NORMA ISO/IEC 27001:2005

Modelo Para Establecer, Implementar

Operar Monitorear,
Operar,
Monitorear Revisar,
Revisar Mantener y
Mejorar un ISMS (Information Security
Management System)

Ing Jorge Ceballos (jceballos@iram.org.ar)

Ing.
(jceballos@iram org ar)

Noviembre 2010

Para cumplir la misin

de:
Contribuir a mejorar la calidad de vida, el
bienestar y la seguridad de las personas
Promover el uso racional de los recursos y la
actividad creativa
Facilitar la produccin,
el comercio y la
transferencia de conocimientos
En el mbito nacional, regional e internacional

Brinda servicios de:

NORMALIZACIN
NORMALIZACIN

Participacin en Organismos de Estudio:

ISO - IEC - COPANT AMN

CERTIFICACIN
de Productos
d Sistemas
de
Si t
de
d G
Gestin
ti

17.000 Productos Certificados

4 800 Certificados
4.800
C ifi d E
Emitidos
i id

FORMACIN
FORMACIN DE RR
RR.HH.
HH

4.900 Cursos dictados

71.394 Horas de Capacitacin

CENTRO DE DOCUMENTACIN
250.000 Documentos Tcnicos

RELACIONES
INSTITUCIONALES
ESTADO
SECTORES INDUSTRIALES
UNIVERSIDADES
SECTORES CIENTFICO TCNICOS
CONSUMIDORES

Formas de abordar la mejora

j
en
Tecnologas de la Informacin
Gestin
ISO 90003
Ciclo
Ci
l d
de
vida
ISO 12207

ISO
27001

Servicios
ISO 20000-1

P
Procesos
Competisoft //
ISO 15504

Productos
ISO 14598 con
ISO 9126

ISO/IEC 20000 IT Gestin del servicio

Procesos de prestacin del servicio
Gestin de la
capacidad
Gestin de la
disponibilidad y
continuidad del
servicio

Proceso de
Liberacin
Gestin de la
liberacin

Gestin de niveles de
servicio
Elaboracin
Elaboracin de informes
del servicio

Procesos de Control
Gestin de la
configuracin
Gestin de cambios

Procesos de
Resolucin
Gestin de incidentes
Gestin de problemas

Gestin de la seguridad
de la informacin
Elaboracin del
presupuesto y
gestin de costos

Procesos de
Relaciones
Gestin
Gestin de relaciones
con clientes
Gestin
Gestin de proveedores

ITIL - Information Technology

gy
Infrastructure Library
Es un marco de trabajo (framework) para la
Administracin de Procesos de IT
E un standard
Es
t d d de
d facto
f t para Servicios
S
i i
de
d IT
Fue desarrollado a fines de la dcada del 80
Originalmente creado por la CCTA (una agencia del
Gobierno del Reino Unido)

Informacin
Definicin, Tipos
La informacin es un recurso que, como el
resto de los importantes activos,
activos tiene valor
para una organizacin y por consiguiente
debe ser debidamente protegida.

Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno
Fuentes:
The Computer
C
S
Security
Institute
Cooperative Association for Internet Data
Analysis (CAIDA)
CERT
SANS

Fraude por Computador

Utilizar
ili
un computador
d
para obtener
b
beneficio personal o causar dao a
los dems.
Dada la p
proliferacin de las redes y del
personal con conocimientos en sistemas,
se espera un incremento en la frecuencia
y en la cantidad de prdidas.
prdidas
Se especula que muy pocos fraudes por
p
son detectados y una menor
computador
porcin es reportada.

De Quin nos Defendemos?

Gente de adentro: Empleados o
personas allegadas.
allegadas
Anti gobernistas: Razones obvias para
justificar un ataque.
ataque
Un cracker que busca algo en
especfico: Es problemtico pues suele
ser un atacante determinado. Puede
estar buscando un punto de salto.
salto

De qu nos defendemos?

Fraude
Extorsin
Robo de Informacin
Robo de servicios
Actos terroristas
Reto de penetrar un sistema
Deterioro
Desastres Naturales

Efectos de las Amenazas y

los Ataques

Interrupcin de actividades
Dificultades para toma de decisiones
Sanciones
Costos excesivos
Prdida o destruccin de activos
Desventaja competitiva
Insatisfaccin del usuario (prdida de imagen)

 Qu Informacin proteger ?
Informacin
en formato electrnico / magntico / ptico
en formato impreso
e
en e
el co
conocimiento
oc e to de las
as pe
personas
so as

QU DEBE SER PROTEGIDO?

Sus Datos
Confidencialidad Q
Quines deben conocer q
qu
Integridad Quines deben cambiar qu
Disponibilidad
spo b dad - Habilidad
ab dad para
pa a utilizar
ut a sus
sistemas

Sus Recursos
Su organizacin,
organizacin su tecnologa y sus sistemas

Qu es la seguridad de la
informacin?
La seguridad
L
id d de
d informacin
i f
i se caracteriza
t i como la
l
preservacin de la:
Confidencialidad: asegurar que la informacin
sea accesible slo para aquellos usuarios
autorizados para tener acceso
Integridad: salvaguardar que la informacin y
los mtodos de p
procesamiento sean exactos y
completos
Disponibilidad: asegurar que los usuarios
autorizados tengan acceso a la informacin y
bienes asociados cuando lo requieran

 Cmo se logra
g
la seguridad
g
de
la informacin ?
La seguridad de informacin se logra mediante la

implementacin de un adecuado conjunto de

controles, los que podran ser:

Polticas, prcticas, procedimientos, estructuras

organizacionales y funciones de software.

Se
S necesita
it establecer
t bl
estos
t controles
t l para

asegurar que se cumplan los objetivos especficos

de seguridad de la organizacin.
organizacin

Seguridad de la informacin
RIESGOS O AMENAZAS
Actos de la naturaleza

Fallas de Hard, Soft

o instalacin

Fraudes

VULNERABILIDADES

Errores y omisiones

Dao intencional

Invasin a la privacidad
CONSECUENCIAS

RIESGO

PERDIDA ESPERADA

Sistema de g
gestin de riesgos
g

Figura 1 de la norma IRAM 17551

Objetivos a cumplir
Objetivos corporativos de negocio
Objetivos corporativos de TI
Objetivos
O
j
os de
d Seguridad
gu d d
Informtica
El problema de la Seguridad Informtica est
en su Gerenciamiento y no en las
tecnologas disponibles

SGSI: Sistema de Gestin de Seguridad

d la
de
l Informacin
I f
i
ISMS Information Security
y Management
g
System
y
Qu es? Forma sistemtica de administrar la
Q
informacin sensible
Cmo? Gestionando los riesgos
g
Para qu? Proteger la informacin:
Confidencialidad Integridad Disponibilidad
A quines abarca? Personas, Procesos y
Tecnologa

ORIGEN: BS 7799
Norma
Define requisitos para un Sistema de
Gestin de
g
de la Informacin ((ISMS).
)
Seguridad
Comprende 10 secciones
Compuesta por 2 partes:
Parte 1: Controles
Parte 2: ISMS - Certificacin

ISO 27001:2005
Actualizacin de BS 7799 bajo los lineamientos de
ISO, se cre ISO 27001
El nombre oficial del nuevo estndar es:
BS 7799-2:2005 (ISO/IEC 27001:2005) Information
Technology - Security Techniques Information
Security Management - Systems Requirements.
Cambios con respecto a BS 7799-2: por ejemplo
requiere la definicin de los mecanismos de
medi in de la
medicin
l efectividad
efe ti id d de los
lo controles.
ont ole

Modelo SGSI

Modelo SGSI

Objetivos
j
del SGSI
Implementacin de un programa de Seguridad

Comprensivo
Adaptado a la Cultura de la organizacin
Que Proteja la informacin sensible de las
amenazas

Objetivos de Seguridad
Tres componentes a tener en cuenta para la seguridad

1) Ataques a la seguridad:
Cualquier accin que compromete la seguridad de la
informacin perteneciente a la organizacin.

2) Mecanismos de seguridad:
Es un mecanismo diseado para detectar, prevenir y/o
recuperar frente a un ataque a la seguridad.

3) Prestacin de seguridad:
Es un servicio que mejora la seguridad de un sistema de
procesamiento de datos y de la informacin que transfiere la
organizacin.
El servicio enfrenta
f
los ataques a la seguridad
utilizando para poder hacerlo, uno o ms mecanismos de
seguridad.

Antes de comenzar.
Requisitos para comenzarexiste alguno???

COMPROMISO Y RESPALDO DE
LA DIRECCION
El Proceso de Implementacin - SGSI
La clave de la implementacin es:
Comunicacin y Entrenamiento

Considerar documentacin

SGSI: El Proceso de Implementacin

SGSI: El Proceso de Implementacin

El Proceso de Certificacin

No hay calidad de la gestin

sin seguridad de la
informacin q
que p
procesan los
sistemas de informacin que
d
dan
soporte
t a la
l gestin
ti

Propuesta
p
de p
plan del PMG en el SGSI
A realizar por IRAM
Chile

A realizar por Red de

Expertos
p
PMG

Gap analysis + Diagnstico

Asesoramiento para
Capacitacin
p
diseo del plan
Auditora de
Verificacin Fase 1
Auditora de
Verificacin Fase 2

Auditora de
Verificacin Fase 3

A realizar por
funcionarios
Implementacin Fase 1
ESTABLECER el SGSI
(s/6 dominios)

Asesoramiento sobre
acciones correctivas
Fase 1

Implementacin Fase 2
IMPLEMENTAR el SGSI
(s/6 dominios)

Asesoramiento sobre
acciones correctivas
Fase 2

Implementacin Fase 3
Seguimiento y Revisin
de SGSI (s/6 dominios)

Asesoramiento sobre
acciones correctivas
Fase 3

Preparacin para
Certificacin

35

PREGUNTAS
Y
COMENTARIOS