Académique Documents
Professionnel Documents
Culture Documents
(ISO/IEC 27001)
Factores de xito.
Anexos Trminos. Caso
2
Conceptos Fundamentales
De que informacin estamos hablando? Qu tan expuestos estamos?
Informacin a Proteger
Cual es la informacin ms valiosa que manejamos?
La informacin asociado a nuestros clientes. La informacin asociado a nuestras ventas. La informacin asociada a nuestro personal. La informacin asociada a nuestros productos. La informacin asociada a nuestras operaciones.
Riesgos?
Pero si nunca paso nada!!.
La empresa necesita contar con informacin sobre la cual tomar decisiones a los efectos de establecer controles necesarios y eficaces.
Amenazas
Password cracking
Man in the middle
Escalamiento de privilegios
Exploits
Backups inexistentes
Destruccin de equipamiento
Instalaciones default
Desactualizacin
6
Keylogging
Port scanning
Ms Amenazas!!
Spamming
Violacin de contraseas
Virus
Ingeniera social
empleados deshonestos
Propiedad de la informacin Robo de informacin Indisponibilidad de informacin clave Intercepcin de comunicaciones voz y wireless Falsificacin de informacin Agujeros de seguridad de redes conectadas para terceros
Vulnerabilidades Comunes
Inadecuado compromiso de la direccin. Personal inadecuadamente capacitado y concientizado. Inadecuada asignacin de responsabilidades. Ausencia de polticas/ procedimientos. Ausencia de controles
(fsicos/lgicos) (disuasivos/preventivos/detectivos/correctivos)
Seguridad de la Informacin
Seguridad de la Informacin ?
La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada.
La informacin puede estar: Impresa o escrita en papel. Almacenada electrnicamente. Trasmitida por correo o medios electrnicos Mostrada en filmes. Hablada en conversacin.
Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
10
Seguridad de la Informacin ?
La seguridad de la informacin se caracteriza aqu como la preservacin de:
su confidencialidad, asegurando que slo quienes estn autorizados pueden acceder a la informacin; su integridad, asegurando que la informacin y sus mtodos de proceso son exactos y completos. su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran.
11
12
Normas aplicables
Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Informacin, podemos encontrar los siguientes: ISACA: COBIT British Standards Institute: BSI International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC Information Technology Security Evaluation Criteria: White Book Sarbanes Oxley Act, HIPAA
13
La primer fuente procede de la valoracin de los riesgos de la Organizacin. Con ella: - Se identifican las amenazas a los activos, - Se evala la vulnerabilidad y la probabilidad de su ocurrencia. - Se estima su posible impacto.
14
La tercera fuente est formada por los principios, objetivos y requisitos que la Organizacin ha desarrollado para apoyar sus operaciones.
15
Quien es quien?
16
Origen de la normativa
Grupo de trabajo enero 1993 Emisin de cdigo Septiembre 1993 Publicacin de BS 7799-1 Febrero 1995 Publicacin de BS 7799-2 Febrero 1998 Publicacin BS7799: 1999 1 y 2 Abril 1999 ISO 17799 (BS 7799-1) Diciembre 2000
BS 7799-2 - Publicado en Septiembre 2002. ISO 17799 - Publicado Julio 2005 ISO 27001 Publicado Noviembre 2005.
17
18
ISO/IEC 27001.
Basada en la BS 7799:2 Versiones actuales: ISO/IEC 17799:2005 / ISO/IEC 27001: 2005
19
ISO/IEC 17799:2000
10 reas de Control
Poltica de Seguridad Aspectos organizativos para la seguridad Clasificacin y control de los activos Seguridad ligada al personal Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Desarrollo y mantenimiento de sistemas Gestin de continuidad del negocio Conformidad
20
ISO/IEC 17799:2005
11 reas de Control
21
Poltica de Seguridad Organizacin de la Seguridad de la Informacin Gestin de Activos Seguridad en los Recursos Humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Adquisicin, desarrollo y mantenimiento de sistemas de informacin Gestin de incidentes de seguridad Gestin de continuidad del negocio Conformidad
BSI
ISO/IEC
BS 7799 - 1
ISO/IEC 17799
UNIT/ISO/IEC 17799
BS 7799 - 2
23
ISO/IEC
ISO/IEC
BSI
BS 7799 - 2
24
25
SGSI
El sistema de gestin de la seguridad de la informacin (SGSI) es la parte del sistema de gestin de la empresa, basado en un enfoque de riesgos del negocio, para:
establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin.
Incluye.
Estructura, polticas, actividades, procedimientos, procesos y recueros. responsabilidades, prcticas,
26
Planificar Establecer
el SGSI
Actuar
Partes Interesadas
Implementar y operar el SGSI Monitorear el SGSI
Partes Interesadas
Requisitos y expectativas
Hacer
Verificar
Seguridad Gestionada
27
Planificar
Hacer
Implantar los controles. Implantar indicadores. Revisiones del SGSI por parte de la Direccin.
PHVA
Adoptar acciones correctivas
Actuar
Verificar
28
29
30
31
32
34
35
Describe tareas y requisitos Son evidencias objetivas de la ejecucin de procesos, actividades o tareas
REGISTROS
36
requisitos
para
Establecer,
Implementar
Definir el alcance del SGSI (fronteras) Definir una poltica de seguridad Identificar activos Realizar el anlisis de riesgos de activos. Identificar las reas dbiles de los activo Tomar decisiones para manejar el riesgo Seleccionar los controles apropiados Implementar y manejar los controles seleccionados Elaborar la declaracin de aplicabilidad
Objetivos de auditoria
Para obtener la certificacin. Revisar conformidad con la norma (ISO/IEC 27001) Revisar grado de puesta en prctica del sistema Revisar la eficacia y adecuacin en el cumplimiento de: Poltica de seguridad Objetivos de seguridad Identificar las fallas y debilidades en la seguridad Proporcionar una oportunidad para mejorar el SGSI Cumplir requisitos contractuales. Cumplir requisitos regulatorios.
38
39
Finalizando
41
Comencemos el proceso
Reporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad)
No divulgue informacin sensible. Destruya adecuadamente la informacin sensible. Siga los lineamientos, polticas y procedimientos que se le distribuirn. Haga preguntas.
42
Comencemos el camino.
Mantenga su contrasea confidencial.
Sea conciente de los riesgos que estn asociados a una accin o recurso.
43