CURSO "Seguridad de la información Norma ISO 27001:2013" Servicio Local de Educación Pública Barrancas JUNIO 2021 Relator: Carlos Echeverría M. Ing Comercial y Periodista Master in Business Administration MBA Maestría en Control de Gestión INTRODUCCIÓN Y ESTANDARIZACIÓN DE CONCEPTOS BASICOS A CONSIDERAR ¿Qué es la información? Como información denominamos al conjunto de datos, ya procesados y ordenados para su comprensión, que aportan nuevos conocimientos a un individuo o sistema sobre un asunto, materia, fenómeno o ente determinado. ... El aprovechamiento que hagamos de la información, en este sentido, es la base racional del conocimiento. La información en la Organización Se entenderá como: Todo el conjunto de datos. Todos los mensajes intercambiados. Todo el historial de clientes y proveedores. Todo el historial de productos, ... etc. En definitiva, el know-how de la organización. Si esta información se pierde o deteriora, le será muy difícil a la empresa recuperarse y seguir siendo competitiva bajo una efectico políticas de seguridad. Importancia de la información El éxito de una empresa dependerá de la calidad de la información que genera y gestiona. Diremos entonces que una empresa tiene una información de calidad si ésta presenta, entre otras características: confidencialidad, integridad y disponibilidad. La implantación de unas medidas de seguridad informática en la empresa comienza a tener un peso específico en este sector sólo a finales de la década pasada. Vulnerabilidad de la información La información (datos trabajados) se verá afectada por muchos factores, incidiendo básicamente en los aspectos de confidencialidad, integridad y disponibilidad de la misma. Desde el punto de vista de la organización, uno de los problema más importantes puede ser el que está relacionado con el delito o crimen informático, por factores externos e internos. Disminuir las vulnerabilidades Esto se verá agravado por otros temas, entre ellos los aspectos legales y las características de los nuevos entornos de trabajo de la empresa del siglo XXI. Solución Política 1 Política 2 La solución es sencilla: aplicar técnicas y políticas de seguridad... Política 3 Política 4 ... sólo ahora el tema comienza a tomarse en serio. Acciones contra los datos Una persona no autorizada podría: Clasificar y desclasificar los datos. Filtrar información. Alterar la información. Borrar la información. Usurpar datos. Hojear información clasificada. Deducir datos confidenciales. Deberemos proteger nuestros datos Protección de los datos La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups: Copia de seguridad completa Todos los datos (la primera vez). Copias de seguridad incrementales Sólo se copian los ficheros creados o modificados desde el último backup. Elaboración de un plan de backup en función del volumen de información generada Tipo de copias, ciclo de esta operación, etiquetado correcto. Diarias, semanales, mensuales: creación de tablas. Protección de los datos La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups: Copia de seguridad completa Todos los datos (la primera vez). Copias de seguridad incrementales Sólo se copian los ficheros creados o modificados desde el último backup. Elaboración de un plan de backup en función del volumen de información generada Tipo de copias, ciclo de esta operación, etiquetado correcto. Diarias, semanales, mensuales: creación de tablas. Sistema de Seguridad de la Información concepto de la Super de Educación El Sistema de Seguridad de la Información (SSI) es la forma en que la Superintendencia diseña, implementa y mantiene conjunto de políticas y procedimientos que permite gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información basado en la norma chilena NCH ISO 27001:2013. La implementación de un SGSI contribuye significativamente a mitigar el impacto de los riesgos generados tanto al interior como fuera de la institución, a los que están sometidos los activos de información institucional tales como: documentos en papel y digitales; bases de datos; enlaces de terceros; datacenter; soporte de almacenamientos; elementos de infraestructura; procesos y personas. El SGSI es entendido como un proceso continuo, que permite homogeneizar criterios de seguridad y preservar los activos de información institucional. Las Políticas de responsabilidad y Seguridad de la Información para el MINEDUC RESPONSABILIDAD DEL MINEDUC POR USO DE DATOS. El Ministerio de Educación adoptará las medidas técnicas y administrativas que sean necesarias, para otorgar seguridad a los registros de datos personales evitando su adulteración, pérdida, uso o acceso no autorizado o fraudulento, según los requerimientos que establezca la normativa vigente. El Ministerio de Educación y los funcionarios que intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados guardar confidencialidad respecto de los mismos y asumirán el deber de resguárdalos; obligaciones que subsistirán aun después de finalizar sus relaciones con el Ministerio. Los datos entregados por los usuarios de www.mineduc.cl serán administrados exclusivamente por personal del Mineduc, evitando usos indebidos, alteración o entrega a terceros. Uso de la información Dato personal: el relativo a cualquier información concerniente a personas naturales, identificadas o identificables (artículo 2º, letra f) Ley 19.628 de Protección de Datos Personales. Datos sensibles: corresponden aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como: • Origen racial, en Mineduc identificados como Etnia o Nacionalidad. • Ideología y opiniones políticas • Creencias religiosas • Estados de salud físicos y psíquicos. Casos de interés para la Subsecretaría de Educación tiene relación con situaciones de embarazo de estudiantes, nivel de discapacidad, este último relacionado con PIE, que es una subvención para alumnos que requieren de educación especial. • La vida sexual. • Necesidades educativas especiales, modalidad del sistema educativo orientada a asegurar el aprendizaje a niños, niñas, jóvenes y adultos con necesidades educativas especiales. DERECHOS USUARIOS: El Usuario podrá en todo momento ejercer los derechos otorgados por la ley Nº 19.628 sobre protección de la vida privada y sus modificaciones posteriores. En específico, podrá: Tener acceso a los datos relativos a su persona, su procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos se hayan transmitido; Solicitar se modifiquen sus datos personales cuando ellos no sean correctos o no están actualizados. Solicitar la eliminación o cancelación de los datos entregados cuando así lo desee, en tanto hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Para ejercer sus derechos el Usuario podrá dirigirse a consultas@mineduc.cl indicando claramente su solicitud. HERRAMIENTAS PRACTICAS DE ESTANDARIZACION SEGURIDAD DE LA INFORMACIÓN ITIL (Information Technology Infrastructure Library) Un compendio de mejores prácticas MAGERIT una metodología práctica para gestionar riesgos y la serie de normas ISO 27000, que reúne todas las normativas en materia de seguridad de la información. Es importante resaltar que a diferencia de las anteriores ITIL no es una norma certificable para las empresas, sino que es un conjunto de guías para que las empresas gestionen de la mejor manera sus activos de información. Lo que si comparte ITIL con otros estándares como los relacionados con ISO 27000, es que tiene como base el modelo de mejora continua, que plantea que toda gestión debe iniciar con una planeación la cual debe servir para ejecutar las actividades diarias de una organización. Estas actividades deben ser medidas y controladas con el objetivo de obtener la información necesaria que permita mejorarlas y volver a hacer una planeación que tenga en cuenta el real funcionamiento de la empresa. Lo que busca ITIL entonces es plantear un modelo de referencia en el cual las áreas de TI son áreas que brindan apoyo al cumplimiento de los objetivos del negocio. Por lo tanto incorpora para las áreas encargadas de la administración de los activos tecnológicos de la compañía una filosofía que está asociada con la prestación de servicios de tecnologías y no solamente con la administración de servidores, bases de datos, equipos y demás dispositivos y aplicaciones que están en un área de TI. Este cambio en la forma de administración de los activos de información en una empresa plantea que la función de TI sea entendido de otra forma, en la cual se debe tener en cuenta que además del hardware existen personas que son quienes lo utilizan y lo necesitan para cumplir con sus actividades y así garantizar que el negocio funcione. Por ejemplo, para la gestión de las conexiones a Internet el área de TI puede estar tentada a limitar la navegación para garantizar la seguridad de la información. Si bien esta puede ser una práctica que garantice un alto nivel en la seguridad de la información, puede no ser lo más óptimo para que los usuarios realicen sus tareas pues seguramente muchos empleados necesiten navegar en Internet para buscar información. Precisamente la necesidad que puede suplir la adopción de ITIL es lograr que tanto los empleados, la tecnología y los procesos, que se ejecutan en el día a día, se encuentren alineados para cumplir los objetivos del negocio, todo esto garantizando los adecuados niveles de servicio y obviamente la seguridad de la información IMPLEMENTANDO CONTROLES DE IT EFECTIVOS Los controles de IT son componentes principales para proteger los activos de información. Veamos cómo clasificarlos para utilizarlos en cualquier industria. Las últimas décadas han marcado un gran desarrollo de numerosas tecnologías, que hacen necesario al mismo tiempo el aumento constante de las medidas de seguridad, intentando contrarrestar las amenazas a las que están expuestos los activos de información. En este contexto, definiremos a los controles de IT, es decir, en el mundo de las Tecnologías de la Información, y cómo clasificarlos de modo general para utilizarlos en cualquier tipo de industria. ¿Qué son los controles en IT? Los controles son los principales componentes que se deben tener en cuenta a la hora de pensar, desarrollar e implementar una estrategia de protección de los activos de información. Su naturaleza es muy variable y está vinculada a garantizar su efectividad, sin ser costosos ni restrictivos para las actividades del negocio. De este modo, un control podrá ser un dispositivo físico (un sensor biométrico como vemos en la siguiente imagen, o una llave USB) pero también podrá ser un procedimiento o una metodología. MODELO DE SEGURIDAD DE LA INFORMACION Todos los modelos actuales de seguridad de la Información, están enmarcados en COBIT (Control Objectives for Information and Related Technology), el modelo de buenas prácticas aceptado internacionalmente para el control de la información. Define el objetivo del mismo, expresando que un control es la declaración del resultado o propósito deseado que se alcanzará mediante la implementación de procedimientos en una determinada actividad de IT. A continuación veremos cómo aplicar distintos controles de forma efectiva. Defensas por niveles La defensa en distintos niveles es muy efectiva a la hora de comenzar a planear una estrategia de arquitectura de seguridad de la información. De esta forma, las capas deben estar diseñadas de tal modo que al fallar alguna no provoque el fallo de la contigua sino que ayude a neutralizar el incidente. La cantidad de estratos dependerá de la criticidad de los activos protegidos y la fortaleza de las defensas intentando no contrarrestar las funcionalidades del negocio. Como ejemplo, podemos considerar el caso de controles en las distintas capas del modelo OSI que ayudan a fortalecer las barreras de seguridad dentro de una red. Otros controles que no se vinculan al mundo IT A estos requerimientos normalmente se los vincula con la seguridad física, es decir, con el manejo y almacenamiento de la información de forma segura. Un ejemplo muy claro son las copias de seguridad con su respectivo rótulo, y el lugar físico en donde se las retiene. Un grave incidente de seguridad podría ocurrir si un atacante por medio de Ingeniería Social tiene acceso a estas copias robando o destruyendo así este tipo de información. Contramedidas Las contramedidas son las medidas de protección que reducen el nivel de vulnerabilidad a las amenazas, y por este motivo son consideradas controles dirigidos. De este modo, el ataque no sería evitado, sino que no sería efectivo. Pueden actuar de forma activa o pasiva, aunque normalmente son menos restrictivas que los controles en general. Como es de esperarse, en el mundo de las tecnologías de la información, para mitigar distintos incidentes es vital la combinación de políticas, estándares, educación y diversos procedimientos de seguridad. Aplicados de una manera correcta, conllevarán a una mayor protección de los activos de información. A continuación demostraremos dos escenarios que serán de gran ayuda para entender los conceptos explicados: Cuando trabajemos sobre la “Prevención de incidentes” debemos abarcar políticas y procedimientos vinculados a la autentificación, autorización, cifrado, seguridad física, concientización, escaneo de vulnerabilidades y códigos maliciosos. En contraste, cuando trabajemos sobre controles en la “Reacción ante incidentes”, debemos profundizar sobre políticas en tiempos de respuesta, equipos de respuesta, procedimientos ante un incidente y mecanismos de seguridad adicionales… Conclusión Estos son algunos ejemplos que podrían ser útiles a la hora de pensar o repensar una estrategia global en la arquitectura de los sistemas, y detallan los puntos críticos en los que se deberá implementar controles multicapa. Así, será posible garantizar con mayor solidez el resguardo y la seguridad de la información.