Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799

Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Ramón de la Iglesia Vidal Iván Guardia Hernández

Introducción Reglamento medidas de seguridad Introducción COBIT Introducción UNE-ISO/IEC 17799 Reglamento, COBIT y UNE-ISO/IEC 17799 Soluciones practicas Conclusiones Bibliografía NcN2003

Introducción Reglamento de Medidas de Seguridad: Real Decreto 994/1999, de 11 de Julio. Desarrolla la LOPD. Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir. Los ficheros automatizados: Los centros de tratamiento locales Equipos Sistemas Programas Personas que intervengan en el proceso NcN2003

Introducción La misión y Objetivos de COBIT es Investigar, Desarrollar, Publicitar y promocionar Objetivos de Control de TI internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores. UNE-ISO/IEC 17799, Código de buenas prácticas de la Gestión de la Seguridad de la Información. NcN2003

Introducción  Reglamento medidas de seguridad Introducción COBIT Introducción UNE-ISO/IEC 17799 Reglamento, COBIT y UNE-ISO/IEC 17799 Soluciones practicas Conclusiones Bibliografía NcN2003

2. Reglamento medidas de seguridad Los Niveles de seguridad posibles son los siguientes: Nivel Básico Nivel Medio Nivel Alto NcN2003

2. Niveles de Seguridad Medidas de seguridad exigibles a todos los ficheros: Los accesos por red están sujetas las mismas medidas de seguridad exigibles del nivel de seguridad local. El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero. Los ficheros temporales se borrarán una vez usados, también se le aplicará el nivel de seguridad pertinente. El responsable del fichero elaborará el documento de seguridad. Las pruebas con datos reales seguirán las medidas de seguridad pertinentes. d) Otras medidas de seguridad exigibles a todos los ficheros. - Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al de los accesos en modo local (art. 5 RMS). - El tratamiento de los datos fuera de los locales de ubicación del fichero deberá ser autorizado expresamente por el responsable del fichero, garantizando el nivel de seguridad correspondiente (art. 6 RMS). - La creación de ficheros temporales deberá efectuarse con cumplimiento de las normas de seguridad correspondientes, y serán borrados una vez que hayan dejado de ser necesarios (art. 7 RMS). - El responsable del fichero deberá elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal (art. 8.1 RMS). - Las funciones y obligaciones del personal con acceso al sistema de información estarán claramente definidas y documentadas. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento (art. 9 RMS). - Las pruebas con datos reales sólo podrán efectuarse cumpliendo con las medidas de seguridad correspondientes al nivel exigible de acuerdo con la naturaleza de los datos (art. 22 RMS). NcN2003

2. Niveles de Seguridad Medidas de seguridad de nivel BÁSICO: Sistema de Registro de incidencias. Relación actualizada usuarios/recursos autorizados. Existencia de mecanismos de identificación y autenticación de los accesos autorizados. Restricción solo a los datos necesarios para cumplir cada función. Gestión de Soportes informáticos con datos de carácter. Inventariados. Acceso restringido. Copias de seguridad semanalmente. a) Medidas de seguridad de nivel básico. Requieren: - Existencia de un registro de incidencias en el que conste el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieren derivado de la misma (art. 10 RMS). - Existencia de una relación actualizada de usuarios que tengan acceso autorizado al sistema de información, con indicación de los recursos a los que tienen acceso (art y art RMS). - Existencia de mecanismos de identificación y autenticación de los accesos de los usuarios autorizados (login y contraseña). Las contraseñas se asignarán, distribuirán y almacenarán de forma que se garantice su confidencialidad e integridad. Se cambiarán con la periodicidad que se determine y mientras estén vigentes se almacenarán de forma ininteligible (art. 11 RMS). - Restricción de acceso a los usuarios únicamente a los datos que requieran para el desarrollo de sus funciones (art RMS). NcN2003

2. Niveles de Seguridad Medidas de seguridad de nivel MEDIO: Designación responsables de seguridad. Auditoría bienal. Identificación inequívoca y personalizada de usuarios. Limitación de los intentos de acceso. Medidas de control de acceso físico. Registro de entradas y salidas de soportes informáticos. Impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de su lugar habitual. Registro de incidencias de las operaciones de recuperación de datos autorizadas por escrito. - Designación de uno o varios responsables de seguridad (art. 16 RMS). - Sometimiento a auditoría al menos una vez cada dos años (art. 17 RMS). - Establecimiento de mecanismos de acceso que permitan la identificación inequívoca y personalizada de los usuarios (art RMS). - Limitación de los intentos de acceso no autorizados al sistema de información (art RMS). - Establecimiento de medidas de control de acceso físico a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal (art. 19 RMS). - Establecimiento de un registro de entrada/salida de soportes informáticos (art y 2 RMS). - Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de sus lugares habituales de almacenamiento (art y 4 RMS). - Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS). NcN2003

2. Niveles de Seguridad Medidas de seguridad de nivel ALTO: Los soportes para distribución deberán tener la información cifrada. Registro de accesos, autorizados y denegados. Guardar estos registros durante 2 años. Copias de seguridad guardadas en sitio diferente. Transmisiones cifradas. c) Medidas de seguridad de nivel alto. Además de las anteriores, requieren: - Que los soportes que contengan datos de carácter personal para su distribución incorporen la información cifrada o protegida por cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 23 RMS). - Que exista un registro de accesos en el que se recojan los siguientes datos: identificación del usuario, fecha y hora en que se realizó el acceso, fichero accedido, tipo de acceso y si ha sido autorizado o denegado, así como el registro accedido. La información registrada deberá conservarse por un mínimo de dos años(art. 24 RMS). - Que las copias de seguridad se almacenen en un lugar diferente de aquél en el que se encuentren los equipos informáticos que traten los datos (art. 25 RMS). - Las transmisiones de datos en redes de comunicación se efectúen mediante cifrado o cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 26 RMS). NcN2003

Introducción  Reglamento medidas de seguridad  Introducción COBIT Introducción UNE-ISO/IEC 17799 Reglamento, COBIT y UNE-ISO/IEC 17799 Soluciones practicas Conclusiones Bibliografía NcN2003

4. Introducción COBIT COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) que provean un marco de referencia para la Administración, Usuarios y Auditores. Con más de miembros en 100 países, la Asociación de Auditoría y Control en Sistemas de Información ISACA es un líder reconocido mundialmente en control y seguridad de TI. Básicamente consta de 4 libros: Resumen Ejecutivo Antecedentes y Marco de Referencia Guías de Auditoría Herramientas de Implementación Fundada en 1969, ISACA auspicia conferencias nacionales e internacionales, administra globalmente la rendición del examen de certificación mundial CISA (Certified Information Systems Auditor) y desarrolla globalmente estándares de Auditoría y Control en Sistemas de Información. La Misión de ISACA se basa en promover, mejorar y desarrollar las capacidades de nuestros asociados y de la comunidad en lo relacionado con la auditoría, seguridad, control y/o consultoría gerencial , en el campo de los sistemas y tecnologías de información. Para cumplir plenamente con nuestra misión, pretendemos desarrollar fuertes y trasparentes relaciones con el mundo académico participando activamente en carreras de Pregrado, Postítulos o Magíster de nuestro ámbito. A su vez, nuestro contacto empresarial a niveles ejecutivos nos permitirá desarrollar en conjunto, por medio de talleres u otro tipo de eventos las mejores prácticas en Seguridad y Control de Sistemas de Información. Por ultimo, para cumplir con la Política de Educación Continua, para los Auditores CISA, la Asociación desarrollará Seminarios de interés sobre la base de las necesidades del medio tecnológico. 1. El Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. 2. El marco describe en detalle los 34 Objetivos de COntrol de TI a un nivel macro, e identifica los requerimientos del negocio para la informacion e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contiene declaraciones de los resultados deseados o propósitos a ser alcanzados para la implementación de 302 objetivos de control específcos a través de los 34 Procesos de TI. 3. Las Guías de Auditoría, las cuales continen pasos de auditoría sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras. 4. Una Herramienta de implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guíía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo. NcN2003

4. Introducción COBIT El Marco Referencia puede ser utilizado por tres grupos: ADMINISTRACION: Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible. USUARIOS: Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes. AUDITORES DE SISTEMAS DE INFORMACION: Para dar soporte a las opiniones mostradas a la administración sobre los controles internos. Además de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de información del proceso, y por todos aquéllos responsables de TI en la empresa. NcN2003

4. Introducción COBIT Los recursos de TI identificados en COBIT son: Datos Aplicaciones. Tecnología. Relación de los recursos de TI con respecto a la entrega de servicios Instalaciones. Personal. Datos Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc. AplicacionesSe entiende como sistemas de aplicación la suma de procedimientos manuales y programados Tecnología La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. Instalaciones Recursos para alojar y dar soporte a los sistemas de información PersonalHabilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información NcN2003

4. Introducción COBIT Existen, tres niveles de actividades de TI al considerar la administración de sus recursos. El marco referencial desde tres puntos estratégicos: Recursos de TI. Requerimientos de negocio para la información. Procesos de TI. El marco referencial consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificación y presentación. La teoría subyacente para la clasificación seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administración de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas más discretas. El concepto de ciclo de vida cuenta típicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categoría son las actividades de desarrollo de sistemas, administración de la configuración y manejo de cambios. La segunda categoría incluye tareas llevadas a cabo como soporte para la planeación estratégica de TI, evaluación de riesgos, planeación de la calidad, administración de la capacidad y el desempeño. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con "cortes" naturales (de control). Al nivel más alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y está en línea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI. Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratégicos: (1) recursos de TI, (2) requerimientos de negocio para la información y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizaría en las actividades cotidianas de la organización -y no la "jerga15" del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeación y organización, adquisición e implementación; entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes: Planeación y organización Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Adquisición e Implementación Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Entrega y Soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación Monitoreo Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control. NcN2003

4. Introducción COBIT En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos. Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organización. Por ejemplo, algunos de estos procesos serán aplicados al nivel corporativo, otros al nivel de la función de servicios de información, otros al nivel del propietario de los procesos de negocio. También debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirán algunas veces los criterios de disponibilidad, integridad y confidencialidad. - en la práctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de "identificar soluciones automatizadas" deberá ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. Resulta claro que las medidas de control no satisfarán necesariamente los diferentes requerimientos de información del negocio en la misma medida. Se lleva a cabo una clasificación dentro del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de investigadores, expertos y revisores con las estrictas definiciones determinadas previamente. Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de información de interés. Secundario es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida el requerimiento de información de interés. Blanco (vacío) podría aplicarse; sin embargo, los requerimientos son satisfechos más apropiadamente por otro criterio en este proceso y/o por otro proceso. Similarmente, todos las medidas de control no necesariamente tendrán impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica específicamente la aplicabilidad de los recursos de TI que son administrados en forma específica por el proceso bajo consideración (no por aquellos que simplemente toman parte en el proceso). Esta clasificación es hecha dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de información proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente. NcN2003

Introducción  Reglamento medidas de seguridad  Introducción COBIT  Introducción UNE-ISO/IEC 17799 Reglamento, COBIT y UNE-ISO/IEC 17799 Soluciones practicas Conclusiones Bibliografía NcN2003

3. Introducción UNE-ISO/IEC 17799 British Standard Institute en 1999 publica BS7799. ISO (Organización Internacional de Normalización) y CEI (Comisión Electrónica Internacional) desarrollan ISO/IEC 17799:2000. En el 2002, a nivel nacional, el comité espejo AEN/CTN, adapta al castellano la norma ISO/IEC 17799:2000, dando lugar la norma UNE-ISO/IEC NcN2003

3. Introducción UNE-ISO/IEC 17799 UNE-ISO/IEC 17799, Código de buenas prácticas para la Gestión de la seguridad de la Información. La aparición de esta normativa de carácter internacional ha supuesto una buena GUÍA para las empresas que pretenden mantener de forma segura sus activos. UNE-ISO/IEC 17799:2000 debe ser utilizada como un índice. Deja pendiente las especificaciones para la gestión de la seguridad de los sistemas de información. NcN2003

3. Introducción UNE-ISO/IEC 17799 La seguridad se caracteriza por: Confidencialidad. Integridad. Disponibilidad. Establecer requisitos de la seguridad: Análisis de RIESGOS. Amenazas, vulnerabilidades e impacto. Requisitos legales. Objetivos de negocio. CONTROLES. NcN2003

3. Introducción UNE-ISO/IEC 17799 La seguridad de la organización la divide en diez partes: Política de seguridad. Aspectos organizativos para la seguridad. Clasificación y control de activos. Seguridad ligada al personal. Seguridad física y del entorno. Gestión de comunicaciones y operaciones. Control de accesos. Desarrollo y mantenimiento de sistemas. Gestión de continuidad del negocio. Conformidad. NcN2003

Introducción  Reglamento medidas de seguridad  Introducción COBIT  Introducción UNE-ISO/IEC  Reglamento, COBIT y UNE-ISO/IEC 17799 Soluciones practicas Conclusiones Bibliografía NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Documento de Seguridad. Personal: responsabilidades. Control de accesos. Identificación y autenticación. Acceso físico. Acceso informático. Entrada/Salida de datos. Gestión de soportes. Gestión telemática. Trabajo fuera de los locales. Continuidad del negocio. Copias de seguridad. Registro de incidencias. Ficheros auxiliares. Pruebas con datos reales. Ficheros temporales. Auditoría. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Documento de Seguridad. UNE: La Dirección es quien marca las pautas de la política de seguridad. Comité. La dirección aprueba, publica y comunica a toda la organización. Políticas y normas. Pleno conocimiento. Responsables de seguridad. Propietario de los datos. Inventariado y clasificación de los recursos. Incidencias: notificación, gestión y respuesta. Copias de respaldo: copias de seguridad, ensayos, registrando eventos y monitorizando. Revisiones objetivas periódicas programadas. Procedimientos formales destrucción de datos. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Documento de Seguridad. COBIT: La dirección marca las pautas, implanta, y controla la política de seguridad. Debe existir un modelo de arquitectura de información actualizado y consistente de los datos corporativos y los sistemas de información asociados a ellos. Los datos clasificados deben estar acompañados de: Quién puede tener acceso. Quién determina el nivel de acceso apropiado. La aprobación específica requerida para el acceso. Contempla, el Plan de Respaldo y Restauración, el Plan de Disponibilidad y las Funciones de Respaldo La documentación de control, políticas y procedimientos debe estar siempre actualizada. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Personal: responsabilidades. UNE: Comité de gestión de seguridad de la información. Roles de seguridad. Coordinar la implantación de la seguridad en toda la Organización. Contratos formales a terceros. Responsabilidades individualizadas de los activos. Proceso de autorización. La seguridad debería contemplarse desde las etapas de selección de personal, incluirse en los contratos y seguirse durante el desarrollo de la relación laboral. Acuerdos de confidencialidad. Formación. Procedimiento disciplinario. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Personal: responsabilidades. COBIT: Se asignarán responsabilidades formales de seguridad, tanto lógica como física de cada uno de los activos. Segregación de funciones. Funciones, responsabilidades, propiedad y perfil del puesto, respecto a la información por escrito, y si es necesario, firmado por el personal en forma contractual. Existe la figura del responsable de seguridad. Al contrario que el reglamento, los costes de los controles no deben exceder a los beneficios. La Gerencia deberá asegurar que las políticas organizacionales sean comunicadas y comprendidas por todos los niveles de la organización: Formación. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Control de accesos. UNE: Acceso de terceros. Política de accesos, las reglas y los derechos de cada usuario o grupo de usuarios. Monitoreo de accesos. Identificación y autenticación. Todos los usuarios deberían disponer de un identificador único para su uso personal y exclusivo. Uso y gestión de contraseñas de usuario. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Control de accesos. UNE: Proceso de autorización. Seguimiento de accesos y usos del sistema. Registro de incidencias. Acceso físico. Perímetro de seguridad física. Controles físicos de entradas. Seguridad de instalaciones, despachos y recursos. Acceso informático Gestión de privilegios. Sincronización de relojes. DS 5 Guías: Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas. Estos reportes deberán incluir: · intentos no autorizados de acceso al sistema (sign on) · intentos no autorizados de acceso a los recursos del sistema · intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad · privilegios de acceso a recursos por ID de usuario · modificaciones autorizadas a las definiciones y reglas de seguridad · accesos autorizados a los recursos (seleccionados por usuario o recurso) · cambio de estatus de la seguridad del sistema · accesos a las tablas de parámetros de seguridad del sistema operativo NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Control de accesos. COBIT: Identificación y autenticación. “El acceso lógico y el uso de los recursos de TI deberá restringirse a través de la instrumentación de un mecanismo adecuado de autenticación de usuarios identificados y recursos asociados con las reglas de acceso.” Las Guías presentan mínimas reglas de passwords, políticas de seguridad y el acceso de los sistemas de información y del control del acceso reiterado. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Control de accesos. COBIT: Acceso físico. Establece claramente la necesidad de apropiadas medidas de seguridad física y control de acceso. Pide la Discreción de las Instalaciones de Tecnología de Información. Concreta los detalles en las Guías. Acceso informático. Propiedad y custodia de los datos. Administración Centralizada de Identificación y Derechos de Acceso. Limita el acceso a la “necesidad de conocimiento” Revisión Gerencial de Cuentas de Usuario . Las Guías especifican los “Reportes” sobre accesos al sistema, tanto positivos como negativos. Nada de cuales a registros, genérico. DS 5 Guías: Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas. Estos reportes deberán incluir: · intentos no autorizados de acceso al sistema (sign on) · intentos no autorizados de acceso a los recursos del sistema · intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad · privilegios de acceso a recursos por ID de usuario · modificaciones autorizadas a las definiciones y reglas de seguridad · accesos autorizados a los recursos (seleccionados por usuario o recurso) · cambio de estatus de la seguridad del sistema · accesos a las tablas de parámetros de seguridad del sistema operativo NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Entrada/Salida de Datos. UNE: Gestión de soportes. Inventario de activos. Marcado y tratamiento de la información. Extracción de pertenencias. Utilización de la información. Eliminación de soportes. Seguridad de soportes en tránsito. Controles criptográficos. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Entrada/Salida de Datos. UNE: Gestión telemática. Controles de red. Seguridad de los servicios de red Autenticación. Segregación en las redes. Controles criptográficos. Firmas, no repudio. Seguridad del correo electrónico. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Entrada/Salida de Datos. COBIT: Gestión de soportes. No especifica tantos detalles de catalogación. Sí que vigila los controles de E/S de soportes. Sigue siendo muy riguroso en tema de autorizaciones. Protección de información sensible durante transmisión y transporte. Protección de información crítica a Ser Desechada. La información sensitiva es enviada y recibida exclusivamente a través de canales seguros. Administración de Llaves Criptográficas. NcN2003

5. Reglamento, COBIT y UNE-ISO/IEC17799 Entrada/Salida de Datos. COBIT: Gestión telemática. Exige: Identificación, Autenticación y Acceso. Seguridad de Acceso a Datos en Línea. Control de Operaciones Remotas. Transmisiones a través de túneles cifrados. Las guías contemplan las configuraciones del firewall. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Trabajo fuera de los locales. UNE: Proceso de autorización de recursos para el tratamiento de la información. Informática móvil. Teletrabajo. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Trabajo fuera de los locales. COBIT: No se recomienda el tratamiento de datos de carácter personal fuera de los locales. Se debe respetar la cadena de responsabilidades. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Continuidad del negocio. UNE: Gestión de continuidad del negocio. Continuidad del negocio y análisis de impactos. Prueba, mantenimiento y reevaluación de los planes de continuidad. Copias de seguridad. Recuperación de la información. Soportes y recuperación. Diarios de operación. Registro de incidencias. Comunicación, registro, gestión y respuesta de fallos e incidencias. Aprendiendo de las incidencias. Procedimiento disciplinario. Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos o desastres. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Continuidad del negocio. COBIT: Plan de Continuidad de T.I. Copias de seguridad. Existe una figura responsable para ello. Punto de control de Respaldo y Restauración. Almacenamiento de Respaldos , tanto dentro como fuera de las instalaciones. Contempla en el Plan de continuidad Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre. Calendarización de Trabajos (Backups). Centro de cómputo y Hardware de Respaldo. La Gerencia de la función de servicios de información deberá asegurar que se desarrolle un plan escrito conteniendo lo siguiente: Guías sobre la utilización del Plan de Continuidad; Procedimientos de emergencia para asegurar la integridad de todo el personal afectado; Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre; Procedimientos para salvaguardar y reconstruir las instalaciones; Procedimientos de coordinación con las autoridades públicas; Procedimientos de comunicación con los interesados: empleados, clientes clave, proveedores críticos, accionistas y gerencia; y l Información crítica sobre grupos de continuidad, personal afectado, clientes, proveedores, autoridades públicas y medios de comunicación. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Continuidad del negocio. COBIT: Registro de incidencias. La Gerencia deberá implementar la capacidad de manejar incidentes de seguridad. Se debe tener un claro sistema de Gestión de Problemas: Formularios, procedimientos de notificación, respuesta, solución implantada... Pistas de auditoría que permitan el seguimiento de las causas a partir de un incidente. Existen procedimientos de manejo de problemas para: definir e implementar un sistema de manejo de problemas registrar, analizar y resolver de manera oportuna todos los eventos no-estándar establecer reportes de incidentes para los eventos críticos y la emisión de reportes para usuarios identificar tipos de problemas y metodología de priorización que permitan una variedad de soluciones tomando el riesgo como base definir controles lógicos y físicos de la información de manejo de problemas seguir las tendencias de los problemas para maximizar recursos y reducir la rotación recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisión de reportes notificar los escalamientos al nivel apropiado de administración determinar si la administración evalúa periódicamente el proceso de manejo de problemas en cuanto a una mayor efectividad y eficiencia Llevando a cabo: Para una selección de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas fueron seguidos para todas las actividades no-estándar, incluyendo: registro de todos los eventos no-estándar por proceso seguimiento y solución de todos y cada una de los eventos nivel apropiado de respuesta tomando como base la prioridad del evento escalamiento de problemas para eventos críticos reporte apropiado dentro de la función de servicios de información y grupos usuarios revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras expectativas y éxito de programa de mejoras del desempeño NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Ficheros auxiliares. UNE: Pruebas con datos reales. Separación de los recursos para desarrollo y para producción. Protección de los datos de prueba del sistema. Ficheros temporales. La UNE no contempla los ficheros temporales. Se puede aplicar las mismas guías expuestas para los ficheros de prueba. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Ficheros auxiliares. COBIT: Pruebas con datos reales. La exposición de la información sensible que se utiliza durante las pruebas de la aplicación se reduce ya sea con limitaciones severas de acceso o la despersonalización de los datos históricos. Más claro en el “CISA Review Manual”. Importancia de la separación de los datos de producción de los de desarrollo. Ficheros temporales. No comentado en CobiT. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Auditoría. UNE: Revisiones regulares de la política de seguridad y de la conformidad técnica. Conformidad de la dirección con la política de seguridad. Minimizar el riesgo de interrupción de los procesos de negocio y recursos. Protección de las herramientas de auditoría de sistemas. NcN2003

5. Reglamento,COBIT y UNE-ISO/IEC17799 Auditoría. COBIT: Auditoría interna y externa. Complementación. Monitoreo y Reporte de Control Interno. Proveer auditoría Independiente (M 4). Estatutos de Auditoría Independencia Ética y Estándares Profesionales El Reporte se destina a la Gerencia NcN2003

Introducción  Reglamento medidas de seguridad  Introducción COBIT  Introducción UNE-ISO/IEC  Reglamento, COBIT y UNE-ISO/IEC  Soluciones practicas Conclusiones Bibliografía NcN2003

6. Soluciones practicas Herramientas de documentación, formularios y workflow: Lotus Domino. Visio. Organigrama de las responsabilidades, funciones y recursos. Sistemas de correo cifrado y firmado: Eudora + GnuPG. Outlook + certificado digital de una autoridad certificadora. NcN2003

6. Soluciones practicas Herramientas de encriptación y firmado de discos y ficheros: WinPT. PGPDisk. Seguridad en redes: Túnel cifrado: sftp, pop3s. VPN. Continuidad de negocio: Sistemas RAID: mirroring. Hardware. Software. Copias de respaldo periódicas. Copias de transacciones incrementales. NcN2003

6. Soluciones practicas LOGs: A nivel de aplicación. A nivel intermedio. A nivel de SGBD: Oracle 9i. Borrados seguros: Wipe. Desmagnetizadores. Destructoras de papel. NcN2003

Introducción  Reglamento medidas de seguridad  Introducción COBIT  Introducción UNE-ISO/IEC  Reglamento, COBIT y UNE-ISO/IEC  Soluciones practicas  Conclusiones Bibliografía NcN2003

7. Conclusiones COBIT y UNE-ISO/IEC no son excluyentes. No te aseguran cumplir el reglamento. Son marcos de referencia. UNE-ISO/IEC usa un lenguaje mas próximo al reglamento. COBIT sigue una filosofía de control norteamericana. Existen soluciones viables. El registro de accesos es el punto más conflictivo. NcN2003

Introducción  Reglamento medidas de seguridad  Introducción COBIT  Introducción UNE-ISO/IEC  Reglamento, COBIT y UNE-ISO/IEC  Soluciones practicas  Conclusiones  Bibliografía NcN2003

8. Bibliografía Real Decreto 994/99 de 11 de junio. Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal. Ley Orgánica 15/99 de 13 de Diciembre, de Protección de Datos de Carácter Personal. UNE-ISO/IEC (Tecnología de la Información: Código de buenas prácticas para la Gestión de la Seguridad de la Información). UNE /-2/-3. Tecnología de la Información. CobiT (Objetivos de Control para la Información y Tecnologías). CISA Review Manual 2003 de ISACA. Information Systems Control and Audit, Ron Weber, Prestice Hall. Real Decreto 195/2000 de 11 de febrero por el que se establece el plazo para implementar las Medidas de Seguridad de los Ficheros Automatizados previstas por el Reglamento aprobado por el R.D. 994/1999 de 11 de junio. NcN2003

Auditoría Informática Balear Iván Guardia Hernández Ramón de la Iglesia Vidal NcN2003 COPYRIGHT ® 2003 derechos de modificación reservados.

Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799

Presentaciones similares

Presentación del tema: "Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799

Presentaciones similares

Presentación del tema: "Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback