Plan director seguridad
-
Upload
jhon-jairo-hernandez -
Category
Technology
-
view
224 -
download
0
Transcript of Plan director seguridad
PLAN DIRECTOR DE
SEGURIDAD
@d7n0
© JHON JAIRO HERNÁNDEZ HERNÁNDEZ
Dinosaurio – Dino
Jhonjairo.hernandezœ@hackinganddefense.co
HACKING & DEFENSE SAS
© Jhon Jairo Hernández Hernández
© Jhon Jairo Hernández Hernández
Director Proyectos,
Consultor Seguridad Informática / Información
Investigador Informática Forense
Académico, Socio Fundador HACKING& DEFENSE SAS
#whoami
El Plan Director de Seguridad es la herramienta que
permite a una organización definir sus actividades en
Seguridad de los Sistemas de Información a corto,
medio y largo plazo.
Los objetivos y las necesidades en materias de
Seguridad de la Información, tales como los
requisitos de seguridad en el negocio:
Identificar los requisitos organizativos de la seguridad
de los Sistemas de Información.
Identificar los activos y realizar una valoración de su
importancia.
Análisis de riesgos: identificar amenazas reales y
potenciales sobre los activos.
Alinear la seguridad con la estrategia de negocio:
Determinar objetivos, estrategia y políticas.
Gestionar los riesgos: establecer los controles y las
salvaguardas a implantar.
Seguimiento de la gestión de riesgos.
Un Plan Director de Seguridad deberían contemplar, al
menos, los siguientes aspectos:
¿Qué está bien?, ¿Qué está mal?, ¿Qué
necesita mejorar?, ¿Se cumple con los objetivos?, ¿Cuáles los riesgos principales y a qué son debidos?, ¿Sobre qué procesos de negocio me impactan estos riesgos?, es
decir, ¿en qué procesos existe un mayor riesgo?, ¿Qué procesos de negocio están afectados por las vulnerabilidades detectadas?
El nivel de seguridad que se desea alcanzar:
¿Hasta dónde queremos llegar?,
¿Dónde va a estar nuestro umbral de riesgo?
¿Cómo vamos a gestionar los riesgos
(Evitándolos, Suprimiéndolos,
Transfiriéndolos, Reduciéndolos)?.
Las necesidades reales en materia de Seguridad para la
Organización: Estas necesidades quedarán recogidas en
forma de proyectos o acciones a realizar/ejecutar.
La planificación de la
implantación:
Proyectos a Corto Plazo (a
iniciar en los próximos 1
meses), Proyectos a Medio
Plazo (a iniciar en el período
comprendido entre los 12-24
meses desde la fecha
actual), Proyectos a Largo
Plazo (a iniciar en el período
comprendido entre los 2-36
meses desde la fecha
actual).
Secuencia temporal y
dependencia entre los
proyectos: Una hoja de ruta
que defina y establezca las
relaciones de precedencia y
dependencia entre las
diferentes acciones
identificadas, así como el
marco temporal propuesto
para su ejecución (Acciones
predecesoras y vinculadas).
La inversión a realizar: para cada una de las
acciones o proyectos que se identifiquen
Cuantificación de
recursos y costes:
considerando la
totalidad de los costes
asociados en caso de
apostar por soluciones
de terceros (costes de
adquisición,
implementación,
mantenimiento,
formación a usuarios y
operadores) y la
dedicación de los
recursos internos.
Para el desarrollo del Plan Director de Seguridad
se consideran tanto los aspectos organizativos
como los aspectos procedimentales, técnicos y
humanos asociados con la seguridad de los
sistemas de información. En el marco de su
desarrollo se toma como base la Norma ISO
27002: "Código de Buenas Prácticas para la
Gestión de la Seguridad de la Información"
(antigua Norma ISO/IEC 17799:2005),
Así como todas aquellas normativas y estándares que
resulten aplicables de forma específica a la
organización, como la legislación vigente en materia de
protección de datos de carácter personal, el estándar
PCI DSS o COBIT, entre otros. Se realiza, asimismo, un
análisis técnico de vulnerabilidades, mediante la
realización de tests de intrusión internos y externos.
SGSI
Contenido
• SGSI • ISO 27000 • Análisis de Brecha • Evaluación de Riesgos • Política de seguridad • Organización de la Seguridad • Control y clasificación de los activos de la información • Seguridad del personal • Seguridad física y ambiental • Administración de Comunicaciones y Operaciones • Control de Acceso • Desarrollo y mantenimiento de Sistema • Administración de los incidentes de seguridad • Administración de la continuidad del negocio • Cumplimiento de disposiciones legales • Manual del Sistema de Gestión de Seguridad de la Información
Modelo de Gestión
Planeación
Implantación
Divulgación Gestión Riesgo
Remediación
PA
RT
ES
IN
TE
RE
SA
DA
S
Exp
ecta
tiv
as y
Req
uis
ito
s
de
Se
gu
rid
ad
Políticas
Procesos
Procedimientos
Instructivos
SGSI
• Sistema Gestión Seguridad Información
PDC
• Servicios de TI
Proyectos
• Ciberseguridad
• Seguridad de TI
Riesgos
ETH
Reportes
SOC
Hardening
Gestión Vulnerabilidades
Tratamiento a los Hallazgos de Auditoria
5. POLÍTICA
5.1Política de seguridad de la información
Objetivo: Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.
La directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de seguridad.
5.1.1 Documento de política de seguridad de la información
Control
La Dirección debería aprobar y publicar un documento de la política de seguridad de la información y comunicar la politíca a todos los empleados y las partes externas relevantes
5.1.2 Revisión de la política de seguridad de la información
Control
La política de seguridad de la información se debería revisar a intervalos planificados (o en caso que se produzcan cambios significativos) para garantizar que es adecuada, eficaz y suficiente.
5.1Política de seguridad de la información
5.1Política de seguridad de la información
5.1Política de seguridad de la información
5.1Política de seguridad de la información
TIPOS DE POLÍTICAS
Puede haber una política para los clientes para asegurar que la organización administra la seguridad de la información.
Habrá definitivamente una política interna comunicada a todo el personal involucrado en el alcance.
Las pequeñas organizaciones podrán necesitar solamente una política.
Las grandes organizaciones pueden necesitar de políticas distintas para diversas partes de la organización.
Puede haber políticas secundarias que estarán disponibles solamente para conocimiento de algunas personas, por Ej. Política para la sala de computo, Política de trabajo en un ambiente seguro, etc.
DESARROLLANDO POLÍTICAS
El marco de un sistema de gestión de seguridad de la información eficaz es una declaración de la política bien escrita.
Esta es la fuente de la cual las directrices, los estándares, los procedimientos, las pautas, la documentación de soporte serán generados.
Las políticas son directrices de gestión para crear un programa de seguridad de la información, para establecer sus objetivos, medidas y metas y para asignar responsabilidades.
5.1Política de seguridad de la información
¿POR QUE TENEMOS POLÍTICAS?
La ausencia de una política establecida, permite que las actividades actuales, pasadas y futuras se conviertan en políticas de hecho pues no hay políticas formales a defender
Implantando políticas la organización toma control de su destino.
El objetivo de una política de seguridad es mantener su integridad, la confidencialidad y la disponibilidad de los bienes de información.
Un objetivo en si mismo no es bastante; para hacer cumplir controles para alcanzar el objetivo es necesario tener políticas formales.
¿QUE ES UNA POLÍTICA?
El término política se define como una declaración de alto nivel de las creencias, metas y objetivos de una organización y los medios generales para el logro de un tema especifico. Una política debe ser breve (recomendado) y puesta en un alto nivel.
Una política no es una descripción especifica y detallada del problema ni de cada paso necesario para implantarla.
5.1Política de seguridad de la información
ELEMENTOS DOMINANTES DE UNA POLÍTICA
Para satisfacer las necesidades de la organización una política debe:
Ser fácil de entender
Ser aplicable
Ser posible de implantar
Ser controlable
Ser proactiva
Evitar los absolutos
Satisfacer los objetivos del negocio
FORMATO DE LA POLÍTICA
La disposición real de la política dependerá del formato normal de la organización.
Es importante que la política sea una política publicada de la organización, ya que necesita ser leída y no ignorada.
Manténgala en formato breve, por Ej. “Información es un bien y propiedad de la organización o de un proveedor, un cliente o un socio. Todos los empleados son responsables de proteger estos bienes contra el acceso, la modificación o la divulgación, o la destrucción desautorizados”.
5.1Política de seguridad de la información
CONTENIDO DE LA POLÍTICA
La política debe ser clara para no generar nuevos problemas.
Al escribir una política recuerde quién es la audiencia y utilice lo siguiente:
¿Qué – que es lo quede debe ser protegido? (el intento)
¿Quién – quién es responsable? (las responsabilidades)
¿Donde– donde dentro de la organización? (alcance)
¿Cómo – como con la conformidad será supervisada? (conformidad)
¿Cuando– cuando la política tendrá efecto?
¿Por qué – por que fue desarrollada?
EJEMPLO
“La información es un valioso bien corporativo. La continuidad del negocio es dependiente de la integridad y continuidad y disponibilidad de la información y otras propiedades. Como tal, se tomarán medidas para proteger los bienes de la información contra uso, modificación, acceso o destrucción desautorizada, sea accidental o intencional”.
5.1Política de seguridad de la información
EJEMPLO 1. DEFINICIONES 3 2. MARCO REGULATORIO 5 3. LÍNEA BASE DE LA POLÍTICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN 6 3.1. Objetivo 6 3.2. Alcance 6 3.3. Cumplimiento 6 3.4. Excepciones 7 3.5. Aplicabilidad 7 3.6. Administración de las Políticas 7 3.7. Referencias 7 3.8. Principios 7 3.2.1. Protección de la información 7 3.2.2. Protección de los recursos tecnológicos 7 3.2.3. Autorización de usuarios 7 3.2.4. Responsabilidad 8 3.2.5. Disponibilidad 8 3.2.6. Integridad 8 3.2.7. Confianza 8 3.2.8. Esfuerzo de Equipo 8 3.2.9. Soporte primario para la Seguridad de Información 8 3.2.10. Revisiones de seguridad en sistemas de Información 8 4. POLÍTICA GENERAL DE LA SEGURIDAD DE LA INFORMACIÓN 9 4.1. Sistema de Gestión de la Seguridad de la Información 9 4.2. Capacitación y concientización 9 4.3. Organización de seguridad 10 4.4. Clasificación y control de activos 10 4.5. Seguridad con personal 11 4.6. Seguridad física 11 4.7. Administración de redes y computadores 12 4.8. Control de acceso 12 4.9. Mantenimiento y desarrollo de sistemas 13 4.10. Plan de continuidad del negocio 14 4.11. Cumplimiento de Políticas y normatividad legal 14 4.12. Aprobación de Políticas 14 5. ANEXOS 14
5.1Política de seguridad de la información