SEGURIDAD DE LA INFORMACION

Facultad de Ingeniería Industrial y de Sistemas SEGURIDAD DE LA INFORMACION Norma ISO 27001 Ysabel Rojas Solís

Agenda Introduccion Sistema de Gestion de Seguridad de la Informacion Introduction to ISO 27001-2:2005 Tareas a Realizar Experiencia Europea de Exito Conclusiones 2

Porqué hablar de la Seguridad de la Información? Porque el negocio se sustenta a partir de la información que maneja...

La información puede estar : Impreso o escrito en papel. Almacenado electrónicamente. Enviado por correo ordinario o por e-mail. Videos corporativos. Verbal - en conversaciones cualquier tipo de información, o significado que se encuentre medido o almacenado, deberá encontrarse siempre protegido. (ISO/IEC 27001: 2005)

La informacion puede ser : Creada Guardada Destruida Procesada Transmitida Usada (Para propositos correctos & impropios) Corrompida Perdida Robada 5

Dominios de la Información La información debe cumplir 3 principios Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Porqué hablar de la Seguridad de la Información? Porque no sólo es un tema Tecnológico. Porque se requiere de Políticas de Seguridad de la Información formalmente aceptadas y conocidas por todos.

Porqué hablar de la Seguridad de la Información? Porque la seguridad tiene un costo, pero la INSEGURIDAD es mucho mas costosa Ninguna medicina es útil a menos que el paciente la tome Entonces, por donde empezar?...

Problema / Necesidad

Problema / Necesidad

Problema / Necesidad

Problema / Necesidad

Problema / Necesidad

COMO SUPERAR ESTOS PROBLEMAS? 14

Solución

Que es la Seguridad de la Información Haga clic para modificar el estilo de texto del p Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Seguridad de la Información

Seguridad de la Información

Seguridad de la Informaciòn La seguridad no es algo que se compra es algo que se hace.

Seguridad de informacion La arquitectura donde se integran y combinan aplicaciones, sistemas y soluciones, software, alarmas, y las exploraciones de vulnerabilidad a fin de trabajar juntos y monitoreo 24 x 7 Exige tener gente, Procesos, Tecnologia, politicas, procedimientos, La seguridad es integral (PPT) y no solo para dispositivos y equipos 5/02/13 20

i an rg O ti za on St 21 5/02/13 ed us ion gy t lo isa no an ch rg Te O by TECHNOLOGY ss ne es si ss Bu oce Pr PROCESSES f af PEOPLE

Activo de Informacion Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Que es una Amenaza Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Que es una Amenaza

Que es una Vulnerabilidad Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Reconocer las Vulnerabilidades Vulnerabilidad: una debilidad que facilita la materialización de una amenaza Ejemplos: Inexistencia de procedimientos de trabajo Concentración de funciones en una sola persona Infraestructura insuficiente

Clasificación de Vulnerabilidades Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Que es un Impacto Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Que es Riesgo Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Matriz de Riesgo Haga clic para modificar el estilo de texto del Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

La Gestion del Riesgo

La Gestión del Riesgo

Sistema de Gestión de Seguridad de Informacion SGSI

Sistema de Gestión de Seguridad de Informacion SGSI

Sistema de Gestión de Seguridad de Informacion SGSI

Objetivos Generales del SGI

SGSI Requerimientos Generales

Requerimientos de documentacion General

Implantación SGSI

Sistema de gestión de seguridad de la información Haga clic para modificar el estilo de texto del p Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Alcance del SGI

Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los Confidencialidad Integridad Seguridad vela por de la Información Disponibilidad

Implementación del SGSI Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Etapas del SGSI Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Beneficios del SGI 1. 2. 3. 4. A nivel organizativo Compromiso En el plano jurídico Cumplimiento A nivel operativo - Gestión del riesgo En el plano comercial - Credibilidad y confianza 5. A nivel financiero - Reducción de costes 6. A nivel humano - Mejora de la concienciación de los empleados 47

Por el contrario las brechas de seguridad llevan a : Reputación pérdida Perdida financieros Pérdida de propiedad intelectual Las infracciones legislativas que conduzcan a acciones legales (Cyber Law) La pérdida de la confianza de los clientes Costos de interrupción de negocios Perdida de Buena Voluntad 5/02/13 48

Historia de la Norma ISO 27001 Haga clic para modificar el estilo de texto del patró Segundo nivel Tercer nivel Cuarto nivel Quinto nivel

Objetivos de ISO 27001 Políticas de Seguridad Organización de Seguridad Gestión de Activos Seguridad de los Recursos Humanos Cumplimiento de Políticas y Normatividad Legal Integridad Información confidencialidad Disponibilidad

La ISO 27001

Contenido de la ISO 27001

ISO 27001 : Estructura

ISO 27001 : Estructura

Ciclo PHVA o PDCA

Beneficios de la Norma ISO 27001 1. Establecimiento de una metodología de gestión de la seguridad de la información clara y bien estructurada. 2. Reducción de riesgos de pérdida, robo o corrupción de la información. Los usuarios tienen acceso a la información de manera segura, lo que se traduce en confianza. 3. Los riesgos y sus respectivos controles son revisados constantemente. 4. Las auditorias externas e internas permiten identificar posibles debilidades del sistema. 5. Continuidad en las operaciones del negocio tras incidentes de gravedad. 6. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestión de información. 7. Incrementa el nivel de concientización del personal con respecto a los tópicos de seguridad informática. 8. Proporciona confianza y reglas claras al personal de la empresa.

ISO 27002

ISO 27002: Estructura

ISO 27002 : Estructura

Tareas a realizar

Tareas a realizar

Tareas a realizar

Etapa: Certificar en ISO/IEC 27001 Sistemas Informáticos Infraestructura Servidores Comunicaciones Aplicaciones Bases de Datos

Las Herramientas y los servicios Experiencia Europea Les guides Le logiciel libre L ensemble du référentiel est disponible gratuitement en français, en anglais, en allemand et en espagnol Les compétences Gratuit, disponible sur demande ou en téléchargement Plus de 2000 cédéroms envoyés dans 50 pays Les traductions La méthode et ses bases de connaissances (5 sections), ses meilleures pratiques expliquant comment utiliser EBIOS selon le contexte Des plaquettes et un mémento synthétiques Les formations au CFSSI pour les agents de l administration (formation de 2 jours, formation de formateurs de 5 jours, formations ad-hoc) La formation en ligne sur la gestion des risques (en cours) La labellisation de personnes (en cours d élaboration) Le Club EBIOS 75 experts du secteur public et du secteur privé, français et étrangers

Compatibilidad con otros Sistemas de Gestion

Conclusiones La Información es uno de los activos mas valiosos de la organización Las Políticas de seguridad permiten disminuir los riesgos Las políticas de seguridad no abordan sólo aspectos tecnológicos El compromiso e involucramiento de todos es la premisa básica para que sea real. La seguridad es una inversión y no un gasto. No existe nada 100% seguro Exige evaluación permanente.

Conclusiones Seguridad de la Información es "problema de organización«en lugar de "problema" Más del 70% de las amenazas son internas Más de 60% son culpables los estafadores por Primera Vez El mayor riesgo: personas Principal activo: las personas Ingeniería Social es una gran amenaza Más de 2/3 expresa su incapacidad para determinar "si mis sistemas están actualmente en peligro?" 5/02/13 69

CREANDO CONCIENCIA La información de las compañías deben mantener la confiabilidad, integridad y disponibilidad de la misma, que son factores importantes para asegurar el éxito del negocio y asegurar que las necesidades de sus clientes y socios sean cumplidas a satisfacción. Tanto la implementación como el cumplimiento de las normas es el trabajo de cada empleado de la empresa y serán efectivas, si todas las personas involucradas se encuentran instruidas en temas relacionados con Seguridad de la Información y utilizan este conocimiento para actuar con seguridad y siendo responsables y consistentes con sus acciones.

Usuarios con conocimento especializado IT Systems Sistemas & Redes con falla Robo, Sabotage, mal uso Falta de Documentacion Ataque de virus Calamidades Naturales& Fuego Lapso en seguridad Fisica 71

La clave es encontrar el justo equilibrio de acuerdo al giro de cada negocio que permita mantener controlado el RIESGO.

PDCA Process SGSI Interested Parties SGSI PROCESS Interested Parties Management Responsibility PLAN Establish SGSI DO ACT Implement & Operate the SGSI Information Security Requirements & Expectations 5/02/13 Maintain & Improve Managed Information Security CHECK Monitor & Review SGSI Mohan Kamat 73

Quien es el centro? SEC U RITY U-R 5/02/13 Mohan Kamat 74

CULTURA de la seguridad, responsabilidad de TODOS ACTITUD proactiva, Investigación permanente

Esfuerzos integrados del personal es siempre mejor que un Firewall... Debemos construir un Muro humano junto con el firewall 76

Muchas Gracias!!