Sgsi Unirioja FS2009

SGSI
Poniendo orden a la seguridad
Eduardo Bergasa
eduardo.bergasa@unirioja.es
Eduardo Bergasa Balda - Ciudad Real Marzo 2009
Introduccin
La seguridad sin control puede no ser efectiva
Grados de madurez
Grado 0. Sin preocupacin por la seguridad
Grado 1. Seguridad sin gestionar
Grado 2. Seguridad algo gestionada
Grado 3. Seguridad totalmente gestionada
Grado 3+. Certificacin ISO.
Grado 1
Promovido por tcnicos
Sin instruccin por parte de la direccin
Los tcnicos deciden qu proteger y cmo

hacerlo
Implantando de controles tcnicos de
proteccin
Grado 1
Antivirus de puesto
Antivirus de correo
Cortafuegos perimetral
Cortafuegos internos
IDS/IPS
Antivirus perimetral, proxy
..
Grado 1
La seguridad no son slo medidas tcnicas
La seguridad depende de las personas
Tambin son medidas organizativas
Las decisiones sobre la informacin a proteger

no son tcnicas
Se pueden pasar por alto controles importante
Grado 2. Seguridad algo gestionada

En busca de estndares
En bsqueda de estndares:
La serie ISO 27000
ISO 27001. Sistema de Gestin de Seguridad de la

Informacin
ISO 27002. Conjunto de buenas prcticas y
controles de seguridad que podran tenerse en
cuenta en una organizacin
ISO 27003. Guas de implantacin de un SGSI
ISO 27004. Mtricas de seguridad
ISO 27005. Gestin de riesgos
ISO 27006. Acreditacin de certificadores de SGSI
ISO 27799. Adaptacin de la ISO27002 para las

particularidades del sector sanitario
ISO 27002
ISO 27002 == ISO 17799
Seguridad de la informacin
La preservacin de la confidencialidad, la integridad

y la disponibilidad de la informacin, pudiendo
adems abarcar otras propiedades, como la
autenticidad, la responsabilidad, la fiabilidad y el no
repudio.
ISO 27002
Es una gua de buenas prcticas

Describe los objetivos de control y controles
recomendables en cuanto a seguridad de la
informacin
No es certificable.
Contiene 39 objetivos de control y 133
controles, agrupados en 11 dominios
Controles ISO 27002
Poltica de Seguridad
Aspectos organizativos de la Informacin
Gestin de Activos
Seguridad ligada a los recursos humanos
Seguridad fsica y ambiental
Gestin de comunicaciones y operaciones
Control de acceso
Adquisicin, desarrollo y mantenimiento de los Sistemas de

Informacin
Gestin de Incidentes de Seguridad
Gestin de Continuidad del negocio
Cumplimiento normativo
5. Poltica de seguridad
Existencia de una poltica que gue todas las

medidas de seguridad
Poltica respaldada por la direccin
Conocida por toda la organizacin
Revisada y actualizada
6. Aspectos organizativos
Organizacin interna
Coordinacin de todas las actuaciones en materia

de seguridad. Comit.
Definicin de responsabilidades
Acuerdos de confidencialidad
Contactos con autoridades
Terceras partes
Seguridad y riesgos en relaciones con clientes y

proveedores
7. Gestin de activos
Inventario y responsabilidad de activos
Identificar propietarios
Polticas de uso aceptable
Clasificacin de la informacin
8. Gestin de RRHH
Aceptacin de polticas y acuerdos de

confidencialidad
Formacin, sensibilizacin
Al finalizar el contrato
Devolucin de activos
Retirada de autorizacin
9. Seguridad fsica
Acceso fsico a instalaciones
Proteccin frente a amenazas del entorno
Robos
Suministro
Cableado
Destruccin/reutilizacin de equipos
10. Gestin de operaciones

y comunicaciones
Gestin de cambios
Aceptacin del sistema
Cdigo malicioso
Copias de seguridad
Controles de seguridad en la red
Gestin de soportes
Monitorizacin. Registros
11. Control de acceso
Gestin de usuarios
Gestin de privilegios
Sistemas de identificacin de usuarios
Polticas de contraseas
Control de acceso y uso de la red y los

sistemas
Segregacin de redes
Seguridad en movilidad
12. Compras, desarrollo y

mantenimiento
Requisitos de seguridad de aplicaciones

compradas o desarrolladas
Revisin de aplicaciones tras cambios
Acceso al cdigo fuente
Controles criptogrficos
Control de vulnerabilidades tcnicas
13. Sistema de gestin de

incidentes
Funcionamiento del sistema de gestin de

incidentes
14. Continuidad de negocio
Planes de contingencia en caso de catstrofe
15. Cumplimiento normativo
Cumplimiento de la legislacin vigente
LOPD
LSSIC
Propiedad intelectual
En qu se mejora con
ISO27002
Se tiene una visin global de la seguridad
Con el checklist es ms dificil 'olvidarse' algo
Se incorporan medidas organizativas
Se implica a la direccin
Grado 3. Seguridad gestionada

El sistema de gestin de seguridad
Sabemos nuestro nivel de seguridad?

Es suficiente para la informacin a proteger o
demasido?
En qu nos basamos para hacer inversiones
en seguridad?
Son efectivas nuestras medidas de

seguridad?
No disponemos de medidas del funcionamiento
y evolucin del sistema
Cmo saber si mejoramos o empeoramos?
SGSI: ISO 27001
SGSI = Sistema de Gestin de Seguridad de la

Informacin
ISMS = Information Security Management
System
Herramienta para gestionar la seguridad
Define un proceso sistemtico, documentado y
conocido por toda la organizacin para
gestionar la seguridad desde un enfoque de
riesgo empresarial
La seguridad total no existe

El objetivo de un SGSI es garantizar que los
riesgos de la seguridad sean conocidos y
gestionados de una forma sistemtica y
eficiente
Es una herramienta para conocer nuestro nivel
de riesgo y ayudarnos a minimizarlo a travs
de controles de seguridad o aceptarlo
Bisagra con la direccin
Es una herramienta de gestin empresarial
Habla el idioma de la direccin
Similar a otros sistemas de gestin
Compatible con ISO 9001 e ISO 14000
Propsito de alinear la seguridad a las

necesidades del negocio
Aporta cuadro de mando con indicadores
Enfoque top-down
Considera la informacin parte fundamental de

la organizacin
La seguridad de la informacin es un requisito
de negocio
Implicacin de los altos mandos marcando las
directrices
Las bases de un SGSI
Definicin del alcance

Seguridad orientada a los procesos de negocio
y dirigida por la direccin. Comit de seguridad.
Gestin de riesgos
Controles de seguridad
Indicadores del funcionamiento del SGSI
Proceso de mejora continuo
Gestin del riesgo
Identificacin de activos
Es importante saber qu es lo que queremos

proteger
Asignacin de importancia o prioridades a los
activos
Clasificacin de la informacin
Gestin de riesgos
Identificar los riesgos en base a:
Activos
Amenazas
Vulnerabilidades
Impacto
Riesgo: Prdida que se producira en nuestros

activos en caso de que se materializase una
amenaza aprovechando una vulnerabilidad
Gestin del riesgo
Gestin de Riesgos
Identificar los riesgos que pueden afectar a

nuestros activos
Tratamiento sistemtico del riesgo:
Evitarlo: Suprimir las causas del riesgo
Transferirlo: Outsourcing, seguros
Reducirlo
Asumirlo
Fijar los niveles de riesgo aceptables

Seleccin de controles
Basndos en el alcance, anlisis de riesgos y

la poltica de seguridad se seleccionan los
controles de seguridad
Declaracin de aplicabilidad
SGSI: Ciclo de vida
Ciclo de vida
PLAN
DO
Evaluacin de amenazas, riesgos e impacto

Se seleccionan e implementar los controles para
reducir el riesgo a un nivel aceptable
CHECK y ACT
Recogida de evidencias e indicadores que

realimentan el sistema
Proceso de mejora del sistema
PLAN: Establecer el SGSI
Definicin del alcance
Definir Poltica de Seguridad
Definir Metodologa de evaluacin del riesgo
DO: Implementar y utilizar

el SGSI
Seleccionar los controles en base al anlisis de

riesgos
Implantar los controles
Definir sistema de mtricas para saber la
eficacia de los controles
Formacin y concienciacin del personal
CHECK: Monitorizar y
revisar el SGSI
Comprobar la efectividad del SGSI y de los

controles
Revisar peridicamente las evaluaciones del
riesgo
Registrar acciones y eventos que puedan
afectar a la efectividad del sistema
ACT: Mantener y mejorar
Implantar mejoras identificadas en el paso

anterior
Condiciones para el xito
COMPROMISO DE LA DIRECCIN
Definir poltica de seguridad
Establecer responsabilidades
Asignacin de recursos
Formacin y concienciacin
Condiciones para el xito
COMPROMISO DE LA DIRECCIN
Definicin de alcance apropiada
Evaluacin de riesgos adecuada
Compromiso de mejora
Organizacin y comunicacin
Concienciacin del personal
Integracin del SGSI en la organizacin
Pasos para implantar un

SGSI
Formacin del personal
Convencer a la direccin
Elegir un alcance reducido
Crecer poco a poco
Qu aporta el SGSI
Los controles de seguridad se han fijado de

acuerdo a las prioridades del negocio y a los
riesgos
El anlisis de riesgos permite orientar las
inversiones
Podemos mejorar
Conocemos y aceptamos nuestro nivel de
seguridad
Qu aporta el SGSI
Conocer la efectividad de nuestras medidas de

seguridad
Aporta calidad a la seguridad
Concienciacin y compromiso
Inconvenientes
Excesiva burocracia
Sobrecarga de trabajo
Esfuerzo continuo para mantenerlo en marcha
Necesidad de recursos: esfuerzo, tiempo y

gasto
Grado 3+. Certificacin del SGSI
Utilidad de la certificacin?
Para empresas es clara:
Diferenciacin
Competitividad
No exclusin
Para organizaciones RedIRIS:
Recompensa al trabajo de implantacin
Imagen
Reconocimiento del funcionamiento del sistema por

un externo
El objetivo debera ser la certificacin

Certificacin = Inmunidad?
La certificacin es al sistema de gestin, no a

la seguridad tcnica.
No es garanta de inmunidad
Es viable implantar y
certificarse?
Es dificil en una organizacin grande y con

colectivos heterogeneos.
Es viable certificarse reduciendo el alcance
SIRA
Seguridad Informtica en la Red Acadmica
SIRA
Objetivos
Ayudar a las organizaciones a lograr el apoyo

institucional necesario
Evaluacin del nivel de seguridad en las
organizaciones
Ayudar a que las organizaciones sepan cules sus
puntos dbiles y cmo mejorar
SIRA
Medios
Encuesta de autoevaluacin basada en ISO27002
Documentacin de ayuda
Objetivo a largo plazo, crear una certificacin

'al estilo RACE'
SIRA: Participantes
Universidad de Almera
Universidad de Burgos
Universidad de Castilla La Mancha
CSIC
Universidad de Murcia
Universidad Pblica de Navarra
Universidad Pablo Olavide
Universidad del Pas Vasco
Universidad Politcnica de Catalua esCERT
Universidad Politcnica de Cartagena
Universidad de La Rioja
Universidad Rovira i Virgili

SGSI
Poniendo orden a la seguridad
Eduardo Bergasa
eduardo.bergasa@unirioja.es
Ms informacin
Normas ISO 27001, ISO 27002
www.iso27000.es

Sgsi Unirioja FS2009

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sgsi Unirioja FS2009

Cargado por

Copyright:

Formatos disponibles

SGSI

Poniendo orden a la seguridad

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

La seguridad sin control puede no ser efectiva

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Grado 0. Sin preocupacin por la seguridad

Grado 1. Seguridad sin gestionar

Grado 2. Seguridad algo gestionada

Grado 3. Seguridad totalmente gestionada

Grado 3+. Certificacin ISO.

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Promovido por tcnicos

Sin instruccin por parte de la direccin

Los tcnicos deciden qu proteger y cmo

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Antivirus perimetral, proxy

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

La seguridad no son slo medidas tcnicas

La seguridad depende de las personas

Tambin son medidas organizativas

Las decisiones sobre la informacin a proteger

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Grado 2. Seguridad algo gestionada

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

ISO 27001. Sistema de Gestin de Seguridad de la

ISO 27003. Guas de implantacin de un SGSI

ISO 27004. Mtricas de seguridad

ISO 27005. Gestin de riesgos

ISO 27006. Acreditacin de certificadores de SGSI

ISO 27799. Adaptacin de la ISO27002 para las

ISO 27002 == ISO 17799

La preservacin de la confidencialidad, la integridad

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Es una gua de buenas prcticas

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Controles ISO 27002

Aspectos organizativos de la Informacin

Seguridad ligada a los recursos humanos

Seguridad fsica y ambiental

Gestin de comunicaciones y operaciones

Adquisicin, desarrollo y mantenimiento de los Sistemas de

Gestin de Incidentes de Seguridad

Gestin de Continuidad del negocio

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Existencia de una poltica que gue todas las

Poltica respaldada por la direccin

Conocida por toda la organizacin

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Coordinacin de todas las actuaciones en materia

Contactos con autoridades

Seguridad y riesgos en relaciones con clientes y

Inventario y responsabilidad de activos

Polticas de uso aceptable

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Aceptacin de polticas y acuerdos de

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

Acceso fsico a instalaciones

Proteccin frente a amenazas del entorno

Eduardo Bergasa Balda - Ciudad Real Marzo 2009

10. Gestin de operaciones

Aceptacin del sistema

Controles de seguridad en la red

11. Control de acceso