ACI – 425 SEGURIDAD INFORMÁTICA Unidad 2: Gestión de la continuidad del negocio

Objetivos Conocer los estándares internacionales de gestión en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.

Contenidos Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto. Planificación y planeación de contingencia. Recuperación de desastres. Business Continuity Management (BCM): definición, y relación con otros modelos de control interno. Estándares internacionales. NIST y DRI. HB 221:2004 Business Continuity Management. Tipos de planes.

Evolución, Enfoque y Lenguaje de Continuidad +20 años Respaldo & Recuperación Software de Mainframe BCM 10-20 Años Recuperación Infraestructura de TI BCP BRP DRP B&R 73% 5-10 Años Recuperación Procesos del Negocio y Capital Humano Últimos 5 Años Continuidad Procesos Críticos del Negocio 13% < 5%

Estándares de TI ITIL COBIT COBIT OBJETIVOS DEL NEGOCIO INFORMACION RECURSOS DE TI • EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO LEGAL CONFIABILIDAD PLANEACION Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION ENTREGA Y SOPORTE DATOS APLICATIVOS TECNOLOGIA FACILIDADES PERSONAS ITIL COBIT

Estándares de Continuidad www.drii.org www.thebci.org

NIST National Institute of Standards and Technology Computer Security Division Computer Security Resource Center: http://csrc.nist.gov/ El National Institute of Standards and Technology (NIST) es un organismo de Estados Unidos que se ocupa del control y administración de normas y estándares en ciencia y tecnología.

DRI Disaster Recovery Institute International Disaster Recovery Institute Canada

Business Continuity Institute http://www.thebci.org/

HB 221:2004 Normativa australiana referenciada en Handbook Business Continuity Management (BCM) Define que entiende por manejo de la continuidad del negocio y bosqueja su evolución desde un enfoque estrecho, basado en tecnología de información hacia una herramienta de planificación que puede ayudar a la organización en su estrategia y planificación del negocio. Establece un marco de trabajo para BCM que puede ser desarrollado por cualquier tipo de organización, así como el detalle discutido de los pasos necesarios para implementar prácticamente un adecuado manejo de la continuidad del negocio. El libro de trabajo consiste de varias plantillas y suministra un proceso simple de seguir, que puede ser implementado a todos los niveles de la organización, tanto en un área especializada para desarrollo de los planes de recuperación en tecnología de información como para enlazar con el manejo de riesgos, la gerencia corporativa y el programa de BCM.

Enfoque de Continuidad- BCI “Las estrategias, planes y soluciones de continuidad deben ser apropiadas y dirigidas por la organización ” “La administración de la continuidad y el manejo de crisis son parte integral del Gobierno Corporativo” ADMINISTRACION DE CONTINUIDAD DE NEGOCIO ADMINISTRACION DE RIESGOS RECUPERACION DE DESASTRES INSTALACIONES CADENA SUMINISTRO ADMINITRACION DE LA CALIDAD OCUPACIONAL SALUD ADMINITRACION DEL CONOCIMIENTO EMERGENCIAS FISICA Y LÓGICA SEGURIDAD COMUNICACION DE CRISIS “Las implicaciones de la continuidad deben ser consideradas como parte esencial del proceso de administración del cambio en la organización” “Las actividades de administración de la continuidad deben estar enfocadas a soportar las estrategias y metas del negocio”

Tipos de Planes

Tipos de Planes (2) (según NIST) OBJETIVO ALCANCE Business Continuity Plan (BCP) Suministra procedimientos para sostener las operaciones esenciales de negocio mientras se recupera de una interrupción significante. Direcciona los procesos de negocio y la tecnología que los soporta. Business Recovery (or Resumption) Plan (BRP) Suministra procedimientos para recuperación de las operaciones de negocio inmediatamente después de un desastre. Direcciona los procesos de negocio; La TI está direccionada sólo al soporte para los procesos de negocio. Continuity Of Operations Plan (COOP) Suministra procedimientos y capacidades para sostener lo esencial de una organización, funciones estratégicas en un sitio alterno por más de 30 días. Direcciona el conjunto de operaciones de la organización definidas como mas críticas. Continuity of Support Plan / IT Contingency Plan Suministra procedimientos y capacidades para recuperar grandes aplicaciones o sistemas de soporte general. Los mismo que el plan de contingencia de TI; se centra en la interrupción de los sistemas de TI; no se centra en los procesos del negocio.

Tipos de Planes (3) (según NIST) OBJETIVO ALCANCE Crisis Communications Plan Proporciona los procedimientos para comunicarse con el personal y con el público en general. Direcciona las comunicaciones con el personal y el publico; no se centra en la TI Cyber Incident Response Plan Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes de seguridad que afectan la continuidad. Se centra sobre respuestas de seguridad de la información a incidentes que afectan los sistemas y / o las redes. Disaster Recovery Plan (DRP) Suministra procedimientos detallados para facilitar la recuperación de operaciones en un sitio alterno. A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo. Occupant Emergency Plan (OEP) Suministra procedimientos coordinados para minimizar las perdidas de vidas o daños a la propiedad en respuesta a amenazas físicas. Se centra en el personal y las instalaciones; no esta diseñada para procesos de negocio o funcionalidad de los sistemas de TI.

Fases en una Metodología de Continuidad Definición Requerimientos Func. Req. Funcionales En cualquier momento es posible devolverse a efectuar cambios en una fase previa. Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

Tendencias en BCM Como administro la información Puedo recuperar mi información en el evento de un desastre Puedo recuperar mis operaciones críticas en caso de un desastre o interrupción inesperada Siempre estoy ahí cuando mis Clientes me necesitan Los servicios de mi negocio exceden las expectativas de mis clientes Mi arquitectura de datos ofrece y entrega información cuando y como los clientes la necesitan Como administro la información es una ventaja competitiva.

Soluciones que ofrece el mercado Servidores Cluster, Fault Tolerance, etc. Redundancia en dispositivos de red (fault tolerance) y/o arquitecturas de alta disponibilidad Sitios alternos de procesamiento (hot site, cold site, entre otros) Software de replicación en Bases de Datos, Sistemas Operativos, Aplicaciones Arquitecturas de almacenamiento (Robots, SAN, NAS, CAS) Procesos de administración de la continuidad basado en estándares tales como ITIL, COBIT, NIST entre otros

A manera de conclusiones … La Administración de la Continuidad, además de ser un acto de responsabilidad con los accionistas, la economía y la sociedad, es un requerimiento de los clientes y el mercado: Las empresas cada día vez son mas dependientes de la TI (ERP, CRM, sistemas integrados). Las áreas de TI juegan un papel fundamental en la continuidad de los negocios. Administración de la continuidad no es un simple plan de contingencias vas mas allá. El personal de TI debe ser consciente de la importancia y la necesidad de capacitarse en los temas de continuidad La calidad de los servicios depende mucho de la oportunidad en la solución de los problemas o incidentes relacionados con la TI. El mercado ofrece soluciones.

Bibliografía “El papel de las áreas de TI en la Administración de la Continuidad” Juan Carlos Camargo. “Basilea II Planificación de la Continuidad del Negocio en el Sector Financiero” José I. Castro M. “El Papel de la Tecnología en la Habilitación de los Procesos de TI” Alfredo Zayas

Páginas Web http://csrc.nist.gov/ http://www.drii.org/ http://www.thebci.org/

Cuestiones legales en la Seguridad de la Información Basado en: Eric Maiwald “Fundamentos de Seguridad de Redes”, pp 93-113 Ampliado con información sobre las leyes vigentes en Chile.

Contenido Legalidad en USA y sus estados, otros países, Chile Cuestiones relacionadas con acción judicial Cuestiones civiles Privacidad

Delitos legislados en USA Abuso y fraude por computadora (18 US Code 1030) – modificado por la Ley Patriota en respuesta al 11 de septiembre. Fraude con tarjetas de crédito (18 US Code 1029). Derechos de autor (18 US Code 2319). Intercepción (18 US Code 2511). Acceso a la información electrónica (18 US Code 2701) Ley de Seguridad Nacional (Cyber Security Enhancement Act 2002)

Herramientas en la legislación chilena Ley 19.223, Delitos Informáticos Ley 17.336, Propiedad Intelectual Ley 19.628, Protección Datos Personales Ley 19.799, Firma Electrónica Ley 18.168, General de Telecomunicaciones Código Penal: Ejemplo-> Fraude con tarjetas de crédito Código de Procedimiento Penal Código Procesal Penal

Ley 19.223: Delitos informáticos (1) SABOTAJE INFORMÁTICO : Destrucción o alteración de un STI. Destrucción o daño de la información contenida en un STI. Alteración de la información contenida en un STI. Responsabilidad : Ley 19.223, Art. 1 y 3 Art. 1 : Destruya o inutilice un STI o sus partes o componentes u obstaculice o modifique su funcionamiento. Presidio menor en grado medio a máximo. Art. 3 : Altere, dañe o destruya datos contenidos en un STI. Presidio menor en grado medio.

Ley 19.223: Delitos informáticos (2) ESPIONAJE INFORMÁTICO : Intrusión ilegítima o acceso indebido. Divulgación indebida o revelación de datos. Responsabilidad : Ley 19.223, Art. 2 y 4 Art. 2 : Ánimo de apoderarse, usar o conocer indebidamente la información contenida en un STI. Intercepte, interfiera o acceda a él. Presidio menor en un grado mínimo a medio. Art. 4 : Maliciosamente revele o difunda datos contenidos en un STI. Presidio menor en grado medio. Responsable del STI, aumenta en un grado.

Ley 19.927: Pornografía infantil Producción de material pornográfico. Comercialización, importación, exportación, distribución, difusión, exhibición, adquisición o almacenamiento.

Otros delitos Propiedad Intelectual, ley 17.336. Fraudes financieros Piratería Fraudes financieros Evasión de impuestos Tráfico y venta de drogas Robo de especies (computadores) Homicidios y suicidios

Recopilación de evidencias Copias de respaldo de imágenes con evidencia Sumas de control seguras de la información para validar cambios Informática forense

Requerimientos de la regla de seguridad La norma de seguridad expone varias regulaciones generales y luego proporciona detalladas regulaciones en cinco áreas específicas: Protecciones administrativas Protecciones físicas Protecciones técnicas Requerimientos organizacionales Políticas, procedimientos y documentación de los requerimientos Información de Salud protegida (Protected Health Information PHI)

Objetivo global Asegurar que se mantenga la confidencialidad, integridad y disponibilidad de la información protegida. Alientan a la organización a utilizar un buen enfoque de administración de riesgos.

Protecciones administrativas Proceso de administración de seguridad: Análisis de riesgos regular, medidas de seguridad para administrar riesgos Responsabilidad de seguridad asignada: Individuo Seguridad del personal ó fuerza de trabajo Administración del acceso a la información Concientización y entrenamiento de la seguridad Políticas y procedimientos para abordar los incidentes de seguridad Planes de contingencia: respaldo de datos, recuperación de desastres, operación en modo de emergencia Evaluación, ante cambios en operaciones ó en el entorno Contratos de negocios asociados y otros arreglos

Protecciones físicas Controles de acceso a las instalaciones Uso de estaciones de trabajo Seguridad de las estaciones de trabajo Control de dispositivos y medios

Protecciones técnicas Control de acceso Controles de auditoría Integridad Autentificación de persona ó entidad Seguridad en las transmisiones

Requerimientos del programa de seguridad Programa de seguridad de la información Participación del consejo Evaluación del riesgo: Control de acceso a la información Restricciones de acceso físico a sistemas y registros Encriptación de la información confidencial en tránsito Procedimientos de cambio de sistema Procedimientos de control duales, separación de obligaciones y verificaciones de antecedentes Sistemas de detección de intrusos para monitorear ataques Procedimientos de respuesta a incidentes para identificar acciones si ocurre un ataque Protección ambiental contra la destrucción de registros

Reflexiones y preguntas Suponiendo que su organización fuera atacada con éxito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evalúe el daño total sufrido por su organización. ¿Cómo mostraría y protegería la evidencia del ataque? ¿Puede identificar la fuente del ataque?

Bibliografía “Guía Metodológica 2006 – Sistema de Gobierno Electrónico. Programa de Mejoramiento de la Gestión” Gobierno de Chile (http://www.modernizacion.cl/ ) “Gobierno electrónico en Chile 2000 – 2005” Estado del Arte II (http://www.modernizacion.cl/ ) “Tecnología de la Información – Código de práctica para la Seguridad de la Información” NCh2777.Of2003 (ISO/IEC 17799 : 2000) ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO'‘ Decreto 83 Fecha de Publicación: 12.01.2005; Fecha de Promulgación: 03.06.2004

Bibliografía (2) “Planes para continuidad de negocio ante desastres. Algunos conceptos” (archivo Gestión BCM.ppt) “Diplomado en Peritaje Informático”– Universidad de Santiago de Chile. “Mejores prácticas y estándares internacionales en gestión de riesgos y control interno” Gloria Peña y Lillo (archivo BCM (4742)COSO1.pdf) "Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero “Enfoque Integral de BCM” Yves Dávila ¿Garantizan las empresas la Continuidad de su Negocio? GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO Business continuity planning http://www.iso.org http://www.iec.org http://www.bsi-global.com

Páginas complementarias National Institute for Standards (NIST) National Vulnerabilities Database Common Vulnerabilities and Exposures Business Continuity, Contingency Planning & Disaster Recovery The Business Continuity Planning & Disaster Recovery Planning Directory Business Continuity Planning: Ten Common Mistakes

Páginas complementarias (2) Acuerdo Capital de Basilea II http://www.latinbanking.com/pdf/basilea_2.pdf Encuesta de los desafios para los jefes de gerencia en riesgo de instituciones financieras Graham-Leach-Bliley Act (GLBA) Sarbanes-Oxley(SOX).

Herramientas adicionales MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las Administraciones Públicas. http://www.csi.map.es/csi/pg5m20.htm NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible también una versión como libro digital) Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm

Textos Sandoval López, Ricardo, “Seguridad en el comercio electrónico”, Lexisnexis 2004. Kaeo, Merike, “Diseño de seguridad en redes”, Pearson Educación 2003. Maiwald, Eric, “Fundamentos de seguridad en redes”, McGraw-Hill Interamericana 2005. Parte II pp 93-186 Stallings,William “Fundamentos de Seguridad en Redes. Aplicaciones y Estándares”, Pearson 2004

Documentos en CriptoRed Jorge Ramió Aguirre “LIBRO ELECTRÓNICO DE SEGURIDAD INFORMÁTICA Y CRIPTOGRAFÍA” Documento de libre distribución en Internet a través de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip) Antonio Villalón Huerta “SEGURIDAD DE LOS SISTEMAS DE INFORMACION” Julio, 2005 (seguridad_sist_inf.zip)

Libros digitales: Seguridad National Institute of Standards and Technology “An Introduction to Computer Security: The NIST Handbook”, Special Publication 800-12 ((ebook) computer security handbook.pdf) Simson Garfinkel & Eugene H. Spafford “Web Security & Commerce” ISBN: 1-56592-269-7 (O'Reilly - Web Security & Commerce.pdf) Mitch Tulloch ”Microsoft Encyclopedia of Security” (eBook.MS.Press.-.Microsoft.Encyclopedia.of.Security.ShareReactor.pdf)