Date post: | 03-Feb-2015 |
Category: |
Documents |
Upload: | deifilia-benito |
View: | 1 times |
Download: | 0 times |
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Conferencia de
Seguridad de la Información
NORMA ISO 17799 / BS 7799
2004
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Recepción
Presentación General
Apertura
• Objetivo• Instructor• Temario detallado
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Objetivo
Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Instructores
Martín Vila
Business Director I -Sec Information Security (2002 - 2004)Country Manager Guarded Networks Argentina (2001)Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional.Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Guarded Networks, Ernst & Young / IT College, I-SEC).
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Instructores
Tania Cozzi
Senior Security Consultant - I -Sec Information Security (2004)
Senior / Supervisor IT Security - BDO (2001-2004)
Consultor de Seguridad informática - Megatone (Auckland, New Zealand) (2001)
Posee una Maestría en Auditoria de Sistemas (Universidad del Salvador – Bs. As.) – (1998-2000)
Ha llevado adelante y supervisado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional.
Ha desarrollado y participado como instructor en cursos de capacitación internos y e internacionales relacionados con el Análisis e implementación de controles, metodología de Auditoria de Sistemas, Estándares Internacionales, entre otros.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Paso 1:
Por que?
Reconocer los riesgos y su impacto en los negocios
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
INFORMATICA
El objetivo del virus “Bugbear” no es colapsar computadoras sino robar datos bancarios Los expertos confirmaron que envía la información que captura a miles de direcciones de Internet. Además, también puede desactivar los sistemas de seguridad de la PC, destruir sus archivos y descomponer impresoras.
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países.
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Despido
Rechazan demanda de empleada por uso indebido de InternetEl juez del trabajo Jorge Finizzola consideró justo el despido de una empleada que usó las computadoras de la empresa para recibir y enviar correos electrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias.
El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la reclamante las costas del juicio.
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Algunos datos
La seguridad de redes, una prioridad para las empresasCisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
NEGOCIOS
Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información La gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también quieren ahorrar millones.
Por Daniela Blanco. Especial para Clarín.com.
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
LA POLICIA LO DETUVO EL DOMINGO CUANDO FUE A VOTAR
Acusan a un joven de un crimen luego de un rastreo informático
Verónica Tomini tenía 24 años y era gerenta de una empresa de marketing. Los investigadores detectaron que horas antes del crimen había chateado con el sospechoso para arreglar un encuentro.Martín Sassone. .
El martes 19 de agosto, Verónica Tomini estaba en su trabajo y recibió un mensaje en su computadora: "Bebota, tengo ganas de verte". Ella respondió: "Yo también Cachorro. Nos vemos esta noche en casa". Así, rastreando los mensajes de chat de la víctima, los investigadores llegaron al principal sospechoso del crimen: un joven de 24 años que fue detenido el domingo cuando fue a votar.
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Algunos riesgos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Captura de PC desde el exterior
Software ilegalViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación y violación de e-mails
VirusMails anónimos con agresionesMails anónimos con agresiones
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks, palms
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones voz y wireless
Destrucción de equipamiento
Programas “bomba, troyanos”
Acceso indebido a documentos impresos Propiedad de la información
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Algunos riesgosFraudes informáticos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Password cracking
Man in the middle
Exploits
Denegación de servicio
Escalamiento de privilegios
Hacking de Centrales Telefónicas
Keylogging Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentesÚltimos parches no instalados
Algunos riesgos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Según una encuesta del Departamento de Defensa de USA:
Sobre aprox 9000 computadores atacados,
7,900 fueron dañados.
400 detectaron el ataque.
Sólo 19 informaron el ataque.
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
En general todos coinciden en:
El 80% de los incidentes/fraudes son efectuados por personal interno
Fuentes:The Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTSANS
Algunos datos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el área.
... en la última auditoría de sistemas no me sacaron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya arreglamos todo.
Algunas realidades
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
Algunos conceptos preliminares
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
En estos tipos de problemas es difícil:
• Darse cuenta que pasan, hasta que pasan.
• Poder cuantificarlos económicamente, por ejemplo ¿cuánto le cuesta a la compañía 4 horas sin
sistemas?
• Poder vincular directamente sus efectos sobre los resultados de la compañía.
Principales riesgos y el impacto en los negocios
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
No existe la “verdad absoluta” en Seguridad Informática.
No es posible eliminar todos los riesgos. No se puede ser especialista en todos los
temas. La Dirección está convencida de que la
Seguridad Informática no hace al negocio de la compañía.
Cada vez los riesgos y el impacto en los negocios son mayores.
No se puede dejar de hacer algo en este tema.
Algunas premisas
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
POR TODAS ESAS RAZONES
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Se puede estar preparado para que ocurran lo menos
posible:
• sin grandes inversiones en software
• sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad
• parametrizando la seguridad propia de los
sistemas
• utilizando herramientas licenciadas y libres en la
web
Deberia asegurar mi Informacion
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Paso 2:
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta
las Normas Internacionales aplicables
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes:
Information Systems and Audit Control Association - ISACA: COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book / Common Criteria
ITSEC – Information Technology Security Evaluation Criteria: White Book
Sans Institute
Sarbanes Oxley Act, HIPAA
Normas aplicables
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Paso 3:
Que pide la Norma ISO 17799Gestión de Seguridad?
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
International Standards Organization: Normas ISO
• ISO 9001 – Calidad• ISO 14001 – Ambiental• ISO 17799 – Seguridad de la Información
• La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO 17799.
• Basada en el BRITISH STANDARD 7799.• ISO (Europa) y NIST (USA).
Normas de Gestión ISO
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dos partes:
17799 – 1 . NORMALIZACION (Mejores Prácticas)
Homologada en Argentina IRAM/ISO/IEC 17799
17799 – 2 . CERTIFICACION
Aún no fue publicada por ISO.
Hoy en día las certificaciones son sobre el BS 7799.
Norma ISO 17799 Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestión de la seguridad de la información
Base común para el desarrollo de estándares de seguridad
Norma ISO 17799 Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Preservar la:
confidencialidad:accesible sólo a aquellas personas autorizadas a tener acceso.
integridad:exactitud y totalidad de la información y los métodos de procesamiento.
disponibilidad:acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
Norma ISO 17799 Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Norma ISO 17799 Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
La información = activo comercial
Tiene valor para una organización y por consiguiente debe ser debidamente protegida.
“Garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades”
“La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados”
Qué es la Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
• Impresa,• escrita en papel,• almacenada electrónicamente,• transmitida por correo o utilizando medios
electrónicos,• presentada en imágenes, o• expuesta en una conversación.
Formas o medios que se distribuye o almacena
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Implementando un conjunto adecuado de CONTROLES:
• Políticas• Prácticas• Procedimientos• Estructuras Organizacionales• Funciones del Software
Gestión de Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Cómo establecer los requerimientos de SeguridadEvaluar los riesgos:
• se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:
• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.
Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Selección de controles
“Los controles pueden seleccionarse sobre la base de la Norma ISO 17799, de otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicas según corresponda”
Costo de implementación vs riesgos a reducir y las pérdidas monetarias y no monetarias
Revisiones periódicas de:
- Riesgos- Controles implementados
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la gerencia;
• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;
• comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;
Factores críticos del éxito
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;
• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de medición
que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
Factores críticos del éxito
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominios de Norma ISO 17.799
Dominio 1 - Política de Seguridad
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 1: POLÍTICA DE SEGURIDAD
Nivel gerencial debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 1: POLÍTICA DE SEGURIDAD
Política de Seguridad
AutorizaciónProtección Física
Propiedad
Eficacia
Eficiencia
Exactitud Integridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 2
Organización de la Seguridad
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Sponsoreo y seguimiento • Dirección de la Compañía• Foro / Comité de Seguridad
Autorización • Dueño de datos
Definición • Área de Seguridad Informática• Área de Legales, RRHH,
Auditoria, OyM
Administración Administrador de
Seguridad
Cumplimiento directo Usuarios finales Terceros y personal
contratado Área de sistemas
Control Auditoría Interna Auditoría Externa
Principales roles y funciones
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 3
Clasificación y Control de Activos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Inventarios de Información e Instalaciones
Designar un propietario para cada uno de ellos
Clasificación de la información
Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 4
Seguridad del Personal
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 4: SEGURIDAD DEL PERSONAL
Administracion del Personal Sanciones Concientizacion Administracion de Incidentes
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 5
Seguridad Fisica y Ambiental
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Impedir accesos no autorizados, daños e interferencia a:
sedes instalaciones información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 6
Gestión de Operaciones y Comunicaciones
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Seguridad en los Procesos de TI:
Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de
almacenamiento Acuerdos de intercambio de información y
software
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 7
Sistema de Control de Accesos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones
externas Monitoreo del acceso y uso de los sistemas
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 8
Desarrollo y Mantenimiento de Sistemas
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requerimientos de seguridad de los sistemas
Asegurar que la seguridad es incorporada a los sistemas de información. Los requerimientos de seguridad deben ser
identificados y aprobados antes del desarrollo de los sistemas de información.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 9
Plan de Continuidad del Negocio
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 10
Cumplimiento
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 10 : CUMPLIMIENTO
Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.
Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización.
Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas.
Asegurar las evidencias.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Dominio 10 : CUMPLIMIENTO
Delitos tradicionalmente denominados informáticos
Relación entre RIESGOS y DELITOS informáticos
Delitos convencionales
Infracciones por “Mal uso”
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
Norma ISO 17799 Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Como lo hago?
Metodologia de Implementacióndel ISMS
Programa Continuo de
Seguridad de la Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Definir una METODOLOGIA
Implementación de un Programa Integral de Seguridad de la
Información
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
R Identificación de los principales riesgos informáticos para su compañía
P Definición por la Dirección de una política básica de seguridad
A Acción concreta en dos frentes:
Normativo
Implementación de un Programa de Seguridad
Ejecutivo
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Identificación de riesgos en su compañía
Fraudes informáticos
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusión inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destrucción de información y equipos
R
Clasificación de los más críticos
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Personas y Organizaciones dentro y/o fuera
Identificación de riesgos en su compañíaR
Competidores
Empleados descontentos
Proveedores
Clientes
Hackers
Consultores “in company”
Compañías asociadas
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
en los sistemas centrales
en las PC´s
en las laptops
en los e mails
en contratos
en documentos impresos
en los legajos del personal
Donde hay información sensible
Identificación de riesgos en su compañíaR
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Definición de una política básica de seguridad
Breve
Clara
Implementable
Puesta en marcha por la Dirección
Difundida al personal y terceros
P
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Definición de una política básica de seguridad
P
Política de Seguridad
AutorizaciónProtección Física
Propiedad
Eficacia
Eficiencia
Exactitud Integridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Sponsoreo y seguimiento
• Dirección de la Compañía
• Comité de Seguridad
Autorización
• Dueños de datos
Definición
• Area de Seguridad Informática
• Area de Legales
Identificación de responsabilidades de seguridad
Acción concreta: Plano Normativo A
Cumplimiento directo
• Usuarios finales
• Terceros y personal contratado
• Area de sistemas
Administración
• Administrador de Seguridad
Control
• Auditoría Interna / Externa
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Acción concreta: Plano Normativo
Normas con definiciones
Procedimientos con acción de usuarios
Estándares técnicos para los sistemas
Esquema de reportes de auditoría
De acuerdo con regulaciones y legislaciones vigentes
Desarrollo de la normativa básica y publicación
A
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Definición de acciones a sancionar y medidas disciplinarias a imponer
Comunicarción al personal y terceros “in company”
Utilización de convenios de confidencialidad
Definición de un sistema de “premios y castigos” en su compañía
Acción concreta: Plano Normativo A
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Perfil de la función
Análisis de riesgos informáticos
Participación en proyectos especiales
Administración del día a día
Objetivos y tareas básicas
Programas de trabajo rutinarios
Automatización de tareas y reportes en los sistemas
Definición e implementación de la función de Seguridad Informática
Acción concreta: Plano Ejecutivo A
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Uso del Correo Electrónico Uso de Servicios de Internet
Mejoras en los procesos del área de Sistemas
Acción concreta: Plano Ejecutivo A
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Plan de Continuidad del Negocio
Acción concreta: Plano Ejecutivo A
El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de
interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio.
El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía.
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Plan de Continuidad del Negocio
Acción concreta: Plano Ejecutivo A
Componentes
- Tecnológico: procesamiento de los sistemas
- Funcional: procedimientos del
personal
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Plan de Continuidad del Negocio
Acción concreta: Plano Ejecutivo A
Etapas en la Implementación del Plan 1: Clasificación de los distintos escenarios de desastres2: Evaluación de impacto en el negocio3: Desarrollo de una estrategia de recupero4: Implementación de la estrategia5: Documentación del plan de recupero6: Testeo y mantenimiento del plan
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Redes internas
Accesos externos
Bases de datos
Sistemas aplicativos
Correo electrónico
Servidores, PC´s y laptops
Seguridad física
Integración con otras tecnologías
Parametrización de las redes y los sistemas de una forma más segura
Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático)
Acción concreta: Plano Ejecutivo A
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Acciones preventivas de monitoreo las 24 hs
Implementación de Help Desk de Seguridad
Circuitos de reportes de incidencias
Monitoreos periódicos
Auditorías
Implementación de monitoreos de incidentes de seguridad
Acción concreta: Plano Ejecutivo A
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Concientización a los usuarios en seguridad
Usuarios finales
Usuarios del área de sistemas
Terceros “in company”
Intranet de seguridad
Correo electrónico
Mensajes en cartelera
Presentaciones grupales
Videos institucionales
Firma de compromisos
Acción concreta: Plano Ejecutivo A
Utilizando la tecnología y los medios disponibles
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Implemente Ud. Mismo
el ISMS ISO 17799
Programa de Mejora Continua
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Diagnóstico Inicial:
• Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 17799.
• 2 a 3 semanas
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulos:
• Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal.
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 1:
• Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía
• Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible
• Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso)
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 2:
• Definir, aprobar y difundir la Política de Seguridad de la Compañía
• Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía
• Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía
• Implementar Esquema de Propietarios de Datos
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 3:
• Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros
• Iniciar proceso de redacción de las Normas
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 4:
• Finalizar Clasificación de Información• Relevar medidas implementadas en las
funciones del área de sistemas
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 5:
• Finalizar la Redacción y Difundir las Normas de Seguridad
• Implementar las definiciones de las Normas
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 6:
• Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas
• Implementar mejoras en los sectores usuarios para información impresa
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 7:
• Iniciar proceso de redacción de Procedimientos críticos
• Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 8:
• Finalizar la redacción y difundir los Procedimientos críticos
• Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 9:
• Implementar los Procedimientos de Seguridad Críticos
• Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 10:
• Definir junto a RRHH mecanismos de Control y Sanciones
• Efectuar la Concientización de Usuarios de toda la Compañía
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 11:
• Diagnóstico General respecto Norma ISO 17799 (similar a una Preauditoría de Certificación ISO)
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Módulo 12:
• Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799
Implemente Ud. Mismo el ISMS ISO 17799
Seminario de Seguridad de la Información ISO 17799/BS7799
2004Copyright 2001-2004 / I-SEC Information Security SA. - Argentina
Sugerencias prácticas a tener en cuenta
Facilidad en el USO vs mejor PROTECCION
de la Información