ciclo de vida de la seguridad informatica

Ciclo de Vida de la Seguridad Informática

Ciclo de vida de la Seguridad Informática

• Ciclo en el cual se mantiene la seguridad informática en la organización.

• Está formada por un conjunto de fases.• Es un método continuo para mitigar el riesgo.

Fases del proceso de seguridad

Como lo define el Sans Institute 2001

Evaluación (Assess): Análisis de Riesgos basados en el

OCTAVE method. Debilidades en Seguridad Informática

(ej., auditorías, evaluación de Vulnerabilidades, pruebas de penetración, revisión de aplicaciones)

Pasos a seguir para prevenir problemas

Fases del proceso de seguridad.Evaluación

• Debilidades:– Determinar el estado de la seguridad en

dos áreas principales: Técnica y No Técnica.– No técnica: Evaluación de políticas.– Técnica: Evaluación de Seguridad física,

diseño de seguridad en redes, matriz de habilidades.

Fases del proceso de seguridad.Evaluación

Otras áreas que se deben revisar: Seguridad exterior Seguridad de la basura Seguridad en el edificio Passwords Ingeniería social Clasificación de los datos Etc.

Fases del proceso de seguridad.Evaluación

• El Análisis de Riesgos nos permitirá:– Realizar acciones:

• Proactivas• Reactivas

– Administrar el Riesgo:• Identificar• Analizar• Evaluar• Tratamiento a seguir

Fases del proceso de seguridad.Evaluación

• Administración de Riesgos:– Método lógico y sistemático de establecer el

contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o procesos para minimizar pérdidas.

– La Administración de Riesgos se puede basar en el Estándar Australiano AS/NZ 4360:1999.

Fases del proceso de seguridad.Evaluación

Fases del proceso de seguridad.Evaluación

Establecer el Contexto e

Identificar los riesgos

Tratar riesgos, Monitorear y

comunicar

Análisis y Evaluación de los

Riesgos

Administración (basada en el estándar AS/NZ 4360)

• Actividades a desarrollar para evitar que sucedan acciones indeseables.

• Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales.

Fases del proceso de seguridad.Diseño

Fases del proceso de seguridad.Diseño

• Necesitamos políticas?– Empleados accesando Internet?– Problemas con el uso de la red o el email?– Empleados utilizando información confidencial o

privada?– Acceso remoto a la organización?– Dependencia de los recursos informáticos?

• Políticas define que prácticas son o no son aceptadas.

• Como concientizar?– En persona, por escrito o través de la Intranet.– Reuniones por departamento.– Publicar artículos, boletines, noticias.– Crear un espacio virtual para sugerencias y

comentarios.– Enviar emails con mensajes de concientización.– Pegar letreros en lugares estratégicos.– Dar premios a empleados.– Exámenes On-line.– Crear eventos de Seguridad Informática.

Fases del proceso de seguridad.Diseño

Logs en Firewalls. Se requiere Sistemas de detección de

Intrusos? O necesitamos Sistemas de

prevención de Intrusos? Firma digital para envío de

documentos?

Fases del proceso de seguridad.Diseño

Personal especializado pone en marcha los controles basados en el diseño desarrollado.

Fases del proceso de seguridad.Implementar

Tecnologías implantadas o planeadas

Implantado PlaneadoAntivirus 99% 0%Firewalls 97% 1%Filtros de email 74% 10%IDS 62% 12%Bloqueo de adjuntos 62% 3%Filtro de Web sites 59% 5%Análisis de Vulnerabilidades 43% 18%Email encriptado 31% 15%

Fuente: ISSA/BSA, 2003

Observar las actividades normales y reaccionar ante incidentes.

Monitoreo y alertas. Las respuestas se basan en el

documento de Políticas de Seguridad definido.

Fases del proceso de seguridad.Administración y soporte

Forma en que se trata el incidente. Encontrar el problema y corregirlo. Prácticas forenses. Definir la responsabilidad y el causante

del problema.

Fases del proceso de seguridad.Administración y soporte

Manejo de Incidentes: Organización, Identificación, Encapsulamiento, Erradicación, Recuperación y Lecciones aprendidas.

Fases del proceso de seguridad.Administración y soporte

Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organización.

Habilidades y experiencia se alcanzan dentro de todo el proceso.

Fases del proceso de seguridad.Capacitación continua

Conclusiones

• Se debe contar con una unidad de seguridad informática en la organización ó con el apoyo de consultoría externa,

• Impulsar un plan de concientización,• No desconocer la importancia de la S.I.,• Utilizar una metodología: “ciclo de vida”,• Acciones deben ser proactivas y no reactivas,• Utilizar estándares de la industria en la

Administración de SI y de los riesgos.