La Gestión de Seguridad de Información Basado en ISO-27001:2005 Presentado por: Miguel Piantini Gerente de Seguridad Informática Banco de Reservas de la República Dominicana
“El Arte del Engaño” Kevin Mitnick “Una compañía puede hacer comprado las mejores tecnologías de seguridad que el dinero pueda comprar, entrenado a su personal tan bien que aseguren todos sus secretos comerciales antes de irse a casa en la noche, y contratar guardias de seguridad de la mejor firma de seguridad del entorno. ESA COMPAÑÍA AÚN ES TOTALMENTE VULNERABLE”.
“El Arte del Engaño” Kevin Mitnick “Las personas pueden seguir cada una de las mejores prácticas de seguridad recomendadas por expertos, instalar diligentemente cada producto de seguridad recomendado, revisar minuciosamente las configuraciones correctas de los sistemas, y aplicar parches de seguridad. ESAS PERSONAS AÚN ESTÁN COMPLETAMENTE VULNERABLES”.
“El Arte del Engaño” Kevin Mitnick ¿Por Qué? “Porque el Factor Humano es verdaderamente la cadena más débil de la seguridad.”
“La información en sí misma constituye un objetivo “La información en sí misma constituye un objetivo. La información es la nueva divisa mundial”. Ralph Basham, Director Servicio Secreto USA. El nuevo objetivo ... La Información
Gestión Seguridad Información Modelo Reactivo Ataque Información Ataque Ataque Ataque
Gestión Seguridad Información Modelo Reactivo La colocación de controles en los procesos se basa en la experiencia pasada, sobre todo en incidentes pasados. Prácticamente, la única opción para tratar los riesgos latentes es reducción a través de implementación de controles. No hay revisiones de la gestión de la seguridad basadas en indicadores de eficacia.
Gestión Seguridad Información Modelo Reactivo No se toma en cuenta a las personas en la implementación de controles con la debida profundidad a través de programas de toma de conciencia. No está basado en administración de riesgos, sino en administración de incidentes. La seguridad es tratada como un proyecto (inicio – fin) más que como un proceso repetitivo.
CSI / FBI Computer Crime and Security Survey 2006
74%
Tecnología de Primera
Autoevaluación
Autoevaluación ¿Seguridad es parte de la estrategia de negocios? ¿Está involucrada la alta gerencia de la organización en aspectos de seguridad? ¿Existe un responsable de la seguridad? (CSO, CISO) ¿A quién reporta en la organización? ¿En qué porcentaje depende su organización de la tecnología?
Autoevaluación ¿Existe una adecuada administración de riesgos? ¿Existen planes de continuidad de negocios y recuperación de desastres? ¿Con qué frecuencia se actualizan? ¿Está la organización cumpliendo con las leyes y reglamentos de su país y/o internacionales?
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”. “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Definir el alcance en términos de las características del negocio, la organización, ubicación, activos, tecnología. Definir una política del SGSI que incluya: El sentido de la dirección general para la acción respecto a la Seguridad de la Información. Requerimientos legales. Alineación con la gestión estratégica de la organización. El criterio de evaluación del riesgo. Aprobación de la alta gerencia.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Definir el enfoque de evaluación del riesgo de la organización. Establecer metodología de cálculo del riesgo. Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Aceptarlo de acuerdo a los criterios de aceptación. Evitarlo. Transferirlo. Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Hacer. Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medición de la efectividad de los controles a través de indicadores de gestión. Implementar programas de capacitación. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de detección y respuesta a incidentes de seguridad.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 3 Revisar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Procedimientos de monitoreo y revisión para: Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. Realizar revisiones periódicas.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Medición de la efectividad de los controles. Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. Realizar auditorías internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 4 Actuar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Actuar. Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas. Asegurar que las mejoras logren sus objetivos señalados.
Certificación ISO-27001:2005
Certificación ISO-27001:2005 Entidad competente e independiente afirma por escrito una empresa determinada tiene implementado un Sistema de Gestión de Seguridad de Información acorde al estándar. Esto asegura la “Calidad en la Gestión de la Seguridad.”
Certificación ISO-27001:2005 Ventajas: Enfoque estructurado basado en riesgos de la seguridad de la información. Empleados deben tomar en serio la seguridad. Penalidades por no cumplimiento. Sus clientes confiarán más en su empresa.
Certificación BS-7799 Ventajas: Compañías extranjeras estarán más confiadas a realizar acuerdos de negocios. La organización pudiera negociar mejores condiciones con compañías reaseguradoras. Puede utilizarlo como un diferenciador y sacar ventaja competitiva.
Factores Claves de Éxito en la Implementación de un SGSI Política de seguridad documentada y alineada con los objetivos del negocio. Apoyo y participación visible de la alta gerencia. Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. Compatibilidad con la cultura organizacional. Entrenamiento y educación.
Conclusiones Hoy en día las organizaciones dependen en gran medida de su tecnología y sus activos de información. Por lo anterior, impera una protección adecuada a las informaciones importantes. Seguridad no es un producto, es un proceso que debe ser administrado.
Conclusiones Nada es estático, la seguridad no es la excepción. Mejora continua. Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.
Preguntas y Respuestas