Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Politicas Seguridad
Politicas Seguridad
Conferencia
Seguridad de la Informacin Norma ISO 17799
2005
Seguridad de la Informacin
Objetivo de la Conferencia
Adquirir conocimientos y metodologas de implementacin de medidas de seguridad de acuerdo con los requerimientos de Normas Internacionales - Norma ISO 17799:
Identificacin de los riesgos y requerimientos especficos de la norma en sus 10 dominios. Comprender el proceso de adecuar la compaa para lograr la Certificacin.
2005
Seguridad de la Informacin
''La seguridad no es un problema que pueda resolverse una vez y para siempre. Es un tira y afloja entre buenos y malos. La clave est en garantizar que la organizacin est concienciada acerca de la seguridad y la ejercita con sentido comn.
2005
Seguridad de la Informacin
Algunos datos
Mircoles 24 de setiembre de 2003 Ao VII N 2733
12:20 | A PARTIR DEL 14 DE OCTUBRE
Microsoft, el gigante de software estadounidense, anunci que cerrar sus foros de chat gratuitos en 28 pases.
INTERNET
Nadie logra controlar la epidemia: el correo basura invade las casillas de todo el mundo
Apenas 150 spammers norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todava no hay leyes para limitar su impacto econmico.
2005
Seguridad de la Informacin
Algunas realidades En mi compaa ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el rea. ... en la ltima auditora de sistemas no me sacaron observaciones importantes. ... ya escrib las polticas. ... hice un penetration testing y ya arreglamos todo.
2005
Seguridad de la Informacin
Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes/ataques efectuados por personal interno son
Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS
2005
Seguridad de la Informacin
Algunos datos
2005
Seguridad de la Informacin
Algunos datos
2005
Seguridad de la Informacin
Algunas premisas No existe la verdad absoluta en Seguridad Informtica. No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Direccin est convencida de que la Seguridad Informtica no hace al negocio de la compaa. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema.
2005
Seguridad de la Informacin
Principales riesgos
Spamming
Violacin de e-mails
Ingeniera social
Robo de informacin
Destruccin de equipamiento
Intercepcin y modificacin de e-mails Violacin de contraseas Violacin de la privacidad de los empleados Incumplimiento de leyes y regulaciones
Fraudes informticos
Virus
empleados deshonestos
Programas bomba
Software ilegal
2005
Intercepcin de comunicaciones Falsificacin de informacin Propiedad de la Informacin para terceros Agujeros de seguridad de redes conectadas
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
Seguridad de la Informacin
Normas aplicables
2005
Seguridad de la Informacin
Normas aplicables
Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Informacin, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book ITSEC Information Technology Security Evaluation Criteria: White Book Sans Institute
2005
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
Seguridad de la Informacin
Administracin de Riesgos
2005
Aprenda a validar su marco de seguridad y que debe hacer antes de traer a un auditor externo para la certificacin BS 7799-2 UNE 71502. Aprenda ms sobre los pasos realizados por auditores externos y averige sobre los cuerpos de certificacin acreditados BS 7799-2 UNE 71502 Aprenda a mejorar la eficiencia de su SGSI conforme al modelo de administracin reconocido por la ISO.
Auditora
2005
10
Seguridad de la Informacin Obstculos potenciales Miedo, resistencia al cambio Riesgo de contigidad Costos crecientes Conocimiento insuficiente del acercamiento seleccionado Tareas aparentemente insuperables Factor de xito Recursos y personal dedicado Personal externo experimentado Buena comprensin del funcionamiento (gestin) y los procesos (operaciones) de gestin del riesgo Comunicaciones frecuentes Sensibilizacin de gerentes y empleados Compromiso de la direccin superior Estructura del enfoque
2005
Seguridad de la Informacin
Organizacin de la Seguridad
Clasificacin y control de los activos
Informacin
Desarrollo y mantenimiento
disponibilidad
Control de accesos
2005
11
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
12
Seguridad de la Informacin
la y la la
2005
Seguridad de la Informacin
Poltica de Seguridad
Legalidad
Disponibilidad
2005
13
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
14
Seguridad de la Informacin
de
2005
Seguridad de la Informacin
Definicin Control rea de Seguridad Informtica Auditora Interna rea de Legales/RRHH/DD/FORO Auditora Externa
2005
15
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
16
Seguridad de la Informacin
2005
Seguridad de la Informacin
Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Informacin e Instalaciones Designar un propietario para cada uno de ellos Clasificacin de la informacin
2005
17
Seguridad de la Informacin
2005
Seguridad de la Informacin
Dominio 4: SEGURIDAD DEL PERSONAL Seguridad en la definicin de puestos de trabajo y la asignacin de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeo como empleado.
2005
18
Seguridad de la Informacin
Dominio 4: SEGURIDAD DEL PERSONAL Capacitacin del usuario Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de la organizacin en el transcurso de sus tareas normales.
2005
Seguridad de la Informacin
Dominio 4: SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalas en materia de seguridad Minimizar el dao producido por incidentes y anomalas en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.
2005
19
Seguridad de la Informacin
Dominio 4: SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedimientos de seguridad de la organizacin.
2005
Seguridad de la Informacin
2005
20
Seguridad de la Informacin
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daos e interferencia a: sedes instalaciones informacin
2005
Seguridad de la Informacin
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Permetro de seguridad fsica Controles de acceso fsico Seguridad del equipamiento Suministros de energa Cableado de energa elctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del mbito de la organizacin Polticas de escritorios y pantallas limpias Retiro de bienes
2005
21
Seguridad de la Informacin
2005
Seguridad de la Informacin
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Se deben establecer las responsabilidades y procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. Se debe implementar la separacin de funciones cuando corresponda. Se deben documentar los procedimientos de operacin
2005
22
Seguridad de la Informacin
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Separacin entre instalaciones instalaciones operativas Deben separarse las instalaciones de: Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. de desarrollo e
2005
Seguridad de la Informacin
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificacin y aprobacin de sistemas Proteccin contra software malicioso Mantenimiento back up Administracin de la red Administracin y seguridad de los medios de almacenamiento Acuerdos de intercambio de informacin y software
2005
23
Seguridad de la Informacin
2005
Seguridad de la Informacin
Dominio 7: SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Coherencia entre las polticas de control de acceso y de clasificacin de informacin de los diferentes sistemas y redes Administracin de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignacin de derechos de acceso a los sistemas y servicios de informacin.
2005
24
Seguridad de la Informacin
Administracin de accesos de usuarios Administracin de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticacin de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas
2005
Seguridad de la Informacin
2005
25
Seguridad de la Informacin
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas de informacin. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de informacin.
2005
Seguridad de la Informacin
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicacin Se deben disear en los sistemas de aplicacin, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validacin de datos de entrada, procesamiento interno, y salidas.
2005
26
Seguridad de la Informacin
2005
Seguridad de la Informacin
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos crticos de los negocios de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administracin de la continuidad de los negocios Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio.
2005
27
Seguridad de la Informacin
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administracin y gestin. La administracin de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudacin oportuna de las operaciones indispensables.
2005
Seguridad de la Informacin
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero Testeo y mantenimiento del plan
2005
28
Seguridad de la Informacin
Dominio 10 Cumplimiento
2005
Seguridad de la Informacin
Dominio 10 : CUMPLIMIENTO Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las polticas y estndares de seguridad de la organizacin. Maximizar la efectividad y minimizar las interferencias de los procesos de auditora de sistemas.
2005
29
Seguridad de la Informacin
Dominio 10 : CUMPLIMIENTO Recoleccin de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas especficas del tribunal en el cual se desarrollar el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma;
2005
Seguridad de la Informacin
Dominio 10 : CUMPLIMIENTO adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el perodo en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de informacin cumplan con los estndares o cdigos de prctica relativos a la produccin de evidencia vlida.
2005
30
Seguridad de la Informacin
Garantizar la compatibilidad de los sistemas con las polticas y estndares (normas) de seguridad de la organizacin.
2005
Seguridad de la Informacin
Dominio 10 : CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.
2005
31
Seguridad de la Informacin
Dominio 10 : CUMPLIMIENTO
Delitos convencionales
2005
Seguridad de la Informacin
Dominio 10 : CUMPLIMIENTO
Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informtica en Argentina
o o o o Proteccin de Datos Personales Habeas Data Firma Digital. Propiedad intelectual / Software Legal Regulacin de las Comunicaciones Comerciales Publicitarias por Correo Electrnico Antispam o Delitos Informticos o Confidencialidad de la Informacin y productos protegidos o Normativa especfica del Banco Central de la Repblica Argentina
2005
32
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
33
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
34
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
35
Seguridad de la Informacin
seguridad
Breve Clara Implementable Puesta en marcha por la Direccin Difundida al personal y terceros
2005
Seguridad de la Informacin
seguridad
Autorizacin Proteccin Fsica Confiabilidad Confidencialidad Propiedad
Poltica de Seguridad
Legalidad
Disponibilidad
2005
36
Seguridad de la Informacin
Sponsoreo y seguimiento Direccin de la Compaa Comit de Seguridad Autorizacin Dueos de datos Definicin
Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas Administracin Administrador de Seguridad
Seguridad de la Informacin
2005
37
Seguridad de la Informacin
Definicin de acciones a sancionar y medidas disciplinarias a imponer Comunicarcin al personal y terceros in company Utilizacin de convenios de confidencialidad
2005
Seguridad de la Informacin
2005
38
Seguridad de la Informacin
2005
Seguridad de la Informacin
El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca especficamente en: Definir los riesgos emergentes ante una situacin de interrupcin no prevista del procesamiento de la informacin relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupcin en la correcta marcha del negocio.
El punto central es focalizarse especficamente en la recuperacin de las funciones y sistemas crticos para el negocio, cuya interrupcin puede afectar directamente los objetivos de la compaa.
2005
39
Seguridad de la Informacin
2005
Seguridad de la Informacin
1: 2: 3: 4: 5: 6:
Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero Testeo y mantenimiento del plan
2005
40
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
41
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
42
Seguridad de la Informacin
Diagnstico Inicial: Efectuar Diagnstico Inicial de la situacin de la Compaa en relacin a los requerimientos de la ISO 17799. 2 a 3 semanas
2005
Seguridad de la Informacin
Mdulos: Se agrupan por Mdulos cada conjunto de tareas, debiendo identificarse la duracin de cada uno de ellos, en general, podr variar entre 2 a 4 semanas c/u dependiendo del Diagnstico y del grado de involucramiento del personal.
2005
43
Seguridad de la Informacin
Mdulo 1: Relevar los planes de seguridad funcionales y tcnicos en proceso en la compaa Iniciar proceso de Identificacin de Riesgos y Clasificacin de Informacin Sensible Definir el Plan de Tareas para los 2 primeros aos (integrando otros proyectos de seguridad en curso)
2005
Seguridad de la Informacin
Mdulo 2: Definir, aprobar y difundir la Poltica de Seguridad de la Compaa Definir la estructura y alcance del Manual de Seguridad de la Informacin de la Compaa Definir y difundir las responsabilidades de Seguridad Informtica de cada sector de la Compaa Implementar Esquema de Propietarios de Datos
2005
44
Seguridad de la Informacin
Mdulo 3: Definir e iniciar el proceso de Concientizacin de Usuarios internos y Terceros Iniciar proceso de redaccin de las Normas
2005
Seguridad de la Informacin
Mdulo 4: Finalizar Clasificacin de Informacin Relevar medidas implementadas en las funciones del rea de sistemas
2005
45
Seguridad de la Informacin
Mdulo 5: Finalizar la Redaccin y Difundir las Normas de Seguridad Implementar las definiciones de las Normas
2005
Seguridad de la Informacin
Mdulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del rea de Sistemas Implementar mejoras en los sectores usuarios para informacin impresa
2005
46
Seguridad de la Informacin
Mdulo 7: Iniciar proceso de redaccin de Procedimientos crticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crtico de la Informacin
2005
Seguridad de la Informacin
Mdulo 8: Finalizar la redaccin y difundir los Procedimientos crticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)
2005
47
Seguridad de la Informacin
Mdulo 9: Implementar los Procedimientos de Seguridad Crticos Relevar e Integrar los Estndares Tcnicos de Seguridad desarrollados dentro del Manual de Seguridad
2005
Seguridad de la Informacin
Mdulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientizacin de Usuarios de toda la Compaa
2005
48
Seguridad de la Informacin
Mdulo 11: Diagnstico General respecto Norma ISO 17799 (similar a una Preauditora de Certificacin ISO)
2005
Seguridad de la Informacin
Mdulo 12: Implementacin de las mejoras identificadas en el Diagnstico segn ISO 17799
2005
49
Seguridad de la Informacin
2005
Seguridad de la Informacin
2005
50
Seguridad de la Informacin
Seguridad de la Informacin
Muchas Gracias
itecsa@itecsasoft.com gbonilla@itecsasoft.com
2005
51