Gestión de Proyectos de Seguridad Gestión de Proyectos de Seguridad y gy gde la Informaciónde la Información
1
Agenda
Introducción
Objetivo
Obj i l d d id d d lObjetivos y alcance de proyectos de seguridad de lainformación
Retos en la definición e implementación de proyectos deid d d l i f ióseguridad de la información
Madurez de la Seguridad de la Información
Conclusiones
Preguntas
Presentación
La gestión de proyectos enfatiza en el manejo de la triplerestricción: Alcance, Tiempo, Costo, p ,
En seguridad de la información aparece un elemento clavepara el éxito de los proyectos: Nivel de cultura
Objetivo
“P l i i l f l é i l“Presentar los principales factores para el éxito en la gestión de proyectos de seguridad de la Información”.
Objetivos de un Proyecto de Seguridad Objetivos de un Proyecto de Seguridad
1. Realizar un diagnóstico de la situación actual de la Organización en materia de seguridad informática de la información, diseñar el modelo de seguridad y establecer el plan de acción que permita implementar dicho modelo.
2. Asegurar apropiadamente las herramientas existentes en la Organización para obtener de manera adecuada la protección de la información.
3. Sensibilizar a un grupo de funcionarios de la Organización en aspectos de seguridad y capacitar a aquellos de la Oficina de Sistemas, que participarán en la gestión de la seguridad.
4. Generar los documentos necesarios para que los funcionarios de la Sistemas administren y soporten adecuadamente el modelo propuesto y los mecanismos implementados.
Alcance del Proyecto de Seguridad de la InformaciónAlcance del Proyecto de Seguridad de la Información
A áli i d i d l d l i ióAnálisis de riesgos de los procesos de la organización
Pruebas de ingeniería social
Pruebas de Vulnerabilidad y Hacking Etico desde Internet
Pruebas de Vulnerabilidad de las Redes Internas
Construcción de la matriz de riesgos
Revisión y Desarrollo de Políticas y Procedimientos deRevisión y Desarrollo de Políticas y Procedimientos de Seguridad
Organización del área de seguridad y modelo de seguridad de la organización
Planes de acción para el modelo sugerido
Aseguramiento de Componentes Críticos
Plan de SensibilizaciónPlan de Sensibilización
Plan de capacitación y transferencia de conocimientos
El reto Hoy: El reto Hoy: InterconectividadInterconectividad e Interoperabilidade Interoperabilidad
DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDAD
•Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capade seguridad, el trabajo del atacante se hace sencillo.
•Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, esinfalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad seaumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar lasintrusiones y los ataques justo cuando estos ocurren.
•La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de un sistemadeben ser entendidos y contenidos dentro de capas, cada una independiente de la anterior deforma funcional y conceptual”.
Seguridad Fisica
Seguridad Lógica
DATOS
g
DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDADCONCEPTOS DE DISEÑO
EVALUACIÓN DE RIESGOSCOMPONENTES
• EVALUACIÓN DE RIESGOS
• ESTRATEGIAS Y ESTÁNDARES
• ZONAS SEGURAS
• ENDURECIMIENTO DE SISTEMAS
• ENRUTADORES
• SWITCHES
– Endurecimiento del Sistema Operacional– Eliminar servicios no requeridos– Actualización periódica de parches (sistemas
operativos y aplicaciones)
• FIREWALLS
• ACCESO REMOTO – VPN
• ACCESO REMOTO – DIAL UP– Desactivar protocolos no encriptados– Protección contra virus– Renombrar cuentas de administrador– Cambiar passwords por defecto
Desacti ar c entas de in itado
ACCESO REMOTO – DIAL UP
• REDES INALAMBRICAS
• DETECCIÓN DE INTRUSIONES– Desactivar cuentas de invitado– No permitir anonimus FTP– Incrementar tamaño de archivos de log– Permisos sobre directorios, archivos y otros
objetos
• EVALUACION DE LA SEGURIDAD DE LA RED
– Análisis de vulnerabilidades– Desplegar mensajes de alerta– Implementar el concepto de menor privilegio– Separación de funciones
EL RETO ES MÁS COMPLEJOEL RETO ES MÁS COMPLEJO I t ti id dI t ti id dEL RETO ES MÁS COMPLEJO: EL RETO ES MÁS COMPLEJO: InterconectividadInterconectividad, , Interoperabilidad, SeguridadInteroperabilidad, Seguridad
DATOSDATOS
APLICACIÓNAPLICACIÓN
SERVIDORESSERVIDORES
REDREDREDRED
PERIMETROPERIMETRO
SEGURIDAD FÍSICASEGURIDAD FÍSICA
PROCEDIMIENTOSPROCEDIMIENTOS
Dónde están los recursos y datos críticos del Dónde están los recursos y datos críticos del negocio ?negocio ?
El Rompecabezas de la Seguridad
Plan de
Aseguramiento Entrenamient
Control Interno
Control deAcceso
Plan de Contingencias
Auditoria
Personal
o
Administración de Riesgos
Identificación y Acceso Problemas de
Usuario
AmenazasManejo de
Incidentes
Políticas Seguridad Física
Criptografía
Soporte y Operaciones
Administración
Outsourcing Planificación
GobiernoDe TI
El Rompecabezas de los estándares y modelos de
ISO 17799SARBANES
seguridad
TOGAF CMMITickITSARBANESOXLEY
COBIT NIST 800-14
COSO
ITSEC BASILEA II
NIST 800-34
FIPS PUB 200PRINCE 2
BPMNIST 800-12
ISO 27000
BS 7799 ITIL
ASNZ 4360PMBOK
ASNZ 4360
NO OLVIDAR QUE EL RETO TRASCIENDE LAS FRONTERAS NO OLVIDAR QUE EL RETO TRASCIENDE LAS FRONTERAS TECNOLÓGICASTECNOLÓGICAS
MADUREZ DE LA SEGURIDADMADUREZ DE LA SEGURIDAD
Conclusiones
Seguridad de la información significa impacto sobre la funcionalidadde los sistemas y del negociode los sistemas y del negocio
El principal obstáculo en la definición del alcance del proyecto son los conceptos heterogéneos en seguridad de la información: Organizaciónconceptos heterogéneos en seguridad de la información: Organización
cliente, Equipo Consultor, Gerente de Proyectos.
En el plan de trabajo es importante estimar los tiempos deEn el plan de trabajo es importante estimar los tiempos de participación del equipo cliente
Cuando el Gerente de Proyectos es externo la situación es másycompleja.
Es importante que los Gerentes de Proyecto que incursionen en estecampo ostenten certificaciones independientes de seguridad: CISM,
CISSP, CISA, LEAD AUDITOR ISO 27000
Referencias
IT Governance Institute, Cobit_mapping
IT Governance Institute, COBIT 4.0: Control Objectives For Information And Related Technology
Committee of Sponsoring Organization of the Treadway Commission, COSO
THE SARBANES OXLEY ACT
British Office of Trade Industry ITIL: The IT Infrastructure LibraryBritish Office of Trade Industry, ITIL: The IT Infrastructure Library
International Organization for Standardisation, ISO/IEC 17799:2005 Code of Practice for Information Security Management
International Organization for Standardisation, ISO/IEC 27001: Information Technology – Security Techniques –International Organization for Standardisation, ISO/IEC 27001: Information Technology Security TechniquesInformation Security Management Systems ‐ Requirements
Computer Security Division of the National Institute of Standards and Technology, FIPS PUB 200: Federal Information Processing Standars Publication 200: Minimum Security Requirements for Federal Information and
Information Systems
International Organization for Standardisation, ISO/IEC TR 13335: Information Technology – Guidelines for themanagement of IT Security
International Organization for Standardisation, ISO/IEC 15408:2005 Security Techniques – Evaluation Criteria forIT SecurityIT Security
British Office of Government Commerce (OCG): PRINCE2: Projects in Controlled Environments
Referencias (Cont.)
Project Management Institute, PMBOK: A Guide to the Management Body of Knowledge
Computer Security Division of the National Institute of Standards and Technology, NIST 800‐14: Generally Accepted Principles and Practices for Securing Information Technology Systems
The Australian / New Zealand Standard for Risk Management, ASNZ 4360: 1999
Ramiro Merchán, Implementación del Modelo Cobit bajo ISO 9000, Congreso Iberoamericano de Control, Seguridad y Auditoria, Ciasi 2001, Madrid – España
Ramiro Merchán, Defensa en Profundidad, Information Security and Risk Management, ISACA, 2009, Bogotá – Colombiag
Ramiro Merchán, Tendencias en Seguridad de la Información, Information Security and RiskManagement, ISACA 2010, Bogotá ‐ Colombia
¿Preguntas?¿Preguntas?gg
Ramiro Merchán P. Vicepresidente de Consultoría
CISA, CBCPDIGIWARE DE COLOMBIA S.A.
e‐mail: [email protected]
Top Related