La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Gestión de la Calidad de la Seguridad de un Sistema Informático Modelo de Madurez de la Seguridad de un Sistema Informático Autor: Roberto José Fernández.

Presentaciones similares


Presentación del tema: "Gestión de la Calidad de la Seguridad de un Sistema Informático Modelo de Madurez de la Seguridad de un Sistema Informático Autor: Roberto José Fernández."— Transcripción de la presentación:

1 Gestión de la Calidad de la Seguridad de un Sistema Informático Modelo de Madurez de la Seguridad de un Sistema Informático Autor: Roberto José Fernández García Director: Jesús María Minguet Melián 30/11/07 Escuela Técnica Superior de Informática Universidad Nacional de Educación a Distancia

2 Índice 2 IIntroducción IIConcienciación en la Seguridad de la Información IIIEstado del Arte IVNormalización de la Seguridad TIC V Legislación y Normativa Española VI Medidas, Métricas y Auditorías VIIModelo de Madurez de la Seguridad de un Sistema Informático VIIIConclusiones IXLíneas Futuras Glosario de Términos y Lista de Acrónimos Apéndices Bibliografía

3 Noviembre I.-Introducción (I) Estado del Arte en materia de seguridad. Auditoría Antecedentes en Seguridad de la Información: Protegernos contra ataques internos/externos Proteger nuestro Know-how, Knowledge Actualmente, son muchas las auditorías informáticas a las empresas están sometidas regularmente, tanto internas como externas, en línea con: Evaluación y Administración de Riesgos Tecnológicos Seguridad Informática Mejora de Procesos Análisis de Fraude Informático…

4 Noviembre I.-Introducción (II) Estado del Arte en materia de seguridad. Auditoría (II) Las conclusiones, de estas auditorías, se resumen en una enumeración de aspectos positivos y recomendaciones de mejora, sin llegar a evaluar nuestro sistema informático. Por ejemplo: Acotando el sistema dentro de los niveles de madurez sugeridos por el CMMI

5 Noviembre I.-Introducción (III) Objetivos del Proyecto Creación de un modelo, Modelo de Madurez de la Seguridad de un Sistema Informático, en línea con los objetivos generales de la compañía:

6 Noviembre I.-Introducción (IV) ¿Qué áreas queremos cubrir dentro de las TI?

7 Noviembre I.-Introducción (V) ¿Qué ESTÁNDARES nos ayudarán a cubrir las áreas TI? ¿Dónde encaja nuestro Modelo SMMIS (objeto del proyecto)?

8 Noviembre I.-Introducción (VI) Recomendaciones Usar CObIT 4.1 y SMMIS (Proyecto) para determinar el estado actual de salud de la Seguridad Identificar debilidades en los Procesos y Controles. Usar ITIL V2 para mejorar los Procesos y Controles TI, ayudándonos ISO27002 y SMMIS (Proyecto) para mejorar los Procesos y Controles de Seguridad Usar ITIL V2 para determinar la Tecnología Usar Cobit 4.1 y SMMIS (Proyecto) para definir las Métricas Preguntar a ITIL V2 sobre posibles Estructuras Respecto a los 4 estándares (CObIT 4.1, ITIL V2, SMMIS & ISO27002): No se producen contradicciones o solapamientos reales, No se identifican requisitos de personal No son fuertes desde el punto de vista organizativo (estructuras y roles) No son fuertes del lado de la tecnología

9 Noviembre II.-Concienciación en la Seguridad de la Información Implementación de un programa Concienciación de los Usuarios Componentes: Concienciación: El proceso de aprendizaje que establece las etapas para el entrenamiento de la actitudes individuales y organizacionales Entrenamiento: Producir habilidades y competencias en Seguridad Educación: Producir especialistas en Seguridad TI Seguridad de la Información. 3 Pilares: la Tecnología, los Procesos y las Personas

10 Noviembre III.-Estado del Arte (I) *CObIT 4.1 *ITIL V2 *Serie ISO *CMMI. SSE-CMM. ISO/IEC 21827:2007

11 Noviembre III.-Estado del Arte (II) CObIT 4.1 Código de Buenas Prácticas para el manejo de la información. Su misión: Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control en Tecnología de la Información, generalmente aceptados, para el uso cotidiano de la dirección de la empresa (Gerentes), usuarios y auditores.

12 Noviembre III.-Estado del Arte (III) ITIL V2 marco de procesos de Gestión de Servicios de TI más aceptado, nace como un código de buenas prácticas dirigidas a alcanzar las metas TI mediante: Un enfoque sistemático del servicio TI centrado en los procesos y procedimientos El establecimiento de estrategias para la gestión operativa de la infraestructura TI ITIL Código Proceso Proceso de la Gestión de Servicios SD.1.0 Gestión del nivel de servicio (SLM) SD.2.0 Gestión financiera de los servicios TI SD.3.0 Gestión de la capacidad SD.4.0 Gestión de la continuidad del servicio (SCM) TI SD.5.0 Gestión de la disponibilidad SS.1.0 Service desk SS.2.0 Gestión de incidentes SS.3.0 Gestión de problemas SS.4.0 Gestión de las configuraciones SS.5.0 Gestión del cambio SS.6.0 Gestión de entrega (liberación)

13 Noviembre A semejanza de otras normas ISO, la es realmente una serie de estándares. III.-Estado del Arte (IV) Revisión por: NCC (Centro Nacional de Computación) Consorcio usuarios 1993 Estándar nacional británico 1995 Estándar Internacional (Fast Track) Revisión periódica (5 años) 2005 Nuevo estándar nacional certificable Estándar Internacional Revisión conjunta de las partes 1 y 2 Revisión y acercamiento a: ISO 9001 ISO OCDE Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI) 1989 Revisión conjunta de las partes 1 y 2 Certificable Código de prácticas para usuarios PD0003 Código de prácticas para la gestión de la seguridad de la información BS 7799 BS :1999 ISO/IEC :2000 ISO/IEC (ant. ISO/IEC :2005) BS :2002 BS BS :1999 ISO/IEC :2005 No certificable

14 Noviembre CMMI. SSE-CMM. ISO/IEC 21827:2007. III.-Estado del Arte (IV) Evaluar sus prácticas de ingeniería de seguridad y definir mejoras. Base para las organizaciones que evalúan ingeniería de seguridad, con objeto de establecer confianzas organizativas basadas en la capacidad. Mecanismo estándar para que los clientes evalúen en un proveedor su capacidad de ingeniería de la seguridad.

15 Noviembre IV.-Normalización en la Seguridad TIC (I) ¿ Qué es una Norma? Especificación Técnica Voluntaria Accesible al público Elaborada por consenso de las partes interesadas En el seno de un organismo reconocido Basado en la experiencia y desarrollo tecnológico Beneficios de la Normalización Para los fabricantes. Racionaliza productos, Disminuye el volumen de existencias, Mejora la gestión de diseño, Agiliza pedidos, Facilita la comercialización y Simplifica las compras Para los consumidores. Establece niveles de calidad y seguridad, Informa del producto y Facilita de comparación Para la Administración. Simplifica los textos legales, Facilita políticas, Ayuda al desarrollo económico y Agiliza el comercio

16 Noviembre IV.-Normalización en la Seguridad TIC (II) La Normalización en Seguridad TI Origen de las Normas Las normas se elaboran en el seno de los comités técnicos compuestos, de forma equilibrada, por todas las partes interesadas en ese campo. En lo referente a TI, el comité conjunto Nº1 denominado JTC1 constituido entre los dos organismos internacionales de normalización:ISO & IEC. En él participan 68 países, entre ellos España, a través de AENOR. JTC1 está estructurado en una serie de Subcomités dedicados a un aspecto específico de las TI, en concreto el número 27, es el responsable de todos los aspectos de seguridad, denominándose JTC1/SC27 "Técnicas de Seguridad". Su homólogo a nivel español es el CTN71/SC27, que lleva el mismo nombre.

17 Noviembre V.-Legislación y Normativa Española (I) Ley Orgánica 15/1999, del 13 de Diciembre de Protección de Datos de Carácter Personal –LOPD Nivel básico, Medio y Alto Legislación de Seguridad Ley 34/2002 del 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico - LSSI-CE Real Decreto 994/1999, de 11 de Julio, Reglamento de Medidas de Seguridad, quedando pendiente la aprobación el reglamento de Medidas de seguridad derivado de la LOPD Establece los criterios de servicios en Internet, cuando sean parte de actividad económica: Mostrar en la web: Nombre, NIF, dirección, correo electrónico… Regulación del comercio electrónico: Prohibición de los spam…

18 Noviembre V.-Legislación y Normativa Española (II) Normativa de Seguridad UNE-75502:2004: Tecnología de la Información. Especificaciones para los sistemas de Gestión de Seguridad de la Información ISO 27002:2007, Sistema de Gestión de Seguridad de Información

19 Noviembre V.-Legislación y Normativa Española (III) Criterios de Certificación de Productos de Seguridad Antecedentes: ORANGE BOOK-TCSEC & ITSEC (whitebook) Actualidad: COMMONCRITERIA v3.1 EDICION V1.0 Common Criteria(Criterios comunes USA-EUR) Iniciativa conjunta para armonizar TCSEC e ITSEC Reconocimiento mutuo de la certificación Mayor interés del sector privado en productos certificados Actualmente CC/CEM v3.1 Ed. 2 Niveles de Evaluación (EAL1 …EAL4…EAL7)*

20 Noviembre VI.-Medidas, Métricas y Auditorías (I) Medidas Decidir de antemano que vamos a registrar Establecer un plan de destrucción progresiva de logs En cada destrucción hay que guardar parte de la información bien en bruto o bien consolidada Hay que automatizar todo el proceso de captura y gestión de logs para prevenir errores humanos, olvidos y ataques intencionados

21 Noviembre VI.-Medidas, Métricas y Auditorías (II) Métricas Las métricas materializan el rendimiento de los sistemas. Pueden dividirse en dos grandes grupos: de efectividad:¿ satisfacen los sistemas nuestras necesidades? de eficiencia: muestra la proporción entre medios y resultados Métricas para la Seguridad de la Información De gestión: en qué medida se cubren todos los componentes del sistema y cuán a menudo se revisan Técnicas: en los componentes técnicos hay múltiples aspectos de rendimiento que son relativamente fáciles de medir Del Entorno Físico: un sistema existe en un entorno real Del Personal: las personas especifican, construyen,…y usan los sistemas

22 Noviembre MétricaSupuesta MediciónPeligros Número de virus o códigos malignos detectados (T) Eficacia de los controles antivirus automáticos ¿Por qué pasan tantos virus en primer lugar?¿Cuántos pasaron y nunca se detectaron? Número de incidentes e investigaciones de seguridad (T) Nivel de actividad de la monitorización de eventos de seguridad ¿Qué umbral desencadena un incidente o una investigación?¿Se desencadenan incidentes por defectos en el procedimientos organizativos? Coste de las brechas de seguridad (T) Pérdidas económicas reales debidas a fallos de seguridad ¿Qué riesgos residuales eligió asumir la empresa?¿Es una medida de la respuesta ante crisis o desastres, pero no necesariamente función de las salvaguardas sensatas implantadas? Recursos asignados a las funciones de seguridad (T/P) Coste económico real de utilizar un programa de seguridad ¿Son ineficientes las herramientas, tareas asignadas o procedimientos, llevando al personal a perder tiempo? Cumplimiento de las reglas de seguridad (T/E) Nivel de cumplimiento de los objetivos del programa de seguridad ¿Cómo se relaciona el cumplimiento con la eficacia? ¿Cuál es el orden de cumplimiento? Una vez logrado el cumplimiento, ¿se acaba el programa de seguridad? Ej. Métricas Técnicas de Seguridad Tradicionales VI.-Medidas, Métricas y Auditorías (III)

23 Noviembre VI.-Medidas, Métricas y Auditorías (IV) Indicadores Abstrayéndose de los detalles, son capaces de transmitir el estado general de salud del objeto. Los indicadores suelen agruparse para su presentación en cuadros, denominados "de mando" que típicamente resumen la salud de la organización desde cuatro puntos de vista: Salud financiera: gasto y capacidad Percepción de los clientes y proveedores Capacidad para una reacción rápida y efectiva Capital humano: estabilidad, compromiso y capacidad

24 Noviembre VI.-Medidas, Métricas y Auditorías (V) Auditoría de Seguridad de las TI desde la Perspectiva de la Normalización Definición de Auditoría (ISACA). Factores Críticos a considerar: Distancia entre las políticas y directrices de alto Las limitaciones de recursos técnicos y humanos Legislación relacionada con las TI varía dependiendo del país Planificación de la auditoría de la seguridad, teniendo en cuenta: Objetivo: emitir una opinión o dictamen Alcance: sistemas, infraestructura, información… Etapas normales de cualquier auditoría de TI: Análisis y evaluación de riesgos Identificación de políticas Procesos y procedimientos de control

25 Noviembre VII.-Modelo de Madurez de la Seguridad de un Sistema Informático (I) ModeloDescripciónComentarios Modelo de Madurez de Seguridad TI de NIST CSEAT Cinco niveles de Madurez progresiva: 1. Política 2. Procedimiento 3. Implantación 4. Prueba 5. Integración Centrado en niveles de documentación Modelo de Evaluación de la Seguridad de la Información de Citigroup (CITI- ISEM) Cinco niveles de Madurez progresiva: 1. Autocomplacencia 2. Reconocimiento 3. Integración 4. Prácticas Comunes 5. Mejora Continua Centrado en concienciación y adaptación por parte de la organización Modelo de Madurez COBIT® Cinco niveles de Madurez progresiva: 1. Inicial/ad hoc 2. Repetible pero intuitivo 3. Proceso definido 4. Gestionado y medible 5. Optimizado Centrado en procedimientos específicos de auditoría Modelos de Madurez de la Seguridad Publicados Por alguna razón, cada uno ellos, tienen cinco niveles de madurez:

26 Noviembre Modelo SSE-CMM Cinco niveles de Madurez progresiva: 1. Realizado informalmente 2. Planificado y perseguido 3. Bien definido 4. Controlado cuantitativamente 5. Continuamente mejorado Centrado en Ingeniería de Seguridad y diseño de software Evaluación de la Capacidad de la Seguridad de CERT/CSO Cinco niveles de Madurez progresiva: 1. Existente 2. Repetible 3. Persona designada 4. Documentado 5. Revisado y actualizado Centrado en la medición de la calidad relativa a niveles de documentación Modelos de Madurez de la Seguridad Publicados (II) VII.-Modelo de Madurez de la Seguridad de un Sistema Informático (II) Estos modelos previos al SMMIS, sufren tres deficiencias clave: Confunden calidad con existencia Necesitan ser adaptados específicamente a la organización No dirigen necesariamente el programa hacia un objetivo organizacional concreto, por lo que no funcionan bien para un programa de seguridad

27 Noviembre Controles Modelo de Madurez de la Seguridad de un Sist. Informático VII.-Modelo de Madurez de la Seguridad de un Sistema Informático (III) 5.- Política de Seguridad TI, IT Security Policy Obj.Control 1, Controles Organización de la Seguridad de la Información, Obj.Control 2, Controles 11 Organizing Information Security 7.- Clasificación y Control de Activos, Obj.Control 2, Controles 5 Asset Classification and Control 8.- Seguridad Relativa al Personal, Obj.Control 3, Controles 10 Human Resources Security 9.- Seguridad Física y del Entorno, Obj.Control 2, Controles 13 Physical and Environmental Security 10.- Control de Accesos, Access Control Obj.Control 10, Controles Desarrollo y Mantenimiento de Sistemas, Obj.Control 7, Controles 27 Information Systems Development and Maintenance 12.- Gestión de comunicaciones y operaciones, Obj.Control 6, Controles 18 Communications and Operations Management 13.- Gestión de Incidentes de la Seguridad de la Inforamción, Obj.Control 2, Controles 5 Information Security Incident Management 14.- Gestión de Continuidad de Negocio, Obj.Control 1, Controles 5 Business Continuity Management 15.- Conformidad, Compliance Obj.Control 3, Controles 10

28 Noviembre Métricas Modelo de Madurez de la Seguridad de un Sist. Informático VII.-Modelo de Madurez de la Seguridad de un Sistema Informático (IV)

29 Noviembre VII.-Modelo de Madurez de la Seguridad de un Sistema Informático (V) Ejemplo:.\smmis_presentación.xls.\smmis_presentación.xls Implementación del Modelo :

30 Noviembre VII.-Modelo de Madurez de la Seguridad de un Sistema Informático (VI) Aportaciones del Modelo de Madurez de la Seguridad de un Sistema Informático : Separar 138 controles en 5 niveles dependiendo de la propia definición de la ISO 27002, antigua ISO Encajar las descripciones del Modelo ISO 21827:2002, antiguo SSE-CMM, con las definiciones de controles de la ISO Proponer perfiles de empresa dependiendo de factores como: nº de empleados, ámbito de la empresa, etc. La propia evaluación del modelo nos indicará: Nivel alcanzado por la empresa Puntos fuertes –sobrepasan el nivel de acreditación entregado – Puntos débiles – aquellos por los que no se entrega un nivel de acreditación mayor -.

31 Noviembre VIII.-Conclusiones -Evaluar sistemas de seguridad, respecto a estándares reconocidos, y obtener el nivel de madurez del evaluado -Modelo de Madurez de la Seguridad de un Sistema Informático. Explícito, sencillo y fácil de interpretar. -Versatilidad en su aplicación. Objetivo de madurez respecto al perfil de la empresa o con ánimo de mejora continua. -Necesidad de personas independientes especializadas en el área de seguridad TI Ventajas del Modelo Inconvenientes del Modelo

32 Noviembre IX.-Líneas Futuras 1.-Identificar perfiles de compañías para los distintos niveles 2.-Mayor aproximación al Modelo SSE-CMM Ej Regulation of cryptographic controls 3.-Integración de nuestro Método con los nuevos estándares ITIL & CobIT 4.-Modelo de Gestión 27000: Modelo de Gestión de la Seguridad de la Información

33 Noviembre Gracias por su atención… ¿Preguntas?


Descargar ppt "Gestión de la Calidad de la Seguridad de un Sistema Informático Modelo de Madurez de la Seguridad de un Sistema Informático Autor: Roberto José Fernández."

Presentaciones similares


Anuncios Google