DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD

Transcripción

1 DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD Tristan RAMAGET Director Área Seguridad Información ECIJA 23-nov º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. SGSI y Normas de aplicación 2. Selección de los controles 3. Madurez de los controles 2

3 Gestión de la Seguridad SGSI= Sistema de Gestión de la Seguridad de la Información Seguridad Objetivos Riesgos Requisitos SGSI Personas I.T. Procesos Activos de Información Procesos de negocio Controles de Seguridad Medidas/ Salvaguardas SW Infra Datos Redes HW estructura... MEDIOS Tecnología de la información 3

4 ISO27001 Normas aplicables Especificaciones SGSI ISO Anexo A Catálogo de Controles aplicables Certificable Guías (Procesos y Métodos) 133 Controles ISO = ISO Guía de implantación adicionales ISO27000 ITIL COBIT ETSI ISO 9001 ISO27003 CEN CWA ISO27004 ISO27005 UNE71501 Estándares técnicos aplicables Cifrado Time Stamping Firma digital No repudio Desarrollo SW OSI Seguridad en Redes Seguridad LAN (IEEE) Especificaciones Internet IETF 4

5 ISO/IEC 17799:2005 (ISO27002) Código de buenas practicas en gestión de la seguridad de la información 0-Introducción 4-Análisis y gestión de riesgos 5-Política de Seguridad 6-Estructura Organizativa para la Seguridad 7-Clasificación y control de Activos 8- Seguridad en el Personal 9-Seguridad física y del entorno 10-Gestión de Comunicaciones y operaciones 12-Desarrollo y Mantenimiento de Sistemas 11-Control de Accesos 13-Gestión de Incidencias 39 objetivos de seguridad 133 controles de seguridad 14-Gestión de Continuidad del negocio 15-Cumplimiento 5

6 Proceso de selección Selección de controles Riesgos asumibles Riesgos NO asumibles 1-Reducción del riesgo Riesgos Residuales Riesgos Negocio Legal Requisitos de Seguridad 2-Identificación y selección de controles Controles Actuales Declaración de aplicabilidad 6

7 Selección de Controles/Medidas Proceso detallado 1-Requerimientos de Seguridad Criterios de Selección 2-Selección de objetivos, controles y medidas Medidas existentes BD de Controles y Medidas ISO17799 Otros Revisión de aplicación a los requerimientos y criterios Aplica 100%? Sí No Revisar selección/criterios BD de Controles con Objetivos Aplicabilidad Agrupación 7

8 Criterios de Selección Establecer criterios de selección para los controles y medidas Factores Coste y esfuerzo Disponibilidad tecnológica Implementación y mantenimiento Política de gestión del riesgo Prioridades Restricciones Uso o mejora de los Controles existentes Geografía, Infraestructura Objetivo: Identificar las medidas de seguridad más adecuadas para el negocio 8

9 BD de controles Lista Pre-establecida de controles y medidas existentes: FUENTES UNE-ISO/IEC Especificaciones Herramientas de soporte Actualizaciones de Seguridad Controles actuales y previstos Laboratorio de controles Razón: Actualización! Nuevos riesgos Nuevas tecnologías Nuevas Practicas Requerimientos/Objetivos sin cumplir 9

10 2-Diseño de un SGSI Declaración de aplicabilidad: Cláusula j) ISO27001 Declarar sobre la selección y aplicabilidad de los controles de seguridad: Documentar los resultados finales del marco del SGSI Cumplimiento del catalogo de la Normativa UNE-ISO/IEC Equivale al Anexo A ISO Incluir otros controles propios o específicos Debe Incluir: Para los controles seleccionados: Los objetivos de los controles (Requerimiento) La descripción de los controles y de las medidas El estado de los controles y medidas La razón para su selección Para los controles NO seleccionados: La razón para su exclusión 10

11 Camino hacia la madurez Gestionar el avance en los objetivos de madurez de la seguridad Objetivos Requisitos Contramedidas 5 niveles CMM* PDCA Nivel 1 Nivel 2 Nivel 3 PLAN DO Nivel 4 CHECK Nivel 5 ACT *CMM Capacity Maturity Model (NIST ) 11

12 Niveles de madurez Puntuación 0 1 Escala de madurez Inexistente Inicial/Ad Hoc Madurez Repetible pero intuitivo Proceso definido Gestionado y evaluable Optimizado Fuente Cobit: 12

13 Implementación de un SGSI Auditorías Internas Cláusula 6 ISO27001 Dictaminar sobre la adecuación de las medidas y controles de Seguridad de la Información, identificar sus deficiencias y estudiar medidas correctoras o complementarias y necesarias, incluyendo evidencias. Objetivos: Revisar la conformidad del sistema de seguridad Revisar el nivel de implementación Revisar la efectividad y adecuación del sistema para cumplir la política y objetivos de seguridad Identificar agujeros de seguridad y debilidades Provee una oportunidad de mejorar el SGSI Definir un plan de auditoria Alcance Frecuencia Metodología 13

14 Proceso de Auditoría de AENOR DIAGRAMA DE FLUJO DEL PROCESO DE CERTIFICACIÓN ANÁLISIS DE LA DOCUMENTACIÓN (MANUAL, PROCEDIMIENTOS) VISITA PREVIA CUESTIONARIO PRELIMINAR Y SOLICITUD INFORME AUDITORÍA DEL SISTEMA INFORME AUDITORÍAS DE RENOVACIÓN EMPRESA REGISTRADA SGSI PLAN DE ACCIONES CORRECTIVAS 1 mes INFORME AUDITORÍAS DE SEGUIMIENTO ANUALES CONCESIÓN DEL CERTIFICADO AUDITORÍA EXTRAORDINARIA 14