Seguridad de Ia información

Seguridad de la información basada en ISO 27001:2013

La seguridad de la información y las politicas de seguridad son un componente crítico de la
estrategia de  negocio de cualquier organización. Nuestros servicios de seguridad de la
información le permiten identificar los riesgos asociados a la información dentro de su
organización, definir políticas y procedimientos de acuerdo a los requerimientos de su negocio,
identificar las herramientas de tecnología que apoyen las políticas y controles e implementar un
plan de concientización y entrenamiento a los usuarios de acuerdo a los roles dentro de la
organización. La seguridad de la información debe ser un proceso integral, que garantice
protección tanto de los aspectos físicos, lógicos e involucre el factor humano. En otras palabras un
manejo unificado en contra de las amenazas.

Para el desarrollo de los servicios de seguridad utilizamos estándares y recomendaciones de las
mejores prácticas tales como: ISO 27001. Tambien con la idea de hacer el servicio de seguridad
de la informacion mas tangible se incluye instalado y configurado de acuerdo a las politicas de
seguridad un UTM, IPS, CFS  TZ-150 Sonicwall.

Descargar Brochure  TZ-150 Sonicwall

Evaluación de Riesgos

La evaluación de riesgos identifica las amenazas, vulnerabilidades, y riesgos de la información
sobre la plataforma tecnológica de una organización, con el fin de generar  un plan de
implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios
de disponibilidad, confidencialidad e integridad de la información.

La evaluación cubre los siguientes aspectos:

     Evaluación con respecto a la norma ISO 27001 (Gap Analysis)
     Administración de la seguridad de la información.
     Pruebas de penetración (Qualys)
     Redes de Comunicaciones.
     Telefonía.
     Bases de Datos.
     Sistemas Operativos (Herramienta Qualys)
     Aplicaciones.(Recomendaciones sobre desarrollos seguros)
     Metodología de desarrollo
     Cumplimiento ISO 17799-27001 (Dominios ISO 27001)
     Lista de verificación.
     Firewalls.



















GFI Languard Scanner: Análisis de vulnerabilidades en Windows y Linux pdf
Descargar: Metodologia analisis de riesgo pdf
Mejores Practicas de Seguridad PPT
Metodología analisis de vulnerabilidades
Auditoría de  redes Inalámbricas.

El número de redes inalámbricas aumenta cada día por los beneficios que proveen a las organizaciones, sin embargo no se tienen en cuenta los riesgos inherentes a esta tecnología en
su implementación.

El servicio de Auditoria de redes inalámbricas,  identifica las vulnerabilidades con los riesgos
correspondientes y define un plan de acción de los controles para mitigar dichos  riesgos.


Auditoría de Seguridad ISO 27001, CIRCULAR 052 Y PCI

El servicio de Auditoria o preauditoría de seguridad evalúa el  sistema de información  identifica
vulnerabilidades y practicas no recomendadas.

Los entregables del servicio incluyen un reporte con las vulnerabilidades, riesgos encontrados y
las acciones para reducirlos. Este servicio verifica el cumplimiento de acuerdo a lo definido en ISO
27001, CIRCULAR 052 Y PCI y sirve de apoyo en la obtención de la certificación ofrecida por
Icontec o PCI.

El consorcio PCI fue formado  by American Express, Discover Financial Services, JCB, MasterCard
Worldwide y  Visa International en Sept. 7, 2006. PCI DSS quiere decir Payment Card Industry Data
Security Standard y busca  proteger la información de los usuarios y luchar contra la suplantación y
otros fraudes que se producen en Internet sobre las transacciones electrónicas.

Documento:  Auditoría PCI

Por otra parte, el servicio de Auditoria de la seguridad Circular 052 identifica los controles sobre los
cuales no se tiene cumplimiento al momento de la realización de la auditoría. Se busca en este
proceso identificar de manera concisa y veraz si se está cumpliendo con el modelo de seguridad
alineado directamente con los controles establecidos por la circular 052. Una vez realizado este
estudio, es decir, la identificación de los controles sin soporte, se debe generar entonces un
reporte de cumplimiento para que se tomen las medidas correctivas adecuadas de acuerdo a un
plan de acción definido y aprobado por las directivas

Documento: Auditoría Circular 052
Documento: Herramienta de Auditoría PCI
Documento: Cuestionario infraestructura
Declaracion de aplicabilidad


Definición de Políticas, Procedimientos y Estándares  de Seguridad de la Información.

Se entiende por política, las reglas generales de comportamiento definidas para la interacción
entre los usuarios y los activos informáticos. Las políticas son independientes de los ambientes
propios de la entidad y representan la base de un modelo de seguridad.

Las Políticas de seguridad dependen de la cultura de la organización. Por esta razón las políticas y
procedimientos deben estar hechos a la medida, según los requerimientos específicos de cada
organización. Para la definición de las políticas y procedimientos se realiza un proceso de
validación  en conjunto con la organización con el fin  de generar políticas y procedimientos que se
ajusten a esta. Como punto de partida para la definición de las políticas se tendrá como referencia
el análisis de riesgo realizado, los controles del ISO 1 7799/ISO 27001.

Las políticas cubrirán los siguientes temas:

Seguridad en la Organización:

    o Roles y Responsabilidades de Seguridad de la Información
    o Políticas para la conexión con terceros.

Clasificación de la Información:

    o Importancia de la información según la organización.

Seguridad en el recurso Humano:

    o  Responsabilidades de seguridad de la información para los diferentes cargos.
    o  Entrenamiento a empleados en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo.

Seguridad Física:

    o Seguridad ambiental
    o Control de Acceso físico.

Administración de las operaciones de cómputo y comunicaciones.

    o Políticas sobre el  uso del correo electrónico
    o Políticas sobre el  uso de Internet.
    o Políticas sobre el uso de recursos.

Control de Acceso.
Desarrollo y mantenimiento de Sistemas.
Continuidad de Negocio.
Conformidad con leyes civiles, legales y contractuales.

Las políticas constan de:

  1. Audiencia
  2. Introducción
  3. Definiciones
  4. Objetivo
  5. Enunciado de la Política
  6. Políticas  y Procedimientos relacionados
  7. Roles y responsabilidades
  8. Violaciones a la política

El servicio le ofrece a su organización  los siguientes beneficios:

Definición de las políticas de seguridad de acuerdo a los objetivos y requerimientos de su
negocio.
Estandarización de todos los sistemas de cómputo y comunicaciones dentro de su red.
Information Security Policies Made Easy por el experto en seguridad Consultor  Charles
Cresson Wood, CISA, CISSP, La Versión 10 incluye una colección de  1360+ Políticas de
seguridad usadas por el  70% de los  Fortune 100.

Definición de Procedimientos de Seguridad

Los procedimientos son la descripción detallada de la manera como se implanta una política. El
procedimiento incluye todas las actividades requeridas, los roles y responsabilidades de las
personas encargadas de llevarlos a cabo.

Los procedimientos a definir son los siguientes:

Administración de cuentas de usuario.
Manejo de Incidentes
Manejo de Virus
Administración de cuentas privilegiadas.
Procedimiento de Control de Cambios.
Procedimiento de Acceso al edificio.
Procedimiento de acceso al centro de Cómputo.
Procedimiento de respaldo

Definición de estándares de seguridad

Es la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar incluido en una política o procedimiento.

Algunos de los principales estándares a definir son:

Longitudes de contraseñas
Histórico de contraseñas
Eventos a registrar en logs
Estándares de seguridad en Switches
Estándares de seguridad Routers
VPN
Sistemas Operativos
DESCARGAR: Estándares de seguridad Firewall

Diseño de Arquitectura de Seguridad.

La arquitectura de seguridad, debe ser el resultado de un proceso que considere las diferentes vulnerabilidades existentes en un sistema de información. Por otro lado una de sus entradas es la matriz de riesgo
realizada durante el proceso anteriormente descrito. Utilizando esta información la arquitectura de seguridad debe
definir los elementos tanto de software como de hardware,  que integrados adecuadamente permitan realizar el
proceso de mitigación de posibles impactos sobre la infraestructura de información.   En otras palabras la
arquitectura de seguridad debe considerar la utilización de los siguientes elementos:

Control de Acceso Biométricos.
IPS.
Monitoreo Ambiental.
Detección de Intrusos Fisicos.
Manejo de Ancho de Banda.
VPN
Firewall: Arquitectura Sonicwall.
Unified Threat Management UTM
Algoritmos de Seguridad.
Seguridad en la red.
DESCARGAR: Seguridad en el acceso remoto.

POLITICAS ISO 27001:2013

1        INTRODUCCIÓN        7
2        ALCANCE DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN        7
3        PROPÓSITOS DE LA POLÍTICAS        8
4        ROLES Y RESPONSABILIDADES        8
5        VIOLACIONES A LA POLÍTICA        8
6        REVISIÓN DE LA POLÍTICA        8
7        TÉRMINOS Y DEFINICIONES  UTILIZADOS EN ESTE DOCUMENTO        8
8        DOMINIOS DE ISO 27001        10
9        POLÍTICAS        11
9.1        Política de Seguridad        11
9.2        Organización de la seguridad de la información        12
9.2.1        Organización Interna        12
9.2.1.1        Compromiso de la gerencia con la Seguridad de la Información        12
9.2.1.1.1        Funciones del Comité de Seguridad de la información        12
9.2.1.2        Coordinación de la Seguridad de la Información        13
9.2.1.3        Asignación de responsabilidades para la Seguridad de la Información        13
9.2.1.3.1        Oficial de Seguridad        14
9.2.1.3.2        Comité de seguridad        14
9.2.1.3.3        Dueños de la Información        14
9.2.1.3.4        La gerencia        14
9.2.1.3.5        Empleados        14
9.2.1.3.6        Contratistas, proveedores y terceros        14
9.2.1.3.7        Administradores de los sistemas        15
9.2.1.4        Autorización para nuevos servicios de procesamiento de la Información        15
9.2.1.5        Acuerdos de confidencialidad        16
9.2.1.6        Contactos con las autoridades        16
9.2.1.7        Contactos con grupos de interés        16
9.2.1.8        Revisión independiente de la Seguridad de la Información.        16
9.3      
  Gestión de los activos de información        17
9.3.1        Responsabilidad por los activos        17
9.3.1.1        Inventario de Activos        17
9.3.1.2        Propiedad de los activos        18
9.3.1.3        Uso aceptable de los activos        19
9.3.1.3.1        Escritorios libres en horas no laborales        19
9.3.1.3.2        Escritorios libres en horas habituales de trabajo        19
9.3.1.3.3        Manejo de Información en horario laboral        19
9.3.1.3.4        Áreas Desatendidas        19
9.3.1.3.5        Almacenamiento de Información sensitiva o confidencial        19
9.3.1.3.6        Apagado y bloqueo de Estaciones de Trabajo        19
9.4       
 Seguridad del Recurso Humano        20
9.4.1        Antes de la contratación laboral        20
9.4.1.1        Roles y responsabilidades        20
9.4.1.2        Selección        20
9.4.1.3        Términos laborales        20
9.4.2        Durante la vigencia de la contratación laboral        20
9.4.2.1        Responsabilidades de la gerencia        21
9.4.2.2        Entrenamiento, educación y formación        21
9.4.2.3        Proceso disciplinario        23
9.4.3        Terminación o cambio de la contratación laboral        23
9.4.3.1        Responsabilidades en la terminación        23
9.4.3.2        Devolución de activos        24
9.4.3.3        Retiro de los derechos de acceso        24
9.5        
Seguridad Física y Ambiental        24
9.5.1        Áreas seguras        24
9.5.1.1        Perímetro de seguridad física        24
9.5.1.2        Controles de seguridad física        25
9.5.1.3        Seguridad de oficinas, recintos e instalaciones        25
9.5.1.4        Protección contra amenazas externas y ambientales        25
9.5.1.5        Trabajo en áreas seguras        26
9.5.1.6        Áreas de carga, despacho y acceso público        26
9.5.2        Seguridad de los equipos        26
9.5.2.1        Ubicación y protección de los equipos        27
9.5.3        Almacenamiento de cintas de respaldo        27
9.5.3.1        Servicios de suministros        27
9.5.3.2        Seguridad del cableado        27
9.5.3.3        Mantenimiento de los equipos        28
9.5.3.4        Seguridad de los equipos fuera de las instalaciones        28
9.5.3.5        Seguridad en la reutilización o eliminación de equipos        28
9.5.3.6        Retiro de activos        29
9.6        
Gestión de comunicaciones y operaciones        30
9.6.1        Procedimientos operacionales y responsabilidades        30
9.6.1.1        Documentación de los procedimientos operativos        30
9.6.1.2        Gestión del Cambio        30
9.6.1.3        Distribución de funciones        30
9.6.1.4        Separación de ambientes        31
9.6.2        Planificación y aceptación del sistema        31
9.6.2.1        Gestión de la capacidad        31
9.6.2.2        Aceptación del sistema        31
9.6.3        Protección contra código malicioso o móvil        31
9.6.3.1        Controles contra código Malicioso        31
9.6.3.2        Controles contra códigos móviles        32
9.6.4        Respaldo        32
9.6.4.1        Respaldo de la información        32
9.6.5        Gestión de la seguridad en las redes        33
9.6.5.1        Controles de las redes        33
9.6.5.2        Seguridad de los servicios de red        33
9.6.6        Manejo de los medios        34
9.6.6.1        Gestión de los medios removibles        35
9.6.6.2        Eliminación de medios        35
9.6.6.3        Procedimiento para el manejo de la información        35
9.6.6.4        Seguridad de la documentación del sistema        35
9.6.7        Intercambio de la información        35
9.6.7.1        Políticas y procedimientos para el intercambio de información        36
9.6.7.2        Acuerdos para el intercambio        36
9.6.7.3        Mensajería electrónica        36
9.6.8        Monitoreo        36
9.6.8.1        Registro de auditorias        36
9.6.8.2        Monitoreo del uso del sistema        37
9.6.8.3        Protección de la información de los registros        37
9.6.8.4        Registros del administrador y operador        37
9.6.8.5        Registros de falla        37
9.6.8.6        Sincronización de relojes        37
9.7       
 Control de Acceso        38
9.7.1        Requisitos del negocio para el control de acceso        38
9.7.1.1        Política de control de acceso        38
9.7.2        Gestión de acceso de los usuarios        38
9.7.2.1        Registro de usuarios        38
9.7.2.2        Gestión de privilegios        38
9.7.2.3        Gestión de contraseñas para usuarios        38
9.7.2.4        Revisión de los derechos de acceso de los usuarios        39
9.7.3        Responsabilidades de los usuarios        39
9.7.3.1        Uso de contraseñas        39
9.7.3.2        Equipo de usuario desatendido        39
9.7.3.3        Política de escritorio despejado y pantalla despejada        39
9.7.4        Control de acceso a las redes        40
9.7.4.1        Política de uso de los servicios de red        40
9.7.4.2        Autenticación de usuarios para conexiones externas.        41
9.7.4.3        Identificación de los equipos en las redes        41
9.7.4.4        Protección de los puertos de configuración y diagnóstico remoto        41
9.7.4.5        Separación en las redes        42
9.7.4.6        Control de conexión a las redes        42
9.7.5        Control de acceso al sistema operativo        42
9.7.5.1        Procedimiento de ingresos seguros        42
9.7.5.2        Identificación y autenticación de usuarios        42
9.7.5.3        Sistemas de Gestión de contraseñas.        43
9.7.5.4        Uso de las utilidades del sistema.        43
9.7.5.5        Tiempo de inactividad de la sesión        43
9.7.6        Control de acceso a las aplicaciones y a la información.        44
9.7.6.1        Restricción de acceso a la información        44
9.7.6.2        Aislamiento de sistemas sensibles        44
9.7.7        Computación móvil y trabajo remoto        44
9.7.7.1        Computación y comunicaciones móviles        44
9.7.7.2        Trabajo remoto        44
9.8        
Adquisición, desarrollo y mantenimiento de sistemas de información.        45
9.8.1        Requisitos de seguridad de los sistemas de información        45
9.8.1.1        Análisis y especificaciones de los requisitos de seguridad.        45
9.8.2        Procesamiento correcto de las aplicaciones        45
9.8.2.1        Validación de los datos de entrada        45
9.8.2.2        Control de procesamiento interno        46
9.8.2.3        Integridad del mensaje        46
9.8.2.4        Validación de los datos de salida        46
9.8.3        Controles criptográficos        46
9.8.3.1        Política sobre el uso de los controles criptográficos        46
9.8.4        Seguridad de los archivos del sistema        46
9.8.4.1        Control de software operativo        46
9.8.4.2        Protección de los datos de pruebas del sistema        47
9.8.4.3        Control de acceso al código fuente de los programas        47
9.8.5        Seguridad en los procesos de desarrollo y soporte        47
9.8.5.1        Procedimientos de control de cambios        47
9.8.5.2        Revisión técnica de las aplicaciones después de los cambios en el sistema
operativo        47
9.8.5.3      
  Restricción en los cambios a los paquetes de software        47
9.8.5.4        Fuga de información        48
9.8.5.5        Desarrollo de software contratado externamente        48
9.8.6        Gestión de la vulnerabilidad técnica        48
9.8.6.1        Control de vulnerabilidades técnicas        48
9.9        Gestión de los incidentes de la seguridad de la información        48
9.9.1        Reporte sobre los eventos y las debilidades de la seguridad de la información        48
9.9.1.1        Reporte sobre los eventos de la seguridad de la información        49
9.9.1.2        Reporte sobre las debilidades de la seguridad de la información        49
9.9.2        Gestión de los incidentes y las mejoras en la seguridad de la información        49
9.9.2.1        Responsabilidades y procedimientos.        49
9.9.2.2        Aprendizaje debido a los incidentes de seguridad de la Información        49
9.9.2.3        Recolección de evidencia        49


Dominios de la norma ISO 27001:2013

Política de seguridad: Constituye el presente documento, y es donde se estipulan las políticas con
respecto a la seguridad de la información  siguiendo los lineamientos dados por ISO 27001/17799.

Organización de la seguridad: Gestionar  la seguridad de la información dentro de X. (Roles,
compromisos, autorizaciones, acuerdos, manejo con terceros)

Gestión de activos: Se relaciona con el mantenimiento y protección apropiados de todos los
activos de información.

Seguridad del Recurso Humano: Este dominio busca asegurar que empleados, contratistas y
terceros entiendan sus responsabilidades y sean adecuados para los roles a desempeñar
minimizando los riesgos relacionados con personal.

Seguridad Física y del entorno: Busca prevenir accesos físicos no autorizados (perímetro), daños
o interferencias a las instalaciones y a su información.

Gestión de comunicaciones y operaciones: Se busca asegurar la correcta y segura operación de
las áreas de procesamiento de información (actividades operativas y concernientes a la plataforma
tecnológica).

Control de acceso: Se realiza el control físico o lógico de los accesos a los activos de la
información, incluyendo por ejemplo acceso físico a los sistemas operativos o aplicaciones.

Adquisición, desarrollo y  mantenimiento de sistemas de información: Asegurar la inclusión de
todos los controles de seguridad en los sistemas de información nuevos o en funcionamiento
(infraestructura, aplicaciones, servicios, etc.). También regula la adquisición de software para la
organización y los contratos de soporte y mantenimiento asociados a ellos.

Gestión de incidentes de seguridad: Permitir que los eventos de seguridad de la información y las
debilidades asociadas con los sistemas de información, sean comunicados de tal manera que se
tome una acción correctiva adecuada y en el momento indicado.

Gestión de la continuidad del negocio: Enfocado en reaccionar en contra de interrupciones a las
actividades de la función misional y en proteger los procesos  críticos contra fallas mayores en los
sistemas de información o desastres, y por otro lado, asegurar que se recuperen a tiempo.

Cumplimiento: Busca prevenir el incumplimiento total o parcial de las leyes, estatutos,
regulaciones u obligaciones contractuales que se relacionen con los controles de seguridad.
Preocupado por su
Información..
.

SISTESEG le puede ayudar
Su empresa cuenta con un
Sistema de Gestión de la
Seguridad SISTESEG.
La información es un activo.
Lo ayudamos a protegerlo...
Pre-Auditoría PCI          Auditoría  Circular 052