SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos
Qué es Información? Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo. Information existe en diferentes formatos: Capital Humano Impresa o escrita en papel Dispositivos de almacenamiento (Discos, CDs, etc…) Oral (teléfono, móvil, etc.) Video, fotos Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)
La Información en las Empresas Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones. While past attacks were designed to destroy data, the attacks are increasingly designed to steal data without doing noticeable damage that would alert a user to the virus’ presence. Symantec cautioned that the malicious code for profit was on the rise. (Symantec annual Internet Security Threat Report)
La Información en las Empresas Estos activos pueden ser clasificados de la siguiente forma: Activos de Información (datos, manuales de usuario, etc.) Documentos en Papel (contratos) Activos de software (aplicación, software de sistema, etc.) Activos físicos (computadores, medios magnéticos, etc.) Personal (clientes, trabajadores) Imagen y reputación de la organización Servicios (comunicaciones, etc.)
Qué es seguridad de la Información? La seguridad de información se caracteriza por la preservación de: Confidencialidad Integridad Information security: to prevent damage to something of value a thing that guards or guarantees includes protection of information with the following aspects: 1. Confidentiality - users only have access to information to which they are authorised. 2. Integrity - protection against unauthorised changes or damage; i. e. safeguarding the accuracy and completeness of the information. 3. Availability - information is available, in the correct context, when required by authorised users. Summary: ISMS breaks into three areas - Confidentiality, Integrity and Availability High Confidentiallity will normally give low Availability and vice versa. Integrity (as per definition): the condition of being whole and undamaged Disponibilidad de la información
Amenazas Operacionales Amenazas a Instalaciones Amenazas Tecnológicas Identificación de Amenazas Tipos de Amenazas Amenazas Operacionales Amenazas Humanas Amenazas a Instalaciones Amenazas Sociales Amenazas Tecnológicas Amenazas Naturales
Vulnerabilidades Tipos de Vulnerabilidades Control de Acceso Seguridad física y ambiental Seguridad de los recursos humanos 3 main sources of security requirements in any organisation: 1. Security risks; that is, threats to assets, vulnerabilities and potential impact on the business of the organisation. Many risks can be effectively countered by using the guidance in the document “BS7799 : 1999, part 1”. A risk assessment can identify the controls that should be selected and implemented to achieve suitable protection. Investigations have found that 80% of all breaches to security in a company come from authorised people doing wrong things. 2. Legal and contractual requirements that an organisation, its trading partners, contractors and service providers have to satisfy. As demands for inter-organisational networking and interoperability increase there is a requirement for compliance with standards. “BS7799 : 1999, part 1”, serves as a consistent reference point. 3. Internal Principles, objectives and requirements for information processing to support business operations. It is important for competitive edge, that the organisation’s information security policy supports these requirements. It is also vital that efficient business operations are not impeded by lack of security because of missing controls in the information infrastructure, or by interruptions caused by the implementation of controls. Incorporation of the right controls and the required degree of flexibility from the start of the information security planning process is critical to the successful outcome of the work. Mantenimiento, desarrollo de Sist. de información Gestión operaciones y comunicación
Seguridad de la Información SGSI
¿Seguridad de la Información ? La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. La información puede estar: Impresa o escrita en papel. Almacenada electrónicamente. Trasmitida por correo o medios electrónicos Mostrada en filmes. Hablada en conversación. Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene. Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”. “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Definir el enfoque de evaluación del riesgo de la organización. Establecer metodología de cálculo del riesgo. Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Planificar. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Aceptarlo de acuerdo a los criterios de aceptación. Evitarlo. Transferirlo. Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Hacer. Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medición de la efectividad de los controles a través de indicadores de gestión. Implementar programas de capacitación. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de detección y respuesta a incidentes de seguridad.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 3 Revisar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Procedimientos de monitoreo y revisión para: Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. Realizar revisiones periódicas.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Revisar. Medición de la efectividad de los controles. Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. Realizar auditorías internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo 4 Actuar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo Actuar. Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas. Asegurar que las mejoras logren sus objetivos señalados.
Seguridad de la Información SGSI
Mantenimiento y mejora del SGSI (Act) Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. Medir el desempeño del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
Estructura de la Documentación Requerida Enfoque de la Gerencia Política, Alcance, Evaluación Riesgo Manual de Seguridad Nivel I Descripción de procesos, Quién hace qué y cuándo Procedimientos Nivel II Describe tareas específicas y cómo se realizan Instrucciones de Trabajo Nivel III Nivel IV Provee evidencia objetiva de la conformidad con SGSI Registros
Factores Claves de Éxito en la Implementación de un SGSI Política de seguridad documentada y alineada con los objetivos del negocio. Apoyo y participación visible de la alta gerencia. Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. Compatibilidad con la cultura organizacional. Entrenamiento y educación.
Conclusiones Hoy en día las organizaciones dependen en gran medida de su tecnología y sus activos de información. Por lo anterior, impera una protección adecuada a las informaciones importantes. Seguridad no es un producto, es un proceso que debe ser administrado.
Conclusiones Nada es estático, la seguridad no es la excepción. Mejora continua. Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.
Preguntas y Respuestas