Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Transcripción

1 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005

2 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI. Un nuevo futuro. Bibliografía del Conocimiento.

3 MISIÓN Qué es AENOR? Organización privada, independiente y sin ánimo de lucro, reconocida en los ámbitos nacional, comunitario e internacional Actividades multisectoriales de N+C Trece centros operativos en España, México, Chile e Italia. AENOR

4 MISIÓN Objetivo de AENOR Contribuir mediante el desarrollo de las actividades de N+C a mejorar la calidad de las empresas, sus productos y servicios, proteger el medio ambiente y con ello: El bienestar de la sociedad AENOR

5 MISIÓN Compromisos de AENOR (I) Elaborar normas técnicas españolas con la participación abierta de todas las partes interesadas y colaborar impulsando la aportación española en la elaboración de normas europeas e internacionales TÍTULO CORRESPONDENCIA OBSERVACIONES ANTECEDENTES norma española UNE Febrero 2001 Planificación y gestión de las áreas y parques de juego al aire libre Outdoor playgrounds planning and management. Planification et management des parcs des jeux à plain air. norma española Esta norma ha sido elaborada por TÍTULO CORRESPONDENCIA OBSERVACIONES ANTECEDENTES UNE Febrero 2001 Planificación y gestión de las áreas y parques de juego al aire libre Outdoor playgrounds planning and management. Planification et management des parcs des jeux à plain air. Esta norma ha sido elaborada por AENOR

6 MISIÓN Compromisos de AENOR (II) Certificar productos, servicios AENOR y empresas (sistemas), confiriéndoles un valor competitivo diferencial que contribuya a favorecer...

7 COMERCIALIZACIÓN AENOR como Empresa de Servicios 4VENTAS Y MARKETING DE NORMAS 4PUBLICACIONES TÉCNICAS ESPECIALIZADAS (LIBROS) 4CENTRO DE FORMACIÓN 4CENTRO DE INFORMACIÓN Y DOCUMENTACIÓN AENOR

8 CERTIFICACIÓN EN LA SEGURIDAD DE LOS SI Norma objeto de certificación. AÑO 2004 UNE-71502:2004: Tecnología de la Información. Especificaciones para los sistemas de Gestión de Seguridad de la Información

9 Factores que influyen en la Seguridad de los SI: Actualmente: Nueva York y en los 80 s : Mainframe Ciudad de Ávila. Magerit Amplio uso de la Tecnología. Interconectividad de los sistemas. Sistemas abiertos y distribuidos. Cambios muy rápidos en las TICs. Ataques a Organizaciones. Tema atractivo?. Factores externos: Legislación.etc... (Information Security Governance IT Governance Institute).

10 Certificación de Sistemas de Gestión de la Seguridad de la Información-SGSI- En que consiste? Establecer y reordenar la Seguridad de los Sistemas de Información en concordancia con los Planes Estratégicos de la Organización y con sus Políticas de Seguridad. Un nuevo Ciclo de Mejora Continua: SGSI una Gestión eficaz de la Seguridad de los SI permite garantizar: la Confidencialidad, la Integridad y la Disponibilidad de los Sistemas de Información.

11 QUÉ PRESERVAR? AENOR Cada organización tiene que preservar 3 CARACTERÍSTICAS asociadas a la información: DISPONIBILIDAD CONFIDENCIALIDAD Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Asegurar que la información es accesible solo para aquellos autorizados a tener acceso. INTEGRIDAD Garantizar la exactitud y completitud de la información y los métodos de su proceso

12 DEFINICION DE SISTEMA DE GESTION DE SI Aquella parte del sistema general de gestión que comprende la política, la estructura organizativa, los procedimientos, los procesos, y los recursos necesarios para implantar la gestión de la seguridad de la información. Es la herramienta de que dispone la Dirección para implantar las políticas y objetivos de Seguridad de la Información.

13 Certificación SGSI MODELO PDCA Plan-Do-Check-Act AENOR Definir política de seguridad Establecer alcance del al SGSI Realizar análisis de riesgos Seleccionar los controles P Implantar plan de gestión de riesgos Implantar el SGSI Implantar los controles A 1 Política de Seguridad de Información UNE-ISO/IEC 17799: Gestión de comunicaciones y operaciones 2 Estructura organizativa de la SI 3 Clasificación y control de activos 4 Seguridad ligada al personal 5 Seguridad física y del entorno 7 Control de accesos 8 Desarrollo y mantenimiento de sistemas 9 Continuidad del negocio 10 Cumplimiento legislación D Adoptar las acciones correctivas Adoptar las acciones preventivas C Revisar internamente el SGSI Realizar auditorias internas del SGSI

14 NORMA UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información INDICE 1 OBJETO Y CAMPO DE APLICACIÓN 2 NORMAS PARA CONSULTA 3 TÉRMINOS Y DEFINICIONES 4 MARCO GENERAL DEL SGSI 5 IMPLANTACIÓN DEL SGSI 6 EXPLOTACIÓN 7 REVISIÓN DEL SGSI 8 PROCESO DE MEJORA 9 BIBLIOGRAFÍA

15 NORMA UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información Objeto y Campo de Aplicación Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI de acuerdo con la UNE-ISO Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamaño o área de actividad.

16 NORMA UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información Términos y definiciones Control: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo. Documento de selección de controles: documento que describe los objetivos de control y los controles relevantes aplicables en la organización. Se basa en los resultados del proceso de análisis y valoración de riesgos. Política de seguridad de TI: normas reguladoras, reglas y prácticas que determinan el modo en que los activos, incluyendo la información considerada como sensible son gestionados, protegidos y distribuidos dentro de una organización. Procedimiento: Forma especificada para llevar a cabo una actividad o proceso. Registro (logs): Evidencia de la implantación del SGSI así como de su explotación.

17 NORMA UNE 71502:2004 Especificaciones para los Sistemas de Gestión de la Seguridad de la Información 4 MARCO GENERAL DEL SGSI Requisitos generales. Planificación y diseño del SGSI: ANÁLISIS DE RIESGOS (UNE IN 1-3 ; MAGERIT) Selección de controles. Documentación y Control de documentación. Registros Responsabilidades de la Dirección 5 IMPLANTACIÓN DEL SGSI: Implantación y análisis de la eficiencia de los controles 6 EXPLOTACIÓN: Provisión de recursos materiales y humanos 7 REVISIÓN DEL SGSI: Auditorías internas. Revisión por Dirección 8 PROCESO DE MEJORA: Mejora continua. Acción correctora y preventiva

18 NORMA UNE-ISO/IEC 17799: ÁREAS O DOMINIOS DE CONTROL 1-POLÍTICA DE SEGURIDAD 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 4-SEGURIDAD EN EL PERSONAL 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS 5-SEGURIDAD FÍSICA Y DEL ENTORNO 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal 7-CONTROL DE ACCESOS 9-GESTIÓN DE CONTINUIDAD DEL NEGOCIO 10-CONFORMIDAD

19 127 CONTROLES AENOR TIPO DE CONTROL JURÍDICO GESTIÓN TÉCNICO PREVENTIVO DETECCIÓN MONITORIZACIÓN RECUPERACIÓN REVISIÓN CANTIDAD 34 27% 92 72% 53 42% % 16 13% 11 9% 9 7% 13 10%

20 NORMA UNE-ISO/IEC 17799: OBJETIVOS Y CONTROLES Cada área o dominio tiene asociados uno o varios objetivos de seguridad Para cada objetivo se definen, a su vez, uno o más controles de seguridad cuya implantación debe traducirse en la consecución del objetivo de seguridad asociado 10 ÁREAS 36 OBJETIVOS 127 CONTROLES

21 EJEMPLOS ÁREAS OBJETIVOS CONTROLES 1. Política de seguridad 2. Aspectos organizativos 3. Clasificación y control de activos 4. Seg. Ligada al personal 5. SEGURIDAD FÍSICA Y DEL ENTORNO 6. Gestión de operaciones y comunicaciones 7. Control de accesos 8. Desarrollo y mantenim. De sistemas 9. Gestión de continuidad del negocio 10.Conformidad 5.1. Áreas seguras 5.2. SEGURIDAD DE LOS EQUIPOS 5.3. Controles generales INSTALACIÓN Y PROTECCIÓN DE EQUIPOS SUMINISTRO ELÉCTRICO SEGURIDAD DEL CABLEADO MANTENIMIENTO DE EQUIPOS SEGURIDAD DE LOS EQUIPOS FUERA DE LOS LOCALES DE LA ORGANIZACIÓN SEGURIDAD EN LA REUTILI- ZACIÓN O ELIMINACIÓN DE EQUIPOS

22 EJEMPLO DE CONTROL CONTROL SUMINISTRO ELÉCTRICO: Redes múltiples de alimentación SAIs Generadores de respaldo Planes de contingencias Revisión de SAIs y equipos de respaldo...

23 2º EJEMPLO ÁREAS OBJETIVOS CONTROLES 1. Política de seguridad 2. Aspectos organizativos 3. Clasificación y control de activos 4. Seg. Ligada al personal 5. Seguridad física y del entorno 6. GESTIÓN DE OPERACIONES Y COMUNICACIONES 7. Control de accesos 8. Desarrollo y mantenim. De sistemas 9. Gestión de continuidad del negocio 10.Conformidad 6.1. Procedimientos y responsabilidades de operación 6.2. Planificación y aceptación del sistema 6.3. Protección contra software malicioso 6.4. Gestión interna de soportes y recuperación 6.5. Gestión de redes 6.6. Utilización y seguridad de los soportes de información 6.7. INTERCAMBIO DE INFORMACIÓN Y SOFTWARE Acuerdos para intercambio de información y software Seguridad de soportes en tránsito Seguridad en comercio electrónico Seguridad del correo electrónico Seguridad de los sistemas ofimáticos SISTEMAS PÚBLICAMENTE DISPONIBLES Otras formas de intercambio de información

24 10 Dominios AENOR 1-POLÍTICA DE SEGURIDAD 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS 4-SEGURIDAD EN EL PERSONAL 5-SEGURIDAD FÍSICA Y DEL ENTORNO 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS 7-CONTROL DE ACCESOS 9-GESTIÓN DE CONTINUIDAD DEL NEGOCIO 10-CUMPLIMIENTO

25 1.- Política de Seguridad de Información Documento de Política. (La Dirección la debe comunicar y publicar). Revisión y evaluación. (Nuevos riesgos, efectividad de la Política, Costes y el impacto de Controles en la eficiencia del Negocio, cambios tecnológicos)

26 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD -Infraestructura de la Seguridad de la Información -Seguridad en los accesos de terceras partes -Externalización

27 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS -Responsabilidad sobre los Activos- Inventario de activos -Clasificación de la información- Guías de clasificación; Marcado y tratamiento de la información

28 -Seguridad en la definición del trabajo y los recursos 4-SEGURIDAD EN EL PERSONAL -Capacitación de usuarios -Respuesta ante incidencias y malos funcionamientos de la seguridad 5-SEGURIDAD FÍSICA Y DEL ENTORNO -Áreas seguras -Seguridad de los equipos -Controles generales

29 -Procedimientos y responsabilidades de operación -Planificación y aceptación del sistema 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES -Protección contra software dañino -Gestión interna de respaldos y recuperación -Gestión de redes -Utilización y seguridad de los soportes de información -Intercambio de información y software

30 7-CONTROL DE ACCESOS -Requisitos de negocio para el control de accesos -Gestión de acceso de usuarios -Responsabilidades de los usuarios -Control de acceso en red -Control de acceso al sistema operativo -Control de acceso a las aplicaciones -Seguimiento de accesos y usos del sistema

31 -Requisitos de seguridad de los sistemas 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS -Seguridad en sistemas de aplicaciones -Controles criptográficos -Seguridad de los ficheros del sistema -Seguridad en los procesos de desarrollo y soporte

32 9-GESTIÓN DE CONTINUIDAD DEL NEGOCIO Análisis de impactos. Aspectos de la gestión de continuidad del negocio. (Pruebas y reevaluación).

33 10-CUMPLIMIENTO -Cumplimiento de los requisitos legales -Revisiones de la política de seguridad y de la conformidad técnica -Consideraciones sobre la auditoría de sistemas

34 DIAGRAMA DE FLUJO DEL PROCESO DE CERTIFICACIÓN ANÁLISIS DE LA DOCUMENTACIÓN (MANUAL, PROCEDIMIENTOS) VISITA PREVIA CUESTIONARIO PRELIMINAR Y SOLICITUD INFORME AUDITORÍA DEL SISTEMA INFORME AUDITORÍAS DE RENOVACIÓN REGISTRO SISTEMA DE GESTIÓN SEGURIDAD INFORMACIÓN PLAN DE ACCIONES CORRECTORAS 1 mes INFORME AUDITORÍAS DE SEGUIMIENTO ANUALES CONCESIÓN DEL CERTIFICADO AUDITORÍA EXTRAORDINARIA (Legales-NCM) AENOR 34

35 Característica de SGSI Este Sistema proporciona mecanismos para la salvaguarda: De los Activos de Información. De los Sistemas que los procesan. En concordancia con las políticas de Seguridad y planes estratégicos de la Organización. Es la herramienta de que dispone la Dirección para implantar las políticas y objetivos de Seguridad de la Información: integridad, confidencialidad y disponibilidad.

36 PROCESO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SI PROCEDIMIENTOS DE UN SGSI UNE-ISO/IEC RELACIÓN ORIENTATIVA Sección Procedimiento Carácter Política de seguridad Revisión y evaluación periódica de la política de seguridad Control y gestión de la documentación Aspectos organizativos para la seguridad Asignación de responsabilidades sobre Seguridad de la Información Identificación de riesgo por el acceso de terceros Contratación de servicios Contratación de outsourcing Contratación de empresas colaboradoras C C C C

37 PROCESO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SI PROCEDIMIENTOS DE UN SGSI UNE-ISO/IEC RELACIÓN ORIENTATIVA Clasificación y control de activos Inventario de activos Clasificación de activos Clasificación de la información Revisión y clasificación periódica de activos Revisión periódica del análisis de riesgos Marcado y tratamiento de la información Seguridad ligada al personal Contratación del personal Formación Comunicación de incidencias Seguridad física y del entorno Instalación y protección de los equipos Mantenimiento de los equipos

38 PROCESO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SI PROCEDIMIENTOS DE UN SGSI UNE-ISO/IEC RELACIÓN ORIENTATIVA Gestión de comunicaciones y operaciones Procesos operativos Control de cambios Gestión de incidencias Medidas y controles contra software dañino Recuperación de información Gestión de soportes removibles Eliminación de soportes Seguridad del correo electrónico Disponibilidad de sistemas públicos Control de entrada, almacenamiento y salida de información Análisis y gestión de registros Planificación de la capacidad del sistema Intercambio físico de información Intercambio lógico de información Autorización de salida de material y/o información Copias de respaldo y restauración C C C C C

39 PROCESO DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN DE SI PROCEDIMIENTOS DE UN SGSI UNE-ISO/IEC RELACIÓN ORIENTATIVA Control de accesos Identificación y autenticación de usuarios Restricción de acceso a la información Control de acceso a la red Control de acceso al sistema operativo Control de acceso lógico a la información Gestión de contraseñas Gestión remota de equipos Desarrollo y mantenimiento de sistemas Control del paso de desarrollo a pruebas Control de paso de pruebas a producción Control de cambios de sistema operativo Control de cambios en el software Selección, control y aprobación de software externo Control del diseño de aplicaciones Especificación de los requerimientos de seguridad Control de software en operación Gestión de continuidad del negocio Gestión de la continuidad de negocio Mantenimiento y evaluación de los planes de continuidad Conformidad Identificación de la legislación aplicable Revisión de cumplimiento de legislación Auditorias internas C C C C C ()abitual: se trata de procedimientos que todas las organizaciones deberían adoptar. (C)ondicional: se trata de procedimientos que deberían adoptar sólo las organizaciones a las que les afecte.

40 Factores críticos para el éxito Una seguridad orientada al negocio Implementar la Seguridad en consonancia con la cultura de la empresa Apoyo visible y compromiso de la Dirección. Buen entendimiento de los requisitos de seguridad, de la evaluación y gestión de los riesgos. Convencer de la necesidad de la seguridad a directivos y empleados. Proveer formación y guías sobre políticas y normas a toda la organización. Un sistema de medición para evaluar el rendimiento de la gestión de la seguridad y sugerir mejoras.

41 VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI -1/2- Con respecto a los Sistemas de Información: Sistematizar las actividades de SI Ahorro de recursos en las actividades de SI, mejorando la motivación e implicación de los empleados Analizar riesgos: identificar amenazas, vulnerabilidades e impactos en la actividad empresarial Establecer objetivos y metas que permitan aumentar el nivel de confianza en la seguridad Planificar, organizar y estructurar los recursos asignados a seguridad de la información Identificar y clasificar los activos de información

42 VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI -2/2- Seleccionar controles y dispositivos físicos y lógicos adecuados a la estructura de la organización Asegurar el nivel necesario de disponibilidad, integridad, y confidencialidad de la información Establecer planes para adecuada gestión de la continuidad del negocio Establecer procesos y actividades de revisión, mejora continua y auditoría de la gestión y tratamiento de la información

43 VENTAJAS DE CERTIFICAR LAS ACTIVIDADES DE SI -1/1 Con respecto al Negocio: Integrar la gestión de la seguridad de la información con otras modalidades de gestión empresarial Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas. Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc... Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa

44 Resumen de Beneficios de SGSI en las Organizaciones

45 ESTADO ACTUAL del SGSI SISTEMAS DE GESTIÓN DE LA SI CERTIFICADOS Marzo 2004 COMIENZO PROCESOS CERTIFICACIÓN. 4 empresas Certificadas sectores: Informática y Telecomunicaciones, Metalurgia, Factoring y Agencia de Viajes On-Line. 5 empresas en proceso de Certificación. Marzo NUMEROSAS SOLICITUDES DE INFORMACIÓN RECIBIDAS y SGSI en implantación: - Servicios Profesionales de Asesoría Técnica y Jurídica. Gestorías. - Consultoras - Empresas de distintos sectores: Banca y Cajas Tecnologías de la Información (Outsourcing) Telecomunicaciones Seguros y Sector Sanitario. otros...

46 Estado Actual. Un buen presagio. Ingeniería de la Seguridad de los Sistemas de Información. Mediante un ciclo de mejora continua. Reordenar nuestro Sistema de SSI. Interface con otros Sistemas. SDLC, etc..

47 Bibliografía del Conocimiento en SSI MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las Administraciones Públicas. Seguridad de las Tecnologías de la Información. AENOR Varios Autores: Eduardo Fdez. Medina, Roberto Moya, Mario Piattini, etc.. NIST Special Publication SP : An Introduction to Computer Security.The NIST andbook. National Institute of Standards and Technology. Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit).

48 SGSI Un Nuevo Reto en los SI : Implantar tecnologías de Seguridad de SI, sin tener un Sistema de Gestión de Seguridad de la Información es ineficiente. (Eficacia + Economía). Carlosmf. AENOR. La Seguridad de SI es un proceso no es un producto.. Muchas Gracias, estamos a su disposición en AENOR info@aenor.es