ISEC ALSI Presentacion MARCO TEORICO ISO17799 2

Especializacion en Seguridad de la Información
INFORMATION SECURITY

Programa Integral de Formación Profesional en
IMPLEMENTACION PRACTICA de medidas de
Seguridad de la Información
ISO17799 / BS7799 / COBIT
Todos los derechos reservados

2005
Objetivo
Adquirir conocimientos, metodologías y herramientas

de implementación y control de medidas de seguridad
de la información de acuerdo con estándares
internacionales para:
La formación PROFESIONAL del individuo
La IMPLEMENTACION PRACTICA en las

organizaciones
2005
A QUIEN ESTA DIRIGIDO
Orientado a Responsables de áreas de Seguridad

Informática, TI, Profesionales de Areas de Sistemas,
Consultores de Tecnología, Auditores Internos y
Externos de Sistemas, Profesionales y
Administradores de distintas tecnologías.
2005
DESCRIPCION GENERAL
Este Programa Integral de Formación Profesional en
IMPLEMENTACION PRACTICA de medidas de Seguridad de la
Información está alineado con Normas Internacionales de aplicación en
la materia y de acuerdo con Certificaciones Internacionales en
Seguridad de la Información:
Normas Internacionales
•ISO177799
•BS7799
•ISO9001
•COBIT AUDIT GUIDELINES
•COSO
•ITIL
•SARBANES OXLEY ACT
2005
DESCRIPCION GENERAL
Alineado con Certificaciones Internacionales
•CISSP
•CISA
•CISM
•CIA
•ISEC+
•COMPTia
•ETHICAL HACKER OSSTMM
A su vez sus contenidos están alineados con los Diplomados

Internacionales distintas Universidades en Latinoamérica brindan
(Argentina, Ecuador, Bolivia, Perú, Chile, entre otros).
2005
Instructor
Martín Vila

Business Director I -Sec Information Security (2002-2005)

Country Manager Guarded Networks Argentina (2001)
Gerente experimentado de la práctica de Business Risk Management de
Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril
2001)

Ha liderado numerosos proyectos de Auditoría e Implementación de
Programas de Seguridad Informática en compañías de primer nivel en el
ámbito local e internacional.
Ha desarrollado y participado como instructor en Information Security
Courses en USA, Latinoamérica y Argentina (Arthur Andersen,
ISACA/ADACSI, Microsoft, Ernst & Young / IT College, I-Sec).
Ha sido invitado como Especialista en diversos medios de comunicación
masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE,
entre otros.
2005
Temario detallado
12 Módulos Funcionales como

Metodología Práctica de
Implementación
relacionados con
10 Dominios de la ISO 17799

TEORICOS

2005
Etapas
Los 12 Módulos Funcionales se dividen

en dos etapas:
• Módulos Funcionales 1 a 6
• Módulos Funcionales 7 a 12
2005
Temario detallado
Módulos Funcionales relacionados con Dominios de la ISO 17799:

MF.01. La Seguridad Informática actual: Riesgos e impacto en los
negocios. Normas aplicables. Implementación de un Programa Integral.
Enfoque ISO 17799.
DOMINIO 1. Política de Seguridad
MF.02. Políticas de Seguridad: Desarrollo de los temas a considerar.

Técnicas de implementación de Normas y Procedimientos. Mecanismos de
medición y mejora continua.
DOMINIO 1. Política de Seguridad
2005
Temario detallado
Módulos Funcionales relacionados con Dominios de la ISO 17799:

MF.03. Estructura Organizacional: Responsabilidades, roles, perfil de la
gente, Terceros y Contratados, Servicios de “HOSTING”.
DOMINIO 2. Organización de Seguridad
MF.04. Clasificación de Información: Inventarios, criterios de

clasificación, estrategias de evaluación de riesgos, metodologías de
implementación práctica.
DOMINIO 2. Organización de Seguridad

DOMINIO 3. Clasificación y Control de Activos
2005
Temario detallado
Módulos Funcionales relacionados con Dominios de la ISO

17799:

MF.05. Aspectos humanos de la seguridad: Concientización de usuarios,
sanciones, inducción inicial, convenios de confidencialidad.
DOMINIO 4. Aspectos humanos de la seguridad
2005
Temario detallado

17799:

MF.06. Seguridad en los Procesos Internos del área de Sistemas.
Seguridad Física y Ambiental.
DOMINIO 5. Seguridad Física y Ambiental

DOMINIO 6. Gestión de Comunicaciones y
Operaciones
DOMINIO 7. Sistema de Control de Accesos
DOMINIO 8. Desarrollo y Mantenimiento de
Sistemas
2005
Temario detallado

17799:
MF.07. Sistemas de Control de Accesos: ID, contraseñas, perfiles,

permisos de usuarios.

Operaciones
DOMINIO 7. Sistema de Control de Accesos
2005
Temario detallado

17799:

MF.08. Seguridad en el Desarrollo y Mantenimiento de Sistemas.

Operaciones
Sistemas
2005
Temario detallado

17799:

MF.09.Seguridad en Sistemas Aplicativos: Consideraciones,

Participación en Proyectos de Implementación.

Operaciones
Sistemas
2005
Temario detallado

17799:

MF.10. Plan de Continuidad del Negocio.
DOMINIO 9. Plan de Continuidad del Negocio
2005
Temario detallado
17799:

MF.11. Marco Normativo y Legal: Riesgos vs Delitos Informáticos,

Organismos y Normas Internacionales, Marco legal
DOMINIO 10. Cumplimiento
MF.12. Auditoría de Sistemas: objetivos, metodologías, enfoques

proactivos, requerimientos COBIT.
DOMINIO 10. Cumplimiento
2005
Módulo Funcional 01
La Seguridad Informática actual
• Riesgos e impacto en los negocios

• Normas, Metodologías y Legislaciones
• Enfoque ISO 17799
2005
Paso 1:
Por que?
Reconocer los riesgos y su impacto en

los negocios
CONSEGUIR EL APOYO DE LA
DIRECCION
2005
Qué Información proteger
• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
2005
Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos posible:

• sin grandes inversiones en software
• sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad
• parametrizando la seguridad propia de los sistemas
• utilizando herramientas licenciadas y libres en la web
2005
Paso 2:
Si igual voy a hacer algo, porque no lo

hago teniendo en cuenta las Normas,
Metodologías y Legislaciones
Internacionales aplicables
2005
Normas, Metodologías, Legislaciones aplicables
Entre los distintos organismos relacionados comercial y/o

institucionalmente con los temas de Seguridad de la Información,
podemos encontrar los siguientes:
 Information Systems and Audit Control Association - ISACA:

METODOLOGIA COBIT
 British Standards Institute: BS
 International Standards Organization: Normas ISO
 Departamento de Defensa de USA: Orange Book / Common Criteria
 ITSEC – Information Technology Security Evaluation Criteria: White
Book
 Sans Institute
 Sarbanes Oxley Act, HIPAA Act
2005
Gestión de Seguridad
Norma ISO 17799
2005
Normas de Gestión ISO
International Standards Organization: Normas ISO

• ISO 9001 – Calidad
• ISO 14001 – Ambiental
• ISO 17799 – Seguridad de la Información
• La principal norma de Evaluación e Implementación de

medidas de Seguridad en Tecnologías de la Información
es la NORMA ISO 17799.
• Basada en el BRITISH STANDARD 7799.
• ISO (Europa) y NIST (USA).
2005
Norma ISO 17799 Seguridad de la Información
Dos partes:
17799 – 1 . NORMALIZACION (Mejores Prácticas)
17799 – 2 . CERTIFICACION
Aún no fue publicada por ISO.
Hoy en día las certificaciones son sobre el BS 7799.
2005
Está organizada en diez capítulos en los que se tratan los

distintos criterios a ser tenidos en cuenta en cada tema para
llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestión de la seguridad de la

información
Base común para el desarrollo de estándares de
seguridad
2005
Preservar la:
confidencialidad:
accesible sólo a aquellas personas autorizadas a tener acceso.
integridad:
exactitud y totalidad de la información y los métodos de
procesamiento.
disponibilidad:
acceso a la información y a los recursos relacionados con ella
toda vez que se requiera.
2005
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
2005
Factores críticos del éxito
• política de seguridad, objetivos y actividades que

reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que
sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la
gerencia;
• un claro entendimiento de los requerimientos de
seguridad, la evaluación de riesgos y la
administración de los mismos;
• comunicación eficaz de los temas de seguridad a
todos los gerentes y empleados;
2005
Factores críticos del éxito
• distribución de guías sobre políticas y estándares de

seguridad de la información a todos los empleados y
contratistas;
• instrucción y entrenamiento adecuados;
• un sistema integral y equilibrado de medición que se
utilice para evaluar el desempeño de la gestión de la
seguridad de la información y para brindar
sugerencias tendientes a mejorarlo.
2005
Cómo se desarrollan los Módulos?
2005
EJEMPLO
Módulo Funcional 02
Políticas de Seguridad
• Desarrollo de los temas a considerar
• Técnicas de implementación de Normas,
Procedimientos y Estándares.
• Mecanismos de medición y mejora continua.
2005
Paso 1: qué dicen las normas?
Requerimiento de
Normativas Internacionales
ISO 17799 Seguridad de la Información
2005
Marco Normativo ISO 17799
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
2005
Paso 2: cómo lo llevo a la práctica?
Etapas Generales
en el Desarrollo e Implementación de un
Manual de Gestión
de Seguridad de la Información
2005
Identificar el equipo responsable
Equipo de Redacción
• Sistemas (operaciones, desarrollo, tecnología)

• Organización y Métodos / Normas
• Auditoría Interna
• Seguridad Informática
• Administración de Seguridad
• Representantes del sector usuario
• En algunos temas: Legales y RRHH.
2005
Identificar el equipo responsable
Equipo de Aprobación
• Nivel gerencial de los sectores definidos

• Foro / Comité de Seguridad Informática
• Diferenciar:
• Aprobación TECNICA
• Aprobación FORMAL
2005
Cierre del Entrenamiento
Facilidad en el USO vs mejor PROTECCION

de la Información
2005

ISEC ALSI Presentacion MARCO TEORICO ISO17799 2

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISEC ALSI Presentacion MARCO TEORICO ISO17799 2

Cargado por

Copyright:

Formatos disponibles

Especializacion en Seguridad de la Información

ISO17799 / BS7799 / COBIT

Todos los derechos reservados

Adquirir conocimientos, metodologías y herramientas

La formación PROFESIONAL del individuo

La IMPLEMENTACION PRACTICA en las

A QUIEN ESTA DIRIGIDO

Orientado a Responsables de áreas de Seguridad

A su vez sus contenidos están alineados con los Diplomados

Business Director I -Sec Information Security (2002-2005)

12 Módulos Funcionales como

10 Dominios de la ISO 17799

Los 12 Módulos Funcionales se dividen

Módulos Funcionales relacionados con Dominios de la ISO 17799:

DOMINIO 1. Política de Seguridad

MF.02. Políticas de Seguridad: Desarrollo de los temas a considerar.

DOMINIO 1. Política de Seguridad

Módulos Funcionales relacionados con Dominios de la ISO 17799:

DOMINIO 2. Organización de Seguridad

MF.04. Clasificación de Información: Inventarios, criterios de

DOMINIO 2. Organización de Seguridad

Módulos Funcionales relacionados con Dominios de la ISO

Módulos Funcionales relacionados con Dominios de la ISO

DOMINIO 5. Seguridad Física y Ambiental

Módulos Funcionales relacionados con Dominios de la ISO

MF.07. Sistemas de Control de Accesos: ID, contraseñas, perfiles,

DOMINIO 6. Gestión de Comunicaciones y

Módulos Funcionales relacionados con Dominios de la ISO

MF.08. Seguridad en el Desarrollo y Mantenimiento de Sistemas.

DOMINIO 6. Gestión de Comunicaciones y

Módulos Funcionales relacionados con Dominios de la ISO

MF.09.Seguridad en Sistemas Aplicativos: Consideraciones,

DOMINIO 6. Gestión de Comunicaciones y

Módulos Funcionales relacionados con Dominios de la ISO

MF.10. Plan de Continuidad del Negocio.

DOMINIO 9. Plan de Continuidad del Negocio

MF.11. Marco Normativo y Legal: Riesgos vs Delitos Informáticos,

DOMINIO 10. Cumplimiento

MF.12. Auditoría de Sistemas: objetivos, metodologías, enfoques

DOMINIO 10. Cumplimiento

La Seguridad Informática actual

• Riesgos e impacto en los negocios

Reconocer los riesgos y su impacto en

Qué Información proteger

• en formato electrónico / magnético / óptico

• en el conocimiento de las personas

Principales riesgos y el impacto en los negocios

Se puede estar preparado para que ocurran lo menos posible:

Si igual voy a hacer algo, porque no lo

Normas, Metodologías, Legislaciones aplicables

Entre los distintos organismos relacionados comercial y/o

 Information Systems and Audit Control Association - ISACA:

Normas de Gestión ISO

International Standards Organization: Normas ISO

• La principal norma de Evaluación e Implementación de

Norma ISO 17799 Seguridad de la Información

17799 – 1 . NORMALIZACION (Mejores Prácticas)

Aún no fue publicada por ISO.

Hoy en día las certificaciones son sobre el BS 7799.

Norma ISO 17799 Seguridad de la Información

Está organizada en diez capítulos en los que se tratan los

GESTION DE SEGURIDAD DE LA INFORMACION