SSTI-2017 2-Sem 03c-Caso de Estudio-Implem SGSI

Seguridad de Sistemas de TI
Caso de estudio: Implementacin de un SGSI en la empresa SONDA

Semana_03c
Agenda
I. Antecedentes
II. Etapa 1: Anlisis de riesgo
III. Etapa 2: Implementacin de controles
IV. Aporte real de la ISO 27001
V. Conclusiones
Material compilado y adaptado por el profesor Carlos Torres

Compilado y adaptado para clase por el profesor Carlos Torres en base a fuentes diversas de Internet 2
I. ANTECEDENTES
Ejemplo de implementacin: Caso SONDA
SONDA empresa
latinoamericana de Servicios TI e
Integracin de Sistemas
Ingresos 2008 > US$ 671 millones

Utilidades US$ 80 millones
Empleados > 10.000
Organizacin regional con un amplio

alcance en Amrica Latina

El proyecto: Implementacin de ISO 27001
Apoyo de la PMO
Entregables
E1: Acuerdos de confidencialidad
E2: Informe de anlisis de riesgo
E3:
Procesos implantados
Capacitacin al personal
Indicadores del SGSI
Auditora interna realizada
Presupuesto
Previsiones del sector para mejoras y nuevos controles
Estimacin de RRHH en base a dimensin de proyecto/cliente

Etapas del Proyecto
Etapa 1
Actividad principal:
Anlisis de riesgo
Duracin: abril a agosto de 2008
Etapa 2
Actividad principal:
Implementacin de controles
Duracin: agosto a diciembre de 2008

II. ETAPA 1: ANLISIS
DE RIESGO
Plan de la Etapa 1

Proyecto de implementacin: Etapa 1
Capacitacin y evaluacin inicial de situacin

12 horas de capacitacin
Participacin de personal de otras reas
Anlisis de brecha (Gap analysis) para evaluar desviaciones de la

ISO 27001/2

Comit de Seguridad
Representante de la Direccin
Coordinador de RRHH
Coordinador de Calidad
Administrador del Data Center
Jefe del Data Center
Jefe de Seguridad de la Informacin

Alcance del SGSI

Descripcin de la empresa
Delimitacin del alcance
Descripcin de la organizacin dentro

de la empresa

Poltica de Seguridad de la Informacin

Establecer anualmente objetivos con
relacin a la Seguridad de la
Informacin.
Cumplimiento de requisitos legales en

materia de seguridad.
Realizar el Anlisis de riesgos

Algunos objetivos del SGSI:
Objetivo Mtrica Meta Responsable Frecuencia Plazo de

cumplimiento
Obtener y Obtencin o
Mantener la mantenimiento Comit de
certificacin
Certificado
del Seguridad
Anual Dic-08
ISO/IEC27001 Certificado
Mantener la
Porcentaje de los
concientizacin
Funcionarios con al menos Comit de
y capacitacin
dos capacitaciones sobre la
100%
Seguridad
Anual Dic-08
del personal en
norma ISO/IEC 27001
ISO/IEC27001
Garantizar la
Satisfaccin de
Nmero de reclamos
los clientes en Comit de
Materia de
asociados a la Seguridad 0
Seguridad
Anual Dic-08
de la Informacin
Seguridad de la
Informacin

Requisitos legales y contractuales

Asistencia de consultores legales
Anlisis de contratos,
identificando referencias a
compromisos de confidencialidad,
integridad y disponibilidad de la
informacin.

Identificacin y valoracin de activos

Identificacin de dueos de activos de
informacin
Identificacin de procesos/procedimientos
Identificacin y clasificacin de activos
Agrupamiento de activos (tipo cliente

ubicacin)
Valoracin de los activos
Valoracin de los grupos

Identificacin y evaluacin de riesgos (I)

1. Identificacin y valoracin de activos
2. Identificacin de amenazas y su probabilidad de ocurrencia
Escala Descripcin
Existe una gran probabilidad de que

Alta
ocurra, por lo menos una vez.
Media Podra ocurrir con alguna probabilidad.
Es un fenmeno que ocurre rara vez en

Baja
el ao.

Identificacin y evaluacin de riesgos (II)

3. Vulnerabilidad
Se identifican qu controles existen para cada amenaza.
Nivel de
Situacin
Vulnerabilidad
No hay Vulnerabilidad Nula
S hay controles y son
Baja
suficientes
Hay algunos controles Media
No hay controles o no son
Alta
suficientes

Identificacin y evaluacin de riesgos (III)

4. Impacto
Ejemplo
Grupo Amenaza D I C Impacto
Uso no
Base de Autorizado de
Medio-
datos Medios de X X
Alto
Comn almacenamiento
porttiles
En la hoja Inventario de Activos, para el grupo Base de Datos

Comn, se encuentra la siguiente valoracin:
Disponibilidad Integridad Confidencialidad
Medio Alto Medio-Alto
Identificacin y evaluacin de riesgos (IV)

5. Clculo del riesgo actual (I)
Obtencin del nivel de exposicin actual.
Vulnerabilidad/
Baja Media Alta
Probabilidad
Baja Muy bajo Bajo Medio
Media Bajo Medio Alto
Alta Medio Alto Muy alto

Identificacin y evaluacin de riesgos (V)

5. Clculo del riesgo actual (II)
Con el nivel de exposicin calculado y el impacto potencial de la
amenaza, se obtiene el riesgo actual (nivel de riesgo actual),
en base a lo detallado en la siguiente tabla:
Muy
Impacto/Exposicin Muy baja Baja Media Alta
Alta
Bajo 1 2 3 4 5
Medio 2 3 4 5 6
Medio-Alto 3 4 5 6 7
Alto 4 5 6 7 8

Identificacin y evaluacin de riesgos (VI)

5. Clculo del riesgo actual (III)
Los niveles de riesgo calculados se asocian con las siguientes
descripciones (ver siguiente lmina):

Tabla de Niveles de riesgo:

Nivel
de Concepto Descripcin
riesgo
1 Insignificante Impacto muy bajo No requiere accin.
2 Trivial Impacto bajo No requiere accin.
3 Menor Efectos menores en el negocio No requiere accin.
Poco
4 Algn efecto negativo No se considera necesario tomar accin.
Significativo
Efecto negativo en el negocio. Estos riesgos no son considerados
5 Significativo
aceptables.
6 Importante Tendran serios efectos negativos en el negocio.
Tendran efectos negativos mayores en el negocio, y deberan ser

7 Mayor
reducidos en todas las circunstancias.
Tendran efectos desastrosos en el negocio, y deberan ser
8 Catastrfico
reducidos en todas las circunstancias.
Identificacin y evaluacin de riesgos (VII)

6. Identificacin de controles
Para cada riesgo que supera el riesgo
mximo aceptable, se identifican los
controles de la norma ISO/IEC 27001.
7. Clculo de riesgo residual

Se calcula un nuevo valor de riesgo
residual tomando en consideracin los
controles que se implementan.

Identificacin y evaluacin de riesgos (VIII)

8. Plan de tratamiento de riesgos
Se genera el Plan de tratamiento de
riesgos, indicando los controles,
responsabilidades y recursos.
9. Monitoreo y revisin
Se realizan revisiones peridicas y
cuando se producen cambios
significativos en los procesos de
negocio.
Declaracin de aplicabilidad:
ObjetivosdeControl/
Detalle Sel Imp Justificacin
Controles
A.5 Poltica de Seguridad
Objetivo: Brindar orientacin y

Apoyo de la direccin para la
A.5.1 Poltica de Seguridad Seguridad de la informacin, de
De la Informacin acuerdo con los requisitos del
Negocio y con las regulaciones y
Leyes pertinentes.
Existe publicado un documento S S

de polticas, aprobado por la i Mejorar la concientizacin del
A.5.1.1 Documento de la direccin, publicado y personal.
Poltica de seguridad de la comunicado de forma Mitigar riesgos.
informacin. apropiada, a todos los Demostrar compromiso de la
empleados?. Direccin.

Plan de tratamiento de riesgos

Grupo Amenazas Riesgo Tratamiento Controles a
(Tipo/Propietario/ implementar
Ubicacin)
Personas- Por uso no autorizado de 7 Mitigar

Sonda-Sonda medios de
5.1.1,5.1.2,6.1,6.1.1,6.1.2,
almacenamiento
6.1.3,7.1,7.1.1,7.1.2,7.1.3,
porttiles (Tel.Celulares,
7.2,7.2.1,7.2.2,8.1,8.1.1,8.
USB Tokens, Cmaras,
1.2,8.1.3,8.2,8.2.1,8.2.2,8.
Ipods,etc.)
2.3,10.3,10.3.1,10.3.2,10.
5,10.5.1,10.7,10.7.1,10.7.
2,10.7.3,10.7.4,10.10,10.1
0.1,10.10.2,10.10.3,10.10.
4,10.10.5,10.10.6,11.1,11.
1.1,11.2,11.2.1,11.2.2,11.2
.3,11.2.4,11.3,11.3.1,11.3.
2,11.3.3,11.7,11.7.1,11.7.2
,12.1,12.1.1,13.1,13.1.1,1
3.1.2,13.2,13.2.1,13.2.2,1
3.2.3,14.1,14.1.1,14.1.2,1
4.1.3,14.1.4,14.1.5,15.2,1
5.2.1,15.2.2

III. ETAPA 2:
IMPLEMENTACIN DE
CONTROLES

Implementacin del Plan de tratamiento de riesgos

Gestionado como un Proyecto
Se formalizaron 119 controles
~70 documentos generados
>10 instancias de concientizacin y capacitacin
~15 personas directamente involucradas

Tratamiento de riesgos puntos relevantes (I)

Dominio 6 Organizacin de la Seguridad de la Informacin
Formacin del Comit de seguridad.
Dominio 8 Seguridad de RRHH

Afect a otro sector de la empresa.
Dominio 9 Seguridad fsica y del entorno

Mejora en la Seguridad fsica del acceso a SONDA.
Dominio 10 Gestin de comunicaciones y operaciones

Red de administracin del DC aislada.

Tratamiento de riesgos puntos relevantes (II)

Dominio 11 Control de acceso
Herramienta para auditar administradores.
Dominio 13 Gestin de incidentes

Adaptacin de la herramienta de gestin de calidad.
Dominio 14 Plan de continuidad

Mejoras al plan de continuidad.
Dominio 15 Cumplimiento
Informe de asesores legales sobre legislacin y regulaciones
aplicables.
Algunos indicadores del SGSI:
Dominio Objetivo del Indicador Indicador
Medir la Eficacia de las Capacitaciones Nmero de Incidentes o Eventos de

8
de SGSI Seguridad debido a falta de capacitacin
Nmero de Incidentes o Eventos

Medir la Eficacia de los controles para
6 asociados a Terceros (proveedores y
con Terceros
clientes)
Nmero de Incidentes o Eventos debido

Medir el Cumplimiento de Derechos de
15 a violaciones de Derechos de Propiedad
Propiedad Intelectual
Intelectual

Gestin de incidentes
Registro a travs de Service Desk o e-mail
Catalogacin como Evento o Incidente
Incidentes tratados por etapas

Accin inmediata
Causa
Accin correctiva
Verificacin de la implementacin
Verificacin de la eficacia
Estimacin de costos

Auditoras y revisin por la Direccin

Auditora interna
3 das de duracin
Revisin por la Direccin

Resultados de auditoras
Indicadores y objetivos del SGSI
Recomendaciones para mejoras al SGSI
Provisin de recursos
Auditora externa (certificacin)

2 etapas, 3 das de duracin
IV. APORTE REAL DE LA
ISO 27001
Aporte real de la certificacin ISO 27001
Formalizacin
Seguimiento formal de eventos e incidents, y reduccin del impacto
de los mismos
Gestin de riesgos en materia de seguridad
Generador de mejoras
En los procesos de negocio
Concientizacin del personal y de la organizacin
Garantas adicionales
Para socios, clientes y accionistas
V. CONCLUSIONES
Conclusiones
Alumno_01
Alumno_02


SSTI-2017 2-Sem 03c-Caso de Estudio-Implem SGSI

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

SSTI-2017 2-Sem 03c-Caso de Estudio-Implem SGSI

Transféré par

Droits d'auteur :

Formats disponibles

Seguridad de Sistemas de TI

Caso de estudio: Implementacin de un SGSI en la empresa SONDA

II. Etapa 1: Anlisis de riesgo

III. Etapa 2: Implementacin de controles

IV. Aporte real de la ISO 27001

Material compilado y adaptado por el profesor Carlos Torres

Ingresos 2008 > US$ 671 millones

Empleados > 10.000

Organizacin regional con un amplio

Material compilado y adaptado por el profesor Carlos Torres

Material compilado y adaptado por el profesor Carlos Torres

Duracin: agosto a diciembre de 2008

Material compilado y adaptado por el profesor Carlos Torres

Material compilado y adaptado por el profesor Carlos Torres

Capacitacin y evaluacin inicial de situacin

Participacin de personal de otras reas

Anlisis de brecha (Gap analysis) para evaluar desviaciones de la

Material compilado y adaptado por el profesor Carlos Torres

Administrador del Data Center

Jefe del Data Center

Jefe de Seguridad de la Informacin

Material compilado y adaptado por el profesor Carlos Torres

Alcance del SGSI

Delimitacin del alcance

Descripcin de la organizacin dentro

Material compilado y adaptado por el profesor Carlos Torres

Poltica de Seguridad de la Informacin

Cumplimiento de requisitos legales en

Realizar el Anlisis de riesgos

Material compilado y adaptado por el profesor Carlos Torres

Algunos objetivos del SGSI:

Objetivo Mtrica Meta Responsable Frecuencia Plazo de

Material compilado y adaptado por el profesor Carlos Torres

Requisitos legales y contractuales

Material compilado y adaptado por el profesor Carlos Torres

Identificacin y valoracin de activos

Identificacin y clasificacin de activos

Agrupamiento de activos (tipo cliente

Valoracin de los activos

Valoracin de los grupos

Identificacin y evaluacin de riesgos (I)

2. Identificacin de amenazas y su probabilidad de ocurrencia

Existe una gran probabilidad de que

Media Podra ocurrir con alguna probabilidad.

Es un fenmeno que ocurre rara vez en

Material compilado y adaptado por el profesor Carlos Torres

Identificacin y evaluacin de riesgos (II)

Material compilado y adaptado por el profesor Carlos Torres

Identificacin y evaluacin de riesgos (III)

En la hoja Inventario de Activos, para el grupo Base de Datos

Identificacin y evaluacin de riesgos (IV)

Baja Muy bajo Bajo Medio

Media Bajo Medio Alto

Alta Medio Alto Muy alto

Material compilado y adaptado por el profesor Carlos Torres

Identificacin y evaluacin de riesgos (V)

Material compilado y adaptado por el profesor Carlos Torres

Identificacin y evaluacin de riesgos (VI)

Material compilado y adaptado por el profesor Carlos Torres

Tabla de Niveles de riesgo:

Tendran efectos negativos mayores en el negocio, y deberan ser

Identificacin y evaluacin de riesgos (VII)

7. Clculo de riesgo residual

Material compilado y adaptado por el profesor Carlos Torres