Gestión de Proyectos de Seguridad Gestión de Proyectos de Seguridad y gy gde la Informaciónde la Información

1

Agenda

Introducción

Objetivo

Obj i l d d id d d lObjetivos y alcance de proyectos de seguridad de lainformación

Retos en la definición e implementación de proyectos deid d d l i f ióseguridad de la información

Madurez de la Seguridad de la Información

Conclusiones

Preguntas

Presentación

La gestión de proyectos enfatiza en el manejo de la triplerestricción: Alcance, Tiempo, Costo, p ,

En seguridad de la información aparece un elemento clavepara el éxito de los proyectos: Nivel de cultura

Objetivo

“P l i i l f l é i l“Presentar  los principales factores para el éxito en la gestión de proyectos de seguridad de la Información”.

Objetivos  de  un  Proyecto de Seguridad Objetivos  de  un  Proyecto de Seguridad 

1. Realizar un diagnóstico de la situación actual de la Organización en materia de seguridad informática de la información, diseñar el modelo de seguridad y establecer el plan de acción que permita implementar dicho modelo.

2. Asegurar apropiadamente las herramientas existentes en la Organización para obtener de manera adecuada la protección de la información.

3. Sensibilizar a un grupo de funcionarios de la Organización en aspectos de seguridad y capacitar a aquellos de la Oficina de Sistemas, que participarán en la gestión de la seguridad.

4. Generar los documentos necesarios para que los funcionarios de la Sistemas administren y soporten adecuadamente el modelo propuesto y los mecanismos implementados.

Alcance del Proyecto de Seguridad de la InformaciónAlcance del Proyecto de Seguridad de la Información

A áli i d i d l d l i ióAnálisis de riesgos de los procesos de la organización

Pruebas de ingeniería social

Pruebas de Vulnerabilidad y Hacking Etico desde Internet

Pruebas de Vulnerabilidad de las Redes Internas

Construcción de la matriz de riesgos

Revisión y Desarrollo de Políticas y Procedimientos deRevisión y Desarrollo de Políticas y Procedimientos de Seguridad

Organización del área de seguridad y modelo de seguridad de la organización

Planes de acción para el modelo sugerido

Aseguramiento de Componentes Críticos

Plan de SensibilizaciónPlan de Sensibilización

Plan de capacitación y transferencia de conocimientos

El reto Hoy: El reto Hoy: InterconectividadInterconectividad e Interoperabilidade Interoperabilidad

DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDAD

•Si todo lo que se encuentra entre su información mas sensible y un atacante es una sola capade seguridad, el trabajo del atacante se hace sencillo.

•Ninguna medida de seguridad; y en un concepto mas amplio, ninguna capa de seguridad, esinfalible contra los ataques. Al agregar capas independientes a la arquitectura de seguridad seaumenta el tiempo que puede tomar el atacar un sitio, lo que permitiría en ultimas detectar lasintrusiones y los ataques justo cuando estos ocurren.

•La filosofía “Defense in Depth” establece que: “los sistemas de seguridad de un sistemadeben ser entendidos y contenidos dentro de capas, cada una independiente de la anterior deforma funcional y conceptual”.

Seguridad Fisica

Seguridad Lógica

DATOS

g

DEFENSA EN PROFUNDIDADDEFENSA EN PROFUNDIDADCONCEPTOS DE DISEÑO

EVALUACIÓN DE RIESGOSCOMPONENTES

• EVALUACIÓN DE RIESGOS

• ESTRATEGIAS Y ESTÁNDARES

• ZONAS SEGURAS

• ENDURECIMIENTO DE SISTEMAS

• ENRUTADORES

• SWITCHES

– Endurecimiento del Sistema Operacional– Eliminar servicios no requeridos– Actualización periódica de parches (sistemas

operativos y aplicaciones)

• FIREWALLS

• ACCESO REMOTO – VPN

• ACCESO REMOTO – DIAL UP– Desactivar protocolos no encriptados– Protección contra virus– Renombrar cuentas de administrador– Cambiar passwords por defecto

Desacti ar c entas de in itado

ACCESO REMOTO – DIAL UP

• REDES INALAMBRICAS

• DETECCIÓN DE INTRUSIONES– Desactivar cuentas de invitado– No permitir anonimus FTP– Incrementar tamaño de archivos de log– Permisos sobre directorios, archivos y otros

objetos

• EVALUACION DE LA SEGURIDAD DE LA RED

– Análisis de vulnerabilidades– Desplegar mensajes de alerta– Implementar el concepto de menor privilegio– Separación de funciones

EL RETO ES MÁS COMPLEJOEL RETO ES MÁS COMPLEJO I t ti id dI t ti id dEL RETO ES MÁS COMPLEJO: EL RETO ES MÁS COMPLEJO: InterconectividadInterconectividad, , Interoperabilidad, SeguridadInteroperabilidad, Seguridad

DATOSDATOS

APLICACIÓNAPLICACIÓN

SERVIDORESSERVIDORES

REDREDREDRED

PERIMETROPERIMETRO

SEGURIDAD FÍSICASEGURIDAD FÍSICA

PROCEDIMIENTOSPROCEDIMIENTOS

Dónde están  los  recursos  y datos  críticos  del  Dónde están  los  recursos  y datos  críticos  del  negocio ?negocio ?

El Rompecabezas de la Seguridad 

Plan de

Aseguramiento Entrenamient

Control Interno

Control deAcceso

Plan de Contingencias

Auditoria

Personal

o

Administración de Riesgos

Identificación y Acceso Problemas de

Usuario

AmenazasManejo de

Incidentes

Políticas Seguridad Física

Criptografía

Soporte y Operaciones

Administración

Outsourcing Planificación

GobiernoDe TI

El Rompecabezas de los estándares y modelos de 

ISO 17799SARBANES

seguridad 

TOGAF CMMITickITSARBANESOXLEY

COBIT NIST 800-14

COSO

ITSEC BASILEA II

NIST 800-34

FIPS PUB 200PRINCE 2

BPMNIST 800-12

ISO 27000

BS 7799 ITIL

ASNZ 4360PMBOK

ASNZ 4360

NO  OLVIDAR  QUE  EL  RETO  TRASCIENDE  LAS  FRONTERAS NO  OLVIDAR  QUE  EL  RETO  TRASCIENDE  LAS  FRONTERAS TECNOLÓGICASTECNOLÓGICAS

MADUREZ  DE  LA SEGURIDADMADUREZ  DE  LA SEGURIDAD

Conclusiones

Seguridad de la información significa impacto sobre la funcionalidadde los sistemas y del negociode los sistemas  y del negocio

El principal obstáculo en la definición del alcance del proyecto son los conceptos heterogéneos en seguridad de la información: Organizaciónconceptos heterogéneos en seguridad de la información: Organización

cliente, Equipo Consultor, Gerente de Proyectos.

En el plan de trabajo es importante estimar los tiempos deEn el plan de trabajo es importante estimar los tiempos de participación del equipo cliente

Cuando el Gerente de Proyectos es externo la situación es másycompleja.

Es importante que los Gerentes de Proyecto que incursionen en estecampo ostenten certificaciones independientes de seguridad: CISM, 

CISSP, CISA, LEAD  AUDITOR  ISO  27000  

Referencias 

IT Governance Institute, Cobit_mapping

IT Governance Institute, COBIT 4.0: Control Objectives For Information And Related Technology

Committee of Sponsoring Organization of the Treadway Commission, COSO

THE SARBANES OXLEY ACT

British Office of Trade Industry ITIL: The IT Infrastructure LibraryBritish Office of Trade Industry, ITIL:  The IT Infrastructure Library

International Organization for Standardisation, ISO/IEC 17799:2005 Code of Practice for Information Security Management

International Organization for Standardisation, ISO/IEC 27001: Information Technology – Security Techniques –International Organization for Standardisation, ISO/IEC 27001:  Information Technology  Security TechniquesInformation Security Management Systems ‐ Requirements

Computer Security Division of the National Institute of Standards and Technology, FIPS PUB 200:  Federal Information Processing Standars Publication 200:  Minimum Security Requirements for Federal Information and 

Information Systems

International Organization for Standardisation, ISO/IEC TR 13335:  Information Technology – Guidelines for themanagement of IT Security

International Organization for Standardisation, ISO/IEC 15408:2005 Security Techniques – Evaluation Criteria forIT SecurityIT Security 

British Office of Government Commerce (OCG): PRINCE2: Projects in Controlled Environments

Referencias (Cont.)

Project Management Institute, PMBOK: A Guide to the Management Body of Knowledge

Computer Security Division of the National Institute of Standards and Technology, NIST 800‐14:  Generally Accepted Principles and Practices for Securing Information Technology Systems

The Australian / New Zealand Standard for Risk Management, ASNZ 4360: 1999

Ramiro Merchán, Implementación del Modelo Cobit bajo ISO 9000, Congreso Iberoamericano de Control, Seguridad y Auditoria, Ciasi 2001, Madrid – España

Ramiro Merchán, Defensa en Profundidad, Information Security and Risk Management, ISACA, 2009, Bogotá – Colombiag

Ramiro Merchán, Tendencias en Seguridad de la Información, Information Security and RiskManagement, ISACA 2010, Bogotá ‐ Colombia

¿Preguntas?¿Preguntas?gg

Ramiro Merchán P. Vicepresidente de Consultoría

CISA, CBCPDIGIWARE DE COLOMBIA S.A.

e‐mail: ramiro.merchan@digiware.net