gestión de proyygectos de seguridad de la...

Click here to load reader

Post on 06-Oct-2018

215 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • Gestin de Proyectos de Seguridad Gestin de Proyectos de Seguridad y gy gde la Informacinde la Informacin

    1

  • Agenda

    Introduccin

    Objetivo

    Obj i l d d id d d lObjetivos y alcance de proyectos de seguridad de lainformacin

    Retos en la definicin e implementacin de proyectos deid d d l i f iseguridad de la informacin

    Madurez de la Seguridad de la Informacin

    Conclusiones

    Preguntas

  • Presentacin

    La gestin de proyectos enfatiza en el manejo de la triplerestriccin: Alcance, Tiempo, Costo, p ,

    En seguridad de la informacin aparece un elemento clavepara el xito de los proyectos: Nivel de cultura

  • Objetivo

    P l i i l f l i lPresentarlosprincipalesfactoresparaelxitoenlagestindeproyectosdeseguridaddelaInformacin.

  • ObjetivosdeunProyectodeSeguridadObjetivosdeunProyectodeSeguridad

    1. Realizar un diagnstico de la situacin actual de la Organizacin en materia de seguridad informtica de la informacin, disear el modelo de seguridad y establecer el plan de accin que permita implementar dicho modelo.

    2. Asegurar apropiadamente las herramientas existentes en la Organizacin para obtener de manera adecuada la proteccin de la informacin.

    3. Sensibilizar a un grupo de funcionarios de la Organizacin en aspectos de seguridad y capacitar a aquellos de la Oficina de Sistemas, que participarn en la gestin de la seguridad.

    4. Generar los documentos necesarios para que los funcionarios de la Sistemas administren y soporten adecuadamente el modelo propuesto y los mecanismos implementados.

  • Alcance del Proyecto de Seguridad de la InformacinAlcance del Proyecto de Seguridad de la Informacin

    A li i d i d l d l i iAnlisis de riesgos de los procesos de la organizacin

    Pruebas de ingeniera social

    Pruebas de Vulnerabilidad y Hacking Etico desde Internet

    Pruebas de Vulnerabilidad de las Redes Internas

    Construccin de la matriz de riesgos

    Revisin y Desarrollo de Polticas y Procedimientos deRevisin y Desarrollo de Polticas y Procedimientos de Seguridad

    Organizacin del rea de seguridad y modelo de seguridad de la organizacin

    Planes de accin para el modelo sugerido

    Aseguramiento de Componentes Crticos

    Plan de SensibilizacinPlan de Sensibilizacin

    Plan de capacitacin y transferencia de conocimientos

  • ElretoHoy:ElretoHoy:InterconectividadInterconectividad eInteroperabilidadeInteroperabilidad

  • DEFENSAENPROFUNDIDADDEFENSAENPROFUNDIDAD

    Si todo lo que se encuentra entre su informacin mas sensible y un atacante es una sola capade seguridad, el trabajo del atacante se hace sencillo.

    Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, esinfalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad seaumenta el tiempo que puede tomar el atacar un sitio, lo que permitira en ultimas detectar lasintrusiones y los ataques justo cuando estos ocurren.

    La filosofa Defense in Depth establece que: los sistemas de seguridad de un sistemadeben ser entendidos y contenidos dentro de capas, cada una independiente de la anterior deforma funcional y conceptual.

    Seguridad Fisica

    Seguridad Lgica

    DATOS

    g

  • DEFENSAENPROFUNDIDADDEFENSAENPROFUNDIDADCONCEPTOS DE DISEO

    EVALUACIN DE RIESGOSCOMPONENTES

    EVALUACIN DE RIESGOS

    ESTRATEGIAS Y ESTNDARES

    ZONAS SEGURAS

    ENDURECIMIENTO DE SISTEMAS

    ENRUTADORES

    SWITCHES

    Endurecimiento del Sistema Operacional Eliminar servicios no requeridos Actualizacin peridica de parches (sistemas

    operativos y aplicaciones)

    FIREWALLS

    ACCESO REMOTO VPN

    ACCESO REMOTO DIAL UP Desactivar protocolos no encriptados Proteccin contra virus Renombrar cuentas de administrador Cambiar passwords por defecto

    Desacti ar c entas de in itado

    ACCESO REMOTO DIAL UP

    REDES INALAMBRICAS

    DETECCIN DE INTRUSIONES Desactivar cuentas de invitado No permitir anonimus FTP Incrementar tamao de archivos de log Permisos sobre directorios, archivos y otros

    objetos

    EVALUACION DE LA SEGURIDAD DE LA RED

    Anlisis de vulnerabilidades Desplegar mensajes de alerta Implementar el concepto de menor privilegio Separacin de funciones

  • EL RETO ES MS COMPLEJOEL RETO ES MS COMPLEJO I t ti id dI t ti id dELRETOESMSCOMPLEJO:ELRETOESMSCOMPLEJO:InterconectividadInterconectividad,,Interoperabilidad,SeguridadInteroperabilidad,Seguridad

    DATOSDATOS

    APLICACINAPLICACIN

    SERVIDORESSERVIDORES

    REDREDREDRED

    PERIMETROPERIMETRO

    SEGURIDADFSICASEGURIDADFSICA

    PROCEDIMIENTOSPROCEDIMIENTOS

  • DndeestnlosrecursosydatoscrticosdelDndeestnlosrecursosydatoscrticosdelnegocio?negocio?

  • ElRompecabezasdelaSeguridad

    Plan de

    Aseguramiento Entrenamient

    Control Interno

    Control deAcceso

    Plan de Contingencias

    Auditoria

    Personal

    o

    Administracin de Riesgos

    Identificacin y Acceso Problemas de

    Usuario

    AmenazasManejo de

    Incidentes

    Polticas Seguridad Fsica

    Criptografa

    Soporte y Operaciones

    Administracin

    Outsourcing Planificacin

    GobiernoDe TI

  • ElRompecabezasdelosestndaresymodelosde

    ISO 17799SARBANES

    seguridad

    TOGAF CMMITickITSARBANESOXLEY

    COBIT NIST 800-14

    COSO

    ITSEC BASILEA II

    NIST 800-34

    FIPS PUB 200PRINCE 2

    BPMNIST 800-12

    ISO 27000

    BS 7799 ITIL

    ASNZ 4360PMBOK

    ASNZ 4360

  • NOOLVIDARQUEELRETOTRASCIENDELASFRONTERASNOOLVIDARQUEELRETOTRASCIENDELASFRONTERASTECNOLGICASTECNOLGICAS

  • MADUREZDELASEGURIDADMADUREZDELASEGURIDAD

  • Conclusiones

    Seguridaddelainformacin significa impacto sobre lafuncionalidadde los sistemas y del negociodelossistemasydelnegocio

    Elprincipalobstculo enladefinicin delalcance delproyecto sonlosconceptos heterogneos en seguridad de la informacin: Organizacinconceptos heterogneos enseguridaddelainformacin:Organizacin

    cliente,Equipo Consultor,Gerente deProyectos.

    En el plan de trabajo es importante estimar los tiempos deEnelplandetrabajo es importante estimar lostiempos departicipacin delequipo cliente

    Cuando elGerente deProyectos es externo lasituacin es msycompleja.

    Esimportante que losGerentes deProyecto que incursionen enestecampoostenten certificaciones independientes deseguridad:CISM,

    CISSP,CISA,LEADAUDITORISO27000

  • Referencias

    ITGovernance Institute,Cobit_mapping

    ITGovernance Institute,COBIT4.0:ControlObjectives For Information AndRelated Technology

    Committee ofSponsoring Organization ofthe Treadway Commission,COSO

    THESARBANESOXLEYACT

    British Office of Trade Industry ITIL: The IT Infrastructure LibraryBritishOfficeofTrade Industry,ITIL:The ITInfrastructure Library

    InternationalOrganization for Standardisation,ISO/IEC17799:2005Code ofPractice for Information SecurityManagement

    International Organization for Standardisation, ISO/IEC 27001: Information Technology Security Techniques InternationalOrganization for Standardisation,ISO/IEC27001:Information Technology SecurityTechniquesInformation SecurityManagementSystems Requirements

    Computer SecurityDivision ofthe National InstituteofStandards andTechnology,FIPSPUB200:FederalInformation Processing Standars Publication 200:Minimum SecurityRequirements for FederalInformation and

    Information Systems

    InternationalOrganization for Standardisation,ISO/IECTR13335:Information Technology Guidelines for themanagement ofITSecurity

    InternationalOrganization for Standardisation,ISO/IEC15408:2005SecurityTechniques Evaluation Criteria forIT SecurityITSecurity

    BritishOfficeofGovernment Commerce(OCG):PRINCE2:Projects inControlled Environments

  • Referencias(Cont.)

    ProjectManagementInstitute,PMBOK:AGuideto the ManagementBody ofKnowledge

    Computer SecurityDivision ofthe National InstituteofStandards andTechnology,NIST80014:Generally Accepted Principles andPractices for Securing Information TechnologySystems

    The Australian /NewZealand Standardfor Risk Management,ASNZ4360:1999

    RamiroMerchn,ImplementacindelModeloCobit bajoISO9000,CongresoIberoamericanodeControl,SeguridadyAuditoria,Ciasi 2001,Madrid Espaa

    RamiroMerchn,DefensaenProfundidad,Information SecurityandRisk Management,ISACA,2009,Bogot Colombiag

    RamiroMerchn,TendenciasenSeguridaddelaInformacin,Information SecurityandRiskManagement,ISACA2010,Bogot Colombia

  • Preguntas?Preguntas?gg

    RamiroMerchnP.VicepresidentedeConsultora

    CISA,CBCPDIGIWAREDECOLOMBIAS.A.

    email:[email protected]