Download - Implantación de un Sistema de Gestión de Seguridad de la Información. Una visión práctica
Implantación de un
Sistema de Gestión de Seguridad
de la Información
Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Información
• Conjunto organizado de datos, que
constituyen un mensaje sobre un
determinado ente o fenómeno
• La información es un recurso que, como
otros aspectos importantes del negocio,
tiene valor para la Organización y requiere
en consecuencia una protección
adecuada
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Información
• La Información es cada vez más esencial en los
procesos de negocio para:
– Gestionar efectivamente las operaciones de la
empresa
– Gestionar adecuadamente los recursos internos y
externos
– Obtener y mantener clientes y cuota de mercado
– Gestionar y mantener el conocimiento
– Conseguir o mantener una imagen de marca o
empresa
– La supervivencia del negocio
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Activos
• Activo de información
– Cualquier cosa que tenga valor para una
organización
– Aquellos activos de una organización que
contienen, procesan, almacenan o transmiten
información
– Información de diferentes tipos con los que
una organización desarrolla su actividad y
que suelen ser vitales para el desarrollo
modelo de negocio de la organización
Introducción: Activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Información
Confidencialidad
Disponibilidad
Integridad
La información no se
pone a disposición o
se revela a
individuos, entidades
o procesos no
autorizados
Salvaguardar la
exactitud y
completitud de la
información y de
sus métodos de
procesamiento
Los usuarios
autorizados tienen
acceso cuando lo
requieran a la
información y sus
activos asociados
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Seguridad de la Información
La seguridad de la información se gestiona
implantando un conjunto adecuado de controles,
que pueden ser políticas, prácticas,
procedimientos, estructuras organizativas y
funciones software
ISO 27001
Especificaciones
para los SGSI
ISO 27002
Código de Buenas Prácticas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
¡¡Se debe gestionar la seguridad,
no aparentarla!!
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Gestión de la Seguridad de la
Información
Crear / Planificar
el SGSI
Mantener y
mejorar el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear / Planificar
el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Activo Confidenc. Disp. Integridad Propietario Administrador Descripción
Disponibilidad:
• No Aplicable
• Más de una semana
• Hasta una semana
• Hasta tres días
• Menos de 1 día
Integridad:
• No Aplicable
• Proceso podría finalizarse
• Finalización con errores graves
• No finalización del proceso
Confidencialidad:
• No Aplicable
• Uso público
• Reservado
• Confidencial
Crear / Planificar el SGSI:
Identificación de activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
• Desastres
naturales
• Errores y fallos no
intencionados • Ataques
deliberados
• Desastres de
origen industrial
Fuego
Agua
Terremotos
…
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
Identificación vulnerabilidades
Auditorías
Indicadores
Incidencias
y eventos Pruebas de
intrusión
Sistemas de
monitorización
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
Identificación vulnerabilidades
Valorar probabilidad ocurrencia
Valorar impacto
Calcular nivel de riesgos
• Alta
• Media
• Baja • Alto
• Medio
• Bajo
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
Identificación vulnerabilidades
Valorar probabilidad ocurrencia
Valorar impacto
Calcular nivel de riesgos
Definir estrategia
Valorar probabilidad ocurrencia
Valorar impacto
Calcular riesgo residual
• Alta
• Media
• Baja • Alto
• Medio
• Bajo
• Limitar el riesgo: implantar
controles
• Evitar el riesgo: eliminar la
causa
• Transferir el riesgo
• Aceptar el riesgo
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
• Marco para la fijación de objetivos
• Directrices generales
• Alineada con estrategia empresarial
•Revisión periódica
Crear el SGSI: Controles
Política de Seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información
• Terceros
– Identificación de riesgos derivados de accesos de terceros
– Tratamiento de la seguridad en la relación con los clientes
– Tratamiento de seguridad en contratos con terceros
• Organización interna
– Comité de Seguridad
– Coordinación
– Responsabilidades
– Acuerdos de confidencialidad
– Contacto con las autoridades
– Contacto con grupos de
especial interés
– Revisión independiente de la
seguridad de la información
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
• Responsabilidades sobre
los activos:
– Inventario de activos
– Propiedad de los
activos
– Uso aceptable de los
activos
• Clasificación de la
información:
– Directrices de
clasificación
– Etiquetado y
manipulado de la
información
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH
• Antes de la contratación
– Funciones y responsabilidades
– Investigación de antecedentes
– Términos y condiciones de contratación
• Durante el empleo
– Responsabilidades
– Concienciación, formación y entrenamiento sobre la Seguridad de la Información
– Proceso disciplinario
• Finalización o cambio de empleo
– Responsabilidad del cese o cambio
– Devolución de activos
– Retirada de los derechos de acceso
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Seguridad física y del entorno
• Áreas seguras
– Perímetro de seguridad
física
– Controles físicos de
entrada
– Seguridad de las oficinas,
despachos e instalaciones
– Protección contra
amenazas externas y de
origen ambiental
– Trabajo en áreas seguras
– Áreas de acceso público,
de carga y de descarga
• Seguridad de los equipos
– Emplazamiento y
protección de los equipos
– Suministros
– Seguridad del cableado
– Mantenimiento de los
equipos
– Seguridad de los equipos
fuera de las instalaciones
– Reutilización o retirada
segura de los equipos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Gestión de las comunicaciones y
operaciones
• Planificación y aceptación del sistema
• Protección frente a código malicioso y código móvil
• Copias de seguridad
• Gestión de la seguridad de la red
• Gestión de soportes
• Intercambio de información
• Servicios de comercio electrónico
• Seguimiento
• Procedimientos operativos y responsabilidades
• Gestión de los servicios suministrados por terceros
• Planificación y aceptación del sistema
– Gestión de capacidades
– Aceptación del sistema
• Protección frente a código malicioso y código móvil
– Controles contra código malicioso
– Controles contra el código descargado en el cliente
• Copias de seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Control de Acceso
• Política de control de acceso
• Gestión de accesos de los usuarios – Usuarios
– Privilegios
– Contraseñas de usuarios
• Responsabilidades del usuario – Uso de contraseñas
– Equipo de usuario desatendido
– Política de puesto de trabajo despejado y pantalla limpia
• Control de acceso a la red – Política de uso de los
servicios de red
– Autenticación de usuarios para conexiones externas
– Identificación de los equipos en las redes
– Segregación de las redes
– Control de la conexión a la red
– Control de direccionamiento de redes
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Control de Acceso
• Control de acceso a los sistemas en operación – Procedimientos seguros de
inicio de sesión
– Identificación y autenticación de usuario
– Sistemas de gestión de contraseñas
– Uso de recursos del sistema
– Desconexión automática de sesión
– Limitación en el tiempo de conexión
• Control de acceso a las aplicaciones y la información – Restricción del acceso a la
información
– Aislamiento de sistemas sensibles
• Informática móvil y Teletrabajo – Ordenadores portátiles y
comunicaciones móviles
– Teletrabajo
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Adquisición, desarrollo y
mantenimiento de los sistemas de información
• Requisitos de seguridad de los sistemas de información
• Procesamiento correcto en las aplicaciones – Validación de datos de
entrada
– Control del procesamiento interno
– Integridad de los mensajes
– Validación de los datos de salida
• Controles criptográficos
• Seguridad de los archivos de sistema – Control del software en
explotación
– Protección de los datos de prueba del sistema
– Control de acceso al código fuente de los programas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Adquisición, desarrollo y
mantenimiento de los sistemas de información
• Seguridad en el desarrollo y procesos de asistencia técnica – Procedimientos de control de cambios
– Revisión técnica de las aplicaciones después de realizar cambios en el sistema operativo
– Restricciones a los cambios en los paquetes de software
– Fuga de información
– Externalización del desarrollo de software
• Gestión de las vulnerabilidades técnicas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Gestión de incidencias de seguridad
• Informar de las incidencias de seguridad y las debilidades – Notificación de los eventos de seguridad de la
información
– Notificación de los puntos débiles de la seguridad
• Gestión de los incidentes de la seguridad de la información y mejoras – Responsabilidades y procedimientos
– Aprendizaje de los incidentes de seguridad de la información.
– Recopilación de evidencias
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Gestión de la
continuidad del negocio
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Gestión de la continuidad del negocio
• Aspectos de la seguridad de la información de la gestión de la continuidad del negocio – Continuidad del negocio y evaluación de riesgos
– Desarrollo e implantación de planes de continuidad incluyendo en ellos la seguridad de la información
– Marco de referencia para la planificación de la continuidad de negocio
– Pruebas, mantenimiento y re-evaluación de los planes de continuidad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Gestión de la
continuidad del negocio Cumplimiento legal
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Cumplimiento
• Conformidad con los requisitos
– Identificación de la legislación aplicable
– Derechos de propiedad intelectual
– Protección de los documentos de la organización
– Protección de datos y privacidad de la información personal
– Prevención del uso indebido de los recursos de tratamiento de la información
– Regulación de los controles criptográficos
• Conformidad con las políticas de seguridad y los estándares y conformidad técnica
– Cumplimiento de las políticas y normas de seguridad
– Chequeo de cumplimiento técnico
• Consideraciones de auditoría de los sistemas de información – Controles de auditoría de los
sistemas de información
– Protección de las herramientas de auditoría de sistemas de información
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Gestión de la
continuidad del negocio Cumplimiento legal
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Plan de Seguridad
Plan de Tratamiento
de Riesgos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Plan de Seguridad
Plan de Tratamiento
de Riesgos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Definir procesos, procedimientos
e indicadores
• Procesos y procedimientos – Gestión de Incidencias
– Gestión de No Conformidades
– Auditorías
– Revisión de Indicadores
– Control de Accesos
– Administración de usuarios
– Contratación de personas
– Baja laboral
– Seguridad Física
– Seguridad Lógica
– …
• Indicadores:
– Número de NC
Seguridad
– Número de incidencias
– % de Incidencias
– Tiempo de respuesta
– Tiempo de resolución
– % Éxito backups
– …
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Implementar y operar el SGSI
Plan de tratamiento
de riesgos
Implantar
controles
Gestionar
el sistema
Implantar
Procesos y
procedimientos
• Gestión de Incidencias
• Gestión de No Conformidades
• Auditorías
• Revisión de Indicadores
• Control de Accesos
• Administración de usuarios
• Contratación de personas
• Baja laboral
• Seguridad Física
• Seguridad Lógica
• …
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Implementar y operar el SGSI
Formación y
concienciación
El usuario siempre es el eslabón
más débil en una cadena de
seguridad informática, por lo tanto
siempre es el primero que es
atacado
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Supervisar y revisar el SGSI
Supervisión y
revisión Auditorías
• Plan de seguridad
• Controles
• Indicadores
• Problemas
• No Conformidades
• Incidencias
• Eventos
• Riesgos
• …
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear / Planificar
el SGSI
Mantener y
mejorar el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Mantener y mejorar el SGSI
Identificar mejoras
Aplicar medidas
Correctivas y preventivas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Mantener y
mejorar el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Tomeu Fluxà Cabrer
http://es.linkedin.com/in/tfluxa