APLICACIN

DE LINEAMIENTOS INTERNACIONALES EN LA ORGANIZACIN

SEGURIDAD DE LA INFORMACIN

 ORDEN DEL DA
Aplicacin Inicial del SGSI en la Organizacin Modelos Formales para la Ges<n de Riesgos Norma ISO/IEC para la Ges<n de Riesgos

APLICACIN INICIAL DEL SGSI EN LA ORGANIZACIN

SEGURIDAD DE LA INFORMACIN

 ESTRUCTURA DEL ANEXO A (OBJETIVOS DE CONTROL Y CONTROLES)

5 Poltica de Seguridad 6 Organizacin de la Seguridad de la Informacin 7 Gestin de Activos 11 Control de Acceso

15 Cumplimiento 8 Seguridad de los Recursos Humanos 10 Gestin de las Comunicaciones y de las Operaciones
Seguridad Organizacional Seguridad Fsica Seguridad Lgica

9 Seguridad fsica Y del entorno 13 Gestin de Incidentes De Seguridad De la Informacin

Seguridad Legal

12 Desarrollo y mantenimiento de Sistemas

14 Gestin de la Continuidad Del Negocio

 4 SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

4.1 Requisitos generales. 4.2 Establecimiento y gestin del Sistema de Gestin de la Seguridad de la Informacin. 4.2.1 Establecimiento del SGSI. 4.2.2 Implementacin y Operacin del SGSI. 4.2.3 Seguimiento y revisin del SGSI. 4.2.4 Mantenimiento y mejora del SGSI.

 LINEAMIENTO MANDATORIO 4.2.1.C

1. Identificar una metodologa de valoracin del riesgo que sea adecuada al SGSI y a los requisitos reglamentarios, legales y de seguridad de la inforacin del negocio, identificados. 2. Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles de riesgo aceptables. La metodologa seleccionada para la valoracin de riesgos debe asegurar que dichas valoraciones producen resultados comparables y reproducibles.

 LINEAMIENTO MANDATORIO 4.2.1.D

1. Identifica los activos dentro del alcance del SGSI y los propietarios de estos activos. 2. Identificar las amenazas a estos activos. 3. Identificar las vulnerabilidades que podran ser aprovechadas por las amenazas. 4. Identificar los impactos que la prdida de confidencialidad, integridad y disponibilidad puede tener sobre estos activos.

 LINEAMIENTO MANDATORIO 4.2.1.E

1. Valorar el impacto de negocios que podra causar una falla en la seguridad, sobre la organizacin, teniendo en cuenta las consecuencias de la prdida de confidencialidad, integridad o disponibilidad de los activos. 2. Valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando las amenazas, las vulnerabilidades, los impactos asociados con estos activos y los controles implementados actualmente. 3. Estimar los niveles de los riesgos. 4. Determinar la aceptacin del riesgo o la necesidad de su tratamiento a partir de los criterios establecidos en el numeral 4.2.1, literal c.

 LINEAMIENTO MANDATORIO 4.2.1.G

Los objetivos de control y controles se deben seleccionar e implementar de manera que cubran los requisitos identificados en el proceso de valoracin y tratamiento de riesgos. Esta seleccin debe tener en cuenta los criterios para la aceptacin de riesgos (vase el numeral 4.2.1, literal c), al igual que los requisitos legales, reglamentarios y contractuales. Los objetivos de control y controles del Anexo A se deben seleccionar como parte de este proceso, en tanto sean adecuados para cubrir estos requisitos. Los objetivos de control y controles presentados en el anexo A no son exhaustivos, por lo que puede ser necesario seleccionar objetivos de control y controles adicionales.

 LINEAMIENTO MANDATORIO 4.2.1.J

q Se debe elaborar una declaracin de aplicabilidad que incluya: 1. Los objetivos de control y controles, seleccionados en el numeral 4.2.1, literal g y las razones para su seleccin. 2. Los objetivos de control y controles y loscontroles implementados actualmente (vase el numeral 4.2.1., literal e) 2),y 3. La exclusin de cualquier objetivo de control y controles enumerados en el Anexo A y la justificacin para u exclusin. Nota: La declaracin de aplicabilidad proporciona un resumen de las decisiones concernientes al tratamiento de los riesgos. La justificacin de las eclusiones permite validar que ningn control se omita involuntariamente.

Y AHORA POR DNDE INICIAR?

q Debemos inciar por gestionar los riesgos a los que se expone la organizacin. Definir estndar. Definir metodologa. Indentificar cules hay aplicables en el mercado para la seguridad ya sea informtica o de la informacin. Seleccionar estndar y metodologa en particular para implementacin. Interpretar estndar y metodologa en particular para implementacin. Implementar modelo para la gestin de riesgos.

MODELOS FORMALES PARA LA GESTIN DE RIESGOS

SEGURIDAD DE LA INFORMACIN

Y AHORA POR DNDE INICIAR?

POR QU ADMINISTRAR RIESGOS?

q No todas las organizaciones tiene una verdadera cultura de Evaluacin de Riesgos.

Frecuentemente se limita a adquirir tecnologa o herramientas.

Pocas organizaciones se detienen a pensar realmente que es lo que deben proteger.

POR QU ADMINISTRAR RIESGOS?

q Aspectos relacionados con seguridad tienden a ser complejos. q Rara vez se resuelven aplicando una herramienta o tecnologa Muchas debilidades estn enraizadas en aspectos organizacionales y del negocio.

Antes de implementar soluciones se debe hacer una verdadera evaluacin de riesgos.

POR QU ADMINISTRAR RIESGOS?

q Algunas cifras:

Mayora de violaciones de seguridad provienen del interior.

Mayora de ataques provienen del exterior.

Los ataques ms costosos son los que provienen del interior

BRECHA ORGANIZACIONAL

Operacin Gestin:
- Negocios - Planeacin - Presupuesto - Comunicaciones - Administracin de Sistemas - Soporte redes

Tctico:
- Entender ideales - Entender necesidades - Entender realidades - Ayudar a que se haga relidad

Y ENTONCES CMO HACERLO?

q Durante la evaluacin se desarrollan las siguientes actividades:

Identificar los Riesgos de Seguridad de la Informacin.

Analizar los riesgos para priorizar.

Desarrollar plan de tratamiento y mejora del nivel de seguridad de la informacin.

 IMPLEMENTACIN DE LA GESTIN DE RIESGOS

EN LA PRCTICA ES .

q Implementacin de un estndar.

q Implantacin de una metodologa.

QU ES UN ESTNDAR?
q Rae (Real Academia Espaola) define estndar como: Que sirve como tipo, modelo, norma, patrn o referencia. Tipo, modelo, patrn, nivel.

En terminos orientados a la gestin de riesgos es un lineamiento de caracter interno, nacional o internacional con el que se debe cumplir para garantizar una tratamiento adecuado de los mismos.

 ESTNDARES PARA LA GESTIN DE RIESGOS

q Algunos de los estndares en el mercado son: AS/NZS 4360:2004

Estndar Australiano desarrollado por el gobierno de este pas orientado a la gestin de riesgos indiferente de su tipo o nivel de clasificacin. NTC 5254:2006

Traduccin indntica del estndar AS/NZS 4360:2004.

 ESTNDARES PARA LA GESTIN DE RIESGOS

ISO/IEC 27005:2008

Esta norma supone una gua para la gesEn de riesgos de seguridad de la informacin, de acuerdo con los principios ya denidos en otras normas de la serie 27000. ISO/IEC 31000:2009 lEmo lineamiento emanado por ISO con el cual se dan directrices para la gesEn de riesgos en una organizacin.

QU ES UNA METODOLOGA?
q RAE (Real Academia Espaola) define metodologa como: Ciencia del mtodo. Conjunto de mtodos que se siguen en una investigacin cientfica o en una exposicin doctrinal.

En terminos orientados a la gestin de riesgos es un lineamiento de carcter interno, nacional o internacional el cual ayuda el como cumplir con los lineamientos dados para garantizar una tratamiento adecuado de los mismos. A diferencia del estndar es importante escoger una metodologa que entienda los activos de informacin.

 METODOLOGAS PARA LA GRSI

q Algunas de las metodologas en el mercado son: CRAMM

*(CCTA Risk Analysis and Management Method,) metodologa, herramienta de anlisis y gestin de riesgos desarrollada por la "Central Computer and Telecommunications Agency" del Reino Unido y gestionada por "Insight Consulting Limited" (Grupo Siemens). Existe en versin Expert y Express, incluye software y no es gratuita.

 METODOLOGAS PARA LA GRSI

SRMG *The Security Risk Management Guide es una metodologa soportada tecnolgicamente que provee un enfoque de cuatro fases para la gestin de riesgos. IRAM.

*Information Risk Analysis Methodologies es una metodologa de anlisis de riesgos del Information Security Forum slo disponible para sus miembros.

 METODOLOGAS PARA LA GRSI

MAGERIT *Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin, promovida por el Ministerio de Administraciones Pblicas de Espaa. OCTAVE

*Operationally Critical Threat, Asset, and Vulnerability Evaluation, metodologa de evaluacin de riesgos desarrollada por el Software Engineering Institute (SEI) de la Carnegie Mellon University.

Y AHORA CON QU TRABAJAR?

Como estndar: ISO/IEC 31000:2009

Como metodologa: OCTAVE

POR QU ESCOGER 31000:2009?

Define que se debe desarrollar la poltica de gestin del riesgo organizacional. Orientada a cualquier tipo de riesgo (estratgicos, de asignacin de recursos, de negocio u operacionales, del entorno). ltima norma internacional que regula la gestin de riesgos. Norma de mayor acogida a nivel mundial para la gestin de riesgos.

POR QU ESCOGER OCTAVE?

Diseada para tratar los riesgos de seguridad de la informacin. Su estructura metodolgica esta orientada a cumplir con lineamientos ISO. Metodologa de carcter libre no vinculada a un producto tecnolgico en particular. Metodologa de mayor acogida a nivel mundial para la gestin de riesgos de seguridad de la informacin.

NORMA ISO/IEC PARA LA GESTIN DE RIESGOS

SEGURIDAD DE LA INFORMACIN

INTRODUCCIN
Las organizaciones de todo tipo y tamao cuentan con factores internos y externos que las influencian y generan incertidumbre que afectan el cumplimiento de sus objetivos. Todas las actividades o procesos de la organizacin involucran riesgos. Por ende las organizaciones deben gestionar riesgos para identificarlos, analizarlos, evaluarlos para que este sea modificado y satisfacer as su apetito al riesgo. Mientras las organizaciones administran sus riesgos de alguna manera, este lineamiento internacional establece un nmero de principios que deben ser cumplidos para asegurar una gestin efectiva de los mismos.

INTRODUCCIN
q Al implementar y mantener este lineamiento internacional, la gestin de riesgos posibilita a la organizacin lograr entre otras cosas, lo siguiente: Incrementar la probabilidad de lograr sus objetivos. Fomentar una gestin proactiva. Fomentar la conciencia de identificar y tratar riesgos de manera transversal en la organizacin. Mejorar la identificacin de las oportunidades y las amenazas. Mejorar la gobernabilidad total del negocio.

INTRODUCCIN

1 ALCANCE
q Este estndar internacional provee principios y guas genricos orientadas a la gestin del riesgo. Puede ser usado por cualquier empresa, pblica, privada, asociacin, grupo o individuo. Aplica a toda industria o sector. Puede ser aplicado a travs del ciclo de vida de la organizacin, teniendo en cuenta actividades, estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y activos.

3 TERMINOS Y DEFINICIONES
Riesgo. Gestin del riesgo. Marco referencial para la gestin del riesgo. Poltica de gestin de riesgo. Actitud ante el riesgo. Plan para la gestin del riesgo.

3 TERMINOS Y DEFINICIONES
Propietario del riesgo. Proceso de gestin de riesgo. Establecimiento del contexto. Contexto externo. Contexto interno. Comunicacin y consulta.

3 TERMINOS Y DEFINICIONES

Partes interesadas. Evaluacin del riesgo. Identificacin del riesgo. Recurso del riesgo. Evento. Consecuencia.

3 TERMINOS Y DEFINICIONES
Probabilidad. Perfl del riesgo. Anlisis del riesgo. Crterios de riesgo. Nivel de riesgo. Evaluacin del riesgo.

3 TERMINOS Y DEFINICIONES

Tratamiento del riesgo. Control. Riesgo residual. Monitorieo. Revisin.

REA DE ENFOQUE

APLICACIN DE LINEAMIENTOS INTERNACIONALES EN LA ORGANIZACIN

SEGURIDAD DE LA INFORMACIN