1 / 31

Mejores Practicas de Seguridad de la Informacion

Mejores Practicas de Seguridad de la Informacion. Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com. Observaciones preliminares. Que estamos discutiendo los profesionales de seguridad de la información?.

kent
Download Presentation

Mejores Practicas de Seguridad de la Informacion

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mejores Practicas de Seguridad de la Informacion Santiago Gabriel Cavanna SANS-GSEC /ISC2 CISSP CA Solution Strategist santiago.cavanna@ca.com

  2. Observaciones preliminares • Que estamos discutiendo los profesionales de seguridad de la información?. • Seguridad informática VS Seguridad de la Información • Por que es tan difícil explicar “el problema”. • Ciencias exactas vs ciencias sociales • La desventaja del modelo • La evolución vertiginosa. • Brechas de conocimiento – conflicto entre paradigmas de comunicación y acceso. • La demanda del “negocio”, por tipo de negocio (mercados verticales, demandas especificas) • Rápido y furioso. • Riesgos, damnificados, responsables • Directos e indirectos.

  3. Agenda • Definición simplificada del problema • Modelos de Madures • Estándares y Regulaciones y Mejores Practicas • Recomendaciones generales

  4. Definición simplificada del problema

  5. Definición simplificada del problema • El problema se sintetiza en alcanzar niveles aceptables de Confidencialidad, disponibilidad e integridad de la información que sostienen los objetivos del negocio • Las claves son: • Alcanzar – (modelo iterativo) • Confidencialidad. • Disponibilidad. • Integridad. • Niveles aceptables – (gestión de riesgos) • Objetivos del negocio – (Mandatorio y Rector)

  6. Algunos Problemas subyacentes • Definición de activos de información • Valor de la información, percepción del valor de la información, rentabilidad, dependencia. • Impacto sobre incidentes de perdida de confidencialidad, integridad o disponibilidad de la información. • Cultura de la organización • Composición humana de la organización • Supuestos, expectativas, idealización de la seguridad. • Relacionamiento entre los actores y entre los actores y la organización, sus procesos y sistemas. • Adaptabilidad al cambio, al control o a la limitación de privilegios • Modelo de seguridad aceptados o aceptables

  7. Estado del arte: parte 1 • Sistemas distribuidos. • Entornos heterogéneos. • Interacciones multidireccionales y multisistemas. • Aumento explosivo de los activos de información. • Aumento explosivo de la dependencia a los sistemas. • Relación entre vulnerabilidades y atacantes por definición, desventajosa • Relación entre vulnerabilidades y respuesta de los fabricantes y clientes, por experiencia, ineficiente. • Gestión de riesgo efectivamente implementada: incompleta, ineficaz, con poco apoyo gerencial, no alineada con los objetivos del negocio sino a la tecnología, resistida internamente, con bajos recursos y visibilidad, identificada como gasto y con un alto costo político.

  8. email propagation of malicious code DDoS attacks “stealth”/advanced scanning techniques increase in worms sophisticated command & control widespread attacks using NNTP to distribute attack widespread attacks on DNS infrastructure anti-forensic techniques Attack Sophistication executable code attacks (against browsers) home users targeted automated widespread attacks GUI intruder tools distributed attack tools hijacking sessions increase in wide-scale Trojan horse distribution Internet social engineering attacks widespread denial-of-service attacks Windows-based remote controllable Trojans (Back Orifice) techniques to analyze code for vulnerabilities without source code automated probes/scans packet spoofing Intruder Knowledge 1990 2005 Estado del arte: parte 2

  9. Modelos de Madures

  10. Act Plan Check Do Consolidate the Level Reached Modelos de Madurez. • Basados en la Capacidad. (CMM) • Basados en la Completitud. (ISO 9000-14000) Maturity Level Effective Quality Improvement Time Scale

  11. ITIL Maturity Model (information from Pink Elephant) AbsenceNo evidence of activities supporting the process InitiationSome policies statementsWords no DocsNo dedicated resources AwarenessProcess driven by toolsRoles and responsibilities poorly defined ControlMeasurable TargetsMgmt Reports producedFormal PlanningTasks, responsibilities, well defined IntegrationSignificant quality improvementsInterdepartmental communicationsQuality & Per. Metrics transferred between processes OptimizationLinks between IT & Corporate PolicyInnovationQA & Continuous improvementWorld Class Perf. Measurements Level 5 Optimization Integration Level 4 Level 3 Control Awareness Level 2 Initiation Level 1 Level 0 Absence

  12. Maturity Model: Cobit Version 4.0

  13. Modelo de madurez de Seguridad (basado en la capacidad)

  14. Modelo de madurez de Seguridad(basado en la completitud)

  15. Agilidad Flexibilidad Administración de TI: Modelo de madurez CA Conduciendo el negocio 4 • TI se optimiza en tiempo real dinámicamente para apoyar al negocio • Proyectos transparentes Receptivo 3 • Servicios de TI relevantes al negocio • Administración por nivel de servicio • Administración financiera de TI Eficiente 2 • Procesos estandarizados • Respuestas automatizadas • Recursos de TI consolidados 1 Activo • Responde a problemas y fallas • Procesos manuales “ad-hoc”

  16. Maturity Capability Blueprint – Active to Efficient

  17. Estándares y Regulaciones y Mejores Practicas

  18. Risk Security Response Management Plan Service Acquire Control and Delivery / and Activities Organize Support Implement Physical Business and Personnel Continuity Security Policy Environmental Security Management Security Asset Information Internal Organizational Classification and Environment Security and Communications Control COSO ISO27001 ITIL COBiT Planning to Objective Implement Application Monitoring Setting Service Management Management Systems Communications Development and Access Control Compliance and Operations Maintenance Management Define Monitor ICT Infrastructure Risk and and Management Assessment Support Support Event Business Identification Perspective

  19. Sarbanes Oxley US Securities & Exchange Commission COSO COBIT Service Mgmt. App. Dev. Project Mgmt. IT Planning IT Security Quality System ISO CMM Six Sigma ITIL ASL BS 7799 PMI TSO IS Strategy Modelo de Gobierno IT IT Governance Quality Systems & Frameworks IT OPERATIONS

  20. ISO 27001 – Anexo Objetivos de control y controles. • A5 Security Policy (3) • A6 Organization of Information security (4) • A7 Assesst Management (5) • A8 Human Resourses Security (6) • A9 Phisical And Environmental security (7) • A10 Comunication And Operations Management (8) • A11 Access Control (9) • A12 Information System Acquisition, dev and maintenance (10) • A13 Information Security incident Management (nuevo) • A14 Business Continuity Management (11) • A15 Compliance. (12)

  21. American Society for Industrial Security (ASIS) Australian Computer Emergency Response Team Armed Forces Electronics and Communication Association (AFCEA) Association of anti Virus Asia Researchers (AVAR) CLUSIF (Infosec Association of France) CLUSIT (Infosec Association of Italy) Cyber Security Industry Alliance (CSIA) Distributed Management Task Force (DMTF) Government Electronics and Information Technology Association (GEIA) ICSA Labs IEEE-ISTO Open Security Exchange (OSE) Information Security & Privacy Advisory Board (ISPAB) Information Sharing & Analysis Center Council (ISAC Council) Information Systems Control & Audit Association (ISACA) Information Technology Association of America (ITAA) Information Technology-Information Sharing and Analysis Center (IT-ISAC) InfraGard InterNational Committee for Information Technology Standards (INCITS) International Information Systems Security Certification Consortium (ISC)2 International Security Trust & Privacy Alliance (ISTPA) Internet Engineering Task Force (IETF) Working Groups (including LDAPEXT, PKIX) Israel Security Forum IT Service Management Forum (itSMF) John Jay College of Criminal Justice Korea Institute of Information Security & Cryptology Liberty Alliance Mitre CVE Editorial Board National Cyber Security Summit Task Forces New York Electronic Crimes Task Force Object Management Group (OMG) Open Mobile Alliance Open Source Development Lab (OSDL) Organization for the Advancement of Structured Information Standards (OASIS) Security Industry Association (SIA) SHARE The Open Group Virus Bulletin Wild List Organization (ITW) World Wide Web Consortium (W3C) CA Security Affiliations

  22. Recomendaciones generales

  23. Tarea para el hogar • Hemos definido una política de seguridad de la información que este alineada con los objetivos del negocio, de manera realista y con todo el apoyo necesario para su implementación? • Hemos realizado un analisis de riesgo integral? • Hemos comunicado el nivel de mitigación que estamos alcanzando con las herramientas, procesos y personas que actualmente están a disposición del área de Seguridad de la información, para contar con el apoyo de la dirección, tanto políticamente como a nivel de recursos económicos? • Conocemos y comprendemos la cultura de nuestra organización, de forma tal de llevar adelante la implementación de la política de seguridad a través de sus controles de manera efectiva y con el menor impacto posible? • Hemos definido nuestro plan estratégico de seguridad a largo plazo de forma de poder medir el grado de avance o retroceso periódicamente?

  24. Muchas gracias

More Related