Académique Documents
Professionnel Documents
Culture Documents
Caractersticas:
Tema 1: Introduccin a la
seguridad de la informacin.
3. Trminos y definiciones
3.1. Activo
cualquier cosa que tenga valor para la organizacin (ISO/IEC 13335-1:2004)
3.2. Disponibilidad
la propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada (ISO/IEC 13335-1:2004)
3.3. Confidencialidad
la propiedad que esa informacin est disponible y no sea divulgada a
personas, entidades o procesos no-autorizados (ISO/IEC 13335-1:2004)
3. Trminos y definiciones
3.6. incidente de seguridad de la informacin
un solo o una serie de eventos de seguridad de la informacin no deseados
o inesperados que tienen una significativa probabilidad de comprometer las
operaciones comerciales y amenazan la seguridad de la informacin.
(ISO/IEC TR 18044:2004)
Gobierno de TI
El Gobierno de TI es una disciplina relativa a la forma
en la que la alta direccin de las organizaciones dirige
la evolucin y el uso de las tecnologas de la
informacin.
Una definicin formal la podemos encontrar en la
norma ISO/IEC 38500 , que define el gobierno de TI
como "El sistema mediante el cual se dirige y controla
el uso actual y futuro de las tecnologas de la
informacin".
Gobierno de TI
El IT Governance Institute nos dice que "El
Gobierno de TI es responsabilidad del Consejo de
Administracin y la alta direccin. Es una parte
integral del gobierno corporativo y consiste en que
el liderazgo, las estructuras organizativas y los
procesos aseguren que la TI sostiene y extiende los
objetivos y estrategias de la Organizacin".
TI en la toma de decisiones
La mayora de las organizaciones reconocen el
potencial beneficio que les puede proporcionar la
tecnologa. Las organizaciones exitosas, de cualquier
forma, entienden y administran los riesgos asociados
con la implementacin de nuevas tecnologas.
Existen un nmero importante de cambios en las TI y
en los entornos de operacin que enfatizan la
necesidad de mejorar la administracin de riesgos
de las TI. La dependencia entre la informacin y los
sistemas de TI es esencial para soportar procesos
crticos de cualquier organizacin.
http://www.microsoft.com/sam/latam/latam/govcompliance.aspx
validez y disponibilidad de los datos.
Qu es Seguridad de la
Informacin?
La informacin es un activo, como
muchos otros componentes importantes
en una organizacin, tiene un valor dentro
de la organizacin y por consecuencia
requiere ser protegida.
La seguridad de la informacin protege la
informacin de una gran variedad de
amenazas en orden de proteger la
continuidad de la operacin en una
organizacin, minimizar los daos y
maximizar el retorno de la inversin y las
oportunidades.
Qu es Seguridad de la
Informacin?
Se
Confidencialidad:
Asegurar que la
informacin solo es accesible a quien cuenta
con los privilegios necesarios.
Integridad:
Disponibilidad:
Requerimientos de
Seguridad
Es esencial que una organizacin identifique las
necesidades de seguridad, existen tres fuentes:
El
anlisis de riesgos.
Regulaciones,
Principios
Anlisis de riesgos
Cualquier
Los
Las
Los
El
Anlisis de riesgos
Durante el periodo de revisin de los
riesgos de seguridad y la
implementacin de controles es
importante considerar:
Los
Considerar
nuevos riesgos y
vulnerabilidades.
Confirmar
la efectiva permanencia
de los controles
Tipos de ataques
Qu es ISO 17799?
Es un estndar internacional de
administracin de seguridad de la
informacin.
Qu no es ISO 17799?
estndar tcnico.
Un
producto o controlador de
Tecnologas
Una
metodologa de evaluacin
como el Common Criteria/ISO
15408
Marco
Antecedentes.
Basado en el BS7799.
Beneficios de ISO17799
Reconocimiento internacional.
Common Criteria
Equipment
Assurance Level
(EAL)
ISO 15408
GASSP
Guidelines
GMITS Concepts
ISO 13335
Seleccin de Controles
Una
Seleccin de Controles
Los controles deben seleccionarse en
base al costo de implementacin en
relacin al riesgo que reduce y la prdida
potencial si se presentara este.
Factores no econmicos como prdida de
reputacin deben tomarse en cuenta.
Algunos controles del ISO17799 pueden
ser considerados como guas principales
en la administracin y son aplicables a la
mayora de las organizaciones.
Controles esenciales
Protecciones legales
Controles comunes
Buenas
prcticas
Polticas
de seguridad de la informacin
documentadas.(3.1)
Asignacin de responsabilidades de
seguridad de la informacin. (4.1.3)
Programas de capacitacin sobre
seguridad de la informacin.(6.2.1)
Reportes de incidentes de seguridad.
(6.3.1.)
Administracin de la continuidad de la
organizacin. (11.1)
Controles
Polticas de Seguridad
Organizacin de la Seguridad
Administracin y Operacin de
Comunicaciones
Control de Acceso
Clasificacin y Control de Activos.
Desarrollo y mantenimiento de
Aseguramiento del Personal Sistemas
Seguridad Fsica y de Entorno Continuidad de la organizacin
Legalidad.
Responsabilidades de Seguridad de la
Informacin.- Responsabilidades individuales asignadas
sin presentar ambigedades.
Identificar las
amenazas del entorno local.
Permetro
Control
de Acceso.- Apropiado
control de acceso y salidas
dependiendo del nivel de
clasificacin.
6.0. Administracin y
operacin de comunicaciones.
Procedimientos
de operacin.- conjunto de
procedimientos que soportan los estndares y las polticas.
Control
Manejo
Separacin
Aceptacin
6.0. Administracin y
operacin de comunicaciones.
Administracin de contraseas.
Autenticacin de nodos.
Identificacin de Terminales.
Acceso Seguro.
Autenticacin de Usuarios.
Administracin de contraseas.
8.0. Desarrollo y
Mantenimiento de Sistemas
Continuidad de la
Organizacin
Legalidad
Legislacin relevante.
Privacidad de datos.
Coleccin de evidencias.
Es
un marco de referencia
internacionalmente reconocido.
El ISO 17799 no lo es todo, solo
representa la documentacin y
aplicacin de buenas prcticas.
La integracin del estandar no
representa la eliminacin de los
problemas de seguridad de la
informacin.
Si garantiza que existan procesos que
permitirn la deteccin y el adecuado
manejo de un incidente de seguridad.
Mayor
Importante
Otras
10
11
12
Integrar
Soportar
auditoras o revisiones de
seguridad.
Integrar
programas de seguridad.
El estndar consiste
de cinco aspectos
diferentes, cada uno
de estos est dividido
en reas y secciones
detalladas.
Nmero
de
rea
s
Nmero
de
seccio
nes
Administracin de la
Seguridad
30
25
Instalacin de Equipos
30
Redes
24
Desarrollo de Sistemas
23
30
132
Aspectos
Total
Confidencialidad
Integridad
Disponibilidad
Determinar los lmites del riesgo que puede ser aceptable para la
organizacin.
Los sistemas que tengan acceso a las aplicaciones debern cumplir con
estrictos checklist.
Aspectos CI Instalacin de
Equipos
Aspectos CI Instalacin de
Equipos
Aspectos CI Instalacin de
Equipos
El acceso a los equipos deber ser restringido para todos los tipos
de usuarios.
Aspectos NW Redes
Aspectos NW Redes
El
acceso
externo
deber
individualmente, registrado y
responsable de la red.
ser
identificado
aprobado por el
Aspectos NW Redes
Aspectos NW Redes
Aspectos NW Redes
Aspectos SD Desarrollo de
Sistemas
Aspectos SD Desarrollo de
Sistemas
Todos los elementos del sistema deben ser probados antes de promoverse
a un entorno de operacin.
Sistema de Gestin de la
Seguridad de la Informacin (SGSI)
Proceso de
Implementacin.
El
modelo conocido como Plan-Do-CheckAct (PDCA), puede ser aplicado en todos los
procesos ISMS, en la adopcin del estndar.
El
El
Modelo PDCA
Modelo PDCA
Proceso de
Implementacin
Soporte Directivo
El
La
adaptacin y configuracin de la
infraestructura puede llegar a ser un
proceso que requiere de entusiasmo,
dedicacin y cumplirse en tiempos.
La
seguridad de la informacin no es un
programa, en si es un proceso.
Definicin de Perimetros
de Seguridad.
Creacin de Polticas de
Seguridad.
Las
Estas
Soporte
de referencia generado
para la implementacin, manejo,
mantenimiento de los procesos de
seguridad de la informacin.
Estrategias
Ejecucin de un anlisis
de riesgos de seguridad.
Identificacin
de activos, amenazas y
vulnerabilidades.
Es
Anlisis de riesgos de
seguridad
Identificacin de activos dentro del
permetro de seguridad.- Un activo
puede ser tangible, como el hardware
o intangible como las base de datos de
la organizacin.
Por
Los
Anlisis de riesgos de
seguridad
Identificar las amenazas de los
activos.- Las amenazas de explotar o
tomar ventaja de las vulnerabilidades
de algn activo, configuran un riesgo.
Las
Solo
Anlisis de riesgos de
seguridad
Identificar vulnerabilidades de los
activos.Las vulnerabilidades son deficiencias
conocidas que pueden ser explotadas por
una amenaza para configurar el riesgo.
Una vulnerabilidad, por ejemplo: en las
base de datos de la organizacin puede
ser un pobre control de acceso o manejo
inadecuado de los respaldos.
Anlisis de riesgos de
seguridad
Determinar
probabilidades
realistas.- Generar los modelos de
combinacin de
amenaza/vulnerabilidad, los resultados
estadsticos insignificantes pueden ser
ignorados.
Clculo del dao.- Algunas ocasiones
referido como el impacto, debe ser
cuantificado numericamente para
reflejar una explotacin exitosa.
El dao no es relativo a la probabilidad.
Anlisis de riegos de
seguridad
Clculo
Escala de probabilidad de
Eventos.
Probabilidad de
Evento
Frecuencia
valor
Insignificante
Muy Bajo
2 3 veces en 5 aos
Bajo
Medio
Alto
Muy Alto
Extremo
Dao del
evento
Insignificant
e
Valor
0
Menor
Significante
Demandant
e
Requiere de significativa
asignacin de recursos.
Serio
Problemas extendidos o
perdida de conectividad,
Compromete una gran
cantidad de datos y servicios
Grave
Permanente prdida,
Totalmente comprometido
Seleccin e Implementacin
de Controles
Estructura de la Administracin
de la Seguridad
4. Sistema de gestin de
seguridad de la informacin
Tecnologa de la Informacin Tcnicas de
seguridad Sistemas de gestin de seguridad
de la informacin Requerimientos
Numero de Referencia
ISO/IEC 27001:2005 (E)
de
capacitacin
5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
La gerencia debe proporcionar evidencia de su
compromiso con el establecimiento, implementacin,
operacin, monitoreo, revisin, mantenimiento y
mejoramiento del SGSI al:
a) establecer una poltica SGSI;
b) asegurar que se establezcan objetivos y planes SGSI;
c) establecer roles y responsabilidades para la seguridad
de informacin;
5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
d) comunicar a la organizacin la importancia de lograr los
objetivos de seguridad de la informacin y cumplir la poltica
de seguridad de la informacin, sus responsabilidades bajo la
ley y la necesidad de un mejoramiento continuo;
e) proporcionar los recursos suficientes para desarrollar,
implementar, operar, monitorear, revisar, mantener y mejorar
el SGSI (ver 5.2.1);
f) decidir el criterio para la aceptacin del riesgo y los niveles
de riesgo aceptables;
g) asegurar que se realicen las auditoras internas SGSI (ver
6); y
h) realizar revisiones gerenciales del SGSI (ver 7).
d) necesidades de recursos;
c) evaluar la necesidad de acciones para asegurar que las noconformidades no vuelvan a ocurrir;
Tema 5: Proceso de
certificacin ISO 27001
Explica cual es el proceso a seguir una vez que
una organizacin ha implementado el SGSI para
obtener la certificacin ISO/IEC 27001, abarca la
pre-auditora,
auditora
de
certificacin,
acciones correctivas, recomendacin para la
certificacin y el proceso que debe seguirse para
mantener el certificado una vez que se ha
obtenido.
Auditora
Permite
la revisin de la implementacin de
la infraestructura de seguridad de la
informacin:
1a.
Definiciones
Ejemplo de resumen de
resultado de auditora
Tomando en cuenta las 7 clusulas (se divide en 22 puntos) y los 114
controles establecidos por la norma ISO/IEC 27001: 2013 se realiz un
anlisis de brecha el cual nos determina el nivel de cumplimiento de la
"Universidad Autnoma de Yucatn"
5. Liderazgo
Tema 6: Recomendaciones
finales
Con base en la experiencia en implementaciones
y ejecucin de auditoras en el estndar
internacional ISO/IEC 27001 se proporciona a la
audiencia una serie de recomendaciones,
sugerencias y aspectos claves para asegurar una
implementacin exitosa del estndar.