SEGURIDAD DE LA INFORMACION

Transcripción

1 Facultad de Ingeniería Industrial y de Sistemas SEGURIDAD DE LA INFORMACION Norma ISO Ysabel Rojas Solís

2 Agenda Introduccion Sistema de Gestion de Seguridad de la Informacion Introduction to ISO :2005 Tareas a Realizar Experiencia Europea de Exito Conclusiones 2

3 Porqué hablar de la Seguridad de la Información? Porque el negocio se sustenta a partir de la información que maneja...

4 La información puede estar : Impreso o escrito en papel. Almacenado electrónicamente. Enviado por correo ordinario o por . Videos corporativos. Verbal - en conversaciones cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido. (ISO/IEC 27001: 2005)

5 La informacion puede ser : Creada Guardada Destruida Procesada Transmitida Usada (Para propositos correctos & impropios) Corrompida Perdida Robada 5

6 Dominios de la Información La información debe cumplir 3 principios Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

7 Porqué hablar de la Seguridad de la Información? Porque no sólo es un tema Tecnológico. Porque se requiere de Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.

8 Porqué hablar de la Seguridad de la Información? Porque la seguridad tiene un costo, pero la INSEGURIDAD es mucho mas costosa Ninguna medicina es útil a menos que el paciente la tome Entonces, por donde empezar?...

9 Problema / Necesidad

10 Problema / Necesidad

11 Problema / Necesidad

12 Problema / Necesidad

13 Problema / Necesidad

14 COMO SUPERAR ESTOS PROBLEMAS? 14

15 Solución

16 Que es la Seguridad de la Información Haga clic para modificar el estilo de texto del p Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

17 Seguridad de la Información

18 Seguridad de la Información

19 Seguridad de la Informaciòn La seguridad no es algo que se compra es algo que se hace.

20 Seguridad de informacion La arquitectura donde se integran y combinan aplicaciones, sistemas y soluciones, software, alarmas, y las exploraciones de vulnerabilidad a fin de trabajar juntos y monitoreo 24 x 7 Exige tener gente, Procesos, Tecnologia, politicas, procedimientos, La seguridad es integral (PPT) y no solo para dispositivos y equipos 5/02/13 20

21 i an rg O ti za on St 21 5/02/13 ed us ion gy t lo isa no an ch rg Te O by TECHNOLOGY ss ne es si ss Bu oce Pr PROCESSES f af PEOPLE

22 Activo de Informacion Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

23 Que es una Amenaza Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

24 Que es una Amenaza

25

26 Que es una Vulnerabilidad Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

27 Reconocer las Vulnerabilidades Vulnerabilidad: una debilidad que facilita la materialización de una amenaza Ejemplos: Inexistencia de procedimientos de trabajo Concentración de funciones en una sola persona Infraestructura insuficiente

28 Clasificación de Vulnerabilidades Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

29 Que es un Impacto Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

30 Que es Riesgo Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

31 Matriz de Riesgo Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

32 La Gestion del Riesgo

33 La Gestión del Riesgo

34 Sistema de Gestión de Seguridad de Informacion SGSI

35 Sistema de Gestión de Seguridad de Informacion SGSI

36 Sistema de Gestión de Seguridad de Informacion SGSI

37 Objetivos Generales del SGI

38 SGSI Requerimientos Generales

39 Requerimientos de documentacion General

40 Implantación SGSI

41 Sistema de gestión de seguridad de la información Haga clic para modificar el estilo de texto del p Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

42 Alcance del SGI

43 Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

44 Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los Confidencialidad Integridad Seguridad vela por de la Información Disponibilidad

45 Implementación del SGSI Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

46 Etapas del SGSI Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

47 Beneficios del SGI A nivel organizativo Compromiso En el plano jurídico Cumplimiento A nivel operativo - Gestión del riesgo En el plano comercial - Credibilidad y confianza 5. A nivel financiero - Reducción de costes 6. A nivel humano - Mejora de la concienciación de los empleados 47

48 Por el contrario las brechas de seguridad llevan a : Reputación pérdida Perdida financieros Pérdida de propiedad intelectual Las infracciones legislativas que conduzcan a acciones legales (Cyber Law) La pérdida de la confianza de los clientes Costos de interrupción de negocios Perdida de Buena Voluntad 5/02/13 48

49 Historia de la Norma ISO Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

50 Objetivos de ISO Políticas de Seguridad Organización de Seguridad Gestión de Activos Seguridad de los Recursos Humanos Cumplimiento de Políticas y Normatividad Legal Integridad Información confidencialidad Disponibilidad

51 La ISO 27001

52 Contenido de la ISO 27001

53 ISO : Estructura

54 ISO : Estructura

55 Ciclo PHVA o PDCA

56 Beneficios de la Norma ISO Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. 2. Reducción de riesgos de pérdida, robo o corrupción de la información. Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza. 3. Los riesgos y sus respectivos controles son revisados constantemente. 4. Las auditorias externas e internas permiten identificar posibles debilidades del sistema. 5. Continuidad en las operaciones del negocio tras incidentes de gravedad. 6. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información. 7. Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. 8. Proporciona confianza y reglas claras al personal de la empresa.

57 ISO 27002

58 ISO 27002: Estructura

59 ISO : Estructura

60 Tareas a realizar

61 Tareas a realizar

62 Tareas a realizar

63

64

65 Etapa: Certificar en ISO/IEC Sistemas Informáticos Infraestructura Servidores Comunicaciones Aplicaciones Bases de Datos

66 Las Herramientas y los servicios Experiencia Europea Les guides Le logiciel libre L ensemble du référentiel est disponible gratuitement en français, en anglais, en allemand et en espagnol Les compétences Gratuit, disponible sur demande ou en téléchargement Plus de 2000 cédéroms envoyés dans 50 pays Les traductions La méthode et ses bases de connaissances (5 sections), ses meilleures pratiques expliquant comment utiliser EBIOS selon le contexte Des plaquettes et un mémento synthétiques Les formations au CFSSI pour les agents de l administration (formation de 2 jours, formation de formateurs de 5 jours, formations ad-hoc) La formation en ligne sur la gestion des risques (en cours) La labellisation de personnes (en cours d élaboration) Le Club EBIOS 75 experts du secteur public et du secteur privé, français et étrangers

67 Compatibilidad con otros Sistemas de Gestion

68 Conclusiones La Información es uno de los activos mas valiosos de la organización Las Políticas de seguridad permiten disminuir los riesgos Las políticas de seguridad no abordan sólo aspectos tecnológicos El compromiso e involucramiento de todos es la premisa básica para que sea real. La seguridad es una inversión y no un gasto. No existe nada 100% seguro Exige evaluación permanente.

69 Conclusiones Seguridad de la Información es "problema de organización«en lugar de "problema" Más del 70% de las amenazas son internas Más de 60% son culpables los estafadores por Primera Vez El mayor riesgo: personas Principal activo: las personas Ingeniería Social es una gran amenaza Más de 2/3 expresa su incapacidad para determinar "si mis sistemas están actualmente en peligro?" 5/02/13 69

70 CREANDO CONCIENCIA La información de las compañías deben mantener la confiabilidad, integridad y disponibilidad de la misma, que son factores importantes para asegurar el éxito del negocio y asegurar que las necesidades de sus clientes y socios sean cumplidas a satisfacción. Tanto la implementación como el cumplimiento de las normas es el trabajo de cada empleado de la empresa y serán efectivas, si todas las personas involucradas se encuentran instruidas en temas relacionados con Seguridad de la Información y utilizan este conocimiento para actuar con seguridad y siendo responsables y consistentes con sus acciones.

71 Usuarios con conocimento especializado IT Systems Sistemas & Redes con falla Robo, Sabotage, mal uso Falta de Documentacion Ataque de virus Calamidades Naturales& Fuego Lapso en seguridad Fisica 71

72 La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

73 PDCA Process SGSI Interested Parties SGSI PROCESS Interested Parties Management Responsibility PLAN Establish SGSI DO ACT Implement & Operate the SGSI Information Security Requirements & Expectations 5/02/13 Maintain & Improve Managed Information Security CHECK Monitor & Review SGSI Mohan Kamat 73

74 Quien es el centro? SEC U RITY U-R 5/02/13 Mohan Kamat 74

75 CULTURA de la seguridad, responsabilidad de TODOS ACTITUD proactiva, Investigación permanente

76 Esfuerzos integrados del personal es siempre mejor que un Firewall... Debemos construir un Muro humano junto con el firewall 76

77 Muchas Gracias!!