Politicas Seguridad

Seguridad de la Informacin
Conferencia
Seguridad de la Informacin Norma ISO 17799
Instructor: Gustavo Bonilla, PMP
2005
Objetivo de la Conferencia
Adquirir conocimientos y metodologas de implementacin de medidas de seguridad de acuerdo con los requerimientos de Normas Internacionales - Norma ISO 17799:
Identificacin de los riesgos y requerimientos especficos de la norma en sus 10 dominios. Comprender el proceso de adecuar la compaa para lograr la Certificacin.
2005
Situacin Actual Algunos riesgos y su impacto en los negocios
''La seguridad no es un problema que pueda resolverse una vez y para siempre. Es un tira y afloja entre buenos y malos. La clave est en garantizar que la organizacin est concienciada acerca de la seguridad y la ejercita con sentido comn.
2005
Algunos datos
Mircoles 24 de setiembre de 2003 Ao VII N 2733
12:20 | A PARTIR DEL 14 DE OCTUBRE
Microsoft cierra la mayora de sus chats

Quiere combatir la pornografa y los mensajes basura ("spam"). La medida comprende a 28 pases de Amrica Latina, Europa, Africa y Asia. Slo mantendr el Messenger.
Detenido creador de virus Sasser

Resumen: Un estudiante de 18 aos, detenido el viernes por la noche en Alemania, confes ser el autor del virus informtico Sasser, que desde el 1. de mayo ha infectado a millones de ordenadores en todo el mundo. El delito podra acarrearle una condena hasta de cinco aos de crcel, anunci ayer la polica alemana. El joven, detenido en Rotemburgo, una pe Relevancia: 40% NACION, Internacionales Sbado 8 de mayo, 2004
Microsoft, el gigante de software estadounidense, anunci que cerrar sus foros de chat gratuitos en 28 pases.
INTERNET
Nadie logra controlar la epidemia: el correo basura invade las casillas de todo el mundo
Apenas 150 spammers norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todava no hay leyes para limitar su impacto econmico.
2005
Algunas realidades En mi compaa ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el rea. ... en la ltima auditora de sistemas no me sacaron observaciones importantes. ... ya escrib las polticas. ... hice un penetration testing y ya arreglamos todo.
2005
Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes/ataques efectuados por personal interno son
Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS
2005
Algunos datos
2005
Algunos datos
2005
Algunas premisas No existe la verdad absoluta en Seguridad Informtica. No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Direccin est convencida de que la Seguridad Informtica no hace al negocio de la compaa. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema.
2005
Principales riesgos
Spamming
Captura de PC desde el exterior
Mails annimos con informacin crtica o con agresiones
Violacin de e-mails
Ingeniera social
Robo de informacin
Destruccin de equipamiento
Intercepcin y modificacin de e-mails Violacin de contraseas Violacin de la privacidad de los empleados Incumplimiento de leyes y regulaciones
Fraudes informticos
Virus
empleados deshonestos
Pistas para auditar inexistentes o no son chequeadas

Interrupcin de los servicios
Acceso indebido a documentos impresos
Indisponibilidad de informacin clave
Programas bomba
Destruccin de soportes documentales

Robo o extravo de notebooks
Acceso clandestino a redes
Software ilegal
2005
Intercepcin de comunicaciones Falsificacin de informacin Propiedad de la Informacin para terceros Agujeros de seguridad de redes conectadas
Principales riesgos y el impacto en los negocios

En estos tipos de problemas es difcil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos econmicamente, por ejemplo cunto le cuesta a la compaa 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compaa.
2005
Principales riesgos y el impacto en los negocios

Se puede estar preparado para que ocurran los menos posibles: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestin de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas especializadas
2005
Normas aplicables
2005
Normas aplicables
Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Informacin, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book ITSEC Information Technology Security Evaluation Criteria: White Book Sans Institute
2005
Gestin de Seguridad Norma ISO 17799
2005
Normas de Gestin ISO

International Standards Organization: Normas ISO ISO 9001 Calidad ISO 14001 Ambiental ISO 17799 Seguridad de la Informacin La principal norma de Evaluacin e Implementacin de medidas de Seguridad en Tecnologas de la Informacin es la NORMA ISO 17799. Basada en el BRITISH STANDARD 7799. ISO (Europa) y NIST (USA).
2005
Norma ISO 17799 Seguridad de la Informacin

Dos partes: 17799 1 . NORMALIZACION (Mejores Prcticas) Homologada en Argentina IRAM/ISO/IEC 17799 17799 2 . CERTIFICACION An no fue publicada por ISO. Hoy en da las certificaciones son sobre el BS 7799.
2005

Preservar la:
confidencialidad: accesible slo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la informacin y los mtodos de procesamiento. disponibilidad: acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera.
2005
Metodologa y Ciclo de Implementacin

Pasos de la metodologa y ciclo para implementar el estndar Iniciacin del Proyecto Descripcin Asegure el compromiso de la direccin Seleccione y entrene a los miembros del equipo inicial de proyecto Identifique el alcance y los lmites del marco de direccin de seguridad de la informacin. Este paso es crucial para el xito del proyecto Realice el inventario y evale el activo a proteger Identifique y evale amenazas y vulnerabilidades Diagnostique el nivel de cumplimiento con ISO 17799 Calcule el valor de riesgos asociados Encuentre como seleccionar e implantar los controles correctos que le permitan a la organizacin reducir el riesgo a un nivel aceptable
Definicin del SGSI (Sistema de Gestin de la Seguridad de la Informacin) Evaluacin de Riesgos
Administracin de Riesgos
2005
Seguridad de la Informacin Metodologa y Ciclo de Implementacin (continuacin)

Pasos de la metodologa y ciclo para implementar el estndar Entrenamiento y concientizacion Descripcin Los empleados pueden ser el eslabn ms dbil en la seguridad de la informacin de su organizacin. Aprenda a establecer un programa de concienciacin de la seguridad de la informacin
Preparacin para la Auditara
Aprenda a validar su marco de seguridad y que debe hacer antes de traer a un auditor externo para la certificacin BS 7799-2 UNE 71502. Aprenda ms sobre los pasos realizados por auditores externos y averige sobre los cuerpos de certificacin acreditados BS 7799-2 UNE 71502 Aprenda a mejorar la eficiencia de su SGSI conforme al modelo de administracin reconocido por la ISO.
Auditora
Control y mejora continua
2005
10
Seguridad de la Informacin Obstculos potenciales Miedo, resistencia al cambio Riesgo de contigidad Costos crecientes Conocimiento insuficiente del acercamiento seleccionado Tareas aparentemente insuperables Factor de xito Recursos y personal dedicado Personal externo experimentado Buena comprensin del funcionamiento (gestin) y los procesos (operaciones) de gestin del riesgo Comunicaciones frecuentes Sensibilizacin de gerentes y empleados Compromiso de la direccin superior Estructura del enfoque

2005
Las 10 deISO ISO 17799 Las 10Secciones Secciones de 17799

Poltica de seguridad
Cumplimiento
Administracin de la continuidad
integridad
Confidencialidad
Organizacin de la Seguridad
Clasificacin y control de los activos
Informacin
Desarrollo y mantenimiento
disponibilidad
Seguridad del personal

Seguridad fsica y medioambiental
Control de accesos
Gestin de comunicaciones y operaciones
2005
11
Dominios de Norma ISO 17799 Dominio 1 - Poltica de Seguridad
2005
Dominio 1: POLTICA DE SEGURIDAD

Nivel gerencial debe: aprobar y publicar la poltica de seguridad comunicarlo a todos los empleados
2005
12

Debe incluir: objetivos y alcance generales de seguridad apoyo expreso de la direccin breve explicacin de los valores de seguridad de organizacin definicin de las responsabilidades generales especficas en materia de gestin de la seguridad de informacin referencias a documentos que puedan respaldar poltica
la y la la
2005

Autorizacin Proteccin Fsica Confiabilidad Confidencialidad Propiedad
Poltica de Seguridad
Legalidad
Disponibilidad
Eficiencia Integridad Exactitud Eficacia
2005
13
Dominio 2 Organizacin de la Seguridad
2005
Dominio 2: ORGANIZACION DE LA SEGURIDAD

Infraestructura de seguridad de la informacin Debe establecerse un marco gerencial para iniciar y controlar la implementacin. Deben establecerse adecuados foros de gestin de seguridad y responsabilidades para cada usuario en la organizacin. Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas
2005
14

Foros de Gestin aprobar la poltica de seguridad de la informacin, asignar funciones de seguridad actualizarse ante cambios coordinar la implementacin definir metodologas y procesos especficos seguridad monitorear incidentes de seguridad lidera el proceso de concientizacin de usuarios
de
2005

Principales roles y funciones
Sponsoreo y seguimiento Direccin de la Compaa Foro / Comit de Seguridad Autorizacin Dueo de datos Administracin Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado rea de sistemas
Definicin Control rea de Seguridad Informtica Auditora Interna rea de Legales/RRHH/DD/FORO Auditora Externa
2005
15

Seguridad frente al acceso por parte de terceros El acceso por parte de terceros debe ser controlado. Debe llevarse a cabo una evaluacin de riesgos: determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte.
2005

Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantas de estudiantes y otras designaciones contingentes de corto plazo; consultores.
2005
16
Dominio 3 Clasificacin y Control de Activos
2005
Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Informacin e Instalaciones Designar un propietario para cada uno de ellos Clasificacin de la informacin
2005
17
Dominio 4 Seguridad del Personal
2005
Dominio 4: SEGURIDAD DEL PERSONAL Seguridad en la definicin de puestos de trabajo y la asignacin de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeo como empleado.
2005
18
Dominio 4: SEGURIDAD DEL PERSONAL Capacitacin del usuario Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de la organizacin en el transcurso de sus tareas normales.
2005
Dominio 4: SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalas en materia de seguridad Minimizar el dao producido por incidentes y anomalas en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.
2005
19
Dominio 4: SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedimientos de seguridad de la organizacin.
2005
Dominio 5 Seguridad Fsica y Ambiental
2005
20
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daos e interferencia a: sedes instalaciones informacin
2005
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Permetro de seguridad fsica Controles de acceso fsico Seguridad del equipamiento Suministros de energa Cableado de energa elctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del mbito de la organizacin Polticas de escritorios y pantallas limpias Retiro de bienes
2005
21
Dominio 6 Gestin de Operaciones y Comunicaciones
2005
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Se deben establecer las responsabilidades y procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. Se debe implementar la separacin de funciones cuando corresponda. Se deben documentar los procedimientos de operacin
2005
22
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Separacin entre instalaciones instalaciones operativas Deben separarse las instalaciones de: Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. de desarrollo e
2005
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificacin y aprobacin de sistemas Proteccin contra software malicioso Mantenimiento back up Administracin de la red Administracin y seguridad de los medios de almacenamiento Acuerdos de intercambio de informacin y software
2005
23
Dominio 7 Sistema de Control de Accesos
2005
Dominio 7: SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Coherencia entre las polticas de control de acceso y de clasificacin de informacin de los diferentes sistemas y redes Administracin de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas y servicios de informacin.
2005
24
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Administracin de accesos de usuarios Administracin de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticacin de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas
2005
Dominio 8 Desarrollo y Mantenimiento de Sistemas
2005
25
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas de informacin. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de informacin.
2005
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicacin Se deben disear en los sistemas de aplicacin, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validacin de datos de entrada, procesamiento interno, y salidas.
2005
26
Dominio 9 Plan de Continuidad del Negocio
2005
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos crticos de los negocios de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administracin de la continuidad de los negocios Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.
2005
27
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administracin y gestin. La administracin de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudacin oportuna de las operaciones indispensables.
2005
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero Testeo y mantenimiento del plan
2005
28
Dominio 10 Cumplimiento
2005
Dominio 10 : CUMPLIMIENTO Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la organizacin. Maximizar la efectividad y minimizar las interferencias de los procesos de auditora de sistemas.
2005
29
Dominio 10 : CUMPLIMIENTO Recoleccin de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas especficas del tribunal en el cual se desarrollar el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma;
2005
Dominio 10 : CUMPLIMIENTO adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el perodo en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de informacin cumplan con los estndares o cdigos de prctica relativos a la produccin de evidencia vlida.
2005
30
Dominio 10 : CUMPLIMIENTO Revisiones de la poltica compatibilidad tcnica de seguridad y la
Garantizar la compatibilidad de los sistemas con las polticas y estndares (normas) de seguridad de la organizacin.
2005
Dominio 10 : CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.
2005
31
Dominio 10 : CUMPLIMIENTO
Relacin entre RIESGOS y DELITOS informticos
Delitos tradicionalmente denominados informticos
Delitos convencionales
Infracciones por Mal uso
2005
Dominio 10 : CUMPLIMIENTO
Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informtica en Argentina
o o o o Proteccin de Datos Personales Habeas Data Firma Digital. Propiedad intelectual / Software Legal Regulacin de las Comunicaciones Comerciales Publicitarias por Correo Electrnico Antispam o Delitos Informticos o Confidencialidad de la Informacin y productos protegidos o Normativa especfica del Banco Central de la Repblica Argentina
2005
32

1. Poltica de Seguridad 2. Organizacin de Seguridad 3. Clasificacin y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Fsica y Ambiental 6. Gestin de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento
2005
Implementacin del ISMS Programa Continuo de Seguridad de la Informacin
2005
33
Implementacin de un Programa de Seguridad

Identificacin de los principales riesgos informticos para su compaa Definicin por la Direccin de una poltica bsica de seguridad Accin concreta en dos frentes: Normativo Ejecutivo
2005
R Identificacin de riesgos en su compaa Clasificacin de los ms crticos

Fraudes informticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusin inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destruccin de informacin y equipos
2005
34
R Identificacin de riesgos en su compaa Personas y Organizaciones dentro y/o fuera

Competidores Empleados descontentos Proveedores Clientes Hackers Consultores in company Compaas asociadas
2005
R Identificacin de riesgos en su compaa Donde hay informacin sensible

en los sistemas centrales en las PCs en las laptops en los e mails en contratos en documentos impresos en los legajos del personal
2005
35
P Definicin de una poltica bsica de
seguridad
Breve Clara Implementable Puesta en marcha por la Direccin Difundida al personal y terceros
2005
P Definicin de una poltica bsica de
seguridad
Autorizacin Proteccin Fsica Confiabilidad Confidencialidad Propiedad
Poltica de Seguridad
Legalidad
Disponibilidad
Eficiencia Integridad Exactitud Eficacia
2005
36
Accin concreta: Plano Normativo

Identificacin de responsabilidades de seguridad
Sponsoreo y seguimiento Direccin de la Compaa Comit de Seguridad Autorizacin Dueos de datos Definicin
Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas Administracin Administrador de Seguridad
Area de Seguridad Informtica Control Area de Legales/otras

2005
Auditora Interna / Externa

Desarrollo de la normativa bsica y publicacin
Normas con definiciones Procedimientos con accin de usuarios Estndares tcnicos para los sistemas Esquema de reportes de auditora
De acuerdo con regulaciones y legislaciones vigentes
2005
37

Definicin de un sistema de premios y castigos en su compaa
Definicin de acciones a sancionar y medidas disciplinarias a imponer Comunicarcin al personal y terceros in company Utilizacin de convenios de confidencialidad
2005
Accin concreta: Plano Ejecutivo
Definicin e implementacin de la funcin de Seguridad Informtica

Perfil de la funcin Anlisis de riesgos informticos Participacin en proyectos especiales Administracin del da a da Objetivos y tareas bsicas Programas de trabajo rutinarios Automatizacin de tareas y reportes en los sistemas
2005
38
Mejoras en los procesos del rea de Sistemas

Administracin de Usuarios y Permisos en los Sistemas Separacin de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Fsica de las Instalaciones y Recursos Prevencin de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditora Automtica y Administracin de Incidentes de Seguridad Uso del Correo Electrnico Uso de Servicios de Internet
2005

Plan de Continuidad del Negocio
El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca especficamente en: Definir los riesgos emergentes ante una situacin de interrupcin no prevista del procesamiento de la informacin relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupcin en la correcta marcha del negocio.
El punto central es focalizarse especficamente en la recuperacin de las funciones y sistemas crticos para el negocio, cuya interrupcin puede afectar directamente los objetivos de la compaa.
2005
39

Componentes - Tecnolgico: procesamiento de los sistemas - Funcional: procedimientos del personal
2005

Etapas en la Implementacin del Plan
1: 2: 3: 4: 5: 6:
Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero Testeo y mantenimiento del plan
2005
40

Parametrizacin de las redes y los sistemas de una forma ms segura
Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrnico Servidores, PCs y laptops Seguridad fsica Integracin con otras tecnologas
Anlisis de la posibilidad de uso de softwares de seguridad avanzada (encripcin, administracin centralizada, monitoreo automtico)
2005

Implementacin de monitoreos de incidentes de seguridad
Acciones preventivas de monitoreo las 24 hs Implementacin de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos peridicos Auditoras
2005
41
Concientizacin a los usuarios en seguridad

Usuarios finales Usuarios del rea de sistemas Terceros in company
Utilizando la tecnologa y los medios disponibles

Intranet de seguridad Correo electrnico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos
2005
Implemente Ud. Mismo el ISMS ISO 17799
2005
42
Diagnstico Inicial: Efectuar Diagnstico Inicial de la situacin de la Compaa en relacin a los requerimientos de la ISO 17799. 2 a 3 semanas
2005
Mdulos: Se agrupan por Mdulos cada conjunto de tareas, debiendo identificarse la duracin de cada uno de ellos, en general, podr variar entre 2 a 4 semanas c/u dependiendo del Diagnstico y del grado de involucramiento del personal.
2005
43
Mdulo 1: Relevar los planes de seguridad funcionales y tcnicos en proceso en la compaa Iniciar proceso de Identificacin de Riesgos y Clasificacin de Informacin Sensible Definir el Plan de Tareas para los 2 primeros aos (integrando otros proyectos de seguridad en curso)
2005
Mdulo 2: Definir, aprobar y difundir la Poltica de Seguridad de la Compaa Definir la estructura y alcance del Manual de Seguridad de la Informacin de la Compaa Definir y difundir las responsabilidades de Seguridad Informtica de cada sector de la Compaa Implementar Esquema de Propietarios de Datos
2005
44
Mdulo 3: Definir e iniciar el proceso de Concientizacin de Usuarios internos y Terceros Iniciar proceso de redaccin de las Normas
2005
Mdulo 4: Finalizar Clasificacin de Informacin Relevar medidas implementadas en las funciones del rea de sistemas
2005
45
Mdulo 5: Finalizar la Redaccin y Difundir las Normas de Seguridad Implementar las definiciones de las Normas
2005
Mdulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del rea de Sistemas Implementar mejoras en los sectores usuarios para informacin impresa
2005
46
Mdulo 7: Iniciar proceso de redaccin de Procedimientos crticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crtico de la Informacin
2005
Mdulo 8: Finalizar la redaccin y difundir los Procedimientos crticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)
2005
47
Mdulo 9: Implementar los Procedimientos de Seguridad Crticos Relevar e Integrar los Estndares Tcnicos de Seguridad desarrollados dentro del Manual de Seguridad
2005
Mdulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientizacin de Usuarios de toda la Compaa
2005
48
Mdulo 11: Diagnstico General respecto Norma ISO 17799 (similar a una Preauditora de Certificacin ISO)
2005
Mdulo 12: Implementacin de las mejoras identificadas en el Diagnstico segn ISO 17799
2005
49
Casos prcticos de implementaciones: key points

Errores en asignacin de Dueos de Datos Interrelacin compleja con otros proyectos Extenso perodo de discusin de la normativa Implementacin prolongada en algunas tecnologas Discusiones con proveedores de software por soluciones Personas de peso deciden aplicar las polticas para todos menos para ellos
2005

Algunas soluciones tcnicas slo son aplicables para todos los usuarios de todas las compaas al mismo tiempo Prolongados perodos de evaluacin de riesgos Diferencias de criterios en clasificacin de la informacin Dificultades en implementacin de medidas disciplinarias Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento
2005
50
Facilidad en el USO vs mejor PROTECCION de la Informacin

2005
Muchas Gracias
itecsa@itecsasoft.com gbonilla@itecsasoft.com
2005
51

Politicas Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Politicas Seguridad

Cargado por

Copyright:

Formatos disponibles

Seguridad de la Informacin

Instructor: Gustavo Bonilla, PMP

Situacin Actual Algunos riesgos y su impacto en los negocios

Microsoft cierra la mayora de sus chats

Detenido creador de virus Sasser

Captura de PC desde el exterior

Mails annimos con informacin crtica o con agresiones

Pistas para auditar inexistentes o no son chequeadas

Destruccin de soportes documentales

Acceso clandestino a redes

Principales riesgos y el impacto en los negocios

Principales riesgos y el impacto en los negocios

Gestin de Seguridad Norma ISO 17799

Normas de Gestin ISO

Norma ISO 17799 Seguridad de la Informacin

Norma ISO 17799 Seguridad de la Informacin

Metodologa y Ciclo de Implementacin

Definicin del SGSI (Sistema de Gestin de la Seguridad de la Informacin) Evaluacin de Riesgos

Seguridad de la Informacin Metodologa y Ciclo de Implementacin (continuacin)

Preparacin para la Auditara

Control y mejora continua

Las 10 deISO ISO 17799 Las 10Secciones Secciones de 17799

Seguridad del personal

Gestin de comunicaciones y operaciones

Dominios de Norma ISO 17799 Dominio 1 - Poltica de Seguridad

Dominio 1: POLTICA DE SEGURIDAD

Dominio 1: POLTICA DE SEGURIDAD

Dominio 1: POLTICA DE SEGURIDAD

Eficiencia Integridad Exactitud Eficacia

Dominio 2 Organizacin de la Seguridad

Dominio 2: ORGANIZACION DE LA SEGURIDAD

Dominio 2: ORGANIZACION DE LA SEGURIDAD

Dominio 2: ORGANIZACION DE LA SEGURIDAD

Dominio 2: ORGANIZACION DE LA SEGURIDAD

Dominio 2: ORGANIZACION DE LA SEGURIDAD

Dominio 3 Clasificacin y Control de Activos

Dominio 4 Seguridad del Personal

Dominio 5 Seguridad Fsica y Ambiental

Dominio 6 Gestin de Operaciones y Comunicaciones

Dominio 7 Sistema de Control de Accesos

Dominio 7: SISTEMA DE CONTROL DE ACCESOS

Dominio 8 Desarrollo y Mantenimiento de Sistemas

Dominio 9 Plan de Continuidad del Negocio

Dominio 10 : CUMPLIMIENTO Revisiones de la poltica compatibilidad tcnica de seguridad y la

Relacin entre RIESGOS y DELITOS informticos

Delitos tradicionalmente denominados informticos

Infracciones por Mal uso

Norma ISO 17799 Seguridad de la Informacin

Implementacin del ISMS Programa Continuo de Seguridad de la Informacin

Implementacin de un Programa de Seguridad

R Identificacin de riesgos en su compaa Clasificacin de los ms crticos

R Identificacin de riesgos en su compaa Personas y Organizaciones dentro y/o fuera

R Identificacin de riesgos en su compaa Donde hay informacin sensible

P Definicin de una poltica bsica de

P Definicin de una poltica bsica de

Eficiencia Integridad Exactitud Eficacia

Accin concreta: Plano Normativo

Area de Seguridad Informtica Control Area de Legales/otras

Auditora Interna / Externa

Accin concreta: Plano Normativo

De acuerdo con regulaciones y legislaciones vigentes

Accin concreta: Plano Normativo

Accin concreta: Plano Ejecutivo

Definicin e implementacin de la funcin de Seguridad Informtica