Seguridad de la Información
“De la NTP ISO 17799-2007
al SGSI (ISO 27001)”
Ing. Carlos Trigo Pé[email protected]
m 18/07/07
AGENDA
¿Qué hace a un Sistema inseguro? ¿Cómo se rompe la Seguridad de un Sistema? Visión Global del enfoque de Seguridad Dimensiones críticas de la información Modelo de Seguridad Las ETAPAS DEL PROYECTO
Análisis y Evaluación de Riesgos Determinación de la Infraestructura de la Seguridad Sensibilización del Personal
Dominios de la NTP – ISO/IEC 17799 El proyecto : SGSI – ISO 27001
¿Qué hace a un sistema inseguro?
Huecos de Seguridad Físicos. Huecos de Seguridad en el Software.
Falta de Experiencia. Ausencia de un Esquema de Seguridad.
¿Cómo se rompe la seguridad de un sistema?
IntrusiIntrusióón Fn Fíísicasica
IntrusiIntrusióón por Sisteman por Sistema
IntrusiIntrusióón Remotan Remota
Evaluación de Riesgos
Elaboración de Planes
Plan de Seguridad
de la Información
Plan de Continuidad
del Negocio
Análisis de RiesgosAnálisis de ImpactoAnálisis de Necesidades
Plan de Contingencias
Interpretación y Clasificación de RiesgosIdentificación y Estimación de acciones para:Actividades PreventivasActividades CorrectivasActividades para la Reanudación y Continuidad del negocio
Identificación y Selección de los Mejores Mecanismos de SeguridadEspecificaciones de los Mecanismos de seguridad a Implantar.Planificación del proceso de ImplantaciónConcientización del personal en la Seguridad.
Respuestas inmediatas ante eventos que originen pérdida de datos o interrupción de las operaciones.Especificaciones del Plan de Acción a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definición de Recursos, niveles de Contingencia, escenarios de Contingencia. Activación de la Contingencia.
Inventario de Procesos del Negocio.Identificación de Procesos CríticosEspecificaciones de los mecanismos de Acción a seguir para la continuidad Plan de Recuperación de los estados de Seguridad
MejoraContinua
Revisión de la Estrategia
Revisión del Plan Actual
Revisión de Programas
Pruebas del Plan Actual
1 - 8 9
10
Visión Global delVisión Global delEnfoque de SeguridadEnfoque de Seguridad
ISO 17799
Requerimientos paraMinimizar
Impacto
CuantificaciónFinan. y no Finan.
por tiempo de interrupción
Identificar ActivosIdentificar Amenazas
Determinar Vulnerabilidades e
Impactos
Plan de respuesta a incidentes
Plan de Recuperación de desastres
Dimensiones críticas de la información
CC
II DD
InformaciónInformación((dimensionesdimensiones))
Prevenir Prevenir DivulgaciónDivulgación no autorizadano autorizada de de
Activos de InformaciónActivos de Información
Prevenir Prevenir Cambios no autorizadosCambios no autorizados en en
Activos de InformaciónActivos de Información
Prevenir Prevenir DestrucciónDestrucción no autorizadano autorizada de de
Activos de InformaciónActivos de Información
• Secreto impuesto de acuerdo con políticas de seguridad• SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y compromisos)
• Validez y Precisión de información y sistemas.•SINO: Información manipulada, incompleta, corrupta y por lo tanto mal desempeño de funciones
• Acceso en tiempo correcto y confiable a datos y recursos.• SINO: Interrupción de Servicios o Baja Productividad
InformaciónInformación
EE
D D TT
6
+ 5=
7x24x365
Autenticidad de de quien hace uso de datos o quien hace uso de datos o
serviciosservicios
Trazabilidad del uso del uso de servicios (quién, cuándo) de servicios (quién, cuándo) o datos (quien y que hace)o datos (quien y que hace)
E-commerce
No repudio (Compromisos) Confiabilidad (Inform.)
Qué es Seguridad de la Información
Politica, Educación y Tecnología
Alm Proc Transm Almac Proces Transm
Polít
ica
Educ
ació
n y
Tecn
olog
ía
C
I
D
C
I
D
Modelo de Seguridad NSTISSC
dimensiones
objetivos
Modelo de Seguridad NSTISSC
Medidas paraimplementar
National Security Telecommunications and Information Systems Security Committee
ISO 27001
ISO17799
CAPAS DE DEPENDENCIA
Serv. Externos (comunicaciones, energía, Internet); PERSONAL, Mobiliario y edificioENTORNO
NETWORK CENTERD A T A C E N T E R
HARDWARE
AplicacionesBase de Datos, S. Operativos
SOFTWARE
Datos, claves, etc DATOS
Funciones/Procesos FUNCIONALIDADES
Visión, Imagen OTROS
LAS ETAPAS DEL PROYECTO
ETAPA 1:Análisis y Evaluación de Riesgos
En el dominio de activos
ETAPA 0:Determinación del Dominio
de los Activos de Información Sujetos a riesgos
ETAPA 2:Determinación de las
Brechas de Seguridad de la Información
ETAPA 3:Elaboración del Plan de
Implementación
LAS ETAPAS DEL PROYECTO
ETAPA 1:Análisis y Evaluación de Riesgos
En el dominio de activos
Clasificación de Activos
Determinación de Vulnerabilidades
Lista de Amenazas
Matriz de AmenazasVulnerabilidades por
ambiente
Definición de TiposDe impacto porNivel de riesgos
Determinación del Umbral
de Riesgos
Matriz de Cálculo deRiesgos
Matriz Resumen de Riesgos
LAS ETAPAS DEL PROYECTO
ETAPA 2:Determinación de las
Brechas de Seguridad de la Información
Elaboración del Plan de Trabajo
Encuestas , cuestionarios y consideraciones
Determinación deBrechas de Seguridad
Documento de
Identificación de
Brechas
Entregable 1
LAS ETAPAS DEL PROYECTO
ETAPA 3:Elaboración del Plan de
Implementación
EstructuraDetallada del
Trabajo
Entregable 2
Diagrama Gantt delPlan de
Implement.
Entregable 3
PresupuestoDetallado
delPlan de
Implement.
Entregable 4
Los 11 Dominios de la NTP ISO 17799 - 2007
Control de accesos
Gestiòn de
Activos
Política de seguridad Organización de
la Seguridad
Seguridad
del personal
Seguridad física y medioambiental Gestión de
comunicaciones
y operaciones
Desarrollo y
mantenimiento
Gestión de
la continuidad
Cumplimiento
Información
Confidencialidad
disponibilidad
integridad Gestión de incidentes
1. Politique de sécurité
2. Sécurité de l’organisation
3. Classification
et contrôle des actifs
7. Contrôle des accès
4. Sécurité du personnel
5. Sécurité physique et
environnementale
8. Développement et maintenance
6. Gestion des communications et
opérations
9. Gestion de la continuité
10. Conformité
1. Política de
seguridad
2. Seguridad de la organización
3. Clasificación y control de los
activos
7. Control de
accesos
4. Seguridad del personal
5. Seguridad física y medioambiental
8. Desarrollo y mantenimiento de los sistemas
6. Gestión de las telecomunicaciones y operaciones
9. Gestión de Incidentes
10.
Continuidad
Organizacional
Operacional
Los 11 Dominios de ISO 17799 - 2007)
11.
Conformidad
Entregables – ISO 17799 – 2007 (27001)
IMPLEMENTACIÓN
PROC
XXX
Mejora continúa
Hacia el Sistema de Gestión de la Seguridad de la Información-SGSI
(ISO 27001)
* PDCA en ingles
1) Monitorear y Revisar SGSI
2) Verificar controles implementados
3) Cumplimientos legales y técnicos
1) Definir Política y Alcance
2) Identificar Riesgos para gestionarlos
3) Analizar las Brechas
4) Plan de Implementacion
1) Identificar opciones para Gestionar los Riesgos
2) Seleccionar e implementar Cont.
3) Determinar Organización de Seguridad;
4) Comités de Seg.5) Preparar e
implementar Plan
de Continuidad1) Entrenamiento al
Personal2) Declaración de
Aplicabilidad
FASE I
FASE II
FASE III
Fallas deInfraestructura
Información&Facilidadesde Procesamiento de Información
Peligros Naturales
Ataques Procesos denegocio
Gente
Tecnología
ISO17799Error humano
ISO17799 - 2007 SGSI (Nov. ISO 27001)(Planear-Hacer-Verificar-Actuar)
La Solución
Sistema de Gestión de Seguridad de la información
Sistema de Gestión de Seguridad de la información
(ISO 27001)
Estrategia para implementar el SGSI en los procesos u Organización
Patrocinador
Equipo del Proyecto
Stakeholders
Gerente del Proyecto
ENTREGABLES DELPROYECTO:
1.Acta de Constitución2.Declaración del
Alcance2. Plan de Gestión
3.Plan de G. Cambios4.Plan de G. Comunic5.Plan de G. Riesgos
ENTREGABLES DELPRODUCTO:
1.Documento de Política de Seguridad de la Información
2.Documento de identificación de los riesgos.
3.Informe de la Identificación y evaluación el tratamiento de los riesgos.
4.Análisis de Brechas.5.Procedimientos para actualizar el manual de
Seguridad
VALOR AGREGADO: Herramientas para la Implementación y Gestión