Facultad de Ingeniería Industrial y de Sistemas SEGURIDAD DE LA INFORMACION Norma ISO 27001 Ysabel Rojas Solís Agenda
Views 239 Downloads 41 File size 2MB
Facultad de Ingeniería Industrial y de Sistemas
SEGURIDAD DE LA INFORMACION Norma ISO 27001 Ysabel Rojas Solís
Agenda Introduccion Sistema de Gestion de Seguridad de la Informacion Introduction to ISO 27001-2:2005 Tareas a Realizar Experiencia Europea de Exito Conclusiones
2
Porqué hablar de la Seguridad de la Información?
• Porque el negocio se sustenta a partir de la información que maneja.....
La información puede estar : • • • • •
Impreso o escrito en papel. Almacenado electrónicamente. Enviado por correo ordinario o por e-mail. Videos corporativos. Verbal - en conversaciones
“……cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido.” –
(ISO/IEC 27001: 2005)
La informacion puede ser : Creada Guardada Destruida Procesada Transmitida Usada – (Para propositos correctos & impropios) Corrompida Perdida Robada 5
Dominios de la Información La información debe cumplir 3 principios
• Haga clic para modificar el estilo de texto del – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Porqué hablar de la Seguridad de la Información? • Porque no sólo es un tema Tecnológico. • Porque se requiere de Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.
Porqué hablar de la Seguridad de la Información? • Porque la seguridad tiene un costo, …pero la INSEGURIDAD es mucho mas costosa “Ninguna medicina es útil a menos que el paciente la tome” ¿ Entonces, por donde empezar?........
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
COMO SUPERAR ESTOS PROBLEMAS?
14
Solución
Que es la Seguridad de la Información
• Haga clic para modificar el estilo de texto del p – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Seguridad de la Información
Seguridad de la Información
Seguridad de la Informaciòn
La seguridad no es algo que se compra es algo que se hace….
Seguridad de informacion La arquitectura donde se integran y combinan aplicaciones, sistemas y soluciones, software, alarmas, y las exploraciones de vulnerabilidad a fin de trabajar juntos y monitoreo 24 x 7 Exige tener gente, Procesos, Tecnologia, politicas, procedimientos, La seguridad es integral (PPT) y no solo para dispositivos y equipos
5/02/13
20
i an rg O
ti za
on
St
21 5/02/13
ed us ion gy t lo isa no an ch rg Te O by
TECHNOLOGY
ss ne es si ss Bu oce Pr
PROCESSES
f af
PEOPLE
Activo de Informacion • Haga clic para modificar el estilo de texto del – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Que es una Amenaza • Haga clic para modificar el estilo de texto del – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Que es una Amenaza
Que es una Vulnerabilidad • Haga clic para modificar el estilo de texto del – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Reconocer las Vulnerabilidades • Vulnerabilidad: “ una debilidad que facilita la materialización de una amenaza” • Ejemplos: – Inexistencia de procedimientos de trabajo – Concentración de funciones en una sola persona – Infraestructura insuficiente
Clasificación de Vulnerabilidades
Haga clic para modificar el estilo de texto del patró – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Que es un Impacto • Haga clic para modificar el estilo de texto del – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Que es Riesgo • Haga clic para modificar el estilo de texto del – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Matriz de Riesgo • Haga clic para modificar el estilo de texto del – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
La Gestion del Riesgo
La Gestión del Riesgo
Sistema de Gestión de Seguridad de Informacion SGSI
Sistema de Gestión de Seguridad de Informacion SGSI
Sistema de Gestión de Seguridad de Informacion SGSI
Objetivos Generales del SGI
SGSI Requerimientos Generales
Requerimientos de documentacion General
Implantación SGSI
Sistema de gestión de seguridad de la información
• Haga clic para modificar el estilo de texto del p – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Alcance del SGI
Haga clic para modificar el estilo de texto del patró – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
¿Por qué Implementar un SGSI?
Los procesos y servicios de la Institución
que soporta los Confidencialidad
Integridad
Seguridad vela por de la Información
Disponibilidad
Implementación del SGSI
Haga clic para modificar el estilo de texto del patró – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Etapas del SGSI
Haga clic para modificar el estilo de texto del patró – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Beneficios del SGI 1. 2. 3. 4.
A nivel organizativo – Compromiso En el plano jurídico – Cumplimiento A nivel operativo - Gestión del riesgo En el plano comercial - Credibilidad y confianza 5. A nivel financiero - Reducción de costes 6. A nivel humano - Mejora de la concienciación de los empleados
47
Por el contrario las brechas de seguridad llevan a : • • • •
Reputación pérdida Perdida financieros Pérdida de propiedad intelectual Las infracciones legislativas que conduzcan a acciones legales (Cyber Law) • La pérdida de la confianza de los clientes • Costos de interrupción de negocios
Perdida de Buena Voluntad
5/02/13
48
Historia de la Norma ISO 27001
Haga clic para modificar el estilo de texto del patró – Segundo nivel – Tercer nivel • Cuarto nivel – Quinto nivel
Objetivos de ISO 27001 Políticas de Seguridad Organización de Seguridad Gestión de Activos Seguridad de los Recursos Humanos • Cumplimiento de Políticas y Normatividad Legal • • • •
Integridad
Información
confidencialidad
Disponibilidad
La ISO 27001
Contenido de la ISO 27001
ISO 27001 : Estructura
ISO 27001 : Estructura
Ciclo PHVA o PDCA
Beneficios de la Norma ISO 27001 1.
Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. 2. Reducción de riesgos de pérdida, robo o corrupción de la información. Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza. 3. Los riesgos y sus respectivos controles son revisados constantemente. 4. Las auditorias externas e internas permiten identificar posibles debilidades del sistema. 5. Continuidad en las operaciones del negocio tras incidentes de gravedad. 6. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información. 7. Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. 8. Proporciona confianza y reglas claras al personal de la empresa.
ISO 27002
ISO 27002: Estructura
ISO 27002 : Estructura
Tareas a realizar
Tareas a realizar
Tareas a realizar
Etapa: Certificar en ISO/IEC 27001
• Sistemas Informáticos • Infraestructura • Servidores • Comunicaciones • Aplicaciones • Bases de Datos
Las Herramientas y los servicios Experiencia Europea •
Les guides – –
•
Le logiciel libre – –
•
L’ensemble du référentiel est disponible gratuitement en français, en anglais, en allemand et en espagnol
Les compétences – – –
•
Gratuit, disponible sur demande ou en téléchargement Plus de 2000 cédéroms envoyés dans 50 pays
Les traductions –
•
La méthode et ses bases de connaissances (5 sections), ses meilleures pratiques expliquant comment utiliser EBIOS selon le contexte Des plaquettes et un mémento synthétiques
Les formations au CFSSI pour les agents de l’administration (formation de 2 jours, formation de formateurs de 5 jours, formations ad-hoc) La formation en ligne sur la gestion des risques (en cours) La labellisation de personnes (en cours d’élaboration)
Le Club EBIOS –
75 experts du secteur public et du secteur privé, français et étrangers
Compatibilidad con otros Sistemas de Gestion
Conclusiones • La Información es uno de los activos mas valiosos de la organización • Las Políticas de seguridad permiten disminuir los riesgos • Las políticas de seguridad no abordan sólo aspectos tecnológicos • El compromiso e involucramiento de todos es la premisa básica para que sea real. • La seguridad es una inversión y no un gasto. • No existe nada 100% seguro • Exige evaluación permanente.
Conclusiones
Seguridad de la Información es "problema de organización« en lugar de "problema" Más del 70% de las amenazas son internas Más de 60% son culpables los estafadores por Primera Vez El mayor riesgo: personas Principal activo: las personas Ingeniería Social es una gran amenaza Más de 2/3 expresa su incapacidad para determinar "si mis sistemas están actualmente en peligro?" 5/02/13
69
CREANDO CONCIENCIA • La información de las compañías deben mantener la confiabilidad, integridad y disponibilidad de la misma, que son factores importantes para asegurar el éxito del negocio y asegurar que las necesidades de sus clientes y socios sean cumplidas a satisfacción. • • Tanto la implementación como el cumplimiento de las normas es el trabajo de cada empleado de la empresa y serán efectivas, si todas las personas involucradas se encuentran instruidas en temas relacionados con Seguridad de la Información y utilizan este conocimiento para actuar con seguridad y siendo responsables y consistentes con sus acciones.
Usuarios con conocimento especializado IT Systems
Sistemas & Redes con falla
Robo, Sabotage, mal uso
Falta de Documentacion
Ataque de virus
Calamidades Naturales& Fuego
Lapso en seguridad Fisica 71
• La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.
PDCA Process SGSI
Interested Parties
SGSI PROCESS
Interested Parties
Management Responsibility
PLAN Establish SGSI
DO
ACT
Implement & Operate the SGSI
Information Security Requirements & Expectations
5/02/13
Maintain & Improve
Managed Information Security
CHECK Monitor &
Review SGSI
Mohan Kamat
73
Quien es el centro ¿?
SEC U
RITY U-R
5/02/13
Mohan Kamat
74
CULTURA de la seguridad , responsabilidad de TODOS
ACTITUD proactiva, Investigación permanente
Esfuerzos integrados del personal es siempre mejor que un Firewall
. . . Debemos construir un Muro humano junto con el firewall 76
Muchas Gracias!!