Académique Documents
Professionnel Documents
Culture Documents
entre
Objetivos de Gestión
y
Objetivos Técnicos
Abril 2013
Agenda
Introducción
ISO 27000
Riesgos
Continuidad de Negocios
PCI
PMG SSI
Otros
INTRODUCCIÓN
Eric Donders O.
• Oficial de Seguridad TI
• Subgerente de Seguridad TI
http://research.microsoft.com/apps/video/default.aspx?id=140625 https://cyberexchange.isc2.org/safe-secure.aspx
Empresa en un Día
http://www.chilesinpapeleo.cl/
Factura Electrónica Obligatoria
Agenda Digital Imagina Chile 2013-
2020
http://www.gobiernodechile.cl/especiales/agenda-digital-imagina-chile-2013-2020/
Balance
Objetivos Objetivos
Gestión Técnicos
10
Balance
ISO
PCI
NIST
CISM CSA CISSP
Lead Auditor CEH
11
Estándares de apoyo al desarrollo de la Seguridad
de la Información
No Existente Inicial Repetible Definido Administrado Optimizado
0 1 2 3 4 5
ad
7 Objetivos o lid d d o
da ent ida
d
ad cia cia
Personas
Infraestructura
e t
Ef E on
C
In
Di
s
Cu C
Información
Dominios
Aplicaciones
Aplicaciones TI
Auditoría 4 Dominios
34 Procesos
Procesos
os
TI
Actividades u rs
ec
ISO 27004
27000
Métricas de Gestión de
Vocabulario y Fundamentos
Seguridad de la Información
de un SGSI
ISO 27005
Gestión de Riesgo en un
SGSI
ISO 27002
Estructura: 11 Dominios de Control
Seguridad Organizativa
Seguridad Lógica
Políticas de Seguridad
Seguridad Física
Cumplimiento
16
Controles
Nivel Ctrl Título Descripción
D o minio A.5 Política de Seguridad
Control A.5.1.1 Documento de la política de El documento de la política de seguridad de la información debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes
seguridad de la externas relevantes.
información El documento de la política de seguridad de la información debiera enunciar el compromiso de la gerencia y establecer el enfoque de la organización para manejar la
seguridad de la información. El documento de la política debiera contener enunciados relacionados con:
D o minio A.6 Organización de la seguridad de la inform ación
Control A.6.1.1 Compromiso de la gerencia La gerencia debiera apoyar activamente la seguridad dentro de la organización a través de
con la seguridad de la una dirección clara, compromiso demostrado, asignación explícita y reconociendo las
información responsabilidades de la seguridad de la información.
D o minio A.7 Gestión de activos
Control A.7.1.1 Inventario de los activos
Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes.
Una organización debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la información
necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor
comercial. El inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado.
Además, se debiera acordar y documentar la propiedad (ver 7.1.2) y la clasificación de la propiedad (ver 7.2) para cada uno de los activos. Basados en la
importancia del activo, su valor comercial y su clasificación de seguridad, se debieran identificar los niveles de protección que se conmensuran con la importancia
de los activos
D o minio A.8 Seguridad de Recursos Hum anos
Control A.8.1.1 Roles y responsabilidades Se debieran definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de
seguridad de la información de la organización.
D o minio A.9 Seguridad física y am biental
Control A.9.1.1 Perímetro de seguridad Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que
física contienen información y medios de procesamiento de información.
D o minio A.10 Gestión de las com unicaciones y operaciones
Control A.10.1.1 Procedimientos de Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten.
operación documentados Se debieran preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y
comunicación; tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de
cómputo, manejo del correo y seguridad.
Los procedimientos de operación debieran especificar las instrucciones para la ejecución detallada de cada trabajo incluyendo:
Controles
AS/NZS 4360:1999
En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la
caracterización de un proceso de gestión de riesgos. Tras su primer ciclo de revisión, la
versión más reciente data de 2004 y conforma un paquete completo que incluye el
manual de apoyo HB 436:2004
BS 7799-3:2006
La norma británica BS 7799-3:2006, “Sistemas de Gestión de Seguridad de la Información-
Parte 3: Guías para la gestión de riesgos de seguridad de la información”
NIST’s Risk Management Guide for Information Technology Systems (NIST-SP-800-30
“Guía de Gestión de riesgos para sistemas de tecnologías de información”, presenta
definiciones y una guía práctica para evaluar y mitigar riesgos identificados en los sistemas
de TI
ISO/IEC 27005:2008
Tecnologías de la información-Técnicas de Seguridad-Gestión del riesgo de seguridad de la
información”, forma parte de la familia ISO 27000, conjunto de estándares desarrollados
por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña
Gestión de Riesgos
Conformidad
Nombre País Año Organización Herramienta
Regulatoria
ISO/IEC 27001/2005
ISO/IEC ISO-International Organization
Internacional (Suiza) 2008 ISO/IEC 13335/2004 No
27005:2008 for Standardization
ISO/IEC 27002/2005
ISO/IEC 27001/2005
ISO/IEC 15408/2005
Consejo Superior de Sí, (EAR/
MAGERIT España 2006 ISO/IEC 17799/2005
Administración Electrónica Pilar)
ISO/IEC 13335/2004
LOPD 15/1999
ISO/IEC17799
CCTA-Central Computing and
CRAMM Reino Unido 2003 GLBA Sí , CRAMM expert
Telecommunications Agency
HIPPA
Carnegie Mellon University
2001- CERT
OCTAVE Estados Unidos N/A Sí
2007 (Computer Emergency Response
Team)
NIST-National Institute of
NIST SP 800-30 Estados Unidos 2002 N/A No
Standards and Technology
Gestión de Riesgos
ISACA - Risk IT
ISACA - Risk IT Tres Dominios
Técnicas Gestión de Riesgos - ISO 31010
Risk assessment process
ID Tools and techniques Risk Risk analysis Risk Annexo
Identification Consequence Probability Level of risk evaluation
1 Brainstorming SA NA NA NA NA B01
2 Structured_or_semi-structured_interviews SA NA NA NA NA B02
3 Delphi SA NA NA NA NA B03
4 Check-lists SA NA NA NA NA B04
5 Primary_hazard_analysis SA NA NA NA NA B05
6 Hazard_and_operability_studies_(HAZOP) SA SA A A A B06
7 Hazard_Analysis_and_Critical_Control_Points_(HACCP) SA SA NA NA SA B07
8 Environmental_risk_assessment SA SA SA SA SA B08
9 Structure_«_What_if?_»_(SWIFT) SA SA SA SA SA B09
10 Scenario_analysis SA SA A A A B10
11 Business_impact_analysis A SA A A A B11
12 Root_cause_analysis NA SA SA SA SA B12
13 Failure_mode_effect_analysis SA SA SA SA SA B13
14 Fault_tree_analysis A NA SA A A B14
15 Event_tree_analysis A SA A A NA B15
SA Strongly applicable
NA Not applicable
A Applicable.
Técnicas Gestión de Riesgos - ISO 31010
Risk assessment process
ID Tools and techniques Risk Risk analysis Risk Annexo
Identification Consequence Probability Level of risk evaluation
16 Cause_and_consequence_analysis A SA SA A A B16
17 Cause-and-effect_analysis SA SA NA NA NA B17
18 Layer_protection_analysis_(LOPA) A SA A A NA B18
19 Decision_tree NA SA SA A A B19
20 Human_reliability_analysis SA SA SA SA A B20
21 Bow_tie_analysis NA A SA SA A B21
22 Reliability_centred_maintenance SA SA SA SA SA B22
23 Sneak_circuit_analysis A NA NA NA NA B23
24 Markov_analysis A SA NA NA NA B24
25 Monte_Carlo_simulation NA NA NA NA SA B25
26 Bayesian_statistics_and_Bayes_Nets NA SA NA NA SA B26
27 FN_curves A SA SA A SA B27
28 Risk_indices A SA SA A SA B28
29 Consequence/probability_matrix SA SA SA SA A B29
30 Cost/benefit_analysis A SA A A A B30
31 Multi-criteria_decision_analysis_(MCDA) A SA A SA A B31
SA Strongly applicable
NA Not applicable
A Applicable.
CONTINUIDAD
DE NEGOCIOS
Continuidad Negocios - BCP - DRP
BCM
BS 25999 – 1 2006
Código de Buenas Prácticas
Continuidad Negocios - BCP - DRP
BCMS
BS 25999 – 2 2007
Especificación del Sistema de Gestión
Relación entre RPO y RTO
PCI
PCI
Conjunto de Estándares
32
Proceso de Cumplimiento
Asesoramiento
Actividades de
Gap Analysis
remediación
Auditoría
Escaneos de seguridad
Certificación
Controles Recurrentes
ETAPA 1 ETAPA 2
DIAGNÓSTICO PLANIFICACIÓN
ETAPA 3 ETAPA 4
IMPLEMENTACIÓN EVALUACIÓN
Mejoramiento Continuo
http://ssi.pmg.gov.cl/
39
PMG-SSI y su Integración
40
40
Controles
OTROS
Otros Temas
Cloud
https://cloudsecurityalliance.org/research/security-guidance/
Otros Temas
Evaluación de Seguridad
http://www.isecom.org/research/osstmm.html
Otros Temas
Desarrollo Seguro
https://www.owasp.org/
http://www.opensamm.org/
Otros Temas
WebTrust
http://www.webtrust.org/item64428.aspx
Otros Temas
CiberDefensa
http://www.itu.int/cybersecurity/
Otros Temas
Entidades de Gobierno
http://www.dipres.gob.cl/594/w3-propertyvalue-
16887.html
Entidades Financieras - Procesamiento Externo De Actividades
http://www.sbif.cl/sbifweb/internet/archivos/publicacio
n_6593.pdf
Entidades Certificadoras en Chile
http://www.entidadacreditadora.gob.cl/?page_id=150
Otros Temas
Chequeo Aplicativo
Análisis Forense
Análisis de Código Malicioso
Móviles
HIPAA
SCADA
….
Año 2013
Estándar ISO en Gobierno de Seguridad de la Información
ISO 27014
Balance
Objetivos Objetivos
Gestión Técnicos
50