Sistema de Gestin de la Seguridad de los Sistemas Informticos

LUGAR: sala de juntas del edificio 27 4to Piso FECHA : viernes 29 de Abril de 10 a 11 horas

35 aos de investigacin, innovando con energa

Agenda

1. Objetivos de la reunin 2. Antecedentes: breve descripcin de contexto, MAAGTIC e IIE 3. Descripcin del proceso para establecer el Sistema de Gestin de la Seguridad de los Sistemas Informticos (SGSI) 4. Normas de seguridad relacionadas con el SGSI 5. Estrategia para la implantacin del SGSI en el IIE 6. Resultados 7. Beneficios de implantar un SGSI

35 aos de investigacin, innovando con energa

Objetivo

Describir el proceso para implantar el Sistema de Gestin de la Seguridad de los Sistemas Informticos, dentro del contexto del marco rector establecido por el MAAGTIC.

35 aos de investigacin, innovando con energa

Antecedentes: Contexto

En Septiembre del 2009 el C. Presidente instruy a la SFP profundizar las acciones en materia de reforma regulatoria y derogar toda aquella normatividad cuya necesidad no quedara plenamente justificada, con el propsito de mejorar la eficiencia operativa gubernamental y elevar la calidad de los servicios ofrecidos al Ciudadano por las diversas dependencias y entidades de la APF. En consecuencia la SFP inici la simplificacin de la normatividad que enmarca la operacin de adquisiciones, arrendamientos y servicios; auditora, control, obra pblica, recursos financieros, recursos humanos / servicios personales, recursos materiales y servicios generales, tecnologas de la informacin y transparencia.

Por lo anterior, y buscando operar adems estrategias del Plan Nacional de Desarrollo (PND), el Programa Especial de Mejora a la Gestin (PMG) y la Agenda de Gobierno Digital (AGD), se emprendi la elaboracin de un Manual Administrativo de Aplicacin General en Materia de Tecnologas de la Informacin y Comunicaciones (MAAG-TIC).

35 aos de investigacin, innovando con energa

Antecedentes: Contexto
Sustento del MAAG-TIC

Manual Administrativo de Aplicacin General en materia de TIC

Enero 2010

35 aos de investigacin, innovando con energa

Antecedentes: Contexto
Modelo de Gobierno Digital Sustento del MAAG_TIC

Nivel 6

Nivel 5 Nivel 4

Nivel 3
Gobierno
Direccin
Establecimiento de la Estructura de Gobierno de TIC Planeacin Estratgica de TIC Determinacin de la Direccin Tecnolgica

Control
Admn. del Desempeo de TIC Cumplimiento Regulatorio Admn. de Riesgos de TIC

Organizacin Estrategia

Admn. de Proyectos
Admn. de Portafolio de Proyectos de TIC Admn. de Proyectos de TIC

Establecimiento del Sistema de Gestin de Procesos

Admn. de Procesos

Admn. de Servicios
Admn. del Portafolio de Servicios de TIC Diseo de Servicios de TIC

Admn. de Recursos
Admn. Financiera de TIC Admn. de Proveedores Adquisiciones de TIC

Nivel 2

Ejecucin Entrega

Desarrollo y Adquisicin de Soluciones

Admn. Tcnica de Adquisiciones Desarrollo de Soluciones Tecnolgicas Calidad de Soluciones Tecnolgicas

Transicin y Entrega
Admn. de Cambios Liberacin y Entrega Transicin y Habilitacin de la Operacin Admn. de la Configuracin

Operacin de Servicios
Operacin de la Mesa de Servicios Admn. de Servicios de Terceros Admn. de Niveles de Servicio Admn. de la Seguridad de la Informacin

Admn. de Activos

Operaciones
Admn. de la Operacin Admn. de Ambiente Fsico Mantenimiento de Infraestructura

Soporte

Admn. de Dominios Tecnolgicos Admn. de Conocimiento Integracin y Desarrollo del Personal

Nivel 1

35 aos de investigacin, innovando con energa

Antecedentes: Contexto

El MAAGTIC fue publicado el 13 de julio de 2010 en el DOF. Entr en vigor el 10 de agosto de 2010 En la fecha de entrada en vigor, todas las instituciones presentaron un cronograma de inicio de actividades para la implantacin del MAAGTIC.

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

El MAAGTIC contiene las reglas, acciones y procesos que en materia de Tecnologas de la Informacin y Comunicaciones (TIC) debern observar de manera obligatoria, las dependencias y entidades de la Administracin Pblica Federal en Mxico y, cuando corresponda, la Procuradura General de la Repblica.

El MAAGTIC establece un marco rector de procesos fundamentado en las mejores prcticas de TIC.

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

En sustento al PND, el PMG y la AGD, el MAAG- TIC est estructurado en las mejores prcticas de diversos marcos como COBIT (VAL-IT, RISK-IT), ITIL, IS027001, PMBoK y CMMI (DEV-ACQ) entre otros. Marco de referencia general para el Gobierno de las TIC: Orientado a estandarizar los procesos y servicios Alineado a la estrategia de la organizacin y el cumplimiento de objetivos Sustentado en adopcin de mejores prcticas 30 procesos que ofrecen una cobertura total de las principales funciones de las UTICS. Guas que faciliten la implantacin del MAAG-TIC que permitan la mejora de procesos de manera incremental. Guas de evaluacin para procesos, servicios, ejecucin de proyectos

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

Marco Rector de Procesos

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

Entendimiento del sistema de Gestin y Mejora de Procesos alineado al MAAGTIC

Representacin del Sistema de Gestin que garantiza el funcionamiento eficiente y mejora continua de los procesos de TIC en cumplimiento con el MAAGTIC
35 aos de investigacin, innovando con energa

Antecedentes: MAAG TIC

Factores a considerar para cumplir con el MAAGTIC
Identificacin de las buenas prcticas adoptadas por la organizacin y planeacin de las actividades necesarias para la implementacin del proceso

Determinacin de la situacin de la UTIC respecto a su cultura y definicin de la estrategia de cambio apropiada para la implementacin del proceso

Entendimiento de la TI de la organizacin e identificacin de las solucin(es) requeridas para soportar el proceso

35 aos de investigacin, innovando con energa

Antecedentes: IIE

En el Plan Estratgico de TIC 2011 (PETIC 2011) del IIE, se tiene contemplados dos proyectos relacionados con el MAAGTIC: P081 Implementacin de los 30 procesos del MAAGTIC P082 Modelo de Seguridad de TIC

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el Sistema de Gestin de la Seguridad de los Sistemas Informticos (SGSI)

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el SGSI

Objetivo general
Establecer un Sistema de Gestin de Seguridad de la Informacin (SGSI) que proteja la informacin de la Institucin contenida en medios electrnicos y sistema informticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad.

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el SGSI

Terminologa
Seguridad de la informacin Gestin de la Seguridad de Informacin Sistema de Gestin de la Seguridad de Informacin (SGSI) Poltica La capacidad de preservacin de la confidencialidad, integridad y disponibilidad de la informacin. Proceso que asegura la Confidencialidad, Integridad y Disponibilidad de la informacin, datos y servicios de TI de una organizacin. Conjunto de polticas, estndares, procedimientos, herramientas y personas organizadas que implementan, operan, monitorean, revisan, mantienen y mejoran la seguridad de la informacin. Documento formal que contiene las intenciones y expectativas de gestin. Las Polticas se utilizan para dirigir las decisiones, y asegurar un desarrollo e implementacin coherente y apropiado de los Procesos, Estndares, Roles, Actividades, Infraestructura de TI, etc. Poltica que gobierna la visin de la Organizacin a la Gestin de la Informacin de Seguridad. Cualquier elemento que posea un valor para la organizacin. Los siguientes son algunos tipos de activos: Informacin Software Fsicos (computadora) Servicios Personas (credenciales, habilidades, experiencia) Intangibles (reputacin e imagen) La caracterstica o propiedad por cual la informacin est disponible o se presenta a individuos o procesos autorizados. Mantener la exactitud y correccin de la informacin y sus mtodos de proceso. La caracterstica o propiedad de la informacin, de permanecer accesible para su uso cuando lo requieran individuos o procesos autorizados. La debilidad en la seguridad de la informacin dentro de una organizacin que potencialmente permite que una amenaza afecte a un activo de TIC. Medios para gestionar riesgo, incluyen polticas, procedimientos, guas, prcticas o estructuras organizacionales las cuales pueden ser tcnicas, administrativas, de gestin o legales. Declaracin que describe que es lo que se va a lograr como resultado de implantar controles.

Poltica de Seguridad Activo

Confidencialidad Integridad Disponibilidad Vulnerabilidad Control Objetivos de control

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el SGSI

Actividades del proceso

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el SGSI

Factores crticos

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el SGSI

Factores crticos

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el SGSI

Indicadores

35 aos de investigacin, innovando con energa

Descripcin del proceso para establecer el SGSI

Productos
1. Documentar los componentes del SGSI el formato 1 del MAAGTIC 2. Documentar el programa de implantacin, llenando el formato 2 del MAAGTIC 3. Documentar el Informe de la implantacin del Sistema de Gestin de Seguridad Informtica, llenando el formato 3 del MAAGTIC 4. Documentar el Informe de evaluacin del Sistema de Gestin de la Seguridad Informtica, llenando el formato 4 del MAAGTIC 5. Documentar el Informe de accin correctiva y preventiva, llenando el formato 5 del MAAGTIC 6. Documentar el Informe de seguimiento de acciones correctivas y preventivas, llenando el formato 6 del MAAGTIC

35 aos de investigacin, innovando con energa

Normas de seguridad relacionadas con el SGSI

Normas de gestin de la seguridad disponibles Cul elegir?

depende de cual sea el objetivo
Orientada a Procesos ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3 Orientada a Controles ISO 13335-4 BSI-ITPM Orientada a Productos Common Criteria Orientada al Anlisis de Riesgos OCTAVE Magerit The Risk IT Framework-ISACA

35 aos de investigacin, innovando con energa

Normas de seguridad relacionadas con el SGSI

Metodologa propuesta para Implantacin SGSI segn ISO/IEC 27001 (1/4) Gua Proceso Planificar
Estableciendo el alcance del SGSI

Formulando las polticas de SGSI y Seguridad de Informacin

Realizando la valoracin de riesgos Y tomando decisiones en el tratamiento de riesgos

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.

35 aos de investigacin, innovando con energa

Normas de seguridad relacionadas con el SGSI

Metodologa propuesta para Implantacin SGSI segn ISO/IEC 27001 (2/4)

Gua Proceso Hacer

Creando e Implantando el Plan de Tratamiento de Riesgos Implementado los controles

Capacitacin y sensibilizacin
Implementando un programa de manejo de incidentes de seguridad de informacin Administrando los recursos

35 aos de investigacin, innovando con energa

Normas de seguridad relacionadas con el SGSI

Metodologa propuesta para Implantacin SGSI segn ISO/IEC 27001 (3/4) Gua Proceso Verificar
Monitoreo Chequeo rutinario Self-policing procedures

Revisiones Haciendo Auditorias internas del SGSI Ejecutando revisiones administrativas Midiendo el SGSI Analizando tendencias Controlando documentacin y registros

35 aos de investigacin, innovando con energa

Normas de seguridad relacionadas con el SGSI

Metodologa propuesta para Implantacin SGSI segn ISO/IEC 27001 (4/4)

Gua Proceso Actuar

Implementando mejoras Identificando no-conformidades Identificando e implementado acciones preventivas y correctivas Asegurando mejora continua. Probando Comunicando cambios y mejoras

35 aos de investigacin, innovando con energa

Estrategia para la implantacin del SGSI en el IIE

Detectar debilidades

Detectar que se debe proteger

Sistemas de Informacin Cmputo Usuario Final

Proponer controles

Comunicaciones

Cmputo Central Software y aplicaciones

Medir el desempeo de los controles

Seguridad

Implementar controles

35 aos de investigacin, innovando con energa

Resultados

2010 (CFE) Se realiz un procedimiento para la implantacin del SGSI para la Subgerencia de Tecnologas de la Informacin (STI) de la Subgerencia de Generacin (SDG) de la CFE.

35 aos de investigacin, innovando con energa

Proyectos pendientes

2011 (CFE) Se implantar este procedimiento en la STI. Se les acompaar en la configuracin de una herramienta llamada Security Information & Event Manager (SIEM) la cual proporciona datos precisos sobre las amenazas de seguridad: - La severidad de un ataque - Importancia de los activos afectados - La identidad del atacante - La credibilidad de las fuentes de datos - Identificacin de la conducta anormal

2011 (IIE) Implantacin del SGSI (jun-nov)

35 aos de investigacin, innovando con energa

Normas de seguridad relacionadas con el SGSI

Preguntas y/o comentarios?

35 aos de investigacin, innovando con energa

Normas de seguridad relacionadas con el SGSI

Gracias por su atencin

35 aos de investigacin, innovando con energa