NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar) org ar) Noviembre 2010
Para cumplir la misión de: Contribuir a mejorar la calidad de vida, el bienestar y la seguridad de las personas Promover el uso racional de los recursos y la actividad creativa Facilitar la producción, el comercio y la transferencia de conocimientos En el ámbito nacional, regional e internacional
Brinda servicios de: NORMALIZACIÓN Participación en Organismos de Estudio: ISO - IEC - COPANT AMN CERTIFICACIÓN de Productos de Sistemas de Gestión 17.000 Productos Certificados 4800 4.800 Certificados Emitidos iid FORMACIÓN DE RR.HH. 4.900 Cursos dictados 71.394 Horas de Capacitación CENTRO DE DOCUMENTACIÓN 250.000 Documentos Técnicos
RELACIONES INSTITUCIONALES ESTADO SECTORES INDUSTRIALES UNIVERSIDADES SECTORES CIENTÍFICO TÉCNICOS CONSUMIDORES
Formas de abordar la mejora en Tecnologías de la Información Gestión ISO 90003 Ciclo de vida ISO 12207 Procesos Competisoft // ISO 15504 Servicios ISO 20000-1 ISO 27001 Productos ISO 14598 con ISO 9126
ISO/IEC 20000 IT Gestión del servicio Gestión de la capacidad Gestión de la disponibilidad y continuidad del servicio Proceso de Liberación Gestión de la liberación Procesos de prestación del servicio Gestión de niveles de servicio Elaboración de informes del servicio Procesos de Control Gestión de la configuración Gestión de cambios Procesos de Resolución Gestión de incidentes Gestión de problemas Gestión de la seguridad de la información Elaboración del presupuesto y gestión de costos Procesos de Relaciones Gestión de relaciones con clientes Gestión de proveedores
ITIL - Information Technology Infrastructure Library Es un marco de trabajo (framework) para la Administración de Procesos de IT Es un standard d de facto para Servicios i de IT Fue desarrollado a fines de la década del 80 Originalmente creado por la CCTA (una agencia del Gobierno del Reino Unido)
Información Definición, Tipos La información es un recurso que, como el resto de los importantes activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida.
Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS
Fraude por Computador Utilizar un computador para obtener beneficio personal o causar daño a los demás. Dada la proliferación de las redes y del personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas. Se especula que muy pocos fraudes por computador son detectados y una menor porción es reportada.
De Quién nos Defendemos? Gente de adentro: Empleados o personas allegadas. Anti gobernistas: Razones obvias para justificar un ataque. Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto.
De qué nos defendemos? Fraude Extorsión Robo de Información Robo de servicios Actos terroristas Reto de penetrar un sistema Deterioro Desastres Naturales
Efectos de las Amenazas y los Ataques Interrupción de actividades Dificultades para toma de decisiones Sanciones Costos excesivos Pérdida o destrucción de activos Desventaja competitiva Insatisfacción del usuario (pérdida de imagen)
Qué Información proteger? Información en formato electrónico / magnético / óptico en formato impreso en el conocimiento oc de las personas
QUÉ DEBE SER PROTEGIDO? Sus Datos Confidencialidad Quiénes deben conocer qué Integridad Quiénes deben cambiar qué Disponibilidad - Habilidad para a utilizar sus sistemas Sus Recursos Su organización, su tecnología y sus sistemas
Qué es la seguridad de la información? La seguridad d de información ió se caracteriza como la preservación de la: Confidencialidad: asegurar que la información sea accesible sólo para aquellos usuarios autorizados para tener acceso Integridad: salvaguardar que la información y los métodos de procesamiento sean exactos y completos Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y bienes asociados cuando lo requieran
Cómo se logra la seguridad de la información? La seguridad de información se logra mediante la implementación de un adecuado conjunto de controles, los que podrían ser: Políticas, prácticas, procedimientos, estructuras organizacionales y funciones de software. Se necesita establecer estos controles para asegurar que se cumplan los objetivos específicos de seguridad de la organización.
Seguridad de la información Actos de la naturaleza RIESGOS O AMENAZAS Fraudes Fallas de Hard, Soft o instalación VULNERABILIDADES Daño intencional Errores y omisiones Invasión a la privacidad CONSECUENCIAS RIESGO PERDIDA ESPERADA
Sistema de gestión de riesgos Figura 1 de la norma IRAM 17551
Objetivos a cumplir Objetivos corporativos de negocio Objetivos corporativos de TI Objetivos de Seguridad d Informática El problema de la Seguridad Informática está en su Gerenciamiento y no en las tecnologías disponibles
SGSI: Sistema de Gestión de Seguridad de la Información ISMS Information Security Management System Qué es? Forma sistemática de administrar la información sensible Cómo? Gestionando los riesgos Para qué? Proteger la información: Confidencialidad Integridad Disponibilidad A quiénes abarca? Personas, Procesos y Tecnología
ORIGEN: BS 7799 Norma Define requisitos para un Sistema de Gestión de Seguridad de la Información (ISMS). Comprende 10 secciones Compuesta por 2 partes: Parte 1: Controles Parte 2: ISMS - Certificación
ISO 27001:2005 Actualización de BS 7799 bajo los lineamientos de ISO, se creó ISO 27001 El nombre oficial del nuevo estándar es: BS 7799-2:2005 (ISO/IEC 27001:2005) Information Technology - Security Techniques Information Security Management - Systems Requirements. Cambios con respecto a BS 7799-2: por ejemplo requiere la definición de los mecanismos de medición ión de la efectividad id d de los controles. ole
Modelo SGSI
Modelo SGSI
Objetivos del SGSI Implementación de un programa de Seguridad Comprensivo Adaptado a la Cultura de la organización Que Proteja la información sensible de las amenazas
Objetivos de Seguridad Tres componentes a tener en cuenta para la seguridad 1) Ataques a la seguridad: Cualquier acción que compromete la seguridad de la información perteneciente a la organización. 2) Mecanismos de seguridad: Es un mecanismo diseñado para detectar, prevenir y/o recuperar frente a un ataque a la seguridad. 3) Prestación de seguridad: Es un servicio que mejora la seguridad de un sistema de procesamiento de datos y de la información que transfiere la organización. El servicio enfrenta los ataques a la seguridad utilizando para poder hacerlo, uno o más mecanismos de seguridad.
Antes de comenzar. Requisitos para comenzar existe alguno??? COMPROMISO Y RESPALDO DE LA DIRECCION El Proceso de Implementación - SGSI La clave de la implementación es: La clave de la implementación es: Comunicación y Entrenamiento
Considerar documentación
SGSI: El Proceso de Implementación
SGSI: El Proceso de Implementación
El Proceso de Certificación
No hay calidad de la gestión sin seguridad de la información que procesan los sistemas de información que dan soporte a la gestión
Propuesta de plan del PMG en el SGSI A realizar por IRAM Chile A realizar por Red de Expertos PMG Gap analysis + Diagnóstico Asesoramiento para Capacitación diseño del plan Auditoría de Verificación Fase 1 Auditoría de Verificación Fase 2 Auditoría de Verificación Fase 3 A realizar por funcionarios Implementación Fase 1 ESTABLECER el SGSI (s/6 dominios) Asesoramiento sobre Implementación Fase 2 acciones correctivas IMPLEMENTAR el SGSI Fase 1 (s/6 dominios) Asesoramiento sobre acciones correctivas Fase 2 Asesoramiento sobre acciones correctivas Fase 3 Implementación Fase 3 Seguimiento y Revisión de SGSI (s/6 dominios) Preparación para Certificación
35
PREGUNTAS Y COMENTARIOS