MODELO DE SEGURIDAD INFORMATICA BASADO EN LA NORMA ISO 17799

Facilitadores: Jenny Cartas Jos Carrero

TITULARES DE MUNDO EN LINEA

Saba usted que el 94% de las empresas que pierden sus datos desaparecen? Un estudio revela que casi el 95% del correo electrnico es Spam Chile ocupa el cuarto lugar en delitos en la Web en Amrica Latina

Por una mala administracin de la informacin

Errores humanos

Virus, hackers entre otros

Desastres naturales

PORQUE ES NECESARIA LA GESTIN DE LA SEGURIDAD

Frente a la importancia creciente de la informacin. Frente a la multitud de amenazas posibles. Frente a la necesidad de los cambios Tecnolgicos. Frente a la complejidad y diversidad de las dependencias. Frente a los limites para actuar (Asig. Roles). Frente a la necesidad de garanta (DCI) Mejor Mejor Seguridad Seguridad Ms Ms Seguridad Seguridad

CAUSAS MAS COMUNES

(Vulnerabilidad)

La Solucin de Antivirus Instalada no es suficiente.

Correos basura y Acceso a Internet

Efecto:
La labor de la Ingeniera Social

No Existen Polticas de Seguridad basadas en estndares internacionalmente reconocidos.

ESTANDAR ISO
Que es ISO? (International Organization for Standardization) Orientada a la creacin de Normas dirigidas hacia las reas de Productos, servicios, procesos, materiales y sistemas. Aporta una adecuada evaluacin gerencial y practica organizacional Los estndares ISO son diseados para ser implementados en todo el mundo

ESTANDAR ISO 17799

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. ISO 17799 define la informacin como un activo que posee valor para la organizacin y requiere por tanto de una proteccin adecuada. El objetivo de la seguridad de la informacin es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daos a la organizacin y maximizar el retorno de las inversiones y las oportunidades de negocio.

MODELO DE SEGURIDAD DE LA INFORMACIN

Un Modelo de Seguridad de la Informacin es un diseo formal que promueve consistentes y efectivos mecanismos para la definicin e implementacin de controles a travs de polticas.. Debe estar dirigido a identificar los niveles de riesgo presentes y las acciones que se deben implementar para reducirlos.

POLTICAS DE SEGURIDAD DE LA INFORMACIN

Que son las Polticas de Seguridad de la Informacin: Pueden considerarse como reglas de negocio que son el equivalente de una ley propia de la organizacin. Es la fuente de instrucciones para proteger tanto la informacin como los sistemas que la contienen. Deben estar adecuadas a los requerimientos particulares de la organizacin y en sintona con la legislacin vigente. Es necesario conocer muy bien los factores de riesgo, mediante un Anlisis de Riesgos.

UN ADECUADO MODELO DE SEGURIDAD INFORMTICA

ESTA BASADO EN:

Polticas Slidas de Seguridad de la Informacin: Mejores prcticas internacionales (BS ISO/ IEC 17799:2005 - BS 7799-1:2005) Soporte Gerencial Divulgacin Capacitacin.

UN ADECUADO MODELO DE SEGURIDAD INFORMTICA

ESTA BASADO EN:

Equipo de Trabajo:
Altamente Calificado Disponible 7 X 24 X 365 Actualizado Permanentemente (Capacitacin) Slidos conocimientos en Seguridad de la Informacin y Administracin del riesgo

UN ADECUADO MODELO DE SEGURIDAD INFORMTICA

ESTA BASADO EN: Herramientas de proteccin: ltima Tecnologa Permanentemente Actualizadas Alta Disponibilidad Alta Capacidad de Respuesta

Nota: No se trata de tener un libro, se trata de contar con una gua basada en las mejores practicas para el mantenimiento y manipulacin de la informacin.

CMO IMPLEMENTAR DICHO MODELO

CMO IMPLEMENTAR DICHO MODELO

4. Aplicar las Polticas de Seguridad 1. Determinar los niveles de riesgos.

Implementar un Modelo Tecnolgico de Seguridad Informtica basado en la norma ISO 17799 2. Establecer los controles a partir de la norma ISO 17799.

3. Construir los lineamientos.

CMO IMPLEMENTAR DICHO MODELO

Fase I. Determinar niveles de riegos amenazas y vulnerabilidades

Revisin de estadsticas de incidentes (Help Desk). Aplicacin de un cuestionario online basado en la ISO 17799, disponible en http://autoevaluacion.forosec.com Identificacin de los diferentes tipos de activos en la empresa para determinar todo aquello que la seguridad de la informacin debe proteger. Clasificacin y valoracin de los tecnolgicos, de procesos y fsicos). riesgos detectados (humanos,

CMO IMPLEMENTAR DICHO MODELO

Fase II. Establecer controles a partir de la norma ISO 17799.

Identificacin y definicin de alternativas para el tratamiento de riesgos. Seleccionar controles especficos a partir de la ISO 17799 a implementar segn los riesgos detectados.

CMO IMPLEMENTAR DICHO MODELO

Fase III: Construir los lineamientos Elaboracin y aprobacin de una DDA Declaracin de Aplicabilidad (qu controles se van a implementar). Elaboracin del documento de polticas de seguridad que abarque tanto el mbito tecnolgico como el mbito humano. Elaborar plan estratgico de divulgacin sobre mantenimiento de la seguridad de la informacin a toda la organizacin.

CMO IMPLEMENTAR DICHO MODELO

Fase IV: Aplicar las Polticas Hacer oficial la poltica. Eleccin del comit de seguridad para el cumplimiento, monitoreo y mejoramiento continuo de las polticas.. Realizacin de campaas de entrenamiento, charlas de divulgacin y sistemas de aprendizaje para garantizar el conocimiento de las polticas de seguridad en toda la organizacin.

A DONDE SE ORIENTA
Procedimientos

PERSONAS

Mas que tecnologa utilizada para solucionar problemas especficos o puntuales. Polticas, procedimientos y estndares definidos de acuerdo con las caractersticas del negocio. Plan de concientizacin adecuadamente estructurado para la creacin de la cultura de seguridad en la organizacin.

TECNOLOGIA

Estndares

CULTURA

Polticas

CMO MANTENER EL MODELO

Monitoreo y Revisin Monitoreo Detectar errores en el proceso, identificar fallos de seguridad y tomar las acciones correspondientes. Revisiones peridicas de la poltica y su alcance. Revisiones de los niveles de riesgos Auditorias internas y externas

Revisin

CMO MANTENER EL MODELO

Mantenimiento y Mejora Mantenimiento Comunicar resultados de auditorias Adoptar acciones correctivas y preventivas Mejora Continua Medir el rendimiento Implementar las mejoras identificadas en las revisiones

FACTORES CRTICOS DE XITO

Gestin de Riesgos cubriendo todos los componentes internos y externos, la naturaleza de los sistemas, las actividades empresariales y las leyes locales. Identificar todos los terceros involucrados (Clientes / Usuarios / Proveedores / Socios de negocio / Otras Organizaciones / Gobierno). Identificar todos los activos informticos. Polticas desarrolladas segn los objetivos de negocio y segn la cultura organizacional. Apoyo y compromiso manifiestos por parte de la alta gerencia. Participacin integral a travs de equipos multidisciplinarios.

FACTORES CRTICOS DE XITO

Un claro entendimiento de los requerimientos de seguridad. Sistema de medicin para evaluar el desempeo de la gestin de la seguridad. Disponibilidad de recursos.

PLAN DE CONCIENTIZACIN
Informar y recordar regularmente las obligaciones con respecto a la seguridad de la informacin a empleados y dems personal vinculado. La caracterstica principal del proceso de concientizacin es la difusin del Modelo de Seguridad por diferentes medios de comunicacin al interior de la empresa, partiendo de un conocimiento bsico de Seguridad Informtica hasta lograr la adopcin y asimilacin de componentes del modelo de seguridad (polticas, estndares y procedimientos).

PRODUCTO FINAL: MODELO DE SEGURIDAD DE LA INFORMACIN

Seguridad Organizativa

T ct ico

Seguridad Lgica

Poltica de Seguridad Aspectos organizativos para la seguridad Clasificacin y control de activos Conformidad Control de Accesos

Seguridad Fsica Seguridad Legal

O pe ra t iv o

Es tra t gi

co

Seguridad ligada al personal

Seguridad fsica y del entorno Gestin de continuidad del negocio

Desarrollo y mantenimiento de sistemas

Gestin de comunicaciones y operaciones

FUENTES DE CONSULTA

Noticias Mundo en Lnea http://www.mundoenlinea.cl Grupo de Respuesta para Emergencias Informticas (CERT.gov.ve) http://www.cert.gov.ve Superintendencia de Servicios de Certificacin Electrnica (SUSCERTE) http://www.suscerte.co Computer Emergency Response Team (CERT) http://www.cert.org Computer Security Institute (CSI) http://www.gocsi.com Forosec http://www.forosec.com

Las mejores herramientas de seguridad son vulnerables si no existen polticas adecuadas que definan claramente su utilizacin.

Gracias por su atencin..

LO QUE HAY QUE SABER

La seguridad de la informacin siempre ha preocupado a la humanidad. La informacin comanda las decisiones de cualquier negocio. Es el principal ACTIVO para la organizacin. La seguridad Fsica y Lgica son aspectos CLAVE a tener en cuenta Se debe proteger la Confidencialidad, la Integridad y Disponibilidad. Se debe garantizar la identidad de los usuarios y su privacidad. Los ataques evolucionan y se introducen en una tecnologa en desarrollo. Proteger en todas sus formas: digital, impresa y el conocimiento. FUNDAMENTAL: Tener conocimiento de los riesgos.