ONGEI2016. Implementación del SGSI. Ing. CIP Miguel Del Carpio Wong Oficina Nacional de Gobierno Electrónico e Informática

Transcripción

1 Oficina Nacional de Gobierno Electrónico e Informática - ONGEI ONGEI2016 Ing. CIP Miguel Del Carpio Wong Oficina Nacional

2 Una Cadena es tan fuerte como el más débil de sus eslabones *** *** Adoptado de un escrito del siglo XVIII por Thomas Reid titulado: Ensayos en los Poderes Intelectuales del Hombre y John C. Maxwell, autor de LAS 17 LEYES INCUESTIONABLES DEL TRABAJO EN EQUIPO (2001) la menciona como la 5ta ley, La Ley de la cadena: La fortaleza del equipo se ve afectada por el eslabón más débil

3 Parte 1 : NORMATIVA Parte 2 : IMPLEMENTACIÓN

4 NORMATIVA

5 RM N PCM (Mayo 2012). Norma Anterior Aprueba uso obligatorio NTP-ISO/IEC 27001:2008 (Req. y Anexo A) NTP-ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad del a Información. Requisitos. Quiénes? 71 Entidades. Y las demás? Sólo Cronograma Fase 1. Controles deben ser implementados de acuerdo a la NTP-ISO/IEC 17799:2007 (Agosto 2007 RM N PCM) NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la Seguridad de la Información. 2da. Edición Deja sin efecto la RM N PCM (Ponía fecha límite [31Dic2012] para implementar NTP-ISO/IEC 17799:2007)

6 Norma VIGENTE RM N PCM (Enero 2016). Aprueba uso obligatorio NTP-ISO/IEC 27001:2014. NTP-ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad del a Información. Requisitos. 2Da Edición. Quiénes? Todas las Entidades Integrantes del Sistema Nacional de Informática Presentar Cronograma: 60 días. Lo Han Presentado? Implementación y/o Adecuación : 2 años. Lo están trabajando? Definir bien el Alcance en base a los recursos. Actas, documentos, notas,... Pueden Certificar si lo desean con recursos propios. Es bueno?

7 Norma VIGENTE RM N PCM (Enero 2016). El Comité de Gestión de Seguridad de la Información Titular de Entidad, Administración, Planificación, Informática, Legal, Oficial de Seguridad de la Información. Deja sin efecto la RM N PCM.

8 IMPLEMENTACIÓN

9 NTP-ISO/IEC 27001:2014 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. Capítulo 05 : LIDERAZGO. Capítulo 06 : PLANIFICACIÓN. Capítulo 07 : SOPORTE. Capítulo 08 : OPERACIÓN. Capítulo 09 : EVALUACIÓN DE DESEMPEÑO. Capítulo 10 : MEJORAS. Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA.

10 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. Es comprender a la Organización y su contexto, tanto en los aspectos internos como externos. CONOCER A LA ENTIDAD: Misión, Visión, Matriz FODA y las Estrategias (Sec. 4.1). (Un Auditor leerá el documento y se enterá de la Entidad). Los objetivos de la Seguridad de la Información deben alinearse con los Objetivos Estratégicos. Es comprender las necesidad y expectativas de las partes interesadas: (Plan-Do-Check-Act) al SGSI. Es parte de la mejora continua (Sec. 4.4). Veámos un ejemplo: Determinar el ALCANCE (Sec. 4.3).

11 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. ALCANCE Sección Requerimiento de la ISO/IEC 27001: Determinar el alcance del sistema de gestión de seguridad de la información. La organización debe determinar los límites y la aplicabilidad del sistema de gestión de seguridad de la información para establecer su alcance. Estado CONFORME Evidencia: Cómo lo cumple? El Sistema de Gestión de Seguridad de la Información aplica a los siguientes procesos: (Ejemplos reales) MIDIS Los sistemas de información que sustentan los procesos de negocio para la provisión del servicio de Data Center. OSIPTEL El sistema de gestión de seguridad de la información para la Regulación del Mercado de Telecomunicaciones mediante los procesos de emisión de normas, regulación, solución de controversias, solución de reclamos de usuarios, supervisión, fiscalización y sanción. Atención y orientación a usuarios desde sus oficinas de San Borja y San Isidro en Lima, según la declaración de aplicabilidad vigente.

12 Capítulo 04 : CONTEXTO DE LA ORGANIZACIÓN. ALCANCE (si se desea certificar, también tener el alcance en inglés, la auditora lo pedirá.) Qué hacer? Definir bien el alcance (procesos o sub procesos). Puede ser cambiado siempre y cuando existan las actas de reunión del comité y por qué se cambió. Cómo? Preguntarse: Por qué implementas el SGSI? Qué área debe ser cubierta por el SGSI? NO definir un Alcance MUY AMPLIO, pues tu análisis de riesgos será mayor y puedes demorar mucho: presupuesto, tiempo,... Se debe comprender los problemas externos e internos de la Entidad. Se recomienda hacer un DIAGRAMA DE CONTEXTO DE LA ENTIDAD GUBERNAMENTAL.

13 Capítulo 05 : LIDERAZGO. Sabemos que el Comité de Seguridad de la Información debe estar formado por el Titular de la Entidad. Si se tiene al Titular de la Entidad comprometido, entonces la tarea de implementar un SGSI y CERTIFICAR será mucho más fácil. El Titular de la Entidad, debe mostrar liderazgo y compromiso respecto al SGSI. Entonces, debe asegurar que las responsabilidades y la autoridad para los roles relevantes a la Seguridad de la Información estén asignadas y comunicadas. Por lo tanto, es necesario establecer: Una Política de Seguridad de la Información, y Los Objetivos de Seguridad de la Información.

14 Capítulo 05 : LIDERAZGO. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Sección 5.2 Política. Requerimiento de la ISO/IEC 27001:2013 Estado CONFORME Evidencia: Cómo lo cumple? Existe la Política de Seguridad de la Información y se ha evidenciado que está acorde al propósito de la organización, incluye objetivos de Seguridad de la Información (Sección 6.2) y está disponible y comunicada a toda la organización. Además que ha sido aprobada por una Resolución de Alcaldía. (Directoral, Ministerial,...) La política de seguridad de la información debe: f)estar comunicada dentro de la organización; CONFORME Se ha evidenciado que la Política de Seguridad de la Información ha sido comunicada a toda la Organización vía correo electrónico. Así mismo está publicado en la Intranet. Además existen los cargos de los documentos que han sido envíada a cada dependencia de la organización.

15 Capítulo 05 : LIDERAZGO. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Qué hacer? Hacer la Política de Seguridad de la Información. Cómo? Modelos hay varios y usarlos sólo como referencia. Incluir al menos: Marco legal, Objetivos, Políticas, Definiciones, Responsabilidades, Sanciones por incumplimiento. IMPORTANTE respecto al documento: Elaborado por, Revisado por, Aprobado por, CARGO y NOMBRE. Versión, Fecha exacta.

16 Capítulo 05 : LIDERAZGO. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Sabemos que los usuarios, muchas veces no cumplen las políticas. Podría incluirse como parte de las sanciones por incumplimiento lo siguiente o vía alguna comunicación de la Alta Dirección: La Entidad se reserva el derecho de tomar medidas disciplinarias del personal que incumpla con los dispuesto en la Política de Seguridad de la Información conforme a las disposiciones señaladas en los documentos normativos de la institución, sin prejuicio de las acciones civiles y/o penales que pudieran corresponder.

17 Capítulo 06 : PLANIFICACIÓN. 6.1 Acciones para tratar los riesgos y oportunidades Generalidades... Sección Requerimiento de la ISO/IEC 27001:2013 Estado Valoración del riesgo de seguridad de la información. La organización debe definir y aplicar un proceso de valoración del riesgo de seguridad de la información que: CONFORME Evidencia: Cómo lo cumple? Se tiene un procedimiento para la Gestión de Riesgos de Seguridad de la Información. c) identifique los riesgos de seguridad de la información: 1)Aplicando el proceso de valoración de riesgos de seguridad de la información para identificar riesgos asociados con la pérdida de confidencialidad, integridad y disponibilidad para la información dentro del alcance del sistema de gestión de seguridad de la información. CONFORME Se cuenta con una metodología de Gestión de Riesgos de Seguridad de la Información y está en conjunto con el Manual de Gestión de Seguridad de la Información.

18 Capítulo 06 : PLANIFICACIÓN. 6.1 Acciones para tratar los riesgos y oportunidades Generalidades Valoración del riesgo de seguridad de la información. Qué hacer? Procedimiento para la gestión de riesgos de seguridad de la información. Cómo? Elegir tu metodología de gestión de riesgos, Usa ISO 31000, Usa ISO 27002, Usa ITIL, COBIT, COSO, Usa MAGERIT (española 3 libros)

19 Capítulo 06 : PLANIFICACIÓN. 6.1 Acciones para tratar los riesgos y oportunidades Generalidades Valoración del riesgo de seguridad de la información. Consideraciones Identificar los riesgos de seguridad de la información: Aplicar el proceso de valoración de riesgos: MATRIZ DE CALOR. Se debe hacer un Inventario de Activos y considerar la valoración para la Confidencialidad, Integridad, Disponibilidad, lo cual da origen a la Matriz de Calor. Identificar a los propietarios de los riesgos y obtener su aprobación para tratar los riesgos. Analizar los riesgos de seguridad de la información. Establecer la Declaración de Aplicabilidad. Determinar todos los controles necesarios. Formular un plan de tratamiento de riesgos.

20 De la misma manera trabajarlo para los siguientes capítulos: Capítulo 07 : SOPORTE. Capítulo 08 : OPERACIÓN. Capítulo 09 : EVALUACIÓN DE DESEMPEÑO. Capítulo 10 : MEJORAS.

21 Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.9 Control de acceso A.9.1 Requisitos de la empresa para el control de acceso. Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de la información Sección Control del Anexo A de la ISO/IEC 27001:2013 Estado Evidencia: Cómo se ha implementado? A Acceso a redes y servicios de red. Control: Los usuarios deben tener acceso solamente a la red y a servicios de red que hayan sido específicamente autorizados a usar. IMPLEMENTADO El acceso a los servidores se realiza mediante los perfiles establecidos. El acceso a Internet es sólo para los usuarios institucionales, además que la red se encuentra segmentada y el acceso inalámbrico a Internet para los invitados está en una red aislada. También se dispone de una política de contraseñas.

22 Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.9 Control de acceso A.9.4 Control de acceso a sistema y aplicación. Objetivo: Prevenir el acceso no autorizado a los sistemas y aplicaciones. Sección Control del Anexo A de la ISO/IEC 27001:2013 Estado Evidencia: Cómo se ha implementado? A Control de acceso al código fuente de los programas. Para el alcance establecido no hay Desarrollo de Software. Control: El acceso al código fuente de los programas debe ser restringido. NO APLICA

23 Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.6 Organización de la seguridad de la información A.6.1 Organización interna. Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. Sección A Control del Anexo A de la ISO/IEC 27001:2013 Contacto con las autoridades. Control: Contactos con autoridades relevantes deben ser mantenidos. Estado IMPLEMENTADO Evidencia: Cómo se ha implementado? Se cuenta con una lista para establecer contacto rápido con las partes involucradas y se evidencia que se ha comunicado a todos.

24 Sección Anexo A : OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. A.6 Organización de la seguridad de la información A.6.1 Organización interna. Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y operación de la seguridad de la información dentro de la organización. A Control del Anexo A de la ISO/IEC 27001:2013 Segregación de funciones. Control: Las funciones y áreas de responsabilidad en conflicto deben ser segregadas para reducir oportunidades de modificación no autorizada o no intencional o mal uso de los activos de la organización Estado IMPLE- MENTADO Evidencia: Cómo se ha implementado? La Entidad dispone de un Manual de Organización y Funciones (MOF) en el cual está definido los cargos. También se cuenta con los Contratos Administrativos de Servicios (CAS) de aquellos trabajadores que brindan servicios bajo dicha modalidad, en donde se definen las responsabilidades de los mismos.

25 ISO Estándar Internacional usada como: GUÍA PARA LA IMPLANTACIÓN DE UN SGSI

26 Muchas Gracias...!!! Anexo