500 likes | 828 Views
Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P . Diego Andrés Zuluaga Urrea Junio de 2005. AGENDA. Contexto Consideraciones En Isagen Modelo de Seguridad en Información Tecnología Procedimientos Trabajadores.
E N D
Dimensiones técnicas y humanas para la implantación del modelo de seguridad para activos de información en ISAGEN E.S.P. • Diego Andrés Zuluaga Urrea • Junio de 2005
AGENDA • Contexto • Consideraciones En Isagen • Modelo de Seguridad en Información • Tecnología • Procedimientos • Trabajadores
HACKERS: ¿REALIDAD O FICCION?
Algunas Cifras (CSI/FBI 2002) • 90% de encuestados detectó violaciones a sus sistemas de seguridad • 80 % identificaron pérdidas financieras • 44 % pudieron cuantificarlas, US$ 455´848.000 • Robo de Información propietaria, US$ 170´827,000 • Fraude Financiero US$ 115´753,000 • 74 % detectaron accesos a sus sistemas de información desde sitios externos
Algunas Cifras (CSI 2001) Las Organizaciones que quieran sobrevivir en los años siguientes, necesitan desarrollar un enfoque consistente en la seguridad de información que incluya las dimensiones técnicas y humanas. CSI, Computer Crime & Security Survey 2001
9200 SOPORTE AL FLUJO DE INFORMACIÓN PDI Link Down for 172.40.3.1 Two Weeks 172.40.2.2 Poor Administration 192.168.7.1 pstn and Physical Lincoln Mercury Use of Industry Security of Servers Deale rship Standard Equipment 192.168.6.1 ILUSTRATIVO 172.40.2.1 T1 3 Com Switch 1000 192.168.5. 172.40.1.253 Inconsistent Use of 172.40.1.1 1 Existing Cisco Legal and Reserved 192.168.6.2 S1 172.40.1.126 ISDN Dial-on- Demand IP Addresses 192.168.4.1 Ch 23&24 192.168.4.2 Ch 1&2 D1 D2 D1 D1 D2 D1 128Kbps 128Kbps T1 T1 NI NI NI NI TI TI TI TI Creative Use of Existing Bandwidth 600 Serramonte 700 Serramonte 1500 Collins
Valor Alineamiento Estratégico Habilitador Transformación Organización Metas y Objetivos Empresariales IT Integrador de Procesos MIS Procesamiento de Transacciones DP Procesamiento de Datos Tiempo 60’s 80’s 90’s 2000 70’s PAPEL TRANSFORMADOR DE LA TÉCNOLOGÍA
Analizar y responder: • Negocio • Mercado • Grupos de Interés Por qué? • Potenciar: • Toma de decisiones • Productividad • Integración y relaciones • Activos intangibles Para qué? Cómo? Valor de la anticipación El valor de la información…………. Información
Estrategia de Información Gestionar la información como un activo de la Empresa para que los Grupos de Interés tomen decisiones más informadas, con mayor velocidad y con una sola versión de la información, desde cualquier lugar y en cualquier momento.
TRANSFORMACIÓN DEL E-BUSINESS Maduración del E-Business HIGH eBusiness eGovernance Relaciones 1:1 eBusiness Maturity Transacciones por Web Servicio al cliente en Web Presencia en Web Integración Interna Integración con la cadena de valor Comunidad de negocios Riesgo LOW HIGH Change to Business Model
Pérdidas Financieras por fraudes RIESGOS Posibles críticas del clientes debido a controles inadecuados en la privacidad Pérdida de negocios debido a interrupción del servicio Modelo de Negocio Robo de información propietaria debido a accesos no autorizados Daño a la reputación debido a compromisos en la integridad de los datos
Amenazas Falsificación de paquetes Alto Diagnóstico no detectable Back Doors Sweepers Sofisticación de las Herramientas Sniffers Explotando Vulnerabilidades Conocidas Hijacking de Sesiones Deshabilitando Auditoría Autoreplicación de Código Conocimiento Técnico Requerido Cracking de Passwords Password Guessing Bajo 2000 1980 1990
- IPP -Valores - Clima Organizacional - Trabajo en equipo Pentágono humano DESARROLLO A ESCALA HUMANA COMPETENCIAS CAPACIDADES EMPRESARIALES TRABAJADOR COMPETITIVIDAD TRABAJO • - Calidad • - Procesos • - Normatividad • - Información • Decisiones • SISTEMA DEL TRABAJO MODELO DE PRODUCTIVIDAD APRENDIZAJE - Conocimientos - Comportamientos PRODUCTIVIDAD - Modelo de productividad - Conexión estrategia - proceso • DESARROLLO PROFESIONAL • - Compensación • - Desempeño • Conocimientos • Planes de carrera • AMBIENTE DE TRABAJO
MODELO DE SEGURIDAD EN INFORMACIÓN TRABAJADORES PROCEDIMIENTOS TECNOLOGÍA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD ACTIVOS DE INFORMACION CRITERIOS EMPRESARIALES - ISO 17799
MODELO DE SEGURIDAD EN INFORMACIÓN SEGURIDAD EN INFORMACIÓN: Preservación de la confidencialidad, integridad y disponibilidad de la información.
MODELO DE SEGURIDAD EN INFORMACIÓN DISPONIBILIDAD: Asegurar que los usuarios autorizados tengan acceso a la información y sus recursos asociados cuando se requiera CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para quienes están autorizados. INTEGRIDAD:Salvaguardar la exactitud y completitud de la información y sus métodos de procesamiento.
DESARROLLO DE LA SEGURIDAD EN INFORMACIÓN • MODELO DE SEGURIDAD EN INFORMACIÓN • DOCUMENTOS PARA LA GESTIÓN DE SEGURIDAD • HERRAMIENTAS TECNOLOGICAS • APLICACIÓN DEL MODELO • DESARROLLO DE HABITOS DE SEGURIDAD MEJORAMIENTO CONTINUO ANÁLISIS DE NECESIDADES DE SEGURIDAD DESPLIEGUE Modelo De Seguridad Maduro DESTREZAS INSTRUMENTACIÓN IDENTIFICACIÓN 2003-2004 2001-2002 2002-2003 2004 >>>
RESULTADOS DEL DIAGNÓSTICO • Análisis del Modelo de SI
ACTIVOS DE INFORMACIÓN CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN • DE INFORMACIÓN A ACTIVO DE INFORMACIÓN • Se establece explícitamente la necesidad de administrar la información como un activo dentro de la estrategia empresarial y se fijan metas a cinco años para lograrlo.
ACTIVOS DE INFORMACIÓN CLASIFICACIÓN DE LA INFORMACIÓN EN ISAGEN
MODELO DE SEGURIDAD EN INFORMACIÓN DIRECTRICES Se han establecido de directrices en el tema de seguridad en información, de acuerdo con la política de Información y el estándar ISO 17799 PROCEDIMIENTOS Se han establecido procedimientos generales y específicos para garantizar el mantenimiento y flujo de la información en forma segura. ESTANDARES Se han establecido estándares para la configuración de los ambientes que soportan el flujo de información en ISAGEN.
Seguridad Física Mantenimiento y desarrollo de sistemas Organización de seguridad Plan de Continuidad del negocio Clasificación control de activos Cumplimiento de políticas y normatividad legal Seguridad con personal Sistemas de Control de Acceso Administración de Redes y Computadores PROCEDIMIENTOS ISO 17799 AREAS DE DESARROLLO
MODELO DE SEGURIDAD EN INFORMACIÓN INCORPORACION TECNOLOGICA Se implantan elementos de seguridad en cada una de las incorporaciones de tecnología realizadas. Se hacen nuevas incorporaciones de herramientas que facilitan o mejoran la seguridad en la gestión de la Información. CONFIGURACIONES DE SEGURIDAD Se realizan configuraciones adicionales de seguridad a la tecnología que soporta la información.
Arquitectura de Seguridad Gestión segura Monitoreo continuo Directorios encriptados Correo seguro Navegación controlada Autenticación fuerte Entidad certificadora Autenticación centralizada Hardening de dispositivos Filtros de acceso de nivel 3, 4, 5 Filtrado de acceso por direcciones MAC VLANs para procesos críticos
Aplicación: Se utilizarán Aplicaciones que envíen datos encriptados a través de la red; Se emplearán mecanismos de autenticación centralizados para las aplicaciones; Se utilizarán sistemas de control de acceso con contraseñas de una sola vez para las autorizaciones de SAP por parte de los directivos y para el acceso vía RAS a la compañía; Se firmaran y encriptarán los correos electrónicos que se empleen dentro de la organización; Se mantendrán directorio encriptados para los portátiles e información sensible para la compañía. Se verifica la seguridad con herramientas de escaneo automático de vulnerabilidades Presentación: Al nivel de presentación se utilizan todos los mecanismos estándar de presentación como el ASCII, GIF, JPEG, los cuales podrán ser analizados con firmas detectadas en los IDS. Sesión: se utilizarán banderas de estado que permitan identificar las sesiones establecidas y su origen, para autorizar el establecimiento de las mismas Transporte: Se cerrarán todos los puertos que no sean necesarios para el correcto desempeño de la red de la organización, para ello, se usaran listas de control de acceso. Red: se utilizarán sólo protocolos de enrutamiento que provean seguridad adicional como EIGRP. Se verifica el trafico de red con filtros de dirección origen y destino y Sistemas de Detección de Intrusos Enlace: se establecerán las direcciones MAC Autorizadas para conectarse a la red. Físico: Los puntos de red que no estén siendo empleados por personal de la organización se mantienen deshabilitados en todo momento. Cuando sean requeridos, debe habilitarse previa verificación y autorización, se realiza segmentación del trafico a través de .VLANs para procesos críticos de gestión Modelo OSI
Firewall Internet - RAS FIltro Zona Desmilitarizada -DMZ Filtro Generico Filtro Especifico de VLAN y Servidores Hardening de dispositivos Autenticación SERVICIO AUTORIZADO MONITOREO CONTINUO: IDS
MODELO DE SEGURIDAD EN INFORMACIÓN • ORGANIZACIÓN PARA LA SEGURIDAD • Se establece una organización que facilita el desarrollo de la seguridad en Información. • Se habilitará a los responsables de la seguridad en información. • COMPROMISO CON LA SEGURIDAD: • Se mejoran los hábitos de seguridad de acuerdo con las necesidades empresariales.
Custodio de Control Propietario de la Información Funciones Cotidianas Compromiso con la Seguridad MODELO DE SEGURIDAD EN INFORMACIÓN
ANTECEDENTES PROYECTO DESARROLLO DE HÁBITOS DE SEGURIDAD Artificios Comportamientos Normas Valores Creencias
La dinámica de la resistencia Enojo Entendimiento Cuestionamiento Energía de la resistencias Aceptación Negación Inmovilización Compromiso Tiempo ¿Necesitamos acompañamiento? El manejo de Involucrados se refiere a: Administrar la curva emocional -
PROYECTO METODOLOGÍA DESARROLLO DE HÁBITOS DE SEGURIDAD 1. Diagnóstico y diseño del plan de cambio 2. Ejecución del plan de cambio 2.1 Patrocinio Identificar mecanismos de medición del impacto del cambio Realizar el mapa de roles Identificar los roles y responsabilidades del grupo (patrocinadores y tutores de apoyo logístico) Establecer el programa de trabajo Aplicar y analizar los mecanismos definidos 2.2 Sensibilización Facilitar la creación y apropiación de la cultura de seguridad Divulgar y facilitar el entendimiento del modelo de seguridad de información Aplicar un plan asertivo de administración de cambio 2.3 Comunicación Identificar públicos Definir objetivos Analizar y definir medios Elaborar plan comunicaciones Desarrollar mensajes Retroalimentar 3. Monitoreo y seguimiento del cambio Conformar equipos Monitorear avances Identificar riesgos e impactos Definir nuevas acciones Implantar acciones complementarias
Formadores de Cultura PLAN DE CAMBIO Arraigo en la Cultura Manifestación de Cultura Medidas de desempeño Prácticas de la gente Acciones de los líderes Impactos de la Cultura Valores Símbolos Creencias Normas Resultados Comportamientos Decisiones Desempeño del negocio
PLAN DE CAMBIO • Articulación con Sistema de Administración del Desempeño SISTEMA DE ADMINISTRACIÓN DEL DESEMPEÑO Conocimientos Comportamientos Seguridad de la información Descriptores de K Descriptores de Cto.
PLAN DE CAMBIO • Estrategia de comunicación y sensibilización
PLAN DE CAMBIO • Ruta de Aprendizaje Competencia inconciente Competencia conciente Incompetencia conciente C1 C2 C3 C4 C5 C6 C7 Cn Incompetencia Inconciente C1 C2 C3 C4 C5 C6 Cn Desarrollo C1 C2 C3 C4 C5 Cn C1 C2 C3 C4 Cn Tiempo C= Comportamientos
RESULTADOS DEL DIAGNÓSTICO • Análisis del Modelo de SI
Ciclo de Control de Riesgos identificación Evaluación de Riesgos Control
Especialmente a ISAGEN por permitir compartir su modelo y a DinamicSoft y KPMG por permitir incluir algunas diapositivas en esta presentación para la V Jornada Nacional de Seguridad Informática. • Las opiniones presentadas en ésta presentación son responsabilidad del autor y no expresan necesariamente las opiniones de ISAGEN. GRACIAS