objetivos conocer la familia de normas iso 27000 comprender las aplicaciones de los diferentes...
Post on 18-Apr-2015
35 Views
Preview:
TRANSCRIPT
Principios fundamentales de la seguridad de la
información: un enfoque tecnológico
A/C Rosina Ordoqui
Familia de normas ISO 27000
Objetivos
− Conocer la familia de normas ISO 27000− Comprender las aplicaciones de los diferentes módulos
− Proceso de implementación
3
Familia ISO 27000
Orígenes en BS7799 - 2, e ISO 17799
− ISO/IEC 27001 (BS7799 part 2) : Information Security Management System.
− ISO/IEC 27002 (ISO/IEC 17799 & BS7799 part 1): Code of practice
− ISO/IEC 27004 (BS7799-4): Information Security Metrics and Measurement
− ISO/IEC 27005 (BS7799-3): Risk assesment
4
¿Por qué una norma?
Implementación de un programa de ISMS:
− Adecuación a una metodología reconocida internacionalmente especifica sobre seguridad de la información
− Contar con un proceso definido para evaluar, implementar mantener y administrar
− Diferenciación en el mercado
− Satisfacer requerimientos de clientes, proveedores y organismos de contralor 4
¿Por qué una norma?
− Disminución de costos e inversiones a mediano y largo plazo
− Formalizar las responsabilidades operativas y legales de los usuarios tanto internos como externos
− Contemplar disposiciones legales (ley de protección de datos por ejemplo)
− Metodología para administrar los riesgos
55
Modelo de normas ISO aplicado a SGSI
66
Actuar
Planificar
Hacer
Verificar
7
Dominios de la ISO 27001
Se divide en 11 dominios:
− Dominio 1: Política de Seguridad
− Dominio 2: Organization de la Seguridad
− Dominio 3: Administración de Activos
− Dominio 4: Seguridad en RRHH
− Dominio 5: Seguridad física y ambiental
− Dominio 6: Gestión de operaciones y comunicaciones
− Dominio 7: Sistema de control de accesos
− Dominio 8: Adquisición, desarrollo y mantenimiento de sistemas de información
− Dominio 9: Administración de incidentes de seguridad de la información
− Dominio 10: Plan de continuidad de negocio
− Dominio 11: Cumplimiento7
8
Política de Seguridad
Política de Seguridad
Autorización
Legalidad
IntegridadExactitud
Confidencialidad
Disponibilidad
Confiabilidad
Protección Física
Propiedad
EficaciaEficiencia
9
Política de Seguridad
9
TextoManual de Gestión de Seguridad
Política General
Normas
Procedimientos Estándares Técnicos
10
Organización de la Seguridad
Roles y Funciones
Sponsoreo y seguimiento: Dirección de la organización Foro - Comité de Seguridad
Autorización Dueños de datos
Administración Administrador de Seguridad
Definición Area de Seguridad Informática Area legales
Control Auditoria Interna Auditoria Externa
Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas
11
Modelo de Estructura del departamento de SI
– Dentro de TI?– Departamento dependiente de TI?– Rol de Asesoría....
11
DirecciónSI ???
Comercial Operación Sistemas
Organización de la Seguridad
12
Administración de Activos
¿Qué es un activo?
– Identificación de la información mas crítica
– Identificación de los principales riesgos
– Clasificación en base a los riesgos
12
13
Administración de Activos
Identificación de los principales riesgos
– Categorías
• Fraudes informáticos• Ataques externos a las redes• Modificaciones no autorizadas de datos por empleados• Acceso y difusión inoportuna de datos sensibles• Falta de disponibilidad de los sistemas• Software ilegal• Falta de control de uso de los sistemas• Destrucción de información y equipos
13
14
Administración de Activos
Otras categorías de riesgos
• Según su origen» Naturales» Intencionales» No intencionales
• Tipos» Difusión indebida» Alteración no autorizada» Falta de disponibilidad
14
15
Definir principales agentes de riesgo para la información de cada dueño de datos:
• espías o competidores• empleados o ex- empleados desconformes• delincuentes profesionales• terroristas informáticos• hackers, crackers, etc...• clientes• proveedores• operadores bursátiles• empresas asociadas
15
Administración de Activos
16
Clasificación en base a los riesgos
• Análisis de los principales riesgos
• Categorizacion:• Confidencial
• Restringida
• Pública
• Tipo de medio:• Electrónico
• Físico
• Aprobación de los usuarios con acceso a la información y los permisos a otorgar
• Consolidación16
Administración de Activos
17
Seguridad en RRHH
Definición de puestos de trabajo y asignación de recursos
Capacitación de los usuarios
Proceso disciplinario
17
18
Seguridad en RRHH
Definición
Responsabilidades explícitas (en contratos)
Acuerdos de confidencialidad–Empleados–Personal Ocasional–Revisados bajo cambios
Monitoreo
18
19
Recursos Humanos
Capacitación de usuarios:
– Concientizacion:– TODO el personal– Sponsoreado por la Dirección – Asegurar permanencia a lo largo del tiempo– Mecanismos de control– Implementar sanciones
19
20
Recursos Humanos Algunas actividades como ejemplos:
– En persona– Presentaciones gráficas– Videoconferencias– Inducción a ingresantes– Trabajos en grupo con casos prácticos– Reunion con personal clave
– Por escrito– Evaluaciones anuales incluidas en las de desempeño– Firma de conformidad al ingresar– Material gráfico en carteleras y merchandising (tazas, pad’s para los
mouses, etc) 20
21
Recursos Humanos
En sistemas– Mensajes en pantalla de inicio, correos, intranet– Concursos vía sistemas o web
Personal de Sistemas– Seleccionar temas y procedimientos mas críticos– Identificar temas mas sensibles– Identificar fallas mas comunes
21
Definir acciones para los distintos RRHH en relacion a capacitacion y/o conscientización en SI
– Usuarios de sistemas finales– Personal de dpto. de tecnologías de la
información– Comité de seguridad– Gerencia
22
Recursos Humanos
23
Seguridad Física y Ambiental
Proteger
– Sedes – Instalaciones– Información en formato físico
De eventos
– Robos, destrucción– Catástrofes naturales– Accidentes– Acceso no autorizado
23
24
Gestión de Operaciones y Comunicaciones
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información
– En todo el ciclo de vida de los diferentes procesos de gestión de información
– Separación de funciones– Aplicación de técnicas y mejores practicas en la
infraestructura
24
Sistema de Control de Accesos
Control del acceso a la información de acuerdo a los requerimientos del negocio
Política de control de accesos
Reglas de Control de Acceso
“Todo prohibido a menos que sea explícitamente permitido”
Algunos tipos de reglas:
• De uso continuo • Optativas• Condicionales
Adquisición, Desarrollo, y Mantenimiento de Sistemas de Información
• Incorporación de seguridad a los sistemas de información
• Requerimientos identificados
– Controles automáticos o manuales– Contemplar costos de acuerdo a la etapa en que se considera
26
Administración de Incidentes de Seguridad de la Información
• Minimizar el daño producido por incidentes
– Comunicación y concientización del personal
– Comunicación de incidentes:
• Como se realiza la comunicación• Respuesta a incidentes• Retromalimentación• Aprendizaje
• Monitorear y retroalimentar
27
Plan de Continuidad de Negocio
• ¿Por qué es imporetante contar con un plan?
• Principales Etapas
• Clasificación de escenarios de acuerdo a evaluación de impacto– Identificar tipos de desastres– Ponderar su ocurrencia– Fijar alcance a desastres con mayor probabilidad
• Desarrollo de estrategia de recuperación• Implementación• Documentación del plan• Pruebas y mantenimiento
28
• Evaluación de impacto implica:
– Usuarios clave– Funciones críticas– Tiempos de tolerancia– Estimaciones económicas– Funciones a la hora de recuperación
• Selección de estrategia de recuperación
– Elaboración de estrategias y clasificación– Definir alternativas– Analizar costos– Elegir mejores estrategias
29
Plan de Continuidad de Negocio
• Documentación del plan
– Desarrollo de procedimientos técnicos y funcionales– Desarrollo de inventarios
• Pruebas y mantenimiento
Pruebas: Desarrollo de disintos casos Alinear a la realidad en la medida de lo posible
Mantenimiento:
Mecanismo para la actualización Realizar pruebas periódicas
30
Plan de Continuidad de Negocio
Cumplimiento
Requisitos Legales
– Impedir infracciones y violaciones de las leyes vigentes
– Diferentes etapas de sistemas adecuado a requisitos legales.
– Asesoramiento sobre requisitos legales específicos
Identificación de la legislación aplicable
Revisiones de la política de seguridad y la compatibilidad técnica
31
Auditoria de Sistemas
– Optimizar la eficacia del proceso de auditoria y minimizar problemas u obstáculos mediante la utilización de:
• Controles de protección de herramientas de auditoria
• Asegurar integridad del proceso
• Evitar uso inadecuado de las mismas
32
Cumplimiento
Resumen
La norma ISO 27001 nos da un marco completo para comenzar a implementar seguridad de la información en una empresa
Sin importar si realmente se piensa certificar la empresa o no, este marco permite mejorar todos los procesos con respecto a la seguridad de la información
Muchas de las indicaciones no dicen “como” pero indican “que” se debe hacer dejando un amplio espectro para buscar las mejores soluciones particulares para cada caso.
33
top related