La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (ISO/IEC 27001)

Presentaciones similares


Presentación del tema: "1 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (ISO/IEC 27001)"— Transcripción de la presentación:

1 1 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (ISO/IEC 27001)

2 2 Temario del Curso Conceptos fundamentales. –Seguridad de la información. –Normas aplicables. Las Normas ISO/IEC ISO/IEC Conceptos fundamentales de las etapas del ciclo del SGSI –Plan/Do/Check/Act Factores de Éxito. Anexos –Términos. –Caso

3 3 Conceptos Fundamentales ¿De que información estamos hablando? ¿Qué tan expuestos estamos?

4 4 Información a Proteger ¿Cual es la información más valiosa que manejamos? –La información asociado a nuestros clientes. –La información asociado a nuestras ventas. –La información asociada a nuestro personal. –La información asociada a nuestros productos. –La información asociada a nuestras operaciones.

5 5 ¿Riesgos? Pero si nunca paso nada!!. –Esto no real. –Lo que sucede es que hoy sabemos muy poco. La empresa necesita contar con información sobre la cual tomar decisiones a los efectos de establecer controles necesarios y eficaces.

6 6 Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Hacking de Centrales Telefónicas Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados Amenazas Violación de la privacidad de los empleados Fraudes informáticos Destrucción de equipamiento

7 7 Captura de PC desde el exterior Violación de contraseñas Interrupción de los servicios Intercepción y modificación y violación de s Virus Mails anónimos con agresiones Incumplimiento de leyes y regulaciones Robo o extravío de notebooks, palms empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones voz y wireless Programas bomba, troyanos Acceso indebido a documentos impresos Propiedad de la información Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Ingeniería social Más Amenazas!!

8 8 Vulnerabilidades Comunes Inadecuado compromiso de la dirección. Personal inadecuadamente capacitado y concientizado. Inadecuada asignación de responsabilidades. Ausencia de políticas/ procedimientos. Ausencia de controles –(físicos/lógicos) – (disuasivos/preventivos/detectivos/correctivos) Ausencia de reportes de incidentes y vulnerabilidades. Inadecuado seguimiento y monitoreo de los controles.

9 9 Seguridad de la Información

10 10 ¿Seguridad de la Información ? La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. La información puede estar: Impresa o escrita en papel. Almacenada electrónicamente. Trasmitida por correo o medios electrónicos Mostrada en filmes. Hablada en conversación. Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.

11 11 ¿Seguridad de la Información ? La seguridad de la información se caracteriza aquí como la preservación de: –su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información; –su integridad, asegurando que la información y sus métodos de proceso son exactos y completos. –su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

12 12 Normas Internacionalmente reconocidas Reconocimiento internacional

13 13 Normas aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: –ISACA: COBIT –British Standards Institute: BSI –International Standards Organization: Normas ISO –Departamento de Defensa de USA: Orange Book / Common Criteria –ITSEC – Information Technology Security Evaluation Criteria: White Book –Sarbanes Oxley Act, HIPAA

14 14 ¿Cómo establecer los requisitos? Es esencial que la Organización identifique sus requisitos de seguridad. Existen tres fuentes principales. La primer fuente procede de la valoración de los riesgos de la Organización. Con ella: -Se identifican las amenazas a los activos, -Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia. -Se estima su posible impacto.

15 15 ¿Cómo establecer los requisitos? La segunda fuente es el conjunto de requisitos legales, estatutarios, regulatorios y contractuales que debe satisfacer: -la Organización, -sus socios comerciales, -los contratistas -los proveedores de servicios. La tercera fuente está formada por los principios, objetivos y requisitos que la Organización ha desarrollado para apoyar sus operaciones.

16 16 ¿Las normas ISO/IEC 17799, ISO/IEC 27001? ¿Quien es quien?

17 17 Origen de la normativa Grupo de trabajo – enero 1993 Emisión de código – Septiembre 1993 Publicación de BS Febrero 1995 Publicación de BS Febrero 1998 Publicación BS7799: y 2 Abril 1999 ISO (BS ) – Diciembre 2000 BS Publicado en Septiembre ISO Publicado Julio 2005 ISO – Publicado Noviembre 2005.

18 18 ¿ISO/IEC – ISO/IEC 17799? British Standard 7799 Parte 1 – Es un código de mejores prácticas que se sugieren:....deberían... ISO/IEC – Basado en la BS 7799 Parte 1. –No hay una certificación. –10 Áreas de Control –36 Objetivos de Control –127 Controles

19 19 ¿ISO/IEC – ISO/IEC 17799? British Standard 7799 Parte 2 – Aporta conceptos de implantación obligatorios para certificar:...deben... –Requisitos para Sistemas de Gestión de Seguridad de la información. –Vinculada con la BS (ISO/IEC 17799) –Proceso de Evaluación para Certificación. –Obsoleta. ISO/IEC –Basada en la BS 7799:2 Versiones actuales: –ISO/IEC 17799:2005 / ISO/IEC 27001: 2005

20 20 ISO/IEC 17799: Áreas de Control –Política de Seguridad –Aspectos organizativos para la seguridad –Clasificación y control de los activos –Seguridad ligada al personal –Seguridad física y del entorno –Gestión de comunicaciones y operaciones –Control de accesos –Desarrollo y mantenimiento de sistemas –Gestión de continuidad del negocio –Conformidad

21 21 ISO/IEC 17799: Áreas de Control –Política de Seguridad –Organización de la Seguridad de la Información –Gestión de Activos –Seguridad en los Recursos Humanos –Seguridad física y del entorno –Gestión de comunicaciones y operaciones –Control de accesos –Adquisición, desarrollo y mantenimiento de sistemas de información –Gestión de incidentes de seguridad –Gestión de continuidad del negocio –Conformidad

22 22 Certificados BS / ISO/IEC Empresas Certificadas a nivel mundial. –1800 en Japón. –415 Reino Unido –11en Brasil. –3 en Argentina. –¿Uruguay? Certificación ISO/IEC –Implica la misma certificación, por parte de organismos locales a nivel mundial. –Es razonable considerar un crecimiento equiparable al de normas ISO ya existentes.

23 23 Relación entre Normas BS BS ISO/IEC 17799UNIT/ISO/IEC UNIT 17799:2 (2005) BSI ISO/IECUNIT (Ej. Uruguay)

24 24 Nuevas Versiones ISO/IEC ISO/IEC (2000) ISO/IEC ISO/IEC (2005) ISO/IEC BSI BS ISO/IEC (2005)

25 25 SGSI - Modelo P-H-V-A Metodología de la ISO/IEC 27001

26 26 SGSI El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: –establecer, –implementar, –operar, –monitorear, –mantener y mejorar la seguridad de la información. Incluye. –Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recueros.

27 27 (Planificar /Hacer /Verificar /Actuar) Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI. Planificar Verificar Hacer Actuar Partes Interesadas Establecer el SGSI Implementar y operar el SGSI Monitorear el SGSI Mantener y Mejorar el SGSI Partes Interesadas Requisitos y expectativas Seguridad Gestionada

28 28 (Planificar /Hacer /Verificar /Actuar) El SGSI adopta el siguiente modelo: PHVA Planificar Verificar Hacer Actuar Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles. Implantar indicadores. Revisiones del SGSI por parte de la Dirección. Realizar auditorías internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas

29 29 Establecer el SGSI (Plan) Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización. Definir el alcance del SGSI a la luz de la organización. Definir la Política de Seguridad. Aplicar un enfoque sistémico para evaluar el riesgo. –No se establece una metodología a seguir.

30 30 Establecer el SGSI (Plan) Identificar y evaluar opciones para tratar el riesgo –Mitigar, eliminar, transferir, aceptar Seleccionar objetivos de Control y controles a implementar (Mitigar). –A partir de los controles definidos por la ISO/IEC Establecer enunciado de aplicabilidad

31 31 Implementar y operar (Do) Implementar y operar la política de seguridad, controles, procesos y procedimientos. Implementar plan de tratamiento de riesgos. –Transferir, eliminar, aceptar Implementar los controles seleccionados. –Mitigar Aceptar riesgo residual. –Firma de la alta dirección para riesgos que superan el nivel definido.

32 32 Implementar y operar (Do) Implementar medidas para evaluar la eficacia de los controles Gestionar operaciones y recursos. Implementar programas de Capacitación y concientización. Implementar procedimientos y controles de detección y respuesta a incidentes.

33 33 Monitoreo y Revisión (Check) Evaluar y medir la performance de los procesos contra la política de seguridad, los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión. –Revisar el nivel de riesgo residual aceptable, considerando: Cambios en la organización. Cambios en la tecnologías. Cambios en los objetivos del negocio. Cambios en las amenazas. Cambios en las condiciones externas (ej. Regulaciones, leyes). –Realizar auditorias internas. –Realizar revisiones por parte de la dirección del SGSI.

34 34 Monitoreo y Revisión (Check) Se debe establecer y ejecutar procedimientos de monitoreo para: Detectar errores. Identificar ataques a la seguridad fallidos y exitosos. Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad. Determinar las acciones realizadas para resolver brechas a la seguridad. Mantener registros de las acciones y eventos que pueden impactar al SGSI. Realizar revisiones regulares a la eficiencia del SGSI.

35 35 Mantenimiento y mejora del SGSI (Act) Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. –Medir el desempeño del SGSI. –Identificar mejoras en el SGSI a fin de implementarlas. –Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). –Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. –Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

36 36 MANUAL DE SEGURIDAD Contenido de los documentos Describe el sistema de gestión de la seguridad PROCEDIMIENTOS DOCUMENTADOS EXIGIDOS POR LA NORMA Describe los procesos y las actividades REGISTROS Son evidencias objetivas de la ejecución de procesos, actividades o tareas OTROS DOCUMENTOS DEL SGSI (INSTRUCCIONES DE TRABAJO, FORMULARIOS, ESPECIFICACIONES Y OTROS) Describe tareas y requisitos Documentación del SGSI

37 37 Requisitos de Certificación del SGSI La norma establece requisitos para Establecer, Implementar y Documentar un SGSI. –Definir el alcance del SGSI (fronteras) –Definir una política de seguridad –Identificar activos –Realizar el análisis de riesgos de activos. –Identificar las áreas débiles de los activo –Tomar decisiones para manejar el riesgo –Seleccionar los controles apropiados –Implementar y manejar los controles seleccionados –Elaborar la declaración de aplicabilidad

38 38 Objetivos de auditoria Para obtener la certificación. Revisar conformidad con la norma (ISO/IEC 27001) Revisar grado de puesta en práctica del sistema Revisar la eficacia y adecuación en el cumplimiento de: –Política de seguridad –Objetivos de seguridad Identificar las fallas y debilidades en la seguridad Proporcionar una oportunidad para mejorar el SGSI Cumplir requisitos contractuales. Cumplir requisitos regulatorios.

39 39 Certificación del SGSI La certificación no implica que la organización a obtenido determinado niveles de seguridad de la información para sus productos y/o servicios. Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la información, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios. Procesos análogos a los de las normas ISO 9001 e ISO Certificado con duración de 3 años.

40 40 Certificación del SGSI En cada País –Actualmente en proceso de homologación por las instituciones locales. –Opciones: (Ej. Uruguay) UNIT/ISO/IEC 27001:2006 (Ej. España) AENOR UNE ISO/IEC Internacionalmente –El más amplio reconocimiento. –Ampliamente reconocida a nivel profesional. –Estándar de la industria. –Requerida por importantes empresas a sus Proveedores.

41 41 Finalizando

42 42 Comencemos el proceso Reporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad) No divulgue información sensible. Destruya adecuadamente la información sensible. Siga los lineamientos, políticas y procedimientos que se le distribuirán. Haga preguntas.

43 43 Comencemos el camino. Mantenga su contraseña confidencial. Sea conciente de los riesgos que están asociados a una acción o recurso. Las medidas implementadas tienen un motivo. –Lo no prohibido NO esta expresamente permitido. Nuestra seguridad depende de usted.Nuestra seguridad depende de usted. La obtención de la certificación también.La obtención de la certificación también.

44 44 Comentario Finales ¿Preguntas? Consultas


Descargar ppt "1 SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (ISO/IEC 27001)"

Presentaciones similares


Anuncios Google