SISTEMA DE GESTION DE LA
SISTEMA DE GESTION DE LA
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
(ISO/IEC 27001)
Temario
Temario
del Curso
del Curso
• Conceptos fundamentales.
– Seguridad de la información. – Normas aplicables.
• Las Normas ISO/IEC 17799 -- ISO/IEC 27001
• Conceptos fundamentales de las etapas del ciclo del SGSI – Plan/Do/Check/Act
Conceptos Fundamentales
Conceptos Fundamentales
¿De que información estamos hablando?
¿De que información estamos hablando?
¿Qué tan expuestos estamos?
Información a Proteger
Información a Proteger
• ¿Cual es la información más valiosa que manejamos?
¿Riesgos?
¿Riesgos?
• Pero si nunca paso nada!!.
– Esto no real.
– Lo que sucede es que hoy sabemos muy poco.
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Backups inexistentes
Amenazas
Amenazas
Violación de la privacidad de los empleados
Fraudes informáticos
Captura de PC desde el exterior
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
Virus
Mails anónimos con agresiones
Mails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y wireless
Programas “bomba, troyanos”
Acceso indebido a documentos impresos Propiedad de la información
Falsificación de información Indisponibilidad de información clave
Spamming
Ingeniería social
Más Amenazas!!
Vulnerabilidades Comunes
Vulnerabilidades Comunes
• Inadecuado compromiso de la dirección.
• Personal inadecuadamente capacitado y concientizado.
• Inadecuada asignación de responsabilidades.
• Ausencia de políticas/ procedimientos.
• Ausencia de controles
– (físicos/lógicos)
– (disuasivos/preventivos/detectivos/correctivos)
Seguridad de la Información
¿Seguridad de la Información ?
¿Seguridad de la Información ?
• La información es un activo que como otros activos importantes
tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:
• Impresa o escrita en papel. • Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos • Mostrada en filmes.
¿Seguridad de la Información ?
¿Seguridad de la Información ?
• La seguridad de la información se caracteriza aquí como la
preservación de:
– su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;
– su integridad, asegurando que la información y sus métodos de proceso son exactos y completos.
Normas Internacionalmente reconocidas
Normas Internacionalmente reconocidas
Normas aplicables
Normas aplicables
• Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Información,
podemos encontrar los siguientes:
– ISACA:
COBIT
– British Standards Institute: BSI
– International Standards Organization: Normas ISO
– Departamento de Defensa de USA: Orange Book / Common Criteria
– ITSEC – Information Technology Security Evaluation Criteria:
White Book
¿Cómo establecer los requisitos?
¿Cómo establecer los requisitos?
• Es esencial que la Organización identifique sus requisitos de seguridad.
• Existen tres fuentes principales.
• La primer fuente procede de la valoración de los riesgos de la
Organización. Con ella:
- Se identifican las amenazas a los activos,
¿Cómo establecer los requisitos?
¿Cómo establecer los requisitos?
• La segunda fuente es el conjunto de requisitos legales,
estatutarios, regulatorios y contractuales que debe satisfacer:
- la Organización,
- sus socios comerciales, - los contratistas
- los proveedores de servicios.
¿Las normas ISO/IEC 17799, ISO
¿Las normas ISO/IEC 17799, ISO
/IEC
/IEC
27001?
27001?
¿Quien es quien?
Origen de la normativa
Origen de la normativa
• Grupo de trabajo – enero 1993
• Emisión de código – Septiembre 1993
• Publicación de BS 7799-1 Febrero 1995
• Publicación de BS 7799-2 Febrero 1998
• Publicación BS7799: 1999 1 y 2 Abril 1999
• ISO 17799 (BS 7799-1) – Diciembre 2000
• BS 7799-2 - Publicado en Septiembre 2002.
• ISO 17799 - Publicado Julio 2005
¿ISO/IEC 27001 – ISO/IEC 17799?
¿ISO/IEC 27001 – ISO/IEC 17799?
• British Standard 7799 Parte 1 – Es un código de mejores prácticas
que se sugieren: “....deberían...”
• ISO/IEC 17799-2000 – Basado en la BS 7799 Parte 1.
– No hay una certificación.
– 10 Áreas de Control
¿ISO/IEC 27001 – ISO/IEC 17799?
¿ISO/IEC 27001 – ISO/IEC 17799?
• British Standard 7799 Parte 2 – Aporta conceptos de implantación
obligatorios para certificar: “...deben...”
– Requisitos para Sistemas de Gestión de Seguridad de la información. – Vinculada con la BS 7799-1 (ISO/IEC 17799)
– Proceso de Evaluación para Certificación. – Obsoleta.
• ISO/IEC 27001
.– Basada en la BS 7799:2
• Versiones actuales:
ISO/IEC 17799:2000
ISO/IEC 17799:2000
• 10 Áreas de Control
– Política de Seguridad
– Aspectos organizativos para la seguridad – Clasificación y control de los activos – Seguridad ligada al personal
– Seguridad física y del entorno
– Gestión de comunicaciones y operaciones – Control de accesos
ISO
ISO
/IEC 17799:2005
/IEC 17799:2005
• 11 Áreas de Control
– Política de Seguridad
– Organización de la Seguridad de la Información – Gestión de Activos
– Seguridad en los Recursos Humanos – Seguridad física y del entorno
– Gestión de comunicaciones y operaciones – Control de accesos
– Adquisición, desarrollo y mantenimiento de sistemas de información – Gestión de incidentes de seguridad
Certificados BS 7799-2 / ISO/IEC 27001
Certificados BS 7799-2 / ISO/IEC 27001
• 2800 Empresas Certificadas a nivel mundial.
– 1800 en Japón.
– 415 Reino Unido – 11en Brasil.
– 3 en Argentina.
– ¿Uruguay?
• Certificación ISO/IEC 27001.
Relación entre Normas
Relación entre Normas
BS 7799 - 1
BS 7799 - 2
ISO/IEC 17799 UNIT/ISO/IEC 17799
UNIT 17799:2 (2005)
Nuevas Versiones ISO/IEC
Nuevas Versiones ISO/IEC
ISO/IEC 17799 (2000)
ISO/IEC
ISO/IEC 17799 (2005)
ISO/IEC
SGSI - Modelo P-H-V-A
SGSI - Modelo P-H-V-A
SGSI
SGSI
• El sistema de gestión de la seguridad de la información (SGSI) es
la parte del sistema de gestión de la empresa, basado en un
enfoque de riesgos del negocio, para:
– establecer, – implementar, – operar,
– monitorear,
– mantener y mejorar la seguridad de la información.
(Planificar /Hacer /Verificar /Actuar)
(Planificar /Hacer /Verificar /Actuar)
• Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI. Planificar Verificar Hacer Actuar Partes Interesadas Implementar y operar el SGSI
Monitorear el SGSI Mantener y Mejorar el SGSI Establecer
el SGSI
Partes Interesadas
Requisitos y
(Planificar /Hacer /Verificar /Actuar)
(Planificar /Hacer /Verificar /Actuar)
• El SGSI adopta el siguiente modelo:
PHVA
Planificar
Verificar
Hacer
Actuar
Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles
Implantar el plan de gestión de riesgos Implantar el SGSI
Implantar los controles. Implantar indicadores.
Revisiones del SGSI por parte de la Dirección.
Establecer el SGSI
Establecer el SGSI
(Plan)
(Plan)
• Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización.
• Definir el alcance del SGSI a la luz de la organización.
• Definir la Política de Seguridad.
• Aplicar un enfoque sistémico para evaluar el riesgo.
Establecer el SGSI
Establecer el SGSI
(Plan)
(Plan)
• Identificar y evaluar opciones para tratar el riesgo
– Mitigar, eliminar, transferir, aceptar
• Seleccionar objetivos de Control y controles a implementar (Mitigar).
– A partir de los controles definidos por la ISO/IEC 17799
Implementar y operar (Do)
Implementar y operar (Do)
• Implementar y operar la política de seguridad, controles, procesos y procedimientos.
• Implementar plan de tratamiento de riesgos. – Transferir, eliminar, aceptar
• Implementar los controles seleccionados. – Mitigar
• Aceptar riesgo residual.
Implementar y operar (Do)
Implementar y operar (Do)
• Implementar medidas para evaluar la eficacia de los controles
• Gestionar operaciones y recursos.
• Implementar programas de Capacitación y concientización.
Monitoreo y Revisión (Check)
Monitoreo y Revisión (Check)
• Evaluar y medir la performance de los procesos contra la política de seguridad, los objetivos y experiencia practica y reportar los resultados a la dirección para su revisión.
– Revisar el nivel de riesgo residual aceptable, considerando: • Cambios en la organización.
• Cambios en la tecnologías.
• Cambios en los objetivos del negocio. • Cambios en las amenazas.
• Cambios en las condiciones externas (ej. Regulaciones, leyes).
– Realizar auditorias internas.
Monitoreo y Revisión (Check)
Monitoreo y Revisión (Check)
• Se debe establecer y ejecutar procedimientos de monitoreo para: • Detectar errores.
• Identificar ataques a la seguridad fallidos y exitosos.
• Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.
• Determinar las acciones realizadas para resolver brechas a la seguridad.
• Mantener registros de las acciones y eventos que pueden impactar al SGSI.
Mantenimiento y mejora del SGSI (Act)
Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.
– Medir el desempeño del SGSI.
– Identificar mejoras en el SGSI a fin de implementarlas.
– Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).
– Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.
MANUAL DE SEGURIDAD
Contenido de los documentos
Describe el sistema de gestión de la seguridad
PROCEDIMIENTOS DOCUMENTADOS EXIGIDOS POR LA
NORMA
Describe los procesos y las actividades
Documentación del SGSI
Requisitos de
Requisitos de
Certificación del SGSI
Certificación del SGSI
• La norma establece requisitos para Establecer, Implementar y Documentar un SGSI.
– Definir el alcance del SGSI (fronteras) – Definir una política de seguridad
– Identificar activos
– Realizar el análisis de riesgos de activos.
– Identificar las áreas débiles de los activo – Tomar decisiones para manejar el riesgo – Seleccionar los controles apropiados
Objetivos de auditoria
Objetivos de auditoria
• Para obtener la certificación.
• Revisar conformidad con la norma (ISO/IEC 27001) • Revisar grado de puesta en práctica del sistema
• Revisar la eficacia y adecuación en el cumplimiento de: – Política de seguridad
– Objetivos de seguridad
Certificación del SGSI
Certificación del SGSI
• La certificación no implica que la organización a obtenido determinado
niveles de seguridad de la información para sus productos y/o servicios.
• Las organizaciones certificadas pueden tener mayor confianza es su
capacidad para gestionar la seguridad de la información, y por ende
ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen
negocios.
•
Procesos análogos a los de las normas ISO 9001 e ISO 14000.
Certificación del SGSI
Certificación del SGSI
• En cada País
– Actualmente en proceso de homologación por las instituciones locales. – Opciones:
• (Ej. Uruguay) UNIT/ISO/IEC 27001:2006 • (Ej. España) AENOR UNE 71502
• ISO/IEC 27001.
• Internacionalmente
Finalizando
Comencemos el proceso
Comencemos el proceso
• Reporte cualquier Incidente, evento, debilidad, etc. que a su entender
afecte a la seguridad (
disponibilidad, integridad, confidencialidad
)
• No divulgue información sensible.
• Destruya adecuadamente la información sensible.
• Siga los lineamientos, políticas y procedimientos que se le distribuirán.
Comencemos el camino.
Comencemos el camino.
• Mantenga su contraseña confidencial.
• Sea conciente de los riesgos que están asociados a una acción o recurso.
• Las medidas implementadas tienen un motivo.
– Lo no prohibido NO esta expresamente permitido.
