Diego Andrés Zuluaga Urrea Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P. Diego Andrés Zuluaga Urrea Junio de 2005

AGENDA Tecnología Procedimientos Trabajadores Contexto Consideraciones En Isagen Modelo de Seguridad en Información Tecnología Procedimientos Trabajadores

HACKERS: ¿REALIDAD O FICCION?

Algunas Cifras (CSI/FBI 2002) 90% de encuestados detectó violaciones a sus sistemas de seguridad 80 % identificaron pérdidas financieras 44 % pudieron cuantificarlas, US$ 455´848.000 Robo de Información propietaria, US$ 170´827,000 Fraude Financiero US$ 115´753,000 74 % detectaron accesos a sus sistemas de información desde sitios externos

Algunas Cifras (CSI 2001) Las Organizaciones que quieran sobrevivir en los años siguientes, necesitan desarrollar un enfoque consistente en la seguridad de información que incluya las dimensiones técnicas y humanas. CSI, Computer Crime & Security Survey 2001

CONSIDERACIONES EN ISAGEN

FLUJO DE INFORMACIÓN

SOPORTE AL FLUJO DE INFORMACIÓN PDI Link Down for 172.40.3.1 Two Weeks 172.40.2.2 192.168.7.1 Poor Administration Lincoln Mercury pstn and Physical Use of Industry Deale rship Security of Servers 192.168.6.1 Standard Equipment ILUSTRATIVO T1 172.40.2.1 3 Com Switch 1000 192.168.5. Inconsistent Use of 172.40.1.1 172.40.1.253 1 S1 192.168.6.2 Legal and Reserved Existing Cisco 172.40.1.126 IP Addresses ISDN Dial-on- Demand 192.168.4.1 Ch 23&24 192.168.4.2 Ch 1&2 D1 D2 D1 D1 D2 D1 128Kbps T1 128Kbps T1 NI NI NI NI TI TI TI TI 9200 Creative Use of Existing Bandwidth 600 Serramonte 700 Serramonte 1500 Collins

PAPEL TRANSFORMADOR DE LA TÉCNOLOGÍA Tiempo Valor DP MIS IT 60’s 70’s 80’s 90’s 2000 Habilitador Transformación Organización Integrador de Procesos Procesamiento de Transacciones Procesamiento de Datos Alineamiento Estratégico Metas y Objetivos Empresariales

El valor de la información…………. Analizar y responder: Negocio Mercado Grupos de Interés Por qué? Para qué? Cómo? Potenciar: Toma de decisiones Productividad Integración y relaciones Activos intangibles Información Valor de la anticipación

Estrategia de Información Gestionar la información como un activo de la Empresa para que los Grupos de Interés tomen decisiones más informadas, con mayor velocidad y con una sola versión de la información, desde cualquier lugar y en cualquier momento.

TRANSFORMACIÓN DEL E-BUSINESS Maduración del E-Business HIGH eBusiness eGovernance Relaciones 1:1 eBusiness Maturity Transacciones por Web Servicio al cliente en Web Presencia en Web Integración Interna Integración con la cadena de valor Comunidad de negocios Riesgo LOW HIGH Change to Business Model

ACTIVO DE INFORMACION

RIESGOS Posibles críticas del clientes debido a controles inadecuados en la privacidad Pérdida de negocios debido a interrupción del servicio Modelo de Negocio Robo de información propietaria debido a accesos no autorizados Daño a la reputación debido a compromisos en la integridad de los datos Pérdidas Financieras por fraudes

Amenazas Sofisticación de las Herramientas Falsificación de paquetes Alto Diagnóstico no detectable Back Doors Sweepers Sofisticación de las Herramientas Sniffers Explotando Vulnerabilidades Conocidas Hijacking de Sesiones Deshabilitando Auditoría Autoreplicación de Código Conocimiento Técnico Requerido Cracking de Passwords Password Guessing Bajo 1980 1990 2000

EL MODELO DE SEGURIDAD EN INFORMACIÓN

DESARROLLO A ESCALA HUMANA COMPETENCIAS - IPP -Valores - Clima Organizacional - Trabajo en equipo Pentágono humano DESARROLLO A ESCALA HUMANA MODELO DE PRODUCTIVIDAD APRENDIZAJE - Conocimientos - Comportamientos CAPACIDADES EMPRESARIALES TRABAJADOR TRABAJO COMPETITIVIDAD PRODUCTIVIDAD - Modelo de productividad - Conexión estrategia - proceso DESARROLLO PROFESIONAL - Compensación - Desempeño Conocimientos Planes de carrera AMBIENTE DE TRABAJO - Calidad - Procesos - Normatividad - Información Decisiones SISTEMA DEL TRABAJO

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD ACTIVOS DE INFORMACION CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TRABAJADORES PROCEDIMIENTOS TECNOLOGÍA CRITERIOS EMPRESARIALES - ISO 17799 MODELO DE SEGURIDAD EN INFORMACIÓN

SEGURIDAD EN INFORMACIÓN: MODELO DE SEGURIDAD EN INFORMACIÓN SEGURIDAD EN INFORMACIÓN: Preservación de la confidencialidad, integridad y disponibilidad de la información.

MODELO DE SEGURIDAD EN INFORMACIÓN DISPONIBILIDAD: Asegurar que los usuarios autorizados tengan acceso a la información y sus recursos asociados cuando se requiera CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para quienes están autorizados. INTEGRIDAD:Salvaguardar la exactitud y completitud de la información y sus métodos de procesamiento.

EL PLAN DE ACCIÓN

DESARROLLO DE LA SEGURIDAD EN INFORMACIÓN MODELO DE SEGURIDAD EN INFORMACIÓN DOCUMENTOS PARA LA GESTIÓN DE SEGURIDAD HERRAMIENTAS TECNOLOGICAS APLICACIÓN DEL MODELO DESARROLLO DE HABITOS DE SEGURIDAD MEJORAMIENTO CONTINUO ANÁLISIS DE NECESIDADES DE SEGURIDAD DESPLIEGUE INSTRUMENTACIÓN DESTREZAS Modelo De Seguridad Maduro IDENTIFICACIÓN 2003-2004 2001-2002 2002-2003 2004 >>>

RESULTADOS DEL DIAGNÓSTICO Análisis del Modelo de SI

LOS RESULTADOS

CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN DE INFORMACIÓN A ACTIVO DE INFORMACIÓN Se establece explícitamente la necesidad de administrar la información como un activo dentro de la estrategia empresarial y se fijan metas a cinco años para lograrlo. ACTIVOS DE INFORMACIÓN

CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN ACTIVOS DE INFORMACIÓN

MODELO DE SEGURIDAD EN INFORMACIÓN DIRECTRICES Se han establecido de directrices en el tema de seguridad en información, de acuerdo con la política de Información y el estándar ISO 17799 PROCEDIMIENTOS Se han establecido procedimientos generales y específicos para garantizar el mantenimiento y flujo de la información en forma segura. ESTANDARES Se han establecido estándares para la configuración de los ambientes que soportan el flujo de información en ISAGEN.

de Redes y Computadores PROCEDIMIENTOS Seguridad Física Mantenimiento y desarrollo de sistemas Organización de seguridad Plan de Continuidad del negocio Clasificación control de activos ISO 17799 AREAS DE DESARROLLO Cumplimiento de políticas y normatividad legal Seguridad con personal Sistemas de Control de Acceso Administración de Redes y Computadores

MODELO DE SEGURIDAD EN INFORMACIÓN INCORPORACION TECNOLOGICA Se implantan elementos de seguridad en cada una de las incorporaciones de tecnología realizadas. Se hacen nuevas incorporaciones de herramientas que facilitan o mejoran la seguridad en la gestión de la Información. CONFIGURACIONES DE SEGURIDAD Se realizan configuraciones adicionales de seguridad a la tecnología que soporta la información.

Arquitectura de Seguridad Monitoreo continuo Gestión segura Directorios encriptados Correo seguro Navegación controlada Autenticación fuerte Entidad certificadora Autenticación centralizada Hardening de dispositivos Filtros de acceso de nivel 3, 4, 5 Filtrado de acceso por direcciones MAC VLANs para procesos críticos

Modelo OSI Aplicación: Se utilizarán Aplicaciones que envíen datos encriptados a través de la red; Se emplearán mecanismos de autenticación centralizados para las aplicaciones; Se utilizarán sistemas de control de acceso con contraseñas de una sola vez para las autorizaciones de SAP por parte de los directivos y para el acceso vía RAS a la compañía; Se firmaran y encriptarán los correos electrónicos que se empleen dentro de la organización; Se mantendrán directorio encriptados para los portátiles e información sensible para la compañía. Se verifica la seguridad con herramientas de escaneo automático de vulnerabilidades Presentación: Al nivel de presentación se utilizan todos los mecanismos estándar de presentación como el ASCII, GIF, JPEG, los cuales podrán ser analizados con firmas detectadas en los IDS. Sesión: se utilizarán banderas de estado que permitan identificar las sesiones establecidas y su origen, para autorizar el establecimiento de las mismas Transporte: Se cerrarán todos los puertos que no sean necesarios para el correcto desempeño de la red de la organización, para ello, se usaran listas de control de acceso. Red: se utilizarán sólo protocolos de enrutamiento que provean seguridad adicional como EIGRP. Se verifica el trafico de red con filtros de dirección origen y destino y Sistemas de Detección de Intrusos Enlace: se establecerán las direcciones MAC Autorizadas para conectarse a la red. Físico: Los puntos de red que no estén siendo empleados por personal de la organización se mantienen deshabilitados en todo momento. Cuando sean requeridos, debe habilitarse previa verificación y autorización, se realiza segmentación del trafico a través de .VLANs para procesos críticos de gestión

Filtro Especifico de VLAN y Servidores Firewall Internet - RAS Filtro Generico Filtro Especifico de VLAN y Servidores FIltro Zona Desmilitarizada -DMZ Autenticación SERVICIO AUTORIZADO Hardening de dispositivos MONITOREO CONTINUO: IDS

MODELO DE SEGURIDAD EN INFORMACIÓN ORGANIZACIÓN PARA LA SEGURIDAD Se establece una organización que facilita el desarrollo de la seguridad en Información. Se habilitará a los responsables de la seguridad en información. COMPROMISO CON LA SEGURIDAD: Se mejoran los hábitos de seguridad de acuerdo con las necesidades empresariales.

MODELO DE SEGURIDAD EN INFORMACIÓN Propietario de la Información Custodio de Control Compromiso con la Seguridad Funciones Cotidianas

DESARROLLO DE HÁBITOS DE SEGURIDAD      ANTECEDENTES PROYECTO DESARROLLO DE HÁBITOS DE SEGURIDAD Artificios Comportamientos Normas Valores Creencias

El manejo de Involucrados se refiere a: ¿Necesitamos acompañamiento? La dinámica de la resistencia Energía de la resistencias Tiempo Inmovilización Enojo Negación Entendimiento Cuestionamiento Aceptación Compromiso El manejo de Involucrados se refiere a: Administrar la curva emocional -

DESARROLLO DE HÁBITOS DE SEGURIDAD PROYECTO      METODOLOGÍA DESARROLLO DE HÁBITOS DE SEGURIDAD 1. Diagnóstico y diseño del plan de cambio 2. Ejecución del plan de cambio 2.1 Patrocinio Identificar mecanismos de medición del impacto del cambio Realizar el mapa de roles Identificar los roles y responsabilidades del grupo (patrocinadores y tutores de apoyo logístico) Establecer el programa de trabajo Aplicar y analizar los mecanismos definidos 2.2 Sensibilización Facilitar la creación y apropiación de la cultura de seguridad Divulgar y facilitar el entendimiento del modelo de seguridad de información Aplicar un plan asertivo de administración de cambio 2.3 Comunicación Identificar públicos Definir objetivos Analizar y definir medios Elaborar plan comunicaciones Desarrollar mensajes Retroalimentar 3. Monitoreo y seguimiento del cambio Conformar equipos Monitorear avances Identificar riesgos e impactos Definir nuevas acciones Implantar acciones complementarias

Manifestación de Cultura Formadores de Cultura PLAN DE CAMBIO Arraigo en la Cultura Manifestación de Cultura Acciones de los líderes Medidas de desempeño Prácticas de la gente Impactos de la Cultura Valores Símbolos Creencias Normas Resultados Comportamientos Decisiones Desempeño del negocio

PLAN DE CAMBIO Articulación con Sistema de Administración del Desempeño SISTEMA DE ADMINISTRACIÓN DEL DESEMPEÑO Conocimientos Comportamientos Seguridad de la información Descriptores de K Descriptores de Cto.

Estrategia de comunicación y sensibilización PLAN DE CAMBIO Estrategia de comunicación y sensibilización COMUNIDAD COMUNICACIÓN Y SENSIBILIZACIÓN Trabajadores Medellín, Centrales, Regionales Reconocer incidentes. Divulgar procedimientos para reporte de incidentes de seguridad. Comunicar incidentes a las personas responsables en Seguridad. Comunicar las consecuencias por incumplimiento de la política de SI. Comunicar la importancia de la protección de información sensible en documentos a la vista.   Divulgar el documento sobre el Uso de Recursos Informáticos. Recordar que las actividades de los trabajadores en sus equipos pueden ser monitoreadas.  Sensibilizar sobre Ingeniería Social: cómo detectar y frustrar ataques. Trabajadores nuevos Incluir en la inducción de la compañía información sobre el tema de Seguridad (modelo y proyecto de SI) Equipo de Auditoria Informar incidentes de seguridad. Personal con equipos portátiles Informar sobre las medidas de seguridad que conciernen a ese tipo de equipos.

PLAN DE CAMBIO Ruta de Aprendizaje Competencia inconciente Competencia conciente Incompetencia conciente C1 C2 C3 C4 C5 C6 C7 Cn Incompetencia Inconciente Desarrollo C1 C2 C3 C4 C5 C6 Cn C1 C2 C3 C4 C5 Cn C1 C2 C3 C4 Cn Tiempo C= Comportamientos

RESULTADOS DEL DIAGNÓSTICO Análisis del Modelo de SI

EL FUTURO

Ciclo de Control de Riesgos identificación Evaluación de Riesgos Control

Monitoreo Centralizado

GRACIAS Especialmente a ISAGEN por permitir compartir su modelo y a DinamicSoft y KPMG por permitir incluir algunas diapositivas en esta presentación para la V Jornada Nacional de Seguridad Informática. Las opiniones presentadas en ésta presentación son responsabilidad del autor y no expresan necesariamente las opiniones de ISAGEN.

Preguntas y Comentarios