Comité de Seguridad de la Información -...

Javier EchaizCoordinador General

Comité de Seguridad de la Información

Javier.Echaiz (at) uns.edu.ar

Comité deSeguridad de la

Información

2010/07/08

mailto:[email protected]



Comité de Seguridad de la Información UNS – Javier Echaiz

Ice Breaker

2


Agenda

3

1 Motivación

2 Introducción a la Seguridad de la Info

3 Terminología Básica

4 Plan General de Trabajo

5 Objetivos Particulares

6 Acciones en Marcha

7 Factores Críticos de Éxito

8 Situación Actual / Ejemplos @ UNS


Cambios tecnológicos

4


Por qué?

Plan Nacional de Gobierno Electrónico.

Es necesario según ArCERT / ONTI /

Secretaría de Gestión Pública ( ).

Forma parte de los objetivos de la Comisión

Asesora (Informática) de Planeamiento:1. Comunicación

2. Información

3. Gestión

4. Infraestructura

5. Extensión

5

Comité de Seguridad de la Información UNS – Javier Echaiz 6


http://www.arcert.gov.ar/politica/

http://www.arcert.gov.ar/politica/

Introducción (Muy) Breve

a la Seguridad de la

Información

8


¿Seguridad de la Información?

9

La Información es un activo muy valioso en la UNS y requiere en

consecuencia una protección adecuada.

La información puede estar:

Impresa o escrita en papel.

Almacenada digitalmente.

Trasmitida por correo o medios electrónicos.

Publicada en medios digitales.

Hablada en una conversación.

Debe protegerse adecuadamente cualquiera que sea la forma que

tome o los medios por los que se comparta o almacene.


Contribuir al logro de los objetivos de la UNS

mediante procesos, técnicas y herramientas

(tecnología) de Seguridad de la Información.

Establecer y mantener un marco de garantías y

estrategias de Seguridad de la Información.

Objetivo General

10

¿Qué buscamos con la Seguridad IT?

Lograr un nivel de Seguridad de la Información adecuado

según estándares internacionales, empleando

especialmente la familia ISO/IEC 27k y COBIT.


Estándares

11

Operaciones

Ad

min

.

Pro

yecto

s

Ad

min

.

Se

rvic

ios

Ad

min

. Ca

lidad

De

sa

rrollo

Ap

licacio

nes

SOX

COSO

COBIT

ITIL

BS 15000

ISO 20000

CMMI

ISO 9000

PMI

Se

gu

ridad

TI

Control

Gerencial

ISO 27000


Procesos

12

Seguridad como

Proceso

Gestión

Niveles de Servicio

Gestión

Problemas

Gestión

Releases

Ges

tión

Cam

bios

Gestión

Financiera de TI

Gestió

n

Dis

po

nib

ilidad

Gestión C

ontinuid

ad

Servic

ios d

e TI

Ges

tión

Inci

dente

s

Gestión

Configura

ción

Gesti

ón

Cap

acid

ad


¿Qué entendemos por Seguridad?

13

CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

Garantizar de la información

DESTRUCCIÓN

MODIFICACIÓN

REVELACIÓN

PÉRDIDA

RIESGO DE PÉRDIDA

Evitar

Reducir

Prevención

Detección

Recuperación

La Seguridad de la Información es el conjunto de prácticas y

procedimientos que buscan proteger la información, con el fin de

minimizar las amenazas y riesgos a los que está expuesta.


Planteos de Seguridad

Diagnóstico de

seguridad.

Análisis y gestión de

riesgos.

Plan Integral de

Seguridad.

14

¿Sabemos cómo estamos?

¿Qué riesgos tenemos?

¿Cómo priorizamos las acciones de

mejora?

¿Sabemos medir el estado de la

seguridad?

¿Cómo defino mis políticas?

¿Quién es responsable de qué?

¿Está alineada la estrategia de

seguridad con los objetivos de la

UNS?

¿Dónde tener en cuenta la

seguridad? En todas partes…

Planteo de necesidades Qué se necesita …


Seguridad vs. Usabilidad

15


Eje del Comité de Seguridad

16

Confidencialidad:

Accesible sólo a aquellas personas autorizadas.

Integridad:

Exactitud y totalidad de la información y los métodos de

procesamiento.

Disponibilidad:

Acceso a la información y a los recursos relacionados

con ella toda vez que se requiera.

Preservar la CIA:


Definir el alcance del Sistema de Gestión de la Seguridad de la Información (SGSI).

Definir las políticas de seguridad (180 días!). Definir una metodología sistemática para el análisis de riesgos y

para el criterio de aceptación de riesgos. Llevar a cabo el análisis de riesgos para identificar, dentro del

contexto de la política y el alcance del SGSI, los activos (relacionados con la información) de la UNS y los riesgos sobre ellos.

Identificar y evaluar opciones para hacer frente a estos riesgos, seleccionando los objetivos de control.

Preparar una declaración de aplicabilidad (DDA), i.e. qué controles se van a implementar.

Escribir una declaración de los riesgos residuales no cubiertos.

Plan General de Trabajo

17


Definición de un SGSI

Es la parte del sistema general de gestión que comprende:

Las políticas de seguridad.

La estructura organizativa.

Los procedimientos y guías.

Los procesos.

Los recursos necesarios.

Los planes de formación. capacitación, concientización…

Se implementa la Gestión de la Seguridad de la Información en concordancia con las políticas de seguridad y planes estratégicos.

18


Establecer una metodología de seguridad clara y estructurada.

Reducir los riesgos y reaccionar tempranamente ante ataques.

Automatizar actividades del Área Sistemas (workflows, procedimientos).

Concientizar usuarios respecto a la seguridad de la Información.

Alinear la SI con las estrategias de la UNS y con normas y buenas prácticas reconocidas.

Garantizar el valor añadido de las actividades de seguridad.

Lograr conformidad con los requisitos legales.

Mejorar reconocimiento e imagen de la UNS (+ confianza).

Mejorar la gestión de la continuidad del “negocio”.

Incorporar actividades para la mejora continua (procesos y actividades de revisión, auditorias, capacitaciones, etc.).

SGSI y Objetivos del Comité de SI

19


SGSI - SISTEMA DE GESTION DE

SEGURIDAD DE LA INFORMACION

20

Planificar

Hacer

Actuar

Verificar

Metodología basada en el Modelo utilizado por las NORMAS ISO en general:

Check

Plan

DoAct


Metodología

21

7- GESTION DE ACTIVOS

8- SEGURIDAD

EN RECURSOS

HUMANOS

9-SEGURIDAD

FÍSICA Y DEL

ENTORNO

10-GESTIÓN DE

COMUNICACIONE

Y OPERACIONES

12-ADQUISICIÓN

DESARROLLO Y

MANTENIMIENTO

SISTEMAS

INFORMACION

6-ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN

5-POLITICA DE SEGURIDAD

11-CONTROL DE ACCESOS

13-GESTION DE INCIDENTES DESEGURIDAD INFORMACION

14-GESTION DE CONTINUIDAD DEL NEGOCIO

15-CONFORMIDAD

Implementar gestión de riesgos

Implementar el SGSI

Implementar los controles

Revisar internamente el SGSI

Realizar auditorias internas del

SGSI

Adoptar las acciones correctivas

Adoptar las acciones preventivas

Definir políticas de seguridad

Establecer alcance del al SGSI

Realizar análisis de riesgos

Seleccionar los controles

DO

PLAN

CHECK

ACT


SGSI Documentación

22

Políticas, alcance,

evaluación de riesgos,

declaración de aplicabilidad

Describe procesos –

quién, qué, cuándo, dónde

Describe las tareas y las actividades

específicas y cómo se realizan

Check

Plan

DoAct

Proporciona las pruebas objetivas del cumplimiento

con las exigencias del SGSI


Acciones en Marcha

Recopilación de información previa.

Drafts, normas internas, auditoras, guías, etc.

Auditoría siguiendo COBIT / ISO 27k.

Desarrollo de las Políticas de Seguridad.

Se comenzaron a establecer métricas e indicadores para el Área de Sistemas.

Vinculación con Gobierno Electrónico.

23

Algunos ejemplos que

ayudan a mostrar la

situación actual

24

Disclaimer: a continuación se muestran

problemas de seguridad @ UNS que ponen

en evidencia que no contamos con

personal especializado/dedicado a la

Seguridad de la Información.


Ejemplos Reales @ UNS

25

Disclaimer: ninguno de los “incidentes de seguridad” que aquí se

muestran provocan cambios permanentes (“No Harm Done Disclaimer").


Ejemplos Reales

26


Inyección de Código SQL (light!)

28


Entradas inapropiadamente

validadas…

29


Robo de Bases de Datos (light!)

30


Phishing (e-mail)

32

Concientización

y

Capacitación de

Usuarios La seguridad depende más del Factor Humano

que del Factor Tecnológico…


Phishing (e-mail)


Verificando existencia de

cuentas de e-mail

34

El 2do servidor le

permite al atacante

verificar que una

cuenta/alias existe.


Enviando e-mails falsificados (1)

35


Enviando e-mails falsificados (2)

36

Nóta: Sólo se puede hacer este ataque desde la Intranet UNS.

Nótese que por simplicidad

no se incluyeron algunos

Headers (Subject, Date, To,

User-Agent, etc.)


Hay más...

Existen problemas que aquí no se presentan.

Sólo una Demo (toma de conocimiento?).

Algo más además de la web UNS y nuestro server

de e-mails?

También problemas de seguridad web en sitios

“vecinos”, como servicios, guia, …

Seguridad en nuestras redes? Servers?

Máquinas en las oficinas? Wireless?

Etc.

Necesitamos Mejorar nuestra Seguridad.

38


Necesitamos Mejorar nuestra

Seguridad de la Información

Recordemos: seguridad como proceso…

Metodología: PDCA.

Plan Integral de Seguridad.

39

You can not boil the ocean, you need to start somewhere


Hacia una Universidad de

Vanguardia en IT La UNS es una Universidad de vanguardia en

nuestro país.

Creo que también debe serlo en las cuestiones

relacionadas con la gestión de su información /

gobierno electrónico.

La seguridad IT no puede ser “actor de reparto”

sino “actor principal”.

40


Factores Críticos de Éxito

Implementar la Seguridad en consonancia con la cultura de la UNS.

Contar con el apoyo de la Gestión.

Buen entendimiento de los requisitos de seguridad, de la evaluación y gestión de los riesgos.

Concientizar sobre la necesidad de la seguridad a directivos y empleados (docentes y administrativos!).

Proveer formación y guías sobre políticas y normas a toda la UNS. Capacitar!

Implementar un sistema de medición para evaluar el rendimiento de la gestión de la seguridad y sugerir mejoras.

41

Javier Echaiz javier.echaiz @

Gracias por

su Atención!


Política de Seguridad

44

Son instrucciones gerenciales que trazan una dirección y

describen la manera de administrar o dar solución a un

problema o situación.

Son planteos de alto nivel que transmiten a los trabajadores la

orientación que necesitan para tomar decisiones presentes y

futuras.

Son requisitos generalizados que deben ser documentados y

comunicados dentro, y en algunos casos fuera, de la

organización.

Son reglas de negocio de cumplimiento obligatorio debido a que

son el equivalente de una ley propia de la organización lo cual

garantiza que los controles serán aplicados de manera

consistente.

Son diferentes a los controles.


Algunas Normas de Gestión ISO

45

ISO 9001 – Calidad.

ISO 14001 – Ambiental.

ISO 27002 – Seguridad de la Información –

(Código de Prácticas, catálogo comprensivo de

buena seguridad).

ISO 27001 – CERTIFICACION de Seguridad de la

Información.


ISO 27002

Incluye las siguientes once secciones principales:

Política de seguridad

Aspectos organizativos para la seguridad

Clasificación y control de activos

Seguridad ligada al personal

Seguridad física y del entorno

Gestión de comunicaciones y operaciones

Control de accesos

Desarrollo y mantenimiento de sistemas

Gestión de incidentes de seguridad de la información

Gestión de continuidad de negocio

Conformidad

46


Eye test


Norma ISO/IEC 17799:2005 (ISO 27002)

Áreas o Dominios de Control

48

7- GESTION DE ACTIVOS

8- SEGURIDAD

EN RECURSOS

HUMANOS

9-SEGURIDAD

FÍSICA Y DEL

ENTORNO

10-GESTIÓN DE

COMUNICACIONES

Y OPERACIONES

12- ADQUISICIÓN,

DESARROLLO Y

MANTENIMIENTO

DE SISTEMAS DE

INFORMACIÓN

6-ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN

5-POLITICA DE SEGURIDAD

11-CONTROL DE ACCESOS

13-GESTION DE INCIDENTES DE SEGURIDAD DE INFORMACION

14-GESTION DE CONTINUIDAD DEL NEGOCIO

15-CONFORMIDAD

Seguridad organizativa

Seguridad lógica

Seguridad física

Seguridad legal


Descentralizadas

Plan Sectorial de Gobierno Electrónico.

Utilización de servicios Web.

Uso de TICs para aumentar la transparencia.

Desarrollo de instrumentos que promuevan mayor participación

ciudadana.

Expediente Electrónico.

Utilización de Firma Digital.

Seguridad Informática.

Coordinadas

Ventanilla Única.

Cooperación entre organismos y niveles de gobierno.

Decreto 378/2005

Acciones del Plan de Gobierno Electrónico


Guía para la elaboración del Informe de Diagnóstico de Situación de los

Organismos

SISTEMAS DE MISIÓN CRÍTICA

Se entiende por sistemas de misión crítica a aquellos que están directamente

relacionados con el cumplimiento de los objetivos del Organismo, según su competencia y

que hacen a su razón de ser.

PORTALES

En esta sección se deberá consignar cada uno de los Sitios Web que el Organismo tiene

implementados, como así también los datos de los mismos.

SEGURIDAD

En esta sección se deberá indicar si el Organismo cuenta con una Política de Seguridad

de la Información.

AUTENTICACIÓN DE USUARIOS

Se deberá incluir en el informe – si en su Organismo existe - alguna forma de autenticar

(poder determinar si es o no la persona que dice ser) cuando el usuario intenta realizar

alguna transacción electrónica.

Decreto 378/2005

Acciones del Plan de Gobierno Electrónico

Comité de Seguridad de la Información -...

Documents

Transcript of Comité de Seguridad de la Información -...