Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información

Transcripción

1 Sistema de Gestión de Seguridad de la Información Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información Proyecto de Sensibilización y Capacitación Enero 2012

2 FUENTES Documentos: Políticas de Seguridad de la Información Normas para la Seguridad de la Información en PROVIAS NACIONAL Manual del SGSI NTP ISO/IEC 17799

3 Agenda Introducción El SGSI implementado en PVN Las Políticas de Seguridad Alcance de las Políticas Responsabilidades de la Gerencia La Dirección y los Activos de Información Organización de la Seguridad y Roles Clave Criterios de Seguridad de la Información Gestión de Riesgos Alcance del SGSI Gestión de Terceras partes Continuidad del Negocio Cuál es la participación de la Gerencia / Comité? Qué aspectos asegurar la Gerencia? Qué documentación conocer la Gerencia? Cómo generar la mejora continua?

4 Introducción al Sistema de Gestión de SEGURIDAD de la INFORMACIÓN

5 Diferenciar! Informática Información

6 Informática Diferenciar! Internet

7 Información Diferenciar! W W W

8 Problemática Actual Amenazas Robo de Información Incendio Tráfico de información Riesgos Inundaciones Conmoción Social Vandalismo Empleados descontentos Información Vital del Negocio Desastres naturales Virus Hackers Errores humanos Pérdida de Información 8

9 Problemática Actual En la mayoría de organizaciones Existen controles de seguridad, pero están aislados. La seguridad no está planificada. Se subestiman / Sobreestiman / o Se desconocen los posibles riesgos. No existen procedimientos, de operación, monitoreo, detección, reacción, recuperación ni gestión. No hay responsabilidades de seguridad claramente definidas e incorporadas a en los diferentes niveles de la organización. Confusión entre seguridad Informática y seguridad de la información. Los usuarios creen que la seguridad es responsabilidad sólo de TI y los vigilantes - Usuarios descomprometidos con la seguridad. Seguridad No Está Gestionada 9

10 Respuesta a la Problemática 10

11 Sistema de Gestión de SEGURIDAD de la INFORMACIÓN (ISMS) 11

12 SGSI Herramienta de Gestión Conocer Gestionar Minimizar Riesgos Que pueden poner en peligro la seguridad de la Información institucional

13 Permitir Analizar SGSI Herramienta de Gestión Estructura de los sistemas y soportes de información Facilitar Procedimientos de trabajo Para mantener su seguridad Controlar y Medir Eficacia de las medidas tomadas

14 SGSI Herramienta de Gestión PROTEGER a nuestra INSTITUCIÓN Amenazas Riesgos Continuidad de los niveles de Competitividad Rentabilidad Conformidad Legal Objetivos de NEGOCIO

15 SGSI Herramienta de Gestión Nivel de Riesgo Riesgos Mitigarálos Riesgos a Nivel de Riesgo Aceptable

16 el S G S I Implementado en PROVIAS NACIONAL 16

17 SGSI Implementado Políticas de Seguridad de la Información. Normativa de Seguridad de la Información. Gestión de riesgos. SOA: Enunciado de Aplicabilidad. Plan de Tratamiento: Objetivos de Control y Controles. Operación, mantenimiento y mejora continua del SGSI. Gestión de incidentes (en la normativa). Capacitación y concientización (en la normativa). Medición y control de la efectividad (en la normativa). Auditoría Interna. 17

18 Políticas de Seguridad de la Información S G S I 18

19 Enfoque a Procesos y Mejora Continua P Planear D Hacer Seguridad de la Información A Mejorar C Revisar Manual del SGSI NTP ISO/IEC

20 Políticas de Seguridad de la Información de PROVIAS NACIONAL Políticas generales de seguridad de la información 11 Dominios 241 Items Organización de la seguridad Clasificación de Activos de Información Seguridad Recursos Humanos Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Control de Accesos Adquisición, Desarrollo y Mantenimiento de Sistemas de Información Gestión de Incidentes de Seguridad Gestión de la Continuidad del Negocio Cumplimiento de Normatividad Legal Organizacional Administrativo Lógico Físico Legal

21 Políticas de Seguridad de la Información Alcance de las Políticas Cumplimiento obligatorio por todo el personal de PROVIAS NACIONAL: Cuadro para Asignación de Persona (CAP) Contrato Administrativo de Servicios (CAS) Prácticas pre-profesionales y profesionales Proveedores y Todo el personal contratado directa e indirectamente por PVN Responsabilidad La difusión, cumplimiento y control de la presente política es responsabilidad de todas las Gerencias, Jefaturas y Coordinaciones de PROVIAS NACIONAL dentro de sus ámbitos correspondientes. Políticas IV, V 21

22 La Dirección y los Activos de Información i i W W W La Dirección Ejecutiva de PROVIAS NACIONAL reconoce como activo de información estratégico de la Institución, los datos, la información y los sistemas que lo soportan, por lo que manifiesta su determinación de alcanzar los niveles de seguridad necesarios que aseguren su protección. P.SGSI.PG.01 22

23 Políticas de Seguridad de la Información Roles Clave en la Seguridad Organización de la Seguridad Dirección Comité de Seguridad de la Información Oficial de Seguridad de la Información (OSI) Grupo Interdisciplinario Políticas Normativa Manual del SGSI 23

24 Políticas de Seguridad de la Información Roles Clave en la Seguridad Actualmente quién indica qué información es crítica o no? Quién autoriza el acceso a su información? Propietario de la Información Persona que tiene la responsabilidad gerencial sobre determinados activos de información y responsable de: Clasificar la información (confidencial, restringida, pública) y Definir qué usuarios tienen permisos de acceso de acuerdo a sus funciones y competencias. Definir perfiles, principios de necesidad de saber y caso por caso. Políticas P.SGSI.PG.06 P.SGSI.GA.02 P.SGSI.CA.06 P.SGSI.GA.09 P.SGSI.OC.16 P.SGSI.CA.13 P.SGSI.CA.03 P.SGSI.CA.13 P.SGSI.CA.14 P.SGSI.CA.16 P.SGSI.CA.17 P.SGSI.CA.16 P.SGSI.CA.17 P.SGSI.CA.31 P.SGSI.CA.24 Normativa 24

25 Políticas de Seguridad de la Información Roles Clave en la Seguridad Custodio de la Información Responsable de: La administración y resguardo de los activos de información. Monitoreo del cumplimiento de los controles de seguridad en los activos que se encuentren bajo su administración. Garanticen la protección efectiva de dicho activo de acuerdo a los riesgos que le afecten. Políticas P.SGSI.GA.02 P.SGSI.GA.18 Normativa 25

26 Criterios de Seguridad El propietario y el custodio qué deben proteger de la información? CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD Solamente pueden acceder a la información únicamente quienes estén autorizados (personas, entidades o procesos) Es la propiedad de salvaguardar la exactitud y completitud de la información durante un proceso. Asegurar que los usuarios autorizados tengan acceso a la información y a los recursos asociados en el momento que lo requieran. C I D (C I A) Políticas Normativa 26

27 Criterios de Seguridad NO REPUDIO CONFIABILIDAD (AUDITABILIDAD) Tanto el emisor como el receptor no puedan negar su participación en una transacción. El procesamiento y gestión de la información deben generar registros para poder ser monitoreados, controlados. Políticas 27

28 SGSI Alcance Actual Alcance del SGSI El Alcance definido para la implantación del SGSI es el área de Tecnologías de Información de PROVIAS NACIONAL, comprendido por las áreas de Sistemas de Información (OPEI) y Servicios Informáticos (UGAD) Usted cuenta con información que debe ser preservada en términos de CID? Su activo de información clave está considerado dentro del alcance? Conoce las vulnerabilidades y riesgos asociados a sus activos de información? Manual del SGSI 28

29 A g e n t e Gestión de Riesgos M a t r i z d e R i e s g o s Controles Probabilidad e x p l o t a r ( i n c i d e n t e ) I m p a c t o Vulnerabilidad Amenaza I n t e r n a E x t e r n a Políticas P.SGSI.PG.06 P.SGSI.PG.11 P.SGSI.GA.02 P.SGSI.GA.09 P.SGSI.OC.16 P.SGSI.CA.03 P.SGSI.CA.13 P.SGSI.CA.16 A c t i v o Inventario de Activos 29

30 Gestión de Riesgos Actualización La Matriz de Riesgos debe ser actualizada ante cualquier cambio de infraestructura, incorporación de nuevos servicios y sistemas, organizacionales. 30 Política Manual del SGSI

31 PREGUNTAS? 31