La importancia del Balance

entre
Objetivos de Gestión
y
Objetivos Técnicos
Abril 2013
Agenda

Introducción

ISO 27000

Riesgos

Continuidad de Negocios

PCI

PMG SSI

Otros
INTRODUCCIÓN
Eric Donders O.
• Oficial de Seguridad TI
• Subgerente de Seguridad TI

• Magister en Seguridad Informática y Protección de la

Información
– Universidad Central

• Ingeniero Civil en Computación

– Universidad de Chile

• Postítulo en Seguridad de la Información y

Diplomado en Aplicaciones Criptográficas
Seguridad de la Información
Diversidad
DESDE HASTA
Quebrando ECC2K-130 Enseñar a los niños entre 11 y 14
años cómo protegerse en Internet

http://research.microsoft.com/apps/video/default.aspx?id=140625 https://cyberexchange.isc2.org/safe-secure.aspx
 Empresa en un Día

 Artículo 9°.- Para efectos de la suscripción de

los formularios respectivos, el constituyente,
socios o accionistas deberán completarlos
previamente en el Registro y deberán
cumplirse las demás disposiciones que al
efecto señale el Reglamento.
 La suscripción de los formularios se realizará
mediante la firma del constituyente, socios o
accionistas, según sea el caso, a través de la
firma electrónica avanzada de éstos, de
acuerdo a lo que establezca el Reglamento.
 Si no posee firma electrónica avanzada,
tendrá que firmar los formularios ante un
notario, quien estampará su firma electrónica
avanzada en tal certificado.
 Chile sin Papeleo

 http://www.chilesinpapeleo.cl/
 Factura Electrónica Obligatoria


 Agenda Digital Imagina Chile 2013-
2020
 http://www.gobiernodechile.cl/especiales/agenda-digital-imagina-chile-2013-2020/
Balance

Objetivos Objetivos
Gestión Técnicos

10
Balance

ISO
PCI
NIST
CISM CSA CISSP
Lead Auditor CEH

11
Estándares de apoyo al desarrollo de la Seguridad
de la Información
No Existente Inicial Repetible Definido Administrado Optimizado

0 1 2 3 4 5

 CMM (Capability Maturity

Model) Modelo de Madurez
LEYENDA PARA SIMBOLOS USADOS LEYENDA PARA CALIFICACIÓN USADA

0. No se aplican procesos administrativos en lo Absoluto

Estado Actual de la Empresa
Promedio de la Industria
Objetivo de la Empresa
1. Los procesos son ad-hoc y desorganizados
2. Los procesos siguen un patrón regular
3. Los procesos se documentan y se comunican
4. Los procesos se monitorean y se miden
5. Las buenas prácticas se siguen y se automatizan

 SSE-CMM (System Security

Engineering Capability Maturity
Model 3.0) Requerimientos de
Negocio

ad
7 Objetivos o lid d d o
da ent ida
d
ad cia cia

 COSO y COBIT en el ámbito de la

Requerimientos id da ili i l
iv en en gri nib lim abi
ct fici fid e po p i
m onf

Personas
Infraestructura
e t
Ef E on
C
In
Di
s
Cu C

Información
Dominios

Aplicaciones
Aplicaciones TI
Auditoría 4 Dominios
34 Procesos
Procesos

os
TI
Actividades u rs
ec

 Balanced Score Card y Métricas

R 4 Recursos

 ITIL (IT Infrastructure Library)

 ISO 20000 (Gestión de Servicio
TI)
 Muchos +
12
ISO 27000
Estándares ISO 27000
27001
Requerimientos para un
SGSI

27002 ISO 27003

Código de Practicas para la Guía de Implementación de
Seguridad de la Información un SGSI

ISO 27004
27000
Métricas de Gestión de
Vocabulario y Fundamentos
Seguridad de la Información
de un SGSI
ISO 27005
Gestión de Riesgo en un
SGSI
ISO 27002
Estructura: 11 Dominios de Control
Seguridad Organizativa

Seguridad Lógica
Políticas de Seguridad
Seguridad Física

Aspectos Organizativos Seguridad Legal

Para la Seguridad Inf.

Clasificación y Control Control de

De Activos Acceso

Cumplimiento

Seguridad asociada Seguridad Física y

Al Personal Del Entorno

Desarrollo y Mantención Gestión de Comunicaciones Gestión de Continuidad

Gestión de Incidentes
De Sistemas Y Operaciones Del Negocio
15
SGSI / ISO 27001:2005

16
 Controles
Nivel Ctrl Título Descripción
D o minio A.5 Política de Seguridad
Control A.5.1.1 Documento de la política de El documento de la política de seguridad de la información debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes
seguridad de la externas relevantes.
información El documento de la política de seguridad de la información debiera enunciar el compromiso de la gerencia y establecer el enfoque de la organización para manejar la
seguridad de la información. El documento de la política debiera contener enunciados relacionados con:
D o minio A.6 Organización de la seguridad de la inform ación
Control A.6.1.1 Compromiso de la gerencia La gerencia debiera apoyar activamente la seguridad dentro de la organización a través de
con la seguridad de la una dirección clara, compromiso demostrado, asignación explícita y reconociendo las
información responsabilidades de la seguridad de la información.
D o minio A.7 Gestión de activos
Control A.7.1.1 Inventario de los activos
Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes.
Una organización debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la información
necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor
comercial. El inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado.
Además, se debiera acordar y documentar la propiedad (ver 7.1.2) y la clasificación de la propiedad (ver 7.2) para cada uno de los activos. Basados en la
importancia del activo, su valor comercial y su clasificación de seguridad, se debieran identificar los niveles de protección que se conmensuran con la importancia
de los activos
D o minio A.8 Seguridad de Recursos Hum anos
Control A.8.1.1 Roles y responsabilidades Se debieran definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de
seguridad de la información de la organización.
D o minio A.9 Seguridad física y am biental
Control A.9.1.1 Perímetro de seguridad Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que
física contienen información y medios de procesamiento de información.
D o minio A.10 Gestión de las com unicaciones y operaciones
Control A.10.1.1 Procedimientos de Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten.
operación documentados Se debieran preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y
comunicación; tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de
cómputo, manejo del correo y seguridad.
Los procedimientos de operación debieran especificar las instrucciones para la ejecución detallada de cada trabajo incluyendo:
 Controles

Nivel Ctrl Título Descripción

D o minio A.11 Control del acceso
Control A.11.1.1 Política de control del Se debiera establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso.
acceso Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se debieran establecer claramente en la política de control de acceso.
Los controles de acceso son tanto lógicos como físicos (ver también la sección 9) y estos debieran ser considerados juntos. Se debiera proporcionar a los
usuarios y proveedores del servicio un enunciado claro
de los requerimientos comerciales que debieran cumplir los controles de acceso.
La política debiera tomar en cuenta lo siguiente:
D o minio A.12 Adquisición, desarrollo y m antenim iento de los sistem as de inform ación
Control A.12.1.1 Análisis y especificación Los enunciados de los requerimientos comerciales para los sistemas de información nuevos, o las mejoras a los sistemas de información existentes, debieran
de los requerimientos de especificar los requerimientos de los controles de seguridad.
seguridad
D o minio A.13 Gestión de un incidente en la seguridad de la inform ación
Control A.13.1.1 Reporte de eventos en la Los eventos de seguridad de la información debieran ser reportados a través de los canales gerenciales apropiados lo más rápidamente posible.
seguridad de la Los procedimientos de reporte debieran incluir:
información
D o minio A.14 Gestión de la continuidad del negocio
Control A.14.1.1 Incluir la seguridad de la Se debiera desarrollar y mantener un proceso gerencial para la continuidad del negocio en toda la organización para tratar los requerimientos de seguridad de la
información en el proceso información necesarios para la continuidad comercial de la organización.
de gestión de continuidad El proceso debiera reunir los siguientes elementos claves de la gestión de continuidad del
del negocio negocio:
D o minio A.15 Cum plim iento
Control A.15.1.1 Identificación de la Se debiera definir explícitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la
legislación aplicable organización para satisfacer esos requerimientos, para cada sistema de información y la organización.
RIESGO
Gestión de Riesgos

AS/NZS 4360:1999
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la
caracterización de un proceso de gestión de riesgos. Tras su primer ciclo de revisión, la
versión más reciente data de 2004 y conforma un paquete completo que incluye el
manual de apoyo HB 436:2004
BS 7799-3:2006
La norma británica BS 7799-3:2006, “Sistemas de Gestión de Seguridad de la Información-
Parte 3: Guías para la gestión de riesgos de seguridad de la información”
NIST’s Risk Management Guide for Information Technology Systems (NIST-SP-800-30
“Guía de Gestión de riesgos para sistemas de tecnologías de información”, presenta
definiciones y una guía práctica para evaluar y mitigar riesgos identificados en los sistemas
de TI
ISO/IEC 27005:2008
Tecnologías de la información-Técnicas de Seguridad-Gestión del riesgo de seguridad de la
información”, forma parte de la familia ISO 27000, conjunto de estándares desarrollados
por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña
Gestión de Riesgos

Conformidad
Nombre País Año Organización Herramienta
Regulatoria

ISO/IEC 27001/2005
ISO/IEC ISO-International Organization
Internacional (Suiza) 2008 ISO/IEC 13335/2004 No
27005:2008 for Standardization
ISO/IEC 27002/2005

BS 7799-3:2006 Reino Unido 2006 BSI-British Standards Institution ISO/IEC 27001/2005 No

AS/ZNS-Australian
AS/NZS
Australia/Nueva Zelanda 2004 Standards/New Zealand N/A No
4360:2004
Standards

ISO/IEC 27001/2005
ISO/IEC 15408/2005
Consejo Superior de Sí, (EAR/
MAGERIT España 2006 ISO/IEC 17799/2005
Administración Electrónica Pilar)
ISO/IEC 13335/2004
LOPD 15/1999

ISO/IEC17799
CCTA-Central Computing and
CRAMM Reino Unido 2003 GLBA Sí , CRAMM expert
Telecommunications Agency
HIPPA
Carnegie Mellon University
2001- CERT
OCTAVE Estados Unidos N/A Sí
2007 (Computer Emergency Response
Team)
NIST-National Institute of
NIST SP 800-30 Estados Unidos 2002 N/A No
Standards and Technology
Gestión de Riesgos
ISACA - Risk IT
ISACA - Risk IT Tres Dominios
 Técnicas Gestión de Riesgos - ISO 31010
Risk assessment process
ID Tools and techniques Risk Risk analysis Risk Annexo
Identification Consequence Probability Level of risk evaluation

1 Brainstorming SA NA NA NA NA B01

2 Structured_or_semi-structured_interviews SA NA NA NA NA B02
3 Delphi SA NA NA NA NA B03
4 Check-lists SA NA NA NA NA B04
5 Primary_hazard_analysis SA NA NA NA NA B05

6 Hazard_and_operability_studies_(HAZOP) SA SA A A A B06
7 Hazard_Analysis_and_Critical_Control_Points_(HACCP) SA SA NA NA SA B07

8 Environmental_risk_assessment SA SA SA SA SA B08
9 Structure_«_What_if?_»_(SWIFT) SA SA SA SA SA B09

10 Scenario_analysis SA SA A A A B10

11 Business_impact_analysis A SA A A A B11
12 Root_cause_analysis NA SA SA SA SA B12
13 Failure_mode_effect_analysis SA SA SA SA SA B13
14 Fault_tree_analysis A NA SA A A B14

15 Event_tree_analysis A SA A A NA B15
SA Strongly applicable
NA Not applicable
A Applicable.
 Técnicas Gestión de Riesgos - ISO 31010
Risk assessment process
ID Tools and techniques Risk Risk analysis Risk Annexo
Identification Consequence Probability Level of risk evaluation

16 Cause_and_consequence_analysis A SA SA A A B16

17 Cause-and-effect_analysis SA SA NA NA NA B17
18 Layer_protection_analysis_(LOPA) A SA A A NA B18

19 Decision_tree NA SA SA A A B19

20 Human_reliability_analysis SA SA SA SA A B20
21 Bow_tie_analysis NA A SA SA A B21
22 Reliability_centred_maintenance SA SA SA SA SA B22
23 Sneak_circuit_analysis A NA NA NA NA B23
24 Markov_analysis A SA NA NA NA B24

25 Monte_Carlo_simulation NA NA NA NA SA B25
26 Bayesian_statistics_and_Bayes_Nets NA SA NA NA SA B26
27 FN_curves A SA SA A SA B27

28 Risk_indices A SA SA A SA B28
29 Consequence/probability_matrix SA SA SA SA A B29

30 Cost/benefit_analysis A SA A A A B30
31 Multi-criteria_decision_analysis_(MCDA) A SA A SA A B31
SA Strongly applicable
NA Not applicable
A Applicable.
CONTINUIDAD
DE NEGOCIOS
Continuidad Negocios - BCP - DRP

BCM
BS 25999 – 1 2006
Código de Buenas Prácticas
Continuidad Negocios - BCP - DRP

BCMS
BS 25999 – 2 2007
Especificación del Sistema de Gestión
Relación entre RPO y RTO
PCI
PCI
Conjunto de Estándares

Dispositivos Aplicaciones Se aplica a todas las

áreas de cualquier
negocio que almacena,
procesa y transmite la
información de tarjeta
habiente

32
 Proceso de Cumplimiento

Asesoramiento

Actividades de
Gap Analysis
remediación

Auditoría

Escaneos de seguridad
Certificación
 Controles Recurrentes

Al menos se requieren recurrentemente 5 tipos de

verificaciones técnicas de seguridad periódicas a la
infraestructura de datos de tarjetas

Fuente: Segurinfo 2012

PCI
PCI DSS12 Requerimientos

Fuente: Segurinfo 2012

# R Req. Requisitos
1.1 Establecer los estándares de Configurar del router y firewall que incluyen lo siguiente:
1 1.1, 1.1.1
1.1.1 Un proceso formal para aprobar y probar todas las conexiones de red y los cambios a las configuraciones de cortafuegos y el router
1 1.1.2 1.1.2 diagrama de la red actual con todas las conexiones a los datos de los tarjetahabientes, incluyendo las redes inalámbricas.
1 1.1.3 1.1.3 Requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de red interna.
2.1 Cambiar siempre suministrados por el proveedor por defecto antes de instalar un sistema en la red, incluyendo pero no limitado a las contraseñas,
2 2.1
Simple Network Management Protocol (SNMP) cadenas de comunidad, y la eliminación de cuentas innecesarias
2.1.1 En los ambientes inalámbricos conectados al entorno de datos del titular o la transmisión de datos de los tarjetahabientes, cambiar los valores
2 2.1.1 predeterminados inalámbricos de proveedores, incluyendo pero no limitado por defecto claves de cifrado inalámbrico, contraseñas, y las cadenas de
comunidad SNMP.
2.2 Desarrollar normas de Configurar para todos los componentes del sistema. Asegúrese de que estas normas se refieren a todas las vulnerabilidades
2 2.2
de seguridad conocidas y son coherentes con aceptadas por la industria de sistemas estándares de endurecimiento.
3.2 No almacene datos confidenciales de autenticación después de la autorización (aun cuando estén cifrados).
Los datos confidenciales de autenticación incluyen los datos citados en los Requisitos 3.2.1 a 3.2.3.
3 3.2
Nota: Se permite que los emisores y empresas que apoyan servicios de emisión para almacenar datos confidenciales de autenticación si hay una
justificación de negocio y los datos se almacenan de forma segura.
3.2.1 No almacene contenidos completos de ninguna pista de la banda magnética (que se encuentra en la parte posterior de una tarjeta, los datos
3 3.2.1 equivalentes contenidos en un chip, o en otro lugar). Estos datos se denominan alternativamente, pista completa, pista, pista 1, pista 2, y datos de
banda magnética.
4.1 Uso de criptografía fuerte y protocolos de seguridad (por ejemplo, SSL / TLS, IPSec, SSH, etc) para salvaguardar los datos confidenciales de los
4 4.1
tarjetahabientes durante su transmisión a través de redes públicas abiertas.
4.1.1 Asegúrese de redes inalámbricas que transmiten datos de los tarjetahabientes o conectado a el entorno de datos, utilice las mejores prácticas de
4 4.1.1 la industria (por ejemplo, IEEE 802.11i) para implementar el cifrado fuerte para la autenticación y transmisión.
Nota: El uso de WEP como un control de seguridad se prohibió el 30 de junio de 2010.
4.2 No enviar nunca PAN no protegidos por las tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea,
4 4.2
chat, etc).
5.1 Implementar el software antivirus en todos los sistemas comúnmente afectados por software malicioso (en especial los ordenadores personales y
5 5.1
servidores).
5.1.1 Asegúrese de que todos los programas anti-virus son capaces de detectar, eliminar y proteger contra todos los tipos conocidos de software
5 5.1.1
malicioso.
5 5.2 5.2 Asegúrese de que todos los mecanismos anti-virus están al día, ejecutando de forma activa, y generar registros de auditoría.
# R Req. Requisitos
6.1 Asegurar que todos los componentes del sistema y el software están protegidos contra las vulnerabilidades conocidas por tener las últimas
6 6.1
suministrados por el proveedor de parches de seguridad instalados. Instale los parches críticos de seguridad dentro de un mes de su lanzamiento.
6.2 Establecer un proceso para identificar y asignar una clasificación de riesgos de las vulnerabilidades de seguridad descubiertas recientemente.
Nota: Clasificación de los riesgos deben basarse en las mejores prácticas de la industria. Por ejemplo, los criterios de clasificación vulnerabilidades de
"alto" riesgo pueden incluir una puntuación básica CVSS de 4,0 o superior, y / o un parche suministrado por el proveedor clasificada por el fabricante
6 6.2
como "crítico", y / o una vulnerabilidad que afecta a un componente crítico del sistema.
Nota: La clasificación de las vulnerabilidades como se definen en 6.2.a se considera una buena práctica al 30 de junio de 2012, después de lo cual se
convierte en un requisito.
7.1 Limitar el acceso a los componentes del sistema y los datos de los tarjetahabientes solamente a aquellos individuos cuyo trabajo requiere el
acceso. Limitaciones de acceso debe incluir lo siguiente:
7 7.1, 7.1.1
7.1.1 Restricción de los derechos de acceso a los ID de usuario con privilegios de los privilegios mínimos necesarios para llevar a cabo las
responsabilidades del trabajo
7 7.1.2 7.1.2 La asignación de privilegios se basa en la clasificación de la tarea del personal y la función
8.1 Asignación de todos los usuarios de un nombre de usuario único antes de permitirles acceder a los componentes del sistema o los datos de los
8 8.1
tarjetahabientes.
8.5 Asegurar la adecuada identificación de usuario y la gestión de la autenticación de usuarios no consumidores y administradores en todos los
8 8.5, 8.5.1 componentes del sistema de la siguiente manera:
8.5.1 Control de adición, supresión y modificación de los IDs de usuario, credenciales y otros objetos de identificación.
8 8.5.2 8.5.2 Verificar la identidad del usuario antes de realizar el restablecimiento de contraseñas.
9.1 Uso de entrada de las instalaciones apropiadas de control para limitar y controlar el acceso físico a los sistemas en el entorno de datos de los
9 9.1
tarjetahabientes.
9.1.1 Uso de cámaras de vídeo y / o mecanismos de control de acceso para controlar el acceso físico individual a las zonas sensibles. Revise los datos
9 9.1.1
recopilados y se correlacionan con otras entradas. Almacene por lo menos durante tres meses, a menos que se restrinja por ley.
10.1 Establecer un proceso para vincular todos los accesos a los componentes del sistema (especialmente el acceso hacerse con privilegios
10 10.1
administrativos, como la raíz) a cada usuario individual.
10.2 Implementar pistas de auditoría automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos:
10 10.2, 10.2.1
10.2.1 Todo individuo tiene acceso a los datos de los tarjetahabientes.
11.1 Prueba de la presencia de puntos de acceso inalámbricos no autorizados y detectar puntos de acceso inalámbricos en una base trimestral.
Nota: Los métodos que pueden utilizarse en el proceso incluyen, pero no se limitan a, los análisis de redes inalámbricas, las inspecciones físicas /
11 11.1
lógicas de los componentes del sistema y la infraestructura, la red de control de acceso NAC), o IDS e IPS inalámbricos.
Cualquiera que sea métodos se utilizan, deben ser suficientes para detectar e identificar todos los dispositivos no autorizados.
11.2 Ejecutar la vulnerabilidad de la red interna y externa analiza por lo menos trimestralmente y después de cualquier cambio significativo en la red
(por ejemplo, las nuevas instalaciones de los componentes del sistema, cambios en la topología de la red, modificaciones de reglas de firewall,
11 11.2, 11.2.1 actualizaciones de productos).
11.2.1 Realizar análisis trimestrales de vulnerabilidades internas.
12 12.1 12.1 Establecer, publicar, mantener y difundir una política de seguridad que lleva a cabo lo siguiente:
12 12.1.1 12.1.1 Aborda todos los requisitos de PCI DSS Prioridad 1
12 12.1.2 12.1.2 Incluya un proceso anual que identifica las amenazas y vulnerabilidades, y los resultados de una evaluación formal de riesgos.
A.1 Proteja cada entidad (que es comerciante, proveedor de servicios, u otra entidad) fue mantiene los datos y/o infraestructura, según A.1.1 a A.1.4: Un
A A.1, A.1.1 proveedor de hosting debe cumplir con estos requisitos, así como todas las demás secciones pertinentes de la norma PCI DSS
A.1.1 Asegúrese de que cada entidad sólo se ejecuta procesos que tienen acceso al entorno de datos de los tarjetahabientes de esa entidad
PMG SSI
PMG-SSI
39

Etapas de la Metodología diseñada, en el marco del PMG-SSI

ETAPA 1 ETAPA 2
DIAGNÓSTICO PLANIFICACIÓN

ETAPA 3 ETAPA 4
IMPLEMENTACIÓN EVALUACIÓN

Mejoramiento Continuo
http://ssi.pmg.gov.cl/

39
PMG-SSI y su Integración
40

40
Controles
OTROS
 Otros Temas

Cloud
https://cloudsecurityalliance.org/research/security-guidance/
 Otros Temas

Evaluación de Seguridad
http://www.isecom.org/research/osstmm.html
 Otros Temas

Desarrollo Seguro
https://www.owasp.org/
http://www.opensamm.org/
 Otros Temas

WebTrust
http://www.webtrust.org/item64428.aspx
 Otros Temas

CiberDefensa
http://www.itu.int/cybersecurity/
 Otros Temas

Entidades de Gobierno
http://www.dipres.gob.cl/594/w3-propertyvalue-
16887.html
Entidades Financieras - Procesamiento Externo De Actividades
http://www.sbif.cl/sbifweb/internet/archivos/publicacio
n_6593.pdf
Entidades Certificadoras en Chile
http://www.entidadacreditadora.gob.cl/?page_id=150
 Otros Temas

Chequeo Aplicativo
Análisis Forense
Análisis de Código Malicioso
Móviles
HIPAA
SCADA
….

Año 2013
Estándar ISO en Gobierno de Seguridad de la Información
ISO 27014
Balance

Objetivos Objetivos
Gestión Técnicos

50