Este documento habla sobre la necesidad de implementar estándares de seguridad informática como el AS/NZS ISO/IEC 17799:2001. Explica los obstáculos para la seguridad informática, las 10 áreas que cubre el estándar como políticas de seguridad, seguridad organizacional, control de activos, y el ciclo de vida de la seguridad informática que incluye fases de evaluación, planificación, implementación y monitoreo.
2. Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida de la Seguridad Informática Conclusiones Propuesta para los miembros del IIMV
3. Introducción La Información es un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita “Protección Adecuada”.
4. Introducción Tipos de Información Impresos o escritos en papel. Almacenada electrónicamente. Transmite por correo o en forma electrónica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de información.
5. Introducción La implementación de esquemas de Administración de la Seguridad Informática en la institución debe seguir estándares y mejores prácticas del mercado. Es una necesidad del negocio ante las circunstancias actuales.
8. Obstáculos Falta de conciencia de usuarios finales. Presupuesto. Falta de apoyo de la alta gerencia. Falta de Entrenamiento. Pobre definición de responsabilidades. Falta de herramientas. Aspectos legales.
10. AS/NZS ISO/IEC 17799:2001 Conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administración de la Seguridad Informática. Son 127 controles estructurados en diez grandes áreas. Genera confianza entre las instituciones que se relacionan.
11. Porqué está siendo utilizado? Único SASI que es aceptado globalmente. Ayuda a reducir las primas de seguros. Para mejorar la Seguridad de la Información. Eleva la confianza de clientes y aliados en nuestra organización. AS/NZS ISO/IEC 17799:2001
22. AS/NZS ISO/IEC 17799:2001 Las 10 áreas que cubre son: Políticas de Seguridad, Seguridad Organizacional, Clasificación y Control de Activos, Seguridad del Personal, Seguridad Física y ambiental, Administraciones de las Operaciones y Comunicaciones,
27. 1. Políticas de Seguridad Objetivo: Proveer dirección y soporte administrativo para la seguridad de Información. La administración superior debe definir una política clara y apoyar la Seguridad de la Información a través de la creación y mantenimiento de una política de seguridad de la información a lo largo de la organización.
28. 1. Políticas de Seguridad Documento de Políticas de Seguridad. Debe ser aprobado por la administración, publicado y comunicado a todos los empleados. Revisión y Evaluación. La política debe ser administrada por una persona quién es responsable de su mantenimiento y revisión de acuerdo a un proceso definido.
29. 2. Seguridad Organizacional Infraestructura de la Seguridad de la Información: Objetivo: Administrar la seguridad de la Información dentro de la organización. Consejo directivo o un grupo designado por este debería de asumir la responsabilidad de la seguridad de información.
30. 2. Seguridad Organizacional Infraestructura de la Seguridad de la Información: Deben ser claramente definidas las responsabilidades para la protección de activos de información ó físicos y procesos de seguridad. Se deben establecer procesos de autorización para nuevas facilidades de procesamiento de la información. Es recomendable disponer de la asesoría de un especialista de seguridad (para propósitos de evaluación o de investigación de incidentes).
31. 2. Seguridad Organizacional Seguridad en el acceso de terceros: Objetivo: Mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al que acceden terceras partes. Revisar los tipos de acceso (físicos y lógicos). Contratos deben incluir controles.
55. Prevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio.
56. Los elementos que forman parte del procesamiento de información sensitiva o crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad definido con controles apropiados de entrada.
59. Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.
60. Los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados constantemente.
61.
62. Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, como:
63. Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.
64.
65. Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas, (las acciones de emergencias deben ser documentadas en detalle).
66. La segregación de tareas es un método de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas.
70. Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.
75. Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.
76. Política para proteger contra los riesgos asociados al obtener archivos o software de redes externas.
77.
78. 6. Administración de Comunicaciones y Operaciones Soporte Continuo. Objetivo: Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación.. Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes controles: Documentación de los Backups, copias adicionales y almacenadas en una localidad remota. Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente.
116. Los sistemas deben ser monitoreados para detectar desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad.
127. Actuar ante interrupciones de las actividades del Negocio y proteger procesos críticos del negocio de los efectos de fallas o desastres considerables..
128. Marco de trabajo para el planeamiento de las actividades del negocio.
129. Un solo marco de trabajo de los planes de continuidad del negocio deben ser mantenidos para asegurarse que todos son desarrollados en forma consistentes , pruebas y mantenimiento.
130.
131. Evitar brechas o violaciones a cualquier ley criminal o civil, regulatoria o contractual.
132.
133. Ciclo de vida de la Seguridad Informática Ciclo en el cual se mantiene la seguridad informática en la organización. Está formada por un conjunto de fases. Es un método continuo para mitigar el riesgo.
134. Fases del proceso de seguridad Como lo define el Sans Institute 2001
147. Fases del proceso de seguridad.Evaluación Administración de Riesgos: Método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o procesos para minimizar pérdidas. La Administración de Riesgos se puede basar en el Estándar Australiano AS/NZ 4360:1999.
148. Fases del proceso de seguridad.Evaluación Establecer el Contexto e Identificar los riesgos Tratar riesgos, Monitorear y comunicar Análisis y Evaluación de los Riesgos Administración (basada en el estándar AS/NZ 4360)
149. Actividades a desarrollar para evitar que sucedan acciones indeseables. Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales. Fases del proceso de seguridad.Diseño
150. Fases del proceso de seguridad.Diseño Necesitamos políticas? Empleados accesando Internet? Problemas con el uso de la red o el email? Empleados utilizando información confidencial o privada? Acceso remoto a la organización? Dependencia de los recursos informáticos? Políticas define que prácticas son o no son aceptadas.
151. Fases del proceso de seguridad.Diseño Como concientizar? En persona, por escrito o través de la Intranet. Reuniones por departamento. Publicar artículos, boletines, noticias. Crear un espacio virtual para sugerencias y comentarios. Enviar emails con mensajes de concientización. Pegar letreros en lugares estratégicos. Dar premios a empleados. Exámenes On-line. Crear eventos de Seguridad Informática.
169. Propuesta de Proyecto “Harmonizacion de la Seguridad Informática” Objetivo Estratégico:Implementar esquemas de Seguridad Informática basados en Metodologías y estándares de la Industria de tal forma que se forme una base de conocimiento común entre las instituciones miembro del Instituto Iberoamericano de Valores. Conformar un equipo de trabajo en Seguridad informática Regional, bajo la Coordinación del Instituto Iberoamericano de Valores, integrado por profesionales en tecnología de información de los BC’s. Elaborar guía para realización del Diagnóstico Estándares de Seguridad
174. Tomando como base diagnóstico realizado, se tomarán todas aquellas acciones y recomendaciones que consideren más adecuadas a fin de implementarlas en cada institución.Estándares de Seguridad
175. Propuesta de Proyecto “Harmonizacion de la Seguridad Informática” Elaborar planes de Trabajo institucionales de implementación de dichas recomendaciones Producto de las Políticas y estándares anteriores, cada institución deberá implementar las medidas preventivas y correctivas del caso con el objetivo de nivelar los esquemas de seguridad informática Implementar y dar seguimiento al Plan de Trabajo, propio de cada Institución. Estándares de Seguridad