PLAN DIRECTOR DE

SEGURIDAD

@d7n0

© JHON JAIRO HERNÁNDEZ HERNÁNDEZ

Dinosaurio – Dino

Jhonjairo.hernandezœ@hackinganddefense.co

d7n0s4ur70@gmail.com

HACKING & DEFENSE SAS

© Jhon Jairo Hernández Hernández

© Jhon Jairo Hernández Hernández

Director Proyectos,

Consultor Seguridad Informática / Información

Investigador Informática Forense

Académico, Socio Fundador HACKING& DEFENSE SAS

#whoami

El Plan Director de Seguridad es la herramienta que

permite a una organización definir sus actividades en

Seguridad de los Sistemas de Información a corto,

medio y largo plazo.

Los objetivos y las necesidades en materias de

Seguridad de la Información, tales como los

requisitos de seguridad en el negocio:

Identificar los requisitos organizativos de la seguridad

de los Sistemas de Información.

Identificar los activos y realizar una valoración de su

importancia.

Análisis de riesgos: identificar amenazas reales y

potenciales sobre los activos.

Alinear la seguridad con la estrategia de negocio:

Determinar objetivos, estrategia y políticas.

Gestionar los riesgos: establecer los controles y las

salvaguardas a implantar.

Seguimiento de la gestión de riesgos.

Un Plan Director de Seguridad deberían contemplar, al

menos, los siguientes aspectos:

¿Qué está bien?, ¿Qué está mal?, ¿Qué

necesita mejorar?, ¿Se cumple con los objetivos?, ¿Cuáles los riesgos principales y a qué son debidos?, ¿Sobre qué procesos de negocio me impactan estos riesgos?, es

decir, ¿en qué procesos existe un mayor riesgo?, ¿Qué procesos de negocio están afectados por las vulnerabilidades detectadas?

El nivel de seguridad que se desea alcanzar:

¿Hasta dónde queremos llegar?,

¿Dónde va a estar nuestro umbral de riesgo?

¿Cómo vamos a gestionar los riesgos

(Evitándolos, Suprimiéndolos,

Transfiriéndolos, Reduciéndolos)?.

Las necesidades reales en materia de Seguridad para la

Organización: Estas necesidades quedarán recogidas en

forma de proyectos o acciones a realizar/ejecutar.

La planificación de la

implantación:

Proyectos a Corto Plazo (a

iniciar en los próximos 1

meses), Proyectos a Medio

Plazo (a iniciar en el período

comprendido entre los 12-24

meses desde la fecha

actual), Proyectos a Largo

Plazo (a iniciar en el período

comprendido entre los 2-36

meses desde la fecha

actual).

Secuencia temporal y

dependencia entre los

proyectos: Una hoja de ruta

que defina y establezca las

relaciones de precedencia y

dependencia entre las

diferentes acciones

identificadas, así como el

marco temporal propuesto

para su ejecución (Acciones

predecesoras y vinculadas).

La inversión a realizar: para cada una de las

acciones o proyectos que se identifiquen

Cuantificación de

recursos y costes:

considerando la

totalidad de los costes

asociados en caso de

apostar por soluciones

de terceros (costes de

adquisición,

implementación,

mantenimiento,

formación a usuarios y

operadores) y la

dedicación de los

recursos internos.

Para el desarrollo del Plan Director de Seguridad

se consideran tanto los aspectos organizativos

como los aspectos procedimentales, técnicos y

humanos asociados con la seguridad de los

sistemas de información. En el marco de su

desarrollo se toma como base la Norma ISO

27002: "Código de Buenas Prácticas para la

Gestión de la Seguridad de la Información"

(antigua Norma ISO/IEC 17799:2005),

http://www.google.com.co/url?sa=i&rct=j&q=iso+27002&source=images&cd=&cad=rja&docid=gf0ul9fG0ImpJM&tbnid=SNNg4CaAZmlp2M:&ved=0CAUQjRw&url=http://www.iso27000.es/iso27000.html&ei=A0pJUeLgIofo9ASkooGADg&bvm=bv.44011176,d.eWU&psig=AFQjCNEw8CugjD7m-M7MbdPyCmL34GPoqw&ust=1363843963710818

Así como todas aquellas normativas y estándares que

resulten aplicables de forma específica a la

organización, como la legislación vigente en materia de

protección de datos de carácter personal, el estándar

PCI DSS o COBIT, entre otros. Se realiza, asimismo, un

análisis técnico de vulnerabilidades, mediante la

realización de tests de intrusión internos y externos.

SGSI

Contenido

• SGSI • ISO 27000 • Análisis de Brecha • Evaluación de Riesgos • Política de seguridad • Organización de la Seguridad • Control y clasificación de los activos de la información • Seguridad del personal • Seguridad física y ambiental • Administración de Comunicaciones y Operaciones • Control de Acceso • Desarrollo y mantenimiento de Sistema • Administración de los incidentes de seguridad • Administración de la continuidad del negocio • Cumplimiento de disposiciones legales • Manual del Sistema de Gestión de Seguridad de la Información

Modelo de Gestión

Planeación

Implantación

Divulgación Gestión Riesgo

Remediación

PA

RT

ES

IN

TE

RE

SA

DA

S

Exp

ecta

tiv

as y

Req

uis

ito

s

de

Se

gu

rid

ad

Políticas

Procesos

Procedimientos

Instructivos

SGSI

• Sistema Gestión Seguridad Información

PDC

• Servicios de TI

Proyectos

• Ciberseguridad

• Seguridad de TI

Riesgos

ETH

Reportes

SOC

Hardening

Gestión Vulnerabilidades

Tratamiento a los Hallazgos de Auditoria

5. POLÍTICA

5.1Política de seguridad de la información

Objetivo: Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

La directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de seguridad.

5.1.1 Documento de política de seguridad de la información

Control

La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la politíca a todos los empleados y las partes externas relevantes

5.1.2 Revisión de la política de seguridad de la información

Control

La política de seguridad de la información se debería revisar a intervalos planificados (o en caso que se produzcan cambios significativos) para garantizar que es adecuada, eficaz y suficiente.

5.1Política de seguridad de la información

5.1Política de seguridad de la información

5.1Política de seguridad de la información

5.1Política de seguridad de la información

TIPOS DE POLÍTICAS

Puede haber una política para los clientes para asegurar que la organización administra la seguridad de la información.

Habrá definitivamente una política interna comunicada a todo el personal involucrado en el alcance.

Las pequeñas organizaciones podrán necesitar solamente una política.

Las grandes organizaciones pueden necesitar de políticas distintas para diversas partes de la organización.

Puede haber políticas secundarias que estarán disponibles solamente para conocimiento de algunas personas, por Ej. Política para la sala de computo, Política de trabajo en un ambiente seguro, etc.

DESARROLLANDO POLÍTICAS

El marco de un sistema de gestión de seguridad de la información eficaz es una declaración de la política bien escrita.

Esta es la fuente de la cual las directrices, los estándares, los procedimientos, las pautas, la documentación de soporte serán generados.

Las políticas son directrices de gestión para crear un programa de seguridad de la información, para establecer sus objetivos, medidas y metas y para asignar responsabilidades.

5.1Política de seguridad de la información

¿POR QUE TENEMOS POLÍTICAS?

La ausencia de una política establecida, permite que las actividades actuales, pasadas y futuras se conviertan en políticas de hecho pues no hay políticas formales a defender

Implantando políticas la organización toma control de su destino.

El objetivo de una política de seguridad es mantener su integridad, la confidencialidad y la disponibilidad de los bienes de información.

Un objetivo en si mismo no es bastante; para hacer cumplir controles para alcanzar el objetivo es necesario tener políticas formales.

¿QUE ES UNA POLÍTICA?

El término política se define como una declaración de alto nivel de las creencias, metas y objetivos de una organización y los medios generales para el logro de un tema especifico. Una política debe ser breve (recomendado) y puesta en un alto nivel.

Una política no es una descripción especifica y detallada del problema ni de cada paso necesario para implantarla.

5.1Política de seguridad de la información

ELEMENTOS DOMINANTES DE UNA POLÍTICA

Para satisfacer las necesidades de la organización una política debe:

Ser fácil de entender

Ser aplicable

Ser posible de implantar

Ser controlable

Ser proactiva

Evitar los absolutos

Satisfacer los objetivos del negocio

FORMATO DE LA POLÍTICA

La disposición real de la política dependerá del formato normal de la organización.

Es importante que la política sea una política publicada de la organización, ya que necesita ser leída y no ignorada.

Manténgala en formato breve, por Ej. “Información es un bien y propiedad de la organización o de un proveedor, un cliente o un socio. Todos los empleados son responsables de proteger estos bienes contra el acceso, la modificación o la divulgación, o la destrucción desautorizados”.

5.1Política de seguridad de la información

CONTENIDO DE LA POLÍTICA

La política debe ser clara para no generar nuevos problemas.

Al escribir una política recuerde quién es la audiencia y utilice lo siguiente:

¿Qué – que es lo quede debe ser protegido? (el intento)

¿Quién – quién es responsable? (las responsabilidades)

¿Donde– donde dentro de la organización? (alcance)

¿Cómo – como con la conformidad será supervisada? (conformidad)

¿Cuando– cuando la política tendrá efecto?

¿Por qué – por que fue desarrollada?

EJEMPLO

“La información es un valioso bien corporativo. La continuidad del negocio es dependiente de la integridad y continuidad y disponibilidad de la información y otras propiedades. Como tal, se tomarán medidas para proteger los bienes de la información contra uso, modificación, acceso o destrucción desautorizada, sea accidental o intencional”.

5.1Política de seguridad de la información

EJEMPLO 1. DEFINICIONES 3 2. MARCO REGULATORIO 5 3. LÍNEA BASE DE LA POLÍTICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN 6 3.1. Objetivo 6 3.2. Alcance 6 3.3. Cumplimiento 6 3.4. Excepciones 7 3.5. Aplicabilidad 7 3.6. Administración de las Políticas 7 3.7. Referencias 7 3.8. Principios 7 3.2.1. Protección de la información 7 3.2.2. Protección de los recursos tecnológicos 7 3.2.3. Autorización de usuarios 7 3.2.4. Responsabilidad 8 3.2.5. Disponibilidad 8 3.2.6. Integridad 8 3.2.7. Confianza 8 3.2.8. Esfuerzo de Equipo 8 3.2.9. Soporte primario para la Seguridad de Información 8 3.2.10. Revisiones de seguridad en sistemas de Información 8 4. POLÍTICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN 9 4.1. Sistema de Gestión de la Seguridad de la Información 9 4.2. Capacitación y concientización 9 4.3. Organización de seguridad 10 4.4. Clasificación y control de activos 10 4.5. Seguridad con personal 11 4.6. Seguridad física 11 4.7. Administración de redes y computadores 12 4.8. Control de acceso 12 4.9. Mantenimiento y desarrollo de sistemas 13 4.10. Plan de continuidad del negocio 14 4.11. Cumplimiento de Políticas y normatividad legal 14 4.12. Aprobación de Políticas 14 5. ANEXOS 14

5.1Política de seguridad de la información