SISTEMA DE GESTION DE LA
SEGURIDAD DE LA INFORMACION
(ISO/IEC 27001)
1
Temario del Curso
• Conceptos fundamentales.
– Seguridad de la información.
– Normas aplicables.
• Las Normas ISO/IEC 17799 -- ISO/IEC 27001
• Conceptos fundamentales de las etapas del ciclo del SGSI
– Plan/Do/Check/Act
• Factores de Éxito.
• Anexos
– Términos.
– Caso
2
Conceptos Fundamentales
¿De que información estamos hablando?
¿Qué tan expuestos estamos?
3
Información a Proteger
• ¿Cual es la información más valiosa que manejamos?
–
–
–
–
–
4
La información asociado a nuestros clientes.
La información asociado a nuestras ventas.
La información asociada a nuestro personal.
La información asociada a nuestros productos.
La información asociada a nuestras operaciones.
¿Riesgos?
• Pero si nunca paso nada!!.
– Esto no real.
– Lo que sucede es que hoy sabemos muy poco.
• La empresa necesita contar con información sobre la cual tomar
decisiones a los efectos de establecer controles necesarios y
eficaces.
5
Amenazas
Password cracking
Escalamiento de privilegios
Fraudes informáticos Puertos vulnerables abiertos
Man in the middle
Exploits
Violación de la privacidad de los empleados
Servicios de log inexistentes o que no son chequeados
Denegación de servicio
Backups inexistentes
Destrucción de equipamiento
Últimos parches no instalados
Instalaciones default
Desactualización
6
Keylogging
Port scanning
Hacking de Centrales Telefónicas
Más Amenazas!!
Spamming
Violación de contraseñas
Intercepción y modificación y violación de e-mails
Captura de PC desde el exterior
Virus
Incumplimiento de leyes y regulaciones
Mails anónimos con agresiones
Interrupción de los servicios
Ingeniería social
Programas “bomba, troyanos”
Destrucción de soportes documentales
Acceso clandestino a redes
Robo o extravío de notebooks, palms
Propiedad de la información
Robo de información
Indisponibilidad de información clave
Intercepción de comunicaciones voz y
wireless
Falsificación de información
Agujeros de seguridad de redes conectadas
para terceros
Acceso indebido a documentos impresos
7
empleados deshonestos
Vulnerabilidades Comunes
•
•
•
•
•
Inadecuado compromiso de la dirección.
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignación de responsabilidades.
Ausencia de políticas/ procedimientos.
Ausencia de controles
– (físicos/lógicos)
– (disuasivos/preventivos/detectivos/correctivos)
• Ausencia de reportes de incidentes y vulnerabilidades.
• Inadecuado seguimiento y monitoreo de los controles.
8
Seguridad de la Información
9
¿Seguridad de la Información ?
• La información es un activo que como otros activos importantes
tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma que
tome o los medios por los que se comparte o almacene.
10
¿Seguridad de la Información ?
• La seguridad de la información se caracteriza aquí como la
preservación de:
– su confidencialidad, asegurando que sólo quienes estén autorizados
pueden acceder a la información;
– su integridad, asegurando que la información y sus métodos de proceso
son exactos y completos.
– su disponibilidad, asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran.
11
Normas Internacionalmente reconocidas
Reconocimiento internacional
12
Normas aplicables
• Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Información,
podemos encontrar los siguientes:
– ISACA: COBIT
– British Standards Institute: BSI
– International Standards Organization: Normas ISO
– Departamento de Defensa de USA: Orange Book / Common Criteria
– ITSEC – Information Technology Security Evaluation Criteria:
White Book
– Sarbanes Oxley Act, HIPAA
13
¿Cómo establecer los requisitos?
• Es esencial que la Organización identifique sus requisitos de seguridad.
• Existen tres fuentes principales.
• La primer fuente procede de la valoración de los riesgos de la
Organización. Con ella:
- Se identifican las amenazas a los activos,
- Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia.
- Se estima su posible impacto.
14
¿Cómo establecer los requisitos?
• La segunda fuente es el conjunto de requisitos legales,
estatutarios, regulatorios y contractuales que debe satisfacer:
-
la Organización,
sus socios comerciales,
los contratistas
los proveedores de servicios.
• La tercera fuente está formada por los principios, objetivos y
requisitos que la Organización ha desarrollado para apoyar sus
operaciones.
15
¿Las normas ISO/IEC 17799, ISO/IEC 27001?
¿Quien es quien?
16
Origen de la normativa
• Grupo de trabajo – enero 1993
• Emisión de código – Septiembre 1993
• Publicación de BS 7799-1 Febrero 1995
• Publicación de BS 7799-2 Febrero 1998
• Publicación BS7799: 1999 1 y 2 Abril 1999
• ISO 17799 (BS 7799-1) – Diciembre 2000
• BS 7799-2 - Publicado en Septiembre 2002.
• ISO 17799 - Publicado Julio 2005
• ISO 27001 – Publicado Noviembre 2005.
17
¿ISO/IEC 27001 – ISO/IEC 17799?
• British Standard 7799 Parte 1 – Es un código de mejores prácticas
que se sugieren: “....deberían...”
• ISO/IEC 17799-2000 – Basado en la BS 7799 Parte 1.
– No hay una certificación.
– 10 Áreas de Control
– 36 Objetivos de Control
– 127 Controles
18
¿ISO/IEC 27001 – ISO/IEC 17799?
• British Standard 7799 Parte 2 – Aporta conceptos de implantación
obligatorios para certificar: “...deben...”
–
–
–
–
Requisitos para Sistemas de Gestión de Seguridad de la información.
Vinculada con la BS 7799-1 (ISO/IEC 17799)
Proceso de Evaluación para Certificación.
Obsoleta.
• ISO/IEC 27001.
– Basada en la BS 7799:2
• Versiones actuales:
– ISO/IEC 17799:2005 / ISO/IEC 27001: 2005
19
ISO/IEC 17799:2000
• 10 Áreas de Control
–
–
–
–
–
–
–
–
–
–
20
Política de Seguridad
Aspectos organizativos para la seguridad
Clasificación y control de los activos
Seguridad ligada al personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de continuidad del negocio
Conformidad
ISO/IEC 17799:2005
• 11 Áreas de Control
–
–
–
–
–
–
–
–
–
–
–
21
Política de Seguridad
Organización de la Seguridad de la Información
Gestión de Activos
Seguridad en los Recursos Humanos
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Adquisición, desarrollo y mantenimiento de sistemas de información
Gestión de incidentes de seguridad
Gestión de continuidad del negocio
Conformidad
Certificados BS 7799-2 / ISO/IEC 27001
• 2800 Empresas Certificadas a nivel mundial.
–
–
–
–
–
1800 en Japón.
415 Reino Unido
11en Brasil.
3 en Argentina.
¿Uruguay?
• Certificación ISO/IEC 27001.
– Implica la misma certificación, por parte de organismos locales a nivel
mundial.
– Es razonable considerar un crecimiento equiparable al de normas ISO ya
existentes.
22
Relación entre Normas
BSI
ISO/IEC
BS 7799 - 1
ISO/IEC 17799
BS 7799 - 2
23
UNIT (Ej. Uruguay)
UNIT/ISO/IEC 17799
UNIT 17799:2
(2005)
Nuevas Versiones ISO/IEC
ISO/IEC
ISO/IEC
ISO/IEC 17799
(2000)
ISO/IEC 17799
(2005)
BSI
BS 7799 - 2
24
ISO/IEC 27001
(2005)
SGSI - Modelo P-H-V-A
Metodología de la ISO/IEC 27001
25
SGSI
• El sistema de gestión de la seguridad de la información (SGSI) es
la parte del sistema de gestión de la empresa, basado en un
enfoque de riesgos del negocio, para:
–
–
–
–
–
establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la información.
• Incluye.
– Estructura,
políticas,
actividades,
procedimientos, procesos y recueros.
26
responsabilidades,
prácticas,
(Planificar /Hacer /Verificar /Actuar)
• Modelo utilizado para establecer, implementar, monitorear y mejorar el
SGSI.
PlanificarEstablecer
el SGSI
Actuar
Mantener y
Mejorar el SGSI
Partes
Interesadas
Requisitos y
expectativas
27
Partes
Interesadas
Implementar y
operar el SGSI
Hacer
Monitorear
el SGSI
Verificar
Seguridad
Gestionada
(Planificar /Hacer /Verificar /Actuar)
• El SGSI adopta el siguiente modelo:
Definir la política de seguridad
Implantar el plan de gestión de riesgos
Establecer el alcance del SGSI
Realizar los análisis de riesgos
Implantar el SGSI
Planificar
Hacer
Seleccionar los controles
PHVA
Adoptar acciones correctivas
Actuar
Adoptar acciones preventivas
28
Verificar
Implantar los controles.
Implantar indicadores.
Revisiones del SGSI por parte de
la Dirección.
Realizar auditorías internas del SGSI
Establecer el SGSI (Plan)
• Establecer la política de seguridad, objetivos, metas, procesos y procedimientos
relevantes para manejar riesgos y mejorar la seguridad de la información para
generar resultados de acuerdo con una política y objetivos marco de la
organización.
• Definir el alcance del SGSI a la luz de la organización.
• Definir la Política de Seguridad.
• Aplicar un enfoque sistémico para evaluar el riesgo.
– No se establece una metodología a seguir.
29
Establecer el SGSI (Plan)
• Identificar y evaluar opciones para tratar el riesgo
– Mitigar, eliminar, transferir, aceptar
• Seleccionar objetivos de Control y controles a implementar (Mitigar).
– A partir de los controles definidos por la ISO/IEC 17799
• Establecer enunciado de aplicabilidad
30
Implementar y operar (Do)
• Implementar y operar la política de seguridad, controles, procesos y
procedimientos.
• Implementar plan de tratamiento de riesgos.
– Transferir, eliminar, aceptar
• Implementar los controles seleccionados.
– Mitigar
• Aceptar riesgo residual.
– Firma de la alta dirección para riesgos que superan el nivel definido.
31
Implementar y operar (Do)
• Implementar medidas para evaluar la eficacia de los controles
• Gestionar operaciones y recursos.
• Implementar programas de Capacitación y concientización.
• Implementar procedimientos y controles de detección y respuesta a incidentes.
32
Monitoreo y Revisión (Check)
• Evaluar y medir la performance de los procesos contra la política de seguridad,
los objetivos y experiencia practica y reportar los resultados a la dirección para
su revisión.
– Revisar el nivel de riesgo residual aceptable, considerando:
• Cambios en la organización.
• Cambios en la tecnologías.
• Cambios en los objetivos del negocio.
• Cambios en las amenazas.
• Cambios en las condiciones externas (ej. Regulaciones, leyes).
– Realizar auditorias internas.
– Realizar revisiones por parte de la dirección del SGSI.
33
Monitoreo y Revisión (Check)
• Se debe establecer y ejecutar procedimientos de monitoreo para:
• Detectar errores.
• Identificar ataques a la seguridad fallidos y exitosos.
• Brindar a la gerencia indicadores para determinar la adecuación de los
controles y el logro de los objetivos de seguridad.
• Determinar las acciones realizadas para resolver brechas a la seguridad.
• Mantener registros de las acciones y eventos que pueden impactar al SGSI.
• Realizar revisiones regulares a la eficiencia del SGSI.
34
Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los resultados de la
revisión de la dirección, para lograr la mejora continua del SGSI.
– Medir el desempeño del SGSI.
– Identificar mejoras en el SGSI a fin de implementarlas.
– Tomar las apropiadas acciones a implementar en el ciclo en cuestión
(preventivas y correctivas).
– Comunicar los resultados y las acciones a emprender, y consultar con todas
las partes involucradas.
– Revisar el SGSI donde sea necesario implementando las acciones
seleccionadas.
35
Documentación del SGSI
Contenido de los documentos
Describe el sistema de gestión de la seguridad
MANUAL DE
SEGURIDAD
PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)
REGISTROS
36
Describe los procesos y las actividades
Describe tareas y requisitos
Son evidencias objetivas de la ejecución
de procesos, actividades o tareas
Requisitos de Certificación del SGSI
• La norma establece
Documentar un SGSI.
–
–
–
–
–
–
–
–
–
37
requisitos
para
Establecer,
Definir el alcance del SGSI (fronteras)
Definir una política de seguridad
Identificar activos
Realizar el análisis de riesgos de activos.
Identificar las áreas débiles de los activo
Tomar decisiones para manejar el riesgo
Seleccionar los controles apropiados
Implementar y manejar los controles seleccionados
Elaborar la declaración de aplicabilidad
Implementar
y
Objetivos de auditoria
•
•
•
•
Para obtener la certificación.
Revisar conformidad con la norma (ISO/IEC 27001)
Revisar grado de puesta en práctica del sistema
Revisar la eficacia y adecuación en el cumplimiento de:
– Política de seguridad
– Objetivos de seguridad
•
•
•
•
Identificar las fallas y debilidades en la seguridad
Proporcionar una oportunidad para mejorar el SGSI
Cumplir requisitos contractuales.
Cumplir requisitos regulatorios.
38
Certificación del SGSI
• La certificación no implica que la organización a obtenido determinado
niveles de seguridad de la información para sus productos y/o servicios.
• Las organizaciones certificadas pueden tener mayor confianza es su
capacidad para gestionar la seguridad de la información, y por ende
ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen
negocios.
• Procesos análogos a los de las normas ISO 9001 e ISO 14000.
• Certificado con duración de 3 años.
39
Certificación del SGSI
• En cada País
– Actualmente en proceso de homologación por las instituciones locales.
– Opciones:
• (Ej. Uruguay) UNIT/ISO/IEC 27001:2006
• (Ej. España) AENOR UNE 71502
• ISO/IEC 27001.
• Internacionalmente
– El más amplio reconocimiento.
– Ampliamente reconocida a nivel profesional.
– Estándar de la industria.
– Requerida por importantes empresas a sus Proveedores.
40
Finalizando
41
Comencemos el proceso
• Reporte cualquier Incidente, evento, debilidad, etc. que a su entender
afecte a la seguridad (disponibilidad, integridad, confidencialidad)
• No divulgue información sensible.
• Destruya adecuadamente la información sensible.
• Siga los lineamientos, políticas y procedimientos que se le distribuirán.
• Haga preguntas.
42
Comencemos el camino.
• Mantenga su contraseña confidencial.
• Sea conciente de los riesgos que están asociados a una acción o recurso.
• Las medidas implementadas tienen un motivo.
– Lo no prohibido NO esta expresamente permitido.
• Nuestra seguridad depende de usted.
• La obtención de la certificación también.
43
Comentario Finales
• ¿Preguntas?
• Consultas
– [email protected]
44
Descargar

Presentación de PowerPoint