SEGURIDAD EN TELECOMUNICACIONES
Ing. Nicanor Sachahuaman Martínez
CISM, ITIL, COBIT, CBCP, MCSE
2. FUNDAMENTOS DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN ISO27001 -27002
1
ESTÁNDAR ISO - 27001
•Este estándar ha sido elaborado con el objetivo de brindar un modelo para el establecimiento y gestión eficaces de un sistema de gestión de seguridad de la información (SGSI). El diseño e implementación de un SGSI depende según el estándar de las necesidades y objetivos de cada negocio, así que aunque para todo negocio aplica la norma, para una situación simple requiere de una solución de SGSI simple.
•El estándar esta alineado con el ISO 9001:2010 y con el
ISO 14001:2007, para poder sostener una implementación y operación consistente e integrada con los estándares de gestión relacionados.
ESTÁNDAR ISO - 27001
•El modelo esta basado en el célebre ciclo Shewhart (Plan,Do, Check, Act) o PHVA (Planear, Hacer, Verificar y Actuar).
Componentes principales de un
SGSI (ISMS)
Las
actividades
continuament
e circulan
alrededor del ciclo PDCA
PLAN-DO-
CHECK-ACT
ESTABLECIMIENTO DEL
SGSI • PLANIFICAR (Establecer el SGSI):
Establecer los procesos, la política, los objetivos, el alcance, la identificación y
valoración de riesgos de seguridad de la información, seleccionar los controles para
mitigar los riesgos, preparar una declaración de aplicabilidad y un plan de tratamiento
de riesgos para ser aprobados por la gerencia.
IMPLEMENTACIÓN DEL SGSI
• HACER (Implementar y operar el SGSI):
Implementar los controles que han sido seleccionados y promover las acciones
necesarias para gestionar los riesgos de seguridad de la información.
MONITOREAR Y REVISAR EL SGSI
• VERIFICAR (Monitorear y revisar el SGSI):
Evaluar y, en donde sea aplicable, medir el desempeño del proceso contra la
política y los objetivos de seguridad y la experiencia práctica, y reportar los
resultados a la dirección, para su revisión.
MANTENER Y MEJORAR EL SGSI
• ACTUAR (Mantener y mejorar el SGSI):
Emprender acciones correctivas y preventivas con base en los resultados de
la revisión por la dirección, para lograr la mejorar continua del SGSI.
8
ISO 27002 (17799)
•La ISO 27002 provee un conjunto de guías y controles que comprenden las mejores prácticas en seguridad de la información, y que pueden ser utilizadas como base para desarrollar una política de seguridad informática.
•La ISO 27002 define 133 controles los cuales son
agrupados dentro de 36 objetivos de control y 11 dominios que son utilizados como un “checklist” de seguridad para asistir en la evaluación de la política de seguridad y controles existentes dentro de una organización.
ISO /IEC
27031:2011
“Guías para la preparación de las
tecnologías de información y
comunicación para la continuidad del
negocio”
Concepto Familia ISO 27K mas utilizados en las organizaciones:
• ISO 27001:2007: establece los requisitos (shall) para
construir un Sistema de Gestión de Seguridad de
la Información, ISMS (SGSI) basado en:
Alcance
Identificación y evaluación de riesgos
Elección de controles para tratamiento de riesgos
Declaración de Aplicabilidad
Modelo PDCA (PHVA) de mejoramiento continuo
Un Análisis Gap permite verificar el cumplimiento de
los controles ISO 27002.
La ISO 27001 es auditable y certificable
Que es ISO 17799 / BS 7799 / UNE 71502 ?
1995
1998
BS 7799 Parte 1
BS 7799 Parte 2
Estándar Sueco SS 62 77 99 Parte 1 y 2 1999 Nueva versión de BS 7799 Parte 1 y 2
Diciembre 2000 ISO/IEC 17799:2000
2001 Revisión de BS 7799-2
Septiembre 2002 Nueva versión de BS 7799-2:2002 revisada y corregida
UNE 71502 Marzo 2004
HISTORIA DE LA NORMA Junio 2005 ISO 17799:2005
Certificaciones
•ICONTEC, AENOR, Berau Veritas, SGS, TÜVRHEINLAND, etc. están facultadas para otorgar certificaciones de ISO 27001
ISO 27002 - Tecnología de la Información – Técnicas de seguridad – Código
para la práctica de la gestión de la seguridad de la información
15
1. Políticas de Seguridad
• Documento Políticas de Seguridad Informática
– Aprobación y Respaldo de la Alta Gerencia
– Definición de Seguridad de la Información, expectativas de
la organización, Objetivos generales, Alcance.
– Breve explicación de las políticas, principios, estándares y
su importancia para la organización.
– Definición de las responsabilidades de todos los usuarios
con respecto a la seguridad informática
– Referencia a toda la documentación que soporta la política
de seguridad
Objetivo:
Establecer un compromiso de control y apoyo continuos por
parte de los directivos de la organización para la seguridad de la
información.
16
1. Políticas de Seguridad
• Revisión y Evaluación de las políticas de Seguridad
– Designar un responsable de las políticas de seguridad de la organización.
– Medir Efectividad de la política
– Costo e impacto de los controles implementados sobre la eficiencia del negocio.
– Efectos de los cambios a la tecnología
Objetivo:
Establecer un compromiso de control y apoyo continuos por
parte de los directivos de la organización para la seguridad de la
información.
17
2. Organización de Seguridad
• Infraestructura de Seguridad Informática
– Definición del líder del equipo de seguridad.
– Definición de Roles y Responsabilidades para los diferente integrantes del equipo.
– Formalizar los diferentes Roles
• Especialistas en Seguridad Tecnológica
– Revisión periódica e independiente de la Seguridad Informática de la Organización
• Requerimientos de Seguridad para el Acceso de Terceros
• Requerimientos para contratos de Outsourcing
Objetivo:
Administrar la seguridad de la información dentro de la
organización.
18
3. Control y Clasificación de Activos
• Inventario de activos de información y de la infraestructura de información de la organización para determinar un adecuado nivel de seguridad física para los recursos tecnológicos y la información.
• Análisis del inventario de recursos críticos para identificar su nivel de criticidad para la organización.
• Establecer responsables para la administración de los diferentes recursos tecnológicos y las áreas tecnológicas.
Objetivo:
Proteger apropiadamente aquellos recursos tecnológicos
considerados como críticos para la organización.
19
4. Seguridad del Personal
Implementación de consideraciones de seguridad en las
descripciones laborales.
Incluir la Seguridad Informática como una cláusula de los
contratos de trabajo.
Verificación de referencias específicas de los nuevos
empleados.
Establecer Acuerdos de Confidencialidad.
Educación y Entrenamiento enfocado a los Usuarios
Reporte apropiado de incidentes y fallas en los recursos
tecnológicos
Objetivo:
Reducir los riesgos que puedan ser causados por errores
humanos, robo, fraude o mal manejo de las instalaciones o de
los recursos tecnológicos.
20
5. Seguridad Física y Ambiental
Establecer una política que proteja la infraestructura
tecnológica, la planta física y los empleados.
Control de acceso a locaciones
Fuentes de backup para la corriente eléctrica
Rutinas de mantenimiento a los componentes tecnológicos
y a los controles de acceso a las instalaciones
Aseguramiento físico de los recursos tecnológicos
Seguridad en los recursos tecnológicos que salen a
reparación a terceros
Apropiada destrucción y re-uso de recursos tecnológicos
Política de escritorios limpios
Objetivo:
Prevenir el acceso NO autorizado a las áreas tecnológicas
consideradas como críticas para la organización.
21
6. Administración y Operación de Seguridad
Prevenir incidentes de seguridad mediante la implementación de
controles, como el uso de proteccion antivirus, manteniendo y
monitoreando las bitácoras, asegurando conexiones remotas y
teniendo procedimientos de respuesta a incidentes.
Responsabilidades y Procedimientos Operativos
Documentación
Control de Cambios
Administración de Incidentes
Separación de Responsabilidades
Separación de ambientes de desarrollo, prueba y
producción
Objetivo:
Garantizar el correcto y seguro funcionamiento de los recursos
tecnológicos que soportan la operación de la organización.
22
6. Administración y Operación de Seguridad
Planeación de los Sistemas
Capacidad
Desempeño
Controles de prevención y detección de instalación de software no
autorizado
Software Malicioso (virus, gusanos, caballos de troya)
Software Ilegal – Piratería de Software
Copias de Seguridad
Formalización de los procesos para toma de copias de
seguridad
Pruebas periódicas
Objetivo:
Garantizar el correcto y seguro funcionamiento de los recursos
tecnológicos que soportan la operación de la organización.
23
6. Administración y Operación de Seguridad
Administración de la Red de Datos
Controles de Seguridad para los componentes de
comunicaciones de la organización
Administración de componentes de almacenamiento
Administración de discos duros, cd’s, disquettes, etc
Destrucción de los componentes
Procedimientos para el manejo de la información
Seguridad para el Intercambio de Información
Procesos formales de autorización
Correo Electrónico
Sistemas de Información abiertos al público
Objetivo:
Garantizar el correcto y seguro funcionamiento de los recursos
tecnológicos que soportan la operación de la organización.
24
7. Sistemas de Control de Acceso
• Protección contra intrusiones internas o externas, controlando el acceso a los recursos de red y aplicaciones a través de medidas como la administración de passwords, autenticación y auditoría de eventos.
• Controlar el acceso a la información
Objetivo:
Controlar el acceso a la información de la organización,
basándose para esto en los requerimientos del negocio.
25
7. Sistemas de Control de Acceso
– Requerimientos del Negocio para Otorgar Acceso a los diferentes recursos tecnológicos.
– Administración de Usuarios
– Responsabilidad de Usuarios
– Control de Acceso a la Red de Datos
– Control de Acceso a los Sistemas Operativos
– Control de Acceso a las Aplicaciones
– Monitoreo del Acceso sistema y uso del mismo.
– Computación Móvil
Objetivo:
Controlar el acceso a la información de la organización,
basándose para esto en los requerimientos del negocio.
26
8. Desarrollo y mantenimiento de sistemas
• Garantizar que la seguridad informática es parte integral de cualquier Implementación, actualización o expansion de los Sistemas de Información y que los actuales sistemas son administrados en forma adecuada.
– Seguridad en el Desarrollo de aplicaciones
– Seguridad en sistemas de información actuales
– Controles criptográficos
– Seguridad en los fuentes y objetos
– Control de Cambios
Objetivo:
Garantizar que los sistemas de información estén diseñados
contemplando todos los estándares de seguridad de la
organización.
27
09. Gestión de Incidentes de Seguridad
• Reportar los eventos y debilidades de seguridad de la
información: cuyo objetivo es el de asegurar que los eventos y
debilidades de seguridad de la información asociadas con los
sistemas de información sean comunicados de una manera tal
que permita que la acción correctiva sea tomada
oportunamente
• Gestión de los incidentes y mejoras de seguridad de la
información: cuyo objetivo es el de asegurar que un enfoque
coherente y eficaz es aplicado a la gestión de los incidentes de
seguridad de la información.
Objetivo:
Garantizar que los incidentes de seguridad de información asociados
a los sistemas de información se encuentre registrados, tratados,
monitoreados y solucionados para minimizar la materialización de
riesgos que podrían afectar a dichos sistemas de información.
28
10. Continuidad del Negocio (BCP)
Recuperación ante desastres (DRP) Objetivo:
Contrarrestar interrupciones en las actividades del negocio y
proteger los procesos críticos de la operación en caso de
presentarse fallas de gran consideración o desastres dentro de la
organización.
• Planeación frente a desastres — naturales y causados por el hombre – y como recuperarse de estos.
– Backup de datos
– Equipos Alternos
– Comunicaciones Alternas
– Sitios Alternos
– Personal Alterno
– Procedimientos Alternativos de Operación
• Minimización del impacto frente a un desastre y durante este. Así como el restablecimiento de la operación normal después del mismo.
29
11. Cumplimiento de Normatividad Legal
• Evitar infringir cualquier norma civil o penal, ley, reglamento,
obligación contractual o cualquier requerimiento de seguridad.
• Asegurar la compatibilidad de los sistemas con las políticas y
estándares de seguridad.
• Maximizar la efectividad y minimizar las interferencias desde y
hacia el sistema de auditoría del proceso.
• Formalización de un proceso adecuado para la recolección de
evidencias en caso de investigación
Objetivo:
Evitar violaciones a cualquier tipo de ley civil, penal, estatutaria,
contractual y en general cualquier requerimiento legal o
administrativo.
Estado actual de la normas:
•ISO 17799:2000: Pasó a ser ISO 17799:2005 a partir
de Junio 2005.
• » 11 áreas control (separa Gestión de Incidentes), antes 10 áreas
• » Cambio de algunas denominaciones de áreas
• » Ampliación de temas en algunos controles
• » 133 controles de seguridad, antes 127 y 39 objetivos de control Vs 36.
• Hacia finales de 2.006 aparecerá la ISO 27002
Política de
Seguridad
Organización para la Seguridad de
la Información
Gestión de
Activos
Control de
Acceso
Cumplimiento
Seguridad del Recurso
Humano
Gestión de Incidentes
de Seguridad Seguridad Física y del
entorno
Adquisición, desarrollo y
mantenimiento de Sistemas
Gestión de Comunicaciones y
Operaciones
Gestión de la Continuidad del
Negocio
Dominios de Control de la
ISO 27002:2006
Control Administrativo
Control Ténico
Control Físico
Control Legal
32
Factores de Éxito en la
Implementación •La Política de seguridad debe reflejar los objetivos de la
organización.
•El esquema implementado debe ser coherente con la cultura de la organización.
•Compromiso y apoyo de la alta gerencia.
•Buena comprensión de los requerimientos de seguridad, de la evaluación de riesgos y de la gerencia del riesgo.
•Canales de comunicaciones apropiados para que los conceptos de seguridad sean abiertamente comunicados a los responsables y empleados.
Beneficios del estándar ISO 27001
•Competitividad. Diferenciador en el mercado
•Prevenir alteraciones en transmisión de datos
•Planeación y manejo de la seguridad más efectivos.
•Mayor confianza en el cliente.
•Auditorías de seguridad más precisas y confiables.
•Protección ante accesos mal intencionados
Beneficios de la ISO 27002
•Protección de los bienes de la empresa (información y
actividades)
•Protección de la información en las comunicaciones y
software
Procesamiento seguro de la información
•Minimizar errores inadvertidos y fraudes por parte del
personal de la organización
CONCLUSIONES
•La certificación de seguridad suele ser beneficiosa, pero ni garantiza inmunidad ni debe ser un objetivo.
•La certificación califica formalmente el sistema de
gestión, no la seguridad técnica.
•Falta de cultura de seguridad en la organización.
•Se maneja el Certificado como un objetivo (“Condecoración”), no como reconocimiento.
La seguridad total no existe!!!
¿CONSULTAS?