La seguridad alineada con necesidades de negocio

992 views

Published on

Esta presentación pretende mostrar cómo la seguridad debe alinearse con las necesidades de negocio y cómo un SGSI es el mejor mecanismo para hacerlo.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
992
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

La seguridad alineada con necesidades de negocio

  1. 1. GESTIÓN DE LA SEGURIDAD ORIENTADA A NEGOCIO Javier Cao Avellaneda Ingeniero en Informática Director técnico del Área de Seguridad de la Información javier.cao@firma-e.com
  2. 2. Presentación: ¿Quiénes somos Firma-e? Seguridad de la Protección de Datos Información Personales Expediente Factura y Firma Electrónico y Gestión Electrónica Documental Segura
  3. 3. Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
  4. 4. ¿Qué está pasando? Estamos en el Siglo XXI, la era de la información digital.
  5. 5. Nuevos modelos TI: Virtualización y Cloud Datos Datos Soft SoftSoft-Hard 1.- Nuevos entornos = nuevos riesgos. Hard CPD 2.- Complejidad en aumento. CPD
  6. 6. Seguridad sobre lo que vemos. FISICO LÓGICO
  7. 7. Escenarios de riesgo TI • En este nuevo marco hay diferentes tipologías de riesgos: – Riesgos propios: Controlados por la Organización. – Riesgos transferidos: Delegados en subcontratas. – Riesgos indirectos: Los ocasionados por la delegación que hacen de nuestros riesgos las subcontratas en otros terceros. – Riesgos invisibles: Ocasionados por situaciones que aparentemente no nos tendrían que afectar pero que generan incidentes.
  8. 8. ¿Quiénes son los enemigos? ENEMIGO 1: • EL FAMOSO "ERROR INFORMÁTICO" ENEMIGO 2: • FRAUDE CON ÁNIMO DE LUCRO (desde DENTRO o desde FUERA) ENEMIGO 3: • FALTA DE RECURSOS o MANTENIMIENTO TI Y DESCONOCIMIENTO LEGISLACIÓN TI.
  9. 9. Nuevas amenazas: espionaje industrial. Autobús MAN y coche Smart Presuntos plagio chino
  10. 10. ¿Por dónde entran? DOMINIOS CON PROBLEMAS DIFERENTES: Dominio de cliente final (end point o medio de acceso) • Usb y medios de almacenamiento portatiles. • Usuarios remotos. • Tablets, portátiles y equipos PC. • Y una nueva moda BYOD, Bring you own device. Protección perimetral y frontend. • Firewalls y equipos de protección perimetral. • Elementos de red e infraestructura. • Servidores de correo. Backend. (Donde están los datos y el valor.) • Servidores de BB.DD. y aplicaciones. • Servidores de directorio.
  11. 11. ¿Cómo entran?
  12. 12. ¿Por qué entran? Proporcionalidad defensa-ataqueHace unos años la vigilancia pasiva Ahora se habla de labores de era viable. “inteligencia de red” y SIEM.
  13. 13. Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
  14. 14. Procesos o Servicios
  15. 15. Seguridad de la información: A C I D FLUJO NORMAL DISPONIBILIDAD CONFIDENCIALIDAD INTERRUPCIÓN INTERCEPTACIÓN MODIFICACIÓN SUPLANTACIÓN INTEGRIDAD AUTENTICACIÓN
  16. 16. Elementos de la seguridad de la información Medidas de seguridad Salvaguardas Amenazas Incendio Corte Eléctrico Fallecimiento empleado ACTIVO Virus Avería hardware Impacto Vulnerabilidades
  17. 17. Modelo de seguridad del negocio C I D 1 Compras Diseño Producción Financiero Dirección RR.HH. 2 3 3 3 3 2 1 3 5 4 5 1 5 3 2 4 4 1 3 3 5 5 5 1 4 3 2 5 5 2 3 3 5 4 3 2 3 3 5 5 5 1 4 3 2 3 3 5 5 5 2
  18. 18. Dependencias afectan a procesos
  19. 19. Gestión del riesgo • Airbag REDUCIR • Alarma anti robo • Revisiones periódicas EVITAR ACEPTAR • No tener • No hacer nada • Contratar seguro TRANSFERIR “a todo riesgo”
  20. 20. ¿Qué se puede hacer? Estrategia del control RIESGO Prevención Detección INCIDENTE Represión DAÑOS Corrección RECUPERACIÓN Recuperación
  21. 21. Gestión del riesgo ANÁLISIS DEL RIESGO TRATAMIENTO DEL RIESGO ACEPTAR REDUCIR EVITAR TRASFERIR ¿ACEPTABLE POR DIRECCIÓN? ACEPTACIÓN DEL RIESGO
  22. 22. Gestión del riesgo. Costo del impacto si Costo de las se produce medidas de un incidente seguridad
  23. 23. ¿Qué seguridad debemos buscar? ¿Inestable? ¿Estable? Nunca ha pasado nada pero sabríamos reacciona y resistir. ¡ RESILIENCIA !Nunca ha pasado nada pero no sabríamos cómo nos afectaría.
  24. 24. Agenda • Análisis del entorno. • Cómo enfocar la seguridad. • La gestión de la seguridad.
  25. 25. Servicios de FIRMA-E: Diseño de la seguridadOBJETIVO 1: Construir el modelo de seguridad.OBJETIVO 2: Obtener diagnóstico de riesgos.Actividades: 1. Identificar procesos de negocio y dependencias. 2. Valorar la información según negocio. 3. Análisis holístico de amenazas. 4. Cálculo de riesgo potencial. 5. Decidir el criterio de aceptación de riesgo.RESULTADOS: Toma de decisiones de seguridad
  26. 26. Marco de normas ISO 27000 • ISO 27001: Especificación para la construcción de un SGSI. – Especifica los REQUISITOS para ESTABLECER, IMPLANTAR, DOCUMENTAR y EVALUAR un SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN de acuerdo con la Norma ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS identificados por la ORGANIZACIÓN. • ISO 27002: Buenas prácticas para la gestión de la seguridad. – Define los objetivos de control (finalidades) y controles de seguridad (contramedidas) a utilizar para reducir y/o mitigar riesgos. – Define 11 bloques de control, 39 objetivos y 133 controles.
  27. 27. Elementos del SGSI SGSI ESPECIFICACIÓN ISO 27001 ISO 27001:2005 Procedimientos Documentos SGSI SGSI Auditorias R P D A Registros SGSI CONTROLES ISO 27002 ISO 27002:2005 Procedimientos Procesos Medidas seguridad P D M R Registros seguridad ACTIVOS
  28. 28. Planificar-Hacer-Verificar-Revisar- Definir la Política de Seguridad - Ejecutar el plan de- Establecer el alcance del SGSI gestión de riesgos- Realizar el análisis de riesgos - Implantar el SGSI- Seleccionar los controles - Implantar los controles - Adoptar acciones correctivas - Revisar internamente el SGSI - Adoptar acciones preventivas - Realizar auditorias del SGSI
  29. 29. Objetivos de seguridad de la Organización• Las necesidades quedan determinadas por tres aspectos: Propios del modelo Análisis de de negocio riesgos Cumplimiento legal 29
  30. 30. Objetivos de operación del SGSI • OBJ-S1: Garantizar 99,671% de disponibilidad de servicios críticos. • OBJ-S2: Nº Intentos acceso no autorizados no superen el 5% accesos totales. • OBJ-S3: Tiempo medio de respuesta para incidencias de seguridad < 4 horas. • OBJ-S4: 95% de éxito en ejecución de copias de seguridad y sus pruebas.
  31. 31. Basada en objetivos y evidencias, no creencias. OS-1 OS-2 OS-3 OS-4 OS-5 … OG-1 OG-2 OG-3 Axioma de la inseguridad: IND1 IND2 IND3 IND4 IND5 IND10 IND11 IND12 “La mayoría de la gente asumirá que todo es seguro hasta que se les muestren evidencias significativas de lo contrario, lo inverso de lo que sugiere una aproximación razonable”.
  32. 32. Madurez del SGSI Madurez Nivel 5 Nivel 4 Optimizado Nivel 3 Definido y gestionado SGSI Nivel 2 Definido y documentado Nivel 1 Implantado pero no supervisado Nivel 0 Iniciado 5 No existe control 4 3 2 1 0 32 Tiempo
  33. 33. Documentación para certificación ISO 27001:2005 • Documentación del SGSI: D– Política de seguridad D– Objetivos del SGSI. D – Descripción del alcance del SGSI. D – Metodología utilizada para la realización del análisis y gestión D del riesgo. D– Informe de análisis de riesgo D– Plan de tratamiento del riesgo. D– Declaración de aplicabilidad • Procedimientos generales del SGSI: P – Control de la documentación y registros P – Procedimiento de auditoría P – Procedimiento de gestión de la mejora continua. P – Procedimiento de revisión por la Dirección.
  34. 34. Beneficios de un SGSI • Conocimiento de riesgos • Calidad en seguridad= Confianza • Cumplimiento legal • Competitividad en el mercado
  35. 35. Resumen de ideas
  36. 36. Siempre seguridad basada en riesgo. El ENS establece un conjunto suficiente de garantías si: – Se implanta ANTES de poner en marcha las sedes electrónicas. – Se audita su correcto funcionamiento por personal cualificado. – Se diferencia
  37. 37. Basada en hechos, no en sensaciones.

×