Taller Nacional

Sistema de Seguridad de la
Informacin

Departamento de Gestin
Sectorial TIC

Octubre 2014
 TALLER SISTEMA DE SEGURIDAD DE LA
INFORMACION
Agenda

1. Introduccin, fundamentos y definiciones sobre la

Seguridad de la Informacin.

2. Estructura de la Norma NCh-ISO 27001.Of2009.

3. Revisin de dominios del SSI.

4. Buenas Prctica en la implementacin de un SSI.

2
SEGURIDAD DE LA INFORMACION

Cualquiera sea la forma que tome la informacin o los medios por

los que se comparta o almacene, debera ser siempre protegida de
forma adecuada.

NCh-ISO 27001.Of2009.

4
SEGURIDAD DE LA INFORMACION

La gestin de la seguridad de la informacin busca proteger

todos los activos de informacin con el fin de asegurar su
Confidencialidad, Integridad y Disponibilidad

Para la
Informacin
persona
correcta
correcta

Informacin

Disponibilidad

En el
momento
correcto

5
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
ACTIVOS

Activos de Activos Activos de Activos

Informacin Fsicos Servicios TI Humanos
Datos digitales: Bases
de datos, copias de
seguridad, claves Infraestructura de TI:
CPD, edificios, oficinas
Activos tangibles: Funcionarios
correos, libros,
archivadores, llaves
Equipamiento :
Activos intangibles: Servicios de
Hardware, estaciones
conocimiento, autentificacin,
de trabajo, porttiles,
relaciones servicios de red
discos duros

Software
Externos
Controles del entorno
TI, aire acondicionado,
Sistemas Operativos alarmas

9
 SEGURIDAD DE LA INFORMACION
Ejemplos de Amenaza de los Activos

Ataques externos
Robos de medios o
informacin
Desastres naturales

Interrupciones de
servicio

Ataques internos
Acciones no autorizadas

10
SISTEMA DE SEGURIDAD DE LA INFORMACION

OBJETIVO DEL SISTEMA DE SEGURIDAD

DE LA INFORMACIN

Lograr niveles adecuados de integridad,

disponibilidad y confidencialidad para toda la
informacin institucional relevante, con el
objeto de asegurar la continuidad operacional
de los procesos y servicios.

1
1
Cmo se conforma un Sistema de
Seguridad de la informacin?
Qu es el Sistema de Seguridad de la Informacin?

Acciones preventivas y Conformar el Comit de

correctivas (correccin de no Seguridad.
conformidades del SGSI) Nombrar al Encargado de
Seguridad.
Definir la Poltica de Seguridad
de la Informacin.
Definir el Alcance del SGSI.
ACTUAR PLANIFICAR

Definir el tratamiento de Riesgos.

Implementar los controles (ISO
27001)
Revisar la efectividad del VERIFICAR HACER Definir el sistema de mtricas.
SGSI (cumplimiento de
polticas, objetivos,
procedimientos, etc.)
Auditoras.
Revisin del Encargado de
Seguridad
Revisiones del Comit de
Seguridad.
Por qu es necesario un Sistema de
Seguridad de la Informacin?

Reduccin de Riesgos.
Contar con un proceso definido para Administrar la
seguridad de la informacin
Una mejora continua en la gestin de la seguridad.
Una garanta de continuidad y disponibilidad del negocio.
Reduccin de los costos vinculados a los incidentes.
Cumplimiento Legal

13
Sistema de Seguridad de la Informacin (SSI),
Estructura
Controles/
Dominio Objetivos
Requisitos

11 Dominios Poltica de Seguridad 1 2

Organizacin de la Seguridad de la Informacin 2 11

Gestin de Activos 2 5

39 Seguridad de Recursos Humanos 3 9

Seguridad Fsica y Ambiental 2 13

Objetivos
Gestin de las comunicaciones y las operaciones 10 32

Control de acceso 7 25

133 Adquisicin, desarrollo y mantenimiento de los

sistemas de informacin
6 16

Controles Gestin de incidentes de SI 2 5

Gestin de la continuidad del negocio 1 5

Cumplimiento 3 10

TOTAL (11) 39 133

DOMINIO 5: POLITICA DE SEGURIDAD

OBJETIVO

Proporcionar orientacin y apoyo de la direccin para la seguridad de la informacin, de acuerdo con los requisitos del
negocio y con las regulaciones y leyes pertinentes.

Para la En el
Informacin
persona momento
correcta
correcta correcto
DOMINIO 6: ORGANIZACION DE LA SEGURIDAD
DE LA INFORMACION
OBJETIVO

Establecer un marco referencial a nivel directivo para iniciar y controlar la implementacin de la Seguridad de la
Informacin dentro de la institucin.

Aprueba las polticas de seguridad

Valida el proceso de gestin de
Seguridad de la Informacin DIRECCION
Sanciona las estrategias y mecanismos
de control para el tratamiento de
riesgos ENCARGADO
COMITE
DE SEGURIDAD
Aprueba los recursos necesarios para la
ejecucin de SGSI
AREAS AREAS AREAS
DOMINIO 7: GESTION DE ACTIVOS

OBJETIVO

Lograr y mantener una apropiada proteccin de los activos institucionales. Todos los activos deben ser inventariados y
contar con un propietario nombrado.

Todos los activos

relevantes deben ser
inventariados
DOMINIO 8: SEGURIDAD RELATIVA A LOS
RECURSOS HUMANOS
OBJETIVO

Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idneos para los roles para
los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.
DOMINIO 9: SEGURIDAD FISICA Y DEL AMBIENTE

OBJETIVO

Este dominio consiste en prevenir el acceso no autorizado, dao e interferencia a las instalaciones de la institucin y a la
informacin.
Los equipos de procesamiento de informacin crtica o sensible de la institucin se deben mantener en reas seguras,
protegidos por un permetro de seguridad definido, con barreras apropiadas de seguridad y controles de entrada. stos
deben estar fsicamente protegidos del acceso no autorizado, dao e interferencia.
DOMINIO 10: GESTION DE COMUNICACIONES Y
OPERACIONES
OBJETIVOS

Documentar las operaciones (Procedimientos Documentados)

Gestionar los servicios provistos por terceros.
Minimizar los riesgos de fallas e integridad de los sistemas.
Garantizar la integridad y disponibilidad de la informacin (respaldos)
Proteger la informacin en redes y la infraestructura de soporte.
Proteger los intercambios de informacin y software.
DOMINIO 11: CONTROL DE ACCESO

OBJETIVOS

Gestin de los accesos de los usuarios.

Responsabilidades del usuario.
Control de acceso a la red.
Control de acceso al sistema operativo.
Control de acceso a las aplicaciones y a la informacin.
DOMINIO 12: ADQUISICION, DESARROLLO Y
MANTENIMIENTO DE LOS SISTEMAS
OBJETIVOS

Requisitos de seguridad para los sistemas de informacin.

Procesamiento correcto de las aplicaciones (prdida, modificacin o mal uso de la informacin).
Seguridad en los procesos de desarrollo y soporte.

DESARROLLO
DE SISTEMAS Requisitos de
seguridad

Procesamiento
correcto de las
aplicaciones

Seguridad en los
procesos de
desarrollo
DOMINIO 13: GESTION DE INCIDENTES DE LA
SEGURIDAD DE INFORMACION
OBJETIVO

Asegurar que las debilidades y eventos de seguridad sean comunicados y gestionados.

DOMINIO 14: GESTION DE LA CONTINUIDAD DEL
NEGOCIO
OBJETIVOS

Contrarrestar interrupciones a las actividades del negocio y proteger los procesos crticos del negocio contra los efectos
de fallas importantes en los sistemas de informacin o contra desastres, y asegurar su restauracin oportuna.
DOMINIO 15: CUMPLIMIENTO

OBJETIVOS

Asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin.
Evitar los incumplimientos de cualquier ley, estatuto, regulacin, u obligacin contractual, y de cualquier requisito de
seguridad.

Cumplir normas y polticas de seguridad.

Evitar incumplimientos de leyes,

estatutos, etc..
BUENAS PRACTICAS EN AL IMPLEMENTACION DE
UN SISTEMA DE SEGURIDAD DE LA INFORMACION

1. Conformar el Comit de Seguridad de la Informacin (obtener el

compromiso de la Direccin).

2. Nombrar al Encargado de Seguridad de la Informacin.

3. Establecer la Poltica General de Seguridad.

4. Definir el alcance del Sistema (procesos de generacin de productos

y servicios).

5. Identificar los activos de informacin.

6. Levantar los riesgos asociados a los activos.

7. Implementar los procesos para mitigar los riesgos (Polticas,

procedimientos, instructivos).

26
Sistema de Seguridad de la Informacin (SSI),
Documentacin de Seguridad

Link
Minsal:
http://web.minsal.cl/seguridad_de_la_informacion

Dipres:
http://www.dipres.gob.cl/594/w3-propertyvalue-
16887.html

27
Sistema de Seguridad de la Informacin (SSI),

Rodrigo Vidal Arteaga rodrigo.vidal@minsal.cl telfono 2 57 40049

Jos Villa Cataln jose.villa@minsal.cl telfono 2 57 40020

28