La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui.

Publicada porIdoya Minjares Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui."— Transcripción de la presentación:

1 Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui

2 Familia de normas ISO 27000 Objetivos
Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación

3 Familia ISO 27000 Orígenes en BS7799 - 2, e ISO 17799
ISO/IEC (BS7799 part 2) : Information Security Management System. ISO/IEC (ISO/IEC & BS7799 part 1): Code of practice ISO/IEC (BS7799-4): Information Security Metrics and Measurement ISO/IEC (BS7799-3): Risk assesment 27000: fundamentos y vocabularios 27001: especifica los requisitos para la implantación de un SGSI 27002: código de buenas practicas 27003: directrices para la implementación de un SGSI 27004: métricas para la seguridad de la información 27005: gestión de riesgos de la seguridad de la información 27006: requisitos para la acreditación de las organizaciones que proporcionan la CERTIFICACION de los SGSI 3

4 ¿Por qué una norma? Implementación de un programa de ISMS:
Adecuación a una metodología reconocida internacionalmente especifica sobre seguridad de la información Contar con un proceso definido para evaluar, implementar mantener y administrar Diferenciación en el mercado Satisfacer requerimientos de clientes, proveedores y organismos de contralor Un programa de ISMS como es comúnmente llamado es un sistema de gestión de seguridad de la información. Para lograr implementar un sistema de este tipo, es recomendable alinearse a alguna norma que ya haya sido probado y aprobada por idóneos del área que nos permitirán adecuarnos rápidamente a una forma de trabajo estandarizada y aplicando mejores prácticas del mercado. De índole internacional mejor aún porque se logra trascender a aplicaciones particulares que dependen de las diferentes culturas de cada empresa, país o región, siendo muy generales. Contar con un proceso definido para lograr una mejora continua, que defina las tareas a realizar en cada etapa. Puede servir también así como lo hacen las normas de calidad de la ISO, permitir diferenciar nuestra empresa del resto, mostrando al mercado que estamos certificados en el tratamiento seguro de la información. Esta certificación sería muy adecuada para gobierno y diferencial por ejemplo en un organismo de salud donde se trabaja con las historias clínicas de pacientes. También en ciertos casos resulta ser un prerrequisito para trabajar con diferentes contrapartes como clientes, proveedores u otros en la cadena de valor. 4

5 ¿Por qué una norma? Disminución de costos e inversiones a mediano y largo plazo Formalizar las responsabilidades operativas y legales de los usuarios tanto internos como externos Contemplar disposiciones legales (ley de protección de datos por ejemplo) Metodología para administrar los riesgos Otros motivos pueden ser: Optimización de los procesos que permitan reducir costos e inversiones. Formalizar en un documento explícitamente las responsabilidades de cada rol Contemplar las diferentes leyes, o regulaciones que estén vigentes para adecuarse a las mismas y estar legalmente cubiertos. Brindar una metodología para administrar riesgos como se vio en el módulo anterior. 5

6 Modelo de normas ISO aplicado a SGSI
Actuar Planificar Verificar Se muestran a continuación las tareas que se realizan en cada etapa. PLANFICAR: Definir el alcance del SMSI Definir la política Definir objetivos y metas Identificar y evaluar riesgos Seleccionar objetivos de controles y controles Preparar declaración de aplicabilidad HACER: Formular e implementar Plan de Tratamiento de Riesgo Implementar controles seleccionados para cumplir los objetivos de control VERIFICAR : Ejecutar procesos de monitoreo Conducir auditorias internas del ISMS a intervalos planeados Conducir revisiones regulares de la efectividad del ISMS Revisar los niveles de riesgo residual y de riesgo real ACTUAR : Implementar mejoras identificadas Tomar las acciones preventivas y correctivas apropiadas Comunicar los resultados y acciones Asegurar que las mejoras cumplan con los objetivos Hacer 6

7 Dominios de la ISO 27001 Se divide en 11 dominios:
Dominio 1: Política de Seguridad Dominio 2: Organization de la Seguridad Dominio 3: Administración de Activos Dominio 4: Seguridad en RRHH Dominio 5: Seguridad física y ambiental Dominio 6: Gestión de operaciones y comunicaciones Dominio 7: Sistema de control de accesos Dominio 8: Adquisición, desarrollo y mantenimiento de sistemas de información Dominio 9: Administración de incidentes de seguridad de la información Dominio 10: Plan de continuidad de negocio Dominio 11: Cumplimiento Aquí se enumeran los 11 dominios de los cuales se compone la norma. 7

8 Política de Seguridad Política de Seguridad Autorización
Confidencialidad Protección Física Política de Seguridad Confiabilidad Legalidad Se define una política de seguridad que cumpla con las características mencionadas en el dibujo. Esta debe estar aprobada y apoyada por la alta gerencia para que realmente tenga efectividad. Se deben tener en cuenta todas las características que se mencionan para lograr que la misma sea completa y no se le escapen conceptos importantes a la hora de elaborarla. Propiedad Disponibilidad Integridad Exactitud Eficiencia Eficacia

9 Política de Seguridad Política General Normas
Manual de Gestión de Seguridad Texto Política General Normas Procedimientos Estándares Técnicos La política incluye, una clara definición de lo que se desea en términos de seguridad. El QUÉ de todo el resto, y de ella se desprenden otras normas que se tendrán en contemplación para la implantación y luego los procedimientos particulares que pueden basarse en distintos estándares de mercado o particulares. Todo esto conforma el MANUAL DE GESTION DE SEGURIDAD 9

10 Organización de la Seguridad
Roles y Funciones Sponsoreo y seguimiento: Dirección de la organización Foro - Comité de Seguridad Autorización Dueños de datos Administración Administrador de Seguridad Definición Area de Seguridad Informática Area legales Control Auditoria Interna Auditoria Externa Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas Organización de la Seguridad implica definición de roles y responsabilidades. En este dominio se definen algunos roles como: Oficial de Seguridad: Encargado de la seguridad de la información de la empresa. Persona independiente del resto de los departamentos que convoca al resto de los implicados en casos necesarios para definir procedimientos en conjunto con los idóneos de cada tarea. Comité de Seguridad: conformado por stakeholders (usuarios clave en cierta área importantes por su conocimiento de la función), gerencias, y oficial de seguridad. Dueño de datos: es el responsable de un determinado activo de información (por ejemplo el responsable de la base de datos, o el contador que es responsable del estado financiero) En la diapositiva además se definen las funciones necesarias para la organización de la seguridad y quienes son responsables por su aplicación. Del sponsoreo y seguimiento se encarga la direccion de la organización y el comité o foro de seguridad. Es indispensable que sea el sponsor ( o sea el patrocinador y quien aporta los recursos necesarios ) para llevar adelante efectivamente cualquier actividad relacionada a la seguridad. Autorización para el acceso a la información será responsabilidad del dueño de datos correspondiente a la definición del acceso en cuestión. Administración de la seguridad es tarea del administrador de seguridad u oficial de seguridad Definición de las políticas y procedimientos de seguridad es tarea del área de seguridad cuando exista y del área de legales para contemplar el dominio de cumplimiento con la legislatura vigente. El Control dependiendo como esté establecido realizarse y de si se tiene o no área de auditoría, son tareas que se pueden hacer mediante auditorias internas o externas. Si existe un área de auditoría interna realizará tareas cotidianas de auditorías y revisiones, mientras que una auditoría externa siempre es recomendable con el fin de presentar informes objetivos que no estén «contaminados» de prácticas comunes de la empresa. Cumplimiento directo es responsabilidad de todos. Desde los usuarios finales, hasta todos aquellos que cumplan tareas puntuales y tercerizadas.

11 Organización de la Seguridad
Modelo de Estructura del departamento de SI Dentro de TI? Departamento dependiente de TI? Rol de Asesoría.... Dirección SI ??? ¿De quien depende el área de seguridad en sus organizaciones? Lo ideal para el área de Seguridad de la Información es que sea independiente, aunque en general en las compañías se encuentra debajo del área de Sistemas o Tecnologías de la Información (TI). El área de SI debería ser como las de auditorías, o asesoría de la dirección en donde mantienen la independencia de las otras áreas y directamente responden al directorio. Esto es justamente para poder asegurar la objetividad en su toma de decisión y reportes. Comercial Operación Sistemas 11

12 Administración de Activos
¿Qué es un activo? Identificación de la información mas crítica Identificación de los principales riesgos Clasificación en base a los riesgos La información es por su naturaleza el activo más crítico de una organización. Si traducimos la información en eventos de pérdida de dinero, imagen, o fuga de información de clientes o «recetas» del negocio, podremos rápidamente percibir la importancia de la misma. Sin embargo no toda la información tiene la misma criticidad e incluso alguna debe estar abierta al público. Es por esto que cuando hablamos de administración de activos, debemos en primer término realizar una clasificación concienzuda de la misma y poder clasificarla. Luego de establecer cual es la información mas crítica se deben identificar los principales riesgos asociados a cada una de ellas como lo hemos visto en el módulo de gestión de riesgos. En base a esta identificación tendremos una tercera clasificación que corresponderá a ambos criterios: el de la información crítica asociada a sus riesgos. 12

13 Administración de Activos
Identificación de los principales riesgos Categorías Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos Una ayuda para pensar en la identificación de los principales riesgos a los que se puede ver sometida la información de una organización es la lista de categorías que se presenta a continuación. La misma no es exhaustiva pero puede tomarse como una guía. Dentro de fraudes informáticos podemos encontrar el phishing, o robo de números de tarjetas de crédito entre otros. Algunos ataques externos pueden ser denegación de servicio, escaneo y explotación de puertos, entre otros (que se explicarán mas adelante). Las modificaciones de datos por parte de empleados y el acceso y difusión de datos sensibles, muestra debilidades en accesos que no deberían permitirse pero que suceden en muchos casos. En la categoría de falta de disponibilidad de los sistemas puede encontrarse baja de servicios como por ejemplo correo o ERP (Enterprise Resource Planning o sistema de gestión de la empresa) de la compañía. Software ilegal es el software instalado de forma «pirata» en donde no se poseen las licencias o se poseen menos de los que realmente hay instalados. La falta de control de usos de los sistemas se da en sistemas que no poseen la posibilidad de realizar logging o registros de auditoría que permitan detectar o registrar los accesos indebidos o inconsistencias. La destrucción de información (por ejemplo botar a la basura documentos confidenciales) y equipos (sin su debido borrado digital) permiten la divulgación de información y pueden provocar otra fuente de riesgos asociados a la información. 13

14 Administración de Activos
Otras categorías de riesgos Según su origen Naturales Intencionales No intencionales Tipos Difusión indebida Alteración no autorizada Falta de disponibilidad Pueden existir otras clasificaciones de los riesgos de acuerdo a otras categorías como se muestra en la presente diapositiva. La primera es según su origen: Naturales como pueden ser terremotos, inundaciones, u otros sismos. Intencionales como pueden ser robos, accesos utilizando credenciales ajenas, entre otros. No intencionales o accidentales como la caída de un servicio en el área tecnológica o la mala manipulación de información que provoque la divulgación de la misma. La segunda según el tipo: Según el tipo existen las 3 categorías asociadas a los 3 pilares mencionados de seguridad: Difusión indebida se asocia a la preservación de la confidencialidad de la información Alteración no autorizada se asocia a la integridad de la información Falta de disponibilidad se asocia al concepto de disponibilidad como lo indica la descripción 14

15 Administración de Activos
Definir principales agentes de riesgo para la información de cada dueño de datos: espías o competidores empleados o ex- empleados desconformes delincuentes profesionales terroristas informáticos hackers, crackers, etc... clientes proveedores operadores bursátiles empresas asociadas Luego se procede a definir los agentes de riesgo. Como se presenta en la lista pueden existir distintos actores con distintas motivaciones y pueden por lo tanto ser mas o menos peligrosos cada uno de ellos. Es importante identificar los agentes para poder evaluar la criticidad de cada riesgo y componer los controles necesarios para mitigarlos. 15

16 Administración de Activos
Clasificación en base a los riesgos Análisis de los principales riesgos Categorizacion: Confidencial Restringida Pública Tipo de medio: Electrónico Físico Aprobación de los usuarios con acceso a la información y los permisos a otorgar Consolidación Si clasificamos la información en base a sus riesgos asociados debemos seguir el siguiente proceso (como se detalló en el módulo de gestión de riesgos): Analizar los principales riesgos Categorizarlos, en donde un ejemplo de clasificación puede ser la de confidencial o restringida o pública. La primera sólo puede estar disponible para el o los dueños de datos, la segunda puede estar restringido a un grupo, sección o al interior de la organización, y la última es información no sensible que puede o incluso debe estar disponible para todos dentro y fuera de la organización. Se debe asociar el tipo de medio que los almacenará. Por ejemplo una base de datos será un medio electrónico y un informe en papel un medio físico. Se debe aprobar el nivel de acceso y la autorización a su acceso para los diferentes usuarios. Por último se debe consolidar el proceso utilizando los pasos previos. 16

17 Seguridad en RRHH Definición de puestos de trabajo y asignación de recursos Capacitación de los usuarios Proceso disciplinario En el dominio de seguridad en los recursos humanos se deben realizar una serie de pasos: Definición de los puestos de trabajo y asignación de recursos nos permite reducir riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. La capacitación a usuarios nos permite garantizar que los usuarios estén actualizados sobre amenazas y demás temas acerca de la seguridad de la información y la aplicación de procedimientos adecuados alineados a la política de seguridad definida. El proceso disciplinario debe ser formal y aplicable para el incumplimiento de la reglamentación definida. Es decir, establecer las sanciones correspondientes a cada caso. 17

18 Seguridad en RRHH Definición
Responsabilidades explícitas (en contratos) Acuerdos de confidencialidad Empleados Personal Ocasional Revisados bajo cambios Monitoreo El proceso debe consistir de una serie de pasos: Definición de los roles, puestos de trabajo y cuales son las responsabilidades de cada cargo, los cuales deben estar explicitados en el contrato que deberá ser firmado por el personal al momento de ingresar a su puesto. Los acuerdos de confidencialidad son documentos que debe redactar el departamento de recursos humanos en conjunto con SI y debe ser diferenciado para empleados y personal ocasional. Los mismos además deberán ser revisados y cambiados periódicamente o en casos de cambios sustanciales en los procesos de la empresa. Se debe monitorear el cumplimiento de los acuerdos a través de auditorías y muestreos cíclicos y aleatorios. 18

19 Recursos Humanos Concientizacion: Capacitación de usuarios:
TODO el personal Sponsoreado por la Dirección Asegurar permanencia a lo largo del tiempo Mecanismos de control Implementar sanciones Cuando se trata con recursos humanos es importante que los mismos sean debidamente capacitados. En primer término para tomar consciencia de lo que significa para la organización y para su puesto en sí por consiguiente el mantener la información resguardada como lo estipula la política empresarial. Algunas características importantes son: Que se debe capacitar a todo el personal, aunque se deba realizar de forma diferenciada Que debe estar patrocinado o sponsoreado por la dirección para que realmente se cumpla y se respete Asegurar que tenga permanencia a lo largo del tiempo y la misma no quede obsoleta por lo cual es un proceso continuo Que existan mecanismos de control que evalúen la efectividad de las capacitaciones Que se implementen luego sanciones frente al no cumplimiento de las acciones explicadas en las capacitaciones 19

20 Recursos Humanos En persona Por escrito
Algunas actividades como ejemplos: En persona Presentaciones gráficas Videoconferencias Inducción a ingresantes Trabajos en grupo con casos prácticos Reunion con personal clave Por escrito Evaluaciones anuales incluidas en las de desempeño Firma de conformidad al ingresar Material gráfico en carteleras y merchandising (tazas, pad’s para los mouses, etc) Aquí se presentan algunos ejemplos de acciones que pueden realizarse para el personal de la empresa en general. Muchas veces se realizan campañas periódicas de capacitación o conscientización que se compone de una combinación de distintas acciones de las enumeradas. 20

21 Recursos Humanos En sistemas Personal de Sistemas
Mensajes en pantalla de inicio, correos, intranet Concursos vía sistemas o web Personal de Sistemas Seleccionar temas y procedimientos mas críticos Identificar temas mas sensibles Identificar fallas mas comunes Desde el área de sistema se pueden generar algunas acciones como las mencionadas que recuerden ciertos «tips» para recordar como manipular la información de forma correcta, así como concursos que permitan interactuar y aprender «haciendo». Luego para el personal de sistemas en particular se pueden realizar capacitaciones de acuerdo a estadísticas de fallas mas frecuentes o sistemas mas sensibles. Para el área de sistemas se debe capacitar de forma diferencial por la interacción que tienen los mismos con los sistemas y la cercanía al acceso de dicha información. 21

22 Recursos Humanos Definir acciones para los distintos RRHH en relacion a capacitacion y/o conscientización en SI Usuarios de sistemas finales Personal de dpto. de tecnologías de la información Comité de seguridad Gerencia Como vemos es importante diferenciar las acciones a tomar para los diferentes perfiles que se encuentren en la empresa, tanto por el nivel técnico a capacitar como también por las funciones que desempeñan y para las cuales necesitan conocer acciones específicas. Para los usuarios de sistemas finales se deberá realizar capacitación operativa, por ejemplo de acceso a los sistemas, de ingreso a las instalaciones, manejo de contraseñas, etc. Para el personal del dpto de tecnologías por su trabajo diario y el contacto cercano con la información en formato digital serán capacitaciones técnicas y específicas para la manipulación de los sistemas y datos. El comité de seguridad por su parte deberá concentrarse en capacitaciones específicas de normas, procesos y herramientas para proveer la seguridad de la información. A la gerencia por su parte se le deberá capacitar de forma amplia conteniendo tanto algunos ítems operativos de nivel usuario como de gestión en general con visión de negocio.

23 Seguridad Física y Ambiental
Proteger Sedes Instalaciones Información en formato físico De eventos Robos, destrucción Catástrofes naturales Accidentes Acceso no autorizado En el dominio de Seguridad Física y Ambiental se revisan técnicas e infraestructura necesaria para la protección de las sedes, instalaciones e información en formato físico (servidores, documentos en papel, cintas, etc.) Los eventos mas comunes que encontramos son robos y destrucción, catástrofes naturales (terremotos, tsunamis, inundaciones, huracanes, entre otros), accidentes varios, y accesos no autorizados a las instalaciones. 23

24 Gestión de Operaciones y Comunicaciones
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información En todo el ciclo de vida de los diferentes procesos de gestión de información Separación de funciones Aplicación de técnicas y mejores practicas en la infraestructura En el dominio de gestión de operaciones y comunicaciones entra toda la parte técnica de gestión de la información en formato digital. Se debe proteger la misma en todo el ciclo de vida, desde la concepción, comunicación a través de redes hasta el almacenamiento de los datos. Se hace énfasis sobre la separación de funciones, por ejemplo en el caso concreto de desarrollo y personal de testing. Se destaca la importancia de tener distintos ambientes para el desarrollo y testing que procuren no interferir unos con otros. 24

25 Sistema de Control de Accesos
Control del acceso a la información de acuerdo a los requerimientos del negocio Política de control de accesos Reglas de Control de Acceso “Todo prohibido a menos que sea explícitamente permitido” Algunos tipos de reglas: De uso continuo Optativas Condicionales Tipos de control de acceso: Los tipos de control de acceso se clasifican en mandatorio o discrecional: Discrecional es el control de acceso otorgado por el dueño de datos, mandatorio por el dueño y sistemas. Se utilizan: listas de control de acceso, matrices, u otros mecanismos según el sistema. Reglas y derechos para cada usuario formalmente declarados en una política: Se debe desagregar tanto como sea posible en Sistemas específicos Diferentes módulos Se debe tener en cuenta ademas: Definir una política de divulgación y autorización Que sea concordante con legislación vigente Estandarización o agrupación en perfiles: siempre que sea posible dejar clasificaciones predefinidas y agrupar perfiles similares de acceso. Proceso de administración: formalizar un proceso para toda la administración de controles de acceso, desde su solicitud hasta su aprobación e implementación. Antes de comenzar el proceso de otorgar acceso a los datos, la premisa principal es que todo este prohibido a menos que explicitamente sea permitido. Esto se presenta en este momento de forma genérica. Pero más adelante se utiliza este mismo concepto para la configuración de accesos en los firewalls (dispositivos de seguridad perimetral) Diferenciamos además tipos de regla de acuerdo a su aplicación, existen de uso continuo (siempre), optativas y condicionales.

26 Adquisición, Desarrollo, y Mantenimiento de Sistemas de Información
Incorporación de seguridad a los sistemas de información Requerimientos identificados Controles automáticos o manuales Contemplar costos de acuerdo a la etapa en que se considera En el módulo de adquisición, desarrollo y Mantenimiento de sistemas se debe prestar especial atención a la incorporación de seguridad en todos los sistemas de información, ya sean estos comprados a terceros o desarrollados internamente. Deben identificarse claramente los requerimientos para cada caso en donde se formalizan además los referidos a la seguridad, tanto para la formulación de pliegos como para incorporarlos en los requisitos de desarrollo si se trata de desarrollos internos o modificaciones. Entre ellos se deben definir si los tipos de controles necesarios son automáticos o manuales y recordar que contemplar los costos en etapas tempranas como la de diseño siempre resulta mas económico que agregarlos con posteridad. 26

27 Administración de Incidentes de Seguridad de la Información
Minimizar el daño producido por incidentes Comunicación y concientización del personal Comunicación de incidentes: Como se realiza la comunicación Respuesta a incidentes Retromalimentación Aprendizaje Monitorear y retroalimentar El objetivo del módulo de administración de incidentes es el de minimizar el daño producido por anomalías, fallas o incidentes y realizar el correspondiente monitoreo y seguimiento para realizar las mejoras necesarias y retroalimentar el proceso. Dentro del proceso se debe tener en cuenta la comunicación de los incidentes. La misma debe realizarse a través de canales formales predefinidos y se debe tener a todo el personal alertado de la situación. Esto se realiza mediante tareas de concientización del personal de forma que estén alineados y preparados para responder ante los incidentes de forma correcta. En casos de incumplimiento o acciones incorrectas debiera existir un proceso disciplinario formal que establezca las sanciones correspondientes. Es importante desatacar el como se realiza la comunicación, que se debe hacer (respuesta a incidentes), obtener la retroalimentación que nos proporciona mejoras para el proceso y utilizarlos como aprendizaje y ejemplos para nuevas capacitaciones. 27

28 Plan de Continuidad de Negocio
¿Por qué es imporetante contar con un plan? Principales Etapas Clasificación de escenarios de acuerdo a evaluación de impacto Identificar tipos de desastres Ponderar su ocurrencia Fijar alcance a desastres con mayor probabilidad Desarrollo de estrategia de recuperación Implementación Documentación del plan Pruebas y mantenimiento En el módulo de plan de continuidad de negocio, si bien en si mismo podría ser todo un curso particular, vamos a mencionar las principales etapas para el desarrollo de un plan. Se desarrolla un plan porque como lo indica su título es necesario garantizar la continuidad de negocio incluso ante la ocurrencia de algún desastre o evento que pueda interrumpir el normal funcionamiento de los principales procesos del negocio. Tener un plan es muy importante para minimizar tiempos de respuesta y establecer un proceso formal en que cada persona sepa como actuar y no se dejen elementos al azar para resolver ante la ocurrencia misma del evento. Este proceso será probado y además pensado con calma y establecerá las mejores soluciones posibles mientras que dejarlo al azar provocaría respuestas reactivas que no necesariamente serán las mejores. Cuanto menos detalles se puedan dejar al azar tendremos un proceso de continuidad y recuperación mas controlado. Las principales etapas son: Clasificación de distintos escenarios posibles, identificando los tipos de desastres que podrían ocurrir, y ponderar las ocurrencias en términos de impacto y probabilidad (como se vio en el módulo de gestión de riesgos). Luego se desarrollaran para los escenarios planteados distintas estrategias de recuperación en donde se escogerán las mejores. Implementación del plan. Documentación: con todos los datos necesarios en un plan escrito formal. Pruebas y mantenimiento: se realizarán pruebas que emulan escenarios como los planteados. 28

29 Plan de Continuidad de Negocio
Evaluación de impacto implica: Usuarios clave Funciones críticas Tiempos de tolerancia Estimaciones económicas Funciones a la hora de recuperación Selección de estrategia de recuperación Elaboración de estrategias y clasificación Definir alternativas Analizar costos Elegir mejores estrategias En la evaluación de impacto se deben tener en cuenta los puntos definidos. Definir los perjuicios claves en la evaluación de impacto en el negocio, identificar usuarios claves del proceso, relevar las funciones críticas, definir los tiempos máximos de tolerancia para la recuperación, realizar estimaciones económicas de potenciales pérdidas y costos, y definir funciones críticas identificadas para la recuperación. En la etapa de elaboración de estrategias de recuperación se debe analizar el impacto de los desastres clasificados según la prioridad establecida por las funciones críticas identificadas, definir diferentes alternativas de procesamiento, analizar costos actuales y futuros de las soluciones preseleccionadas, y por último elegir entre las mismas las que se consideren mejores soluciones 29

30 Plan de Continuidad de Negocio
Documentación del plan Desarrollo de procedimientos técnicos y funcionales Desarrollo de inventarios Pruebas y mantenimiento Pruebas: Desarrollo de disintos casos Alinear a la realidad en la medida de lo posible Mantenimiento: Mecanismo para la actualización Realizar pruebas periódicas En la etapa de documentación se debe tener en cuenta la separación de la misma en función de procedimientos técnicos y funcionales. Se debe realizar un inventario tanto de personal, como de hardware, software y otros materiales involucrados. En la etapa de pruebas se deben desarrollar varios casos para realizar distintas pruebas que puedan emular situaciones reales. Las pruebas pueden clasificarse a su vez de acuerdo a distintos niveles: pueden realizarse pruebas de revisiones estructuradas del plan, simulaciones e incluso interrupciones completas. En la etapa de mantenimiento se deben definir mecanismos para la actualización y la realización de pruebas periódicas del mismo. 30

31 Cumplimiento Requisitos Legales
Impedir infracciones y violaciones de las leyes vigentes Diferentes etapas de sistemas adecuado a requisitos legales. Asesoramiento sobre requisitos legales específicos Identificación de la legislación aplicable Revisiones de la política de seguridad y la compatibilidad técnica El último dominio es el relacionado con el cumplimiento con requisitos legales y regulaciones que puedan existir y que son diferentes de acuerdo al país, pero en definitiva lo que se busca es no incurrir en eventuales infracciones y violaciones que puedan perjudicar el negocio. Se deben contemplar entonces las obligaciones establecidas por la ley, estatutos o normas, reglamentos y contratos de seguridad. Luego todas las etapas desde el diseño la operación y el uso de sistemas debe estar acorde a los requisitos legales y normativos. Debemos complementar con el asesoramiento por parte de abogados con experiencia o conocimientos del tema sobre requisitos específicos que puedan exisitr de acuerdo al giro de nuestro negocio en particular. Debemos definir y documentar claramente los requisitos existentes legales y normativos para cada sistema de información de la empresa. Por ultimo se debe revisar la política de seguridad en contraposición con la compatibilidad técnica para garantizar la compatibilidad de los sistemas con la legislación y/o normativas de seguridad, y realizar una revisión periódica también en referencia a este dominio y cambios posibles, además de auditorias que verifiquen la operación adecuada. 31

32 Cumplimiento Auditoria de Sistemas
Optimizar la eficacia del proceso de auditoria y minimizar problemas u obstáculos mediante la utilización de: Controles de protección de herramientas de auditoria Asegurar integridad del proceso Evitar uso inadecuado de las mismas Es importante destacar la necesidad de la realización de auditorias de sistemas. ¿Para que sirven? Las auditorias permiten tener una visión objetiva que encuentre problemas a solucionar o mejorar. Las auditorias tanto internas como externas permiten incorporar al proceso controles adecuados, asegurar la integridad y evitar usos inadecuados debido a que se sigue el proceso de inicio a fin y se documentan las irregularidades encontradas. 32

33 Resumen La norma ISO nos da un marco completo para comenzar a implementar seguridad de la información en una empresa Sin importar si realmente se piensa certificar la empresa o no, este marco permite mejorar todos los procesos con respecto a la seguridad de la información Muchas de las indicaciones no dicen “como” pero indican “que” se debe hacer dejando un amplio espectro para buscar las mejores soluciones particulares para cada caso. 33

Descargar ppt "Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui."

Presentaciones similares

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.

REQUISITOS GENERALES PARA LA COMPETENCIA DE LOS LABORATORIOS DE ENSAYO Y DE CALIBRACION NTG ISO/IEC 17025:2005 CURSO AUDITORES INTERNOS RELABSA UVG MAYO.
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
XVIII Exposición Latinoamericana del Petróleo

XVIII Exposición Latinoamericana del Petróleo
Módulo N° 7 – Introducción al SMS

Módulo N° 7 – Introducción al SMS
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
Seguridad Informática

Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign www.smartcampaign.org/portada Principio #4-

Principio #4 – Comportamiento Ético del personal Esta presentación es hecha posible por The Smart Campaign Principio #4-
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
Nombre: Claudia Grandi Bustillos

Nombre: Claudia Grandi Bustillos
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
PROPIEDAD DEL CLIENTE.

PROPIEDAD DEL CLIENTE.
Www.iso27002.es.

Materia: Tecnología de la Información

Materia: Tecnología de la Información
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
ISO GESTIÓN DE SERVICIOS DE TI

ISO GESTIÓN DE SERVICIOS DE TI
SISTEMA ELECTRONICO DE AVALUOS INMOBILIARIOS VERSION WEBSERVICES

SISTEMA ELECTRONICO DE AVALUOS INMOBILIARIOS VERSION WEBSERVICES

Presentaciones similares

Anuncios Google