Post on 20-Jan-2016
Implantando un Sistema de Gestión de Seguridad de la Información alineado al estándar ISO/IEC 27001:2005
Marcos Sotelo B.Mg. Ciencias de la Computación Especialista Sénior en TI - BCRP
Módulo 1:Agenda
Agenda
El Plan del Proyecto SGSI
Entendiendo ISO/IEC 27001-2
Análisis de brecha
Sensibilización y capacitación
1 Introducción
Objetivos
Comprender el objetivo y los alcances de los estándares
ISO/IEC 27001:2005 e ISO/IEC 27002:2005
Identificar qué es la seguridad de la información de acuerdo
con los lineamientos del estándar.
Entender qué es un SGSI.
Comprender los pasos necesarios para el desarrollo de un sistema
SGSI bajo ISO/IEC 27001:2005.
¿Qué es información?
Permite tomar decisiones o bien concluir
sobre una acción a seguir.
Como cualquier otro activo del negocio, tiene valor.
Información
Aplicaciones y base de
datos
Computaciónmóvil
Redes de
datos
Internet
DocumentosUsuarios
Activo de Información
Los procesos generan valor a la organización y para cumplir su misión requieren de información.Por consiguiente, la información y los activos utilizados en su gestión, demandan una adecuada seguridad.Un buen % de información está en formato digital.
7
Activo de Tecnologías de Información (TI)Los Procesos cada vez más son asistidos por Servicios TI
Un Servicio TI es un conjunto integrado de Activos TI
Los Activos TI son de diversos tipos (Base de datos, equipos, software, locales, personas, etc.)
Los servicios TI también se gestionan por medio de procesos.
(*) Un activo de información, es la propia información o un activo involucrado en el tratamiento de esta. Un activo TI es un tipo de activo de información.
8
LBTR
Administración de sistemas de
pagos
Administración de las reservas internacionales
Servidor de BD (Oracle)
Servidor de aplicaciones
(SUN)
Plataforma computacional(SUN Solaris, MS Windows)
Sistema de almacenamiento(SAN Hitachi)
Base de datos
Aplicación
Centro de datosRed (Cisco)
SIMC SAC TThru
Administración del circulante
Operaciones monetarias y cambiarias
Planeamiento TI
Soluciones TI
Servicios TI
Riesgos TI
G T I
…
…
¿Qué es Seguridad de la Información?
Es el conjunto de metodologías, prácticas y procedimientos que buscan proteger la información como activo valioso contra diferentes amenazas a las que está expuesta y asegurar la continuidad del negocio.
Seguridad de la Información
10
Confidencialidad
Integridad Disponibilidad
Información(Dimensiones)
Prevenir Divulgación no autorizado
Prevenir Cambios no autorizados
Prevenir para que pueda ser utilizada oportunamente
6+5 =
Autenticidad(quien hace uso de datos o
servicios)
Trazabilidad (uso de servicios (quién,
cuándo) o datos (quien y que hace)
Consiste en preservar sus atributos o dimensiones de valoración [CIDAT].
7x24x365
Busca preservar
Confidencialidad¿Qué pasa si la información cae en manos de personas no autorizadas, como por ejemplo un delincuente, un reportero o un competidor?
Integridad¿Qué pasa si la información se corrompe o se altera accidentalmente o intencionalmente?
Disponibilidad¿Qué pasa si la información no está accesible por cierto tiempo?
Seguridad de la informaciónISO/IEC 27002 caracteriza a la seguridad de la información como la preservación de:
Integridad – Garantizar la exactitud de la información y que siempre sea completa.
Disponibilidad – asegurar que los usuarios autorizados tienen acceso a la información en el momento que la requieran.
Confidencialidad – asegurar que la información es accesible solo a aquellas personas autorizadas.
Requerimiento mínimo
Seguridad de la información
“Cada organización deberá establecer el valor que tienen las características de seguridad para cada uno de sus activos o
bienes de información”
Estra
tégic
o
Táctic
o
Incidentes
14
Gestión de Seguridad de la Información: El estándar ISO/IEC 27001
Estándar certificable y auditable,Incorpora el modelo de mejora continua PDCA:
Plan. Establecer el SGSI,Política y Análisis de Riesgos
Do. Implementar y operar controles,Check. Monitorear y evaluar,Act. Mantener y mejorar.
Objetivos de Control y Controles ISO 27001
SGSI – ISO 27001
Factores de éxito
Apoyo visible por parte de la dirección general .
Objetivos de Seguridad que soporten o reflejen los
objetivos de la organización.
Controles compatibles con la cultura de la
organización. Conocimiento acerca de los requerimientos de
seguridad y de la administración de los riesgos en la
organización.
Factores de éxito “Marketing” acerca de seguridad para los empleados
y en general para todas las partes involucradas.
Acceso eficiente de los empleados a las políticas y
procedimientos de seguridad y su adecuada
capacitación.
Mecanismo de medición de efectividad del programa
de seguridad de la información, de las políticas y
controles seleccionados y de los planes de tratamiento
del riesgo.
Gobierno y seguridad de la información
Objetivos primarios de las organizaciones
Mantener un ROI en sus actividades de negocio!!
Cumplir objetivos estratégicos.
Satisfacción de clientes y partes interesadas.
Asegurar posicionamiento de imagen.
Cumplimiento legal.
Premisas
El correcto funcionamiento de las operaciones críticas de los negocios garantizan que los objetivos sean cumplidos!!
La organización debe identificar cómo las operaciones críticas del negocio deben ser protegidas !! ¿Cómo la seguridad adiciona valor o protege las operaciones del negocio?
Negocio y SeguridadGobierno de Riesgos Controlados:
Para los riesgos de información:
Prevenir es más barato que remediar
Conocer los riesgos.
Adoptar medidas y estrategias para enfrentar los riesgos.
Objetivo: Mitigar los riesgos y llevarlos a un nivel aceptable.
Gobierno y seguridad de la información
Seguridad de la Información NO es solo un tema técnico, involucra los procesos del negocio y actividades de gobierno corporativo que aseguren una continua gestión de los riesgos y aseguramiento de los niveles de seguridad requeridos por la organización.
IT Governance Institute, op. cit., Information Security Governance: Guidance for Boards of Directors and Executive Management, 2nd Edition
Gobierno de seguridad de la información
ALTADIRECCIÓN
Áreas de Enfoque de Gobierno de SIInversión óptima en cuanto a la implementaciones de controles, infraestructura, concienciación,
etc.
Monitorea la implementación de la estrategia, la finalización
de los proyectos, el desempeño de los procesos,
mediante indicadores de gestión y/o indicadores de
desempeño
Concienciación del riesgo por de la alta direcciónEntendimiento de la aceptación del riesgo corporativoRequerimientos de obligatorio cumplimiento, Administración del riesgo en la organización
Ejecución de la propuesta de valor a través del ciclo de
entrega, garantizando que el programa de seguridad de la
Información entregue el beneficio prometido
Garantizar el enlace de los planes de negocio con la
seguridad de la información
2 Plan del Proyecto
Problema
Causas:Cultura mínima en seguridad de información (S.I.)Organización no formal de S.I. Normativa insuficienteClasificación e inventario de activos incompletoCompetencia limitada para proteger ciertos activos. 27
Limitaciones en la gestión de seguridad de la información comprometen la imagen Institucional.
Objetivos
Sensibilizar y capacitar a todo el personal,Formalizar la organización de S.I., Definir el proceso y actualizar la normativa,Clasificar activos y mantener inventario,Desarrollar la competencia de los técnicos para proteger los activos críticos.
28
Establecer un sistema de gestión de seguridad de la información alineado al estándar ISO/IEC 27001.
Alcance
Uno o más procesos.
30
Etapas del Proyecto
31
PremisasPatrocinio de la Alta Dirección
Sensibilización y educación (cultura en S.I.)Conformación del Comité Gerencial de S.I.
Toma de decisionesObtener compromisos de las UUOOProveer recursosRevisar y aprobar entregables.
Equipo de trabajo multidisciplinarioParticipación integral del personal del proceso,Apoyo de consultores en S.I. (deseable).
ReferenciasSGSI. El Portal de ISO 27000 en español.[ALE 07]. ALEXANDER, Alberto. Diseño de un Sistema de Gestión de Seguridad de la Información – óptica ISO 27001:2005. Alfaomega. 2007.
33
Gracias