La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seminario de Seguridad de la Información ISO 17799/BS7799 2004 Copyright 2001-2004 / I-SEC Information Security SA. - Argentina Conferencia de Seguridad.

Presentaciones similares


Presentación del tema: "Seminario de Seguridad de la Información ISO 17799/BS7799 2004 Copyright 2001-2004 / I-SEC Information Security SA. - Argentina Conferencia de Seguridad."— Transcripción de la presentación:

1

2 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Conferencia de Seguridad de la Información NORMA ISO / BS

3 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Recepción Presentación General Apertura Objetivo Instructor Temario detallado

4 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.

5 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Instructores Martín Vila Business Director I -Sec Information Security ( ) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Guarded Networks, Ernst & Young / IT College, I-SEC).

6 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Instructores Tania Cozzi Senior Security Consultant - I -Sec Information Security (2004) Senior / Supervisor IT Security - BDO ( ) Consultor de Seguridad informática - Megatone (Auckland, New Zealand) (2001) Posee una Maestría en Auditoria de Sistemas (Universidad del Salvador – Bs. As.) – ( ) Ha llevado adelante y supervisado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en cursos de capacitación internos y e internacionales relacionados con el Análisis e implementación de controles, metodología de Auditoria de Sistemas, Estándares Internacionales, entre otros.

7 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Paso 1: Por que? Reconocer los riesgos y su impacto en los negocios

8 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina INFORMATICA El objetivo del virus Bugbear no es colapsar computadoras sino robar datos bancarios Los expertos confirmaron que envía la información que captura a miles de direcciones de Internet. Además, también puede desactivar los sistemas de seguridad de la PC, destruir sus archivos y descomponer impresoras. INTERNET Nadie logra controlar la epidemia: el correo basura invade las casillas de todo el mundo Apenas 150 spammers norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. Algunos datos

9 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Algunos datos

10 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países. Algunos datos

11 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Despido Rechazan demanda de empleada por uso indebido de Internet El juez del trabajo Jorge Finizzola consideró justo el despido de una empleada que usó las computadoras de la empresa para recibir y enviar correos electrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias. El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la reclamante las costas del juicio. Algunos datos

12 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Algunos datos La seguridad de redes, una prioridad para las empresas Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.

13 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina NEGOCIOS Una nueva fiebre enferma a las empresas de todo el mundo: la seguridad de la información La gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también quieren ahorrar millones. Por Daniela Blanco. Especial para Clarín.com. Algunos datos

14 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina LA POLICIA LO DETUVO EL DOMINGO CUANDO FUE A VOTAR Acusan a un joven de un crimen luego de un rastreo informático Verónica Tomini tenía 24 años y era gerenta de una empresa de marketing. Los investigadores detectaron que horas antes del crimen había chateado con el sospechoso para arreglar un encuentro. Martín Sassone.. E l martes 19 de agosto, Verónica Tomini estaba en su trabajo y recibió un mensaje en su computadora: "Bebota, tengo ganas de verte". Ella respondió: "Yo también Cachorro. Nos vemos esta noche en casa". Así, rastreando los mensajes de chat de la víctima, los investigadores llegaron al principal sospechoso del crimen: un joven de 24 años que fue detenido el domingo cuando fue a votar. Algunos datos

15 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Algunos riesgos

16 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Captura de PC desde el exterior Software ilegal Violación de contraseñas Interrupción de los servicios Intercepción y modificación y violación de s Virus Mails anónimos con agresiones Incumplimiento de leyes y regulaciones Robo o extravío de notebooks, palms empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones voz y wireless Destrucción de equipamiento Programas bomba, troyanos Acceso indebido a documentos impresos Propiedad de la información Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Algunos riesgos Fraudes informáticos

17 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Hacking de Centrales Telefónicas Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados Algunos riesgos

18 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Según una encuesta del Departamento de Defensa de USA: Sobre aprox 9000 computadores atacados, 7,900 fueron dañados. 400 detectaron el ataque. Sólo 19 informaron el ataque. Algunos datos

19 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina En general todos coinciden en: El 80% de los incidentes/fraudes son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS Algunos datos

20 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina En mi compañía ya tenemos seguridad porque implementamos un firewall.... contratamos una persona para el área.... en la última auditoría de sistemas no me sacaron observaciones importantes.... ya escribí las políticas.... hice un penetration testing y ya arreglamos todo. Algunas realidades

21 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina en formato electrónico / magnético / óptico en formato impreso en el conocimiento de las personas Algunos conceptos preliminares

22 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina En estos tipos de problemas es difícil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos económicamente, por ejemplo ¿cuánto le cuesta a la compañía 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compañía. Principales riesgos y el impacto en los negocios

23 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina No existe la verdad absoluta en Seguridad Informática. No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema. Algunas premisas

24 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina POR TODAS ESAS RAZONES

25 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web Deberia asegurar mi Informacion

26 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables

27 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC – Information Technology Security Evaluation Criteria: White Book Sans Institute Sarbanes Oxley Act, HIPAA Normas aplicables

28 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Paso 3: Que pide la Norma ISO Gestión de Seguridad?

29 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina International Standards Organization: Normas ISO ISO 9001 – Calidad ISO – Ambiental ISO – Seguridad de la Información La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO Basada en el BRITISH STANDARD ISO (Europa) y NIST (USA). Normas de Gestión ISO

30 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dos partes: – 1. NORMALIZACION (Mejores Prácticas) Homologada en Argentina IRAM/ISO/IEC – 2. CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS Norma ISO Seguridad de la Información

31 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestión de la seguridad de la información Base común para el desarrollo de estándares de seguridad Norma ISO Seguridad de la Información

32 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la información y los métodos de procesamiento. disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera. Norma ISO Seguridad de la Información

33 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO Seguridad de la Información

34 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina La información = activo comercial Tiene valor para una organización y por consiguiente debe ser debidamente protegida. Garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados Qué es la Seguridad de la Información

35 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Impresa, escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Formas o medios que se distribuye o almacena

36 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Implementando un conjunto adecuado de CONTROLES: Políticas Prácticas Procedimientos Estructuras Organizacionales Funciones del Software Gestión de Seguridad de la Información

37 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Cómo establecer los requerimientos de Seguridad Evaluar los riesgos: se identifican las amenazas a los activos, se evalúan vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: la organización, sus socios comerciales, los contratistas y los prestadores de servicios. Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

38 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Selección de controles Los controles pueden seleccionarse sobre la base de la Norma ISO 17799, de otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicas según corresponda Costo de implementación vs riesgos a reducir y las pérdidas monetarias y no monetarias Revisiones periódicas de: - Riesgos - Controles implementados

39 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional; apoyo y compromiso manifiestos por parte de la gerencia; un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos; comunicación eficaz de los temas de seguridad a todos los gerentes y empleados; Factores críticos del éxito

40 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas; instrucción y entrenamiento adecuados; un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo. Factores críticos del éxito

41 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominios de Norma ISO Dominio 1 - Política de Seguridad

42 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 1: POLÍTICA DE SEGURIDAD Nivel gerencial debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados

43 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 1: POLÍTICA DE SEGURIDAD Política de Seguridad Autorización Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad

44 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 2 Organización de la Seguridad

45 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 2: ORGANIZACION DE LA SEGURIDAD Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales, RRHH, Auditoria, OyM Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Principales roles y funciones

46 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 3 Clasificación y Control de Activos

47 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Inventarios de Información e Instalaciones Designar un propietario para cada uno de ellos Clasificación de la información Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS

48 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 4 Seguridad del Personal

49 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 4: SEGURIDAD DEL PERSONAL Administracion del Personal Sanciones Concientizacion Administracion de Incidentes

50 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 5 Seguridad Fisica y Ambiental

51 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daños e interferencia a: sedes instalaciones información

52 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 6 Gestión de Operaciones y Comunicaciones

53 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Seguridad en los Procesos de TI: Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento Acuerdos de intercambio de información y software

54 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 7 Sistema de Control de Accesos

55 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas Dominio 7: SISTEMA DE CONTROL DE ACCESOS

56 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 8 Desarrollo y Mantenimiento de Sistemas

57 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas Asegurar que la seguridad es incorporada a los sistemas de información. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.

58 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 9 Plan de Continuidad del Negocio

59 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.

60 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 10 Cumplimiento

61 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 10 : CUMPLIMIENTO Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización. Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas. Asegurar las evidencias.

62 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Dominio 10 : CUMPLIMIENTO Delitos tradicionalmente denominados informáticos Relación entre RIESGOS y DELITOS informáticos Delitos convencionales Infracciones por Mal uso

63 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO Seguridad de la Información

64 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Como lo hago? Metodologia de Implementación del ISMS Programa Continuo de Seguridad de la Información

65 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Definir una METODOLOGIA Implementación de un Programa Integral de Seguridad de la Información

66 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina R Identificación de los principales riesgos informáticos para su compañía P Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Implementación de un Programa de Seguridad Ejecutivo

67 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Identificación de riesgos en su compañía Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos R Clasificación de los más críticos

68 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Personas y Organizaciones dentro y/o fuera Identificación de riesgos en su compañía R Competidores Empleados descontentos Proveedores Clientes Hackers Consultores in company Compañías asociadas

69 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina en los sistemas centrales en las PC´s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal Donde hay información sensible Identificación de riesgos en su compañía R

70 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P

71 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Definición de una política básica de seguridad P Política de Seguridad Autorización Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad

72 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Sponsoreo y seguimiento Dirección de la Compañía Comité de Seguridad Autorización Dueños de datos Definición Area de Seguridad Informática Area de Legales Identificación de responsabilidades de seguridad Acción concreta: Plano Normativo A Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas Administración Administrador de Seguridad Control Auditoría Interna / Externa

73 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Acción concreta: Plano Normativo Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes Desarrollo de la normativa básica y publicación A

74 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros in company Utilización de convenios de confidencialidad Definición de un sistema de premios y castigos en su compañía Acción concreta: Plano Normativo A

75 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas Definición e implementación de la función de Seguridad Informática Acción concreta: Plano Ejecutivo A

76 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Uso del Correo Electrónico Uso de Servicios de Internet Mejoras en los procesos del área de Sistemas Acción concreta: Plano Ejecutivo A

77 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Plan de Continuidad del Negocio Acción concreta: Plano Ejecutivo A El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía.

78 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Plan de Continuidad del Negocio Acción concreta: Plano Ejecutivo A Componentes - Tecnológico : procesamiento de los sistemas - Funcional : procedimientos del personal

79 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Plan de Continuidad del Negocio Acción concreta: Plano Ejecutivo A Etapas en la Implementación del Plan 1:Clasificación de los distintos escenarios de desastres 2:Evaluación de impacto en el negocio 3:Desarrollo de una estrategia de recupero 4:Implementación de la estrategia 5:Documentación del plan de recupero 6:Testeo y mantenimiento del plan

80 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC´s y laptops Seguridad física Integración con otras tecnologías Parametrización de las redes y los sistemas de una forma más segura Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) Acción concreta: Plano Ejecutivo A

81 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías Implementación de monitoreos de incidentes de seguridad Acción concreta: Plano Ejecutivo A

82 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Concientización a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros in company Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Acción concreta: Plano Ejecutivo A Utilizando la tecnología y los medios disponibles

83 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Implemente Ud. Mismo el ISMS ISO Programa de Mejora Continua

84 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Diagnóstico Inicial: Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO a 3 semanas Implemente Ud. Mismo el ISMS ISO 17799

85 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulos: Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal. Implemente Ud. Mismo el ISMS ISO 17799

86 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 1: Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso) Implemente Ud. Mismo el ISMS ISO 17799

87 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 2: Definir, aprobar y difundir la Política de Seguridad de la Compañía Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía Implementar Esquema de Propietarios de Datos Implemente Ud. Mismo el ISMS ISO 17799

88 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 3: Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros Iniciar proceso de redacción de las Normas Implemente Ud. Mismo el ISMS ISO 17799

89 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 4: Finalizar Clasificación de Información Relevar medidas implementadas en las funciones del área de sistemas Implemente Ud. Mismo el ISMS ISO 17799

90 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 5: Finalizar la Redacción y Difundir las Normas de Seguridad Implementar las definiciones de las Normas Implemente Ud. Mismo el ISMS ISO 17799

91 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas Implementar mejoras en los sectores usuarios para información impresa Implemente Ud. Mismo el ISMS ISO 17799

92 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 7: Iniciar proceso de redacción de Procedimientos críticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información Implemente Ud. Mismo el ISMS ISO 17799

93 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 8: Finalizar la redacción y difundir los Procedimientos críticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc) Implemente Ud. Mismo el ISMS ISO 17799

94 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 9: Implementar los Procedimientos de Seguridad Críticos Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad Implemente Ud. Mismo el ISMS ISO 17799

95 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientización de Usuarios de toda la Compañía Implemente Ud. Mismo el ISMS ISO 17799

96 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 11: Diagnóstico General respecto Norma ISO (similar a una Preauditoría de Certificación ISO) Implemente Ud. Mismo el ISMS ISO 17799

97 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Módulo 12: Implementación de las mejoras identificadas en el Diagnóstico según ISO Implemente Ud. Mismo el ISMS ISO 17799

98 Seminario de Seguridad de la Información ISO 17799/BS Copyright / I-SEC Information Security SA. - Argentina Sugerencias prácticas a tener en cuenta Facilidad en el USO vs mejor PROTECCION de la Información


Descargar ppt "Seminario de Seguridad de la Información ISO 17799/BS7799 2004 Copyright 2001-2004 / I-SEC Information Security SA. - Argentina Conferencia de Seguridad."

Presentaciones similares


Anuncios Google