Ing. Julio Iglesias Prez El siguiente curso fue recopilado y compilado por mi persona y bas 100% en el material recopilado en el curso Auditor Interno para la norma ISO 27001 que realic en TV Argentina en octubre de 2012 el cual recomiendo que lo realicen, ya que lo ms importante de el curso son las prcticas que se realizan y la brillante experticia de sus capacitores. Este material es informativo y sirve para repasar los puntos importantes de la norma ISO 27001. Espero les sirva. Atte. Ing. Julio Iglesias Prez julioiglesiasperez@Hotmail.com Presentacin Introduccin a los Sistemas de Gestin de Seguridad de a Informacin Mdulo 1 Ing. Julio Iglesias Prez Descripcin de un SGSI Importancia de un SGSI Motivos para la Implementacin de un SGSI Contenido Comprensin del fundamento de la informacin. Definicin de los conceptos de un Sistema de Gestin de la Seguridad de la Informacin (SGSI). Conocimiento de la relacin entre la ISO 27001 y la ISO 27002. Objetivos Tratamiento de la informacin como parte de los activos de una organizacin. Es aplicable a todo tipo de organizacin (organizaciones estatales, no gubernamentales, sociedades, etc.) Consideracin de todos tipos de informacin: Impresa, escrita a mano, almacenada electrnicamente, etc. Estructura de la Norma Informacin como activo La informacin es un recurso que, como el resto de los importantes activos comerciales, tiene valor para una organizacin y por consiguiente debe ser debidamente protegida. Informacin de los clientes. Datos personales. Informacin de la compaa. Definicin Informacin La informacin hoy en da es uno de los activos ms importantes para las empresas y organizaciones. Los dems activos dependen o se relacionan de alguna manera con la informacin. La informacin debe ser asegurada y protegida en forma apropiada Importancia de la informacin Confidencialidad. Previene el acceso no autorizado a la informacin, de forma intencionada o no. Integridad. Evita modificaciones de la informacin por parte de personal no autorizado. Disponibilidad. Proporciona acceso seguro a la informacin en el momento que se precisa. Las tres propiedades de la informacin Comprender los requisitos de seguridad de la informacin de una organizacin. Comprender la necesidad de establecer la poltica y objetivos en relacin con la seguridad de la informacin. Implementar y operar controles para gestionar los riesgos de seguridad de una organizacin. En el contexto de los riesgos de negocio globales de la organizacin. Qu es un Sistema de Gestin de Seguridad de la Informacin? Seguridad de la informacin. Preservacin de la confidencialidad, integridad y disponibilidad de la informacin; adems de otras propiedades, que tambin pueden estar involucradas como la autenticacin, registro de responsabilidad (accountability), el no repudio y la confiabilidad. Sistema de gestin de seguridad de la informacin. La parte del sistema global de gestin, basada en un enfoque de riesgos empresariales, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin. Nota. El Sistema de Gestin incluye la estructura organizacional, polticas, actividades de planificacin, responsabilidades, prcticas, procedimiento, procesos y recursos. ISO 27001: 2005, clusula 3.7 Trminos y definiciones Ciclo PDCA de la mejora continua. Establecer un SG (Alcance, poltica y objetivos). Control de los documentos y registros. La responsabilidad de la Direccin. La concientizacin de la organizacin. Establecer un programa de auditoras internas. Mejora continua (Acciones preventivas y correctivas. Conceptos asociados de la ISO 9001 Establecer el SGSI 4,2,1 y 4,3 Proceso de mejora continua Mantener y Mejorar el SGSI 4.2.4 y 8 Monitorear y Revisar el SGSI 4.2.3, 6 y 7 Implementar y Operar el SGSI 4.2.2 y 5 Mejora Continua La efectiva implantacin del SGSI es posible slo en el marco de la mejora continua: es necesario garantizar la revisin peridica y continua actualizacin y mejora del mismo. Deben realizarse revisiones peridicas para detectar posibles aspectos susceptibles de mejora ya sea porque el SGSI no estaba suficientemente desarrollado o porque han cambiado las amenazas. Esto da lugar a medidas preventivas y correctivas, que modificarn las polticas, normas y procedimientos. Mejora continua Especificacin de los vnculos que deben ser controlados. Establece los controles a realizar. Anexo A: obligatorio y seccionable. Captulos de control (11) / Objetivos de control (39) / Controles (133). Descripcin global y completo de todos los objetivos de seguridad. Los procesos de la organizacin deben ser visualizables para la seleccin de controles relevantes. Importancia del Anexo A ISO/IEC 27001:2005 (Tecnologa de Informacin Tcnicas de Seguridad Sistemas de Gestin de la Seguridad de la Informacin Requisitos) describe los requisitos para la implementacin y la implementacin de un SGSI. Es la base para la certificacin de un SGSI. ISO/IEC 27002:2005 (Tecnologa de Informacin Tcnicas de Seguridad Sistemas de Gestin de la Seguridad de la Informacin Requisitos) es el documento de referencia para las mejores prcticas en un SGSI. Incluye instrucciones para la implementacin. El contenido es equivalente a la ISO 17799:2005. ISO 27001:2005 e ISO 27002:2005 Descripcin de un SGSI Importancia de un SGSI Motivos para la Implementacin de un SGSI Contenido Introduccin a las amenazas comunes de la informacin Objetivos Cada de Bases de Datos que no responden a las peticiones de los clientes. Sitios Web que dejan de funcionar. Servidores de correo que no pueden repartir mails porque estn bloqueados. Enlaces entre sucursales que dejan de funcionar. Etc. El sistema que hace funcionar a la empresa es vulnerable Amenazas Disponibilidad / Denegacin de servicio La imagen de la empresa puede verse afectada Amenazas Usos inadecuados del Sistema La empresa puede verse implicada en un proceso legal. Amenazas Complicaciones legales Informacin crucial para la empresa puede ser transmitida a terceros Amenazas Sustraccin de informaciones confidenciales Los impactos sobre los que leemos en la prensa son slo una pequea parte. Los ataques que ocurren realmente, son muchsimos ms. Ninguna organizacin quiere aparecer como vulnerable delante de clientes, accionistas, competencia, pblico en general. La empresa puede aparecer como poco fiable Efectos y epercusiones Tipos de atacantes Crackers, profesionales Adolescentes (freaks) Clientes, gente normal Motivos Diversin Sabotaje Inters comercial Venganza Ignorancia Quin est atacando a quin y por qu? Por correo electrnico, o atacando los servicios de los servidores con presencia en Internet. Tipos de ataques Externo por medios electrnicos ECHELON es la mayor red de espionaje y anlisis para interceptar comunicaciones electrnicas de la historia. Controlada por la comunidad UKUSA (EEUU, Canad, Gran Bretaa, Australia y Nueva Zelanda), ECHELON puede capturar comunicaciones por radio y satlite, llamadas de telfono, faxes y correos electrnicos en casi todo el mundo e incluye anlisis automtico y clasificacin de las interceptaciones. Se estima que intercepta mas de tres mil millones de comunicaciones al da. Las comunicaciones son menos seguras de lo que parecen Tipos de ataques Externo e indetectable Empleados descontentos o que han sido sobornados por terceros pueden tener acceso directo a la informacin, o bien aprovechar su situacin en la empresa para averiguar contraseas o informacin de los empleados autorizados. El peligro no slo est en el exterior Tipos de ataques Interno y premeditado Conversaciones en lugares inadecuados pueden ser odas por personal no autorizado, que puede comentarlo ms tarde con ms personas como una simple ancdota o chisme. Fusiones, adquisiciones y otras informaciones estratgicas que, siendo confidenciales, salen a la luz, pueden costar mucho dinero a la empresa. Los ataques no son siempre malintencionados. Tipos de ataques Interno casual La falta de calificacin de los empleados o simplemente la falta de formacin adecuada pueden provocar daos de diversa consideracin. Tipos de ataque Interno accidental Algunos desastres, naturales o no, pueden tambin hacer peligrar la informacin. La informacin est expuesta a imprevistos Tipos de ataques Desastres Descripcin de un SGSI Importancia de un SGSI Motivos para la Implementacin de un SGSI Contenido La confianza en la proteccin de la informacin. Objetivos Mediante la implantacin de un Sistema de Gestin de Seguridad de la Informacin, se logra: Evitar prdidas de informacin. Evitar la divulgacin de informacin confidencial. Asegurar que los procesos de negocio de la empresa no sean interrumpidos. Mantener la credibilidad ante la opinin pblica. Poder reaccionar efectivamente ante desastres. EL SGSI ES EL MEJOR SEGURO PARA LA EMPRESA SGSI? Muchas gracias