Ramiro Cid | @ramirocid
Octubre de 2012
2
1. Aspectos importantes a tener en cuenta
durante la auditoría interna
Pág. 3
2. Introducción al concepto de un SGSI Pág...
• Nunca decir que hacemos un control sobre algo el cual sabemos que no
tenemos ningún registro.
• Procurar tener en todo m...
• Evaluar la eficiencia y efectividad de la organización de los controles de seguridad
en general (del SGSI)
• Evaluar los...
Topic Interview partner(s) Topics to be discussed
Estimat
ed time
(hours)
Kickoff Meeting
Head of Business, Head of IT, ma...
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es una forma de garantizar:
◦ Una reducción en los incident...
Creación e implantación de un conjunto de controles de seguridad en la organización:
◦ Controles técnicos
◦ Controles orga...
Como resultado de un proyecto de creación e implantación de un SGSI se obtiene:
Un conjunto de documentación de todos y ca...
“El alcance del Sistema de Gestión de la Seguridad de la Información incluye a los activos
de información que soportan el ...
Dirección: Máximo responsable del SGSI, debe firmar y aceptar las políticas y
aceptar la situación y estado del SGSI así c...
En organizaciones y empresas multinacionales, es el documento maestro
de la seguridad de la organización. Es un documento ...
Participación
◦ Consultas o dudas: al Responsables de Seguridad.
◦ Ser Proactivos con las comunicaciones realizadas desde ...
Cosas que hay que tener en cuenta en relación a la Seguridad Física:
• Nunca dejar abierta la puerta del CPD.
• Nunca deja...
a) Disponibilidad: Que sea accesible en todo momento que sea requerido.
b) Confidencialidad: Que la información sea accesi...
Cosas que hay que tener en cuenta en relación a controles que busquen salvaguardar la
confidencialidad de la información:
...
Política de mesas limpias:
Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo con
información confidenci...
• Puede ser una alternativa viable crear una estructura de carpetas que sirva como
el Sistema de Gestión de la Seguridad d...
23
Dominio / Carpeta dentro de SGSI Documentación que contiene
Plan Estratégico de Seguridad IS
Actas de reuniones, Catálo...
Seguir creando documentos aún no existentes (esquemas topológicos de redes y entornos,
documentos operativos para Helpdesk...
SGSI: http://es.wikipedia.org/wiki/SGSI
ISO/IEC 27001: http://es.wikipedia.org/wiki/ISO/IEC_27001
Seguridad de la Informac...
¡¡ Muchas Gracias !!
ramiro@ramirocidramiro@ramirocidramiro@ramirocidramiro@ramirocid....comcomcomcom
@@@@ramirocidramiroc...
Formación en Seguridad IT
Formación en Seguridad IT
Formación en Seguridad IT
Formación en Seguridad IT
Formación en Seguridad IT
Upcoming SlideShare
Loading in …5
×

Formación en Seguridad IT

585 views

Published on

Presentación que incluye muchos aspectos a tener en cuenta ante una auditoria en seguridad IT, una correcta gestión de la SGSI y un modelo de estructura de un gestor de documentos del departamento de IS.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
585
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
30
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Formación en Seguridad IT

  1. 1. Ramiro Cid | @ramirocid Octubre de 2012
  2. 2. 2 1. Aspectos importantes a tener en cuenta durante la auditoría interna Pág. 3 2. Introducción al concepto de un SGSI Pág. 7 3. Mejoras en la seguridad física Pág. 15 4. Controles sobre la confidencialidad de la información impresa y el puesto de trabajo Pág. 17 5. Posible estructura de una carpeta departamental de un departamento de sistemas Pág. 21
  3. 3. • Nunca decir que hacemos un control sobre algo el cual sabemos que no tenemos ningún registro. • Procurar tener en todo momento una actitud abierta, aplicando la lógica de mostrar las virtudes y ocultar las flaquezas (sin pasarse). • Si surgiesen dudas sobre temas que plantee/consulte el auditor, remitir dicha duda al Responsable de Seguridad. • Las personas que estén realizando tareas relacionadas con mejoras previas a la auditoría, deben informar al Responsable de Seguridad antes de la auditoría interna del grado de avance y los temas pendientes. El Responsable de Seguridad procederá a realizar un Plan de Acción a ser presentado al Auditor, el cual reflejará las acciones a realizar en búsqueda de la mejora de la seguridad dentro de un calendario. 4 Puntos a tener en cuenta en el trato con el auditor
  4. 4. • Evaluar la eficiencia y efectividad de la organización de los controles de seguridad en general (del SGSI) • Evaluar los sistemas y procesos que se desarrollan en la organización. • Detectar y prevenir posibles errores y GAP’s (NC’s). • Evaluar el riesgo y los controles aplicados para mitigarlos. • Elaboración de planes de contingencia y recuperación en caso de desastres. 5
  5. 5. Topic Interview partner(s) Topics to be discussed Estimat ed time (hours) Kickoff Meeting Head of Business, Head of IT, major participants in the audit Introduction to Internal Audit, Approach of Internal Audit in field work, report writing, draft Agenda of the audit 1 Organisation and Interfaces Head of IT Organisational structures; roles and responsibilities; HR; Security concept 3 Data Centre Infrastructure Head of IT, Sysprog Physical Infrastructure (Access, UPS, Cabeling, environmental hazards) 3 Licence and HW Managment Head of IT Purchasing and Lifecycle procedures 2 ITIL Processes Head of IT, Sysadmin SD, incident, problem, change, config 2 Monitoring Sysadmin Infrastructure Monitoring; Application Monitoring 1 Disaster Recovery Head of IT, Sysadmin Disaster recovery planning; Backup and restoring procedures 3 ERP System Sysadmin Security settings, Authorization concept 4 Windows environment Sysadmin Administration; patch management, access 4 Unix Sysadmin Administration; patch management, access Network Sysadmin Administration; patch management, access Firewall firewall administrator ISA, Access logs, Admin accounts, firewall rule settings Intrusion Detection System? Remote Access Windows administrator Administration, user and permission management 2 SAN Sysadmin 1 Applications Sysadmin Application A, Application B, Application C 6 Exit Meeting Head of Business, Head of IT, major participants in the audit Presentation of first results Next Steps (Draft Report, Comments, Final Version of Report) 1 6
  6. 6. Un Sistema de Gestión de la Seguridad de la Información (SGSI) es una forma de garantizar: ◦ Una reducción en los incidentes de seguridad que puede sufrir una organización y una disminución del impacto que pudieran ocasionar estos a la misma en caso de producirse. El SGSI debe seguir el “Círculo de Deming” (también conocido como PDCA), orientado a la mejora continua, en este caso aplicado a la seguridad. ◦ Ayuda a optimizar la inversión en cuanto a los aspectos de la seguridad de una organización. ◦ Justifica los gastos en seguridad, ya que se conocen que controles reducen los riesgos analizados. ◦ Impulsa la creación de políticas y procedimientos de trabajo que tienden a mejorar la seguridad de los procesos de la organización. ◦ Permite el cumplimiento de la legislación aplicable. ◦ Garantiza la continuidad del negocio ante posibles contingencias o desastres. ◦ Existen distintas normativas que lo reglamentan (ISO/IEC 27001 y 27002, Cobit, etc.). 8
  7. 7. Creación e implantación de un conjunto de controles de seguridad en la organización: ◦ Controles técnicos ◦ Controles organizativos ◦ Controles físicos Todo control de seguridad deberá quedar documentado así como se debe recoger evidencias del funcionamiento de dicho control de seguridad. Ventajas en el desarrollo de un SGSI: ◦ Optimiza y justifica el gasto en seguridad (se es más eficiente). ◦ Reduce el nivel de riesgo aceptado intrínsecamente por el negocio. ◦ Formaliza procedimientos y tareas a veces ad hoc y no documentadas. ◦ Mejora la imagen corporativa. ◦ Aumenta el rendimiento, la confianza y motivación del personal. ◦ Aumenta la confianza de los clientes, proveedores y la administración pública (sobre todo si se opta por certificarse luego en la ISO/IEC 27001). 9 Una clave imprescindible del éxito del SGSI es realizar un cambio en la cultura de todos los integrantes de la organización
  8. 8. Como resultado de un proyecto de creación e implantación de un SGSI se obtiene: Un conjunto de documentación de todos y cada uno de los controles requeridos para la seguridad de la organización (y que aplican para la organización). Se crea documentación en 3 niveles: Políticas (A este nivel sólo existe el documento “IS Security Plan”) Normas y Procedimientos Instrucciones 10 (*) Las políticas y procedimientos deben seguir los lineamientos la organización (*)
  9. 9. “El alcance del Sistema de Gestión de la Seguridad de la Información incluye a los activos de información que soportan el proceso de Comercialización y Desarrollo de proyectos de Seguridad de la Información de Consultoría, Auditoría, Formación, Integración de sistemas o Soporte que la compañía realiza para sus clientes en sus instalaciones.” Esto afecta: ◦ A los equiposequiposequiposequipos que contienen esa información: Servidores, estaciones de trabajo, etc. ◦ PersonasPersonasPersonasPersonas que tienen acceso a la información Todo el personal de la organización ◦ Ubicación físicaUbicación físicaUbicación físicaUbicación física donde se encuentran. Las oficinas y plantas 11
  10. 10. Dirección: Máximo responsable del SGSI, debe firmar y aceptar las políticas y aceptar la situación y estado del SGSI así como los riesgos residuales no cubiertos por el Plan de Continuidad del Negocio. Comité de Seguridad y Responsable de Seguridad: Los que deciden sobre el estado del SGSI, lo analizan y promueven los cambios que sean necesarios para su correcta gestión. Administradores de Seguridad ◦ Personal interno que tenga que desarrollar algunas tareas directas para el cumplimiento del SGSI. (actualmente en funcionamiento) ◦ TODOS LOS EMPLEADOS 12
  11. 11. En organizaciones y empresas multinacionales, es el documento maestro de la seguridad de la organización. Es un documento corporativo de la organización de obligado cumplimiento para todos los países. A partir de este documento se elaboran el resto de procedimientos de trabajo. Todos tenemos que conocerlo, comprenderlo, aceptarlo y asegurarnos de su cumplimiento, mediante la firma de: ◦ Acuerdo de Confidencialidad ◦ Normas de uso aceptable de los Sistemas de Información Localmente debe existir un plan de seguridad el cual es el marco para la realización de la mejora continúa del SGSI. 13
  12. 12. Participación ◦ Consultas o dudas: al Responsables de Seguridad. ◦ Ser Proactivos con las comunicaciones realizadas desde el departamento de Seguridad. Conocer los procesos Consultar la documentación existente. Mentalizarse e interiorizar la Seguridad de la Información. 14
  13. 13. Cosas que hay que tener en cuenta en relación a la Seguridad Física: • Nunca dejar abierta la puerta del CPD. • Nunca dejar abierta la puerta de la caja de seguridad donde se almacenan las cintas de backup. • Acceso al CPD: En caso de existir un procedimiento que marca este aspecto, seguirlo • El mismo debe ser cumplido por todas las personas del departamento que deban acceder. • En caso necesitar dar accesos al CPD a terceros al departamento, se los debe acompañar en todo momento (proveedores, personal de otros departamentos, auditores). • No dejar objetos en zonas de paso siempre que sea posible se deben dejar en lugares que no estorben el paso. 16
  14. 14. a) Disponibilidad: Que sea accesible en todo momento que sea requerido. b) Confidencialidad: Que la información sea accesible solamente por las personas que deben tener acceso a la misma. Existen distintos niveles de clasificación de la confidencialidad de la información o de un documento que la contenga, pero la clasificación en general se divide en 3 grupos: Confidencial: Sólo accesible por un pequeño grupo de empleados (inclusive por una única persona). Ej: Información de las nóminas del personal. Interna: Accesible por cualquier empleado de la empresa. Pero no por personas externas a la misma. Ej: Política de Seguridad. Pública: Accesible por cualquier persona, inclusive ajena a la empresa. Ej: Información de la web de la propia organización. c) Integridad: Que la documentación no sea errónea o inconsistente. Que no este corrupta, sea por eventos internos, externos, premeditados o accidentales. 18
  15. 15. Cosas que hay que tener en cuenta en relación a controles que busquen salvaguardar la confidencialidad de la información: • Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo si el nivel de confidencialidad es alto. • Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto. • Intentar mantener el orden del puesto de trabajo lo más posible, siendo tratando de aplicar la lógica. • Nunca dejar el ordenador con la sesión desbloqueada. • Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”). 19
  16. 16. Política de mesas limpias: Nunca dejar documentos en las impresoras, fotocopiadoras. Sobre todo con información confidencial. Archivar papeles y documentos clasificado en espacios o dispositivos físicos de almacenamiento cerrados con llave. Destrucción de papel: destructoras compradas para (una papelera no es un medio seguro). Pantallas despejadas: ◦ Los ordenadores (portátiles y sobremesa) no podrán permanecer desatendidos, el usuario debe bloquear el equipo antes de ausentarse de su puesto de trabajo (aunque sea por un lapso corto de tiempo). ◦ Se debe activar un salvapantallas protegido con contraseña. ◦ Nunca dejar sobre la mesa papeles, post-its, etc. impresos o con escritos con información confidencial cuando no se encuentre uno en su puesto. Control de activos físicos (a la entrega y devolución): ◦ Llaves: de acceso al CPD, los archivadores, etc. ◦ Antes de irse, cada día: Los portátiles deben ser guardados en cajón (bajo llave) al momento de irse (tanto los asignados como otros). Cada día al momento de irse hacer una revisión visual del puesto para verificar que no se dejan papeles, etc. con información sensible a la vista (se demora 10”). 20
  17. 17. • Puede ser una alternativa viable crear una estructura de carpetas que sirva como el Sistema de Gestión de la Seguridad de la Información del departamento de sistemas siguiendo los dominios de la normativa ISO/IEC 27001 • Adaptar los formatos de los documentos, para llevar todos al formato plantilla acordado. • Además es necesario crear, actualizar gran cantidad de documentación relacionada con la seguridad (Plan de Seguridad Estratégico IS, digitalizar contratos, licencias, actualizar documentos, actas de reunión, plantillas, Informes de auditoría, Procedimientos de Seguridad , Documentos de la LOPD, Memorias, Lista de Actividades, Organigramas, etc.). 22
  18. 18. 23 Dominio / Carpeta dentro de SGSI Documentación que contiene Plan Estratégico de Seguridad IS Actas de reuniones, Catálogo de Servicios, Lista de Actividades, Documentos propios de la mejora del SGSI (análisis de riesgos, métricas e indicadores, etc.), Memorias IS, Organigramas, Presentaciones de IS, Roles y responsabilidades, Datos de los proveedores (proveedores externos e internos de la organización) Control de inventario, control en la baja de hardware, Plantilla de documentos Seguridad ligada al personal (Formación, vacaciones, etc.). Procedimientos relacionados con la seguridad física, documentación operativa de seguridad. Todos los entornos en producción poseen una estructura de 3 carpetas: Infraestructura (gestionada mayormente por el responsable de infraestructuras, aquí se encuentran mapas topológicos, procedimientos de nivel alto, Aplicación (mayormente gestionada el grupo de aplicaciones) documentos relacionados con la aplicación, dentro de esta y Operación (mayormente gestionada por el Helpdesk) Aquí habrá documentos a nivel operativos para cada entornos (FAQ., manuales de usuario, etc.). En este dominio se encuentran las políticas de acceso lógico por entornos. Aquí se debe agregar la documentación relacionada con las buenas prácticas de adquisición o desarrollo de aplicaciones. Esta carpeta contiene un control de incidencias de seguridad y documentación relacionada con la gestión de incidencias (como procedimientos de atención de incidencias por parte del Helpdesk). Esta carpeta posee actualmente planes de contingencia para 4 entornos, se irán desarrollando más planes de contingencia y con mucha probabilidad un Plan de Continuidad del Negocio. En este repositorio se encuentran los documentos de las distintas auditorías internas y de la LOPD, contratos actuales con proveedores, contratos corporate, documentación de la LOPD, Licencias de soft, procedimientos corporativos de seguridad de Guidelines corporativos de seguridad de la organización.
  19. 19. Seguir creando documentos aún no existentes (esquemas topológicos de redes y entornos, documentos operativos para Helpdesk, documentos de aplicaciones y de entornos, etc.). Se debe continuar por el camino que estamos llevando a cabo, se debe seguir buscando la maduración del SGSI, por ello es necesario: a) Crear más procedimientos (Métricas e indicadores, Control de formación del personal, Normas sobre la seguridad al tratar con terceros, Plan de Continuidad del Negocio, …). Siempre teniendo en cuenta la documentación corporativa de la organización, y se creará sólo en los casos que la misma no contemple los temas tratados por la documentación creada localmente. b) Crear responsabilidades aún no existentes (Comité de Seguridad, Comité de revisión de la LOPD, Comité de Cambios, etc.). Subir al gestor documental muchos documentos (todos de nivel interno a nivel de confidencialidad) una vez se haya acabado de actualizar, revisar y corregir. Formación del personal de IS, formación de key users (para ciertos entornos con alto riesgo) y hasta formación en seguridad para todo el personal. 24
  20. 20. SGSI: http://es.wikipedia.org/wiki/SGSI ISO/IEC 27001: http://es.wikipedia.org/wiki/ISO/IEC_27001 Seguridad de la Información: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n 25
  21. 21. ¡¡ Muchas Gracias !! ramiro@ramirocidramiro@ramirocidramiro@ramirocidramiro@ramirocid....comcomcomcom @@@@ramirocidramirocidramirocidramirocid httphttphttphttp:::://www//www//www//www....linkedinlinkedinlinkedinlinkedin....com/in/ramirocidcom/in/ramirocidcom/in/ramirocidcom/in/ramirocid httphttphttphttp:::://ramirocid//ramirocid//ramirocid//ramirocid....comcomcomcom httphttphttphttp:::://es//es//es//es....slideshareslideshareslideshareslideshare....net/ramirocidnet/ramirocidnet/ramirocidnet/ramirocid httphttphttphttp:::://www//www//www//www....youtubeyoutubeyoutubeyoutube....com/user/cidramirocom/user/cidramirocom/user/cidramirocom/user/cidramiro Ramiro CidRamiro CidRamiro CidRamiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITILCISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

×