Facultad de Ingeniería Industrial y de Sistemas SEGURIDAD DE LA INFORMACION Norma ISO 27001 Ysabel Rojas Solís
Agenda Introduccion Sistema de Gestion de Seguridad de la Informacion Introduction to ISO 27001-2:2005 Tareas a Realizar Experiencia Europea de Exito Conclusiones 2
Porqué hablar de la Seguridad de la Información? Porque el negocio se sustenta a partir de la información que maneja...
La información puede estar : Impreso o escrito en papel. Almacenado electrónicamente. Enviado por correo ordinario o por e-mail. Videos corporativos. Verbal - en conversaciones cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido. (ISO/IEC 27001: 2005)
La informacion puede ser : Creada Guardada Destruida Procesada Transmitida Usada (Para propositos correctos & impropios) Corrompida Perdida Robada 5
Dominios de la Información La información debe cumplir 3 principios Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Porqué hablar de la Seguridad de la Información? Porque no sólo es un tema Tecnológico. Porque se requiere de Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.
Porqué hablar de la Seguridad de la Información? Porque la seguridad tiene un costo, pero la INSEGURIDAD es mucho mas costosa Ninguna medicina es útil a menos que el paciente la tome Entonces, por donde empezar?...
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
COMO SUPERAR ESTOS PROBLEMAS? 14
Solución
Que es la Seguridad de la Información Haga clic para modificar el estilo de texto del p Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Seguridad de la Información
Seguridad de la Información
Seguridad de la Informaciòn La seguridad no es algo que se compra es algo que se hace.
Seguridad de informacion La arquitectura donde se integran y combinan aplicaciones, sistemas y soluciones, software, alarmas, y las exploraciones de vulnerabilidad a fin de trabajar juntos y monitoreo 24 x 7 Exige tener gente, Procesos, Tecnologia, politicas, procedimientos, La seguridad es integral (PPT) y no solo para dispositivos y equipos 5/02/13 20
i an rg O ti za on St 21 5/02/13 ed us ion gy t lo isa no an ch rg Te O by TECHNOLOGY ss ne es si ss Bu oce Pr PROCESSES f af PEOPLE
Activo de Informacion Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Que es una Amenaza Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Que es una Amenaza
Que es una Vulnerabilidad Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Reconocer las Vulnerabilidades Vulnerabilidad: una debilidad que facilita la materialización de una amenaza Ejemplos: Inexistencia de procedimientos de trabajo Concentración de funciones en una sola persona Infraestructura insuficiente
Clasificación de Vulnerabilidades Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Que es un Impacto Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Que es Riesgo Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Matriz de Riesgo Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
La Gestion del Riesgo
La Gestión del Riesgo
Sistema de Gestión de Seguridad de Informacion SGSI
Sistema de Gestión de Seguridad de Informacion SGSI
Sistema de Gestión de Seguridad de Informacion SGSI
Objetivos Generales del SGI
SGSI Requerimientos Generales
Requerimientos de documentacion General
Implantación SGSI
Sistema de gestión de seguridad de la información Haga clic para modificar el estilo de texto del p Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Alcance del SGI
Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los Confidencialidad Integridad Seguridad vela por de la Información Disponibilidad
Implementación del SGSI Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Etapas del SGSI Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Beneficios del SGI 1. 2. 3. 4. A nivel organizativo Compromiso En el plano jurídico Cumplimiento A nivel operativo - Gestión del riesgo En el plano comercial - Credibilidad y confianza 5. A nivel financiero - Reducción de costes 6. A nivel humano - Mejora de la concienciación de los empleados 47
Por el contrario las brechas de seguridad llevan a : Reputación pérdida Perdida financieros Pérdida de propiedad intelectual Las infracciones legislativas que conduzcan a acciones legales (Cyber Law) La pérdida de la confianza de los clientes Costos de interrupción de negocios Perdida de Buena Voluntad 5/02/13 48
Historia de la Norma ISO 27001 Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel
Objetivos de ISO 27001 Políticas de Seguridad Organización de Seguridad Gestión de Activos Seguridad de los Recursos Humanos Cumplimiento de Políticas y Normatividad Legal Integridad Información confidencialidad Disponibilidad
La ISO 27001
Contenido de la ISO 27001
ISO 27001 : Estructura
ISO 27001 : Estructura
Ciclo PHVA o PDCA
Beneficios de la Norma ISO 27001 1. Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. 2. Reducción de riesgos de pérdida, robo o corrupción de la información. Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza. 3. Los riesgos y sus respectivos controles son revisados constantemente. 4. Las auditorias externas e internas permiten identificar posibles debilidades del sistema. 5. Continuidad en las operaciones del negocio tras incidentes de gravedad. 6. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información. 7. Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. 8. Proporciona confianza y reglas claras al personal de la empresa.
ISO 27002
ISO 27002: Estructura
ISO 27002 : Estructura
Tareas a realizar
Tareas a realizar
Tareas a realizar
Etapa: Certificar en ISO/IEC 27001 Sistemas Informáticos Infraestructura Servidores Comunicaciones Aplicaciones Bases de Datos
Las Herramientas y los servicios Experiencia Europea Les guides Le logiciel libre L ensemble du référentiel est disponible gratuitement en français, en anglais, en allemand et en espagnol Les compétences Gratuit, disponible sur demande ou en téléchargement Plus de 2000 cédéroms envoyés dans 50 pays Les traductions La méthode et ses bases de connaissances (5 sections), ses meilleures pratiques expliquant comment utiliser EBIOS selon le contexte Des plaquettes et un mémento synthétiques Les formations au CFSSI pour les agents de l administration (formation de 2 jours, formation de formateurs de 5 jours, formations ad-hoc) La formation en ligne sur la gestion des risques (en cours) La labellisation de personnes (en cours d élaboration) Le Club EBIOS 75 experts du secteur public et du secteur privé, français et étrangers
Compatibilidad con otros Sistemas de Gestion
Conclusiones La Información es uno de los activos mas valiosos de la organización Las Políticas de seguridad permiten disminuir los riesgos Las políticas de seguridad no abordan sólo aspectos tecnológicos El compromiso e involucramiento de todos es la premisa básica para que sea real. La seguridad es una inversión y no un gasto. No existe nada 100% seguro Exige evaluación permanente.
Conclusiones Seguridad de la Información es "problema de organización«en lugar de "problema" Más del 70% de las amenazas son internas Más de 60% son culpables los estafadores por Primera Vez El mayor riesgo: personas Principal activo: las personas Ingeniería Social es una gran amenaza Más de 2/3 expresa su incapacidad para determinar "si mis sistemas están actualmente en peligro?" 5/02/13 69
CREANDO CONCIENCIA La información de las compañías deben mantener la confiabilidad, integridad y disponibilidad de la misma, que son factores importantes para asegurar el éxito del negocio y asegurar que las necesidades de sus clientes y socios sean cumplidas a satisfacción. Tanto la implementación como el cumplimiento de las normas es el trabajo de cada empleado de la empresa y serán efectivas, si todas las personas involucradas se encuentran instruidas en temas relacionados con Seguridad de la Información y utilizan este conocimiento para actuar con seguridad y siendo responsables y consistentes con sus acciones.
Usuarios con conocimento especializado IT Systems Sistemas & Redes con falla Robo, Sabotage, mal uso Falta de Documentacion Ataque de virus Calamidades Naturales& Fuego Lapso en seguridad Fisica 71
La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.
PDCA Process SGSI Interested Parties SGSI PROCESS Interested Parties Management Responsibility PLAN Establish SGSI DO ACT Implement & Operate the SGSI Information Security Requirements & Expectations 5/02/13 Maintain & Improve Managed Information Security CHECK Monitor & Review SGSI Mohan Kamat 73
Quien es el centro? SEC U RITY U-R 5/02/13 Mohan Kamat 74
CULTURA de la seguridad, responsabilidad de TODOS ACTITUD proactiva, Investigación permanente
Esfuerzos integrados del personal es siempre mejor que un Firewall... Debemos construir un Muro humano junto con el firewall 76
Muchas Gracias!!