Seguridad de la Información

Transcripción

1 Gestión de Riesgos ISO 27001/27005 & ISO Seguridad de la Información Germán Castro Arévalo CROSS BORDER TECHNOLOGY Abril 15, 2013

2 Agenda Introducción Conceptos básicos sobre seguridad de la información Gestión de riesgos (ISO / ISO 31000) Avance al interior del SENA

3 Introducción

4 Panorama actual 4

5

6

7 Panorama actual

8 Panorama actual Que preocupa a las Organizaciones? ESET Security Report Latinoamerica

9 Panorama actual Tendencias del mercado Estándares y buenas prácticas adoptadas: Encuesta Latinoamericana en Seguridad de la Información

10 Conceptos básicos

11 Gestión en Seguridad de la Información Gestión en Seguridad de la Información Confidencialidad Integridad Disponibilidad Información Personas Tecnología Procesos Infraestructura Políticas y normas Estándares Buenas prácticas Regulaciones Requerimientos

12 Modelo PHVA ISO Mejoramiento Continuo del Sistema de Gestión Partes Interesadas Alcance Política Evaluación de Riesgos Prep. SOA Planear Establecer el SGSI Acciones Correctivas y Preventivas Partes Interesadas Hacer Implementar y Operar el SGSI Mantener y Mejorar el SGSI Act. Requerimientos y expectativas de Seguridad de la Información Monitorear el SGSI Gestión de Seguridad de la Información Tratamiento de Riesgos - Controles Entrenamiento Gest. Incidentes Verificar Auditorias Int. Revisión Dir. Informes

13 Gestión de Riesgos ISO / ISO ISO 31000

14 Gestión de Riesgos - ISO Tecnología Personas Servicios Vulnerabilidades Amenazas Activos de Información ISO ISO Identificación, análisis y valoración de riesgos

15 Trtamiento de Riesgos ISO Riesgos identificados y valorados Tratamiento de Riesgos Nivel de Riesgo Aceptable Alto Medio - Alto Medio Bajo - Medio Implementar Controles Anexo A ISO & ISO Aceptar Riesgos Bajo Aprobación y Evaluación Continua

16 ISO Anexo A ISO Dominios Nivel superior 11 Objetivos de control Agrupación de los controles 39 Controles Detalle de los controles 133

17 ISO Anexo A ISO Dominio A.7 Gestión de activos Objetivo de control A Responsabilidad de los activos Objetivo: Lograr y mantener la protección adecuada de los activos organizacionales Control A Inventario de activos Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos importantes

18 ISO Comunicación y consulta (5.2) Monitoreo y revisión (5.6) Principios Marco de referencia Proceso Crear valor Es parte integral de los procesos de la organización Comando compromiso (4.2) y Establecimiento del contexto (5.3) Es parte de la toma de decisiones Aborda explícitamente la incertidumbre Es sistemática, estructurada y oportuna Diseño del marco de referencia para la gestión del riesgo (P) Valoración del riesgo (5.4) Identificación riesgo (5.4.2) del Se basa en la mejor información disponible Está adaptado Toma en cosideración a los factores humanos y culturales Mejora continua del marco de referencia (A) Implementación de la gestión del riesgo (H) Análisis del riesgo (5.4.3) Evaluación del riesgo (5.4.4) Es transparente e inclusiva Es dinámica, reiterativa y receptiva al cambio Monitoreo y revisión del marco (V) Tratamiento del riesgo (5.5) Facilita la mejora y realza a la organización

19 Comunicación y consulta (5.2) Monitoreo y revisión (5.6) Comunicación del riesgo Monitoreo y revisión (5.6) ISO Proceso ISO Proceso ESTABLECIMIENTO DEL CONTEXTO Establecimiento del contexto (5.3) VALORACIÓN DEL RIESGO ANÁLISIS DEL RIESGO Identificación del riesgo Valoración del riesgo (5.4) Identificación del riesgo (5.4.2) Estimación del riesgo Análisis del riesgo (5.4.3) Evaluación del riesgo Evaluación del riesgo (5.4.4) Si No Tratamiento del riesgo (5.5) Tratamiento del riesgo Si No ACEPTACIÓN DEL RIESGO

20 Avance al interior del SENA

21 Avance Metodología Riesgos seguridad de la información Basada en ISO e ISO Matriz de identificación y valoración de riesgos Tipología de activos Catálogo de vulnerabilidades y amenazas Tipología de riesgos Criterios y escalas de valoración Alineada con la metodología de riesgos (DAFP - Departamento Administrativo de la Función Pública)

22 Identificar el Activo de Información Seleccione el proceso Identifique el tipo de activo Nombre el activo Seleccione el activo TIPO DE ACTIVO Seleccione el proceso PROCESO NOMBRE ACTIVO Gestión de Formación Profesional Integral Sistema de Información Sofia Plus Gestión de Formación Profesional Integral Gestión de Formación Profesional Integral Documentación Servicios de Outsourcing Acto Académico Equipos de computo (arrendamiento)

23 Tipos de activos de información ACTIVOS INFORMACIÓN GRUPO DE ACTIVO Bases de Datos TIPOS DE ACTIVOS DE INFORMACIÓN Documentación SOFTWARE Sistemas de Información Herramienta Ofimática HARDWARE Servidores y Equipos de Computo Equipos de Comunicación Medios de Almacenamiento Removible Otros Equipos SERVICIOS Servicios de Outsourcing Servicios Ofrecidos por la Entidad Otros Servicios PERSONAS (Rol) INFRAESTRUCTURA Funcionarios de planta Contratistas Aprendices Mesas sectoriales Partes Interesadas (Empresarios, Entidades Públicas) Proveedores Ambiente de Aprendizaje Centro de Computo / Centro de Datos Oficinas Archivo INTANGIBLE Imagen y reputación Ideas / Conocimiento

24 Identificación de las amenazas y vulnerabilidades FUENTE O AGENTE GENERADOR (Amenaza) CAUSA (Vulnerabilidad) Ausencia o insuficiencia de pruebas. Ausencia o insuficiencia de disposiciones (con respecto a la seguridad) en los contratos con los empleados y/o terceras partes. Daño accidental Código malicioso Arquitectur a insegura de la red Uso no controlado Hurto o robo Catalogo de amenazas y vulnerabilidades Relojes no sincronizados Amenaza asociada al activo de información Vulnerabilidad asociada al activo de información

25 Catálogo de amenazas

26 Catálogo de Vulnerabilidades

27 Valoración del riesgo Probabilidad Riesgo Inherente Impacto

28 Identificación y calificación del control CONTROL EXISTENTE Procedimiento de backups ANEXO A NTC-ISO A Digitalización de los documentos físicos del expendiente A EFECTIVIDAD EVALUACIÓN CONTROL Correctivo (5) Cubre menos del 10% de las causas o impactos (5) Cubre entre el 11% y el 70% de causas o impactos (10) Preventivo (20) En el tiempo que lleva el control ha demostrado ser Calificar el control VALORACION DE CONTROLES TIPO NATURALEZA OFICIALIDAD CUBRIMIENTO Manual (5) Automático (20) No documentado (0) Documentado (5) Divulgado (20) Cubre mas del 70% de causas o efectiva (20) Qué controles existen actualmente?

29 Valoración del riesgo Riesgo inherente + Controles = Riesgo Residual CALIFICACIÓN DEL RIESGO PROBABILIDAD IMPACTO Financiero Reputacional Regulatorio/Legal Operacional EVALUACIÓN RIESGO INHERENTE NUEVA CALIFICACIÓN DEL RIESGO PROBABILIDAD IMPACTO EVALUACIÓN RIESGO RESIDUAL Probable Crítico Crítico 40 Raro Crítico 20 Casi.Seguro Crítico Moderado 60 Probable Crítico 40

30 Tratamiento de riesgos

31 Preguntas? Graciaspor su tiempo!! Germán Castro Arévalo CROSS BORDER TECHNOLOGY