*SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION(ISO/IEC 27001)

*Temario del CursoConceptos fundamentales.Seguridad de la informacin.Normas aplicables.

Las Normas ISO/IEC 17799 -- ISO/IEC 27001

Conceptos fundamentales de las etapas del ciclo del SGSIPlan/Do/Check/Act

Factores de xito.

AnexosTrminos.Caso

*Conceptos FundamentalesDe que informacin estamos hablando?Qu tan expuestos estamos?

*Informacin a ProtegerCual es la informacin ms valiosa que manejamos?

La informacin asociado a nuestros clientes.La informacin asociado a nuestras ventas.La informacin asociada a nuestro personal.La informacin asociada a nuestros productos.La informacin asociada a nuestras operaciones.

*Riesgos? Pero si nunca paso nada!!.Esto no real.

Lo que sucede es que hoy sabemos muy poco.

La empresa necesita contar con informacin sobre la cual tomar decisiones a los efectos de establecer controles necesarios y eficaces.

*Password crackingMan in the middleExploitsDenegacin de servicioEscalamiento de privilegiosHacking de Centrales TelefnicasKeyloggingPort scanningInstalaciones defaultPuertos vulnerables abiertosServicios de log inexistentes o que no son chequeadosDesactualizacinBackups inexistentesltimos parches no instaladosAmenazasViolacin de la privacidad de los empleadosFraudes informticosDestruccin de equipamiento

*Captura de PC desde el exteriorViolacin de contraseasInterrupcin de los serviciosIntercepcin y modificacin y violacin de e-mailsVirusMails annimos con agresionesIncumplimiento de leyes y regulaciones Robo o extravo de notebooks, palmsempleados deshonestosRobo de informacinDestruccin de soportes documentalesAcceso clandestino a redesIntercepcin de comunicaciones voz y wirelessProgramas bomba, troyanosAcceso indebido a documentos impresosPropiedad de la informacinAgujeros de seguridad de redes conectadasFalsificacin de informacin para tercerosIndisponibilidad de informacin claveSpammingIngeniera socialMs Amenazas!!

*Vulnerabilidades ComunesInadecuado compromiso de la direccin.Personal inadecuadamente capacitado y concientizado.Inadecuada asignacin de responsabilidades.Ausencia de polticas/ procedimientos.Ausencia de controles (fsicos/lgicos) (disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.Inadecuado seguimiento y monitoreo de los controles.

*Seguridad de la Informacin

*Seguridad de la Informacin ?La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada.

La informacin puede estar:Impresa o escrita en papel.Almacenada electrnicamente.Trasmitida por correo o medios electrnicosMostrada en filmes.Hablada en conversacin.

Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.

*Seguridad de la Informacin ?La seguridad de la informacin se caracteriza aqu como la preservacin de:

su confidencialidad, asegurando que slo quienes estn autorizados pueden acceder a la informacin;

su integridad, asegurando que la informacin y sus mtodos de proceso son exactos y completos.

su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran.

*Normas Internacionalmente reconocidasReconocimiento internacional

*Normas aplicablesEntre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Informacin, podemos encontrar los siguientes:

ISACA: COBITBritish Standards Institute: BSIInternational Standards Organization: Normas ISO

Departamento de Defensa de USA: Orange Book / Common CriteriaITSEC Information Technology Security Evaluation Criteria: White BookSarbanes Oxley Act, HIPAA

*Cmo establecer los requisitos?Es esencial que la Organizacin identifique sus requisitos de seguridad.

Existen tres fuentes principales.

La primer fuente procede de la valoracin de los riesgos de la Organizacin. Con ella:Se identifican las amenazas a los activos,Se evala la vulnerabilidad y la probabilidad de su ocurrencia.Se estima su posible impacto.

*Cmo establecer los requisitos?La segunda fuente es el conjunto de requisitos legales, estatutarios, regulatorios y contractuales que debe satisfacer:la Organizacin, sus socios comerciales, los contratistas los proveedores de servicios.

La tercera fuente est formada por los principios, objetivos y requisitos que la Organizacin ha desarrollado para apoyar sus operaciones.

*Las normas ISO/IEC 17799, ISO/IEC 27001? Quien es quien?

*Origen de la normativaGrupo de trabajo enero 1993Emisin de cdigo Septiembre 1993Publicacin de BS 7799-1 Febrero 1995

Publicacin de BS 7799-2 Febrero 1998Publicacin BS7799: 1999 1 y 2 Abril 1999ISO 17799 (BS 7799-1) Diciembre 2000

BS 7799-2 - Publicado en Septiembre 2002.ISO 17799 - Publicado Julio 2005ISO 27001 Publicado Noviembre 2005.

*ISO/IEC 27001 ISO/IEC 17799?British Standard 7799 Parte 1 Es un cdigo de mejores prcticas que se sugieren: ....deberan...

ISO/IEC 17799-2000 Basado en la BS 7799 Parte 1.No hay una certificacin.

10 reas de Control36 Objetivos de Control127 Controles

*ISO/IEC 27001 ISO/IEC 17799?British Standard 7799 Parte 2 Aporta conceptos de implantacin obligatorios para certificar: ...deben...Requisitos para Sistemas de Gestin de Seguridad de la informacin.Vinculada con la BS 7799-1 (ISO/IEC 17799)Proceso de Evaluacin para Certificacin.Obsoleta.

ISO/IEC 27001.Basada en la BS 7799:2

Versiones actuales: ISO/IEC 17799:2005 / ISO/IEC 27001: 2005

*ISO/IEC 17799:200010 reas de ControlPoltica de SeguridadAspectos organizativos para la seguridadClasificacin y control de los activosSeguridad ligada al personalSeguridad fsica y del entornoGestin de comunicaciones y operacionesControl de accesosDesarrollo y mantenimiento de sistemasGestin de continuidad del negocioConformidad

*ISO/IEC 17799:200511 reas de ControlPoltica de SeguridadOrganizacin de la Seguridad de la InformacinGestin de ActivosSeguridad en los Recursos HumanosSeguridad fsica y del entornoGestin de comunicaciones y operacionesControl de accesosAdquisicin, desarrollo y mantenimiento de sistemas de informacin Gestin de incidentes de seguridadGestin de continuidad del negocioConformidad

*Certificados BS 7799-2 / ISO/IEC 270012800 Empresas Certificadas a nivel mundial.1800 en Japn.415 Reino Unido11en Brasil.3 en Argentina.Uruguay?

Certificacin ISO/IEC 27001.Implica la misma certificacin, por parte de organismos locales a nivel mundial.Es razonable considerar un crecimiento equiparable al de normas ISO ya existentes.

*Relacin entre NormasBS 7799 - 1BS 7799 - 2ISO/IEC 17799UNIT/ISO/IEC 17799UNIT 17799:2(2005)BSIISO/IECUNIT (Ej. Uruguay)

*Nuevas Versiones ISO/IECISO/IEC 17799(2000)ISO/IECISO/IEC 17799(2005)ISO/IECBSIBS 7799 - 2ISO/IEC 27001(2005)

*SGSI - Modelo P-H-V-AMetodologa de la ISO/IEC 27001

*SGSIEl sistema de gestin de la seguridad de la informacin (SGSI) es la parte del sistema de gestin de la empresa, basado en un enfoque de riesgos del negocio, para:establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin.

Incluye.Estructura, polticas, actividades, responsabilidades, prcticas, procedimientos, procesos y recueros.

*(Planificar /Hacer /Verificar /Actuar)Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

PlanificarVerificarHacer ActuarPartes InteresadasPartes InteresadasRequisitos y expectativas Seguridad Gestionada

*(Planificar /Hacer /Verificar /Actuar)El SGSI adopta el siguiente modelo:PHVAPlanificarVerificarHacer Actuar Definir la poltica de seguridad Establecer el alcance del SGSIRealizar los anlisis de riesgos Seleccionar los controles Implantar el plan de gestin de riesgos Implantar el SGSI Implantar los controles.Implantar indicadores. Revisiones del SGSI por parte de la Direccin.Realizar auditoras internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivas

*Establecer el SGSI (Plan)Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin.

Definir el alcance del SGSI a la luz de la organizacin.

Definir la Poltica de Seguridad.

Aplicar un enfoque sistmico para evaluar el riesgo.

No se establece una metodologa a seguir.

*Establecer el SGSI (Plan)Identificar y evaluar opciones para tratar el riesgoMitigar, eliminar, transferir, aceptar

Seleccionar objetivos de Control y controles a implementar (Mitigar).A partir de los controles definidos por la ISO/IEC 17799

Establecer enunciado de aplicabilidad

*Implementar y operar (Do)Implementar y operar la poltica de seguridad, controles, procesos y procedimientos.

Implementar plan de tratamiento de riesgos.Transferir, eliminar, aceptar

Implementar los controles seleccionados.Mitigar

Aceptar riesgo residual.Firma de la alta direccin para riesgos que superan el nivel definido.

*Implementar y operar (Do)Implementar medidas para evaluar la eficacia de los controles

Gestionar operaciones y recursos.

Implementar programas de Capacitacin y concientizacin.

Implementar procedimientos y controles de deteccin y respuesta a incidentes.

*Monitoreo y Revisin (Check)Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y experiencia practica y reportar los resultados a la direccin para su revisin.

Revisar el nivel de riesgo residual aceptable, considerando:Cambios en la organizacin.Cambios en la tecnologas.Cambios en los objetivos del negocio.Cambios en las amenazas.Cambios en las condiciones externas (ej. Regulaciones, leyes).

Realizar auditorias internas.Realizar revisiones por parte de la direccin del SGSI.

*Monitoreo y Revisin (Check)Se debe establecer y ejecutar procedimientos de monitoreo para:Detectar errores.Identificar ataques a la seguridad fallidos y exitosos.Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.

*Mantenimiento y mejora del SGSI (Act)Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI.

Medir el desempeo del SGSI.Identificar mejoras en el SGSI a fin de implementarlas.Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas).

Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

*MANUAL DE SEGURIDAD

Contenido de los documentosDescribe el sistema de gestin de la seguridadDescribe los procesos y las actividadesSon evidencias objetivas de la ejecucin de procesos, actividades o tareasDescribe tareas y requisitosDocumentacin del SGSI

*Requisitos de Certificacin del SGSILanorma establece requisitos para Establecer, Implementar y Documentar un SGSI.

Definir el alcance del SGSI (fronteras)Definir una poltica de seguridadIdentificar activosRealizar el anlisis de riesgos de activos.Identificar las reas dbiles de los activoTomar decisiones para manejar el riesgoSeleccionar los controles apropiadosImplementar y manejar los controles seleccionadosElaborar la declaracin de aplicabilidad

*Objetivos de auditoriaPara obtener la certificacin.Revisar conformidad con la norma (ISO/IEC 27001)Revisar grado de puesta en prctica del sistemaRevisar la eficacia y adecuacin en el cumplimiento de:Poltica de seguridadObjetivos de seguridad

Identificar las fallas y debilidades en la seguridadProporcionar una oportunidad para mejorar el SGSICumplir requisitos contractuales.Cumplir requisitos regulatorios.

*Certificacin del SGSILa certificacin no implica que la organizacin a obtenido determinado niveles de seguridad de la informacin para sus productos y/o servicios.

Las organizaciones certificadas pueden tener mayor confianza es su capacidad para gestionar la seguridad de la informacin, y por ende ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen negocios.

Procesos anlogos a los de las normas ISO 9001 e ISO 14000.

Certificado con duracin de 3 aos.

*Certificacin del SGSIEn cada PasActualmente en proceso de homologacin por las instituciones locales.Opciones:(Ej. Uruguay) UNIT/ISO/IEC 27001:2006 (Ej. Espaa) AENOR UNE 71502ISO/IEC 27001.

InternacionalmenteEl ms amplio reconocimiento.Ampliamente reconocida a nivel profesional.Estndar de la industria.Requerida por importantes empresas a sus Proveedores.

*Finalizando

*Comencemos el procesoReporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad)

No divulgue informacin sensible.Destruya adecuadamente la informacin sensible.

Siga los lineamientos, polticas y procedimientos que se le distribuirn.Haga preguntas.

*Comencemos el camino.Mantenga su contrasea confidencial.

Sea conciente de los riesgos que estn asociados a una accin o recurso.

Las medidas implementadas tienen un motivo.Lo no prohibido NO esta expresamente permitido.

Nuestra seguridad depende de usted.La obtencin de la certificacin tambin.

*Comentario FinalesPreguntas?

Consultasreynaldo@datasec-soft.com

*********