INFORMATION SECURITY Programa Integral de Formación Profesional en   Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información Etapa 2: IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD ISO17799 / BS7799 / COBIT – Parte 1 Todos los derechos reservados 2005

Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales para: La formación PROFESIONAL del individuo La IMPLEMENTACION PRACTICA en las organizaciones

A QUIEN ESTA DIRIGIDO Orientado Responsables de áreas de Seguridad Informática, TI, Profesionales de Areas de Sistemas, Consultores de Tecnología, Auditores Internos y Externos de Sistemas, Profesionales y Administradores de distintas Tecnologías.

DESCRIPCION GENERAL Este Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información está alineado con Normas Internacionales de aplicación en la materia y de acuerdo con Certificaciones Internacionales en Seguridad de la Información: Normas Internacionales ISO177799 BS7799 ISO9001 COBIT AUDIT GUIDELINES COSO ITIL SARBANES OXLEY ACT

DESCRIPCION GENERAL Alineado con Certificaciones Internacionales CISSP CISA CISM CIA ISEC+ COMPTia ETHICAL HACKER OSSTMM A su vez sus contenidos están alineados con los Diplomados Internacionales distintas Universidades en Latinoamérica brindan (Argentina, Ecuador, Bolivia, Perú, Chile, entre otros).

Instructor Martín Vila martin.vila@i-sec.org www.i-sec.org Business Director I -Sec Information Security (2002-2005) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001)  Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Microsoft, Ernst & Young / IT College, I-Sec). Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.

12 Módulos Funcionales como Metodología Práctica de Implementación relacionados con 10 Dominios de la ISO 17799 TEORICOS   Temario detallado

Etapa 2 IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD – Parte 1 Se desarrollará la primera parte de una Metodología Práctica de Implementación de los criterios de seguridad, y están directamente relacionados con los 10 Dominios de la ISO 17799 TEORICOS con el detalle de los respectivos controles. Esta Metodología Práctica se divide en 12 Módulos Funcionales de aplicación, y en esta primera parte se verán los primeros 6. Temario detallado

La Seguridad Informática actual Módulo Funcional 01 La Seguridad Informática actual Riesgos e impacto en los negocios Normas, Metodologías y Legislaciones Enfoque ISO 17799

Por que? Paso 1: Reconocer los riesgos y su impacto en los negocios CONSEGUIR EL APOYO DE LA DIRECCION

en formato electrónico / magnético / óptico en formato impreso en el conocimiento de las personas Qué Información proteger

Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web

Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables

Normas, Metodologías, Legislaciones aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: METODOLOGIA COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC – Information Technology Security Evaluation Criteria: White Book Sans Institute Sarbanes Oxley Act, HIPAA Act Normas, Metodologías, Legislaciones aplicables

Gestión de Seguridad Norma ISO 17799

Normas de Gestión ISO International Standards Organization: Normas ISO    ISO 9001 – Calidad ISO 14001 – Ambiental ISO 17799 – Seguridad de la Información

Norma ISO 17799 Seguridad de la Información Dos partes: 17799 – 1 . NORMALIZACION (Mejores Prácticas) 17799 – 2 . CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS 7799. Ya está disponible la versión ISO17799:2005. Norma ISO 17799 Seguridad de la Información

GESTION DE SEGURIDAD DE LA INFORMACION Norma ISO 17799 Seguridad de la Información Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestión de la seguridad de la información Base común para el desarrollo de estándares de seguridad

Norma ISO 17799 Seguridad de la Información 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO 17799 Seguridad de la Información

Políticas de Seguridad Módulo Funcional 02 Políticas de Seguridad Desarrollo de los temas a considerar Técnicas de implementación de Normas, Procedimientos y Estándares. Mecanismos de medición y mejora continua.

Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica? Etapas Generales en el Desarrollo e Implementación de un Manual de Gestión de Seguridad de la Información

Identificar el equipo responsable Definir el Equipo de Redacción y de Aprobación Analizar la integración con otras políticas Definir los temas de seguridad a incluir en normativa Definir la estructura Definir el esquema de cada documento Desarrollar la Política General Desarrollar las Normas Desarrollar los Procedimientos Desarrollar los Estándares técnicos Aprobar en contenido en sus distintos niveles Definir el método de difusión y mantenimiento permanente Definir el método de “premios y castigos” Implementar la normativa Ejecutar los mecanismos de actualización Identificar el equipo responsable

Estructura Organizacional Módulo Funcional 03 Estructura Organizacional Identificación de los requerimientos de ISO 17799 Definición de Roles y Responsabilidades en la Compañía Asignación de Perfiles del personal para cada rol Responsabilidades con Terceros y Contratados

Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica? Definición de Roles y Responsabilidades en la Compañía

Roles y Responsabilidades en la Compañía Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales / RRHH / AUD Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Roles y Responsabilidades en la Compañía

MF 04: Clasificación de Información Marco Normativo ISO 17799 Metodología Práctica de Clasificación

Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica? Metodología Práctica de Clasificación de Información

Metodología Práctica de Clasificación de Información Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales / RRHH / AUD Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Identificar los Responsables de la Clasificación

Metodología Práctica de Clasificación de Información Etapas 1. Identificación de la información 2. Identificación de los principales riesgos 3. Clasificación de la información teniendo en cuenta los riesgos identificados 4. Difusión a los USUARIOS 5. Mantenimiento y Mejora Continua Metodología Práctica de Clasificación de Información

MF 05: Aspectos humanos de la seguridad Marco Normativo ISO 17799 Metodología Práctica

Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica? Principales procesos reelacionados con los Aspectos humanos de la seguridad Administración del Personal Manejo de Incidentes Proceso Disciplinario Concientización

MF 06: Seguridad en los Procesos Internos del área de Sistemas MF 06: Seguridad en los Procesos Internos del área de Sistemas. Seguridad Física y Ambiental.

Paso 1: qué dicen las normas? Requerimiento de Normativas y Metodologías Internacionales

ISO 17799 Seguridad de la Información COBIT Audit Guidelines Para los CONTROLES en los PROCESOS de TI se utilizan ambas fuentes de información: ISO 17799 Seguridad de la Información COBIT Audit Guidelines

Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Marco Normativo ISO 17799

ISACA Information Systems and Audit Control Association COBIT Control Objectives for Information and Related Technology

Metodologías aplicables COBIT AUDIT GUIDELINES: Son metodologías internacionalmente aceptados para la práctica de seguridad informática. Comprenden una serie de Objetivos de Control a cumplir en los distintos aspectos del “gobierno” de IT, dentro de los cuales se encuentran los temas específicos de Seguridad y Control: Planeamiento y organización Adquisición e implementación Entrega de servicios y soporte Monitoreo

Paso 2: cómo lo llevo a la práctica? Principales procesos Identificación de Funciones y Responsabilidades Identificación de los Principales Procesos del área Definición de controles para cada proceso – ISO 17799 – COBIT - Normativa Interna Implementación, Plan de Monitoreo y Mejora Continua

Facilidad en el USO vs mejor PROTECCION Cierre del Entrenamiento Facilidad en el USO vs mejor PROTECCION de la Información