objetivos conocer la familia de normas iso 27000 comprender las aplicaciones de los diferentes...
TRANSCRIPT
![Page 1: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/1.jpg)
Principios fundamentales de la seguridad de la
información: un enfoque tecnológico
A/C Rosina Ordoqui
![Page 2: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/2.jpg)
Familia de normas ISO 27000
Objetivos
− Conocer la familia de normas ISO 27000− Comprender las aplicaciones de los diferentes módulos
− Proceso de implementación
![Page 3: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/3.jpg)
3
Familia ISO 27000
Orígenes en BS7799 - 2, e ISO 17799
− ISO/IEC 27001 (BS7799 part 2) : Information Security Management System.
− ISO/IEC 27002 (ISO/IEC 17799 & BS7799 part 1): Code of practice
− ISO/IEC 27004 (BS7799-4): Information Security Metrics and Measurement
− ISO/IEC 27005 (BS7799-3): Risk assesment
![Page 4: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/4.jpg)
4
¿Por qué una norma?
Implementación de un programa de ISMS:
− Adecuación a una metodología reconocida internacionalmente especifica sobre seguridad de la información
− Contar con un proceso definido para evaluar, implementar mantener y administrar
− Diferenciación en el mercado
− Satisfacer requerimientos de clientes, proveedores y organismos de contralor 4
![Page 5: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/5.jpg)
¿Por qué una norma?
− Disminución de costos e inversiones a mediano y largo plazo
− Formalizar las responsabilidades operativas y legales de los usuarios tanto internos como externos
− Contemplar disposiciones legales (ley de protección de datos por ejemplo)
− Metodología para administrar los riesgos
55
![Page 6: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/6.jpg)
Modelo de normas ISO aplicado a SGSI
66
Actuar
Planificar
Hacer
Verificar
![Page 7: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/7.jpg)
7
Dominios de la ISO 27001
Se divide en 11 dominios:
− Dominio 1: Política de Seguridad
− Dominio 2: Organization de la Seguridad
− Dominio 3: Administración de Activos
− Dominio 4: Seguridad en RRHH
− Dominio 5: Seguridad física y ambiental
− Dominio 6: Gestión de operaciones y comunicaciones
− Dominio 7: Sistema de control de accesos
− Dominio 8: Adquisición, desarrollo y mantenimiento de sistemas de información
− Dominio 9: Administración de incidentes de seguridad de la información
− Dominio 10: Plan de continuidad de negocio
− Dominio 11: Cumplimiento7
![Page 8: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/8.jpg)
8
Política de Seguridad
Política de Seguridad
Autorización
Legalidad
IntegridadExactitud
Confidencialidad
Disponibilidad
Confiabilidad
Protección Física
Propiedad
EficaciaEficiencia
![Page 9: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/9.jpg)
9
Política de Seguridad
9
TextoManual de Gestión de Seguridad
Política General
Normas
Procedimientos Estándares Técnicos
![Page 10: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/10.jpg)
10
Organización de la Seguridad
Roles y Funciones
Sponsoreo y seguimiento: Dirección de la organización Foro - Comité de Seguridad
Autorización Dueños de datos
Administración Administrador de Seguridad
Definición Area de Seguridad Informática Area legales
Control Auditoria Interna Auditoria Externa
Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas
![Page 11: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/11.jpg)
11
Modelo de Estructura del departamento de SI
– Dentro de TI?– Departamento dependiente de TI?– Rol de Asesoría....
11
DirecciónSI ???
Comercial Operación Sistemas
Organización de la Seguridad
![Page 12: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/12.jpg)
12
Administración de Activos
¿Qué es un activo?
– Identificación de la información mas crítica
– Identificación de los principales riesgos
– Clasificación en base a los riesgos
12
![Page 13: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/13.jpg)
13
Administración de Activos
Identificación de los principales riesgos
– Categorías
• Fraudes informáticos• Ataques externos a las redes• Modificaciones no autorizadas de datos por empleados• Acceso y difusión inoportuna de datos sensibles• Falta de disponibilidad de los sistemas• Software ilegal• Falta de control de uso de los sistemas• Destrucción de información y equipos
13
![Page 14: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/14.jpg)
14
Administración de Activos
Otras categorías de riesgos
• Según su origen» Naturales» Intencionales» No intencionales
• Tipos» Difusión indebida» Alteración no autorizada» Falta de disponibilidad
14
![Page 15: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/15.jpg)
15
Definir principales agentes de riesgo para la información de cada dueño de datos:
• espías o competidores• empleados o ex- empleados desconformes• delincuentes profesionales• terroristas informáticos• hackers, crackers, etc...• clientes• proveedores• operadores bursátiles• empresas asociadas
15
Administración de Activos
![Page 16: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/16.jpg)
16
Clasificación en base a los riesgos
• Análisis de los principales riesgos
• Categorizacion:• Confidencial
• Restringida
• Pública
• Tipo de medio:• Electrónico
• Físico
• Aprobación de los usuarios con acceso a la información y los permisos a otorgar
• Consolidación16
Administración de Activos
![Page 17: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/17.jpg)
17
Seguridad en RRHH
Definición de puestos de trabajo y asignación de recursos
Capacitación de los usuarios
Proceso disciplinario
17
![Page 18: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/18.jpg)
18
Seguridad en RRHH
Definición
Responsabilidades explícitas (en contratos)
Acuerdos de confidencialidad–Empleados–Personal Ocasional–Revisados bajo cambios
Monitoreo
18
![Page 19: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/19.jpg)
19
Recursos Humanos
Capacitación de usuarios:
– Concientizacion:– TODO el personal– Sponsoreado por la Dirección – Asegurar permanencia a lo largo del tiempo– Mecanismos de control– Implementar sanciones
19
![Page 20: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/20.jpg)
20
Recursos Humanos Algunas actividades como ejemplos:
– En persona– Presentaciones gráficas– Videoconferencias– Inducción a ingresantes– Trabajos en grupo con casos prácticos– Reunion con personal clave
– Por escrito– Evaluaciones anuales incluidas en las de desempeño– Firma de conformidad al ingresar– Material gráfico en carteleras y merchandising (tazas, pad’s para los
mouses, etc) 20
![Page 21: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/21.jpg)
21
Recursos Humanos
En sistemas– Mensajes en pantalla de inicio, correos, intranet– Concursos vía sistemas o web
Personal de Sistemas– Seleccionar temas y procedimientos mas críticos– Identificar temas mas sensibles– Identificar fallas mas comunes
21
![Page 22: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/22.jpg)
Definir acciones para los distintos RRHH en relacion a capacitacion y/o conscientización en SI
– Usuarios de sistemas finales– Personal de dpto. de tecnologías de la
información– Comité de seguridad– Gerencia
22
Recursos Humanos
![Page 23: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/23.jpg)
23
Seguridad Física y Ambiental
Proteger
– Sedes – Instalaciones– Información en formato físico
De eventos
– Robos, destrucción– Catástrofes naturales– Accidentes– Acceso no autorizado
23
![Page 24: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/24.jpg)
24
Gestión de Operaciones y Comunicaciones
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información
– En todo el ciclo de vida de los diferentes procesos de gestión de información
– Separación de funciones– Aplicación de técnicas y mejores practicas en la
infraestructura
24
![Page 25: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/25.jpg)
Sistema de Control de Accesos
Control del acceso a la información de acuerdo a los requerimientos del negocio
Política de control de accesos
Reglas de Control de Acceso
“Todo prohibido a menos que sea explícitamente permitido”
Algunos tipos de reglas:
• De uso continuo • Optativas• Condicionales
![Page 26: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/26.jpg)
Adquisición, Desarrollo, y Mantenimiento de Sistemas de Información
• Incorporación de seguridad a los sistemas de información
• Requerimientos identificados
– Controles automáticos o manuales– Contemplar costos de acuerdo a la etapa en que se considera
26
![Page 27: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/27.jpg)
Administración de Incidentes de Seguridad de la Información
• Minimizar el daño producido por incidentes
– Comunicación y concientización del personal
– Comunicación de incidentes:
• Como se realiza la comunicación• Respuesta a incidentes• Retromalimentación• Aprendizaje
• Monitorear y retroalimentar
27
![Page 28: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/28.jpg)
Plan de Continuidad de Negocio
• ¿Por qué es imporetante contar con un plan?
• Principales Etapas
• Clasificación de escenarios de acuerdo a evaluación de impacto– Identificar tipos de desastres– Ponderar su ocurrencia– Fijar alcance a desastres con mayor probabilidad
• Desarrollo de estrategia de recuperación• Implementación• Documentación del plan• Pruebas y mantenimiento
28
![Page 29: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/29.jpg)
• Evaluación de impacto implica:
– Usuarios clave– Funciones críticas– Tiempos de tolerancia– Estimaciones económicas– Funciones a la hora de recuperación
• Selección de estrategia de recuperación
– Elaboración de estrategias y clasificación– Definir alternativas– Analizar costos– Elegir mejores estrategias
29
Plan de Continuidad de Negocio
![Page 30: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/30.jpg)
• Documentación del plan
– Desarrollo de procedimientos técnicos y funcionales– Desarrollo de inventarios
• Pruebas y mantenimiento
Pruebas: Desarrollo de disintos casos Alinear a la realidad en la medida de lo posible
Mantenimiento:
Mecanismo para la actualización Realizar pruebas periódicas
30
Plan de Continuidad de Negocio
![Page 31: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/31.jpg)
Cumplimiento
Requisitos Legales
– Impedir infracciones y violaciones de las leyes vigentes
– Diferentes etapas de sistemas adecuado a requisitos legales.
– Asesoramiento sobre requisitos legales específicos
Identificación de la legislación aplicable
Revisiones de la política de seguridad y la compatibilidad técnica
31
![Page 32: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/32.jpg)
Auditoria de Sistemas
– Optimizar la eficacia del proceso de auditoria y minimizar problemas u obstáculos mediante la utilización de:
• Controles de protección de herramientas de auditoria
• Asegurar integridad del proceso
• Evitar uso inadecuado de las mismas
32
Cumplimiento
![Page 33: Objetivos Conocer la familia de normas ISO 27000 Comprender las aplicaciones de los diferentes módulos Proceso de implementación](https://reader033.vdocument.in/reader033/viewer/2022051616/5534ce2a5503463e528b4ba8/html5/thumbnails/33.jpg)
Resumen
La norma ISO 27001 nos da un marco completo para comenzar a implementar seguridad de la información en una empresa
Sin importar si realmente se piensa certificar la empresa o no, este marco permite mejorar todos los procesos con respecto a la seguridad de la información
Muchas de las indicaciones no dicen “como” pero indican “que” se debe hacer dejando un amplio espectro para buscar las mejores soluciones particulares para cada caso.
33