Beruflich Dokumente
Kultur Dokumente
ndice
Seguridad de la Informacin
Es la herramienta de la organizacin para dotarse en cada momento de las medidas de seguridad oportunas, que proporcionen los niveles de proteccin de la informacin que en cada momento sean necesarias, de la forma mas eficiente, en un entorno de mejora continua.
Seguridad de la Informacin
Es un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Ayuda a establecer polticas y procedimientos en relacin a los objetivos del negocio de la organizacin, con el objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.
4
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
Qu es un Sistema de Gestin de Seguridad de la Informacin? Es un conjunto de polticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de informacin dentro de unos niveles asumibles por la direccin y mejorar la seguridad de la informacin para apoyar los procesos de negocio a travs del ciclo de mejora continua.
Planificar Establecer el SGSI Actuar Hacer Mantener y Implantar y Mejorar el SGSI Operar el SGSI Comprobar Monitorizar y Revisar el SGSI
Seguridad de la Informacin
3.- Gestionarlo
Tercero 1.- Polticas medir cmo 2.- Procedimientos van las cosas 3.- Implantacin
4.- Eficacia
6
Tuesday, October 1, 2013 Seguridad de la Informacin
Normas de referencia
Seguridad de la Informacin
UNE/ISO 17799:2002
ISO 27001:2005 ISO 27002:2005
Seguridad de la Informacin
UNE-ISO/IEC 27001
ISO/IEC 27002
2007
10
Seguridad de la Informacin
11
Seguridad de la Informacin
12
Seguridad de la Informacin
13
Seguridad de la Informacin
14
Seguridad de la Informacin
15
Seguridad de la Informacin
16
Seguridad de la Informacin
17
Seguridad de la Informacin
18
Seguridad de la Informacin
19
Seguridad de la Informacin
20
Seguridad de la Informacin
21
Seguridad de la Informacin
Seguridad, de qu estamos hablando? La seguridad de la informacin se caracteriza como la preservacin de la su Confidencialidad, Integridad y Disponibilidad NECESIDADES SEGURIDAD DE NUESTRO CONFIDENCIALIDAD NEGOCIO S
INTEGRIDAD
DISPONIBILIDAD
E G U R I D A D
AUTENTICACION
NO REPUDIO
TRAZABILIDAD
22
Seguridad de la Informacin
ndice
Seguridad de la Informacin
Anlisis de Riesgos
Elemento fundamental de un Sistema de Gestin de la Seguridad de la Informacin Es el proceso de identificar los riesgos de la seguridad, determinando su magnitud e identificando las reas que requieren medidas de salvaguarda
24
Seguridad de la Informacin
Anlisis de Riesgos
El anlisis de riesgos intenta que los criterios en los que se apoya la seguridad sean mas objetivos
Introduce un grado importante de objetividad Permite a la organizacin gestionar sus riesgos por s mismos Apoyar la toma de decisiones basndose en los riesgos propios Centrarse en proteger los activos importantes Formar y comunicar los aspectos de la seguridad necesarios
26
Seguridad de la Informacin
Vulnerabilidades
Afecta a Aumenta
Aumenta
Salvaguardas
Disminuye
Riesgo
Aumenta Indica
Activos
Satisfecho por
Tiene
Requisitos de seguridad
Valor de activos
27
Seguridad de la Informacin
Afecta a
Aumenta
Riesgo
Aumenta
Satisfecho por
Indica
Tiene
Requisitos de seguridad
28
Seguridad de la Informacin
Que es la accin de neutralizar un riesgo considerado no aceptable. La accin se plasma en la implantacin de salvaguardas. Salvaguardas escogidas entre alternativas + o excluyentes. El estado final de seguridad alcanzado puede no coincidir con el estado final de seguridad deseado. Pueden entran en juego restricciones: legales, econmicas, tcnicas, temporales, sociales, culturales, etc.
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
29
Anlisis de Riesgos. Metodologas de Anlisis de Riesgos NIST SP800-30(NIST-USA). MAGERIT AS/NZ (Estandar Australiano) IT Baseline Protection Manual (BSI - Alemania). CRAMM (Siemens Insight Consulting - UK) OCTAVE (SEI Carnegie Mellon University - US). EBIOS (DCSSI-Francia). MHARI (Mthode Harmonise dAnalyse de Risques Informatiques). 565 , herramienta RISICARE (9200+565 formacin extranjero) Otras: COBRA, SCORE, CALIO, ISAAM, RA2, MOSLER, Gretener, etc.
30
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
Gestin de Riesgos
Anlisis de los Riesgos: proceso sistemtico para identificar y estimar la magnitud del riesgo sobre un sistema de informacin.
Activos Amenazas Vulnerabilidades Anlisis de Riesgos Riesgos Gestin de Riesgos Salvaguardas
Gestin de los Riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. 31
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
Gestin de Riesgos.
Fuentes de las necesidades de seguridad Legislacin, estatutos, contratos Necesidades del negocio Anlisis de riesgos
SEGURIDAD PRINCIPIOS OBJETIVOS ANLISIS DE RIESGO LEGAL CONTRACTUAL
Gestin de Riesgos.
Evitarlo: Suprimir las causas del riesgo: Activo, Amenaza, Transferirlo: Cambiar un riesgo por otro: Outsourcing, Reducirlo: Reducir la amenaza, vulnerabilidad, impacto Asumirlo: Detectar y recuperarse
33
Seguridad de la Informacin
Gestin de Riesgos.
Identificar requisito de seguridad
Se acepta el riesgo
No
Hacemos algo?
Si
Eliminar el origen del riesgo, o transferirlo
No
Reducimos riesgo?
Si
Proceso de reduccin de nivel de riesgo Seleccin de controles
34
Seguridad de la Informacin
Qu es un Sistema de Gestin? Es un mtodo para establecer la poltica y Objetivos de una organizacin y lograrlos, Mediante: Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas estn definidas Procesos y recursos necesarios para lograr los objetivos Metodologa de medida y de evaluacin para valorar los resultados frente a los objetivos, incluyendo la realimentacin de resultados para planificar las mejoras del sistema Un proceso de revisin para asegurar que los problemas se detectan y se corrigen, y las oportunidades de mejora se implementan cuando estn justificadas
35
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
37
Seguridad de la Informacin
Manual de seguridad
DOCUMENTOS DE NIVEL 1 Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI.
38
Seguridad de la Informacin
Procedimientos
DOCUMENTOS DE NIVEL 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.
39
Seguridad de la Informacin
40
Seguridad de la Informacin
Registros
DOCUMENTOS DE NIVEL 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
41
Seguridad de la Informacin
43
Seguridad de la Informacin
44
Seguridad de la Informacin
Planificar
Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo
Establecer el SGSI Actuar Hacer Mantener y Implantar y Mejorar el SGSI Operar el SGSI Comprobar Monitorizar y Revisar el SGSI
Definir e implantar plan de gestin de riesgos Implantar controles seleccionados y sus indicadores Implantar el Sistema de Gestin
Desarrollar procedimientos de monitorizacin Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI
45
Seguridad de la Informacin
Establecer el SGSI
46
Seguridad de la Informacin
49
Seguridad de la Informacin
50
Seguridad de la Informacin
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
53
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
56
Seguridad de la Informacin
57
Seguridad de la Informacin
Poltica de seguridad coherente con los objetivos de negocio Un sistema consistente con la cultura de la organizacin Un buen anlisis de los requerimientos de seguridad Buena comunicacin de la seguridad a todo el personal Mtricas e indicadores que permitan saber cmo funciona el SGSI Distribucin de guas de seguridad Soporte de la direccin Recursos Formacin y concienciacin de incidentes
Seguridad de la Informacin 2011 Edwin Valencia Castillo.
10. Gestin
58
ndice
Seguridad de la Informacin
ISO 27002
60
Seguridad de la Informacin
ISO 27002 Da recomendaciones para gestionar la seguridad Es una base comn para desarrollar ...
normas de seguridad organizativas, prcticas efectivas de gestin de la seguridad y la confianza organizaciones en las relaciones entre
61
Seguridad de la Informacin
ISO 27002
Con origen en la norma britnica BS7799-1, constituye un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin. Establece la base comn para desarrollar normas de seguridad dentro de las organizaciones. Define doce dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin. 41 objetivos de control y 133 controles.
62
Seguridad de la Informacin
63
Seguridad de la Informacin
(7 Objetivo, 25 Controles)
(6 Objetivo, 16 Controles)
Control de acceso
Anlisis de Riesgos
Comunicaciones y operaciones
(2 Objetivo, 5 Controles)
(1 Objetivo, 5 Controles)
(2 Objetivos)
(3 Objetivo, 9 Controles)
(2 Objetivo, 13 Controles)
Seguridad fsica
Organizacin de la seguridad
(2 Objetivo, 11 Controles)
Gestin de activos
(2 Objetivo, 5 Controles)
Poltica de Seguridad
(1 Objetivo, 2 Controles)
64
Seguridad de la Informacin
ISO 27002
65
Seguridad de la Informacin
ISO 27002
66
Seguridad de la Informacin
ISO 27002
67
Seguridad de la Informacin
ISO 27002
68
Seguridad de la Informacin
ISO 27002
69
Seguridad de la Informacin
ISO 27002
70
Seguridad de la Informacin
ISO 27002
71
Seguridad de la Informacin
ISO 27002
72
Seguridad de la Informacin
ISO 27002
73
Seguridad de la Informacin
ISO 27002
74
Seguridad de la Informacin
ISO 27002
75
Seguridad de la Informacin
ISO 27002
76
Seguridad de la Informacin
ISO 27002
77
Seguridad de la Informacin
Gestin de la Seguridad . Factores de xito Orientacin al negocio Liderazgo de la direccin Participacin del personal Seguridad basada en riesgo Enfoque basado en procesos, no en productos Enfoque de sistema de gestin Medicin y mejora continua Toma de decisin basada en hechos Gestin planificada de incidentes
78
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
ndice
Seguridad de la Informacin
Consultora
Desarrollo e implantacin del SGSI Auditora interna Correccin de no conformidades Auditora de certificacin
Certificadora
80
Seguridad de la Informacin
Proceso de Certificacin
SOLICITUD + MANUAL+ PROCEDIMIENTOS REVISIN DE DOCUMENTACIN
DOC. COMPLETA Y ADECUADA SI
NO
C i c l o c o m p l e t o
SI
AUDITORA INICIAL
ACCIONES CORRECTORAS VALIDAS SI
NO
NO
81
Seguridad de la Informacin
Ejemplo simplificado del diagrama de flujos de una Auditora de Applus+ de certificacin SGSI
CLIENTE
Inicio de la auditora
AUDITORA DOCUMENTAL
AUDITORIA IN SITU
DOCUM ENTACIN
. Descripci n de l a organi zaci n . Descripci n de l os m edi os tcni cos de SGSI . Descripci n breve del SGSI . Al cance . Pol i ti cas y norm as . Decl aracion de apl i cabi l i i dad . anal i si s de ri esgos . Pl an de gesti n de ri esgos . Procedim i entos criti cos
No
Certi fi cable?
Si Si
Hay No Conformi dades?
Acciones correctivas
Plan de Auditora
Acciones correctivas
. . . . .
Implicacin de direccin Auditora controles Revisin registros Revisin indicadores Pruebas sustantivas
Informe Auditora
Si
Certif icable?
No
Si
Corregible?
No
82
Seguridad de la Informacin
Conclusiones
Los procesos de negocio dan dinero, los Sistemas de Informacin apoyan estos procesos Cada da hay nuevos problemas potenciales: problemas tcnicos, personal inexperto, accidentes, etc. La seguridad orientada a productos no es suficiente Hay que conocer el riesgo y priorizar recursos para controlarlo El proceso de anlisis y control tiene que ser continuo travs de un proceso de medicin del desempeo Este es el espritu de las normas sobre SGSI ISO 27001 e ISO 27002
Seguridad de la Informacin 2011 Edwin Valencia Castillo.
83
SEGURIDAD DE LA INFORMACION
Preguntas y Respuestas