Beruflich Dokumente
Kultur Dokumente
SEGURIDAD DE LA INFORMACION
(ISO/IEC 27001)
Conceptos Fundamentales
De que informacin estamos hablando?
Qu tan expuestos estamos?
Informacin a Proteger
Cual es la informacin ms valiosa que manejamos?
Riesgos?
Pero si nunca paso nada!!.
Esto no real.
Lo que sucede es que hoy sabemos muy poco.
Amenazas
Password cracking
Escalamiento de privilegios
Exploits
Desactualizacin
6
Backups inexistentes
Destruccin de equipamiento
Instalaciones default
Keylogging
Port scanning
Ms Amenazas!!
Spamming
Violacin de contraseas
Virus
Ingeniera social
Propiedad de la informacin
Robo de informacin
Indisponibilidad de informacin clave
Intercepcin de comunicaciones voz y
wireless
Falsificacin de informacin
Agujeros de seguridad de redes conectadas
para terceros
Acceso indebido a documentos impresos
empleados deshonestos
Vulnerabilidades Comunes
Seguridad de la Informacin
Seguridad de la Informacin ?
La informacin es un activo que como otros activos importantes
tiene valor y requiere en consecuencia una proteccin adecuada.
10
Seguridad de la Informacin ?
La seguridad de la informacin se caracteriza aqu como la
preservacin de:
su confidencialidad, asegurando que slo quienes estn autorizados
pueden acceder a la informacin;
su integridad, asegurando que la informacin y sus mtodos de
proceso son exactos y completos.
su disponibilidad, asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran.
11
12
Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Informacin,
podemos encontrar los siguientes:
ISACA: COBIT
British Standards Institute: BSI
International Standards Organization: Normas ISO
13
14
la Organizacin,
sus socios comerciales,
los contratistas
los proveedores de servicios.
15
16
Origen de la normativa
Grupo de trabajo enero 1993
Emisin de cdigo Septiembre 1993
Publicacin de BS 7799-1 Febrero 1995
Publicacin de BS 7799-2 Febrero 1998
Publicacin BS7799: 1999 1 y 2 Abril 1999
ISO 17799 (BS 7799-1) Diciembre 2000
BS 7799-2 - Publicado en Septiembre 2002.
ISO 17799 - Publicado Julio 2005
ISO 27001 Publicado Noviembre 2005.
17
ISO/IEC 27001.
Basada en la BS 7799:2
Versiones actuales:
ISO/IEC 17799:2005 / ISO/IEC 27001: 2005
19
ISO/IEC 17799:2000
10 reas de Control
20
Poltica de Seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de los activos
Seguridad ligada al personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de continuidad del negocio
Conformidad
ISO/IEC 17799:2005
11 reas de Control
21
Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad
1800 en Japn.
415 Reino Unido
11en Brasil.
3 en Argentina.
Uruguay?
22
BSI
BS 7799 - 1
BS 7799 - 2
23
ISO/IEC
ISO/IEC 17799
UNIT/ISO/IEC 17799
UNIT 17799:2
(2005)
ISO/IEC
ISO/IEC 17799
(2000)
ISO/IEC
ISO/IEC 17799
(2005)
BSI
BS 7799 - 2
24
ISO/IEC 27001
(2005)
25
SGSI
El sistema de gestin de la seguridad de la informacin (SGSI) es
la parte del sistema de gestin de la empresa, basado en un
enfoque de riesgos del negocio, para:
establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la informacin.
Incluye.
Estructura,
polticas,
actividades,
procedimientos, procesos y recueros.
26
responsabilidades,
prcticas,
PlanificarEstablecer
el SGSI
Actuar
Mantener y
Mejorar el SGSI
Partes
Interesadas
Requisitos y
expectativas
27
Partes
Interesadas
Implementar y
operar el SGSI
Hacer
Monitorear
el SGSI
Verificar
Seguridad
Gestionada
Implantar el SGSI
Planificar
Hacer
PHVA
Adoptar acciones correctivas
Actuar
28
Verificar
29
30
31
32
33
34
35
PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)
36
REGISTROS
37
para
Establecer,
Implementar
Objetivos de auditoria
38
39
40
Finalizando
41
Comencemos el proceso
Reporte cualquier Incidente, evento, debilidad, etc. que a su entender
afecte a la seguridad (disponibilidad, integridad, confidencialidad)
No divulgue informacin sensible.
Destruya adecuadamente la informacin sensible.
Siga los lineamientos, polticas y procedimientos que se le distribuirn.
Haga preguntas.
42
Comencemos el camino.
Mantenga su contrasea confidencial.
Sea conciente de los riesgos que estn asociados a una accin o recurso.
Las medidas implementadas tienen un motivo.
Lo no prohibido NO esta expresamente permitido.
43
Comentario Finales
Preguntas?
Consultas
reynaldo@datasec-soft.com
44