Estrategias para la

Implementacin de un
Sistema de Gestin de
Seguridad de Informacin

Agenda
Definiciones , Aspectos Conceptuales, Tendencias


Metodologa propuesta para ISO/IEC 27001
Paso a Paso
Conclusiones
1
2
3
4
5
Introduccin
Antes de comenzar
Recomendaciones de la sala
Uso de telfonos mviles, notebooks y PDA
No fumar
FACILITADOR
Eduardo A. Recabarren Domnguez

Oficial de Privacidad y Seguridad
del Banco de Chile

Ingeniero en Computacin e Informtica
Ingeniero Civil Industrial
Quines somos?

El Banco de Chile, fundado en 1893, ha liderado el
mercado financiero chileno como uno de los bancos
ms exitosos en trminos de retorno de activos y en
la creacin de mayor valor para sus accionistas.

Las actividades del Banco de Chile se desarrollan bajo
una estrategia multimarca, en que las marcas Banco
de Chile y Banco Edwards-Citi cubren los segmentos
de empresas y personas, mientras que el segmento
de consumo es atendido bajo la marca Banco
Credichile, a travs de redes de distribucin
independientes y de cobertura nacional.

Quines somos?
El 2 de enero del 2008 nace un nuevo Banco de Chile,
a raz de la fusin que se produce entre ste y
Citibank Chile.

La nueva organizacin cuenta con:
Una participacin de mercado en torno al 20% de las
colocaciones del sistema.
Ms de 1,5 millones de clientes
Una red de cobertura con ms de 400 sucursales a lo largo del
pas.
Nuevas ventajas competitivas, con una mejor cobertura
internacional, para la gama de productos y servicios globales
ofrecidos a los clientes.
- Gerente General
- Gerente Divisin Gestin y Control Financiero
- Gerente Divisin Operaciones y Tecnologa
- Gerente Divisin de Calidad
- Gerente Divisin Contralora
- Gerente Seguridad y Prevencin de Riesgo
- Gerente de Riesgo Operacional
Seguimiento, control de
avance y escalamiento
PMO
- Gerente de Riesgo Operacional
- Gerente Operaciones Especializadas Tesorera
- Gerente de Contralora
- Gerente Servicio Cliente
- Jefe rea Consumo
- Jefe Depto. Riesgo Operacional
- Gerente Serv. Procesamiento e Infraestructura
- Gerencia Zonal
- Gerente Operaciones Productos Masivos Comit Operativo de
Riesgo Operacional
CERO - Comit Ejecutivo
de Riesgo Operacional
Gerencia Riesgo Operacional
AREA RIESGO OPERACIONAL
AREA SEGURIDAD DE LA
INFORMACION
AREA CONTINUIDAD DEL
NEGOCIO
Autoevaluacin de Riesgo Operacional
Proceso SOX
Matriz de Autoevaluacin (MAE )
Proceso de Castigos
Evaluacin de Proveedores (SAS 70)
Evaluacin nuevos procesos y productos
Educacin
Proyectos Tecnolgicos
Administracin de Infraestructura TI
Evaluacin de Riesgo
Aceptacin de riesgo
Comit Administracin de Incidentes (SIRT)
Comit de Arquitectura Tecnolgica (CAT)
Educacin
Modelo de Continuidad
Definicin Procesos Crticos
Planes de Continuidad del Negocio
Plan de Recuperacin de Desastres
Comit Administracin de Crisis
Coordinacin de Pruebas
Educacin
Estructura Gobierno de SI
Algunas Definiciones Previas..
Seguridad de la Informacin (SI).- Preservacin de la confidencialidad, integridad
y disponibilidad de la informacin; adicionalmente autenticidad, responsabilidad,
no repudio y confiabilidad.

SGSI.- La parte del Sistema de gestin Global, basada en una orientacin a riesgo de
negocio, para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar la seguridad de la informacin.

Activo.- Algo que tiene valor para la organizacin (ISO/IEC 13335-1:2004)

Amenaza.- Evento que puede provocar un incidente en la organizacin produciendo
daos o prdidas materiales y/o inmateriales

Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias
externas.


9
Tendencias
10
Tendencias
11
Tendencias
12
Tendencias
Tendencias
Cabe la Pregunta:

A quien compete la Seguridad de la Informacin en una
organizacin: ?

Gestores de la organizacin

Contralores, auditores internos

Personal de TI

Personal en general
Aspectos Conceptuales
La Seguridad de la Informacin es responsabilidad de los dueos de la informacin
Misin:

Detectar que se debe proteger

Detectar nuestras debilidades

Proponer controles

Implementar controles

Medir el desempeo de los controles
Aspectos Conceptuales
Qu es ISO/IEC 27000?
Familia de estndares ISO orientados a la Seguridad
de Informacin
ISO 27000: Conceptos y definiciones que soportan a
la familia.
Integrantes
ISO /IEC 27001
ISO /IEC 27002
ISO/IEC 27003: Gua de Implementacin siguiendo PHVA
ISO/IEC 27004: Estndar para Mtricas y Mediciones de
Gestin de Seguridad de Informacin
ISO/IEC 27005: Estndar de Gestin de Riesgos de Seguridad
de informacin (BS-7799:3)
ISO/IEC 27006: Gua para la recuperacin ante desastres de
servicios tecnolgicos de informacin y comunicacin
Gestin de Riesgos de la
Informacin
POR QU GESTIN DE RIESGOS DE LA INFORMACIN?
Necesidad de Proteger la Informacin
Sin embargo, esto puede generar:
Crecimiento de cantidad y complejidad de los controles
Prdida del foco de actividades (Seguridad v/s Negocio)
Por otra parte, requiere:
Mediciones del impacto producido por los controles en
seguridad
Aplicar un criterio de negocios
CUAL ESCOGER?
Depende de cual sea el objetivo
Orientada a Procesos
ISO 9001:2000
ISO/IEC 27001
CMM
ITIL
ISM3
Orientada a Controles
ISO 13335-4
BSI-ITPM
Orientada a Productos
Common Criteria
Orientada al Anlisis de Riesgos
OCTAVE
Magerit
Orientada a la Buenas Prcticas
ISO/EIC 17799:2005
Cobit
ISF-SGP
Implantacin de un SGSI
Metodologa propuesta para ISO/IEC 27001 (1/5)
Factores Crticos de xito
Apoyo de la
Administracin
Beneficios de Negocios
Gua para la aproximacin
procesos
Gua para el uso del modelo
PHVA
Metodologa propuesta para
ISO/IEC 27004 (2/5)
Gua Proceso Planificar
Introduccin
Estableciendo el alcance del SGSI
Formulando las polticas de SGSI y
Seguridad de Informacin
Ejecutando la valoracin de riesgos
Tomando decisiones en el
tratamiento de riesgos
Metodologa propuesta para
ISO/IEC 27004 (3/5)
Gua Proceso Hacer
Introduccin
Creando e Implantando el Plan de
Tratamiento de Riesgos
Implementado los controles
Capacitacin y sensibilizacin
Implementando un programa de manejo
de incidentes de seguridad de
informacin
Administrando recursos
Metodologa propuesta para
ISO/IEC 27004 (4/5)
Gua Proceso Verificar
Introduccin
Monitoreo
Chequeo rutinario
Self-policing
procedures
Revisiones
Haciendo Auditorias internas del SGSI
Ejecutando revisiones administrativas
Midiendo el SGSI
Analizando tendencias
Controlando documentacin y registros
Metodologa propuesta para
ISO/IEC 27004 (5/5)
Gua Proceso Actuar
Introduccin
Implementando mejoras
Identificando no-conformidades
Identificando e implementado acciones
preventivas y correctivas
Asegurando mejora continua.
Probando
Comunicando cambios y mejoras
Oferta del mercado
Implantador certificado
Metodologas express para SGSI
Cuales son los pasos previos y
su construccin?
Pasos Previos
Cmo me preparo para el proceso
Pasos Previos
I. Identificar los objetivos estratgicos de la
organizacin
II. Identificar legislacin, regulaciones y obligaciones
contractuales aplicables
III. Establezca el mbito al que orientar su labor
IV. Establecer la necesidad de gestionar los riesgos
V. Identificar procesos clave
VI. Identificar a las personas clave
VII. Identificar los activos de informacin relevantes
Lo primero es
Defina su propia
planificacin
Estrategia de Seguridad
Objetivos
Tareas especficas
Plazos y entregables
Recomendacin:
Nunca deje de retroalimentar a la alta
direccin
Ley 19223 Delitos Informticos.
Ley 19799 Firma Electrnica.
Ley 19628 Proteccin de datos
Personales
Ley 20009 Responsabilidad de tarjetas
de crdito
Otras especficas
Obligaciones contractuales y
regulaciones
Tabule para contar con registro y orden.
Atencin las transnacionales!!
Identificando legislacin aplicable
Legislacin Chilena
Implantacin de un Sistema de
Gestin de Seguridad de la
Informacin
Implantacin de un sistema de Gestin de
Seguridad de Informacin
Establecer el Alcance
Establezca criterios de riesgo
Identifique y valorice los activos de informacin
Determine el nivel de riesgo real
Escriba la Poltica de Seguridad
Elabore el Documento de Aplicabilidad
Objetivos de control y controles
Definicin de polticas, normas y procedimientos
Produccin e implantacin
Complementacin de la documentacin del SGSI
Auditoria y Revisin del SGSI
Resumen revisin de proceso de implantacin
Establecer el Alcance
Definir cual o cuales procesos sern considerados
dentro del SGSI
Especificar activos que participan
Listado de contratos y acuerdos
Mapas de red
Inventario de activos relevantes

(Clusulas 4.2.a ISO/IEC 27001)
Identificando objetivos estratgicos (1/2)
Pregunte
Un gran nmero de organizaciones no realiza planificacin
estratgica
Cual es el objetivo de la organizacin
Quin es l o los clientes?
Cules son las necesidades de su cliente que su
organizacin satisface?
Cmo satisface su organizacin las necesidades de sus
clientes?
Podr tener una idea de cuales son las principales lneas de
actividad de la organizacin
Identificando objetivos estratgicos (2/2)
Para cada negocio o actividad identificado responda:
Existen metas de crecimiento?
Existe orden de posicionar algn producto o servicio en
particular?
Objetivos Financieros?
Mejorar la satisfaccin de los clientes?
Mejorar el tiempo de solucin de problemas internos?
Desarrollar un nuevo negocio?
Estas respuestas le ayudarn a tener una idea general de los
objetivos estratgicos de su organizacin.
Mapa de Procesos (1/4)
Proceso I
Proceso E Proceso B
Proceso H Proceso L Proceso F Proceso C
Proceso G Proceso K
Proceso A Proceso J Proceso D
E
s
t
r
a
t
e
g
i
c
o
s

C
l
a
v
e

D
e

A
p
o
y
o

Mapa de Procesos (2/4)
Tareas
Proceso (Propietario)
Salidas
Medidas de Mejora Cambios?
Entradas
Activos Registros Controles
Mapa de Procesos (2/4)
Tareas
Proceso (Propietario)
Salidas
Medidas de Mejora Cambios?
Entradas
Activos Registros Controles
Mapa de Procesos (3/4)
C
l
i
e
n
t
e
s

C
l
i
e
n
t
e
s

Mapa de Procesos (4/4)
Interrelacin de procesos
Establezca Alcance
Establezca el alcance de su Sistema de Gestion de
Seguridad de Informacion.
Identifique y valorice los activos de informacin
Identifique los activos de informacin
Defina a los roles asociados a cada uno de ellos
Clasifique los activos de informacin de acuerdo a
algn criterio preestablecido
Redacte guas de uso aceptable de los activos
dependiendo su clasificacin

(Clusulas 7.1, 7.2 ISO/IEC 17799:2005)
Identificar los activos
Caracterice cada uno de los procesos relevantes para
los objetivos asociados a su proyecto de Seguridad
de Informacin
Identificar los activos de informacin
Cuales son los activos de informacin
Procesamiento
Almacenamiento
Otros
Definicin de Roles
Dueo
Custodio
Usuario
Identificar Riesgos
Qu puede suceder?
Cmo puede suceder?
Tomando en cuenta los resultados de ejercicios anteriores,
formule su propia tabla de identificacin de riesgos
Anlisis de Riesgo (2/2)
Realice un anlisis de riesgo
empleando uno de los
mtodos mencionados
anteriormente.
Evaluacin de Riesgo
Evale los Riesgos empleando
uno de los criterios mencionados
o defina un criterio propio con su
grupo de trabajo.
Establezca el criterios de riesgo
Defina la metodologa de aproximacin a la valoracin de riesgo
y documntela.
Desarrolle el proceso de anlisis y evaluacin de riesgos.


(Clusula 4.2.1.c;d;e ISO/IEC 27001:2005)
Poltica de Seguridad
Escriba una Poltica de Seguridad de Informacin
Emplee la ficha 8.
Defina un protocolo de revisiones de la misma.


(Clusula 5.1, ISO/IEC 17799:2005)
(Clusula 4.2.1b ISO/IEC 27001:2005)
Escriba el Documento de Aplicabilidad
Seleccione los Objetivos de Control y Controles.
Justifique cualquier exclusin apoyndose en el
anlisis de riesgos


(Clusula 4.2.1j ISO/IEC 27001:2005)
Documento de Aplicabilidad
Escriba su documentos de Aplicabilidad
Definicin de Polticas, normas
Estructura Documental
Establezca un sistema de gestin de documentos
Poltica General
Alcance Documentado
Procedimientos de Apoyo a SGSI
Descripcin Aproximacin AR
Reporte del Anlisis de Riesgos
Plan de Tratamiento de Riesgos
Procedimientos Documentados
Acciones Correctivas
Acciones Preventivas
Plan de Auditorias
Plan de Revisiones Administrativas
Registros requeridos
Control de Documentos
Control de Registros
Documento de Aplicabilidad
Complementacin de Documentacin
Es necesario crear una poltica especfica

Procedimiento Mejora Continua
Plan de Auditorias Internas
Registros de ejecucin
Plan de Revisiones Administrativas
Registros
Proc. Manejo No-Conformidades
Proc. Acciones Preventivas

(Clusulas 6, 7 y 8 ISO/IEC 27001:2005)
Resumen de Pasos para la Implementacin



Plan de
Continuidad
Operativa de
Negocio (BCP)
Plan de
Contingencia
Tecnolgico
(DRP)
Plan Anual de
Seguridad de
la Informacin
Plan Anual de
Riesgo
Operacional
Oficial de Seguridad de
la Informacin (OSI)
Define Poltica de
Continuidad y Estrategia
Desarrolla y actualiza
Impulsa y coordina
Comit de Seguridad
Informacin
Desarrolla, mantiene
y realiza seguimiento al
SGSI
Depende
Aprueba
Define y confecciona
Controla
Aprueba
Auditora
Audita
Conclusiones
La Seguridad de la Informacin es un Proceso
La Seguridad de la Informacin se basa en Personas
La Seguridad de la Informacin debe orientarse al Riesgo

No existe la Seguridad Absoluta. El SGSI AYUDA a la gestin.

Un proyecto SGSI requiere un equipo de trabajo
MULTICONOCIMIENTO
Conclusiones
Beneficios de un SGSI
Conocer realmente los activos que disponemos
Involucrar a la Alta direccin en la Seg. de la Inf.
Realizar anlisis de Riesgos para el desarrollo del Negocio
Disponer de planes de contingencia ante incidentes
Disminucin de riesgos a Niveles aceptables
..