NORMA ISO/IEC 27001:2005

(1)

NORMA ISO/IEC 27001:2005

Modelo Para Establecer, Implementar

Operar Monitorear Revisar Mantener y

Operar, Monitorear, Revisar, Mantener y

Mejorar un ISMS

(Information Security Management System)

Management System)

Ing Jorge Ceballos (jceballos@iram org ar) Ing. Jorge Ceballos ([email protected])

(2)

ó

Para cumplir la misión de:

•• Contribuir a mejorar la calidad de vida, el Contribuir a mejorar la calidad de vida, el

bienestar y la seguridad de las personas bienestar y la seguridad de las personas bienestar y la seguridad de las personas bienestar y la seguridad de las personas

•• Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la actividad creativa

actividad creativa

ó ó

•• Facilitar la producción, el comercio y la Facilitar la producción, el comercio y la transferencia de conocimientos

transferencia de conocimientos

En el ámbito nacional, regional e internacional En el ámbito nacional, regional e internacional

(3)

Brinda servicios de:

• NORMALIZACIÓN

_{NORMALIZACIÓN}

Participación en Organismos de Estudio:

• CERTIFICACIÓN

Participación en Organismos de Estudio:

ISO - IEC - COPANT – AMN

17.000 Productos Certificados d Si t d G tió

• CERTIFICACIÓN

4 800 C ifi d E i id de Productos de Sistemas de Gestión

• FORMACIÓN DE RR HH

4.800 Certificados Emitidos

FORMACIÓN DE RR.HH.

4.900 Cursos dictados 71.394 Horas de Capacitación

• CENTRO DE DOCUMENTACIÓN

250.000 Documentos Técnicos

(4)

RELACIONES

INSTITUCIONALES

ESTADO SECTORES INDUSTRIALES UNIVERSIDADES

SECTORES CIENTÍFICO TÉCNICOS CONSUMIDORES

(5)

Formas de abordar la mejora en

j

Tecnologías de la Información

Gestión ISO 90003 ISO 90003 Ci l d Ciclo de vida ISO 12207 P Productos ISO 14598 con Servicios ISO 20000-1

₂₇₀₀₁

ISO

Procesos Competisoft // ISO 15504 ISO 14598 con ISO 9126

27001

(6)

ISO/IEC 20000 IT – Gestión del servicio

Procesos de prestación del servicio

ISO/IEC 20000 IT Gestión del servicio

•Gestión de la

capacidad •Gestión de la seguridad _{de la información}

•Elaboración de informes Gestión de niveles de servicio Procesos de Control •Gestión de la disponibilidad y continuidad del •Elaboración del presupuesto y gestión de costos Elaboración de informes del servicio Procesos de Control Gestión de la configuración

servicio gestión de costos

Procesos de •Gestión de relaciones Gestión de cambios Proceso de Liberación Procesos de Relaciones

Procesos de _{Gestión de relaciones}

con clientes

•Gestión de proveedores •Gestión de la

liberación Resolución

Gestión de incidentes

Gestión de problemas Gestión de proveedores Gestión de problemas

(7)

ITIL - Information Technology

gy

Infrastructure Library

Es un marco de trabajo (framework) para la Es un marco de trabajo (framework) para la Administración de Procesos de IT

E t d d d f t S i i d IT Es un standard de facto para Servicios de IT Fue desarrollado a fines de la década del 80

Originalmente creado por la CCTA (una agencia del Gobierno del Reino Unido)

(8)

Información

Definición, Tipos

“La información es un recurso que, como el resto de los importantes activos tiene valor resto de los importantes activos, tiene valor para una organización y por consiguiente

(9)

Algunos datos

En general todos coinciden en:

El

80%

de los incidentes/fraudes/ataques son

efectuados por personal interno

Fuentes:

C

S

The Computer Security Institute

Cooperative Association for Internet Data

Analysis (CAIDA)

CERT

SANS

(10)

Fraude por Computador

ili d b

Utilizar un computador para obtener beneficio personal o causar daño a los demás.

los demás.

• Dada la proliferación de las redes y del p y personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas

y en la cantidad de pérdidas.

• Se especula que muy pocos fraudes por computador son detectados y una menor p y porción es reportada.

(11)

¿De Quién nos Defendemos?

• Gente de adentro: Empleados o

personas allegadas

personas allegadas.

• Anti gobernistas: Razones obvias para

justificar un ataque

justificar un ataque.

• Un cracker que busca algo en

específico: Es problemático pues suele

ser un atacante determinado. Puede

estar buscando un punto de salto

(12)

De qué nos defendemos?

• Fraude

• Extorsión

• Robo de Información

Robo de servicios

• Robo de servicios

• Actos terroristas

• Reto de penetrar un sistema

• Deterioro

(13)

Efectos de las Amenazas y

los Ataques

• Interrupción de actividades

• Dificultades para toma de decisiones • Sanciones

• Costos excesivos

• Pérdida o destrucción de activos • Desventaja competitiva

(14)

¿ Qué Información proteger ?

Información

• en formato electrónico / magnético / óptico

• en formato impreso

(15)

¿QUÉ DEBE SER PROTEGIDO?

• Sus Datos

Confidencialidad – Quiénes deben conocer quéQ q Integridad – Quiénes deben cambiar qué

Disponibilidad - Habilidad para utilizar sus spo b dad ab dad pa a ut a sus sistemas

• Sus Recursos

 Su organización su tecnología y sus sistemas

(16)

¿Qué es la seguridad de la

información?

L id d d i f ió t i l

La seguridad de información se caracteriza como la preservación de la:

Confidencialidad: asegurar que la información – Confidencialidad: asegurar que la información

sea accesible sólo para aquellos usuarios autorizados para tener acceso

autorizados para tener acceso

– Integridad: salvaguardar que la información y los métodos de procesamiento sean exactos y p y completos

– Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y bienes asociados cuando lo requieran

(17)

¿ Cómo se logra la seguridad de

g

la información ?

 La seguridad de información se logra mediante la

implementación de un adecuado conjunto de implementación de un adecuado conjunto de controles, los que podrían ser:

Políticas, prácticas, procedimientos, estructuras

organizacionales y funciones de software.

 S it t bl t t l

 Se necesita establecer estos controles para

asegurar que se cumplan los objetivos específicos de seguridad de la organización

(18)

Seguridad de la información

RIESGOS O AMENAZAS

Actos de la naturaleza _Fraudes

VULNERABILIDADES VULNERABILIDADES

Fallas de Hard, Soft

o instalación Daño intencional o instalación

Errores y omisiones Invasión a la privacidad

CONSECUENCIAS CONSECUENCIAS CONSECUENCIAS CONSECUENCIAS

RIESGO PERDIDA ESPERADA

(19)

Sistema de gestión de riesgos

g

(20)

Objetivos a cumplir

Objetivos corporativos de negocio

Objetivos corporativos de TI

Objetivos de Seguridad

O j

os d

gu d d

Informática

El problema de la Seguridad Informática está

en su Gerenciamiento y no en las

tecnologías disponibles

(21)

SGSI: Sistema de Gestión de Seguridad

d l I f

ió

ISMS – Information Security Management System

de la Información

y g y

Qué es? Forma sistemática de administrar la Q

información sensible

Cómo? Gestionando los riesgosg

Para qué? Proteger la información: Para qué? Proteger la información:

Confidencialidad – Integridad – Disponibilidad A quiénes abarca? Personas, Procesos y

Tecnología Tecnología

(22)

ORIGEN: BS 7799

N

Norma

Define requisitos para un Sistema de

Gestión de

Seguridad de la Información (ISMS).

g

(

)

Comprende 10 secciones

Compuesta por 2 partes:

Parte 1: Controles

(23)

ISO 27001:2005

• Actualización de BS 7799 bajo los lineamientos de • Actualización de BS 7799 bajo los lineamientos de

ISO, se creó ISO 27001

• El nombre oficial del nuevo estándar es:

BS 7799-2:2005 (ISO/IEC 27001:2005) Information

Technology Security Techniques Information

Technology - Security Techniques – Information Security Management - Systems – Requirements. Cambios con respecto a BS 7799-2: por ejemplo

• requiere la definición de los mecanismos de

medi ión de l efe ti id d de lo ont ole medición de la efectividad de los controles.

(24)

Modelo SGSI

(25)

Modelo SGSI

(26)

Objetivos del SGSI

j

Implementación de un programa de Seguridad

• Comprensivo

• Adaptado a la Cultura de la organización

Adaptado a la Cultura de la organización

• Que Proteja la información sensible de las

amenazas

(27)

Objetivos de Seguridad

Tres componentes a tener en cuenta para la seguridad

1) Ataques a la seguridad:

Cualquier acción que compromete la seguridad de la información perteneciente a la organización.

2) Mecanismos de seguridad:

Es un mecanismo diseñado para detectar, prevenir y/o recuperar frente a un ataque a la seguridad.

3) Prestación de seguridad: 3) Prestación de seguridad:

Es un servicio que mejora la seguridad de un sistema de

procesamiento de datos y de la información que transfiere la

ó f

organización. El servicio enfrenta los ataques a la seguridad utilizando para poder hacerlo, uno o más mecanismos de seguridad.

(28)

Antes de comenzar….

Requisitos para comenzar…existe alguno???

COMPROMISO Y RESPALDO DE

LA DIRECCION

El Proceso de Implementación - SGSI

La clave de la implementación es:

(29)

Considerar documentación

(30)

SGSI: El Proceso de Implementación

(31)

SGSI: El Proceso de Implementación

(32)

(33)

No hay calidad de la gestión

sin seguridad de la

información que procesan los

q

p

sistemas de información que

d

t

l

tió

(34)

Propuesta de plan del PMG en el SGSI

p

A realizar por Red de

Expertos PMG funcionariosA realizar por

A realizar por IRAM

Chile

Gap analysis + Diagnóstico

Capacitación Asesoramiento para _{diseño del plan} Implementación Fase 1

p Chile

p _{diseño del plan}

ESTABLECER el SGSI

(s/6 dominios) Auditoría de

Verificación Fase 1 Asesoramiento sobre Implementación Fase 2 Verificación Fase 1 _{acciones correctivas}

Fase 1 Implementación Fase 2 IMPLEMENTAR el SGSI (s/6 dominios) Auditoría de Auditoría de

Verificación Fase 2 Asesoramiento sobre acciones correctivas Fase 2 Implementación Fase 3 Seguimiento y Revisión de SGSI (s/6 dominios) de SGSI (s/6 dominios) Auditoría de

Verificación Fase 3 Asesoramiento sobre _{acciones correctivas} Preparación para Certificación