Presentación de la Norma Técnica de Seguridad de la Información

Introducción a la Seguridad de la Información ¿Qué es Seguridad? La seguridad es un estado de confianza personal, por conocimiento o desconocimiento y se rompe ante la materialización de algún evento. ¡Nuestro objetivo es sentirnos seguros por conocimiento y NUNCA por desconocimiento!

Introducción a la Seguridad de la Información  La Seguridad de la Información tiene como fin la protección de los activos de información.  La seguridad absoluta es imposible, no existe un sistema totalmente seguro, de forma que el elemento de riesgo siempre está presente, pese a cualquier medida que tomemos, razón por la cual se debe hablar de niveles de seguridad.

Introducción a la Seguridad de la Información ¿Cuál es la diferencia entre la Seguridad Informática y la Seguridad de la Información? Seguridad Informática: Tiene como objetivo primario proteger las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización (básicamente hardware y software). Seguridad de la Información: Tiene como objetivo principal proteger la información de una organización.

Política de Seguridad de la Información El ICBF en el nivel nacional, en las direcciones regionales y en los Centros Zonales. está comprometido con la correcta administración y protección de la información para el fortalecimiento de la prestación de servicios con calidad a nuestros niños, niñas, adolescentes, familias colombianas y demás entes que lo soliciten, trabajando en el aseguramiento de la información que tiene como fuente los macroprocesos estratégicos, misionales, de apoyo y evaluación propios de la entidad, para garantizar que sea consultada y/o modificada únicamente por personas autorizadas en el momento que se requiera. Para el cumplimiento de esta política el ICBF cuenta con servidores públicos idóneos, metodologías para valoración y, tratamiento adecuado del riesgo. El ICBF en el nivel nacional, en las direcciones regionales y en los Centros Zonales. está comprometido con la correcta administración y protección de la información para el fortalecimiento de la prestación de servicios con calidad a nuestros niños, niñas, adolescentes, familias colombianas y demás entes que lo soliciten, trabajando en el aseguramiento de la información que tiene como fuente los macroprocesos estratégicos, misionales, de apoyo y evaluación propios de la entidad, para garantizar que sea consultada y/o modificada únicamente por personas autorizadas en el momento que se requiera. Para el cumplimiento de esta política el ICBF cuenta con servidores públicos idóneos, metodologías para valoración y, tratamiento adecuado del riesgo.

Introducción a la Seguridad de la Información El diseño e implementación del SIG del ICBF está determinado por: Las necesidades y objetivos Requisitos de seguridad Los procesos empleados El tamaño y estructura Enfoque basado en procesos

Introducción a la Seguridad de la Información Integridad Confidencialidad Disponibilidad Información La seguridad de la información se caracteriza en la preservación de: Propiedad que determina a la información no estar disponible, ni que sea relevada a individuos, entidades o procesos no autorizados Propiedad de salvaguardar la exactitud y estado completo de los archivos Propiedad que permite a la información ser accesible y utilizable por solicitud de una entidad autorizada

Introducción al Sistema de Gestión de Seguridad de la Información El Sistema de Gestión de Seguridad de la Información es un conjunto de procedimientos y recursos que permiten gestionar y minimizar los riesgos que atentan contra la seguridad de los activos de información del ICBF.

 Para que La información confidencial sea consultada por personas u organizaciones autorizadas.  Tenemos conocimiento de la información crítica, sensible y reservada del ICBF.  Tenemos identificados los riesgos y los controles para gestionarlos adecuadamente.  Tenemos Sistemas de Información con controles de acceso.  Tenemos mecanismos de almacenamiento centralizado de Información (SIM, KACTUS, SEVEN, entre otros).  Tenemos continuidad en los servicios.  Tenemos controles de acceso físico a la Entidad.  Tenemos cláusulas de confidencialidad con terceros. ¿Por qué tenemos un Sistema de Gestión de Seguridad de la Información? Introducción al Sistema de Gestión de Seguridad de la Información

 Garantizar un nivel de protección total es virtualmente imposible.  Los riesgos de la información deben ser : Conocidos Asumidos Gestionados Minimizados Todo esto, de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptable a los cambios que se produzcan …

Normas ISO de Seguridad de la Información Términos y definiciones que se emplean en toda la serie Los requisitos del sistema de gestión de seguridad de la información. Objetivos de control y controles Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables. Contiene 39 objetivos de control y 133 controles, agrupados en once dominios Proporciona directrices para la gestión del riesgo en la seguridad de la información

Normas ISO de Seguridad de la Información Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información Guía de auditoría de un SGSI Guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) Guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones

Normas ISO de Seguridad de la Información Guía relativa a la ciberseguridad Es una norma para gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPN y diseño e implementación de seguridad en redes Guía de seguridad en aplicaciones Define las directrices que pueden apoyar la interpretación y la aplicación al sector sanitario de las normas ISO y

Introducción a la Seguridad de la Información Taller Vocabulario  Hagan grupos de cinco personas.  Realice el análisis de los conceptos y asócielos con los términos.  Duración: Veinte minutos.

Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006

Establecer el SIG

Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Operar el SIG

Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Revisar el SIG

Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Mejorar el SIG

¿Cómo se aplica la Norma ISO en el ICBF? Verificación, Evaluación, Seguimiento a la efectividad de los Controles Cumplimiento de las Políticas y controles de Seguridad de la Información Entrenamiento y fortalecimiento del conocimiento en Seguridad de Información Implementació n de Controles de Seguridad de Información Análisis de Riesgos y Plan de Tratamiento de Riesgos Identificación y clasificación de Activos de Información SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Actividades claves en la implementación Procesos de Negocio Sistema de Gestión de Seguridad de la Información Tecnología de información  Medición del desempeño.  Compromiso de la alta gerencia.  Alineación Estratégica (Misión – Visión).  Gestión de recursos.  Integración del proceso de aseguramiento.

Requisitos de la documentación Debe incluir la siguiente documentación: Alcance Descripción de la metodología de valoración y los riesgos Informe de valoración y plan de tratamiento Procedimientos y Controles que apoyan el SIG Declaración de aplicabilidad

Actividades claves en la implementación Marco de referencia para fijar objetivos Establezca un sentido general de dirección y principios para la acción con relación a la seguridad de la información Tenga en cuenta los requisitos del negocio, los legales y las obligaciones de seguridad contractuales Alineada con el contexto organizacional de gestión del riesgo Establezca el criterio sobre el cual se evaluará el riesgo Sea aprobada por la Alta Dirección

Compromiso de la Dirección Establezca los Planes del SGSI Resolución 4964 de 2012 “ Por la cual se estructura el Comité de Coordinación del Sistema Integrado de Gestión ” Representante del Sistema Ante la Alta Dirección Criterios de aceptación de riesgos y niveles de riesgo aceptables

Actividades claves en la implementación Inventario y clasificación de activos de información Tipo de activo, software, hardware o recurso humano

Riesgo es la posibilidad de que suceda algún evento positivo o negativo el cual tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidades y consecuencias. Gestión del riesgo Estratégicos, imagen, operativos, financieros, de cumplimiento y tecnológicos

Gestión del riesgo Contexto estratégico organizacional Identificación del riesgo ¿Qué puede suceder? ¿Cómo puede suceder Identificación del riesgo ¿Qué puede suceder? ¿Cómo puede suceder Análisis del riesgo Determinar probabilidades Determinar consecuencias Determinar el nivel del riesgo Análisis del riesgo Determinar probabilidades Determinar consecuencias Determinar el nivel del riesgo Valoración del riesgo Identificar controles para el riesgo Verificar la efectividad de los controles Establecer tratamiento Valoración del riesgo Identificar controles para el riesgo Verificar la efectividad de los controles Establecer tratamiento Política de administración del riesgo Monitoreo y revisión Comunicación y consulta

Actividades claves en la implementación Gestión de riesgos

Actividades claves en la implementación Gestión de Riesgos

Actividades Claves en la implementación.Gestión de riesgos Activo Vulnerabilidad: Debilidades que tiene la organización y que pueden ser aprovechadas por las amenazas

Actividades claves en la implementación. Gestión de riesgos

Actividades claves en la implementación. Gestión de riesgos

Actividades claves en la implementación Rotulación activos de información Pública Restringida Rotulación de la información De uso interno Confidencial

Controles y objetivos de control  11 dominios  35 objetivos de control  114 controles Política de seguridad de la información Controles Organización de la seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de SI Gestión de los incidentes de SI Gestión de la continuidad del negocio Cumplimiento

Controles y objetivos de control Dominio Política de seguridad de la Información Objetivo Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. Control Aprobar un documento de política de seguridad, publicar y comunicar

Controles y Objetivos de Control Dominio Organización de seguridad de la información. Objetivo Gestionar la seguridad de la información dentro de la organización. Control Definir claramente todas las responsabilidades en cuanto a seguridad de la información. Identificar y revisar con regularidad los acuerdos de confidencialidad.

Controles y objetivos de control Dominio Gestión de activos. Objetivo Lograr y mantener la protección adecuada de los activos de la organización. Control Todos los activos claramente identificados, mediante un inventario.

Controles y objetivos de control Dominio Seguridad de los recursos humanos. Objetivo Asegurarse que los empleados, contratistas y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se consideran, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones. Control Definir y documentar los roles y responsabilidades de los empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la política de seguridad de la información de la organización.

Controles y objetivos de control Dominio Seguridad física y del entorno. Objetivo Evitar el acceso físico no autorizado, el daño e interferencia de las instalaciones y a la información de la organización. Control Las áreas seguras deben estar protegidas con controles de acceso apropiados, para asegurar que solo se permita el acceso a personal autorizado.

Controles y objetivos de control Dominio Gestión de comunicaciones y operaciones. Objetivo Asegurar la operación correcta y segura de los servicios de procesamiento de información. Control Se deben controlar los cambios en los servicios y los sistema de procesamiento de información

Controles y objetivos de control Dominio Control de Acceso Objetivo Controlar el acceso a la información Control Debe existir un procedimiento formal para el registro y cancelación de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de información

Controles y objetivos de control Dominio Adquisición, desarrollo y mantenimiento de sistemas de información. Objetivo Garantizar la seguridad como parte integral de los sistemas de información. Control Las declaraciones sobre los requisitos del negocio para nuevos sistema de información o mejoras a los sistemas existentes deben especificar los requisitos para los controles de seguridad.

Controles y objetivos de control Dominio Gestión de los incidentes de la seguridad de la información. Objetivo Asegurar que los eventos y las debilidades de la seguridad de la información asociadas con los sistemas de información se comunican de forma tal que permiten tomas las acciones correctivas oportunamente. Control Los eventos de seguridad de la información se deben informar a través de los canales de gestión apropiados tan pronto como sea posible.

Controles y objetivos de control Dominio Gestión de la continuidad del negocio Objetivo Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna. Control Se deben identificar los eventos que puedan ocasionar interrupciones en los procesos del negocio, junto con la probabilidad y el impacto de dichas interrupciones, así como sus consecuencias para la seguridad de la información

Controles y objetivos de control Dominio Cumplimiento. Objetivo Evitar el incumplimiento de cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Control Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y si se aplica con las clausulas del contrato.

Revisión por la Dirección del Sistema de Gestión Revisar el SGSI a intervalos planificados para asegurarse de su conveniencia, suficiencia y eficacia continua Los resultados deben ser las decisiones y acciones relacionadas con: La mejora de la eficiencia del SGSI La actualización de la evaluación de riesgos y de su plan de tratamientos La modificación de los procedimientos y controles que afectan la seguridad de la información La necesidad de recursos La mejora a la manera en que se mide la eficacia de los controles Los resultados deben ser las decisiones y acciones relacionadas con: La mejora de la eficiencia del SGSI La actualización de la evaluación de riesgos y de su plan de tratamientos La modificación de los procedimientos y controles que afectan la seguridad de la información La necesidad de recursos La mejora a la manera en que se mide la eficacia de los controles Documentación del sistema

Revisión por la Dirección del Sistema de Gestión