Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

Transcripción

1

2 Modelo de Seguridad de la Información Luis Mauricio Vergara Enero de 2013

3 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea 2.0 Que se puede encontrar en el modelo? En que esta basado el modelo? A quien está dirigido? De que se compone? Sistema de Gestión de Seguridad de la Información para las Entidades Etapas de implementación Ciclo PHVA

4 Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea 2.0 El documento presenta una estrategia de preparación por parte del Gobierno para soportar al Sistema de Administración de Seguridad de la Información de Gobierno en Línea (SASIGEL) como modelo sostenible, y cubre desde la preparación de la entidad para comenzar la implementación del Modelo, la definición de las brechas, la alineación y la implementación del SGSI como modelo sostenible.

5 Que se puede encontrar en el modelo? Reúne el conjunto de lo siguiente: Lineamientos Políticas Normas Procesos Instituciones que proveen y promueven la puesta en marcha, supervisión, mejora y control de la implementación 16 anexos de apoyo (pág. 4)

6 En que esta basado el modelo? La arquitectura del modelo, se base en el ciclo PHVA Etapas alineadas con los niveles de madurez del manual de GEL 3.0 Que a su vez, son coherentes con los lineamientos del entandar NTC:ISO/IEC 27001:2005. Se aclara que el estándar internacional se complementa de manera armónica con otras iniciativas y estándares nacionales e internacionales, tales como MECI (Modelo Estándar de Control Interno), COBIT, ITIL, entre otros.

7 A quien está dirigido? Entidades públicas de orden nacional Entidades públicas de orden territorial Proveedores de servicios de Gobierno en línea Terceros que deseen adoptar el modelo.

8 De que se compone? Sistema de Administración de Seguridad de la Información de Gobierno en línea SASIGEL Sistema de Gestión de Seguridad de la Información para las Entidades

9 Sistema de Gestión de Seguridad de la Información para las Entidades El modelo lo divide en: Etapas de implementación Preparación Análisis de la situación actual Alineación con el SGSI Seguimiento y control Ciclo PHVA Panear Hacer Verificar Actuar

10 Etapas de implementación

11 Preparación 1. Involucrar y sensibilizar a la alta dirección acordar el compromiso pre-requisitos y requisitos 2. Identificación de los responsables Comité de Seguridad (GEL) Líder de proyecto - GEL Oficial de Seguridad de la Información Personal de seguridad de la información Representante del área de tecnología Representante de control interno Representante del área de planeación Representante de SG de calidad Funcionarios, proveedores y ciudadanos Las etapas previas a la implementación del SGSI son fundamentales para lograr una adecuada sensibilización, motivación y compromiso por parte de la entidad y sus funcionarios

12 Preparación 2. Identificación de los responsables

13 Análisis de la situación actual 1. Aplicar la encuesta Anexo N 2 Encuesta de Seguridad Los resultados se utilizaran en la definición de brechas 2. Definir el nivel de madurez Anexo N 4 Autoevaluación Nivel inicial (identificar conocimiento, definir, divulgar, conformar, activos, riesgos y plan de acción) Nivel básico (Ejecución y documentación) Nivel avanzado (Culmina controles y documentación, capacitación, plan verificación y reportar avances.) Nivel de mejora continua (Se refuerza la divulgación, ejecución repetitiva, revisión de los riesgos, evaluación y acciones de mejora)

14 Análisis de la situación actual 3. Definición de brechas Se planea la ruta a seguir, teniendo en cuenta lo actual con lo deseado. Como? Utilizando el resultado de la encuesta: Revisión de la estructura organizacional Revisión de nivel de madurez Revisión de controles existentes y los ausentes Revisión de las métricas (nivel de eficacia) Definición del plan o cronograma a seguir Anexo 4 del modelo sirve para diligenciar sus hallazgos. Este documento será evidencia del análisis donde se registre el cumplimiento o ausencia de cada elemento analizado. Y es un insumo para definir el plan de alineación con el SGSI

15 Alineación con SGSI 1. Factores críticos de éxito Realizar aproximación de arriba-a-abajo Soporte visible por parte de los gerentes y coordinadores Requerimientos de seguridad claramente articulados con las necesidades de la Entidad Políticas de seguridad alineadas con la misión y objetivos de la entidad Definición de responsabilidades y roles del SGSI Realizar concientización, entrenamiento y educación Análisis de riesgos (activos, amenazas, requisitos normativos, legislativos y regulatorios, controles implementados y propuestos, y riesgo residual) Métricas para la evaluación del desempeño

16 Ciclo PHVA

17 Nivel inicial de madurez Es necesario que las entidades recorran un camino en donde comiencen por definir el alcance del SGSI y terminen con la preparación del plan de acción en cuanto a seguridad de la información de la entidad, tal como lo muestra la figura

18 Nivel inicial de madurez 1. Obtener soporte de la dirección de la Entidad Compromiso en establecer, operar, monitorear, revisar, mantener y mejorar el SGSI Garantizar que los recursos requeridos estén disponibles Respaldo en la política de seguridad de la información, definición de roles, importancia de adherirse a la política de SI 2. Identificar legislación y normatividad aplicable Influencian directamente en el alcance Los documentos aplicables a la entidad, deben estar actualizados.

19 Nivel inicial de madurez 3. Definir el alcance del SGSI Acotar los límites Sedes administrativas Funciones claves del negocio Activos y tecnologías claves 4. Definir la política de seguridad de la información Apoyarse del Anexo N 5 Formato política SGSI Una buena política es concisa, fácil de leer y comprender, flexible y fácil de hacer cumplir para todos dentro del alcance sin excepción

20 Nivel inicial de madurez 5. Análisis de riesgo Evaluar basado en los niveles de confidencialidad, integridad, y disponibilidad. Definir los objetivos para reducir el riesgo a un nivel aceptable Evaluar las opciones de tratamiento de riesgo 6. Enumerar las opciones para el tratamiento /reducción del riesgo Apoyarse del Anexo N 8 Controles de seguridad Otros conjunto de controles adicionales existentes son ISO 27002, NIST SP

21 Nivel inicial de madurez 7. Plan de tratamiento de riesgo Método aplicable para cada riesgo: aceptar, reducir, transferir o eliminar Listado de controles actualmente implementados Controles adicionales propuestos Tiempo en el cual los controles serán implementados 8. Generar la DDA Declaración de Aplicabilidad Orientado a aquellas entidades que deseen optar por una futura certificación en NTC:ISO/IEC 27001:2005 Listado de controles aceptados Explicación de las excepciones.

22 Nivel básico de madurez Es necesario que las entidades recorran un camino en donde comiencen por ejecutar el plan de tratamiento de riesgos y terminen con la implementación de los procedimientos, tal como lo muestra la figura

23 Nivel básico de madurez 1. Implementar el plan de tratamiento de riesgo Se inicia la ejecución del plan Se crean políticas detalladas de los controles seleccionados Se prefiere mantener una trazabilidad al conjunto de controles 2. Documentar los controles del SGSI Porque el control fue seleccionado? Quien es el responsable de la selección, implementación y verificación de cumplimiento? Como se implementa el control? Cuando se implementa el control? Que mediciones y métricas se utilizan para medir su desempeño?

24 Nivel básico de madurez 3. Implementar políticas y controles de seguridad de la fase de planeación Es importante tener claro las funcionalidades requeridas del control Porque se decidió implementarlo Apoyarse del anexo N 11 Ejemplos y procedimientos mas usados 4. Implementar los planes de concientización y entrenamiento Funcionarios, terceros y usuarios y como pueden contribuir a evitar perdidas Educación detallada para los funcionarios del área de seguridad Bases mas sólidas de conocimiento.

25 Nivel básico de madurez 5. Documentación de procedimientos Descripción del perfil para cada función Inventario de habilidades Procedimientos para la gestión del cambio Procedimiento para la asignación de personal (segregación de responsabilidades) Procedimientos para la implementación de herramientas Procedimientos para la operación de herramientas Procedimientos para la identificación de acciones preventivas y correctivas

26 Nivel básico de madurez 6. Implementar la infraestructura de respuesta a incidentes Monitoreo Detección Notificación Escalación Respuesta Aislamiento Restauración Análisis de causa raíz Retroalimentación a la entidad

27 Nivel avanzado de madurez Es necesario que las entidades recorran un camino en donde comiencen por empatar con la fase anterior, donde se ejecuta el plan operacional, y este queda documentado con lo realizado en la sección anterior, el cual es revisado de manera regular, y termina con el registro de impacto en el SGSI, tal como lo muestra la figura

28 Nivel avanzado de madurez 1. Revisiones regulares de la eficacia Monitorear y revisar políticas, estándares, procedimientos, y prácticas Revisar la eficacia de las operaciones de seguridad usando métrica y mediciones 2. Revisar el nivel del riesgo residual Evitar que el riesgo se eleve a nivel no aceptable Los ambientes son dinámicos Nuevas vulnerabilidades aparecen

29 Nivel avanzado de madurez 3. Realizar auditorias internas Determinan si las políticas y procedimientos existen Existen métricas? Quien es el responsable? Que reportes existen de desempeño? Se pueden realizar auditorias externas para las entidades que optaron por la certificación 4. Revisión de la dirección del SGSI Se enfoca en la eficacia lograda por el SGSI Se pueden identificar mejoras y refinamientos para el SGSI 5. Registro del impacto en el SGSI Por si cambian los objetivos estratégicos de la entidad

30 Nivel de madurez de mejora continua Es necesario que las entidades recorran un camino en donde comiencen la implantación de mejoras identificadas en el nivel anterior y sigan en mejoramiento continuo, tal como lo muestra la figura

31 Nivel de madurez de mejora continua 1. Implementar las mejoras identificadas y aprobadas al SGSI en un nuevo ciclo De la fase anterior se obtienen un conjunto de mejoras (monitoreo, auditorias internas y externas, ajustes de la Dirección) 2. Tomar medidas preventivas y correctivas procesos para la identificación de acciones preventivas y correctivas (entradas) 3. Aplicar las lecciones aprendidas Experiencias internas Su implementación, refuerza el SGSI

32 Nivel de madurez de mejora continua 4. Comunicar los resultados Permanecer actualizados y preparados 5. Proceso continuo y Gestión auto sostenible del modelo de las entidades Verificación del alcance del conjunto de políticas en la entidad Recopilación y análisis de los indicadores del modelo Análisis de estadísticas de incidentes de seguridad de la información en entidades del Estado Implementación de los ajustes

33 Preguntas

34