Implementación práctica de seguridad de la información

Especializacion en Seguridad de la Información
INFORMATION SECURITY

Programa Integral de Formación Profesional en
IMPLEMENTACION PRACTICA de medidas de
Seguridad de la Información
Etapa 2: IMPLEMENTACION PRACTICA DEL PROGRAMA

DE SEGURIDAD ISO17799 / BS7799 / COBIT – Parte 1
Todos los derechos reservados

2005
Objetivo
Adquirir conocimientos, metodologías y herramientas

de implementación y control de medidas de seguridad
de la información de acuerdo con estándares
internacionales para:
La formación PROFESIONAL del individuo
La IMPLEMENTACION PRACTICA en las

organizaciones
2005
A QUIEN ESTA DIRIGIDO
Orientado Responsables de áreas de Seguridad

Informática, TI, Profesionales de Areas de Sistemas,
Consultores de Tecnología, Auditores Internos y
Externos de Sistemas, Profesionales y
Administradores de distintas Tecnologías.
2005
DESCRIPCION GENERAL
Este Programa Integral de Formación Profesional en
IMPLEMENTACION PRACTICA de medidas de Seguridad de la
Información está alineado con Normas Internacionales de aplicación en
la materia y de acuerdo con Certificaciones Internacionales en
Seguridad de la Información:
Normas Internacionales
•ISO177799
•BS7799
•ISO9001
•COBIT AUDIT GUIDELINES
•COSO
•ITIL
•SARBANES OXLEY ACT
2005
DESCRIPCION GENERAL
Alineado con Certificaciones Internacionales
•CISSP
•CISA
•CISM
•CIA
•ISEC+
•COMPTia
•ETHICAL HACKER OSSTMM
A su vez sus contenidos están alineados con los Diplomados

Internacionales distintas Universidades en Latinoamérica brindan
(Argentina, Ecuador, Bolivia, Perú, Chile, entre otros).
2005
Instructor
Martín Vila
martin.vila@i-sec.org www.i-sec.org
Business Director I -Sec Information Security (2002-2005)
Country Manager Guarded Networks Argentina (2001)
Gerente experimentado de la práctica de Business Risk Management de
Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril
2001)
Ha liderado numerosos proyectos de Auditoría e Implementación de
Programas de Seguridad Informática en compañías de primer nivel en el
ámbito local e internacional.
Ha desarrollado y participado como instructor en Information Security
Courses en USA, Latinoamérica y Argentina (Arthur Andersen,
ISACA/ADACSI, Microsoft, Ernst & Young / IT College, I-Sec).
Ha sido invitado como Especialista en diversos medios de comunicación
masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE,
entre otros.
2005
Temario detallado
12 Módulos Funcionales como

Metodología Práctica de
Implementación
relacionados con
10 Dominios de la ISO 17799

TEORICOS

2005
Temario detallado
Etapa 2
IMPLEMENTACION PRACTICA DEL PROGRAMA
DE SEGURIDAD – Parte 1
Se desarrollará la primera parte de una Metodología

Práctica de Implementación de los criterios de
seguridad, y están directamente relacionados con los 10
Dominios de la ISO 17799 TEORICOS con el detalle de
los respectivos controles. Esta Metodología Práctica se
divide en 12 Módulos Funcionales de aplicación, y en
esta primera parte se verán los primeros 6.
2005
Módulo Funcional 01
La Seguridad Informática actual
• Riesgos e impacto en los negocios

• Normas, Metodologías y Legislaciones
• Enfoque ISO 17799
2005
Paso 1:
Por que?
Reconocer los riesgos y su impacto en

los negocios
CONSEGUIR EL APOYO DE LA
DIRECCION
2005
Qué Información proteger
• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
2005
Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos posible:

• sin grandes inversiones en software
• sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad
• parametrizando la seguridad propia de los sistemas
• utilizando herramientas licenciadas y libres en la web
2005
Paso 2:
Si igual voy a hacer algo, porque no lo

hago teniendo en cuenta las Normas,
Metodologías y Legislaciones
Internacionales aplicables
2005
Normas, Metodologías, Legislaciones aplicables
Entre los distintos organismos relacionados comercial y/o

institucionalmente con los temas de Seguridad de la Información,
podemos encontrar los siguientes:
 Information Systems and Audit Control Association - ISACA:

METODOLOGIA COBIT
 British Standards Institute: BS
 International Standards Organization: Normas ISO
 Departamento de Defensa de USA: Orange Book / Common Criteria
 ITSEC – Information Technology Security Evaluation Criteria: White
Book
 Sans Institute
 Sarbanes Oxley Act, HIPAA Act
2005
Gestión de Seguridad
Norma ISO 17799
2005
Normas de Gestión ISO
International Standards Organization: Normas ISO

• ISO 9001 – Calidad
• ISO 14001 – Ambiental
• ISO 17799 – Seguridad de la Información
2005
Norma ISO 17799 Seguridad de la Información
Dos partes:
17799 – 1 . NORMALIZACION (Mejores Prácticas)
17799 – 2 . CERTIFICACION
Aún no fue publicada por ISO.
Hoy en día las certificaciones son sobre el BS 7799.
Ya está disponible la versión ISO17799:2005.
2005
Está organizada en diez capítulos en los que se tratan los

distintos criterios a ser tenidos en cuenta en cada tema para
llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestión de la seguridad de la

información
Base común para el desarrollo de estándares de
seguridad
2005
1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
2005
Políticas de Seguridad
• Desarrollo de los temas a considerar
• Técnicas de implementación de Normas,
Procedimientos y Estándares.
• Mecanismos de medición y mejora continua.
2005
Paso 1: qué dicen las normas?
Requerimiento de
Normativas Internacionales
ISO 17799 Seguridad de la Información
2005
Marco Normativo ISO 17799
10.Cumplimiento
2005
Paso 2: cómo lo llevo a la práctica?
Etapas Generales
en el Desarrollo e Implementación de un
Manual de Gestión
de Seguridad de la Información
2005
Identificar el equipo responsable
• Definir el Equipo de Redacción y de Aprobación

• Analizar la integración con otras políticas
• Definir los temas de seguridad a incluir en normativa
• Definir la estructura
• Definir el esquema de cada documento
• Desarrollar la Política General
• Desarrollar las Normas
• Desarrollar los Procedimientos
• Desarrollar los Estándares técnicos
• Aprobar en contenido en sus distintos niveles
• Definir el método de difusión y mantenimiento permanente
• Definir el método de “premios y castigos”
• Implementar la normativa
• Ejecutar los mecanismos de actualización
2005
Estructura Organizacional
• Identificación de los requerimientos de ISO 17799
• Definición de Roles y Responsabilidades en la
Compañía
• Asignación de Perfiles del personal para cada rol
• Responsabilidades con Terceros y Contratados
2005
Requerimiento de
2005
10.Cumplimiento
2005
Definición de Roles y
Responsabilidades en la Compañía
2005
Roles y Responsabilidades en la Compañía
Sponsoreo y seguimiento Administración

• Dirección de la Compañía  Administrador de Seguridad
• Foro / Comité de Seguridad
Cumplimiento directo
Autorización  Usuarios finales
• Dueño de datos  Terceros y personal contratado
 Área de sistemas
Definición
Control
• Área de Seguridad Informática
 Auditoría Interna
• Área de Legales / RRHH / AUD  Auditoría Externa
2005
MF 04: Clasificación de Información
• Marco Normativo ISO 17799

• Metodología Práctica de Clasificación
2005
Requerimiento de
2005
10.Cumplimiento
2005
Metodología Práctica de Clasificación de

Información
2005
Metodología Práctica de Clasificación de Información
Identificar los Responsables de la Clasificación

Sponsoreo y seguimiento Administración
• Dirección de la Compañía  Administrador de Seguridad
• Foro / Comité de Seguridad
Cumplimiento directo
Autorización  Usuarios finales
• Dueño de datos  Terceros y personal contratado
 Área de sistemas
Definición
Control
• Área de Seguridad Informática
 Auditoría Interna
• Área de Legales / RRHH / AUD  Auditoría Externa
2005
Metodología Práctica de Clasificación de Información
Etapas
1. Identificación de la información
2. Identificación de los principales riesgos
3. Clasificación de la información teniendo en
cuenta los riesgos identificados
4. Difusión a los USUARIOS
5. Mantenimiento y Mejora Continua
2005
MF 05: Aspectos humanos de la seguridad

• Marco Normativo ISO 17799
• Metodología Práctica
2005
Requerimiento de
2005
10.Cumplimiento
2005
Principales procesos reelacionados

con los Aspectos humanos de la
seguridad
• Administración del Personal
• Manejo de Incidentes
• Proceso Disciplinario
• Concientización
2005
Seguridad en los Procesos Internos

MF 06:
del área de Sistemas. Seguridad Física y
Ambiental.
2005
Requerimiento de
Normativas y Metodologías
Internacionales
2005
Para los CONTROLES en los

PROCESOS de TI se utilizan ambas
fuentes de información:

COBIT Audit Guidelines
2005
10.Cumplimiento
2005
ISACA
Information Systems and Audit Control

Association
COBIT
Control Objectives for Information and Related Technology
2005
Metodologías aplicables
COBIT AUDIT GUIDELINES:
• Son metodologías internacionalmente aceptados para la práctica

de seguridad informática.
• Comprenden una serie de Objetivos de Control a cumplir en los

distintos aspectos del “gobierno” de IT, dentro de los cuales se
encuentran los temas específicos de Seguridad y Control:
Planeamiento y organización
Adquisición e implementación
Entrega de servicios y soporte
Monitoreo
2005
Principales procesos
• Identificación de Funciones y Responsabilidades

• Identificación de los Principales Procesos del área
• Definición de controles para cada proceso – ISO
17799 – COBIT - Normativa Interna
• Implementación, Plan de Monitoreo y Mejora
Continua
2005
Cierre del Entrenamiento
Facilidad en el USO vs mejor PROTECCION

de la Información
2005

Implementación práctica de seguridad de la información

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Implementación práctica de seguridad de la información

Cargado por

Copyright:

Formatos disponibles

Especializacion en Seguridad de la Información

Etapa 2: IMPLEMENTACION PRACTICA DEL PROGRAMA

Todos los derechos reservados

Adquirir conocimientos, metodologías y herramientas

La formación PROFESIONAL del individuo

La IMPLEMENTACION PRACTICA en las

A QUIEN ESTA DIRIGIDO

Orientado Responsables de áreas de Seguridad

A su vez sus contenidos están alineados con los Diplomados

12 Módulos Funcionales como

10 Dominios de la ISO 17799

Se desarrollará la primera parte de una Metodología

La Seguridad Informática actual

• Riesgos e impacto en los negocios

Reconocer los riesgos y su impacto en

Qué Información proteger

• en formato electrónico / magnético / óptico

• en el conocimiento de las personas

Principales riesgos y el impacto en los negocios

Se puede estar preparado para que ocurran lo menos posible:

Si igual voy a hacer algo, porque no lo

Normas, Metodologías, Legislaciones aplicables

Entre los distintos organismos relacionados comercial y/o

 Information Systems and Audit Control Association - ISACA:

Normas de Gestión ISO

International Standards Organization: Normas ISO

Norma ISO 17799 Seguridad de la Información

17799 – 1 . NORMALIZACION (Mejores Prácticas)

Aún no fue publicada por ISO.

Hoy en día las certificaciones son sobre el BS 7799.

Ya está disponible la versión ISO17799:2005.

Norma ISO 17799 Seguridad de la Información

Está organizada en diez capítulos en los que se tratan los

GESTION DE SEGURIDAD DE LA INFORMACION

Recomendaciones para la gestión de la seguridad de la

Norma ISO 17799 Seguridad de la Información

Paso 1: qué dicen las normas?

Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica?

Identificar el equipo responsable

• Definir el Equipo de Redacción y de Aprobación

Paso 1: qué dicen las normas?

Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica?

Roles y Responsabilidades en la Compañía

Sponsoreo y seguimiento Administración

MF 04: Clasificación de Información

• Marco Normativo ISO 17799

Paso 1: qué dicen las normas?

Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica?

Metodología Práctica de Clasificación de

Metodología Práctica de Clasificación de Información

Identificar los Responsables de la Clasificación

Metodología Práctica de Clasificación de Información

MF 05: Aspectos humanos de la seguridad

Paso 1: qué dicen las normas?

Marco Normativo ISO 17799

Paso 2: cómo lo llevo a la práctica?

Principales procesos reelacionados

Seguridad en los Procesos Internos

Paso 1: qué dicen las normas?

Para los CONTROLES en los