NORMA ISO/IEC 27001:2005

Transcripción

1 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar) org ar) Noviembre 2010

2 Para cumplir la misión de: Contribuir a mejorar la calidad de vida, el bienestar y la seguridad de las personas Promover el uso racional de los recursos y la actividad creativa Facilitar la producción, el comercio y la transferencia de conocimientos En el ámbito nacional, regional e internacional

3 Brinda servicios de: NORMALIZACIÓN Participación en Organismos de Estudio: ISO - IEC - COPANT AMN CERTIFICACIÓN de Productos de Sistemas de Gestión Productos Certificados Certificados Emitidos iid FORMACIÓN DE RR.HH Cursos dictados Horas de Capacitación CENTRO DE DOCUMENTACIÓN Documentos Técnicos

4 RELACIONES INSTITUCIONALES ESTADO SECTORES INDUSTRIALES UNIVERSIDADES SECTORES CIENTÍFICO TÉCNICOS CONSUMIDORES

5 Formas de abordar la mejora en Tecnologías de la Información Gestión ISO Ciclo de vida ISO Procesos Competisoft // ISO Servicios ISO ISO Productos ISO con ISO 9126

6 ISO/IEC IT Gestión del servicio Gestión de la capacidad Gestión de la disponibilidad y continuidad del servicio Proceso de Liberación Gestión de la liberación Procesos de prestación del servicio Gestión de niveles de servicio Elaboración de informes del servicio Procesos de Control Gestión de la configuración Gestión de cambios Procesos de Resolución Gestión de incidentes Gestión de problemas Gestión de la seguridad de la información Elaboración del presupuesto y gestión de costos Procesos de Relaciones Gestión de relaciones con clientes Gestión de proveedores

7 ITIL - Information Technology Infrastructure Library Es un marco de trabajo (framework) para la Administración de Procesos de IT Es un standard d de facto para Servicios i de IT Fue desarrollado a fines de la década del 80 Originalmente creado por la CCTA (una agencia del Gobierno del Reino Unido)

8 Información Definición, Tipos La información es un recurso que, como el resto de los importantes activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida.

9 Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS

10 Fraude por Computador Utilizar un computador para obtener beneficio personal o causar daño a los demás. Dada la proliferación de las redes y del personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas. Se especula que muy pocos fraudes por computador son detectados y una menor porción es reportada.

11 De Quién nos Defendemos? Gente de adentro: Empleados o personas allegadas. Anti gobernistas: Razones obvias para justificar un ataque. Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto.

12 De qué nos defendemos? Fraude Extorsión Robo de Información Robo de servicios Actos terroristas Reto de penetrar un sistema Deterioro Desastres Naturales

13 Efectos de las Amenazas y los Ataques Interrupción de actividades Dificultades para toma de decisiones Sanciones Costos excesivos Pérdida o destrucción de activos Desventaja competitiva Insatisfacción del usuario (pérdida de imagen)

14 Qué Información proteger? Información en formato electrónico / magnético / óptico en formato impreso en el conocimiento oc de las personas

15 QUÉ DEBE SER PROTEGIDO? Sus Datos Confidencialidad Quiénes deben conocer qué Integridad Quiénes deben cambiar qué Disponibilidad - Habilidad para a utilizar sus sistemas Sus Recursos Su organización, su tecnología y sus sistemas

16 Qué es la seguridad de la información? La seguridad d de información ió se caracteriza como la preservación de la: Confidencialidad: asegurar que la información sea accesible sólo para aquellos usuarios autorizados para tener acceso Integridad: salvaguardar que la información y los métodos de procesamiento sean exactos y completos Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y bienes asociados cuando lo requieran

17 Cómo se logra la seguridad de la información? La seguridad de información se logra mediante la implementación de un adecuado conjunto de controles, los que podrían ser: Políticas, prácticas, procedimientos, estructuras organizacionales y funciones de software. Se necesita establecer estos controles para asegurar que se cumplan los objetivos específicos de seguridad de la organización.

18 Seguridad de la información Actos de la naturaleza RIESGOS O AMENAZAS Fraudes Fallas de Hard, Soft o instalación VULNERABILIDADES Daño intencional Errores y omisiones Invasión a la privacidad CONSECUENCIAS RIESGO PERDIDA ESPERADA

19 Sistema de gestión de riesgos Figura 1 de la norma IRAM 17551

20 Objetivos a cumplir Objetivos corporativos de negocio Objetivos corporativos de TI Objetivos de Seguridad d Informática El problema de la Seguridad Informática está en su Gerenciamiento y no en las tecnologías disponibles

21 SGSI: Sistema de Gestión de Seguridad de la Información ISMS Information Security Management System Qué es? Forma sistemática de administrar la información sensible Cómo? Gestionando los riesgos Para qué? Proteger la información: Confidencialidad Integridad Disponibilidad A quiénes abarca? Personas, Procesos y Tecnología

22 ORIGEN: BS 7799 Norma Define requisitos para un Sistema de Gestión de Seguridad de la Información (ISMS). Comprende 10 secciones Compuesta por 2 partes: Parte 1: Controles Parte 2: ISMS - Certificación

23 ISO 27001:2005 Actualización de BS 7799 bajo los lineamientos de ISO, se creó ISO El nombre oficial del nuevo estándar es: BS :2005 (ISO/IEC 27001:2005) Information Technology - Security Techniques Information Security Management - Systems Requirements. Cambios con respecto a BS : por ejemplo requiere la definición de los mecanismos de medición ión de la efectividad id d de los controles. ole

24 Modelo SGSI

25 Modelo SGSI

26 Objetivos del SGSI Implementación de un programa de Seguridad Comprensivo Adaptado a la Cultura de la organización Que Proteja la información sensible de las amenazas

27 Objetivos de Seguridad Tres componentes a tener en cuenta para la seguridad 1) Ataques a la seguridad: Cualquier acción que compromete la seguridad de la información perteneciente a la organización. 2) Mecanismos de seguridad: Es un mecanismo diseñado para detectar, prevenir y/o recuperar frente a un ataque a la seguridad. 3) Prestación de seguridad: Es un servicio que mejora la seguridad de un sistema de procesamiento de datos y de la información que transfiere la organización. El servicio enfrenta los ataques a la seguridad utilizando para poder hacerlo, uno o más mecanismos de seguridad.

28 Antes de comenzar. Requisitos para comenzar existe alguno??? COMPROMISO Y RESPALDO DE LA DIRECCION El Proceso de Implementación - SGSI La clave de la implementación es: La clave de la implementación es: Comunicación y Entrenamiento

29 Considerar documentación

30 SGSI: El Proceso de Implementación

31 SGSI: El Proceso de Implementación

32 El Proceso de Certificación

33 No hay calidad de la gestión sin seguridad de la información que procesan los sistemas de información que dan soporte a la gestión

34 Propuesta de plan del PMG en el SGSI A realizar por IRAM Chile A realizar por Red de Expertos PMG Gap analysis + Diagnóstico Asesoramiento para Capacitación diseño del plan Auditoría de Verificación Fase 1 Auditoría de Verificación Fase 2 Auditoría de Verificación Fase 3 A realizar por funcionarios Implementación Fase 1 ESTABLECER el SGSI (s/6 dominios) Asesoramiento sobre Implementación Fase 2 acciones correctivas IMPLEMENTAR el SGSI Fase 1 (s/6 dominios) Asesoramiento sobre acciones correctivas Fase 2 Asesoramiento sobre acciones correctivas Fase 3 Implementación Fase 3 Seguimiento y Revisión de SGSI (s/6 dominios) Preparación para Certificación

35 35

36 PREGUNTAS Y COMENTARIOS