SEGURIDAD DE INFORMACIÓN” IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBRP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) “www.eficienciagerencial.com”
¿Su base de datos está protegida de manos criminales? ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está protegida de manos criminales? ¿Su empresa tiene un plan para continuar operando después de un desastre? ¿Se tiene una política formal y se han adoptado controles adecuados para protección contra los riesgos del uso de telecomunicaciones móviles? ¿Se tienen procedimientos y controles para protección de software maliciosos? ¿Los activos de su empresa han sido inventariados y tasados? 2
Dirección de Administración Oficina de Relaciones Laborales El personal de la Universidad Católica ha recibido el día de hoy un mail indicando actualizar sus datos a una página web del banco BBVA Banco Continental, la cual es falsa. Informamos que si bien el banco suele enviar correos siempre es a titulo personal y por temas puntuales y con la siguiente dirección: hhassinger@continental.grupobbva.com Si usted ha recibido esta comunicación no ingrese ningún dato, y si lo ha hecho deberá comunicarse a la brevedad a los teléfonos 261 0447, 461 9760, fax 460 0544, teléfonos internos de la PUCP anexos 3046, 3040. Atentamente Dirección de Administración Oficina de Relaciones Laborales 5
Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 billones de dólares por ataques computarizados en 1998 –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3
(Cielorojo/computación 19/01/04). El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela afirman que en el año 1997 las pérdidas por concepto de clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados, skimming de tarjetas. (Cielorojo/computación 19/01/04). 4
¿Qué tan VULNERABLE es la información en su organización? La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. ¿Qué tan VULNERABLE es la información en su organización? 5
El nuevo estándar internacional, el ISO 27001:2005, está orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información en las empresas, de amenazas externas o internas. Grupo de trabajo de la industria se establece en 1993 HISTORIA DEL ESTÁNDAR BS 7799 E ISO 17799 Código de práctica - 1993 British standard - 1995 BS 7799 parte 2 - 1998 BS 7799 parte 1 - 1998 BS 7799 parte 1 y parte 2 revisada en 1999 BS / ISO / IEC – 17799 - 2000 6
Código de práctica de seguridad en la gestión de la ISO / IEC 17799 : 2005 Código de práctica de seguridad en la gestión de la información – Basado en BS 7799 – 1 : 2000. .Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación 7
“La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8
La seguridad de información se caracteriza por la preservación de: Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los “backups”. Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9
NATURALEZA Y DINÁMICA DEL SEGURIDAD DE INFORMACIÓN ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN 10
PLAN PARTES PARTES INTERESADAS INTERESADAS Desarrollar, mantener REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PLAN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 Desarrollar, mantener y mejorar el ciclo MANTENER Y MEJORAR EL SGSI 4.2.4 DO ACT MONITOREAR Y REVISAR EL SGSI 4.2.3 CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 11
ACTIVIDADES ORGANIZACIONALES CLÁUSULAS ACTIVIDADES ORGANIZACIONALES Establecer el SGSI (Sección 4.2.1) Definir el alcance del SGSI Definir un sistemático enfoque para evaluación del riesgo Identificar el riesgo Evaluar el riesgo Definir política SGSI Identificar y evaluar opciones para el tratamien-to del riesgo Seleccionar objetivos de control y controles Preparar un enunciado de aplicabilidad Obtener aprobación de la gerencia 12
ACTIVIDADES ORGANIZACIONALES CLÁUSULAS ACTIVIDADES ORGANIZACIONALES Implementar y operar el SGSI (Sección 4.2.2) Formular un plan para tratamiento del riesgo Implementar el plan de tratamiento del riesgo Implementar todos los objetivos de control y controles seleccionados Implementar programa de entrenamiento y toma de conciencia Gestionar operaciones Gestionar recursos 13
ACTIVIDADES ORGANIZACIONALES CLÁUSULAS ACTIVIDADES ORGANIZACIONALES Monitorear y revisar el SGSI (Sección 4.2.3) Ejecutar procedimientos de monitoreo Efectuar revisiones regulares de la eficacia del SGSI Revisar el nivel del riesgo residual y del riesgo aceptable Conducir las auditorias internas del SGSI Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Mantener y mejorar el SGSI (Sección 4.2.4) Implementar las mejoras identificadas Tomar apropiadas acciones correctivas y preventivas Comunicar los resultados a todas las partes interesadas Asegurar que las mejoras alcancen los objetivos deseados 14
requerimientos del modelo (1) Entendimiento de los requerimientos del modelo (1) Determinación del Alcance del modelo (2) Análisis y evaluación del riesgo (3) Elaboración Plan de Gestión de Continuidad Comercial (4) Implementar y operar el SGSI (5) Monitorear y revisar (6) Mantener y mejorar (7) Desarrollo de competencias organizacionales (8) Redacción del Manual de Seguridad de Información (9) Ejecución de Auditorias Internas (10) Obtención de la Certificación Internacional (11) 15
Taller estratégico con la gerencia para analizar requerimientos del PASO I Taller estratégico con la gerencia para analizar requerimientos del modelo ISO 27001:2005 Definir alcance del modelo Entendimiento de los requerimientos del modelo Informe a la gerencia PASO II Diseño del Alcance “Método de las elipses” Determinación del alcance PASO III Evaluación del riesgo Efectuar un análisis y evaluación del riesgo Análisis y evaluación del riesgo Política de seguridad Amenazas, Vulnerabilidades Impactos Definir la política de seguridad 16
Seleccionar controles y Plan de continuidad comercial documentado PASO IV Plan de continuidad comercial del negocio Plan de control del negocio Identificar opciones Análisis y evaluación del riesgo Evaluar las opciones para el tratamiento del riesgo Enfoque de la gerencia para tratar el riesgo Tabla de controles Seleccionar controles y objetivos de control a implantar Utilización de Anexo A de la norma Enunciado de aplicabilidad Elaborar un enunciado de aplicabilidad Controles seleccionados 17
Tratamiento del Riesgo Implementar y operar el SGSI Plan de Tratamiento del riesgo PASO V Elaborar Plan de Tratamiento del Riesgo Implementar y operar el SGSI Mediciones documentadas Opciones de Tratamiento del riesgo Determinar la efectividad de los controles Controles Acción correctiva Mediciones del SGSI PASO VI Monitorear y revisar el SGSI Funcionamiento del SGSI 18
Mantener y mejorar el SGSI Comunicar resultados PASO VII Mantenimiento del SGSI Mantener y mejorar el SGSI Implementar mejoras PASO VIII Entrenamiento en documentación de procedimientos, instrucciones de trabajo Desarrollar competencias organizacionales Procedimiento para manejo de la acción correctiva Taller estratégico para manejo de la acción correctiva y preventiva 19
Desarrollar competencias organizacionales Procedimiento de auditoria PASO VIII Desarrollar competencias organizacionales Procedimiento de auditoria interna documentado Taller estratégico para manejo de auditoria interna PASO IX Manual de Seguridad de Información Elaboración del manual de seguridad de información Redacción del Manual de Seguridad de Información 20
Efectuar Certificación Informe de la auditoria interna PASO X Efectuar auditoria interna Auditarse internamente Entrega de informe PASO XI Auditoria de empresa certificadora Auditoria de certificadora Entrega del certificado PASO XII Efectuar Certificación Tomar Acciones Correctivas 21
CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES 22
El punto de partida consiste en identificar el alcance del modelo detallando todas sus interfases. Una vez determinado el alcance del modelo en la empresa, se debe proceder a identificar los distintos activos de información, los cuales se convierten en el eje principal del modelo. 23
Al grupo multidisciplinario, se le denominó comité gestor. En el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. Se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Al grupo multidisciplinario, se le denominó comité gestor. 24
A los activos de información se les debe efectuar un análisis y evaluación del riesgo, e identificar las opciones para el tratamiento del riesgo: reducción, evitar, transferencia, aceptar. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”. 25
Activos de información (datos, manuales, usuarios, etc.) Los activos de información son clasificados por el ISO 17799:2005 en las siguientes categorías: Activos de información (datos, manuales, usuarios, etc.) Documentos de papel (contratos) Activos de software (aplicación, software de sistemas, etc.) Activos físicos (computadoras, medios magnéticos, etc.) Personal (clientes, personal) Imagen de la compañía y reputación Servicios (comunicaciones, etc.) 26
Al establecer el alcance, en la organización financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información y todas sus interfases. 27
AHORROS CAPTACIONES UIF BCR SBS Org. Ext. (pj) INDECOPI RENIEC Clientes Bco. AFP’s Adm. de Cred. Age. Org. Des. Ahorros Tesorería Defen. Cli. Aud. Int. Contab. Sistemas Logística Créditos Seguridad Ases. Leg. URI/OC Registro de Clientes Apertura de Cuentas Operaciones Cancela- ciones Recepción/ Emisión de Información Atenc. Y Cons. Inscripción Actualización Definición Pro. Requisitos Condiciones Recepción S/ $ Genera Cta. Depósitos Retiros Transferencias OT Bloq. Y Desbloq. OP (Entrega y recep) Renovaciones Serv. Cobranzas Externos Habilitaciones Recepción Doc. Autrización Entrega Efectivo Registro FSD (ctas. > 10 años) Consultas Reclamos Emisión de Ext. Emisión de Cartas Lavado de Activos Anexos SBS
TASACIÓN DE ACTIVOS DE INFORMACIÓN ACTIVOS DE INFORMACIÓN CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL - Software periplo 2 5 4 - BD (Aho-peripl) - Equipo de cómputo 1 - Línea dedicada 3 - Internet - Servidor de archivos - Servidor de BD - Copias de respaldo - Switchers - Router’s - Modem - Líneas telefónicas - Central telefónica - Disco duro y grab. (vid) - Cámaras - Teléfonos
DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS ACTIVOS DE INFORMACIÓN PROPIETARIOS 1. BDD (Aho-Periplo) SISTEMAS 2. SERVIDOR BDD 3. JEFE/ASISTENTE DE AHORROS AHORROS 4. SOFTWARE CLIENTES 5. CLAVES 6. SERVIDOR DE ARCHIVOS 7. COPIAS DE RESPALDO 8. DISCO DURO Y GRAB. (Videos) SEGURIDAD INTEGRAL 9. FILE DE CLIENTES 10. FORMATOS 11. VOUCHER’S ADM. DE CRÉDITOS 12. FORMATO DE LAVADO ACTIVOS
ANÁLISIS Y EVALUACIÓN DEL RIESGO ACTIVOS DE INFORMA- CIÓN AMENAZAS POSIBI- LIDAD OCU- RRENCIA VULNERA- BILIDADES POSIBILI- DAD QUE AMENAZA PENETRE VULNERA- BILIDAD VALOR DE ACTIVOS RIESGOS POSIBI- LIDAD DE OCU- RRENCIA DE AME- NAZA TOTAL CRITI- CIDAD OBJETIVOS DE CONTROL CONTRO- LES INDICADOR EFECTIVIDAD CONTROLES RIESGO RESIDUAL 1. BCD DE AHO-CLI - Virus - Daño físi- co en el DD 3 5 - Falta de antivirus - Falla técni- ca 3 4 5 4 20 C A.3.1 Promocionar dirección gerencial y apoyo a la S.I. A.7.2 Seguridad del equipo: evitar la pérdida, daño o compromiso de los activos y la interrupción de las ac- tividades comerciales. A.8.3 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.8.4 Mantener la integridad y disponibilidad de los ser- vicios de procesamiento de información y comunica- ciones. A.3.1.1 A.3.1.2 A.7.2.4 A.8.3.1 A.8.4.1 A.8.4.3 Nº veces/interrupción Nº veces/eventos de seguridad Nº veces/incidentes 2. Serv. de BDD - Daño físi- co en las partes - Virus 3 - Falla técni- ca - Software desactuali- zado 4 3 5 4 20 C A.8.3 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.8.3.1 Nº veces/ intentos hacking Nº veces/software dañado 3. Vitales Aho-cli - Errores de programa- ción/valida- ción/prueba 3 - Mala progra mación - Mala valida- ción y prue- bas 3 4 4 4 16 C A.8.2 Minimizar el riesgo de fallas en los sistemas. A.10.1 Asegurar que se in- corpore seguridad en los sistemas de información. A.10.2 Evitar la pérdida, mo- dificación o mal uso de la data del usuario en los sis- temas de información. A.10.4 Asegurar que los pro yectos T.I. y las actividades de apoyo se reducen de manera segura. A.8.2.1 A.8.2.2 A.10.1.1 A.10.2.1 A.10.2.2 A.10.2.3 A.10.4.1 A.10.4.3 Nº veces/ fallas en sistemas Nº veces/pérdida datos usuario
PLAN PARTES PARTES INTERESADAS INTERESADAS Desarrollar, mantener REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PLAN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 Desarrollar, mantener y mejorar el ciclo MANTENER Y MEJORAR EL SGSI 4.2.4 DO ACT MONITOREAR Y REVISAR EL SGSI 4.2.3 CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 32
requerimientos del modelo (1) Entendimiento de los requerimientos del modelo (1) Determinación del Alcance del modelo (2) Análisis y evaluación del riesgo (3) Elaboración Plan de Gestión de Continuidad Comercial (4) Implementar y operar el SGSI (5) Monitorear y revisar (6) Mantener y mejorar (7) Desarrollo de competencias organizacionales (8) Redacción del Manual de Seguridad de Información (9) Ejecución de Auditorias Internas (10) Obtención de la Certificación Internacional (11) 33
Permite a la Organización Financiera alinearse con las exigencias de BASILEA II en relación al riesgo patrimonial Desarrolla un sistema para mitigar el riesgo operativo con indicadores de eficacia del desempeño de los controles, facilitando la labor del gobierno corporativo. Alto impacto económico al reducir sustancialmente el riesgo operativo en la organización. Permite a la empresa tener un sistema que le asegure continuidad en su funcionamiento. 34
SEGURIDAD DE INFORMACIÓN” IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) www.eficienciagerencial.com