y jugosa sobre una IP determinada. Ingeniería social: El método que nunca cambia. El ser humano es estúpido por naturaleza, y este método prueba la veracidad de esta teoría.

13 Amenazas Externas A través de la conexión a Internet Virus Phishing Spam Troyanos Keyloggers Rootkits Smishing Spyware Escaneo de puertos Sabotaje de datos o de red Robo de ordenador Software pirata Denegación de servicios Intrusión en la red Fraude financiero Fraude de telecomunicaciones Robo de información protegida por copyright Robo de banda de red wifi Hackeo de sitio web

14 Fuente: Ministerio de Industria Británico
Costes derivados de estas amenazas Interrupción del negocio (1-2 días) 8.700 – € 2 días de trabajo para responder al incidente 850 – 1750 € Gastos indirectos 1.500 – € Pérdida financiera directa 750 – € Pérdida de reputación 150 – 600 € Coste medio del peor incidente de seguridad – € Fuente: Ministerio de Industria Británico

15 Propios usuarios de la red: trabajadores
Amenazas Internas Propios usuarios de la red: trabajadores Falta de formación En 30 días de búsqueda, hay casi un 100% de posibilidades de visitar un sitio peligroso 97% internautas no sabe detectar programas espía Fuente: McAfee Con premeditación 81% ataques con el fin de obtener beneficios económicos 83% en el interior de la organización y durante el horario de trabajo 22% antiguos empleados 14% empleados en el momento del ataque 7% relación cliente o proveedor Fuente: Hispasec / Trusted Strategies

16 Disponen de personal TIC o Seguridad Informática
Empresas Dificultades específicas PYMES 106 ciberataques graves al mes a las Pymes 8% Pymes pararon o cerraron su negocio por culpa de ciberataques 93% empresas que pierden datos cierran en menos de 5 años Uso poco maduro de TICs: Uso de correo electrónico Disponen de página web Disponen de red de área local Disponen de ordenadores Disponen de personal TIC o Seguridad Informática PYMES < 10 empleados 42 % 18 % 60 % 8.5 % TOTAL PYMES 82 % 54 % 67 % 89 % 36 % Fuentes: INTECO / Symantec / Niveles de Protección de la Pyme española 2005 / US Bureau Labor of Statistics / Sophos

17 1.- Conceptos Generales Fuente: Hispasec

18 La seguridad en las personas Buenas prácticas de referencia
INDICE Conceptos Generales La seguridad en las personas Buenas prácticas de referencia Conclusiones

19 El Factor Humano: 2.- Seguridad en las personas
El factor humano puede ser el eslabón más débil en toda la cadena de seguridad y se encuentra presente en todos los procesos relacionados con la seguridad. La seguridad son las personas. En todos los procesos informáticos y empresariales existe la implicación de factores humanos ya sea en la toma de decisiones como en los procesos mismos. Históricamente se presta una atención especial a los ataques externos que provocan daños más o menos cuantificables. ¿Cuál es la cuantía de un ataque interno? Más del 70 % de los incidentes ocurren dentro de la propia organización por un error humano, una errónea utilización de los medios de trabajo o por un ataque premeditado. Estos incidentes no siempre son intencionados, ya que un alto porcentaje de los mismos se deben a accidentes involuntarios. La principal causa de los incidentes no intencionados es una falta de conocimiento o la ausencia de una cultura de seguridad. En un reciente estudio de Datapro Research Corp. se resumía que los problemas de seguridad en sistemas basados en redes responde a la siguiente distribución: · Errores de los empleados 50% · Empleados deshonestos 15% · Empleados descuidados 15% Otros 20% (Intrusos ajenos 10%; Integridad física de instalaciones 10%). Se puede notar que el 80% de los problemas, son generados por los empleados de la organización, y, éstos se podrían tipificar en tres grandes grupos: · Problemas por ignorancia · Problemas por dejadez · Problemas por malicia Entre estas razones, la ignorancia es la más fácil de direccionar. Desarrollando tácticas de entrenamiento y procedimientos formales e informales son fácilmente neutralizadas. Los usuarios, además, necesitan de tiempo en tiempo, que se les recuerden cosas que ellos deberían conocer. La dejadez será siempre una tentación –tanto para los administradores de sistemas como para los usuarios – pero, se encuentra que éste es un problema menor cuando los usuarios ven las metas de los sistemas de seguridad. Esto requiere soporte de las Gerencias y de la Administración, y de la organización como un todo formado por usuarios individuales. En adición, una atmósfera que se focalice en las soluciones, en lugar de censurar, es generalmente más eficiente que aquella que tiende a la coerción o la intimidación. La malicia, se debe combatir creando una cultura en la organización que aliente la lealtad de los empleados.

20 Objetivos de Seguridad en cuanto a personas:
Reducir el riesgo del factor humano, debido a errores, pérdidas, robos y usos indebidos de la información. Asegurarse que los usuarios toman conciencia de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos. Que todo el personal de la organización, conozca tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. Usen los procedimientos establecidos para reportar y responder a los incidentes de seguridad rápidamente. 2.- Seguridad en las personas

21 Principales Medidas de Seguridad en las Personas:
Formación y concienciación: Formar al usuario en seguridad de la información, es decir, en las políticas, procedimientos, responsabilidades legales, controles, y En el uso adecuado y correcto de las facilidades de procesamiento de la información para evitar posibles riesgos de seguridad. Establecer acuerdos de confidencialidad con todos los términos y condiciones de los empleados relacionados con la seguridad de la información. Antes y después de la selección y contratación del personal: realizar un proceso de selección riguroso y suficientemente garante del personal a contratar Inclusión de la seguridad como responsabilidad contractual. Inclusión de responsabilidades después de cesar la relación laboral y las acciones a tomar en caso de ser cesados. Realizar un seguimiento del personal que debe cubrir las tareas críticas de la Organización. Ante una infracción clara de la Política de Seguridad y de Confidencialidad: procesos disciplinarios. La idea de controlar al personal no está relacionada con restricciones de la libertad, los derechos y el ambiente de trabajo de los empleados. Se busca aplicar controles de seguridad en el factor humano que opera con la información. Con el fin de evitar fugas de información, errores en el manejo de los datos y sistemas, y proteger la confidencialidad, los secretos industriales y el patrimonio de las organizaciones. La seguridad ligada al personal debe ser meticulosamente planificada. El tratamiento de las medidas de control, aplicadas al personal, requieren tacto y tener en cuenta que cada empleado tiene sus propias condiciones laborales. No obstante, como siempre que se trabaja con la Seguridad de la información, y en relación con las personas, tenemos que tener en cuenta la legislación vigente, usar el juicio profesional y el sentido común en el desarrollo de nuestro trabajo.

22 2.- Seguridad en las personas
Formación y Concienciación El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las personas involucradas en el sistema de información, especialmente si la actitud es negativa, contraria o de “luchar contra las medidas de seguridad”. Es por ello que se requiere la creación de una “cultura de seguridad” que, emanando de la alta dirección, conciencie a todos los involucrados de su necesidad y pertinencia. Son dos los pilares fundamentales para la creación de esta cultura: una política de seguridad corporativa que se entienda (escrita para los que no son expertos en la materia), que se difunda y que se mantenga al día una formación continua a todos los niveles, recordando las cautelas rutinarias y las actividades especializadas, según la responsabilidad adscrita a cada puesto de trabajo A fin de que estas actividades cuajen en la organización, es imprescindible que la seguridad sea: mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos, sea “natural”: que no de pie a errores gratuitos, que facilite el cumplimiento de las buenas prácticas propuestas y practicada por la Dirección que de ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias.

23 2.- Seguridad en las personas
Conocimientos mínimos y suficientes para desarrollo de competencias Mínimos privilegios Compartición de responsabilidades. Continuación de la actividad Rotación de responsabilidades. Tareas con backup. Vigilancia Mutua. Eliminar “único” punto de fallo. Backup y rotación de funciones Niveles de conocimiento Buenas prácticas & Política de Seguridad

24 La seguridad en las personas Buenas prácticas de referencia
INDICE Conceptos Generales La seguridad en las personas Buenas prácticas de referencia Conclusiones

25 ¿Qué objetivos tienen? 3.- Buenas prácticas de referencia
Ser el punto de partida para la estandarización. Impulsar recomendaciones para la gestión de la seguridad. Generar una base común para agrupar y desarrollar: ... normas de seguridad organizativas (política de seguridad, controles, amenazas, etc.), prácticas efectivas de gestión de la seguridad, sello de confianza Alinearse con la legislación y los reglamentos aplicables. Referentes: Guías de buenas prácticas para la gestión de la seguridad ISO 17799:2005>ISO 27002: ISO, Organización Internacional de Normalización. COBIT: IT Governance Institute e ISACA, Asociación de Auditoria y Control de Sistemas de Información. La familia de Normas ISO/IEC 27000. La ISO ha reservado la serie ISO/IEC para una gama de normas de gestión de la seguridad de la información de manera similar a lo acontecido con las normas de gestión de la calidad, la serie ISO En los últimos meses ha habido cambios relacionados con la numeración de dichas normas. Hace unos días se publicó la Norma ISO/IEC “Information technology - Security techniques — Requirements for bodies providing audit and certification of information security management systems”. Este estándar especifica los requisitos para acreditar organismos que certifiquen Sistemas de Gestión de Seguridad de la Información aportando un esquema internacional para su acreditación. La numeración actual de las Normas de la serie ISO/IEC es la siguiente: Esta previsto que la numeración del resto de las normas sean: ISO/IEC 27000: Fundamentos y vocabulario. ISO/IEC 27001: Norma que especifica los requisitos para la implantación del Sistema de Gestión de Seguridad de la Información (SGSI). ISO/IEC (actualmente ISO/IEC ): Código de buenas prácticas para la gestión de Seguridad de la Información. ISO/IEC 27003: Directrices para la implementación de un sistema de gestión de Seguridad de la Información. ISO/IEC 27004: Métricas para la gestión de Seguridad de la Información. ISO/IEC 27005: Gestión de riesgos de la Seguridad de la Información. ISO/IEC 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la Seguridad de la Información. La serie de Normas de la a la 27019, guías y documentos interpretativos de los SGSI: ISO/IEC 27010: Telecomunicaciones. ISO/IEC 27011: Asistencia sanitaria. ISO/IEC 27012: Finanzas. ISO/IEC : Manufacturas (industrias aeroespaciales, del automóvil, de electrónica, etc.). ISO/IEC 27015: Auditorías y revisiones. ISO/IEC 27016: Evaluación y pruebas de la eficacia del plan y procedimientos SGSI. En lo relativo a las Normas de continuidad de negocio y outsourcing, se le ha atribuido la serie de numeración de la a la 27039, esta adjudicada por el momento la siguiente numeración: ISO/IEC 27030: Vocabulario. ISO/IEC 27031: Gestión de Incidentes IS. ISO/IEC 27032: Seguridad de redes informática (Parte 1-5). ISO/IEC 27033: Detección de intrusiones (2 partes). ISO/IEC 27034: Servicios TTP. Fuente: Blog: Sociedad de la Información . COBIT de “IT Governance Institute®” fue establecido en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administración, seguridad y  aseguramiento de la TI. Como consecuencia de su rápida difusión internacional, dispone de una amplia gama de publicaciones y productos diseñados para apoyar una gestión efectiva de las TI en el ámbito de la empresa. Es 100% compatible con ISO17799 y COSO e incorpora aspectos fundamentales de otros estándares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado según las prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO27001. BS15000/ITIL (ISO/IEC en Dic.2005 ) El estándar BS define los aspectos esenciales que deben cumplir los procesos de gestión de servicios de alta calidad en TI. BS se compone de 10 secciones: “Scope”, “Terms and Definitions”, “Requirements for a Management System”, “Planning and Implementing Service Management”, “Planning and Implementing New or Changed Services”, “Service Delivery Process”, “Relationship Processes”, “Resolution Processes”, “Control Processes” y “Release Process”. BS asiste a las organizaciones que quieren ser auditadas en BS o quieren mejorar la calidad de los servicios TI que suministran a sus clientes. BS15000 incorpora el ciclo de vida Plan-Do-Check-Act y está en proceso de aprobación como norma ISO Notas sobre ITIL. ITIL, Biblioteca de Infraestructura de Tecnologías de Información, es un escenario de trabajo de las mejores prácticas destinado a facilitar la entrega de servicios de TI, Tecnologías de la Información. ITIL es un extenso conjunto de procedimientos de gestión creados para facilitar a las organizaciones lograr la calidad y eficiencia en las operaciones de TI. Estos procedimientos  cubren supuestos relacionados con la infraestructura, el desarrollo y las operaciones de TI. Desarrollada a finales de 1980, no fue adoptada por las organizaciones hasta mediados de los 90 y se ha convertido en uno de los estándares mundiales de factomás utilizados en la Gestión de Servicios Informáticos. ITIL está publicado como un conjunto de libros, cada uno dedicado a un área específica dentro de la Gestión de las TI. Pertenece a la OGC, pero es de libre utilización. Uno de los principales beneficios de ITIL es que proporciona un glosario de términos precisamente definidos y ampliamente aceptados. Su metodología dispone de un conjunto completo de prácticas que abarca los procesos y requerimientos técnicos y operacionales, y se relacionan con la gestión estratégica, de operaciones y financiera de la organización. Esta previsto que durante la tercera conferencia anual de IT Service Management que se realizará los días 21 y 22 de marzo de 2007, se presente la versión 3 de ITIL, mejor estructurada que la versión actual. Contará con un concepto más amplio de la organización de los servicios TIC, Tecnologías de la Información y las Comunicaciones, con 5 libros de procedimientos y buenas prácticas enfocados al mantenimiento, la estrategia, al diseño y construcción, transición y mejora continua de los servicios. Actualmente ITIL esta compuesto por las siguientes publicaciones: En el área de Gestión de Servicios de TI: 1. Entrega de Servicios 2. Servicio de Soporte Otras guías operativas: 3. Gestión de la infraestructura de TI 4. Gestión de la seguridad 5. Perspectiva de negocio 6. Gestión de aplicaciones 7. Gestión de activos de software Para la implementación de prácticas ITIL, existe un libro adicional con guías de implementación sobre todo de Gestión de Servicios: 8. Planeando implementar la Gestión de Servicios A estos ocho libros originales, hay que añadir una guía con recomendaciones para departamentos de TI más pequeños: 9. Implementación de ITIL a pequeña escala Los libros de Soporte y Provisión de Servicios definen un modelo de 10 procesos centrales que cubren todas las actividades relativas al soporte de los servicios y a la provisión de los servicios. El soporte al servicio se preocupa de de todos los aspectos que garanticen la continuidad, disponibilidad y calidad del servicio prestado al usuario. Los procesos de soporte y entrega de servicios son los siguientes: Gestión de Configuraciones: Su objetivo es mantener el control sobre el inventario. Llevar el control de todos los elementos de configuración de la infraestructura TIC con el adecuado nivel de detalle. Proporcionar información sobre las configuraciones a los diferentes procesos de gestión. Monitorizar periódicamente la configuración de los sistemas en el entorno de producción. Gestión de Incidencias: Tiene como objetivo resolver cualquier incidente que cause una interrupción en el servicio de la manera más rápida y eficaz posible. Gestión de los Problemas: Investigar las causas a todo cambio, real o potencial, del servicio TIC. Determinar posibles soluciones a las mismas. Proponer las peticiones de cambio necesarias para restablecer el servicio. Realizar Revisiones para asegurar que los cambios han surtido los efectos buscados sin provocar otros problemas. Gestión de los Cambios: Utilizar procedimientos estandarizados en la realización de cambios en las infraestructuras que proporciona los servicios, de tal forma que se minimice el riesgo y el impacto de estos cambios sobre la operativa de la Organización. Su objetivo es la evaluación y planificación del proceso de cambio para asegurar que, si éste se lleva a cabo, se haga de la forma más eficiente, siguiendo los procedimientos establecidos y asegurando en todo momento la calidad y continuidad del servicio TIC. Gestión de las Entregas: Se encarga de asegurar normas estandarizadas en los cambios de la infraestructura y tiene relación con la capacidad de la organización de homologar entornos TIC. Gestión Financiera: Asegurar los financieros en la provisión de servicios TIC: contabilidad de costes, realización de presupuestos y establecimiento de políticas idóneas de facturación por los servicios. Gestión de la Capacidad: Asegura que los servicios TIC se proporcionan a los usuarios bajo unas condiciones de capacidad adecuadas. Se encargada de que todos los servicios tengan una capacidad de proceso y almacenamiento suficiente y correctamente dimensionada. Gestión de la Disponibilidad: Se encarga de asegurar que los requerimientos de disponibilidad de los servicios TIC se cumplen y que los servicios se diseñan en términos de disponibilidad. Gestión de la Continuidad: Deben existir planes de contingencia para los servicios TIC y que éstos se pueden desarrollar de forma adecuada en el caso de incidentes. Gestión del Nivel de Servicio: Es el proceso que se encarga de estudiar las necesidades del cliente de servicios TIC. Los que deben ser proporcionados y los grados de calidad y cantidad necesarios. La Gestión de Servicio ITIL está actualmente integrado en el estándar ISO (desarrollada de la BS 15000). GAISP – Principios de seguridad de Sistemas generalmente aceptados. De la ISSA (Information Systems Security Association).

26 La seguridad en las personas Buenas prácticas de referencia
INDICE Conceptos Generales La seguridad en las personas Buenas prácticas de referencia ISO COBIT Conclusiones

27 3.- Buenas prácticas de referencia: ISO 27.002
En el primer estudio sobe la Función de Auditoría Interna de Sistemas de Información en España publicado hace unas semanas, y realizado por ASIA, Capitulo de Madrid de la ISACA, Instituto de Auditores Internos y la consultara KPMG, se resaltaba que las compañías españolas utilizaban como metodología o marco de referencia: COBIT en un 49%, ISO17799 en un 29%, y otras un 22% entre las que destacaba SAS-70, sobre todo en aquellas empresas que cotizaban en Bolsa en Estados Unidos.

28 Análisis de Riesgos Política de Seguridad Conformidad legal
(2 Objetivos) Organización de la seguridad (2 Objetivo, 11 Controles) Gestión de activos (2 Objetivo, 5 Controles) Recursos humanos de seguridad (3 Objetivo, 9 Controles) Seguridad física (2 Objetivo, 13 Controles) Conformidad legal (3 Objetivo, 10 Controles) (10 Objetivo, 32 Controles) Comunicaciones y operaciones Control de acceso (7 Objetivo, 25 Controles) Compras, Desarrollo (6 Objetivo, 16 Controles) y Mantenimiento de sistemas Política de Seguridad (1 Objetivo, 2 Controles) Gestión de incidentes de seguridad Plan de Continuidad de Negocio (1 Objetivo, 5 Controles) La norma ISO/CEI 17799:2005. Tiene 11 dominios de seguridad definidos: 1) Política de seguridad: controles para proporcionar directivas y consejos de gestión para mejorar la seguridad de los datos. 2) Organización de la Seguridad de la Información: controles para facilitar la gestión de la seguridad de la información en el seno de la organización. 3) Gestión de Activos: controles para catalogar los activos y protegerlos eficazmente. 4) Seguridad de los recursos humanos: controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. 5) Seguridad física y medioambiental: controles para impedir la violación, el deterioro y la perturbación de las instalaciones y datos industriales. 6) Gestión de las telecomunicaciones y operaciones: controles para garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información. 7) Control de accesos a los datos. 8) Adquisición, desarrollo y mantenimiento de los sistemas de Información: controles para garantizar que la seguridad esté incorporada a los sistemas de información. 9) Gestión de Incidencias: controles para gestionar las incidencias que afectan a la seguridad de la Información. 10) Gestión de la continuidad de las operaciones de la empresa: controles para reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra averías y siniestros mayores. 11) Conformidad: controles para prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y de las exigencias de seguridad.

29 Organización interna Externos Comité Identificación de riesgos Coordinación Requerimientos de seguridad en relaciones con clientes Responsabilidad Autorización Requerimientos de seguridad en los contratos con terceros Acuerdos de confidencialidad La norma ISO/CEI 17799:2005. Tiene 11 dominios de seguridad definidos: 1) Política de seguridad: controles para proporcionar directivas y consejos de gestión para mejorar la seguridad de los datos. 2) Organización de la Seguridad de la Información: controles para facilitar la gestión de la seguridad de la información en el seno de la organización. 3) Gestión de Activos: controles para catalogar los activos y protegerlos eficazmente. 4) Seguridad de los recursos humanos: controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. 5) Seguridad física y medioambiental: controles para impedir la violación, el deterioro y la perturbación de las instalaciones y datos industriales. 6) Gestión de las telecomunicaciones y operaciones: controles para garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información. 7) Control de accesos a los datos. 8) Adquisición, desarrollo y mantenimiento de los sistemas de Información: controles para garantizar que la seguridad esté incorporada a los sistemas de información. 9) Gestión de Incidencias: controles para gestionar las incidencias que afectan a la seguridad de la Información. 10) Gestión de la continuidad de las operaciones de la empresa: controles para reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra averías y siniestros mayores. 11) Conformidad: controles para prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y de las exigencias de seguridad. Contacto con autoridades Establece la estructura organizativa (terceros, responsables, comités, colaboraciones, etc.) y su funcionamiento de cara a gestionar la seguridad de la información Contacto con grupos de interés Revisión

30 Sección 8: Recursos Humanos de seguridad
Antes de la contratación Durante la contratación Al fin de la contratación Perfiles y responsabilidades Gestión de responsabilidades Responsabilidades en la finalización Educación y capacitación en seguridad Devolución de activos Revisión y verificación Términos y Condiciones de relación laboral Retirada de los derechos de acceso Procesos disciplinarios Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la información

31 La seguridad en las personas Buenas prácticas de referencia
INDICE Conceptos Generales La seguridad en las personas Buenas prácticas de referencia ISO COBIT Conclusiones

32 3.- Buenas prácticas de referencia: COBIT

33 Dominios de COBIT 3.- Buenas prácticas de referencia: COBIT
Dominio: Planificación y Organización PO1 Definir un plan estratégico de TI PO2 Definir la arquitectura de la información PO3 Determinar la dirección tecnológica PO4 Definir procesos, organización y relaciones de TI PO5 Administrar la inversión en TI PO6 Comunicar las aspiraciones y la dirección de la gerencia PO7 Administrar recursos humanos de TI PO8 Administrar la calidad PO9 Evaluar y administrar los riesgos de TI PO10 Administrar proyectos Dominio: Adquisición e Implementación AI1 Identificar soluciones automatizadas AI2 Adquirir y mantener software aplicativo AI3 Adquirir y mantener infraestructura tecnológica AI4 Facilitar la operación y el uso AI5 Adquirir recursos de TI AI6 Administrar cambios AI7 Instalar y acreditar soluciones y cambios Dominio: Entrega y prestación de Soporte DS1 Definir y administrar los niveles de servicio DS2 Administrar los servicios de terceros DS3 Administrar el desempeño y la capacidad DS4 Garantizar la continuidad del servicio DS5 Garantizar la seguridad de los sistemas DS6 Identificar y asignar costos DS7 Educar y entrenar a los usuarios DS8 Administrar la mesa de servicio y los incidentes DS9 Administrar la configuración DS10 Administrar los problemas DS11 Administrar los datos DS12 Administrar el ambiente físico DS13 Administrar las operaciones Dominio: Monitorización ME1 Monitorear y evaluar el desempeño de TI ME2 Monitorear y evaluar el control interno ME3 Garantizar el cumplimiento regulatorio ME4 Proporcionar gobierno de TI

34 Definir los procesos, organización y relaciones de TI
3.- Buenas prácticas de referencia: COBIT Dominio: Planificación y Organización (PO4) Definir los procesos, organización y relaciones de TI Objetivos: Control sobre el proceso de TI Condicionantes: Una organización de TI se debe definir tomando en cuenta los requerimientos de personal, funciones, delegación, autoridad, roles, responsabilidades y supervisión. La organización estará incrustada en un marco de trabajo de procesos de TI que asegura la transparencia y el control, así como la involucración de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico debe garantizar la vigilancia del consejo directivo sobre la TI, y uno ó más comités administrativos, en los cuales participan tanto el negocio como TI, deben determinar las prioridades de los recursos de TI alineados con las necesidades del negocio. Deben existir procesos, políticas administrativas y procedimientos para todas las funciones, con atención específica en el control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la información, la propiedad de datos y de sistemas y la segregación de tareas. Para garantizar el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos importantes de decisión.

35 3.- Buenas prácticas de referencia: COBIT
Dominio: Planificación y Organización (PO4) ¿Cómo?: Satisfaciendo el requisito de negocio de TI para: agilizar la respuesta a las estrategias del negocio mientras al mismo tiempo cumple con los requerimientos de gobierno y se establecen puntos de contacto definidos y competentes. Enfocándose en: el establecimiento de estructuras organizacionales de TI transparentes, flexibles y responsables, y en la definición e implantación de procesos de TI con los propietarios, y en la integración de roles y responsabilidades hacia los procesos de negocio y de decisión. Se logra con: La definición de un marco de trabajo de procesos de TI El establecimiento de un cuerpo y una estructura organizacional apropiada La definición de roles y responsabilidades. Se mide con: El porcentaje de roles con descripciones de puestos y autoridad documentados El número de unidades/procesos de negocio que no reciben soporte de TI y que deberían recibirlo, de acuerdo a la estrategia Número de actividades clave de TI fuera de la organización de TI que no son aprobadas y que no están sujetas a los estándares organizacionales de TI

36 Dominio: Planificación y Organización (PO4)
3.- Buenas prácticas de referencia: COBIT Dominio: Planificación y Organización (PO4) Objetivo de Control: Definir los procesos, la organización y las Relaciones TI 4.6 Roles y Responsabilidades 4.11 Segregación de Funciones 4.12 Personal de Tecnologías de la Información 4.13 Personal clave de TI 4.14 Políticas y Procedimientos para personal contratado

37 Administrar recursos humanos de TI.
3.- Buenas prácticas de referencia: COBIT Dominio: Planificación y Organización (PO7) Administrar recursos humanos de TI. Objetivos: Adquirir, mantener y motivar una fuerza de trabajo para la creación y entrega de servicios de TI para el negocio. Condicionantes: proceso es crítico, ya que las personas son activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de la motivación y competencia del personal. ¿Cómo? Satisfaciendo el requisito de negocio de TI para: personas competentes y motivadas para crear y entregar servicios de TI. Enfocándose en: la contratación y entrenamiento del personal, la motivación por medio de planes de carrera claros, la asignación de roles que correspondan a las habilidades, el establecimiento de procesos de revisión definidos, la creación de descripción de puestos y el aseguramiento de la conciencia de la dependencia sobre los individuos. Se logra con: La revisión del desempeño del personal La contratación y entrenamiento de personal de TI para apoyar los planes tácticos de TI La mitigación del riesgo de sobre-dependencia de recursos clave. y se mide con: El nivel de satisfacción de los interesados respecto a la experiencia y habilidades del personal La rotación de personal de TI Porcentaje de personal de TI certificado de acuerdo a las necesidades del negocio

38 Dominio: Planificación y Organización (PO7)
3.- Buenas prácticas de referencia: COBIT Dominio: Planificación y Organización (PO7) Objetivo de Control: Administrar Recursos Humanos de TI 7.1 Reclutamiento y Retención de Personal 7.2 Competencias del Personal 7.3 Asignación de roles 7.4 Entrenamiento del personal de TI 7.5 Dependencia sobre los individuos 7.6 Procedimientos de Investigación del personal 7.7 Evaluación de Desempeño del Empleado 7.8 Cambios y Terminación del trabajo

39 La seguridad en las personas Buenas prácticas de referencia
INDICE Conceptos Generales La seguridad en las personas Buenas prácticas de referencia ISO COBIT Conclusiones

40 4.- Conclusiones “Proteger la información es responsabilidad de todos los miembros de una organización. Al implementar las políticas y las medidas de seguridad, muchas organizaciones se centran sólo en la tecnología que hay detrás de los procesos, pero olvidan un elemento vital: las personas. Los empleados deben asumir, aprender y practicar una cultura de seguridad corporativa generalizada.” Guía básica: Implementar una cultura de seguridad desde arriba. La alta Dirección debe adoptar una cultura de seguridad y asegurarse de que los empleados tienen un acceso constante a la información y a cursos de formación en privacidad y seguridad. Ofrecer programas anuales de la formación. Proporcionar oportunidades de formación anual, así como un fácil acceso a los expertos en seguridad de la organización, que ayudará a los empleados a mantener la importancia de una cultura de seguridad en la mente y procesos de sus empleados. Al Decker y Rebecca Whitener, pertenecientes a la división de Servicios de Privacidad y Seguridad de EDS y con 35 años de experiencia en el sector, proporcionan 10 consejos clave para tratar la Seguridad de las Personas.

41 4.- Conclusiones Fomentar una política clara de mesas de trabajo. Cualquier mesa ubicada en un espacio abierto y cualquier oficina sin cerrar bajo llave es un objetivo fácil para el robo de información. Es una norma básica pedir a los empleados que tengan bajo llave la información confidencial cuando no estén cerca de sus mesas -especialmente antes de abandonar la oficina cada día-, puede mejorar enormemente la seguridad sobre la información altamente delicada. Activar una política de clasificación de la información. Designar una clasificación para los diferentes tipos de información puede ayudar a establecer los niveles apropiados de control, tanto para las comunicaciones externas como las internas. Asegurarse de que los empleados entienden las diferencias entre cada clasificación y facilitar ejemplos de los tipos de información que entran en cada categoría. Ej.: Las incidencias ocurren con frecuencia cuando los empleados reenvían correos electrónicos que contienen largas cadenas de información altamente confidencial a personas que no pertenecen a la empresa, incluso sin darse cuenta de que esa información formaba parte del correo electrónico. Concienciar sobre qué tipos de información son “sólo para tu empresa” es una sencilla forma de reducir las brechas de seguridad.

42 4.- Conclusiones Ordenar la información con seguridad. La información desechada en la papelera de la empresa puede acabar con facilidad en las manos equivocadas. Aquí es donde las clasificaciones resultan realmente prácticas. Las trituradoras comerciales de cada departamento pueden usarse para desechar información altamente confidencial, mientras la papelera de la empresas se puede destinar a documentos menos delicados. 6. Vigilar conversaciones fuera de las instalaciones de la compañía. Ejemplos: ¿Cuántas veces se escuchan conversaciones de temas confidenciales/importantes en un aeropuerto, restaurante, etc? ¿Cuántas veces se manejan documentos confidenciales o críticos fuera de la empresa? Cuando los empleados estén en un lugar público, no estarán protegidos por las paredes de su empresa y no se podrá garantizar la confidencialidad. Concienciar a los empleados que cualquier discusión o conducta relacionada con el trabajo en un lugar público está expuesta al conocimiento general y a serias brechas de seguridad.

43 “¿Detectaría una violación de seguridad si ocurriera?”
4.- Conclusiones Enfocar la seguridad en múltiples capas. Saber quién/qué tiene acceso a los recursos de la empresa. Disponer de controles y los métodos de autenticación apropiados para acceder a la red de la empresa valiéndose de la seguridad que le ofrecen las Tecnologías de la Información (TIC) así como el acceso a las instalaciones físicas. Asegurarse de que los empleados pueden responder a dos cuestiones cruciales: “¿Detectaría una violación de seguridad si ocurriera?” “¿A quién se lo contaría?” Enfocar la concienciación y formación en seguridad en torno a estas dos cuestiones pueden contribuir a educar a los empleados en la protección de la información de la empresa.

44 4.- Conclusiones Tener siempre en cuenta el factor humano El elemento humano en una organización es muchas veces la principal causa de fallos. En general, las personas deben o desean confiar en otras personas. Otros empleados de distintos departamentos o no empleados pueden utilizar tácticas de ingeniería social para conseguir datos confidenciales, simulando situaciones, identidades, etc. Asegurarse de que se realiza un proceso periódico y continuo de auditoría: La formación e implementación de controles necesita para cerrarse el círculo de un proceso de auditoría de todos los factores implicados en el ciclo de vida de la información en la empresa, activos, recursos TI y humanos, controles, procesos, etc. la revisión y mejora de todos ellos incrementa la estabilidad y la seguridad de la empresa.

45 INTECO – http://www.inteco.es
Alguna bibliografia y referencia ISO – International Organization for Standardization Cobit 4 – Objetivos de Control para las Tecnologías de Información. ISACA INTECO –

46 ¿PREGUNTAS?