creación de una cultura de seguridad informá · pdf filesistema de las...

Modelo de Arquitectura de Seguridad de la Información (MASI)

Angélica Flórez Abril, MSc.

Universidad Pontificia BolivarianaBucaramanga, Colombia

Octubre, 2011

Angélica FA- All rights reserved

Contenido

• Introducción

• IT Governance, Risk and Compliance

• Modelo de Arquitectura de Seguridad de la Información - MASI

– Reconocimiento de la infraestructura

– Análisis de la infraestructura y su seguridad

– Análisis de riesgos

– Políticas de seguridad de la información

• Conclusiones


Introducción


Seguridad Informática vs. Seguridad de la Información

Seguridad de la

Información

Recurso Humano

Procesos de

NegocioSeguridad

InformáticaTI

Seguridad de la Información

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.Angélica FA- All rights reserved

Qué es la Seguridad de la Información?

“Es un proceso que busca proteger la información, contra un compendio de amenazas, en pro de asegurar la continuidad del negocio, disminuir los posibles daños y maximizar el retorno de

la inversión de la organización.

La Seguridad de la Información se tiene que preocupar por crear estrategias que permitan proteger la información y el

conocimiento de la organización, bajo el control de un proceso ordenado y secuencial que muestre un indicador positivo que

refleje el aumento del nivel de seguridad.”

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.


Qué es la Seguridad Informática?

“Es un proceso continuo, donde la condición de los controles de la institución es un indicador de su

postura de seguridad”

FFIEC Information Security IT Examination Handbook, Dec, 2002.


Qué es la Seguridad Informática?

“Disciplina del conocimiento donde se busca cerrar la brecha de los eventos inesperados que puedan comprometer los activos de una organización y así contar con estrategias

para avanzar ante cualquier eventualidad.”

Jeimy Cano. Inseguridad Informática:

Un concepto dual en seguridad informática. 2004.


Preventivo

De detección

Correctivo

De Monitoreo

Concienciar los usuarios del

sistema de las políticas de uso.

Monitorización del sistema en búsqueda de manipulaciones no autorizadas.

Repara daños al

sistema atacado.

Revisiones constantes del

estado de la red y elsistema.

De Acceso Privilegios de uso del sistema.

CONTROL

July Calvo, Diego Parada, Angélica Flórez. Proyecto Diseño de la Arquitectura de Seguridad de la Red de la UPB Bucaramanga, 2008.


Qué es la Inseguridad Informática?

“Es una estrategia de reflexión y acción para repensar la seguridad informática como una

disciplina que es al mismo tiempo concepto y realidad”.

Jeimy Cano. Inseguridad Informática:



Dualismo de la Seguridad Informática

“Repensar la SI como un continuo entre técnicas de hacking y análisis de riesgos, que permita a las organizaciones aprender de sus fallas de

seguridad y fortalecer sus esquemas de seguridad, no para contar con mayores niveles de seguridad, sino para evidenciar el nivel de dificultad

que deben asumir los intrusos para ingresar a los sistemas.”Jeimy Cano. Inseguridad Informática:




“Aplicamos técnicas de seguridad

informática para reducir los riesgos

e implementar controles,

Vemos como podemos saber qué tantas vulnerabilidades tenemos que nos hacen inseguros,

para tomar medidas correctivas.”

Jeimy Cano. Inseguridad Informática: Un concepto dual en seguridad informática. 2004.

o



“Cuando ocurre una falla de seguridad las personas se vuelven mas experimentadas y

saben qué hacer.”

“Sistemas mal diseñados (pensamiento natural en SI) no están preparados para fallar

(pensamiento dual en inseguridad informática).

Jeimy Cano. Inseguridad Informática: Un concepto dual en seguridad informática. 2004.


Estándares de Seguridad Informática ISO/IEC 27002:2005 (Antes 17799) Information Security –

Security Techniques – Code of practice for informationsecurity management.◦ Hace recomendaciones sobre los controles.◦ No establece requisitos que al cumplirse pudiese certificarse.

ISO/IEC 27001:2006: Information Security – Security Techniques – Information Security Management Systems –Requirements.◦ Planificar-Hacer-Verificar-Actuar◦ Establecer, implementar, operar, hacer seguimiento, revisar,

mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI)


IT Governance, Risk and Compliance


Reflexión…

“Today, enterprises are acknowledging that a mishmash of technologies and processes

working in silos inevitably leads to inefficiency, increased costs and present higher risks to the

organization”.

Khalid Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining disciplines for better enterprise security.


RISK MANAGEMENT STRATEGIESIT Governance, Risk Management y Compliance

• IT governance establishes decision structures and tracking mechanisms.

– ¿Cómo se toman las decisiones?

– ¿Quién toma las decisiones?

– ¿Quien mantiene la contabilidad?

– ¿Cómo los resultados de las decisiones son medidas y monitorizadas?




• IT risk management helps mitigate adverse effects and identifies opportunities.

– Adaptación al cambio en las necesidades del negocio.

– Una arquitectura tecnológica debe soportar los cambios con flexibilidad, automatización y eficiencia.




• IT compliance establishes and monitors IT controls.

– Código de buenas prácticas

– Responsabilidades corporativas

– Cumplimiento regulatorio y legal



Modelo de Administración de la Inseguridad Informática

Jeimy Cano. Administrando la Inseguridad Informática. Abril, 2007.

Arquitectura de seguridad

Expectativas Corporativas

Objetivos del Negocio

Infraestructura de seguridad

Cultura de Seguridad

Estándares y Buenas Prácticas

Configuración y Adecuación

Prácticas de Seguridad

Informática

Procedimientos de Operación

NIVEL ESTRATÉGICO

NIVEL OPERACIONAL

NIVEL TÁCTICO


Modelo de Arquitectura de Seguridad de la Información -

MASI


¿Qué es Arquitectura de Seguridad Informática?

“Organización lógica para los procesos, estructuras y acuerdos de una corporación

que reflejan la integración y regulación de los requerimientos del modelo operacional de la

misma”

Jeimy Cano, PhD.


¿Qué es Arquitectura de Seguridad Informática?

“Correlación de los elementos que permiten diseñar y construir un esquema gerencial que: organice, administre y gestione los procesos de la organización, bajo los fundamentos de

las buenas prácticas de la SI alineados con las expectativas de la Alta Gerencia.”

July Calvo, Diego Parada, Angélica Flórez. Proyecto Metodología para la implementación del Modelo de Arquitectura de Seguridad de la Información (MASI), 2010.


MASI


• Formulación de la expectativas del negocio

• Lineamientos generales de la ASIEstratégico

• Instrumentalización de la ASI a través de estándares y normasTáctico

• Definición del comportamiento de los actores del negocio (usuarios, alta gerencia, clientes, proveedores, entre otros) en la ejecución de sus funciones, detallando el cómo se realizan los procesos definidos en la ASI.

Operacional


Modelo Arquitectura de Seguridad de

la Información (MASI)


Arquitectura de Seguridad de la Informacion

Negocio

Marco normativo de seguridad de la

informaciónGestión de la

Arquitectura de Seguridad de la

Inforemación Acuerdos

Infraestructura de Seguridad de la

Información


Método de MASI• Conocer el Negocio:

– conocimiento detallado de las expectativas del negocio respecto a la SI.

• Definir el Marco Normativo de SI: – plasmar en documentos las expectativas de la Alta Gerencia, así como los compromisos que

deberán ser adquiridos por los actores para dar cumplimiento a éstas.

• Gestión de la Arquitectura: – Identificar las oportunidades de mejora de la ASI, es decir, evaluar si la ASI está alineada con los

elementos del MASI, los actores y los procesos de negocio.

• Definir los acuerdos: – establecer las estrategias de comunicación entre el Área de seguridad de la información y la Alta

Gerencia.

•

• Establecer la Infraestructura de Seguridad: – las medidas de protección existentes en las tecnologías de la información implantadas en los

diferentes sistemas de información de la organización, permitiendo mitigar los riesgos relacionados con la confidencialidad, integridad y disponibilidad de la información.



MASI: Negocio


Negocio

Plan de Desarrollo

Balanced Scorecard

Metas

Visión

Misión


MASI: Marco normativo de la SI



información

Marco Normativo

Política

Directrices

Normas

Procedimientos

Normativa Corporativa


MASI: Marco normativo de la SINORMATIVA DE LA SI



información


MASI: Gestión de la Seguridad


Gestión de la Arquitectura de Seguridad

Análisis de Riesgo

Observación y Atención a Incidentes

Evaluación y Revisión

Entrenamiento

Actualización

Mantenimiento

Gestión de la Arquitectura de Seguridad de la

Inforemación


MASI: Acuerdos

Determinan

Prioridades

Competencias y Habilidades

Nivel de Compromiso

Nivel de Inversión

Alinear la agenda interna

Físicas

Lógicas

Administrativas


Acuerdos


MASI: Infraestructura de Seguridad



Estudio de Caso: Política y Directrices de SI de la Universidad

de la Excelencia - UE


Estudio de Caso Análisis de Riesgos y Políticas de SI.ppt

Conclusiones (1)

Recomendación a la alta gerencia y a los profesionales del área de tecnología: hacer de

la seguridad de la información parte fundamental en el negocio, que les permita

ofrecer sus mejores oficios en el desarrollo de estrategias para la protección de los recursos

informáticos y la información.


Conclusiones (2)

Los profesionales que trabajamos en seguridad de la información, ¿qué tanto estamos

proponiendo y generando para que la alta gerencia se preocupe por lo temas de

seguridad?.


Conclusiones (3)

La arquitectura de seguridad de la información debe ser dinámica, de tal manera que cambie a medida que el negocio lo hace, y debe ser flexible permitiendo autoevaluación y ajuste de acuerdo a los cambios e inconvenientes

encontrados.


Conclusiones (4)

Los profesionales de TI, ¿cómo estamos “vendiendo” el concepto de seguridad de la

información y la importancia del mismo en el proceso del negocio?.


Referencias• CALVO, July. PARADA, Diego. Metodología para la implementación del Modelo de Arquitectura de Seguridad de la Información (MASI), 2010.

Directora: Angélica Flórez Abril.

• CALVO, July. PARADA, Diego. Diseño de la Arquitectura de la Red de la Universidad Pontificia Bolivariana Seccional Bucaramanga, 2008. Directora: Angélica Flórez Abril.

• CANO, Jeimy. Arquitecturas de Seguridad Informática:Entre la administración y el gobierno de la Seguridad de la Información. En: SEMINARIO DE ACTUALIZACION EN SEGUIDAD INFORMATICA. (2008: Bucaramanga). Documento Modulo I Seminario de Actualización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 28.

• CANO, Jeimy. InSeguridad Informática: Un concepto dual en Seguridad Informática [Colombia]: Junio de 2004. Disponible en Web: http://www.acis.org.co/fileadmin/inseg-inf.pdf.

• Khalid, Kark. RISK MANAGEMENT STRATEGIES. IT GRC: Combining disciplines for better enterprise security. Disponible en Web: http://searchsecurity.techtarget.com/tip/0,289483,sid14_gci1294206,00.html.

• MINISTERIO DE ADMINISTRACIONES PÚBLICAS, España Metodología Magerit. Madrid: http://www.csi.map.es/csi/pg5m20.htm, 2005.

• CARVAJAL, Armando. Fundamentos de la Seguridad de la Información. En: ESPECIALIZACION EN SEGURIDAD INFORMATICA. (2008: Bucaramanga). Documento Modulo II Especialización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 69.

• ALMANZA, Andrés. Seguridad en Redes y Sistemas Operativos. En: ESPECIALIZACION EN SEGURIDAD INFORMATICA. (2007: Bucaramanga).Documento Modulo III Especialización en Seguridad Informática. Bucaramanga: Facultad de Ingeniería Informática, 2008, p 231.

• ALVAREZ, Juan Rafael. Arquitectura de Seguridad [Medellín, Colombia]: Diciembre 11 de 2003. Disponible en Web: http://www.fluidsignal.com/index.php?option=com_content&task=view&id=55&Itemid=107#20031112.

• ACOSTA, Mario. Estado actual de la Seguridad Informática en ITSON [Sonora, Mexico]: junio de 2006. Disponible en Web: http://www.amereiaf.org.mx/4reuniondeverano/VIERNES_Seguridad_de_TI_en_ITSON_2006.pdf.

• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro I Método”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf.

• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro II Catalogo de Elementos”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/catalogo_v11_final.pdf.

• Ministerio de administraciones públicas “Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información Libro III Guía de Técnicas”, [España], 2005. Disponible en Web: http://www.csi.map.es/csi/pdf/magerit_v2/tecnicas_v11_final.pdf.

• Information Security Management Cuarta Edición, Harold F. Tipton, Micki Krause AUERBACH, 1999.


http://www.acis.org.co/fileadmin/inseg-inf.pdf



http://www.fluidsignal.com/index.php?option=com_content&task=view&id=55&Itemid=107

http://www.amereiaf.org.mx/4reuniondeverano/VIERNES_Seguridad_de_TI_en_ITSON_2006.pdf

http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf

http://www.csi.map.es/csi/pdf/magerit_v2/catalogo_v11_final.pdf

http://www.csi.map.es/csi/pdf/magerit_v2/tecnicas_v11_final.pdf

Modelo de Arquitecrtura de Seguridad de la Información - MASI

Angélica Flórez Abril, MSc.

Universidad Pontificia BolivarianaBucaramanga, Colombia

Octubre, 2011

MUCHAS GRACIAS!!!!Angélica FA- All rights reserved

creación de una cultura de seguridad informá · pdf filesistema de las...

Documents