Seguridad de la Información. Conferencia. Seguridad de la Información Norma ISO Instructor: Gustavo Bonilla, PMP. Seguridad de la Información

Transcripción

1 Conferencia Norma ISO Instructor: Gustavo Bonilla, PMP Objetivo de la Conferencia Adquirir conocimientos y metodologías de implementación de medidas de seguridad de acuerdo con los requerimientos de Normas Internacionales - Norma ISO 17799: Identificación de los riesgos y requerimientos específicos de la norma en sus 10 dominios. Comprender el proceso de adecuar la compañía para lograr la Certificación. 1

2 Situación Actual Algunos riesgos y su impacto en los negocios ''La seguridad no es un problema que pueda resolverse una vez y para siempre. Es un tira y afloja entre buenos y malos. La clave está en garantizar que la organización está concienciada acerca de la seguridad y la ejercita con sentido común. Algunos datos Miércoles 24 de setiembre de 2003 Año VII N :20 A PARTIR DEL 14 DE OCTUBRE Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países. Detenido creador de virus Sasser Resumen: Un estudiante de 18 años, detenido el viernes por la noche en Alemania, confesó ser el autor del virus informático Sasser, que desde el 1. de mayo ha infectado a millones de ordenadores en todo el mundo. El delito podría acarrearle una condena hasta de cinco años de cárcel, anunció ayer la policía alemana. El joven, detenido en Rotemburgo, una pe Relevancia: 40% NACION, Internacionales Sábado 8 de mayo, 2004 INTERNET Nadie logra controlar la epidemia: el correo basura invade las casillas de todo el mundo Apenas 150 spammers norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. 2

3 Algunas realidades En mi compañía ya tenemos seguridad porque implementamos un firewall.... contratamos una persona para el área.... en la última auditoría de sistemas no me sacaron observaciones importantes.... ya escribí las políticas.... hice un penetration testing y ya arreglamos todo. Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS 3

4 Algunos datos Algunos datos 4

5 Algunas premisas No existe la verdad absoluta en Seguridad Informática. No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema. Principales riesgos Mails anónimos con información crítica o con agresiones Spamming Captura de PC desde el exterior Violación de s Violación de contraseñas Incumplimiento de leyes y regulaciones Violación de la privacidad de los empleados Virus Fraudes informáticos Ingeniería social empleados deshonestos Interrupción de los servicios Acceso clandestino a redes Acceso indebido a documentos impresos Indisponibilidad de información clave Intercepción y modificación de s Robo de información Programas bomba Destrucción de soportes documentales Intercepción de comunicaciones Falsificación de información para terceros Destrucción de equipamiento Pistas para auditar inexistentes o no son chequeadas Robo o extravío de notebooks Software ilegal Agujeros de seguridad de redes conectadas Propiedad de la Información 5

6 Principales riesgos y el impacto en los negocios En estos tipos de problemas es difícil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos económicamente, por ejemplo cuánto le cuesta a la compañía 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compañía. Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran los menos posibles: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas especializadas 6

7 Normas aplicables Normas aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book ITSEC Information Technology Security Evaluation Criteria: White Book Sans Institute 7

8 Gestión de Seguridad Norma ISO Normas de Gestión ISO International Standards Organization: Normas ISO ISO 9001 Calidad ISO Ambiental ISO La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO Basada en el BRITISH STANDARD ISO (Europa) y NIST (USA). 8

9 Norma ISO Dos partes: NORMALIZACION (Mejores Prácticas) Homologada en Argentina IRAM/ISO/IEC CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS Norma ISO Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la información y los métodos de procesamiento. disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera. 9

10 Metodología y Ciclo de Implementación Pasos de la metodología y ciclo para implementar el estándar Iniciación del Proyecto Descripción Asegure el compromiso de la dirección Seleccione y entrene a los miembros del equipo inicial de proyecto Definición del SGSI (Sistema de Gestión de la ) Evaluación de Riesgos Administración de Riesgos Identifique el alcance y los límites del marco de dirección de seguridad de la información. Este paso es crucial para el éxito del proyecto Realice el inventario y evalúe el activo a proteger Identifique y evalúe amenazas y vulnerabilidades Diagnostique el nivel de cumplimiento con ISO Calcule el valor de riesgos asociados Encuentre como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable Metodología y Ciclo de Implementación (continuación) Pasos de la metodología y ciclo para implementar el estándar Entrenamiento y concientizacion Descripción Los empleados pueden ser el eslabón más débil en la seguridad de la información de su organización. Aprenda a establecer un programa de concienciación de la seguridad de la información Preparación para la Auditaría Aprenda a validar su marco de seguridad y que debe hacer antes de traer a un auditor externo para la certificación BS UNE Auditoría Control y mejora continua Aprenda más sobre los pasos realizados por auditores externos y averigüe sobre los cuerpos de certificación acreditados BS UNE Aprenda a mejorar la eficiencia de su SGSI conforme al modelo de administración reconocido por la ISO. 10

11 Obstáculos potenciales Miedo, resistencia al cambio Riesgo de contigüidad Costos crecientes Conocimiento insuficiente del acercamiento seleccionado Tareas aparentemente insuperables Factor de éxito Recursos y personal dedicado Personal externo experimentado Buena comprensión del funcionamiento (gestión) y los procesos (operaciones) de gestión del riesgo Comunicaciones frecuentes Sensibilización de gerentes y empleados Compromiso de la dirección superior Estructura del enfoque Las Las 10 Secciones de ISO Cumplimiento Política de seguridad Organización de la Seguridad Administración de la continuidad Desarrollo y mantenimiento integridad Confidencialidad Información disponibilidad Clasificación y control de los activos Seguridad del personal Control de accesos Gestión de comunicaciones y operaciones Seguridad física y medioambiental 11

12 Dominios de Norma ISO Dominio 1 - Política de Seguridad Dominio 1: POLÍTICA DE SEGURIDAD Nivel gerencial debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados 12

13 Dominio 1: POLÍTICA DE SEGURIDAD Debe incluir: objetivos y alcance generales de seguridad apoyo expreso de la dirección breve explicación de los valores de seguridad de la organización definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información referencias a documentos que puedan respaldar la política Dominio 1: POLÍTICA DE SEGURIDAD Protección Física Autorización Confiabilidad Propiedad Legalidad Política de Seguridad Confidencialidad Disponibilidad Eficiencia Integridad Exactitud Eficacia 13

14 Dominio 2 Organización de la Seguridad Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información Debe establecerse un marco gerencial para iniciar y controlar la implementación. Deben establecerse adecuados foros de gestión de seguridad y responsabilidades para cada usuario en la organización. Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas 14

15 Dominio 2: ORGANIZACION DE LA SEGURIDAD Foros de Gestión aprobar la política de seguridad de la información, asignar funciones de seguridad actualizarse ante cambios coordinar la implementación definir metodologías y procesos específicos de seguridad monitorear incidentes de seguridad lidera el proceso de concientización de usuarios Dominio 2: ORGANIZACION DE LA SEGURIDAD Principales roles y funciones Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Definición Área de Seguridad Informática Área de Legales/RRHH/DD/FORO Control Auditoría Interna Auditoría Externa 15

16 Dominio 2: ORGANIZACION DE LA SEGURIDAD Seguridad frente al acceso por parte de terceros El acceso por parte de terceros debe ser controlado. Debe llevarse a cabo una evaluación de riesgos: determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte. Dominio 2: ORGANIZACION DE LA SEGURIDAD Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantías de estudiantes y otras designaciones contingentes de corto plazo; consultores. 16

17 Dominio 3 Clasificación y Control de Activos Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Información e Instalaciones Designar un propietario para cada uno de ellos Clasificación de la información 17

18 Dominio 4 Seguridad del Personal Dominio 4: SEGURIDAD DEL PERSONAL Seguridad en la definición de puestos de trabajo y la asignación de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeño como empleado. 18

19 Dominio 4: SEGURIDAD DEL PERSONAL Capacitación del usuario Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales. Dominio 4: SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalías en materia de seguridad Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos. 19

20 Dominio 4: SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización. Dominio 5 Seguridad Física y Ambiental 20

21 Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daños e interferencia a: sedes instalaciones información Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Perímetro de seguridad física Controles de acceso físico Seguridad del equipamiento Suministros de energía Cableado de energía eléctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del ámbito de la organización Políticas de escritorios y pantallas limpias Retiro de bienes 21

22 Dominio 6 Gestión de Operaciones y Comunicaciones Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información. Se debe implementar la separación de funciones cuando corresponda. Se deben documentar los procedimientos de operación 22

23 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Separación entre instalaciones de desarrollo e instalaciones operativas Deben separarse las instalaciones de: Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento Acuerdos de intercambio de información y software 23

24 Dominio 7 Sistema de Control de Accesos Dominio 7: SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes Administración de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y servicios de información. 24

25 Dominio 7: SISTEMA DE CONTROL DE ACCESOS Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas Dominio 8 Desarrollo y Mantenimiento de Sistemas 25

26 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas de información. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información. Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicación Se deben diseñar en los sistemas de aplicación, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validación de datos de entrada, procesamiento interno, y salidas. 26

27 Dominio 9 Plan de Continuidad del Negocio Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administración de la continuidad de los negocios Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio. 27

28 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administración y gestión. La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables. Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificación de los distintos escenarios de desastres Evaluación de impacto en el negocio Desarrollo de una estrategia de recupero Implementación de la estrategia Documentación del plan de recupero Testeo y mantenimiento del plan 28

29 Dominio 10 Cumplimiento Dominio 10 : CUMPLIMIENTO Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización. Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas. 29

30 Dominio 10 : CUMPLIMIENTO Recolección de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas específicas del tribunal en el cual se desarrollará el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma; Dominio 10 : CUMPLIMIENTO adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el período en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de información cumplan con los estándares o códigos de práctica relativos a la producción de evidencia válida. 30

31 Dominio 10 : CUMPLIMIENTO Revisiones de la política de seguridad y la compatibilidad técnica Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la organización. Dominio 10 : CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas. 31

32 Dominio 10 : CUMPLIMIENTO Relación entre RIESGOS y DELITOS informáticos Delitos tradicionalmente denominados informáticos Delitos convencionales Infracciones por Mal uso Dominio 10 : CUMPLIMIENTO Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Argentina o Protección de Datos Personales Habeas Data o Firma Digital. o Propiedad intelectual / Software Legal o Regulación de las Comunicaciones Comerciales Publicitarias por Correo Electrónico Antispam o Delitos Informáticos o Confidencialidad de la Información y productos protegidos o Normativa específica del Banco Central de la República Argentina 32

33 Norma ISO Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Implementación del ISMS Programa Continuo de 33

34 Implementación de un Programa de Seguridad R P Identificación de los principales riesgos informáticos para su compañía Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Ejecutivo R Identificación de riesgos en su compañía Clasificación de los más críticos Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos 34

35 R Identificación de riesgos en su compañía Personas y Organizaciones dentro y/o fuera Competidores Empleados descontentos Proveedores Clientes Hackers Consultores in company Compañías asociadas R Identificación de riesgos en su compañía Donde hay información sensible en los sistemas centrales en las PC s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal 35

36 P Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P Definición de una política básica de seguridad Autorización Protección Física Confiabilidad Propiedad Legalidad Política de Seguridad Confidencialidad Disponibilidad Eficiencia Integridad Exactitud Eficacia 36

37 A Acción concreta: Plano Normativo Identificación de responsabilidades de seguridad Sponsoreo y seguimiento Dirección de la Compañía Usuarios finales Comité de Seguridad Terceros y personal contratado Autorización Area de sistemas Dueños de datos Administración Definición Administrador de Seguridad Area de Seguridad Informática Control Area de Legales/otras Auditoría Interna / Externa Cumplimiento directo A Acción concreta: Plano Normativo Desarrollo de la normativa básica y publicación Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes 37

38 A Acción concreta: Plano Normativo Definición de un sistema de premios y castigos en su compañía Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros in company Utilización de convenios de confidencialidad A Acción concreta: Plano Ejecutivo Definición e implementación de la función de Seguridad Informática Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas 38

39 A Acción concreta: Plano Ejecutivo Mejoras en los procesos del área de Sistemas Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Usodel CorreoElectrónico Uso de Servicios de Internet A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía. 39

40 A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Componentes - Tecnológico: procesamiento de los sistemas - Funcional: procedimientos del personal A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Etapas en la Implementación del Plan 1: Clasificación de los distintos escenarios de desastres 2: Evaluación de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementación de la estrategia 5: Documentación del plan de recupero 6: Testeo y mantenimiento del plan 40

41 A Acción concreta: Plano Ejecutivo Parametrización de las redes y los sistemas de una forma más segura Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC s y laptops Seguridad física Integración con otras tecnologías Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) A Acción concreta: Plano Ejecutivo Implementación de monitoreos de incidentes de seguridad Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías 41

42 A Acción concreta: Plano Ejecutivo Concientización a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros in company Utilizando la tecnología y los medios disponibles Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Implemente Ud. Mismo el ISMS ISO

43 Implemente Ud. Mismo el ISMS ISO Diagnóstico Inicial: Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO a 3 semanas Implemente Ud. Mismo el ISMS ISO Módulos: Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal. 43

44 Implemente Ud. Mismo el ISMS ISO Módulo 1: Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso) Implemente Ud. Mismo el ISMS ISO Módulo 2: Definir, aprobar y difundir la Política de Seguridad de la Compañía Definir la estructura y alcance del Manual de de la Compañía Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía Implementar Esquema de Propietarios de Datos 44

45 Implemente Ud. Mismo el ISMS ISO Módulo 3: Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros Iniciar proceso de redacción de las Normas Implemente Ud. Mismo el ISMS ISO Módulo 4: Finalizar Clasificación de Información Relevar medidas implementadas en las funciones del área de sistemas 45

46 Implemente Ud. Mismo el ISMS ISO Módulo 5: Finalizar la Redacción y Difundir las Normas de Seguridad Implementar las definiciones de las Normas Implemente Ud. Mismo el ISMS ISO Módulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas Implementar mejoras en los sectores usuarios para información impresa 46

47 Implemente Ud. Mismo el ISMS ISO Módulo 7: Iniciar proceso de redacción de Procedimientos críticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información Implemente Ud. Mismo el ISMS ISO Módulo 8: Finalizar la redacción y difundir los Procedimientos críticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc) 47

48 Implemente Ud. Mismo el ISMS ISO Módulo 9: Implementar los Procedimientos de Seguridad Críticos Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad Implemente Ud. Mismo el ISMS ISO Módulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientización de Usuarios de toda la Compañía 48

49 Implemente Ud. Mismo el ISMS ISO Módulo 11: Diagnóstico General respecto Norma ISO (similar a una Preauditoría de Certificación ISO) Implemente Ud. Mismo el ISMS ISO Módulo 12: Implementación de las mejoras identificadas en el Diagnóstico según ISO

50 Casos prácticos de implementaciones: key points Errores en asignación de Dueños de Datos Interrelación compleja con otros proyectos Extenso período de discusión de la normativa Implementación prolongada en algunas tecnologías Discusiones con proveedores de software por soluciones Personas de peso deciden aplicar las políticas para todos menos para ellos Casos prácticos de implementaciones: key points Algunas soluciones técnicas sólo son aplicables para todos los usuarios de todas las compañías al mismo tiempo Prolongados períodos de evaluación de riesgos Diferencias de criterios en clasificación de la información Dificultades en implementación de medidas disciplinarias Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento 50

51 Casos prácticos de implementaciones: key points Facilidad en el USO vs mejor PROTECCION de la Información Muchas Gracias 51