“Normativas relacionadas con Seguridad Informática”

“Normativas relacionadas con Seguridad Informática”

Lic. Julio C. ArditaLic. Julio C. [email protected]@cybsec.com

Lic. Gustavo CorteseLic. Gustavo [email protected][email protected]

Julio de 2005Julio de 2005Asunción Asunción -- PARAGUAYPARAGUAY

2

© 2005

Normativas relacionadas con Seguridad Informática

TemarioTemario

- Norma ISO 17799

- Sarbanes Oxley Act (SOX)

- Manual de Control Interno Informático para Entidades

Financieras (MCIIEF)

3

© 2005

Normativas relacionadas con Seguridad InformáticaNorma ISO 17799

Norma ISO 17799Norma ISO 17799

4

© 2005


ISO/IEC 17799 y BS7799-2

• IS 17799 es una lista de cosas buenas a hacer.

• BS 7799 Parte 2 es una especificación para el ISMS (Information Security Management System).

Norma ISO 17799

5

© 2005


6

© 2005


7

© 2005


8

© 2005


9

© 2005


10

© 2005

Normativas relacionadas con Seguridad InformáticaSOX

Sarbanes Oxley ActSarbanes Oxley Act

11

© 2005


Objetivo de SOXObjetivo de SOX

La ley estadounidense “Sarbanes-Oxley Act” tiene como objetivo

generar un marco de transparencia para las actividades y reportes

financieros de las empresas que cotizan en la Bolsa de Estados

Unidos, y darle mayor certidumbre y confianza a inversionistas

y al propio Estado.

SOX

12

© 2005


Requisitos principalesRequisitos principales

- Establecer un nuevo consejo de vigilancia, supervisado por la SEC.

- Definir nuevas funciones y responsabilidades para el comité de auditoria.

- Que los directivos acompañen los reportes con una certificación personal.

- Definir un esquema de medición del control interno que se aplique

constantemente.

- Que los directivos certifiquen el buen funcionamiento de sus sistemas de

control interno

- El auditor externo tiene que verificar la certificación del control interno.

- Nuevos esquemas de administración de riesgos.

SOX

13

© 2005


Secciones sobresalientesSecciones sobresalientes

Artículos:

302 - Responsabilidad de la Compañía por los Informes Financieros.

404 - Evaluación de la Gerencia de los Controles Internos.

409 - Tiempo real de revelaciones del emisor.

SOX

14

© 2005

Normativas relacionadas con Seguridad InformáticaMCIIEF

Manual de Control Interno InformáticoManual de Control Interno Informáticopara Entidades Financieras (MCIIEF)para Entidades Financieras (MCIIEF)

15

© 2005


DATOSDATOSAPLICACIONESAPLICACIONESTECNOLOGÍATECNOLOGÍASOPORTESSOPORTESPERSONALPERSONAL

Datos

DatosDatos

CLIENTESCLIENTESPROVEEDORESPROVEEDORESCORRESPONSALESCORRESPONSALESSUCURSALESSUCURSALESSITIOS DE CONTINGENCIASITIOS DE CONTINGENCIA

AMBIENTEAMBIENTETECNOLÓGICOTECNOLÓGICOINTERACTÚAINTERACTÚA

Utilización de Recursos

16

© 2005


DATOSDATOSAPLICACIONESAPLICACIONESTECNOLOGÍATECNOLOGÍASOPORTESSOPORTESPERSONALPERSONAL

Datos

DatosDatos

CLIENTESCLIENTESPROVEEDORESPROVEEDORESCORRESPONSALESCORRESPONSALESSUCURSALESSUCURSALESSITIOS DE CONTINGENCIASITIOS DE CONTINGENCIA

RESULTADO:RESULTADO:AMBIENTEAMBIENTETECNOLÓGICOTECNOLÓGICOCOMPLEJOCOMPLEJO

AMBIENTEAMBIENTETECNOLÓGICOTECNOLÓGICOINTERACTÚAINTERACTÚA

Utilización de Recursos

17

© 2005

Normativas relacionadas con Seguridad InformáticaMCIIEF

Manual de Control Interno InformáticoManual de Control Interno Informático

La Superintendencia de Bancos del Banco Central aprobó el Manual

de Control Interno Informático para Entidades Financieras (MCIIEF)

con el objetivo de minimizar los riesgos tecnológicos existentes y

mejorar las unidades de control interno en las Entidades.

18

© 2005

Normativas relacionadas con Seguridad InformáticaÁreas de Actividad Relacionadas con la TI

• efectividad• eficiencia• confidencialidad• integridad• disponibilidad• conformidad• fiabilidad


MONITOREOMONITOREO

PLANIFICACION Y ORGANIZACION


INFORMACIONINFORMACION

• datos• aplicaciones• tecnología• soportes de la TI• personal


RECURSOS DE TIRECURSOS DE TI

MCIIEFMCIIEF

ADQUISICION E IMPLEMENTACION


PRODUCCION Y SERVICIOS


19

© 2005

Normativas relacionadas con Seguridad InformáticaObjetivos de Control de Interés de la Seg. Inf.



MONITOREOMONITOREO



INFORMACIONINFORMACION



RECURSOS DE TIRECURSOS DE TI

MCIIEFMCIIEF





PS2 Garantizar la Continuidad del ServicioPS3 Garantizar la Seguridad de los Sistemas

PS2 Garantizar la Continuidad del ServicioPS3 Garantizar la Seguridad de los Sistemas

M1 Obtención de Certificación IndependienteM1 Obtención de Certificación Independiente

20

© 2005

Normativas relacionadas con Seguridad InformáticaPS2 - Garantizar la Continuidad del Servicio

Etapas 1 2 3 4

Desarrollo delPlan de Continuidad

5

Implementación Capacitación Pruebas Mantenimiento

1.- Desarrollo del Plan de Continuidad del Servicio de IT2.- Implementación (Recursos de Lugar, HW, SW, Consultoría, etc).3.- Capacitar al Personal Involucrado.4.- Realizar una pruebas Anuales del Plan.5.- Mantenerlo actualizado en base a los cambios de los sistemas y la Infraestructura de Tecnología.

Esquema de Implementación del Plan de Continuidad de TI

Comunica a

Personalde la

Entidad

Incidente deRecurso Informático

Atención aUsuarios

Comunica a

Incidente deContingencia

Otro Tipo deIncidente

Gerentede TI

Gestiona la Solución

Incidente

Incidentede Cont. ?

21

© 2005

Normativas relacionadas con Seguridad InformáticaPS2 - Garantizar la Continuidad del Servicio

1 2 3 4

Análisis del Impactoen el Negocio

5

Medidas deReducción deRiesgos

Estrategia deRecuperación

Desarrollodel Plan deContinuidad

1.- Identificación de procesos críticos. Análisis de impactos y tiempos máximos permitidos en una interrupción.Definición de Prioridades de Recupero.

2.- Definición de Medidas de Reducción de Riesgos.3.- Identificación de métodos de recupero, manejo de Backups y Sitio Alternativo.4.- Definición del Plan, pautas y procedimientos a seguir. Pasos para su implementación.5.- Adquisición de recursos. Entrenamiento de Recursos. Implementación.6.- Definición de objetivos de las pruebas, participación, documentación. Realización de las Pruebas.7.- Revisión del Plan. Actualización del Plan. Distribución y Publicación.

Lineamientos para Desarrollar un Plan de Seguridad de TI

Implement.del Plan deContinuidad

6 7

Pruebasdel Plan deContinuidad

Mantenimientodel Plan deContinuidad

22

© 2005

Normativas relacionadas con Seguridad InformáticaPS3 - Garantizar la Seguridad de los Sistemas

Etapas 1 2 3 4

Estrategia deSeguridad

5

Desarrollo dePlan de Seg.

Desarrollo dePolíticas

Implementación Mantenimiento

1.- Definición de la Estrategia de Seguridad de la Entidad2.- Desarrollo de un Plan de Seguridad de TI a Corto, Mediano y Largo Plazo

El Plan debe incluir:Monitoreo de tendencias de SeguridadMonitoreo o Supervisión de la aplicación de las Políticas de SeguridadProgramas de Concientización, Entrenamiento e Instrucción de las Políticas

3.- Desarrollo de Políticas, Normas y Proc. de Seguridad ( Ej. Políticas de Seguridad de la Información,Políticas de Seguridad Física, Normas de Resguardo de la Información, etc. )

4.- Implementación de Planes de Seguridad de TI, Políticas, Normas y Procedimientos de Seguridad5.- Revisión de Planes y Políticas de Seguridad

Elaboración de Nuevas Versiones de Planes y Políticas de Seguridad

Tiempo: Días Tiempo: Días Tiempo: Semanas Tiempo: Meses

PS3.1 Administración de las Medidas de SeguridadEsquema de Implementación

23

© 2005


- Utilizar canales seguros (SSH, SSL, No Telnet, ni HTTP).

- Implementar Políticas de Passwords (Cambio, longitud, bloqueo,

cantidad de intentos, etc).

- Implementar Mecanismos de autenticación fuertes (Passwords,

Tokens, Certificados Digitales, Biométrico, etc).

PS3.2 Identificación, Autenticación y Acceso

PS3 - Garantizar la Seguridad de los Sistemas

24

© 2005


PS3.3 Seguridad de Acceso en Línea a los Datos

- Análisis de los usuarios, perfiles, grupos, accesos y funciones

requeridas.

- Definición de perfiles por función.


25

© 2005


PS3.4 Administración de las Cuentas del Usuario- Desarrollar un procedimiento escrito para el ABM de Usuarios.

- Implementar el procedimiento con el personal de la Entidad.

PS3.5 Violaciones e Informes de Actividad de Seguridad

- Definir una política de LOGS.

- Activar los LOGS en los dispositivos, sistemas y aplicaciones.

- Generar reportes de los LOGS (NW-SO-AP).


26

© 2005


PS3.6 Mantenimiento de Privilegios de Acceso

-En caso de reorganización de funciones o cada 3 (tres) meses, se

deben analizar los privilegios de acceso de los usuarios definidos.

PS3.7 Administración de Claves de Encriptación

- Definir procedimientos y algoritmos a utilizar.

- Definir e implementar el esquema de sobres cerrados.

- Realizar pruebas de fortaleza de las claves utilizadas.


27

© 2005


PS3.8 Medidas de Seguridad y Conexiones con Redes Públicas- Diseño del esquema de red en un entorno seguro.

- Implementación de medidas de seguridad estándares: Firewalls,

Establecimiento de DMZ´s, IDS, Mod_Security, etc).


28

© 2005

Normativas relacionadas con Seguridad InformáticaM1.1 Certificación Independiente

M1.1 Certificación Independiente de la Seg. y el Control Interno de TI

- Realizar Certificaciones de Seguridad, antes y después de Implementar

Servicios de TI considerados importantes.

INTERNET

CLIENTES

COMPUTADORAS

Transacciones yConsultas de Clientes

ENTIDADFINANCIERA

“Normativas relacionadas con Seguridad Informática”

Documents

Transcript of “Normativas relacionadas con Seguridad Informática”