Carmen R. Cintrón Ferrer, 2010, Derechos Reservados.

Plan de Seguridad

Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad.

Visión

2Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Expresión visión Metas Expectativas Objetivos

Operacionalizar la Visión

Fortalecer/Incrementar Confiabilidad


Gestión Ética (Governance: Honesty & Integrity -Ethics)

Manejo de Riesgos (Risk Management) Cumplimiento (Compliance) Estabilidad de operaciones (Business Resilience)

Madurez colectiva (Awareness & Training)

Fiscalización (Monitoring)

Divulgación y ajuste (Reporting, feedback & adjusting)

Plan de SeguridadElementos a integrar


Gestión ética (Governance):– Visión– Código de Ética organizacional– Políticas– Estándares y Guías (Best Practices)

– Procedimientos Roles y responsabilidades:

◦ Segregación de funciones◦ Responsabilidad (Accountability)◦ Métricas de cumplimiento

Compromiso con enfoque de continuidad (Business resilience)

Planificación del proceso



Manejo de riesgo:◦ Identificación de riesgos y Gap Analisys◦ Metodologías y estándares:

NIST SP 800-12, 14, 18, 26, 30, 37 Octave CobIT & ValIT COSO ISO 17799:2002 & ITIL OCEG Red Book RFC 2196 Site Security Handbook PCI & VISA Cardholder InfoSec Program

◦ Controles y métricas: Preventivos Mitigación Correctivos

◦ Avalúo de controles



Avalúo regulatorio (Legal Assessment):◦ Identificación del entorno regulatorio aplicable◦ Estimación de impacto organizacional◦ Integración y contacto con asesores legales externos

Cumplimiento con regulaciones (Compliance):◦ Tecnológicas (IT Regulatory Compliance)

◦ Operacionales (Non – IT Regulations)

◦ De la industria o negocio (Industry related regulations)

Gestión de incidentes:◦ Manejo de evidencia electrónica◦ Computación forense ◦ Integración y contacto con agencias del orden público



Estabilidad y confiabilidad (Business resilience):◦ Continuidad de operaciones (Business Continuity Plan)

◦ Recuperación frente a desastres (Disaster Recovery Plan)

◦ Confiabilidad en permanencia(Business Resilience)

Madurez colectiva organizacional:◦ Plan de concienciación (Awareness & Training Plan)

◦ Lealtad y compromiso del personal (Employee Adherence)

◦ Responsabilidad personal (Non-Compliance consequences)

◦ Métricas de cumplimiento



Avalúo de sistemas:◦ Configuración de sistemas y servicios◦ Pruebas de sistemas y de TI’s◦ Autenticación y controles de acceso◦ Análisis de vulnerabilidades (Vulnerability Assessment)

◦ Administración de seguridad de la Red( Network Security Administration)

Respuesta a incidentes (Risk and Emergency Response):

◦ Comité de Emergencias◦ Procedimientos: detección, respuesta, recuperación y

corrección◦ Comunicación y colaboración



• Fiscalización de cumplimiento (Monitoring):

– Sistémico Systemic monitoring– Periódico mediante:

• Auditorías internas• Auditoriás externas• Auditorías por agencia(s) reguladoras

• Divulgación y ajuste (Reporting, feedback & adjusting):• Divulgación de hallazgos (Disclosure)

• Mitigación efectiva (Remediation & Due Dilligence)

• Actualización y ajustes (Plan modification & update)



Redifinición de Prácticas Modificación de Roles Integración de tecnologías

Impacto del Plan


Políticas Procedimientos Guías o prácticas generalmente aceptadas Manuales Controles

Redefinición de prácticas


Fisica & Lógica Uso aceptable de la(s) tecnología(s):

◦ Estaciones de trabajo◦ Navegación◦ Servidores y servicios en red◦ Laptops-Netbooks◦ Telefonía integral◦ Unidades de almacenamiento móviles (Pen/Jump drives)

Herramientas de comunicación:◦ Correo electrónico◦ Mensajería instantánea & Chat◦ Sedes virtuales de socialización◦ Servicios de conexión (P2P) y transferencia de archivos◦ Servicios de transmisión de voz & vídeo

Acceso local y remoto a servicios◦ Autenticación◦ Copias de resguardo

Auditoría (monitoring) de la seguridad

Redifinición de PrácticasPolíticas de Seguridad


Flujo de información (entre & dentro) procesos:◦ Seguridad de los depósitos transitorios y permanentes◦ Controles y protección mientras navega dentro de la

organización◦ Controles y protección cuando sale del perímetro

Integridad de la información:◦ Disponibilidad (a tiempo, precisa, completa, actualizada)

◦ Certeza de su veracidad e integridad (no adulterada accidental o intencionalmente)

◦ Protegida frente acceso indebido (ie. Cifrada)

◦ Reproducible de forma consistente◦ Recuperable en caso de destrucción o pérdida

Redefinición de prácticasSeguridad & confiabilidad de la información


Balance entre seguridad y necesidad de acceso:◦ Controles efectivos que contribuyan a la eficiencia◦ Protección de la privacidad asegurando cumplimiento◦ Acopio de métricas para estimar productividad y

efectividad (tecnología(s) & control(es))

Implicaciones de seguridad en procesos críticos:◦ Disponibilidad ATH/DTP◦ Intercambio/Integración de información entre procesos◦ Integridad de almacenes de datos/transacciones

Impacto en Human-Computer Interaction:◦ Integración de servicios & aplicaciones & herramientas◦ Destrezas tecnológicas & dominio de procesos◦ Apoyo técnico (interno/externo)

Redefinición de prácticasImpacto en procesos (BPR)


Estándares de la industria Controles:

◦ Manuales◦ Sistémicos◦ Tecnológicos

Percepción vs. realidad

Redefinición de prácticasPrácticas generalmente aceptadas


Jerarquía de roles:• Top level management• Legal Counsel• Compliance Officer• Internal auditor• Security Officer• IT• Human Resources• Business units

Responsabilidades IT:• Descripción plazas – tareas – competencias• Distribución de tiempo• Asignación de recursos • Fiscalización de cumplimiento

Roles y ResponsabilidadesDistribución y “accountability”


Diseño estratégico de seguridad:◦ ¿Qué controlar?◦ ¿Cuáles controles integrar?◦ ¿Qué medidas de respuesta?

Implantación:◦ Herramientas

Afinamiento Fiscalización:

◦ Baselines◦ Patrones o Tendencias

Acción:◦ Comité de respuesta◦ Alertas y nivel de escalada◦ Controles de mitigación y recuperación

Avalúo:◦ Periódico◦ Extraordinario

Integración de tecnologías


Tecnología:◦ Controles de acceso◦ Copias de resguardo ◦ Cifrado◦ Control y fiscalización de la(s) Red(es):

Firewall’s Proxy’s IDS/IPS – Net & Hosts Net Monitoring & Net Scanning

◦ Configuración, Parchos y Actualizaciones◦ Redundancia y replicación

Personas:◦ Políticas◦ Plan de concienciación◦ Programa de seguridad (Security Plan- IR, DR & BC)

Segmentación del ámbito de protección de seguridad


Sistemas y/o Servicios:◦ Instalación & Mantenimiento ◦ SaaS◦ Cloud computing

Fiscalización de la infraestructura (red) Prevención y recuperación:

◦ DRP ◦ BCP

Prevención y anticipo (nuevas tendencias):◦ Computación forense◦ Análisis de penetración◦ Análisis de vulnerabilidades

Integración de tecnologíasÁreas particulares (Outsourcing)


Protección de propiedad intelectual:◦ Terceros◦ Proveedores◦ Organización

Control de duplicación o diseminación:◦ Programación◦ Bancos de datos◦ Secretos de negocio◦ Publicaciones en medio electrónico

Digital Rights Management

Integración de tecnologíasÁreas particulares (Cumplimiento con IP)


OCTAVE COBit ValIT Ernst & Young Network Security Illustrated, Albanese &

Sonnenreich, McGraw Hill, NY, 2004

Referencias


Plan de SeguridadOtras Referencias


Modelo Organizacional de confiabilidad Modelo CobiT CobiT Security Baseline ISACA, Business Model for Information Secur

ity UCISA Information Security Toolkit Solutionary, Security Measurement

Cultura de Seguridad


NIST Risk Management Guide NIST Risk Management Framework GAO, Information Security Risk Assessment ITCi, Risk Management: Practical guidance

on how to prepare for successful audits IT Policy Compliance Group – CMM Capabiliti

es practices IT Governance Institute, Information Risks IT Governance, Risk & Complaince (Basado

en CobiT) OCEG, Foundation Guidelines (RedBook) OCEG, GRC Capability Model (Redbook)

Governance, Risk And Compliance


Deloitte, Defining and Classifying Operational Risk, 2007

NIST Risk Management Framework – Roles & Responsibilities

CERT, First Responders Guide to Computer Forensics

NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática

Amador et als., Seguridad Computacional ent, Network Auditing Strategies CyberIntelligence Report (2009)

Otras referencias


Carmen R. Cintrón Ferrer, 2010, Derechos Reservados.

Documents

Transcript of Carmen R. Cintrón Ferrer, 2010, Derechos Reservados.