La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

IMPLANTACIÓN DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN Alberto G. Alexander, Ph.D, CBRP Auditor Sistemas de Gestión de Seguridad.

Presentaciones similares


Presentación del tema: "IMPLANTACIÓN DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN Alberto G. Alexander, Ph.D, CBRP Auditor Sistemas de Gestión de Seguridad."— Transcripción de la presentación:

1 IMPLANTACIÓN DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN Alberto G. Alexander, Ph.D, CBRP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors)

2 2 ¿Su base de datos está protegida de manos criminales? ¿Los activos de su empresa han sido inventariados y han sido inventariados y tasados? tasados?

3 5 El personal de la Universidad Católica ha recibido el día de hoy un mail indicando actualizar sus datos a una página web del banco BBVA Banco Continental, la cual es falsa. Informamos que si bien el banco suele enviar correos siempre es a titulo personal y por temas puntuales y con la siguiente dirección: Si usted ha recibido esta comunicación no ingrese ningún dato, y si lo ha hecho deberá comunicarse a la brevedad a los teléfonos , , fax , teléfonos internos de la PUCP anexos 3046, Atentamente Dirección de Administración Oficina de Relaciones Laborales

4 Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 billones de dólares por ataques computarizados en 1998 –más del triple que en No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. Si te levantas a la secretaria ganaste, dice Dill Dog. (Famoso hacker). 3 Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003).

5 El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela afirman que en el año 1997 las pérdidas por concepto de clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los clonadores capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados, skimming de tarjetas. (Cielorojo/computación 19/01/04). 4

6 La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. 5

7 El nuevo estándar internacional, el ISO 27001:2005, está orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información en las empresas, de amenazas externas o internas. HISTORIA DEL ESTÁNDAR BS 7799 E ISO Grupo de trabajo de la industria se establece en 1993 Código de práctica British standard BS 7799 parte 1 y parte 2 revisada en 1999 BS 7799 parte BS 7799 parte BS / ISO / IEC –

8 ISO / IEC : 2005 Código de práctica de seguridad en la gestión de la información – Basado en BS 7799 – 1 : Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información.Es utilizado para la certificación 7

9 8 La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente. ISO 17799:2005

10 9 La seguridad de información se caracteriza por la preservación de: a)CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. b)INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. c)DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. Seguridad de información es mucho más que establecer firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los backups.

11 10 NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN

12 11 PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI MANTENER Y MEJORAR EL SGSI MONITOREAR Y REVISAR EL SGSI PLAN DO CHECK ACT 4.3 Requerimientos de documentación Control de documentos Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos Provisión de recursos Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva Desarrollar, mantener y mejorar el ciclo

13 12 CLÁUSULAS ACTIVIDADES ORGANIZACIONALES Establecer el SGSI (Sección 4.2.1) a)Definir el alcance del SGSI b)Definir un sistemático enfoque para evaluación del riesgo c)Identificar el riesgo d)Evaluar el riesgo e)Definir política SGSI f)Identificar y evaluar opciones para el tratamien- to del riesgo g)Seleccionar objetivos de control y controles h)Preparar un enunciado de aplicabilidad i)Obtener aprobación de la gerencia

14 13 CLÁUSULAS ACTIVIDADES ORGANIZACIONALES Implementar y operar el SGSI (Sección 4.2.2) a)Formular un plan para tratamiento del riesgo b)Implementar el plan de tratamiento del riesgo c)Implementar todos los objetivos de control y controles seleccionados d)Implementar programa de entrenamiento y toma de conciencia e)Gestionar operaciones f)Gestionar recursos

15 14 CLÁUSULAS ACTIVIDADES ORGANIZACIONALES Monitorear y revisar el SGSI (Sección 4.2.3) a)Ejecutar procedimientos de monitoreo b)Efectuar revisiones regulares de la eficacia del SGSI c)Revisar el nivel del riesgo residual y del riesgo aceptable d)Conducir las auditorias internas del SGSI e)Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Mantener y mejorar el SGSI (Sección 4.2.4) a)Implementar las mejoras identificadas b)Tomar apropiadas acciones correctivas y preventivas c)Comunicar los resultados a todas las partes interesadas d)Asegurar que las mejoras alcancen los objetivos deseados

16 15 Entendimiento de los requerimientos del modelo (1) Determinación del Alcance del modelo (2) Análisis y evaluación del riesgo (3) Elaboración Plan de Gestión de Continuidad Comercial (4) Implementar y operar el SGSI (5) Monitorear y revisar el SGSI (6) Mantener y mejorar el SGSI (7) Desarrollo de competencias organizacionales (8) Redacción del Manual de Seguridad de Información (9) Ejecución de Auditorias Internas (10) Obtención de la Certificación Internacional (11)

17 16 Entendimiento de los requerimientos del modelo PASO I Determinación del alcance Informe a la gerencia PASO II Taller estratégico con la gerencia para analizar requerimientos del modelo ISO 27001:2005 Definir alcance del modelo PASO III Análisis y evaluación del riesgo Efectuar un análisis y evaluación del riesgo Evaluación del riesgo -Amenazas, -Vulnerabilidades -Impactos Política de seguridad Definir la política de seguridad Diseño del Alcance Método de las elipses

18 17 Plan de continuidad comercial del negocio Evaluar las opciones para el tratamiento del riesgo Identificar opciones Plan de continuidad comercial documentado Seleccionar controles y objetivos de control a implantar Elaborar un enunciado de aplicabilidad Tabla de controles Enunciado de aplicabilidad Enfoque de la gerencia para tratar el riesgo Utilización de Anexo A de la norma Análisis y evaluación del riesgo Controles seleccionados PASO IV Plan de control del negocio

19 18 Elaborar Plan de Tratamiento del Riesgo Determinar la efectividad de los controles Mediciones documentadas Plan de Tratamiento del riesgo Opciones de Tratamiento del riesgo PASO V Implementar y operar el SGSI Controles PASO VI Monitorear y revisar el SGSI Mediciones del SGSI Acción correctiva Funcionamiento del SGSI

20 19 Mantener y mejorar el SGSI PASO VII Mantenimiento del SGSI Comunicar resultados Implementar mejoras PASO VIII Desarrollar competencias organizacionales Entrenamiento en documentación de procedimientos, instrucciones de trabajo Procedimiento para manejo de la acción correctiva Taller estratégico para manejo de la acción correctiva y preventiva

21 Procedimiento de auditoria interna documentado Taller estratégico para manejo de auditoria interna PASO IX Redacción del Manual de Seguridad de Información Elaboración del manual de seguridad de información Manual de Seguridad de Información PASO VIII Desarrollar competencias organizacionales 20

22 PASO X Auditarse internamente Efectuar auditoria interna Informe de la auditoria interna PASO XI Auditoria de certificadora Auditoria de empresa certificadora Entrega de informe PASO XII Tomar Acciones Correctivas Efectuar Certificación Entrega del certificado 21

23 22 CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES

24 23 El punto de partida consiste en identificar el alcance del modelo detallando todas sus interfases. Una vez determinado el alcance del modelo en la empresa, se debe proceder a identificar los distintos activos de información, los cuales se convierten en el eje principal del modelo.

25 24 En el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. Se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Al grupo multidisciplinario, se le denominó comité gestor.

26 25 A los activos de información se les debe efectuar un análisis y evaluación del riesgo, e identificar las opciones para el tratamiento del riesgo: reducción, evitar, transferencia, aceptar. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger.

27 26 Los activos de información son clasificados por el ISO 17799:2005 en las siguientes categorías: -Activos de información (datos, manuales, usuarios, etc.) -Documentos de papel (contratos) -Activos de software (aplicación, software de sistemas, etc.) -Activos físicos (computadoras, medios magnéticos, etc.) -Personal (clientes, personal) -Imagen de la compañía y reputación -Servicios (comunicaciones, etc.)

28 27 Al establecer el alcance, en la organización financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información y todas sus interfases.

29 AHORROS CAPTACIONES UIF BCR SBSOrg. Ext. (pj) INDECOPI RENIEC Clientes Bco. AFPs Clientes -Atenc. Y Cons. -Inscripción -Actualización -Definición Pro. -Requisitos -Condiciones -Recepción S/ $ -Genera Cta. -Depósitos -Retiros -Transferencias -OT -Bloq. Y Desbloq. -OP (Entrega y recep) -Renovaciones -Serv. Cobranzas -Externos -Habilitaciones -Recepción Doc. -Autrización -Entrega Efectivo -Registro -FSD (ctas. > 10 años) Recepción/ Emisión de Información -Consultas -Reclamos -Emisión de Ext. -Emisión de Cartas -Lavado de Activos -Anexos SBS Adm. de Cred. Age. Org. Des. Ahorros Tesorería Defen. Cli. Aud. Int. Contab. Sistemas Logística Créditos Seguridad Ases. Leg. URI/OC Registro de Clientes Apertura de Cuentas Operaciones Cancela- ciones

30 ACTIVOS DE INFORMACIÓNCONFIDENCIALIDADINTEGRIDADDISPONIBILIDADTOTAL - Software periplo BD (Aho-peripl) Equipo de cómputo Línea dedicada Internet Servidor de archivos Servidor de BD Copias de respaldo Switchers Routers Modem Líneas telefónicas Central telefónica Disco duro y grab. (vid) Cámaras Teléfonos4133 TASACIÓN DE ACTIVOS DE INFORMACIÓN

31 DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS ACTIVOS DE INFORMACIÓNPROPIETARIOS 1. BDD (Aho-Periplo)SISTEMAS 2. SERVIDOR BDDSISTEMAS 3. JEFE/ASISTENTE DE AHORROSAHORROS 4. SOFTWARE CLIENTESSISTEMAS 5. CLAVESAHORROS 6. SERVIDOR DE ARCHIVOSSISTEMAS 7. COPIAS DE RESPALDOSISTEMAS 8. DISCO DURO Y GRAB. (Videos)SEGURIDAD INTEGRAL 9. FILE DE CLIENTESAHORROS 10. FORMATOSAHORROS 11. VOUCHERSADM. DE CRÉDITOS 12. FORMATO DE LAVADO ACTIVOSAHORROS

32 ANÁLISIS Y EVALUACIÓN DEL RIESGO ACTIVOS DE INFORMA- CIÓN AMENAZAS POSIBI- LIDAD OCU- RRENCIA VULNERA- BILIDADES POSIBILI- DAD QUE AMENAZA PENETRE VULNERA- BILIDAD VALOR DE ACTIVOS DE RIESGOS POSIBI- LIDAD DE OCU- RRENCIA DE AME- NAZA TOTAL CRITI- CIDAD OBJETIVOS DE CONTROL CONTRO- LES INDICADOR EFECTIVIDAD CONTROLES 1. BCD DE AHO-CLI 3. Vitales Aho-cli - Virus - Daño físi- co en el DD - Errores de programa- ción/valida- ción/prueba Falta de antivirus - Falla técni- ca - Mala progra mación - Mala valida- ción y prue- bas C C A.3.1 Promocionar dirección gerencial y apoyo a la S.I. A.7.2 Seguridad del equipo: evitar la pérdida, daño o compromiso de los activos y la interrupción de las ac- tividades comerciales. A.8.3 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.8.4 Mantener la integridad y disponibilidad de los ser- vicios de procesamiento de información y comunica- ciones. A A A A A A Nº veces/interrupción Nº veces/eventos de seguridad Nº veces/incidentes seguridad A.8.2 Minimizar el riesgo de fallas en los sistemas. A.10.1 Asegurar que se in- corpore seguridad en los sistemas de información. A.10.2 Evitar la pérdida, mo- dificación o mal uso de la data del usuario en los sis- temas de información. A.10.4 Asegurar que los pro yectos T.I. y las actividades de apoyo se reducen de manera segura. A A A A A A A A Nº veces/ fallas en sistemas Nº veces/pérdida datos usuario 2. Serv. de BDD - Daño físi- co en las partes - Virus Falla técni- ca - Software desactuali- zado C A.8.3 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.8.3.1Nº veces/ intentos hacking Nº veces/software dañado RIESGO RESIDUAL

33 32 PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI MANTENER Y MEJORAR EL SGSI MONITOREAR Y REVISAR EL SGSI PLAN DO CHECK ACT 4.3 Requerimientos de documentación Control de documentos Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos Provisión de recursos Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva Desarrollar, mantener y mejorar el ciclo

34 33 Entendimiento de los requerimientos del modelo (1) Determinación del Alcance del modelo (2) Análisis y evaluación del riesgo (3) Elaboración Plan de Gestión de Continuidad Comercial (4) Implementar y operar el SGSI (5) Monitorear y revisar el SGSI (6) Mantener y mejorar el SGSI (7) Desarrollo de competencias organizacionales (8) Redacción del Manual de Seguridad de Información (9) Ejecución de Auditorias Internas (10) Obtención de la Certificación Internacional (11)

35 34 Permite a la Organización Financiera alinearse con las exigencias de BASILEA II en relación al riesgo patrimonial Desarrolla un sistema para mitigar el riesgo operativo con indicadores de eficacia del desempeño de los controles, facilitando la labor del gobierno corporativo. Alto impacto económico al reducir sustancialmente el riesgo operativo en la organización. Permite a la empresa tener un sistema que le asegure continuidad en su funcionamiento.

36 IMPLANTACIÓN DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors)


Descargar ppt "IMPLANTACIÓN DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN Alberto G. Alexander, Ph.D, CBRP Auditor Sistemas de Gestión de Seguridad."

Presentaciones similares


Anuncios Google