CISM 2007 - Gu a de Estudio - Resumen v1.0

)o( ISACA – CISM - 2007

Resumen

Página 1 de 24

CISM 2007 - Guía de estudio – Resumen CAPÍTULO 1: GOBIERNO DE LA SEGURIDAD DE INFORMACION (21% - 42 preg) Definición: Establecer y mantener un marco que garantice que las estrategias de seguridad de información están acordes con los objetivos del negocio y son congruentes con las leyes y disposiciones aplicables. Objetivo: El objetivo del gobierno de la seguridad de información es desarrollar un sistema para la dirección y el control de las organizaciones. e integrar planes de seguridad dentro del contexto más grande de planeación de negocio y tecnologías de información (TI). El gobierno de la seguridad implica el desarrollo y la integración de una estructura administrativa y una organización con procesos de presentación de información que abarquen todos los aspectos de un programa exitoso de seguridad y que garanticen a la gerencia del negocio la definición y la administración apropiada de los riesgos. Tareas:

1. Desarrollar la estrategia de la seguridad de información como apoyo a la estrategia y la dirección de negocio.

2. Obtener el compromiso y patrocinio de la gerencia para la seguridad de la información en toda la empresa.

3. Garantizar que las actividades de gobierno de seguridad de información estén incluidas en las definiciones de los roles y las responsabilidades en toda la empresa.

4. Establecer canales de comunicación y presentación de información que apoyen las actividades de gobernación de seguridad de información.

5. Identificar temas legales y regulatorios tanto reales como posibles que afecten la seguridad de la información y determinar el impacto que tendrían en la empresa.

6. Establecer y mantener políticas de seguridad de información que ayuden a alcanzar los objetivos y las metas del negocio.

7. Desarrollar procedimientos y pautas (“guidelines”) que respalden las políticas de seguridad de información.

8. Desarrollar un caso de negocio case y análisis de valor de la empresa que justifiquen las inversiones en los programas de seguridad de información.

Estrategia de seguridad de información

Complemento de la estrategia y la dirección del negocio. Basada en objetivos, procesos, métodos, herramientas y técnicas de seguridad. Debe mitigar riesgos, ser un apoyo para los objetivos de la organización y maximizar el

valor para aquellos que tengan algún interés en la organización, y al mismo tiempo permitir el cumplimiento con los requerimientos legales, contractuales y regulatorios del negocio.

Conceptos: S. I. definida en términos de proteger Confidencialidad, integridad, disponibilidad. Clasificación de la información: Relación entre la seguridad de la información y las operaciones de negocio:

Entender la visión, misión y valores del negocio. Entender los objetivos de negocio y procesos críticos. Obtener un entendimiento y patrocinio de la gerencia. Desarrollar procedimientos y pautas de seguridad que sean acordes con los objetivos de negocio

de la organización. Establecer un proceso de gobierno de seguridad. Establecer un sistema de métricas para monitorear el índice de éxito de las políticas de gobierno

de seguridad de información. Roles y responsabilidades de Gobierno (pirámide):

Comité Ejecutivo: CFO, CIO, VP IT, (CEO), COO (diseño e implementación de la infraestructura de seguridad).

Consejo Administrativo: CIO, VP Finanzas Consejo de gobierno de seguridad de la empresa: CISO, CRO Equipos de administración operativa de servicios: CTO, VP Servicios, COO


Resumen

Página 2 de 24

Pirámide de gobierno corporativo: Chairman -> Presidente Board of Directors -> Consejo de Administración o Junta Directiva

CEO CFO COO ==> executive or senior vice president.

CIO CTO CMO CISO ==> high level corporate manager CEO (Chief Executive Officer) -> Consejero delegado (Es) o Director ejecutivo (LAm) Miembro del consejo en quien delega sus funciones el Presidente, convirtiéndose en el máximo responsable tras él. CFO (Chief Financial Officer) responsable de gestionar los riesgos financieros del negocio. Reporta al CEO COO (Chief Operating Officer) Responsable de las decisiones operativas cotidianas, y de los resultados de las operaciones en curso. Reporta a CEO. CIO (Chief Information Officer) Responsable de gestionar los recursos y procesos de tecnologías de la información. Reporta al CEO o COO. CTO (Chief Technical/technology Officer) Responsable de gestionar la dirección científico-técnica de la empresa. En empresas no tecnológicas reporta al CIO, pero en tecnológicas reporta directamente al CEO. CISO (chief Information Security Officer) Responsable de la estrategia de seguridad de la información. En empresas no tecnológicas reporta al CIO, pero en tecnológicas reporta directamente al CEO. CSO (chief security officer) ejecutivo responsable de la seguridad. A veces es un perfil de seguridad física para diferenciarlo del CISO. CMO (Chief Marketing Officer). Responsable de las actividades de relativas al marketing. Reporta al CEO. Técnicas para obtener el apoyo de la gerencia:

Alinear los objetivos de la seguridad con los objetivos de negocio para que la gerencia comprenda y aplique las políticas y los procedimientos de seguridad.

Identificar las posibles consecuencias de no alcanzar determinados objetivos relacionados con la seguridad y el cumplimiento regulatorio. (tratarlos como un riesgo)

Identificar temas del presupuesto de tal forma que la gerencia pueda cuantificar los costos del programa de seguridad.

Utilizar modelos de riesgos / beneficios de proyectos comúnmente aceptados, tales como costo total de propiedad (TCO) o costo-beneficio, para cuantificar los beneficios y los costos de un programa de seguridad.

Definir las medidas de auditoria y monitoreo que se incluirán en el programa de seguridad Definir un proceso de cumplimiento. Utilizar métodos, como cuadros de mando (balanced scorecards business) para proporcionar a

la gerencia un medio para analizar el avance del programa de seg. Requerir que la administración de riesgos se integre a la operación del programa de seguridad Asegurarse de que se definan claramente las responsabilidades. Asistir a juntas con el personal del departamento y hacer presentaciones. El personal notará el

compromiso de los jefes departamentales durante dichas juntas. Áreas de Gobierno:

Análisis, evaluación y administración de riesgos. Administración de clasificación de datos. Seguridad de redes. Acceso a los sistemas. Administración de cambios. Análisis de impacto al negocio. Presentación de información. Manejo de crisis. Continuidad de la organización. Monitoreo de la seguridad.

Procesos para vincular las políticas a los objetivos de negocio:


Resumen

Página 3 de 24

Si la inversión en la seguridad de información es proporcional o no al perfil de riesgo de la organización y a sus objetivos de negocio.

La clasificación de información/datos que se requiere de la organización de manera que se puedan implementar políticas de seguridad para su protección. (propietario/custodia/usuario)

Si las políticas de seguridad están debidamente diseñadas, implementadas y aplicadas para proteger la información de la organización.

Elementos que forman un programa de seguridad de la información:

Políticas: declaraciones de alto nivel de conceptos y expectativas en base a un perfil de amenazas.

Normas: métricas o procesos que se utilizan para determinar si los procedimientos cumplen con los requerimientos de las políticas.

Procedimientos: Entregables que incluyen en detalle los pasos necesarios para cumplir con tareas especificas y que cumplan las normas.

Pautas (“guidelines”): Las pautas proveen recomendaciones que la gerencia de negocios debe considerar al desarrollar prácticas dentro de sus áreas de control (discrecional)

Los procedimientos y las pautas respaldan las políticas. Bases del modelo de mejora de procesos: Apoyo de gerencia, concienciación, responsabilidad, evaluación, comunicación y control de cambios. Modelo de madurez: Métodos de Análisis de Valor: ROI (Return of Inversion), TCO (Total Cost of Operations), ROSI (Return on Security Investment). ROI vs ALE (expectativa de pérdida anual) ALE = SLE (expectativa de pérdida única) x ARO (frecuencia esperada de ocurrencia) Realizar un Business Case mediante análisis costo-beneficio y planes de migración de la empresa. Standards internacionales de seguridad aceptados: BS 7799, ISO 17799. Leyes: SOX,


Resumen

Página 4 de 24

CAPÍTULO 2: ADMINISTRACIÓN DE RIESGOS (21% - 42 preg) Definición: Identificar y administrar los riesgos en la seguridad de información para alcanzar los objetivos de negocio. Objetivo: El objetivo de la administración de riesgos es identificar, cuantificar y administrar los riesgos de la seguridad de información para alcanzar los objetivos de negocio mediante una serie de tareas que requieren del conocimiento del gerente de seguridad de información sobre técnicas clave para la administración de riesgos. Tareas:

1. Desarrollar un proceso de administración de riesgos continuo, analítico y sistemático. 2. Asegurar que las actividades de identificación. análisis y mitigación de riesgos estén integradas

en los procesos del ciclo de vida. 3. Aplicar los métodos de identificación y análisis de riesgos. 4. Definir estrategias y priorizar las opciones para mitigar el riesgo a niveles aceptables para

la empresa. 5. Presentar información sobre cambios significativos en los riesgos a niveles jerárquicos

apropiados tanto de forma periódica como a medida que suceda algún incidente. La administración de riesgos es el proceso de garantizar que el impacto de las amenazas que explotan las vulnerabilidades esté dentro de límites y costos aceptables. Se logra mediante un equilibrio entre la exposición al riesgo y los costos de mitigación. El riesgo es la probabilidad de que un incidente o transacción ocasione pérdidas financieras o datos patrimoniales a la empresa, su personal, sus activos o su reputación en general.

Riesgo = Valor (activos) x Vulnerabilidades x Amenazas Para determinar el nivel razonable de riesgo aceptable, el administrador de riesgos debe determinar el punto óptimo en el cual el costo de las pérdidas se intersecta con el costo de controles. Existen cuatro opciones estratégicas:

Cesar la actividad que da origen al riesgo. Transferir el riesgo a otra parte. Reducir el riesgo mediante el uso de medidas y mecanismos de control apropiados. Aceptar el riesgo.

Los controles pueden atacar el riesgo directamente o pueden ser controles compensatorios que mitiguen los efectos de una incidencia. La conveniencia de los controles implica evaluar:

La probabilidad de que ocurra una pérdida La magnitud y el efecto del impacto

Para determinar la probabilidad de la incidencia se requiere de un criterio comercial. Si el costo de los controles (gastos indirectos por controles) excede los beneficios, una organización puede decidir aceptar el riesgo en vez de incurrir en costos adicionales para asegurar sus sistemas. Programa sistemático de administración de Riesgos La política para la administración de riesgos incluye los objetivos y los compromisos para la administración de riesgos. La organización debe:

Garantizar el programa de planeación y recursos se establezca v mantenga. Definir los pasos a seguir para implementar un sistema efectivo de administración de riesgos

(Programa de Implementación) Garantizar que se revise el sistema de administración de riesgos (Revisión de Administración) La administración de riesgos puede aplicarse a muchos niveles de la organización (estratégicos u

operativos). También puede aplicarse a proyectos, decisiones o procesos específicos. Para cada etapa del proceso, se deben mantener controles adecuados que sean suficientes para

aprobar una auditoría independiente.


Resumen

Página 5 de 24

Desarrollo del Programa de administración de Riesgos: Establecer el propósito. Puede ser reducir el costo de seguros o reducir el número de daños

relacionados con el programa. Es una decisión de negocio basada más en el juicio que en mediciones cuantitativas.

Designar a una persona o equipo que sea responsable del programa. El proceso debe estar dirigido por el negocio, no por la tecnología.

Categorías individuales de riesgo:

Riesgo ambiental operativo y de instalaciones Riesgo de salud y seguridad Riesgo de seguridad de información Riesgo de marcos de control Riesgo legal y de incumplimiento regulatorio Riesgo de gobierno corporativo: incumplimiento de los directores con sus obligaciones

regulatorias personales Riesgo reputacional Riesgo estratégico: No cumplir con las metas estratégicas a largo plazo Riesgo de procesamiento y desempeño: problemas con la entrega del servicio o producto Riesgo tecnológico Riesgo de administración de proyectos Riesgo de actos ilícitos o delictivos Riesgo de RRHH: No reclutar, desarrollar o retener a los empleados que cuenten con habilidades Riesgo de proveedores Riesgo de información administrativa Riesgo de ética Riesgo geográfico Riesgo cultural Riesgo climático

Los cuatro conceptos relacionados con la identificación y el análisis de riesgos son:

Incidente de riesgo - una posible incidencia que puede dificultar el logro de los objetivos de la organización.

Probabilidad - la posibilidad de que el incidente de riesgo ocurra dentro de un periodo definido. Valor esperado - el impacto cuantificable que tendría el incidente de riesgo en la organización. Impacto - el valor tangible e intangible del efecto que tendría el incidente de riesgo en la

organización. El resultado de cualquier vulnerabilidad que sea explotada por las amenazas. Marco para el análisis de riesgo:

REPETIR { VALUACIÓN de Activos | |---> EVALUACIÓN de Vulnerabilidad ---> EVALUACIÓN de Amenazas | | |----> EVALUACIÓN de Riesgos <-----| | |----> EVALUACIÓN de Control < --- Acciones Preventivas | |----> RIESGO Residual | |----> PLAN DE ACCIÓN }


Resumen

Página 6 de 24

Riesgo sin límites: no existe limitación en el impacto. Riesgo conjunto: Una amenaza en particular puede afectar a un gran número de vulnerabilidades menores que en conjunto pueden tener un impacto muy significativo. Riesgo residual: riesgo que permanece si se determina que la acción preventiva es menos que del todo efectiva. Permanecen aun después de que se han aplicado los controles. La gerencia puede hacer uso del riesgo residual para identificar aquellas áreas en las cuales se requiere de mayor control para reducir aún más el riesgo. La gerencia puede establecer un objetivo para un nivel aceptable de riesgo. Evaluar, determinar y clasificar (priorizar) el riesgo:

Primero identificar y clasificar los recursos de información para determinar la confidencialidad de los activos. El proceso de evaluación de activos consiste en relacionar todos los valores en una forma financiera común. Es importante que la evaluación incluya los posibles efectos dañinos resultantes. Se requiere considerar el valor de la información desde la perspectiva del daño potencial o consecuencias significativas que resulten de intrusión o divulgación no intencional.

Ejemplos de activos: Información y datos, hardware, software, servicios, documentos, personal. Las amenazas son circunstancias o incidentes que tienen la probabilidad de ocasionar daño a

un recurso de información al explotar las vulnerabilidades en el sistema. Muchas deficiencias en los sistemas de TI pueden sacarse a la luz mediante el uso de equipo de

escaneo automatizado. Una vez que se ha establecido todos los riesgos individuales, se combinan para conformar una

perspectiva general del riesgo. La clave para la administración de riesgos está en el proceso de tratamiento o mitigación de

riesgos Los controles pueden ser una combinación de elementos que garantice la efectividad de las medidas (acciones, dispositivos, procedimientos o técnicas). Responsabilidades del Gerente de Seguridad de Información:

Garantizar que se cuente con mecanismos de medición (métricas) para determinar el riesgo y la efectividad de las medidas de seguridad, así como para mitigarlo. (Proceso de administración de riesgos)

Entender, tanto en lo referente a recursos internos como externos, los procesos de negocio y los recursos de información que son críticos para cada línea de negocio.

Entender las necesidades de confidencialidad, integridad y disponibilidad de la organización. Asegurar que las actividades de identificación, análisis y mitigación de riesgos se integren al ciclo

de vida de los procesos. Debe conocer las modificaciones propuestas. Los cambios no se deben hacer sin considerar las implicaciones que tendrían en la seguridad de los recursos de información. Debe participar como miembro de Comité de Control de Cambios e intentar garantizar que todos los cambios significativos están sujetos a revisión y aprobación por parte de seguridad.

Considerar la administración de riesgos como si tuviera un ciclo de vida. Los gerentes de proyecto se pueden encargar de la administración de riesgos.

Abordar los diferentes tipos de riesgos, tales como el operativo, el físico y el de proyecto. Manejar y presentar información sobre el estado de los riesgos identificados.

Los métodos de identificación de riesgos deben:

Examinar todas las áreas de los recursos de información de una organización en forma sistemática y objetiva.

Ser proactivos, más que reactivos, en su enfoque. Sintetizar todas las fuentes disponibles de información de riesgo tanto internas como externas.

Metodologías para la valuación de recursos de información: La valuación de los activos de información puede oscilar desde costos por reemplazo o reconstrucción de los datos destruidos hasta posibles sanciones impuestas por las autoridades como resultado de información que está en peligro. En


Resumen

Página 7 de 24

ocasiones se utiliza la valuación discrecional o cualitativa, cuando se toma una decisión independiente con base en el conocimiento del negocio, los directores ejecutivos, perspectivas históricas, las metas de negocio y los factores ambientales. Métodos cuantitativos y cualitativos utilizados para determinar la confidencialidad y la criticidad de los recursos de información, así como el impacto de incidentes adversos descritos en el marco de COBIT, NIST y Octave de CERT. Los riesgos que implican prácticas menos que adecuadas deben identificarse y documentarse claramente y después enviarse a la gerencia para su corrección o aceptación. El estado actual y su relación con el estado futuro que se pretende alcanzar se pueden informar a la gerencia al codificar con colores el grado al cual cada tema está en cumplimiento o no. Se llama informe de semáforo o verde-amarillo-rojo. Mitigación de riesgos:

Controles disuasivos para reducir las amenazas mediante una variedad de medios para reducir el riesgo general.

Controles preventivos para reducir las vulnerabilidades y hacer que un ataque no tenga éxito reducir el impacto que tendría.

Controles correctivos para reducir el impacto. Controles de detección para identificar ataques o investigaciones que conduzcan a un ataque

que desencadenen controles preventivos o correctivos. Se debe equilibrar el costo de las técnicas de seguridad con los riesgos de los recursos de información que se hayan definido en el proceso de evaluación de riesgos. El RTO se define por el negocio como el tiempo de inactividad que puede durar un recurso sin suponer un impacto grave. A menudo se tienen dos perspectivas de RTO. Una de ellas es la de las personas cuyo trabajo es utilizar la información, y la otra es la de la gerencia. El resultado se dividirá entre el plan de continuidad de negocio y el orden de prioridad para la recuperación de los sistemas. Una vez determinados los RTO, la organización puede identificar y desarrollar estrategias de contingencia que permitan alcanzar los RTO de los recursos de información. El gerente de seguridad de información debe tener conocimiento de los objetivos de tiempos de recuperación (RTOs) para los recursos de información en base a las necesidades de negocio como parte de la evaluación general de riesgo. Informar los cambios significativos en el riesgo: A medida que ocurren cambios dentro de la organización, la evaluación de riesgos debe actualizarse para garantizar que sigue siendo una representación exacta. El programa de seguridad debe incluir un proceso mediante el cual una violación significativa a la seguridad o un incidente importante en la seguridad generen un informe especial a la gerencia. Documentación de la política para la administración de riesgos:

Objetivos de la política y razón para la administración de riesgos. Vínculos entre la política para la administración de riesgos y los planes tanto estratégico como

de negocio corporativo de la organización. Alcance y rango de temas a los cuales la política será aplicable. Orientación sobre lo que debe considerarse como riesgo aceptable. Quién es responsable de la administración de riesgos. Experiencia de soporte disponible para ayudar a aquellos encargados de la administración de

riesgos. Nivel de documentación requerido. Plan para revisar el cumplimiento con la política de administración de riesgos.


Resumen

Página 8 de 24

DEFINICIONES: Clasificación de datos: Asignar a los datos un nivel de confidencialidad que resulta en la especificación de controles para cada nivel de clasificación. Los niveles de confidencialidad de datos se asignan de acuerdo con categorías definidas previamente a medida que los datos se generan, modifican. mejoran, almacenan o transmiten. El nivel de clasificación es un indicador del valor o importancia que tienen los datos para la organización. Análisis de amenazas: Una evaluación del tipo, alcance y naturaleza de los incidentes o acciones que pueden resultar en consecuencias adversas; identificación de las amenazas que existen contra los activos de información y la tecnología de información. El análisis de amenazas suele definir también el nivel de amenaza y la probabilidad de que ésta se materialice. Análisis de impacto: Un análisis de impacto es un estudio para determinar los servicios o aplicaciones más críticos de una organización. En un análisis de impacto se identifican amenazas a los activos y se determinan pérdidas de negocio potenciales para diferentes periodos. Esta evaluación se utiliza para justificar el grado de protección que se requiere y los tiempos de recuperación. Este análisis es la base para establecer una estrategia de recuperación. Análisis de impacto al negocio (BIA): Un ejercicio que determina el impacto de perder el soporte de cualquier recurso de una organización, establece el aumento de dicha pérdida con el tiempo, identifica los recursos mínimos que es necesario cubrir y prioriza la recuperación de los procesos y sistemas de soporte. Análisis de criticidad: Un análisis que evalúa los recursos o las funciones del negocio para identificar su importancia la organización, y el impacto que tendría si una función no puede llevarse a cabo o si un recurso no está disponible. Riesgo residual: La cantidad de riesgo que permanece aun después de que se han implementado con roles y acciones preventivas. Objetivo de Tiempo de Recuperación (RTO): Tiempo establecido para la recuperación de una función o recurso del negocio después de que ha ocurrido un desastre. Objetivo de Punto de Recuperación (RPO): Una medición del punto anterior a un corte de energía al cual se debe restablecer los datos. Evaluación de riesgo: Un proceso que se utiliza para identificar y evaluar los riesgos y su posible impacto en la organización en términos cuantitativos o cualitativos. Mitigación de riesgo: La reducción de un riesgo mediante el uso de controles y acciones preventivas. Transferencia de riesgo: El proceso de ceder el riesgo a otra organización, por lo general mediante la compra de una póliza de seguro. Evasión de riesgos: El proceso para evitar un riesgo en forma sistemática


Resumen

Página 9 de 24

CAPÍTULO 3: ADMINISTRACION DEL PROGRAMA DE SEGURIDAD DE INFORMACIÓN (21% - 42) Definición: Diseñar, desarrollar y administrar un programa de seguridad de información con la finalidad de implementar el marco de gobierno de seguridad de información. Objetivo: La administración del programa de seguridad de información tiene por objetivo diseñar. Desarrollar y administrar un programa de seguridad de información para implementar el marco de gobierno de seguridad de información. Tareas:

1. Crear y mantener planes para implementar el marco de gobiemo de seguridad de información. 2. Desarrollar parámetros de seguridad de información. 3. Desarrollar procedimientos y pautas (“guidelines”) que garanticen que los procesos del negocio

tratan el riesgo de seguridad de información. 4. Desarrollar procedimientos y pautas (“guidelines”) para las actividades de infraestructura de

TI a fin de garantizar el cumplimiento con las políticas de seguridad de información. 5. Integrar los requerimientos del programa de seguridad de información a las actividades del

ciclo vital de la organización. 6. Desarrollar métodos para cumplir con los requerimientos de la política de seguridad de

información que consideren el impacto que tendrían en los usuarios finales. 7. Promover la responsabilidad por parte de los dueños del proceso del negocio y otros que

tengan interés en la empresa para administrar los riesgos de la seguridad de información. 8. Establecer métricas para administrar el marco de gobierno de la seguridad de información. 9. Garantizar la identificación, la asignación y la administración de los recursos tanto internos

como externos para la seguridad de información. El objetivo final es garantizar que tanto los sistemas como los recursos de información se administren dentro del nivel de riesgo aceptable. Evaluación de riesgo - proceso que consiste en analizar las amenazas v las vulnerabilidades de un sistema de información y el posible impacto que pudiera resultar de la pérdida de información o las capacidades de un sistema. Este análisis se utiliza como base para identificar acciones preventivas de seguridad que sean apropiadas y rentables. Opciones para tratar el riesgo: Evitarlo, transferirlo o administrarlo en base a factores tales como costo, probabilidad, impacto y mantenimiento. Opciones para la toma de decisiones:

Control de seguridad vs. facilidad de uso Seguridad vs. costo Seguridad vs. probabilidad Seguridad vs. impacto Seguridad vs. mantenimiento

En el análisis de riesgo cuantitativo, el resultado son los valores numéricos que indican el producto de la pérdida en la que se pudiera incurrir si un determinado activo estuviera en peligro de alguna manera multiplicado por la probabilidad de pérdida. En un análisis de riesgo cualitativo el nivel de riesgo para un determinado activo se describe como alto, medio o bajo. Los objetivos de la seguridad para cumplir con los requerimientos del negocio incluyen:

Garantizar la integridad de la información almacenada en sus sistemas de cómputo. Mantener la confidencialidad de los datos. Garantizar la continua disponibilidad de sus sistemas de información. Prevenir el no repudio de operaciones electrónicas Garantizar el apego a las leyes, regulaciones y normas aplicables.

Elementos clave para la administración de la seguridad de información:

Compromiso y apoyo por parte de la gerencia Políticas Roles y responsabilidades Normas


Resumen

Página 10 de 24

Implementación de las medidas prácticas y procedimientos Organización Comunicaciones (concienciación y capacitación)

Responsabilidades relacionadas con la seguridad dentro de la organización:

Dirección ejecutiva Tener la responsabilidad total de la protección de los activos de información.

Dueños de procesos Garantizar que las medidas de seguridad sean congruentes con la política organizacional y que se mantengan

Dueños de datos

Determinar los niveles de clasificación de datos para los activos de información para que la organización de seguridad pueda establecer niveles apropiados de control que satisfagan sus requerimientos de confidencialidad, integridad y disponibilidad

Especialistas/asesores en seguridad

Divulgar y ayudar con el diseño, la implementación, administración y la revisión de la política, las normas y los procedimientos.

Desarrolladores de TI Implementar la seguridad de información en los productos que desarrollan e instalan

Usuarios

Cumplir con la política de seguridad de la organización y seguir las prácticas y los procedimientos de la organización establecidos para aplicar la política de seguridad, entre otros:

Mantener en secreto las claves de acceso y las contraseñas Mantener actualizados los perfiles de virus Notificar sospechas de violaciones a la seguridad Mantener una seguridad física adecuada al mantener las puertas

cerradas, salvaguardar las llaves de acceso, no divulgar las combinaciones para abrir las cerraduras de las puertas y cuestionar a personas ajenas.

Apegarse a las leyes (locales y otras) y regulaciones aplicables Apegarse a las regulaciones sobre la privacidad de la información

confidencial (p.ej. salud, legales, etc.). Auditores de Sistemas de Información (SI).

Brindar confianza a la gerencia en forma independiente sobre la conveniencia y la efectividad de los objetivos de seguridad de información

Comité de Seguridad de SI.

Puesto que las pautas (“guidelines”), las políticas y los procedimientos de seguridad afectan a toda la organización, es necesario que los usuarios finales, la dirección ejecutiva, la administración de seguridad, el personal de SI y los abogados respalden el programa de seguridad y hagan recomendaciones sobre cómo se puede implementar la seguridad en sus respectivos dominios para que la política se aplique con un impacto negativo mínimo en la funcionalidad. Por lo tanto, los individuos que representan a los diversos niveles de la gerencia deben reunirse en un comité para discutir estos temas y establecer prácticas de seguridad. El comité debe establecerse de manera formal con los términos apropiados de referencia o estatutos y minutas regulares de juntas que incluyan acciones que se revisen en cada reunión.

Crear y mantener planes Se necesita desarrollar un plan para:

Definir el marco Obtener la aprobación por parte de la gerencia Implementar el marco de gobierno de la seguridad de información Monitorear su avance y hacer cambios según se requiera

El marco debe incluir también el desarrollo y la implementación de la política, las normas y las pautas de seguridad Métodos para desarrollar un plan de implementación:

Desarrollar el plan de implementación o utilizar los servicios de contratistas/asesores Desarrollar una matriz para ilustrar cómo se debe proteger cada recurso de información


Resumen

Página 11 de 24

Métodos y técnicas para la administración del proyecto En caso de que la organización no tenga establecida una función para el patrocinio de proyectos, el gerente de seguridad de información deberá aplicar técnicas de administración de proyectos generalmente aceptadas, tales como establecer metas, medir el avance, dar seguimiento a fechas limite y asignar responsabilidades en forma controlada y repetible. El plan debe analizarse para determinar el nivel de esfuerzo y los recursos que se requerirán para llevar a cabo cada tarea. Elementos: horas hombre, requerimientos de instalaciones, requerimientos de hardware y software y requerimientos de capacitación. Se debe obtener un cálculo fase por fase del nivel de esfuerzo y recursos y ampliar la suma de esfuerzos expresada en horas para obtener los gastos que implica la implementación. El calendario se puede representar con las tablas de Gantt o los diagramas PERT. En puntos clave/incidentes el presupuesto y el calendario deberán revisarse. Cualquier varianza en el presupuesto o el calendario debe analizarse para determinar la causa y la acción correctiva que se debe tomar para minimizar o eliminar la varianza del proyecto total. Las varianzas y el análisis de éstas deberán informarse oportunamente a la gerencia. Parámetros (baselines) para la seguridad de información Los parámetros para la seguridad de información define la seguridad mínima aceptable que se requiere implementar para proteger los recursos de información de acuerdo con sus respectivos niveles de criticidad. Se utilizan los parámetros de seguridad para determinar que medidas adicionales es necesario implementar. La seguridad de información se puede utilizar en la forma más eficiente posible al incluir la seguridad en el diseño, desarrollo y manejo de las aplicaciones del negocio y la infraestructura. Procesos de negocio Desarrollar procedimientos y pautas (“guidelines”) para garantizar que los procesos de negocio tratan el riesgo de seguridad de información es fundamental para la administración de un programa de seguridad de información. Para desarrollar los procedimientos y pautas hay que entender el proceso del negocio, las actividades de infraestructura y el ambiente de riesgo. Actividades de la infraestructura de TI para cumplir con las políticas de seguridad Componentes de la infraestructura de TI: Procesos, físicos, plataforma y red. Cada componente tiene requerimientos de confidencialidad, integridad, disponibilidad y no repudio de la información. Controles necesarios para una política integral:

Controles de procesos Controles físicos Controles de personal Controles de plataforma (SOs, y aplicaciones específicas) Controles de redes

Arquitecturas de seguridad

Administración de identidad (basada en reglas) Conexión única Acceso al sistema basado en listas


Resumen

Página 12 de 24

Puntos de la administración de sistemas Seguridad administrada Sistemas abiertos Sistemas cerrados

El gerente de seguridad de información debe manejar las diferentes arquitecturas de seguridad y determinar si la organización debe implementar una arquitectura de seguridad. Actividades y Metodologías para el ciclo vital del desarrollo de sistemas El gerente de seguridad de información puede diseñar e implementar el programa de seguridad en forma más eficaz si se incluye la seguridad durante el ciclo vital del desarrollo de sistemas. Se podrían emplear una variedad de metodologías de desarrollo (p.ej. SDLC tradicional, establecimiento de prototipos. etc.). Cuándo y cómo se considerara la seguridad durante dicho proceso variará dependiendo de la metodología. Fases SDLC tradicional Fase 1. Factibilidad/Viabilidad

Determina los beneficios estratégicos

Fase 2. Requerimientos Define el problema y los requerimientos funcionales

Fase 3. Diseño Establece un parámetro de las especificaciones del sistema y módulos que describan las partes del sistema

Fase 4. Desarrollo Formaliza los procesos operativos de soporte del sistema

Fase 5. Implementación Establece la operación real del nuevo sistema de información con una prueba de aceptación de usuarios (UAT)

Un desarrollo reciente en el ámbito de la seguridad de información implica certificar y acreditar cumplimiento de las aplicaciones comerciales y la infraestructura con el marco de gobierno de la seguridad de información de la empresa. Desarrollar métodos que cumplan con los requerimientos de la política de seguridad que reconozcan el impacto que tiene en los usuarios finales es un punto clave de cualquier programa de seguridad. Un programa de seguridad debe incluir los procesos de planificación, realización, informar y dar seguimiento a las pruebas de seguridad. Hacer pruebas a tecnologías de seguridad nuevas o modificadas es fundamental para garantizar que se mantenga el acceso autorizado de una organización a sus recursos de información. El gerente de seguridad de información necesita priorizar los controles con base en la administración de riesgos y los requerimientos de la organización. Asimismo, debe ver los costos de varios controles y compararlos contra los beneficios que la organización obtendrá de ellos. Promover la responsabilidad por parte de los dueños del proceso de negocio y otras personas que tengan interés en la empresa para manejar los riesgos en la seguridad de información es un reto para la gerencia de seguridad de información. El gerente de seguridad de información debe reunirse con los dueños del proceso de negocio y con otras personas que tengan interés en la empresa para discutir sus responsabilidades en los riesgos de la seguridad de información. Este es un proceso de concienciación. Métricas Las mediciones tales como el número de ataques lanzados contra los sistemas o el número de virus o gusanos erradicados, son sólo algunas de las métricas para administrar el marco de gobierno de la seguridad. Los mayores problemas son determinar lo que es necesario medir y cómo medirlo. El gerente de seguridad de información necesita determinar cómo medir el nivel de riesgo de los sistemas y redes para saber qué controles de seguridad se deben implementar a fin de elevar la


Resumen

Página 13 de 24

capacidad y la consciencia de la seguridad en los empleados y las mejoras entre una medición y la siguiente. Recursos internos y externos para la seguridad de información El gerente de seguridad de información necesita asegurarse de que los requerimientos de seguridad están definidos y que los recursos internos y externos cumplen con los requerimientos. También debe aplicar la debida diligencia al seleccionar recurso externo para ejecutar alguna parte del programa de seguridad de la organización. El gerente de seguridad de información necesita tener conocimiento de diseño, el desarrollo y la implementación de las métricas de seguridad. Las métricas deben permitir determinar si el programa de seguridad está cumpliendo con los objetivos de la organización. El gerente de seguridad de información debe contar con un proceso robusto de manejo de incidentes. El gerente de seguridad de información debe investigar el proceso de adquisición aplicado por la organización a fin de determinar si se está realizando de acuerdo a los procedimientos. El gerente de seguridad de información podría solicitar el apoyo del departamento jurídico y/o de compras antes de firmar cualquier contrato. El gerente de seguridad de información podría desarrollar una matriz de evaluación para calificar a cada empresa proveedora y comprobar si cumple los requerimientos.


Resumen

Página 14 de 24

CAPÍTULO 4: GERENCIA DE LA SEGURIDAD DE INFORMACIÓN (24% - 28 preg) Definición: Supervisar y dirigir las actividades de la seguridad de información para ejecutar el programa de seguridad de información. Objetivo: El objetivo de esta área es enfocarse en las tareas y el conocimiento que requiere contar el gerente de seguridad de información para administrar de forma efectiva la seguridad de información dentro de una organización. Asimismo. se presenta una descripción de varias técnicas que puede utilizar el gerente de seguridad de información y las áreas en las que debe enfocarse. Tareas:

1. Garantizar que las reglas para el uso de los sistemas de información cumplan con las políticas de seguridad de información de la empresa.

2. Garantizar que los procedimientos administrativos para los sistemas de información cumplan con las políticas de seguridad de información de la empresa.

3. Garantizar que los servicios prestados por otras empresas, entre otras proveedores externos, sean congruentes con las políticas de seguridad de información establecidas.

4. Utilizar métricas para medir, monitorear y notificar la efectividad y la eficiencia de los controles de seguridad de información y el cumplimiento con las políticas de seguridad de información.

5. Garantizar que no se ponga en peligro la seguridad de información durante el proceso de control de cambios.

6. Garantizar que se lleven a cabo evaluaciones de la vulnerabilidad para determinar la efectividad de los controles existentes.

7. Garantizar que los temas de incumplimiento y otras varianzas se resuelvan en forma oportuna. 8. Garantizar un desarrollo y entrega de las actividades que puedan influir en la cultura y

comportamiento del personal, entre otras, la formación y la consciencia sobre la seguridad de información.

En muchas organizaciones, el nivel de compromiso puede no ser del todo completo y el gerente de seguridad puede documentar riesgos e impactos potenciales a los que se enfrenta la organización, asegurándose de que la gerencia esté informada de los resultados y los encuentre aceptables. El desarrollo de la política de seguridad de los sistemas de información proporciona el marco para diseñar y desarrollar controles administrativos, operativos y técnicos adecuados. Es responsabilidad del nivel gerencial más alto dentro de una organización. Todos los empleados y usuarios externos tienen que recibir la capacitación apropiada antes de que se les otorgue acceso a información o servicios y deberá formar parte de la inducción de empleados de nuevo ingreso. Los gerentes de seguridad de información deben conocer las actividades de monitoreo para garantizar el cumplimiento con las leyes y las regulaciones aplicables a las cuales está sujeta la organización. El monitoreo adecuado es un requerimiento. Tanto los parámetros de seguridad (baselines) como los recursos deben adaptarse a las amenazas cambiantes y las nuevas vulnerabilidades. Un programa de seguridad integra incluirá:

Estrategia de seguridad con adquisiciones por parte de la gerencia Políticas de seguridad completas y congruentes con la estrategia Normas completas para todas las políticas relevantes. Procedimientos completos y precisos para todas las operaciones importantes Asignación de roles y responsabilidades Procesos de monitoreo efectivos Procesos efectivos de cumplimiento y aplicación de las leyes. Capacidades de respuesta a emergencias e incidentes funcionales y probados. Plan probado de recuperación de desastres/continuidad del negocio Aprobación adecuada de la seguridad en lo relativo a los procesos de control de cambios. Riesgos debidamente identificados, evaluados, comunicados y administrados. Usuarios conscientes de la seguridad y capacitación necesaria.


Resumen

Página 15 de 24

Controles para reducir los riesgos a niveles aceptables. La estrategia de negocio es el punto de partida para el desarrollo de una estrategia de seguridad. Las medidas de seguridad pueden ser potencialmente perjudiciales. Se debe contar con un proceso para garantizar el cumplimiento de las políticas. Las unidades operativas que hagan uso de los procedimientos a nivel operativo deberán encargarse de su desarrollo o participar en él. La política de uso aceptable detalla en términos cotidianos, las obligaciones y las responsabilidades de todos los usuarios de una forma concisa y sencilla. Debe proporcionarse a todo el personal de nuevo ingreso que tendrá acceso a los activos de información, sin importar su puesto. Una norma proporciona los límites permisibles claros para un conjunto de procedimientos o procesos, ya sean manuales o automatizados. Es fundamental que el gerente de seguridad de información trabaje junto con los gerentes de aplicaciones y sistemas de información para garantizar que los procedimientos administrativos para los sistemas de información cumplan con las políticas de seguridad. Mediante aplicaciones de software relacionadas con la seguridad se solicita que se otorgue autoridad a miembros del personal. Los registros de actividad se deben revisar de forma periódica. Es importante que para otorgar acceso al sistema estén sujetos a controles específicos y monitoreo para minimizar los riesgos relacionados con el acceso no autorizado. Debe quedar claro quién hace qué y quién es responsable. El gerente de seguridad de información debe tomar las medidas necesarias para negociar con socios en apego a las políticas de seguridad establecidas en la empresa. Cuando no sea posible garantizar la seguridad de las partes externas, podría ser necesario introducir controles y acciones preventivas internas para minimizar los riesgos. El gerente de seguridad de información necesita asegurar, hasta donde sea posible, que el proveedor externo cumple con las políticas de seguridad de información establecidas en la organización. El cumplimiento del proveedor con estas políticas de seguridad debe estar claramente definido en el acuerdo de nivel de servicio y en los primeros lugares en la lista de factores de decisión cuando se elija a un proveedor. Los socios comerciales que no cuentan con un programa robusto de seguridad de información podrían presentar deficiencias en la seguridad. El acuerdo de nivel de servicio es una herramienta clave a la que puede recurrir el gerente de seguridad de información para asegurarse de que los proveedores de servicios de seguridad cumplan con los requerimientos de seguridad internos. Utilizar métricas para medir, monitorear e informar sobre la efectividad y la eficacia de los controles de seguridad de información y el cumplimiento con las políticas de seguridad de información es labor continua que debe llevar a cabo el gerente de seguridad de información. Las métricas permiten evaluar el riesgo de manera regular e identificar las mejoras al paso del tiempo. También se pueden realizar pruebas de penetración externas. Deben ser específicas, mesurables, alcanzables repetibles y dependientes del tiempo (SMART). El monitoreo continuo de los sistemas de detección de intrusos y los firewalls pueden proporcionar información en tiempo real sobre intentos de violaciones a las defensas perimetrales.


Resumen

Página 16 de 24

Otras técnicas de monitoreo posterior al hecho son el registro de incidentes, las evaluaciones de cumplimiento, los sistemas de detección de intrusos basados en host y las pruebas de penetración. Las diversas técnicas deben estar a cargo del equipo de seguridad en una única consola. El gerente de seguridad de información debe contar con procesos para determinar la efectividad en general de las inversiones en la seguridad y hasta que grado se han cumplido los objetivos. El Costo Total de Propiedad (TCO) está formado por los diversos componentes de un programa de seguridad (implementación, personal de administración de controles, mantenimiento, actualizaciones, coste de consultores,…) Las implicaciones en la seguridad deben estar incluidas en cada proceso de control de cambios que soporte la organización. Un riesgo común es el desarrollo o la implementación de una nueva aplicación que dé acceso a redes externas. Es importante que se introduzcan los elementos de seguridad en una etapa temprana del ciclo de desarrollo. Los planes de pruebas y aseguramiento de calidad (QA) tienen que sujetarse a una revisión por parte del gerente de seguridad. Personal externo debe revisar el código para garantizar la independencia. Hay que actualizar con regularidad los controles de seguridad y las acciones preventivas para que se adapten a los cambios organizacionales. Hay que llevar a cabo evaluaciones de vulnerabilidades a fin de determinar la efectividad de los controles existentes. Estas incluyen:

Escanear diversos controles de seguridad para determinar si existen vulnerabilidades Probar los controles que existen para determinar su efectividad. Realizar pruebas de penetración para localizar vulnerabilidades. Formular recomendaciones para reducir las vulnerabilidades y mejorar la seguridad Tomar medidas correctivas y dar seguimiento al avance.

Una vulnerabilidad para la cual no exista una amenaza no es un riesgo. Una vulnerabilidad, aun si se explota, que no tenga un impacto tampoco es un riesgo. Los proveedores han comenzado a ofrecer servicios de evaluaciones dirigidas de la vulnerabilidad, mediante los cuales se llevan a cabo evaluaciones de forma regular. Debida diligencia es la idea de que existen pasos que podría seguir una persona razonable en circunstancias similares. Para el gerente de seguridad, la norma legal podría ser más alta y requerir de una norma profesional de debido cuidado. Como profesional, se espera que se hayan tomado todas las acciones razonables que tomaría una persona con los conocimientos en el ámbito requerido. No cumplir con los niveles mínimos podría considerarse negligente y conducir a la pérdida de activos, vidas y/o litigios. El esfuerzo general sobre la seguridad podría beneficiarse de las revisiones periódicas y las recomendaciones hechas por los proveedores de aseguramiento. Diversas organizaciones constantemente descubren e informan sobre estas vulnerabilidades. Hay que mantener un monitoreo diario de las entidades relevantes que publican esta información (CERT, SANS, Carnegie Mellon, fabricantes,…) Se desarrolla un programa para documentar cada tema de incumplimiento, y se asigna y registra la responsabilidad de resolverlo. Es posible identificar los temas de incumplimiento y otras diferencias a través de una serie de mecanismos, entre otros:

Monitoreo normal. Informes de auditoria. Revisiones a la seguridad. Escaneo a la vulnerabilidad. Trabajo de debida diligencia.


Resumen

Página 17 de 24

El gerente de seguridad de información tiene que determinar si los planes de seguridad, los planes de prueba y la repetición de ejecución (revalidación) de la organización requieren de alguna modificación. Los parámetros de seguridad de la organización podrían cambiarse por varias razones, entre otras que un proveedor identifique que un parámetro en este software o hardware tiene que cambiarse para obtener la protección deseada. El gerente de seguridad de información debe estar familiarizado con los controles de mitigación que pudiera ser necesario utilizar en caso de que falle el control primario de la seguridad (medidas alternas). La concienciación y la capacitación sobre la seguridad y es ahora un requerimiento. La organización tiene que conocer su propia cultura, la actitud del personal hacia la seguridad de información y sus objetivos para hacer que el personal se comporte de una manera segura. Es un proceso continuo. El gerente de seguridad de información obtiene el apoyo de la gerencia y la aceptación de la organización, así como el cumplimiento de las políticas y los procedimientos del programa de seguridad de información. Todo el personal debe recibir capacitación sobre sus responsabilidades específicas. El gerente de seguridad de información debe ser capaz de trabajar con los diferentes departamentos para discutir los riesgos en la seguridad de información a los que se enfrentan y sugerir soluciones y asegurarse de que los procesos de control de cambios dentro de la organización incluyan a la seguridad de información (rol de consultoría). Lo que se considera razonable en una cultura puede no ser aceptable en otra. Debe trabajar de manera conjunta con los departamentos de jurídico y personal para identificar conflictos y encontrar soluciones. Si las políticas no están completas o no son concisas, es posible que no sean cumplidas. El gerente de seguridad debe definir y comunicar el programa de seguridad en forma clara. Demostrar al personal los beneficios de una seguridad de información permitirá obtener su apoyo. Se debe considerar: público del programa, mensaje, resultado objetivo, métodos de comunicación y estructura y cultura de la organización. Los usuarios externos deben recibir capacitación apropiada y actualizaciones regulares sobre la importancia de la seguridad en las políticas y los procedimientos organizacionales. Para los empleados de nuevo ingreso, esto debe llevarse a cabo antes de que se les otorgue acceso a información o servicios. Se aumentará la concienciación mediante:

Programas de capacitación y concienciación sobre seguridad basados en computadoras Recordatorios por correo electrónico y consejos sobre seguridad Políticas y procedimientos (y actualizaciones) escritos sobre seguridad Acuerdos de confidencialidad firmados por los empleados Uso de diferentes medios para promover la seguridad Cumplimiento visible de las reglas sobre seguridad Simulaciones de incidentes relacionados con la seguridad para mejorar los procedimientos

relacionados Premiar a los empleados que informen sobre incidentes sospechosos Revisiones periódicas Descripciones de puesto Revisiones del desempeño

Se debe medir la efectividad de la formación y la concienciación proporcionada al personal. La retroalimentación obtenida debe utilizarse para mejoras continuas.


Resumen

Página 18 de 24

CAPÍTULO 5: RESPUESTA GERENCIAL (13% - 26 preg.) Definición: Desarrollar y administrar una capacidad para responder ante incidentes destructivos y perjudiciales relacionados con la seguridad de información y recuperarse de ellos. Objetivo: El objetivo de esta área de práctica de trabajo es desarrollar políticas y procedimientos que permitan a la organización responder ante incidentes destructivos y perjudiciales relacionados con la seguridad de información y recuperarse de ellos. Tareas:

1. Desarrollar e implementar procesos para detectar, identificar y analizar incidentes relacionados con la seguridad.

2. Desarrollar planes de respuesta y recuperación que incluyan organizar, capacitar y dotar a los equipos.

3. Garantizar que se realicen pruebas a los planes de respuesta y recuperación en forma periódica, cuando sea apropiado.

4. Garantizar la ejecución de planes de respuesta y recuperación según se requiera. 5. Establecer procedimientos para documentar un incidente como la base para tomar acciones

posteriores, entre otras, de tipo forense, cuando sea necesario. 6. Manejar revisiones posteriores a los incidentes para identificar causas y tornar acciones

correctivas. El Plan de Continuidad de Negocio (BCP) es un proceso diseñado para reducir el riesgo comercial de la organización. Esto incluye recursos humanos / materiales que respalden las funciones / operaciones criticas y el aseguramiento de la continuidad del nivel mínimo de los servicios que se requieren para soportar las operaciones críticas. Incluye el Plan de Recuperación de Desastre (DRP) y el Plan de Continuidad de Operaciones con estrategia congruente. El DRP es el plan que siguen los S.I. para recuperar un equipo de procesamiento de TI o las unidades de negocio para recuperar un equipo operativo. El BCP es la combinación de la planeación de desastre y la continuidad de las operaciones del negocio. Los planes de los sistemas de información tienen que ser congruentes con el plan corporativo de continuidad del negocio y sustentarlo. Definir las expectativas es responsabilidad de la gerencia. Desarrollo y mantenimiento del BCP:

Análisis de impacto al negocio (BIA) del efecto que tendría la pérdida de procesos de negocio críticos

Identificar/priorizar sistemas /recursos que soportan los procesos de negocio críticos Elegir estrategias apropiadas para recuperar los procesos de negocio críticos Desarrollar el plan detallado para recuperar los equipos de sistemas de información (DRP) Desarrollar un plan detallado de funciones de negocio críticas para continuar operando a un nivel

aceptable (BCP) Capacitar al personal sobre cómo seguir los planes Probar los planes Dar mantenimiento a los planes a medida que cambia el negocio y se desarrollan los sistemas Almacenar los planes para que sean accesibles a pesar de fallar las computadoras o la red Auditar los planes

Los incidentes son acciones que dejan evidencias naturales o tecnológicas. Deben existir procesos para detectar, identificar, analizar (correlación de eventos, categorización y priorización) y dar respuesta a incidentes. Con el análisis se determina el impacto sobre los recursos de información de la organización para modificar el programa de seguridad según sea necesario. Objetivos de la capacidad de respuesta a incidentes:

Notificar a la gente apropiada el propósito de la recuperación o proporcionar la información necesaria

Recuperarse rápida y eficazmente de los incidentes relacionados con la seguridad Minimizar el impacto del incidente relacionado con la seguridad Responder en forma sistemática y reducir la probabilidad de que el incidente vuelva a ocurrir Equilibrar los procesos operativos y de seguridad Resolver problemas legales


Resumen

Página 19 de 24

Por lo general las actividades de manejo de amenazas se enfocan a las que se llevan a cabo inmediatamente después de un incidente. Es importante que la información sobre algún incidente se comunique sólo si es necesario conocerla. Los desastres son interrupciones que causan que los recursos de información críticos se vuelvan inoperables durante un tiempo, ocasionando un impacto adverso en las operaciones de negocio. No todas las interrupciones criticas en el servicio se clasifican corno desastres per se; sin embargo, tienen una naturaleza de alto riesgo. Se deben identificar y registrar los recursos que se requieren para continuar con el negocio después de una interrupción. Una vez que la gerencia aprueba las estrategias de recuperación, el gerente de seguridad de información debe supervisar el desarrollo de planes integrales de respuesta y recuperación. Se deben designar, identificar y capacitar los equipos de recuperación. Fases de los procesos de planeación de recuperación de desastre:

Evaluación de riesgos y evaluación de impacto al negocio. Definición de la estrategia de recuperación. Documentación de los planes de recuperación. Capacitación que incluya los procedimientos de recuperación. Actualización de los planes de recuperación. Prueba de los planes de recuperación. Auditoría de los planes de recuperación.

Una estrategia de recuperación identifica la mejor forma de recuperar un sistema en caso de desastre y proporciona una orientación basada en los procedimientos de recuperación detallados. La estrategia apropiada es aquella que tiene un costo por un tiempo aceptable de recuperación que también es razonable comparado con el impacto y la probabilidad de ocurrencia según se haya determinado en el análisis de impacto al negocio. Elección de la Estrategia de recuperación en base a:

• Criticidad de procesos, costo, seguridad, fiabilidad. • Tipos de HW de respaldo:

o Hot Sites: Están completamente configurados y listos para operar dentro de muchas horas. Su costo se justifica por las aplicaciones críticas. El contrato debe incluir el tiempo necesario, la frecuencia y el tiempo especificado para la realización de pruebas. El uso a largo plazo dañaría la protección de otros suscriptores.

o Warm Sites: Son infraestructuras completas pero que están parcialmente configuradas en TI (NAS, cinta,...) pero sin unidad principal.

o Cold Sites: Tienen sólo el ambiente básico (cableado, luz, piso…) o Equipos duplicados: Desde un hot site de emergencia hasta un acuerdo reciproco con

otra compañía para la instalación. • Consideraciones

o Ventana de Interrupción: Tiempo que puede esperar la compañía a partir de la falla hasta el restablecimiento de los servicios/aplicaciones críticas.

o Objetivos de Tiempo de Recuperación (RTO): Tiempo máximo para regresar completamente a las operaciones normales.

o Objetivos de Punto de Recuperación (RPO): Antigüedad de los datos que necesita poder restablecer en caso de un desastre.

o Objetivos de Entrega de Servicios (SDOs): Nivel de servicios que deben soportarse. o Interrupciones a la Energía eléctrica máximas tolerables (MTO): Tiempo máximo que la

organización puede soportar el procesamiento en un modo alterno. Los acuerdos recíprocos se celebran entre dos o más organizaciones que tienen equipos aplicaciones

similares. Las cláusulas contractuales para el uso de sitios de terceros deben incluir: • Configuraciones del hardware Y software del proveedor son adecuadas. • Definición de desastre • Cuán pronto después de un desastre estarán disponibles los equipos • Suscriptores por sitio • Suscriptores por área


Resumen

Página 20 de 24

• Preferencia • Seguro en el sitio de respaldo. • Periodo de uso. Tiempo de disponibilidad. • Comunicaciones • Garantías • Derecho a auditar • Pruebas • Certificar la fiabilidad del sitio de recuperación • Costos en caso de cancelación del contrato. Sanciones. • Personal de soporte provisto. • Software proporcionado por el proveedor.

Alternativas de respaldo de hardware:

• Un proveedor o un tercero - Los proveedores de hardware son en general la mejor fuente de equipo de reemplazo o proveedor de HW de segunda mano.

• En existencia o disponibles de inmediato. Prevención de desastres de redes:

• Enrutamiento alternativo • Enrutamiento diverso • Diversidad de redes de larga distancia • Protección de recursos locales • Recuperación de voz • Disponibilidad de circuitos y ancho de banda apropiados • Disponibilidad comunicaciones fuera de banda

El desarrollo detallado del plan de recuperación de desastre debe tener en cuenta:

• Disposición antes del desastre • Procedimientos de evacuación • Cómo declarar un desastre • identificar los procesos de negocio y los recursos de TI que deben recuperarse • identificar las responsabilidades en el plan • identificar a las personas responsables de cada función en el plan • identificar la información de contacto • La explicación paso a paso de las opciones de recuperación • identificar los diversos recursos que se requieren para la recuperación y la continuidad de las

operaciones. Se deben mantener copias del plan fuera del sitio. Equipos de personal con responsabilidades asignadas:

• Equipo de acción ante emergencias. Evacua al personal en forma ordenada y protegiendo la vida humana.

• Equipo de evaluación de daños • Equipo de manejo de emergencias. Coordina las actividades de los demás equipos de

recuperación y tomar decisiones clave. o Recuperar datos vitales y críticos desde el almacenamiento fuera del sitio o Instalar y probar software y aplicaciones del sistema en el sitio de recuperación del

sistema (hot site, cold site, agencia de servicios). o Identificar, adquirir e instalar hardware en el sitio de recuperación del sistema o Operar en el sitio de recuperación del sistema o Volver a enrutar el tráfico de comunicaciones en la red o Restablecer la red de sistemas/usuarios o Transportar a usuarios al sitio de recuperación, si es necesario o Reconstruir bases de datos o Abastecer del equipo de oficina necesario o Organizar y pagar los gastos de reubicación de empelados o Coordinar horarios de uso de sistemas y de trabajo de empleados

• Equipo de almacenamiento fuera del sitio


Resumen

Página 21 de 24

• Equipo de software • Equipo de aplicaciones • Equipo de seguridad: monitorea seguridad de redes y sistemas. • Equipo de operaciones de emergencia: • Equipo de recuperación de redes • Equipo de comunicaciones • Equipo de transportación • Equipo de hardware de usuarios • Equipo de registros y preparación de datos • Equipo de soporte administrativo • Equipo de abastecimiento: logística proveedores. • Equipo de rescate • Equipo de reubicación

Las tres principales divisiones que necesitan estar involucradas en la formulación de un plan de continuidad del negocio son servicios de soporte, operaciones de negocio y soporte de procesamiento de información. El plan deberá incluir una lista del personal con información de contacto. Debe cubrir también la notificación del personal de sistemas de información y usuarios finales clave para la toma de decisiones así como quienes deben iniciar y llevar a cabo los esfuerzos de recuperación. A su vez un directorio que debe contener:

• Una lista priorizada de contactos (árbol telefónico) • Números telefónicos y direcciones principales y para emergencias por cada persona critica de • contacto • Números de teléfono y direcciones de representantes de proveedores • Números de teléfono de contactos dentro de compañías • Números de teléfono de personas de contacto en los sitios de recuperación • Números de teléfono de personas de contacto en sitios de almacenamiento de medios fuera del

sitio • Números telefónicos de agentes de seguros • Números telefónicos de contactos de servicios de contratación de personal

Es responsabilidad de la organización y no de las operadoras locales garantizar las capacidades de comunicación constante. Métodos para proporcionar la continuidad de los servicios de redes:

• Redundancia • Enrutamiento alternativo (cable, FO) • Enrutamiento diverso • Diversidad de redes de larga distancia • Protección de circuito de ultima milla • Recuperación de voz

La póliza debe elaborarse modularmente y debe incluir cobertura a:

• Equipo e instalaciones de SI • Reconstrucción de medios (software) • Gastos adicionales • Interrupción del negocio • Documentos y registros de valor • Errores u omisiones • Cobertura de fidelidad • Transporte de medios (pérdida o daños)

Las pruebas periódicas del BCP deben ser documentadas (pre-prueba, prueba, post-prueba) incluyendo:

• Desarrollo de objetivos de la prueb • Ejecución de la prueba • Evaluación de la prueba • Desarrollo de recomendaciones para mejorar la efectividad del proceso de prueba


Resumen

Página 22 de 24

• implementar un proceso de seguimiento que garantice que se han implementado las recomendaciones

El gerente de seguridad de información debe asegurarse de que un tercero independiente esté presente para monitorear y evaluar la prueba. La prueba debe incluir todos los componentes críticos y simular las condiciones reales de procesamiento de mayor audiencia, aun si se lleva a cabo fuera de las horas pico. Objetivos de las pruebas:

• Verificar la integridad y la precisión del plan. • Evaluar el desempeño del personal involucrado en el ejercicio. • Evaluar el nivel demostrado de capacitación y concienciación de los miembros del equipo

técnico de continuidad. • Evaluar la coordinación entre el equipo de continuidad del negocio y los proveedores externos. • Medir la habilidad y la capacidad del sitio alterno para realizar procesamientos

recomendados • Evaluar la capacidad de recuperación de registros vitales. • Evaluar el estado y la cantidad de equipo e insumos que se han reubicado al sitio de recuperación • Medición el desempeño general de las actividades de procesamiento operativo y de sistemas

de de información relacionados con mantener la entidad de negocio. Fases de la prueba:

• Antes de la prueba: acciones necesarias para establecer el escenario para la prueba real • Prueba: Se ejecutan las actividades operativas reales para probar los objetivos específicos • Después de la prueba: comprende asignaciones como regresar todos los recursos a su lugar

apropiado, desconectar equipo, regresar al personal a sus ubicaciones y borrar todos los datos de la compañía de los sistemas de terceros

Tipos de prueba:

• Prueba de papel/teóricas • Prueba de preparación • Prueba operativa completa

Se deben desarrollar métricas (tiempo, cantidad, porcentaje, precisión) para medir el éxito del plan y se debe probar otra vez contra los objetivos establecidos. Responsabilidades especificas para el mantenimiento especifico del plan:

• Desarrollar un programa para la revisión y el mantenimiento periódico del plan e informar al personal sobre sus roles y las fechas límite para recibir modificaciones y comentarios

• Solicitar revisiones fuera del programa cuando ocurran cambios significativos • Revisar las modificaciones y los comentarios y actualizar el plan dentro de un periodo razonable

(p.ej. 30 días) después de la fecha de revisión • Organizar y coordinar pruebas programadas y no programadas del plan de negocio a fin de

evaluar su conveniencia. • Participar en las pruebas programadas del plan al menos una vez al año y redacta evaluaciones • Desarrollar un programa para capacitar al personal de recuperación • Mantener registros de las actividades de mantenimiento del plan (pruebas, capacitación y

revisiones) • Actualizar, al menos cada tres meses, el directorio de notificación para incluir los cambios en

el personal, entre otros, números telefónicos y responsabilidades dentro de la compañía. Para administrar efectivamente la seguridad y dar respuesta apropiada a los incidentes, se debe:

• Implementar un proceso de escalado o Para cada incidente, se debe describir una lista de acciones en la secuencia lógica en

la que deben realizarse. Cada acción tiene una asignación relacionada de responsabilidad y un tiempo calculado para su ejecución.

o Una situación de alerta da lugar a notificar a las personas apropiadas dentro de la organización resulta en una decisión ejecutiva o el establecimiento de nuevas tareas técnicas. Se podrían emitir notificaciones de alerta a la gerencia.

o La declaración de desastre se puede enviar a las autoridades, el público en general. Los accionistas y los que tengan un interés en la empresa.


Resumen

Página 23 de 24

o El total de tiempo transcurrido tiene que ser acorde al RTO. o El proceso de escalado debe incluir priorizar la información del incidente y el proceso de

decisión para determinar cuándo alertar a varios grupos, incluso la gerencia, el público en general, los accionistas.

• Conocer y administrar las políticas y los procedimientos para la detección de intrusos o Si un sistema se está en peligro al nivel del súper usuario se debe reconstruir a partir del

medio de instalación original. o Se deben definir las metas, objetivos y prioridades para las actividades de detección de

intrusos y evaluar las alternativas que cumplen mejor con dichos requerimientos. o Se debe determinar la combinación apropiada entre los proveedores de servicios de

seguridad contratados y el personal interno. • Contar con procesos definidos de mesas de ayuda (Help Desk) para identificar incidentes

o El reconocimiento inmediato de un incidente en progreso y su pronta canalización a las partes pertinentes es fundamental para minimizar el impacto que se derive de dichos incidentes.

o Capacitación adecuada también contribuirá a reducir el riesgo de que la mesa de ayuda sea un blanco de un ataque exitoso de ingeniería social diseñado para obtener acceso a cuentas.

o El personal de la mesa de ayuda debe conocer los procedimientos apropiados para informar y escalar el incidente.

• Contar con eficaces (ej. automáticos) de notificación de incidentes o funciones que requieren de información relativa a incidentes:

Administración de riesgos Relaciones humanas Jurídico Relaciones públicas Operaciones de redes

o Establecer un criterio de decisión para determinar la prioridad de los incidentes y los criterios para emitir alertas no sólo ayudará a otros a tomar las alertas en serio sino a garantizar que se den respuestas oportunas y coordinadas ante incidentes importantes.

o Se deben definir las responsabilidades y comunicarlas al personal clave. Se deben documentar estas responsabilidades en las descripciones de puesto de los empleados.

• Establecer procedimientos para documentar un incidente o Existen ocasiones en las cuales puede ocurrir un incidente y el personal de seguridad

necesita tener procedimientos documentados para que se pueda registrar la información relevante y se puedan preservar los datos.

o Se deben desarrollar procedimientos para la preservación de datos con la orientación y la asistencia del área jurídica.

o La respuesta inicial por parte del administrador del sistema debe incluir: Recuperar la información necesaria para confirmar el incidente. identificar el alcance y la magnitud del ambiente afectado. Determinar el grado de pérdida, modificación o daño. ldentificar posibles rutas o medios de ataque. Respaldar todas las fuentes posibles de evidencia o información relevante cuando

sea apropiado o Los respaldos deben realizarse sólo después de que se han considerado detenidamente

los costos en comparación con los beneficios. • Presentar la evidencia sin contaminación. (herramientas forenses)

o Para garantizar la admisibilidad de la evidencia, es recomendable utilizar herramientas forenses para crear una copia byte por byte de cualquier evidencia que pudiera existir en discos duros u otros medios.

o Se debe reconstruir cualquier prueba o análisis de datos mediante la copia. El original debe entregarse a un custodio designado.

o El medio original deben permanecer intacto y se deberá mantener un registro de quién tiene su custodia, la "cadena de evidencia", para que dicha evidencia sea admisible en un tribunal.

• Llevar a cabo revisiones posteriores al incidente y procedimientos de seguimiento o Dirigir revisiones posteriores a los incidentes ayuda al gerente de seguridad de

información a aprender del incidente y del esfuerzo resultante.


Resumen

Página 24 de 24

o El incidente puede ser el resultado de un fallo en los controles de seguridad implementados.

o El equipo encargado de revisar los incidentes deberá revisar cualquier evidencia y formular recomendaciones.

o Una vez que se haya trazado el plan de acción, se deben seguir los pasos necesarios para implementar la solución.

o Estos principios básicos reducen el tiempo que requiere el personal para reaccionar ante incidentes relacionados pudiendo invertir mas tiempo en actividades proactivas.

Incidente SI detectado con IDS / Copia forense / Reconstruir Sistema / Inspección de copia forense.

CISM 2007 - Gu a de Estudio - Resumen v1.0

Documents

Transcript of CISM 2007 - Gu a de Estudio - Resumen v1.0