Sin tнtulo de diapositiva

1
Escuela Técnica Superior de Informática Universid
ad Nacional de Educación a Distancia
Gestión de la Calidad de la Seguridad de un
Sistema Informático Modelo de Madurez de la
Seguridad de un Sistema Informático
Autor Roberto José Fernández García Director
Jesús María Minguet Melián 30/11/07
2
Índice
I Introducción II Concienciación en la
Seguridad de la Información III Estado del
Arte IV Normalización de la Seguridad TIC V
Legislación y Normativa Española VI Medidas,
Métricas y Auditorías VII Modelo de Madurez de
la Seguridad de un Sistema Informático VIII C
onclusiones IX Líneas Futuras Glosario de
Términos y Lista de Acrónimos Apéndices Bibliogr
afía
2
3
I.- Introducción (I)
Estado del Arte en materia de seguridad. Auditoría

• Antecedentes en Seguridad de la Información
• Protegernos contra ataques internos/externos
• Proteger nuestro Know-how, Knowledge
• Actualmente, son muchas las auditorías
  informáticas a las empresas están sometidas
  regularmente, tanto internas como externas, en
  línea con
• Evaluación y Administración de Riesgos
  Tecnológicos
• Seguridad Informática
• Mejora de Procesos
• Análisis de Fraude Informático

4
I.- Introducción (II)
Estado del Arte en materia de seguridad.
Auditoría (II)
Las conclusiones, de estas auditorías, se resumen
en una enumeración de aspectos positivos y
recomendaciones de mejora, sin llegar a evaluar
nuestro sistema informático.
Por ejemplo Acotando el sistema dentro de los
niveles de madurez sugeridos por el CMMI
5
I.- Introducción (III)

• Objetivos del Proyecto

Creación de un modelo, Modelo de Madurez de la
Seguridad de un Sistema Informático, en línea
con los objetivos generales de la compañía
6
I.- Introducción (IV)
Qué áreas queremos cubrir dentro de las TI?
7
I.- Introducción (V)
Qué ESTÁNDARES nos ayudarán a cubrir las áreas
TI? Dónde encaja nuestro Modelo SMMIS (objeto
del proyecto)?
8
I.- Introducción (VI)
Recomendaciones

• Usar CObIT 4.1 y SMMIS (Proyecto) para
  determinar el estado actual de salud de la
  Seguridad
• Identificar debilidades en los Procesos y
  Controles. Usar ITIL V2 para mejorar los Procesos
  y Controles TI, ayudándonos ISO27002 y SMMIS
  (Proyecto) para mejorar los Procesos y Controles
  de Seguridad
• Usar ITIL V2 para determinar la Tecnología
• Usar Cobit 4.1 y SMMIS (Proyecto) para definir
  las Métricas
• Preguntar a ITIL V2 sobre posibles Estructuras

• Respecto a los 4 estándares (CObIT 4.1, ITIL V2,
  SMMIS ISO27002)
• No se producen contradicciones o solapamientos
  reales, No se identifican requisitos de personal
• No son fuertes desde el punto de vista
  organizativo (estructuras y roles)
• No son fuertes del lado de la tecnología

9
II.- Concienciación en la Seguridad de la
Información
Seguridad de la Información. 3 Pilares la
Tecnología, los Procesos y las Personas
Implementación de un programa Concienciación de
los Usuarios
Componentes
Educación Producir especialistas en Seguridad TI
Entrenamiento Producir habilidades y
competencias en Seguridad
Concienciación El proceso de aprendizaje que
establece las etapas para el entrenamiento de la
actitudes individuales y organizacionales
10
III.- Estado del Arte (I)
CObIT 4.1 ITIL V2 Serie ISO
27000 CMMI. SSE-CMM. ISO/IEC 218272007
11
III.- Estado del Arte (II)
CObIT 4.1 Código de Buenas Prácticas para el
manejo de la información. Su misión Investigar,
desarrollar, publicar y promover un conjunto
internacional, autorizado y actual de objetivos
de control en Tecnología de la Información,
generalmente aceptados, para el uso cotidiano de
la dirección de la empresa (Gerentes), usuarios y
auditores.
12
III.- Estado del Arte (III)

• ITIL V2 marco de procesos de Gestión de Servicios
  de TI más aceptado, nace como un código de buenas
  prácticas dirigidas a alcanzar las metas TI
  mediante
• Un enfoque sistemático del servicio TI centrado
  en los procesos y procedimientos
• El establecimiento de estrategias para la gestión
  operativa de la infraestructura TI

13
III.- Estado del Arte (IV)
A semejanza de otras normas ISO, la 27000 es
realmente una serie de estándares.
14
III.- Estado del Arte (IV)
CMMI. SSE-CMM. ISO/IEC 218272007.
Evaluar sus prácticas de ingeniería de
seguridad y definir mejoras. Base para las
organizaciones que evalúan ingeniería de
seguridad, con objeto de establecer confianzas
organizativas basadas en la capacidad.
Mecanismo estándar para que los clientes evalúen
en un proveedor su capacidad de ingeniería de la
seguridad.
15
IV.- Normalización en la Seguridad TIC (I)

• Qué es una Norma?
• Especificación Técnica
• Voluntaria
• Accesible al público
• Elaborada por consenso de las partes interesadas
• En el seno de un organismo reconocido
• Basado en la experiencia y desarrollo tecnológico

• Beneficios de la Normalización
• Para los fabricantes. Racionaliza productos,
  Disminuye el volumen de existencias, Mejora la
• gestión de diseño, Agiliza pedidos, Facilita la
  comercialización y Simplifica las compras
• Para los consumidores. Establece niveles de
  calidad y seguridad, Informa del producto y
• Facilita de comparación
• Para la Administración. Simplifica los textos
  legales, Facilita políticas, Ayuda al desarrollo
• económico y Agiliza el comercio

16
IV.- Normalización en la Seguridad TIC (II)
Origen de las Normas
Las normas se elaboran en el seno de los comités
técnicos compuestos, de forma equilibrada, por
todas las partes interesadas en ese campo.
La Normalización en Seguridad TI
En lo referente a TI, el comité conjunto Nº1
denominado JTC1 constituido entre los dos
organismos internacionales de normalizaciónISO
IEC. En él participan 68 países, entre ellos
España, a través de AENOR.
JTC1 está estructurado en una serie de Subcomités
dedicados a un aspecto específico de las TI, en
concreto el número 27, es el responsable de todos
los aspectos de seguridad,
denominándose JTC1/SC27 "Técnicas de Seguridad".
Su homólogo a nivel español es el CTN71/SC27, que
lleva el mismo nombre.
17
V.- Legislación y Normativa Española (I)
Legislación de Seguridad

• Ley Orgánica 15/1999, del 13 de Diciembre de
  Protección de Datos
• de Carácter Personal LOPD
• Nivel básico, Medio y Alto

Real Decreto 994/1999, de 11 de Julio, Reglamento
de Medidas de Seguridad, quedando pendiente la
aprobación el reglamento de Medidas de seguridad
derivado de la LOPD

• Ley 34/2002 del 11 de Julio, de Servicios de la
  Sociedad de la
• Información y de Comercio Electrónico - LSSI-CE

• Establece los criterios de servicios en Internet,
  cuando sean parte de
• actividad económica
• Mostrar en la web Nombre, NIF, dirección,
  correo electrónico
• Regulación del comercio electrónico Prohibición
  de los spam

18
V.- Legislación y Normativa Española (II)
Normativa de Seguridad

• UNE-755022004 Tecnología de la Información.
  Especificaciones para los sistemas de Gestión de
  Seguridad de la Información
• ISO 270022007, Sistema de Gestión de Seguridad
  de Información

Certificable
Certificable
19
V.- Legislación y Normativa Española (III)
Criterios de Certificación de Productos de
Seguridad

• Antecedentes ORANGE BOOK-TCSEC ITSEC
  (whitebook)
• Actualidad COMMONCRITERIA v3.1 EDICION 2
• 1996. V1.0 Common Criteria(Criterios comunes
  USA-EUR)
• Iniciativa conjunta para armonizar TCSEC e
  ITSEC
• Reconocimiento mutuo de la certificación
• Mayor interés del sector privado en productos
  certificados
• Actualmente CC/CEM v3.1 Ed. 2
• Niveles de Evaluación (EAL1 EAL4EAL7)

20
VI.- Medidas, Métricas y Auditorías (I)

• Medidas

• Decidir de antemano que vamos a registrar
• Establecer un plan de destrucción progresiva de
  logs
• En cada destrucción hay que guardar parte de la
  información
• bien en bruto o bien consolidada
• Hay que automatizar todo el proceso de captura y
  gestión de logs
• para prevenir errores humanos, olvidos y
  ataques intencionados

21
VI.- Medidas, Métricas y Auditorías (II)

• Métricas
• Las métricas materializan el rendimiento de los
  sistemas.
• Pueden dividirse en dos grandes grupos
• de efectividadsatisfacen los sistemas nuestras
• necesidades?
• de eficiencia muestra la proporción entre
• medios y resultados

• Métricas para la Seguridad de la Información
• De gestión en qué medida se cubren todos los
  componentes del sistema y cuán a menudo se
  revisan
• Técnicas en los componentes técnicos hay
  múltiples aspectos de rendimiento que son
  relativamente fáciles de medir
• Del Entorno Físico un sistema existe en un
  entorno real
• Del Personal las personas especifican,
  construyen,y usan los sistemas

22
VI.- Medidas, Métricas y Auditorías (III)
Ej. Métricas Técnicas de Seguridad Tradicionales
23
VI.- Medidas, Métricas y Auditorías (IV)

• Indicadores
• Abstrayéndose de los detalles, son capaces de
  transmitir el estado general de salud del objeto.
  
• Los indicadores suelen agruparse para su
  presentación en cuadros, denominados "de mando"
  que típicamente resumen la salud de la
  organización desde cuatro puntos de vista
• Salud financiera gasto y capacidad
• Percepción de los clientes y proveedores
• Capacidad para una reacción rápida y
  efectiva
• Capital humano estabilidad, compromiso y
  capacidad

24
VI.- Medidas, Métricas y Auditorías (V)
Auditoría de Seguridad de las TI desde la
Perspectiva de la Normalización
Definición de Auditoría (ISACA).

• Factores Críticos a considerar
• Distancia entre las políticas y directrices de
  alto
• Las limitaciones de recursos técnicos y humanos
• Legislación relacionada con las TI varía
  dependiendo del país

• Planificación de la auditoría de la seguridad,
  teniendo en cuenta
• Objetivo emitir una opinión o dictamen
• Alcance sistemas, infraestructura, información
• Etapas normales de cualquier auditoría de TI
• Análisis y evaluación de riesgos
• Identificación de políticas
• Procesos y procedimientos de control

25
VII.- Modelo de Madurez de la Seguridad de un
Sistema Informático (I)
Modelos de Madurez de la Seguridad Publicados
Por alguna razón, cada uno ellos, tienen cinco
niveles de madurez

26
VII.- Modelo de Madurez de la Seguridad de un
Sistema Informático (II)
Modelos de Madurez de la Seguridad Publicados (II)

• Estos modelos previos al SMMIS, sufren tres
  deficiencias clave
• Confunden calidad con existencia
• Necesitan ser adaptados específicamente a la
  organización
• No dirigen necesariamente el programa hacia un
  objetivo organizacional concreto, por lo que no
  funcionan bien para un programa de seguridad

27
VII.- Modelo de Madurez de la Seguridad de un
Sistema Informático (III)
Controles Modelo de Madurez de la Seguridad de un
Sist. Informático
5.- Política de Seguridad TI, IT Security
Policy Obj.Control 1, Controles 2 6.-
Organización de la Seguridad de la Información,
Obj.Control 2, Controles 11 Organizing
Information Security 7.- Clasificación y Control
de Activos, Obj.Control 2, Controles 5 Asset
Classification and Control 8.- Seguridad Relativa
al Personal, Obj.Control 3, Controles
10 Human Resources Security 9.- Seguridad
Física y del Entorno, Obj.Control 2,
Controles 13 Physical and Environmental
Security 10.- Control de Accesos, Access
Control Obj.Control 10, Controles 32 11.-
Desarrollo y Mantenimiento de Sistemas, Obj.Cont
rol 7, Controles 27 Information Systems
Development and Maintenance 12.- Gestión de
comunicaciones y operaciones, Obj.Control 6,
Controles 18 Communications and Operations
Management 13.- Gestión de Incidentes de la
Seguridad de la Inforamción, Obj.Control 2,
Controles 5 Information Security Incident
Management 14.- Gestión de Continuidad de
Negocio, Obj.Control 1, Controles 5 Business
Continuity Management 15.- Conformidad,
Compliance Obj.Control 3, Controles 10



28
VII.- Modelo de Madurez de la Seguridad de un
Sistema Informático (IV)
Métricas Modelo de Madurez de la Seguridad de un
Sist. Informático



29
VII.- Modelo de Madurez de la Seguridad de un
Sistema Informático (V)
Implementación del Modelo
Ejemplo .\smmis_presentación.xls
30
VII.- Modelo de Madurez de la Seguridad de un
Sistema Informático (VI)
Aportaciones del Modelo de Madurez de la
Seguridad de un Sistema Informático

• Separar 138 controles en 5 niveles dependiendo
  de la propia definición de la ISO 27002, antigua
  ISO 27002.
• Encajar las descripciones del Modelo ISO
  218272002, antiguo
• SSE-CMM, con las definiciones de controles de la
  ISO 27002.
• Proponer perfiles de empresa dependiendo de
  factores como
• nº de empleados, ámbito de la empresa, etc.
• La propia evaluación del modelo nos indicará
• Nivel alcanzado por la empresa
• Puntos fuertes sobrepasan el nivel de
  acreditación entregado
• Puntos débiles aquellos por los que no se
  entrega un nivel de acreditación mayor -.

31
VIII.- Conclusiones

• Ventajas del Modelo

- Evaluar sistemas de seguridad, respecto a
estándares reconocidos, y obtener el nivel de
madurez del evaluado
- Modelo de Madurez de la Seguridad de un
Sistema Informático. Explícito, sencillo y
fácil de interpretar.
- Versatilidad en su aplicación. Objetivo de
madurez respecto al perfil de la empresa o con
ánimo de mejora continua.

• Inconvenientes del Modelo

- Necesidad de personas independientes
especializadas en el área de seguridad TI
32
IX.- Líneas Futuras
1.- Identificar perfiles de compañías para los
distintos niveles
2.- Mayor aproximación al Modelo SSE-CMM Ej.
15.1.6 Regulation of cryptographic controls
3.- Integración de nuestro Método con los nuevos
estándares ITIL CobIT
4.- Modelo de Gestión 27000 Modelo de Gestión de
la Seguridad de la Información
33
Gracias por su atención
Preguntas?