NORMA ISO/IEC 27001:2005
Modelo Para Establecer, ImplementarOperar Monitorear Revisar Mantener y Operar, Monitorear, Revisar, Mantener y
Mejorar un ISMS (Information Security Management System)Management System)
Ing Jorge Ceballos (jceballos@iram org ar)Ing. Jorge Ceballos ([email protected])
Noviembre 2010
óPara cumplir la misión de:
•• Contribuir a mejorar la calidad de vida, el Contribuir a mejorar la calidad de vida, el bienestar y la seguridad de las personasbienestar y la seguridad de las personasbienestar y la seguridad de las personasbienestar y la seguridad de las personas
•• Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la actividad creativaactividad creativa
óó•• Facilitar la producción, el comercio y la Facilitar la producción, el comercio y la transferencia de conocimientostransferencia de conocimientos
En el ámbito nacional, regional e internacionalEn el ámbito nacional, regional e internacional
Brinda servicios de:
•NORMALIZACIÓN Participación en Organismos de Estudio:NORMALIZACIÓN
•CERTIFICACIÓN
Participación en Organismos de Estudio:ISO - IEC - COPANT – AMN
17.000 Productos Certificados
d Si t d G tió
•CERTIFICACIÓN
4 800 C ifi d E i id
de Productosde Sistemas de Gestión
•FORMACIÓN DE RR HH
4.800 Certificados Emitidos
FORMACIÓN DE RR.HH.4.900 Cursos dictados
71.394 Horas de Capacitación
•CENTRO DE DOCUMENTACIÓN250.000 Documentos Técnicos
RELACIONES RELACIONES INSTITUCIONALES
ESTADO
SECTORES INDUSTRIALES
UNIVERSIDADES
SECTORES CIENTÍFICO TÉCNICOS
CONSUMIDORESCONSUMIDORES
Formas de abordar la mejora en jTecnologías de la Información
GestiónISO 90003ISO 90003
Ci l d Ciclo de vida
ISO 12207
P
ProductosISO 14598 con
ServiciosISO 20000-1
ISO 27001Procesos
Competisoft //ISO 15504
ISO 14598 conISO 9126
27001
ISO/IEC 20000 IT – Gestión del servicio
Procesos de prestación del servicio
ISO/IEC 20000 IT Gestión del servicio
•Gestión de la capacidad
•Gestión de la seguridad de la información
•Elaboración de informes
Gestión de niveles de servicio
Procesos de Control
•Gestión de la disponibilidad y continuidad del
•Elaboración del presupuesto y gestión de costos
Elaboración de informes del servicio
Procesos de Control
Gestión de la configuración
servicio gestión de costos
Procesos de
•Gestión de relaciones
Gestión de cambiosProceso de Liberación
Procesos de Relaciones
Procesos de Gestión de relaciones con clientes
•Gestión de proveedores
•Gestión de la liberación
Resolución
Gestión de incidentesGestión de problemas Gestión de proveedoresGestión de problemas
ITIL - Information Technology gyInfrastructure Library
Es un marco de trabajo (framework) para la Es un marco de trabajo (framework) para la
Administración de Procesos de IT
E t d d d f t S i i d ITEs un standard de facto para Servicios de IT
Fue desarrollado a fines de la década del 80
Originalmente creado por la CCTA (una agencia del
Gobierno del Reino Unido)
InformaciónDefinición, Tipos
“La información es un recurso que, como el resto de los importantes activos tiene valor resto de los importantes activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida.”
Algunos datos
En general todos coinciden en:El 80% de los incidentes/fraudes/ataques sonefectuados por personal internoefectuados por personal internoFuentes:
C SThe Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTCERTSANS
Fraude por ComputadorFraude por Computador
ili d bUtilizar un computador para obtener beneficio personal o causar daño a los demás.los demás.
• Dada la proliferación de las redes y del p ypersonal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidasy en la cantidad de pérdidas.
• Se especula que muy pocos fraudes por computador son detectados y una menor p yporción es reportada.
¿De Quién nos Defendemos?¿De Quién nos Defendemos?
• Gente de adentro: Empleados o personas allegadaspersonas allegadas.
• Anti gobernistas: Razones obvias para justificar un ataquejustificar un ataque.
• Un cracker que busca algo en específico: Es problemático pues suele específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de saltoestar buscando un punto de salto.
De qué nos defendemos?De qué nos defendemos?
• Fraude• Extorsión• Extorsión• Robo de Información
Robo de servicios• Robo de servicios• Actos terroristas• Reto de penetrar un sistema• Deterioro• Desastres Naturales
Efectos de las Amenazas y Efectos de las Amenazas y los Ataques
• Interrupción de actividades• Dificultades para toma de decisiones• Sanciones• Costos excesivos• Pérdida o destrucción de activos• Desventaja competitiva• Insatisfacción del usuario (pérdida de imagen)
¿ Qué Información proteger ?¿ Qué Información proteger ?
Información • en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personase e co oc e to de as pe so as
¿QUÉ DEBE SER PROTEGIDO?¿QUÉ DEBE SER PROTEGIDO?
• Sus DatosConfidencialidad – Quiénes deben conocer quéQ qIntegridad – Quiénes deben cambiar quéDisponibilidad - Habilidad para utilizar sus spo b dad ab dad pa a ut a sussistemas
• Sus Recursos Su organización su tecnología y sus sistemas Su organización, su tecnología y sus sistemas
¿Qué es la seguridad de la información?
L id d d i f ió t i l La seguridad de información se caracteriza como la preservación de la:
Confidencialidad: asegurar que la información – Confidencialidad: asegurar que la información sea accesible sólo para aquellos usuarios autorizados para tener accesoautorizados para tener acceso
– Integridad: salvaguardar que la información y los métodos de procesamiento sean exactos y p ycompletos
– Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y bienes asociados cuando lo requieran
¿ Cómo se logra la seguridad de g gla información ?
La seguridad de información se logra mediante la implementación de un adecuado conjunto de implementación de un adecuado conjunto de controles, los que podrían ser:Políticas, prácticas, procedimientos, estructuras
organizacionales y funciones de software.
S it t bl t t l Se necesita establecer estos controles para asegurar que se cumplan los objetivos específicos de seguridad de la organizaciónde seguridad de la organización.
Seguridad de la información
RIESGOS O AMENAZASRIESGOS O AMENAZASActos de la naturaleza Fraudes
VULNERABILIDADESVULNERABILIDADESFallas de Hard, Soft
o instalación Daño intencionalo instalación
Errores y omisiones Invasión a la privacidad
CONSECUENCIASCONSECUENCIASCONSECUENCIASCONSECUENCIAS
RIESGO PERDIDA ESPERADARIESGO PERDIDA ESPERADA
Sistema de gestión de riesgosg g
Figura 1 de la norma IRAM 17551
Objetivos a cumplirObjetivos a cumplir
Objetivos corporativos de negocio
Objetivos corporativos de TIObjetivos corporativos de TI
Objetivos de Seguridad O j os d gu d d
Informática
El problema de la Seguridad Informática está El problema de la Seguridad Informática está en su Gerenciamiento y no en las en su Gerenciamiento y no en las
tecnologías disponiblestecnologías disponibles
SGSI: Sistema de Gestión de Seguridad d l I f ió
ISMS – Information Security Management System
de la Información
y g y
Qué es? Forma sistemática de administrar la Qinformación sensible
Cómo? Gestionando los riesgosg
Para qué? Proteger la información:Para qué? Proteger la información:Confidencialidad – Integridad – Disponibilidad
A quiénes abarca? Personas, Procesos yTecnologíaTecnología
ORIGEN: BS 7799ORIGEN: BS 7799
NNormaDefine requisitos para un Sistema de
Gestión deSeguridad de la Información (ISMS).g ( )Comprende 10 seccionesCompuesta por 2 partes:Compuesta por 2 partes:Parte 1: ControlesParte 2: ISMS - Certificación
ISO 27001:2005ISO 27001:2005
• Actualización de BS 7799 bajo los lineamientos de • Actualización de BS 7799 bajo los lineamientos de ISO, se creó ISO 27001
• El nombre oficial del nuevo estándar es:BS 7799-2:2005 (ISO/IEC 27001:2005) Information
Technology Security Techniques InformationTechnology - Security Techniques – InformationSecurity Management - Systems – Requirements.
Cambios con respecto a BS 7799-2: por ejemplo• requiere la definición de los mecanismos de
medi ión de l efe ti id d de lo ont olemedición de la efectividad de los controles.
Modelo SGSIModelo SGSI
Modelo SGSIModelo SGSI
Objetivos del SGSIj
Implementación de un programa de SeguridadImplementación de un programa de Seguridad
• Comprensivo• Adaptado a la Cultura de la organizaciónAdaptado a la Cultura de la organización• Que Proteja la información sensible de las
amenazas• amenazas
Objetivos de SeguridadTres componentes a tener en cuenta para la seguridad
1) Ataques a la seguridad: Cualquier acción que compromete la seguridad de la información perteneciente a la organización.
2) Mecanismos de seguridad: Es un mecanismo diseñado para detectar, prevenir y/o recuperar frente a un ataque a la seguridad.
3) Prestación de seguridad:3) Prestación de seguridad: Es un servicio que mejora la seguridad de un sistema de procesamiento de datos y de la información que transfiere la
ó forganización. El servicio enfrenta los ataques a la seguridad utilizando para poder hacerlo, uno o más mecanismos de seguridad.
Antes de comenzar….Antes de comenzar….Requisitos para comenzar…existe alguno???
COMPROMISO Y RESPALDO DE LA DIRECCION
El Proceso de Implementación - SGSIEl Proceso de Implementación - SGSI
La clave de la implementación es: La clave de la implementación es: Comunicación y Entrenamiento
Considerar documentaciónConsiderar documentación
SGSI: El Proceso de ImplementaciónSGSI: El Proceso de Implementación
SGSI: El Proceso de ImplementaciónSGSI: El Proceso de Implementación
El Proceso de Certificación
No hay calidad de la gestión sin seguridad de lasin seguridad de la
información que procesan los q psistemas de información que
d t l tiódan soporte a la gestión
Propuesta de plan del PMG en el SGSIp p
A realizar por Red de Expertos PMG
A realizar por funcionarios
A realizar por IRAM Chile
Gap analysis + Diagnóstico
Capacitación Asesoramiento para diseño del plan
Implementación Fase 1
pChile
pdiseño del plan ESTABLECER el SGSI
(s/6 dominios)Auditoría de Verificación Fase 1 Asesoramiento sobre Implementación Fase 2 Verificación Fase 1
acciones correctivas Fase 1
Implementación Fase 2 IMPLEMENTAR el SGSI (s/6 dominios)
Auditoría de Auditoría de Verificación Fase 2 Asesoramiento sobre
acciones correctivas Fase 2
Implementación Fase 3 Seguimiento y Revisión de SGSI (s/6 dominios)de SGSI (s/6 dominios)
Auditoría de Verificación Fase 3
Asesoramiento sobre acciones correctivas Preparación para
CertificaciónFase 3 Certificación
35
PREGUNTASPREGUNTASPREGUNTASPREGUNTASPREGUNTAS PREGUNTAS YY
PREGUNTAS PREGUNTAS YY
COMENTARIOSCOMENTARIOSCOMENTARIOSCOMENTARIOS