Beruflich Dokumente
Kultur Dokumente
Seguridad de la Informacin
Noviembre 2011
Objetivos Conocer los fundamentos y conceptos generales de la Gestin de la Seguridad de la Informacin. Analizar las ventajas de implantar un Sistema de Gestin de la Seguridad de la Informacin. Comprender los Requerimientos Especficos para un un Sistema de Gestin de la Seguridad de la Informacin.
Qu es la Seguridad de la Informacin
La informacin = activo comercial Tiene valor para una organizacin y por consiguiente debe ser debidamente protegida. Garantizar la continuidad comercial, minimizar el dao al mismo y maximizar el retorno sobre las inversiones y las oportunidades La seguridad que puede lograrse por medios tcnicos es limitada y debe ser respaldada por una gestin y procedimientos adecuados
se identifican las amenazas a los activos, se evalan vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. Requisitos legales, normativos, contractuales que deben cumplir: reglamentarios y
la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios. Conjunto especfico de principios, objetivos y requisitos para el procesamiento de la informacin, que ha desarrollado la organizacin para respaldar sus operaciones.
Factores crticos del xito poltica de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; una estrategia de implementacin de seguridad que sea consecuente con la cultura organizacional; apoyo y compromiso manifiestos por parte de la gerencia; un claro entendimiento de los requerimientos de seguridad, la evaluacin de riesgos y la administracin de los mismos; comunicacin eficaz de los temas de seguridad a todos los gerentes y empleados;
Factores crticos del xito distribucin de guas sobre polticas y estndares de seguridad de la informacin a todos los empleados y contratistas; instruccin y entrenamiento adecuados; un sistema integral y equilibrado de medicin que se utilice para evaluar el desempeo de la gestin de la seguridad de la informacin y para brindar sugerencias tendientes a mejorarlo.
10 REAS
36 OBJETIVOS
127 CONTROLES
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Fsica y Ambiental 6. Gestin de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio
10.Cumplimiento
Poltica de Seguridad
POLTICA DE SEGURIDAD
Nivel gerencial debe: v aprobar y publicar la poltica de seguridad
POLTICA DE SEGURIDAD
Debe incluir: vobjetivos y alcance generales de seguridad vapoyo expreso de la direccin vbreve explicacin de los valores de seguridad de organizacin vdefinicin de las responsabilidades generales especficas en materia de gestin de la seguridad de informacin vreferencias a documentos que puedan respaldar poltica
la
y la la
POLTICA DE SEGURIDAD
Autorizacin
Proteccin Fsica Confiabilidad Confidencialidad Propiedad
Poltica de Seguridad
Legalidad
Disponibilidad
Exactitud
Organizacin de la Seguridad
ORGANIZACION DE LA SEGURIDAD
Infraestructura de seguridad de la informacin Debe establecerse un marco gerencial para iniciar y controlar la implementacin. Deben establecerse adecuados foros de gestin de seguridad y responsabilidades para cada usuario en la organizacin. Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas
ORGANIZACION DE LA SEGURIDAD
Foros de Gestin aprobar la poltica de seguridad de la informacin, asignar funciones de seguridad actualizarse ante cambios coordinar la implementacin definir metodologas y procesos especficos seguridad monitorear incidentes de seguridad lidera el proceso de concientizacin de usuarios
de
ORGANIZACION DE LA SEGURIDAD
Principales roles y funciones
Sponsoreo y seguimiento Direccin de la Compaa Foro / Comit de Seguridad Autorizacin Dueo de datos Administracin Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado rea de sistemas
Definicin Control rea de Seguridad Informtica Auditora Interna rea de Legales/RRHH/DD/FORO Auditora Externa
ORGANIZACION DE LA SEGURIDAD
Seguridad frente al acceso por parte de terceros El acceso por parte de terceros debe ser controlado.
Debe llevarse a cabo una evaluacin de riesgos: determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte.
ORGANIZACION DE LA SEGURIDAD
Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantas de estudiantes y otras designaciones contingentes de corto plazo; consultores.
CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Informacin e Instalaciones Designar un propietario para cada uno de ellos
Clasificacin de la informacin
SEGURIDAD DEL PERSONAL Seguridad en la definicin de puestos de trabajo y la asignacin de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeo como empleado.
SEGURIDAD DEL PERSONAL Capacitacin del usuario Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de la organizacin en el transcurso de sus tareas normales.
SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalas en materia de seguridad Minimizar el dao producido por incidentes y anomalas en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.
SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedimientos de seguridad de la organizacin.
SEGURIDAD FISICA Y AMBIENTAL Permetro de seguridad fsica Controles de acceso fsico Seguridad del equipamiento Suministros de energa Cableado de energa elctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del mbito de la organizacin Polticas de escritorios y pantallas limpias Retiro de bienes
GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Se deben establecer las responsabilidades y procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. Se debe implementar la separacin de funciones cuando corresponda. Se deben documentar los procedimientos de operacin
GESTION DE OPERACIONES Y COMUNICACIONES Separacin entre instalaciones instalaciones operativas Deben separarse las instalaciones de: de desarrollo e
Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo.
GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificacin y aprobacin de sistemas Proteccin contra software malicioso Mantenimiento back up Administracin de la red Administracin y seguridad de los medios de almacenamiento Acuerdos de intercambio de informacin y software
SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Coherencia entre las polticas de control de acceso y de clasificacin de informacin de los diferentes sistemas y redes Administracin de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas y servicios de informacin.
Administracin de accesos de usuarios Administracin de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticacin de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas
DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas de informacin. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de informacin.
DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicacin Se deben disear en los sistemas de aplicacin, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validacin de datos de entrada, procesamiento interno, y salidas.
PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos crticos de los negocios de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administracin de la continuidad de los negocios Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.
PLAN DE CONTINUIDAD DEL NEGOCIO Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administracin y gestin. La administracin de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudacin oportuna de las operaciones indispensables.
PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia
Cumplimiento
CUMPLIMIENTO
Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la organizacin. Maximizar la efectividad y minimizar las interferencias de los procesos de auditora de sistemas.
CUMPLIMIENTO Recoleccin de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas especficas del tribunal en el cual se desarrollar el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma;
CUMPLIMIENTO adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el perodo en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de informacin cumplan con los estndares o cdigos de prctica relativos a la produccin de evidencia vlida.
Garantizar la compatibilidad de los sistemas con las polticas y estndares (normas) de seguridad de la organizacin.
CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.
CUMPLIMIENTO
Delitos convencionales
CUMPLIMIENTO
Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informtica en Per
o o o o Proteccin de Datos Personales Habeas Data Firma Digital. Propiedad intelectual / Software Legal Regulacin de las Comunicaciones Comerciales Publicitarias por Correo Electrnico Antispam o Delitos Informticos o Confidencialidad de la Informacin y productos protegidos o Normativa especfica del Banco Central de la Repblica Argentina
Programa Continuo de
Seguridad de la Informacin
ISO/IEC 17799
5-Poltica de Seguridad 6-Estructura Organizativa para la Seguridad 7-Clasificacin y control de Activos 8-Seguridad en el Personal
9-Seguridad fsica y del entorno 10-Gestin de Comunicaciones y operaciones
Seguridad lgica
Seguridad fsica Seguridad legal
12-Control de Accesos 13-Gestin de Incidentes de Seguridad 14-Gestin de Continuidad del negocio 15-Cumplimiento
NUEVO
Empleados descontentos
Proveedores Clientes Hackers Consultores in company Compaas asociadas
en contratos
en documentos impresos en los legajos del personal
seguridad
Breve Clara
Implementable
Puesta en marcha por la Direccin Difundida al personal y terceros
seguridad
Autorizacin
Proteccin Fsica Confiabilidad Confidencialidad Propiedad
Poltica de Seguridad
Legalidad
Disponibilidad
Exactitud
Comit de Seguridad
Autorizacin Dueos de datos Definicin Area de Legales/otras
El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca especficamente en:
Definir los riesgos emergentes ante una situacin de interrupcin no prevista del procesamiento de la informacin relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupcin en la correcta marcha del negocio.
El punto central es focalizarse especficamente en la recuperacin de las funciones y sistemas crticos para el negocio, cuya interrupcin puede afectar directamente los objetivos de la compaa.
1: 2: 3: 4: 5: 6:
Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero Testeo y mantenimiento del plan
Presentaciones grupales
Videos institucionales Firma de compromisos
Diagnstico Inicial: Efectuar Diagnstico Inicial de la situacin de la Compaa en relacin a los requerimientos de la ISO 17799.
2 a 3 semanas
Mdulos: Se agrupan por Mdulos cada conjunto de tareas, debiendo identificarse la duracin de cada uno de ellos, en general, podr variar entre 2 a 4 semanas c/u dependiendo del Diagnstico y del grado de involucramiento del personal.
Mdulo 1: Relevar los planes de seguridad funcionales y tcnicos en proceso en la compaa Iniciar proceso de Identificacin de Riesgos y Clasificacin de Informacin Sensible Definir el Plan de Tareas para los 2 primeros aos (integrando otros proyectos de seguridad en curso)
Mdulo 2: Definir, aprobar y difundir la Poltica de Seguridad de la Compaa Definir la estructura y alcance del Manual de Seguridad de la Informacin de la Compaa Definir y difundir las responsabilidades de Seguridad Informtica de cada sector de la Compaa Implementar Esquema de Propietarios de Datos
Mdulo 3: Definir e iniciar el proceso de Concientizacin de Usuarios internos y Terceros Iniciar proceso de redaccin de las Normas
Mdulo 4: Finalizar Clasificacin de Informacin Relevar medidas implementadas en las funciones del rea de sistemas
Mdulo 5: Finalizar la Redaccin y Difundir las Normas de Seguridad Implementar las definiciones de las Normas
Mdulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del rea de Sistemas Implementar mejoras en los sectores usuarios para informacin impresa
Mdulo 7: Iniciar proceso de redaccin de Procedimientos crticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crtico de la Informacin
Mdulo 8: Finalizar la redaccin y difundir los Procedimientos crticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)
Mdulo 9: Implementar los Procedimientos de Seguridad Crticos Relevar e Integrar los Estndares Tcnicos de Seguridad desarrollados dentro del Manual de Seguridad
Mdulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientizacin de Usuarios de toda la Compaa
Mdulo 11: Diagnstico General respecto Norma ISO 17799 (similar a una Preauditora de Certificacin ISO)
Mdulo 12: Implementacin de las mejoras identificadas en el Diagnstico segn ISO 17799
Contactos Tcnicos
carlos.miranda@gtcmovil.com