Un acercamiento a las mejores prcticas de seguridad de informacin internacionalmente reconocidas en el estndar ISO 17799:2005

Cmo pueden las organizaciones asegurar y cumplir las regulaciones para preservar la confidencialidad, integridad y disponibilidad de su informacin
Jaime Yory Gerente General Director de Operaciones Internacionales de MVA Bogot, Colombia Septiembre 7 de 2006

Agenda
Algunos conceptos bsicos y terminologa La Seguridad La seguridad de la informacin Qu es la norma ISO 17799? Estructura de la norma Dominios & Objetivos de control Ventajas Conclusiones Recomendaciones Agenda de Presentaciones

Algunos Conceptos Bsicos (1)

La Informacin La informacin es un activo que, como otros activos importantes del negocio, tiene valor para la organizacin y requiere en consecuencia una proteccin adecuada. ISO/IEC 17799

Algunos Conceptos Bsicos (2)

Vulnerabilidad Vulnerabilidad: Una debilidad (o agujero) en la seguridad de la organizacin Puntos y control de acceso (lgicos y fsicos) Falta de Mantenimiento Personal sin conocimiento Desactualizacin de los sistemas crticos
Una vulnerabilidad, por s misma, no produce daos. Es un condicionante para que una amenaza afecte un activo

Algunos Conceptos Bsicos (3)

Amenaza Declaracin intencionada de hacer un dao (Virus, acceso no autorizado, robo) Eventos naturales que pueden desencadenar daos materiales o prdidas inmateriales en sus activos. Las amenazas se pueden materializar y transformarse en agresiones Riesgo Potencial explotacin de una vulnerabilidad de un activo de informacin por una amenaza. Se valora como una funcin del Impacto, Amenaza, Vulnerabilidad y de la probabilidad de un ataque exitoso Ataque Accin intencional e injustificada (desde el punto de vista del atacado). Intento por romper la seguridad de un sistema o de un componente del sistema.

Algunos Conceptos Bsicos (4)

Atacante Alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad
Externos & Internos Internos: Difciles de detener porque la organizacin esta forzada a confiar en ellos. Conocen cmo trabaja el sistema y cules son sus debilidades. Quizs el error mas comn de seguridad es gastar considerables recursos combatiendo a los atacantes externos ignorando las amenazas internas Hay que conocer los atacantes: Motivaciones, objetivos, expertise, acceso, recursos, aversin al riesgo

Safety & Security Prevencin en contra de actos no intencionales Vs intencionales por parte de terceros

La Seguridad
Es difcil de medir, la mayor parte del tiempo omos de ella cuando solo cuando falla La medicin de los resultados es clave para justificar la inversin ante la alta gerencia La Seguridad es una sensacin y una realidad. Sentirse seguro no es realmente estar protegido. El concepto de seguridad es altamente subjetivo, por tanto cada uno determina su nivel de riesgo y lo que est dispuesto a dar por las medidas que tome. No hay un nivel correcto de seguridad, existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza.

Seguridad de la Informacin (1)

El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.

Seguridad de la Informacin (2)

La seguridad de la informacin se define como la preservacin de:
Confidencialidad. Aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso Integridad. Garanta de la exactitud y totalidad de la informacin y de los mtodos de procesamiento. Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y a los recursos relacionados.

Todo esto, segn el nivel requerido para los objetivos de negocio de la empresa.

Seguridad de la Informacin (3)

Objetivos Asegurar la continuidad de la empresa. Mantener la competitividad, la rentabilidad, los recursos generales, el cumplimiento de las leyes y la imagen comercial. Minimizar el riesgo. Maximizar las oportunidades del negocio.

Seguridad de la Informacin (4)

Por qu es necesaria Gran variedad de Riesgos y Amenazas: Fraudes, espionaje, sabotaje, vandalismo, incendio, inundacin, Hacking, virus, denegacin de servicio, etc. Provenientes de mltiples fuentes. Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y servicios de informacin interconectados. La mayora de los sistemas de informacin no han sido diseados para ser seguros.

Seguridad de la Informacin (5)

Qu sucede si falla? Prdidas o falsos datos financieros Prdida de negocios, clientes y cuota de mercado Responsabilidad legal denuncias, litigios, multas, etc. Dao a la imagen de la empresa Interrupcin de las operaciones Mayores costos de operacin Costo de recuperacin para volver a la situacin inicial

Evaluacin y Anlisis de Riesgos

Anlisis de riesgos - Es una consideracin sistemtica: Se estima el impacto potencial de una falla de seguridad en los negocios y sus posibles consecuencias de prdida de la confidencialidad, integridad o disponibilidad Se evala la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas, vulnerabilidades y controles implementados. Establecimiento de PRIORIDADES y ACCIONES

Seleccin e Implementacin de Controles

Deben tenerse en cuenta en funcin del costo Vs la reduccin de los riesgos a un nivel aceptable y de las prdidas que podran producirse Los controles que se consideran esenciales para una organizacin, desde el punto de vista legal comprenden: Proteccin de datos y confidencialidad de la informacin personal. Proteccin de registros y documentos de la organizacin Derechos de propiedad intelectual

Seleccin e Implementacin de Controles

Los controles considerados como prctica recomendada de uso frecuente en la implementacin de la seguridad de la informacin comprenden:
Documentacin de la poltica de seguridad de la informacin Asignacin de responsabilidades en materia de seguridad de la informacin Instruccin y entrenamiento en materia de seguridad de la informacin Comunicacin de incidentes relativos a la seguridad Administracin de la continuidad de la empresa

Qu es la norma ISO 17799?

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. Existen multitud de estndares aplicables a diferentes niveles pero ISO 17799 como estndar internacional, es el ms extendido y aceptado.

Objetivo de la norma ISO 17799

El objetivo de la norma ISO 17799 es proporcionar una base comn para desarrollar normas de seguridad dentro de las organizaciones, un mtodo de gestin eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

Sistema de Gestin de la Seguridad de la Informacin (SGSI)

La norma ISO 17799 recoge la relacin de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestin de la Seguridad de la Informacin (SGSI) Conjunto completo de controles que conforman las buenas prcticas de seguridad de la informacin.
Redactada de forma flexible e independiente de cualquier solucin de seguridad concreta Proporciona buenas prcticas neutrales con respecto a tecnologas o fabricantes especficos. Aplicable a todo tipo de organizaciones, con independencia de su tamao u orientacin de negocios.

Gestin de la Seguridad de Informacin

La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin:
1. Poltica de seguridad: Dirigir y dar soporte a la Gestin de la seguridad de la informacin -directrices y recomendaciones2. Aspectos organizativos de la seguridad: Gestin dentro de la Organizacin (recursos, activos, tercerizacin, etc.) 3. Clasificacin y control de activos: Inventario y nivel de proteccin de los activos. 4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos

Gestin de la Seguridad de Informacin

Dominios de control (Continuacin)

5. Seguridad fsica y del entorno: Evitar accesos no

autorizados, violacin, daos o perturbaciones a las instalaciones y a los datos 6. Gestin de comunicaciones y operaciones: Asegurar la operacin correcta y segura de los recursos de tratamiento de informacin 7. Control de accesos: Evitar accesos no autorizados a los sistemas de informacin (de usuarios, computadores, redes, etc) 8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad est incorporada dentro de los sistemas de informacin. Evitar prdidas, modificaciones, mal uso.

Gestin de la Seguridad de Informacin

Dominios de control (Continuacin)
9. Gestin de incidentes: Gestionar los incidentes que afectan la seguridad de la informacin 10.Gestin de continuidad del negocio: Reaccionar a la interrupcin de las actividades del negocio y proteger sus procesos crticos frente a fallas, ataques o desastres. 11. Conformidad con la legislacin: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.

Gestin de la Seguridad de Informacin

De estos once dominios se derivan los Objetivos de control, resultados que se esperan alcanzar mediante la implementacin de controles y Los controles, que son las prcticas, procedimientos y/o mecanismos que reducen el nivel de riesgo.

Ventajas de la adopcin de la norma ISO 17799

Aumento de la seguridad efectiva de los sistemas de informacin. Correcta planificacin y gestin de la seguridad. Garantas de continuidad del negocio. Mejora continua a travs del proceso de auditora interna. Incremento de los niveles de confianza de los clientes y socios de negocios. Aumento del valor comercial y mejora de la imagen de la organizacin.

Orientacin de la norma ISO 17799?

La norma ISO 17799 no es una norma tecnolgica. La seguridad de la informacin es un asunto que compete a la alta gerencia no al rea tecnolgica, por lo cual es un asunto empresarial. La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el anlisis de riesgos es fundamental para los negocios

Conclusiones
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la informacin. Implantar ISO 17799 puede requerir de un trabajo de consultora que adapte los requerimientos de la norma a las necesidades de cada organizacin.

Conclusiones
La adopcin de ISO 17799 presenta mltiples ventajas para la organizacin, entre ellas el primer paso para una certificacin ISO 27001, pero ni la adopcin de ISO 17799, ni la certificacin garantizan la inmunidad de la organizacin frente a problemas de seguridad. Hay que hacer anlisis peridicos de los Riesgos y monitorear continuamente la situacin La seguridad no es un tema de un da ni un tema exclusivo del departamento de TI Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecidas.

Bibliografa
Beyond Fear, Bruce Copernicus Books Schneier

Nueve claves para el xito, Una visin general de la implementacin de la norma NTC-ISO/IEC 27001, Alan Calder Esquema de la Norma IRAMISO IEC 17799, INSTITUTO ARGENTINO DE NORMALIZACIN

Programacin del evento - Saln Oxford

1. Cmo crear una estrategia efectiva de navegacin, filtrado y control de contenido 2. Establecimiento de polticas corporativas, control antispam y educacin de los usuarios con el uso del correo electrnico 3. Cmo prevenir y combatir la nueva generacin de amenazas: malware, spyware, adware, keyloggers, phishing, spoofing, IM, games, P2P

Programacin del evento Victoria 2

1. Cmo detectar, prevenir y responder a los ataques, intrusiones y otras fallas de los Sistemas a travs de dispositivos de administracin unificada de amenazas (UTMs) 2. Alta disponibilidad, clustering, replicacin de datos y Planes de continuidad de negocios (BCP) 3. Proteccin contra hackers - Monitoreo y vigilancia no invasiva de vulnerabilidades

Programacin del evento Victoria 3

1. Monitoreo y control de Servidores, Firewalls, routers, Switches, PBXs y otros elementos activos de red. Consolas centrales de administracin. 2. Cmo establecer y controlar las polticas de uso de los dispositivos personales. La Seguridad en los puntos finales de la red. 3. Autenticacin & Encripcin - ms all de los passwords, para hacer boot, discos duros y dispositivos mviles