La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SGSI: Sistemas de Gestión de la Seguridad de la Información

Publicada porEnriqueta Barcenas Modificado hace 9 años

Presentaciones similares

Presentación del tema: "SGSI: Sistemas de Gestión de la Seguridad de la Información"— Transcripción de la presentación:

1 SGSI: Sistemas de Gestión de la Seguridad de la Información

2 Otros Estándares: ITIL - GS
Continuación…

3 Otros Estándares: ITIL - GS
PROCESO La Gestión de la Seguridad  es transversal a todos los otros procesos TI y necesita para su éxito la colaboración de toda la organización. Para esto la Gestión de la Seguridad debe: Establezca una clara y definida política de seguridad Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. Implemente el Plan de Seguridad. Monitorice y evalúe el cumplimiento de dicho plan. Supervise proactivamente los niveles de seguridad. Realice periódicamente auditorías de seguridad.

4 Otros Estándares: ITIL - GS

5 Otros Estándares: ITIL - GS
Política de Seguridad En particular la Política de Seguridad debe determinar: La relación con la política general del negocio. La coordinación con los otros procesos TI. Los protocolos de acceso a la información. Los procedimientos de análisis de riesgos. Los programas de formación. El nivel de monitorización de la seguridad. Qué informes deben ser emitidos periódicamente. El alcance del Plan de Seguridad. La estructura y responsables del proceso de Gestión de la Seguridad. Los procesos y procedimientos empleados. Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal.

6 Otros Estándares: ITIL - GS
Plan de seguridad El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs. Este plan ha de ser desarrollado en colaboración con la Gestión de Niveles de Servicio (calidad del servicio clientes, organización TI y proveedores. No debe ser un obstáculo para el desarrollo de sus actividades de negocio. Deben definirse métricas e indicadores que permitan evaluar los niveles de seguridad acordados (cuantitativos y/o cualitativos). Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las fases del servicio y para todos los estamentos implicados. 

7 Otros Estándares: ITIL - GS
Aplicación medidas de seguridad Planificación medidas de seguridad. En primer lugar la Gestión de la Seguridad debe verificar que: El personal conoce y acepta las medidas de seguridad establecidas así como sus responsabilidades al respecto. Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad. Se imparte la formación pertinente.

8 Otros Estándares: ITIL - GS
Aplicación medidas de seguridad Es también responsabilidad de la Gestión de la Seguridad: Asignar los recursos necesarios. Generar la documentación. Colaborar con el Service Desk y la Gestión de Incidentes en el tratamiento y resolución de incidentes relacionados con la seguridad. Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad. Colaborar con la Gestión de Cambios y Versiones para asegurar que no se introducen nuevas vulnerabilidades. Proponer RFCs a la Gestión de Cambios que aumenten los niveles de seguridad. Colaborar con la Gestión de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre. Establecer las políticas y protocolos de acceso a la información. Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

9 Otros Estándares: ITIL - GS
Aplicación medidas de seguridad Es necesario que la gestión de la empresa reconozca la autoridad de la Gestión de la Seguridad  para que esta pueda establecer medidas disciplinarias cuando se incumpla con sus responsabilidades.

10 Otros Estándares: ITIL - GS
Evaluación No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar Las evaluaciones se pueden complementar con auditorías de seguridad externas y/o internas Las evaluaciones/auditorias deben medir el rendimiento del proceso y en caso de alertas proponer mejoras (RFCs) que se evaluarán en los procesos de Gestión de Cambios. Se deben generar informes periódicos ocurra o no un incidente.

11 Otros Estándares: ITIL - GS
Mantenimiento El mantenimiento del plan de seguridad asegura el cumplimiento de los niveles de seguridad comprometidos en los SLAs Actualiza el plan de seguridad para mantenerlo vigente en el tiempo.

12 Otros Estándares: ITIL - GS
Control del proceso Debe ser estricto Una buena Gestión de la Seguridad debe traducirse en una: Disminución del número de incidentes. Acceso y disponibilidad a la información por el personal autorizado. Gestión proactiva que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten

13 Otros Estándares: COBIT (Control Objectives for Information and Related Technologies; Objetivos de Control para la Información y tecnologías relacionadas) Marco compatible con ISO y COSO, que incorpora aspectos fundamentales de otros estándares relacionados Empresas y organizaciones que incorporan prácticas señaladas por CobiT están más cerca de adaptarse y lograr la certificación en ISO CobiT se estructura en cuatro partes: Resumen Ejecutivo Antecedentes y Marco de Referencia Guías de Auditoría Herramientas de Implementación de acuerdo con 34 procesos de TI que pasan por cuatro secciones: Objetivo de control de alto nivel para el proceso Los objetivos de control detallados Directrices de gestión El modelo de madurez para el objetivo Utiliza un ciclo de vida de tipo PDCA (metodología) que lo integra en los procesos de negocio.

14 Otros Estándares: COBIT
Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad determinada por la organización. Los ficheros automatizados Los centros de tratamiento locales Equipos Sistemas Programas Personas que intervengan en el proceso NcN2003

15 Otros Estándares: COBIT
Reglamento medidas de seguridad Los Niveles de seguridad posibles son los siguientes: Nivel Básico Nivel Medio Nivel Alto NcN2003

16 Otros Estándares: COBIT
Niveles de Seguridad Medidas de seguridad exigibles a todos los ficheros: Los accesos por red están sujetas a las mismas medidas de seguridad exigibles del nivel de seguridad local. El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. Los ficheros temporales se borrarán una vez usados, también se le aplicará el nivel de seguridad pertinente. El responsable del fichero elaborará el documento de seguridad. Las pruebas con datos reales seguirán las medidas de seguridad pertinentes. d) Otras medidas de seguridad exigibles a todos los ficheros. - Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al de los accesos en modo local (art. 5 RMS). - El tratamiento de los datos fuera de los locales de ubicación del fichero deberá ser autorizado expresamente por el responsable del fichero, garantizando el nivel de seguridad correspondiente (art. 6 RMS). - La creación de ficheros temporales deberá efectuarse con cumplimiento de las normas de seguridad correspondientes, y serán borrados una vez que hayan dejado de ser necesarios (art. 7 RMS). - El responsable del fichero deberá elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal (art. 8.1 RMS). - Las funciones y obligaciones del personal con acceso al sistema de información estarán claramente definidas y documentadas. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento (art. 9 RMS). - Las pruebas con datos reales sólo podrán efectuarse cumpliendo con las medidas de seguridad correspondientes al nivel exigible de acuerdo con la naturaleza de los datos (art. 22 RMS). NcN2003

17 Otros Estándares: COBIT
Niveles de Seguridad Medidas de seguridad de nivel BÁSICO: Sistema de Registro de incidencias. Relación actualizada usuarios/recursos autorizados. Existencia de mecanismos de identificación y autenticación de los accesos autorizados. Restricción solo a los datos necesarios para cumplir cada función. Gestión de Soportes informáticos con datos de carácter. Inventarios de archivos. Acceso restringido. Copias de seguridad semanalmente. a) Medidas de seguridad de nivel básico. Requieren: - Existencia de un registro de incidencias en el que conste el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieren derivado de la misma (art. 10 RMS). - Existencia de una relación actualizada de usuarios que tengan acceso autorizado al sistema de información, con indicación de los recursos a los que tienen acceso (art y art RMS). - Existencia de mecanismos de identificación y autenticación de los accesos de los usuarios autorizados (login y contraseña). Las contraseñas se asignarán, distribuirán y almacenarán de forma que se garantice su confidencialidad e integridad. Se cambiarán con la periodicidad que se determine y mientras estén vigentes se almacenarán de forma ininteligible (art. 11 RMS). - Restricción de acceso a los usuarios únicamente a los datos que requieran para el desarrollo de sus funciones (art RMS). NcN2003

18 Otros Estándares: COBIT
Niveles de Seguridad Medidas de seguridad de nivel MEDIO: Designación responsables de seguridad. Auditoría a lo más cada dos años. Identificación inequívoca y personalizada de usuarios. Limitación de los intentos de acceso. Medidas de control de acceso físico. Registro de entradas y salidas de soportes informáticos. Impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual. Registro de incidencias de las operaciones de recuperación de datos autorizadas por escrito. - Designación de uno o varios responsables de seguridad (art. 16 RMS). - Sometimiento a auditoría al menos una vez cada dos años (art. 17 RMS). - Establecimiento de mecanismos de acceso que permitan la identificación inequívoca y personalizada de los usuarios (art RMS). - Limitación de los intentos de acceso no autorizados al sistema de información (art RMS). - Establecimiento de medidas de control de acceso físico a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal (art. 19 RMS). - Establecimiento de un registro de entrada/salida de soportes informáticos (art y 2 RMS). - Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de sus lugares habituales de almacenamiento (art y 4 RMS). - Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS). NcN2003

19 Otros Estándares: COBIT
Niveles de Seguridad Medidas de seguridad de nivel ALTO: Los soportes para distribución deberán tener la información cifrada. Registro de accesos, autorizados y denegados. Guardar estos registros durante 2 años. Copias de seguridad guardadas en sitio diferente. Transmisiones cifradas. c) Medidas de seguridad de nivel alto. Además de las anteriores, requieren: - Que los soportes que contengan datos de carácter personal para su distribución incorporen la información cifrada o protegida por cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 23 RMS). - Que exista un registro de accesos en el que se recojan los siguientes datos: identificación del usuario, fecha y hora en que se realizó el acceso, fichero accedido, tipo de acceso y si ha sido autorizado o denegado, así como el registro accedido. La información registrada deberá conservarse por un mínimo de dos años(art. 24 RMS). - Que las copias de seguridad se almacenen en un lugar diferente de aquél en el que se encuentren los equipos informáticos que traten los datos (art. 25 RMS). - Las transmisiones de datos en redes de comunicación se efectúen mediante cifrado o cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 26 RMS). NcN2003

20 Otros Estándares: COBIT
Reglamento COBIT Documento de Seguridad. Personal: responsabilidades. Control de accesos. Identificación y autenticación. Acceso físico. Acceso informático. Entrada/Salida de datos. Gestión de soportes. Gestión telemática. NcN2003

21 Otros Estándares: COBIT
Reglamento COBIT Documento de Seguridad. La dirección marca las pautas, implanta, y controla la política de seguridad. Debe existir un modelo de arquitectura de información actualizado y consistente de los datos corporativos y los sistemas de información asociados a ellos. Los datos clasificados deben estar acompañados de: Quién puede tener acceso. Quién determina el nivel de acceso apropiado. La aprobación específica requerida para el acceso. Contempla, el Plan de Respaldo y Restauración, el Plan de Disponibilidad y las Funciones de Respaldo La documentación de control, políticas y procedimientos debe estar siempre actualizada. NcN2003

22 Otros Estándares: COBIT
Reglamento COBIT Personal: responsabilidades. Se asignarán responsabilidades formales de seguridad, tanto lógica como física de cada uno de los activos. Segregación de funciones. Funciones, responsabilidades, propiedad y perfil del puesto, respecto a la información por escrito, y si es necesario, firmado por el personal en forma contractual. Existe la figura del responsable de seguridad. Los costos de los controles no deben exceder a los beneficios. La Gerencia deberá asegurar que las políticas organizacionales sean comunicadas y comprendidas por todos los niveles de la organización: Formación. NcN2003

23 Otros Estándares: COBIT
Reglamento COBIT Control de accesos. Identificación y autenticación. “El acceso lógico y el uso de los recursos de TI deberá restringirse a través de la instrumentación de un mecanismo adecuado de autenticación de usuarios identificados y recursos asociados con las reglas de acceso.” Las Guías presentan mínimas reglas de passwords, políticas de seguridad y el acceso de los sistemas de información y del control del acceso reiterado. NcN2003

24 Otros Estándares: COBIT
Reglamento COBIT Control de accesos. Acceso físico. Establece claramente la necesidad de apropiadas medidas de seguridad física y control de acceso. Pide la Discreción de las Instalaciones de Tecnología de Información. Concreta los detalles en las Guías. Acceso informático. Propiedad y custodia de los datos. Administración Centralizada de Identificación y Derechos de Acceso. Revisión Gerencial de Cuentas de Usuario . Las Guías especifican los “Reportes” sobre accesos al sistema, tanto positivos como negativos. Nada de cuales a registros, genérico. DS 5 Guías: Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas. Estos reportes deberán incluir: · intentos no autorizados de acceso al sistema (sign on) · intentos no autorizados de acceso a los recursos del sistema · intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad · privilegios de acceso a recursos por ID de usuario · modificaciones autorizadas a las definiciones y reglas de seguridad · accesos autorizados a los recursos (seleccionados por usuario o recurso) · cambio de estatus de la seguridad del sistema · accesos a las tablas de parámetros de seguridad del sistema operativo NcN2003

25 Otros Estándares: COBIT
Reglamento COBIT Entrada/Salida de Datos. Gestión de soportes. No especifica tantos detalles de catalogación. Vigila los controles de E/S de soportes. Sigue siendo muy riguroso en tema de autorizaciones. Protección de información sensible durante transmisión y transporte. Protección de información crítica a Ser Desechada. La información sensitiva es enviada y recibida exclusivamente a través de canales seguros. Administración de Llaves Criptográficas. NcN2003

26 Otros Estándares: COBIT
Reglamento COBIT Entrada/Salida de Datos. Gestión telemática. Exige: Identificación, Autenticación y Acceso. Seguridad de Acceso a Datos en Línea. Control de Operaciones Remotas. Transmisiones a través de túneles cifrados. Las guías contemplan las configuraciones del firewall. NcN2003

27 Otros Estándares: COBIT
Reglamento COBIT Trabajo fuera de los locales. No se recomienda el tratamiento de datos de carácter personal fuera de los locales. Se debe respetar la cadena de responsabilidades. NcN2003

28 Otros Estándares: COBIT
Reglamento COBIT Continuidad del negocio. Plan de Continuidad de T.I. Copias de seguridad. Existe una figura responsable para ello. Punto de control de Respaldo y Restauración. Almacenamiento de Respaldos , tanto dentro como fuera de las instalaciones. Contempla en el Plan de continuidad Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre. Calendarización de Trabajos (Backups). Centro de cómputo y Hardware de Respaldo. La Gerencia de la función de servicios de información deberá asegurar que se desarrolle un plan escrito conteniendo lo siguiente: Guías sobre la utilización del Plan de Continuidad; Procedimientos de emergencia para asegurar la integridad de todo el personal afectado; Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre; Procedimientos para salvaguardar y reconstruir las instalaciones; Procedimientos de coordinación con las autoridades públicas; Procedimientos de comunicación con los interesados: empleados, clientes clave, proveedores críticos, accionistas y gerencia; y l Información crítica sobre grupos de continuidad, personal afectado, clientes, proveedores, autoridades públicas y medios de comunicación. NcN2003

29 Otros Estándares: COBIT
Reglamento COBIT Continuidad del negocio. Registro de incidencias. La Gerencia deberá implementar la capacidad de manejar incidentes de seguridad. Se debe tener un claro sistema de Gestión de Problemas: Formularios, procedimientos de notificación, respuesta, solución implantada... Pistas de auditoría que permitan el seguimiento de las causas a partir de un incidente. Existen procedimientos de manejo de problemas para: definir e implementar un sistema de manejo de problemas registrar, analizar y resolver de manera oportuna todos los eventos no-estándar establecer reportes de incidentes para los eventos críticos y la emisión de reportes para usuarios identificar tipos de problemas y metodología de priorización que permitan una variedad de soluciones tomando el riesgo como base definir controles lógicos y físicos de la información de manejo de problemas seguir las tendencias de los problemas para maximizar recursos y reducir la rotación recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisión de reportes notificar los escalamientos al nivel apropiado de administración determinar si la administración evalúa periódicamente el proceso de manejo de problemas en cuanto a una mayor efectividad y eficiencia Llevando a cabo: Para una selección de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas fueron seguidos para todas las actividades no-estándar, incluyendo: registro de todos los eventos no-estándar por proceso seguimiento y solución de todos y cada una de los eventos nivel apropiado de respuesta tomando como base la prioridad del evento escalamiento de problemas para eventos críticos reporte apropiado dentro de la función de servicios de información y grupos usuarios revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras expectativas y éxito de programa de mejoras del desempeño NcN2003

30 Otros Estándares: COBIT
Reglamento COBIT Ficheros auxiliares. Pruebas con datos reales. La exposición de la información sensible que se utiliza durante las pruebas de la aplicación se reduce ya sea con limitaciones severas de acceso o la despersonalización de los datos históricos. Importancia de la separación de los datos de producción de los de desarrollo. Ficheros temporales. No comentado en CobiT. NcN2003

31 Otros Estándares: COBIT
Reglamento COBIT Auditoría. Auditoría interna y externa. Complementación. Monitoreo y Reporte de Control Interno. Proveer auditoría Independiente. Estatutos de Auditoría Independencia Ética y Estándares Profesionales El Reporte se destina a la Gerencia NcN2003

32 Otros Estándares: COBIT
Soluciones prácticas Herramientas de documentación, formularios y workflow: Lotus Domino. Visio. Organigrama de las responsabilidades, funciones y recursos. Sistemas de correo cifrado y firmado: Eudora + GnuPG. Outlook + certificado digital de una autoridad certificadora. NcN2003

33 Otros Estándares: COBIT
Soluciones prácticas Herramientas de encriptación y firmado de discos y ficheros: WinPT. PGPDisk. Seguridad en redes: Túnel cifrado: sftp, pop3s. VPN. Continuidad de negocio: Sistemas RAID: mirroring. Hardware. Software. Copias de respaldo periódicas. Copias de transacciones incrementales. NcN2003

34 Otros Estándares: COBIT
Soluciones prácticas LOGs: A nivel de aplicación. A nivel intermedio. A nivel de SGBD: Oracle 9i. Borrados seguros: Wipe. Desmagnetizadores. Destructoras de papel. NcN2003

35 Otros Estándares: COBIT
Conclusiones No asegura cumplir el reglamento. Es un marco de referencia. COBIT sigue una filosofía de control norteamericana. El registro de accesos es el punto más conflictivo. NcN2003

36 FIN SGSI druete@unab.cl

Descargar ppt "SGSI: Sistemas de Gestión de la Seguridad de la Información"

Presentaciones similares

Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799

Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
¿Qué es ITIL? “Information Technology Infrastructure Library”

¿Qué es ITIL? “Information Technology Infrastructure Library”
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Versión 2. 12.03.12. Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.

Versión Se tiene que tener un listado de los requisitos legales que le son aplicables a la empresa para su operación y estos tienen que encontrarse.
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD

SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Políticas de Seguridad por Julio César Moreno Duque

Políticas de Seguridad por Julio César Moreno Duque

Presentaciones similares

Anuncios Google