plan de seguridad informática

Aquesta és una revisió antiga del document

Armengol Torres
Consultor homologado idigital.cat
armengol@torres.net
600.485.486

los sistemas información se convierten en un activo fundamental
amenazas potenciales que pueden provocar problemas en los SI¹⁾
la utilización de internet, la conexión, la multiplicidad de posibilidades de errores, problemas y riesgos
impulso de la administración en el uso de canales de comunicación

condidencialidad: solo personal autorizado ha de acceder
- púbica
- restringida (nóminas)
- confidencial (contraseñas, secretos industriales)
integridad: consistencia de la información en diferentes sistemas y que los cambios los hacen las personas autorizadas
- accidentes fortuitos
- humanos, internos -error, falta rigor, pasar al lado oscuro- o externos -hackers-
disponibilidad: que la información se accesible al personal correspondiente, cuando corresponde y de manera segura
- la lista de clientes que se guardaba bajo llave, la dificultad para acceder a ella
- exceso de seguridad - muchas contraseñas, llaves → pérdida de eficacia

perímetro externo:
- eBusiness (venta web)
  - especial importancia LSSI
  - relación con terceros frecuente
  - la manipulación de la información es muy importante
    - firma de contratos para mantener la confidencialidad
  - aspectos físicos de la seguridad
  - control de acceso a un sistema directamente expuesto
  - aplican todos los controles e-business
- trabajador itinerante/teletrabajo → asustar, educar para evitar males mayores
  - la información viaja más allá de las fronteras físicas
  - confidencialidad y uso de la información
  - la manipulación de la información externa es importante
  - operaciones vincualdas con la dependencia de las conexiones
  - seguridad física aplicada a entornes móbiles
  - control ed acceso importante
  - vulnerabilidades y riesgos en entornos públicos
  - uso de aparatos propios → la empresa incluso propicia o alenta este uso → problemas futuros en caso de final de relación empresa-trabajador
- implementación de un plan de seguridad: 9 / 18 meses
instalaciones empresa:
- oficina administrativa
  - alto impacto en política general
  - peso legal importante
  - menor impacto relación con terceros
  - el intercambio de información es clave
  - no se encarga de adquisición y mantenimiento
  - control de acceso importante, escenario intensivo en el uso de la información
  - poca relación con los controles e-business
  - emplazamiento fijo y controlado
- producción
  - fuertemente vinculado a la organización y política corporativa
  - aplican la mayoría de los controles legales
  - muchas relaciones con terceros
  - la manipulación de la información forma parte nuclear
  - provisión, mantenimiento y desarrollo de sistemas es una parte muy importante, afecta productividad
  - seguridad física importante
  - control acceso importante
- entornos publicos, carga/descarga
- SOHO
  - no contratado por la empresa, autónomo, SL, externo
  - formalizar relación aunque sea una relación de confianza
  - implicaciones de manipulación son directametne aplicables
  - medidas físicas son importantes
  - adquisición y mantenimiento de equipos según la configuración
  - los aspectos legales son universales
- Ejercicio de Autodiagnóstico, como gestionamos actualmente la seguridad?

http://www.cesicat.cat
- alertas virus, peligros,e tc…
- servicios
http://www.inteco.es
http://www.slideshare.net/mib/el-plan-estratgico-de-sistemas-de-informacin
http://ca.wikipedia.org/wiki/Planificaci%C3%B3_de_sistemes_inform%C3%A0tics

previsión de decrecimiento e implicaciones
analisis
- organizativo
- de procesos
- de recursos (infraestructura)
- …
fases
- determinar estrategia y contecto actual
- identificar los requerimientos de negocio en SI²⁾
- estado actual
- analisis
- …
Normas y buenas prácticas en gestión TI³⁾
- ITIL = Informatiion Technology Infraestructure Library
- COBIT = Control OBjectives for Information and related Technology
- normas internacionales, algunas certificables
- normas ISO elaboradas por comité técnico JTC1
  - 27001
  - 9000
Areas gestión ITIL
- perspectiva orientada a procesos
- 3 áreas principales
  - tecnología/negocio
  - perspectiva negocio, panificación para implementación, gestión de la infraestructura TI
  - gestión de servicios
  - …
- Soporte al servicio
  - disponibilidad
  - gestión incidencias
    - resolución rápida y eficaz
    - restauración del servicio, no causas.
    - asignación personal
  - gestión de problemas
    - recurrentes o de gran impacto
    - determinar causas
    - reactiva, proactiva
  - configuraciones
    - registros actualizados
  - cambios
    - planificación y evaluación de procesos de cambio
    - testeo previo en entorno de pruebas
    - plan vuelta atrás - backout
  - versiones
    - software y hardware
  - gestión financiera
    - evaluación y control de costes asociados a TI
    - ROI⁴⁾
  - gestión de capacidad
    - todos los servicios TI están apoyados por una capacidad de procesos y almacenaje suficiente y correctamente dimensionada
    - VIRTUALIZACION, CLOUD COMPUTING
  - gestión de continuidad del servicio
    - factores de riesgo en los entornos de los SI y evaluarlos en función de su probabilidad de suceder y su grado de impacto
    - combinar reactivo y proactivo
  - gestión de disponibilidad (SLA)
    - …
  - gestión de niveles de servicio
  - …

Gestión de la seguridad
- disponibilidad sea donde sea: segurida perimetral, test de intrusión, politica de seguridad
- mobilidad de empresa: acceso sin hilo/móvil, seguridad perimetral
- evitar robos o mal uso: seguridad perimetral, auditoria seguridad, test de intrusión, politica de seguridad, seguridad de directorio, …
- colaboración interpersonal y entre empresas
- continudad de negocio
- cumplimiento de requisitos legales
- confianza en la veracidad de la información
ejemplos grado coste de inversiones y matenimiento
- tabla con solución, coste inicial, mantenimiento
cálculo ROSI = Retorno sobre la Seguridad Informática
- (Valor Perdidas - Coste Seguridad) / Coste Seguridad
- Si ROSI > 0 es aceptable
- Valor perdidas: perdidas por incidendes sin tratar - perdidas por incidentes evitados
- Coste Seguridad: inversión inicial + inversión periodica
- Perdidas: frecuencia anual de ocurrencias x imacto económico, legal u otro
SGSI = Sistema de Gestión de Seguridad de la Información
- ISO/IEC 27001
- gestión de la seguridad de la información de manera ordenada y diligente
- en ciertas empresas puede ser una exigencia comercial o legal
- aplicar una inversión en seguridad balanceada - no seguir modelos o presiones comerciales o a impulsos a causa de un accidente aislado
- dificultades o desventajas:
  - primer año de implementación
  - cambios de procedimientos
  - documentación
  - automatización de tareas
  - impacto en el personal
- Mejorar seguridad de la información de la empresa
- Mejorar los sistemas productivos
- optimizar recursos de la empresa
- incorporar a la empresa en la filosofia PDCA o de mejora continuada
- obtener los niveles exigidos en los pliegos de la Administración relativos en los servicios TIC
- dispone de sistemas certificados por terceros de confianza
- la ISO genera confianza internacional
- cumplir requirimientos legales (LOPD,LPI,LSSICE,…)
- mejora la imagen de la empresa respecto a la competencia (solo 300 empresas con normativa 27001)
- implantación por capas o niveles, no apretar el acelerador (27002, compendio de buenas prácticas)
- herramientas de gestión para soportar el SGSI
- analisis de riesgos y atacar los puntos más calientes
- controlar falsa sensación de seguridad
objetivos de la gestión de la seguridad
- diseñar políticas de seguridad - una hoja, no es una normativa
- garantizar que los niveles estandard de seguridad se cumplen
- minimizar los riesgos de seguridad
- la gestión de seguridad:
  - es responsabilidad de todos
  - no es una prioridad en su misma
- supervisar la inclusión en las SLA y garantizar su cumplimiento
- tener un comportamiento proactivo
sistemas de seguridad
- conjunto de medios administrativos, técnivos y personales que entre todos garantizan los niveles
- 3 etapas
  - determinar las necesidades de protección de lso SI
    - identificar amenazas y estimación de riesgos
    - evaluación del estado actual de la seguridad
  - definir e implementar el sistema de seguridad que garantice minimizar riesgos
    - definir las políticas de seguridad
    - definir las medidas y procedimientos a implementar
  - evaluar sistemas de seguridad
- no se pueden eliminar todos los riesgos
http://www.ISO27000.es
PDCA = Plan+Do+Check+Act = Ciclo de Deming
- P = establecer SGSI
- D = Mantener y mejorar
- C = verificar y evaluar
- A = puesta en explotación y ejecución
- es una rueda, siempre vuelve a empezar, cada vuelta puede ser de 1 año
Herramientas útiles:
- inventarios y gestión documental:
  - surveymonkey, excel para recuperar información
  - sharepoint: gestión documental
- 27001:
  - PILAR: http://www.pilar-tools.com
  - GlobalSuite
  - ERA
  - GovRic
  - AGGIL: http://www.aggil.es SaaS⁵⁾
  - e-Pulpo: http://www.e-pulpo.es
auditorias seguridad:
- si queremos la certificación, empresa externa
seguridad como servicio
- analisis de log
- servidores correo
- servidores web
- encriptación de comunicaciones / ordenadores
- backup gestionado
  - servidores: recuperación de desastres, continuidad de opreación, copia externa
  - ordenadores: servidor almacenamiento local, copia externa
- supervisión y análisis de web
  - supervisión remota de webs
  - analisis de logs y transacciones
- http://www.catrian.com
- http://www.segall.es
- idigital.cat
  - generación de informes de recomendaciones
  - coste 400 euros
  - empresas catalanas

¹⁾

Sistemas de Información

²⁾

Sistemas ed Información

³⁾

tecnologias de información

⁴⁾

retorno de la inversión

⁵⁾

Security as a Service

plan de seguridad informática

datos

1. seguridad de la información en la empresa

amenazas

requisitos

areas

webs de seguridad

2. Gestión de los sistemas de información

planificación estratégica

3.Gestión de la seguridad de la información

4. plan de continuidad de empresa

5. plan de seguridad

miguel angel torres egea